– “CRAF”) ซึ่งเมื่อผู้ประกอบธุรกิจประเมินตนเองแล้ว จะช่วยให้ทราบความเสี่ยงด้านไซเบอร์ที่เกิดจากลักษณะการประกอบธุรกิจของตนเอง (inherent risk) และผู้ประกอบธุรกิจมีระบบงานที่ช่วยควบคุม
เพื่อระบุหรือกำหนดความเสี่ยงที่มีโอกาสเกิดขึ้นและวางระบบควบคุมเพื่อป้องกันความเสี่ยงที่อาจมีโอกาสเกิดขึ้น (protect) เพื่อสามารถตรวจจับสิ่งบ่งชี้ความผิดปกติ (detect) ได้อย่างรวดเร็วและแก้ไขหรือหยุดความเสีย