การสรุปผลการประเมิน ในขณะที่ลดเวลาและค่าใช้จ่ายของการตรวจสอบจากประชากร (population) ทั้งหมด ดังนั้น ผู้ตรวจสอบควรพิจารณากรอบระยะเวลา (sample period) และจำนวนของกลุ่มตัวอย่าง (sample size) ที่เพียงพอ
ระดับสูง (chief information security officer : CISO) หรือผู้บริหาร ที่รับผิดชอบใน การ บริหารจัดการความมั่นคงปลอดภัยด้าน IT อย่างน้อย 1 ท่าน โดยมีคุณสมบัติ ขอบเขตอำนาจ และหน้าที่อย่างน้อย ดังนี้ (1) มีความ