– “CRAF”) ซึ่งเมื่อผู้ประกอบธุรกิจประเมินตนเองแล้ว จะช่วยให้ทราบความเสี่ยงด้านไซเบอร์ที่เกิดจากลักษณะการประกอบธุรกิจของตนเอง (inherent risk) และผู้ประกอบธุรกิจมีระบบงานที่ช่วยควบคุม
พึงกระทำ (6) ความพร้อมของบุคลากร (competent staff readiness) ผู้ประกอบธุรกิจต้องจัดให้มีบุคลากรที่มีความสามารถและเหมาะสมในจำนวนที่เพียงพอต่อ