確定保護的對象（保護資產）是什么？它們直接和間接價值？
　　資產面臨哪些潛在威脅？導致威脅的問題所在？威脅發生的可能性有多大？
　　資產中存在哪里弱點可能會被威脅所利用？利用的容易程序又如何？
　　一旦威脅事件發生，組織會遭受怎樣的損失或者面臨怎樣的負面影響？
　　組織應該采取怎樣的安全措施才能將風險帶來的損失降低到最低程序。