9.3.1 มีการจัดทำแนวปฏิบัติด้านความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ (Specific information security policy) มีหัวข้ออย่างน้อยต่อไปนี้1) การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ (Access Control) 2) การสำรองข้อมูลเพื่อให้สารสนเทศอยู่ในสภาพพร้อมใช้งานและการจัดท