威脅鑒定和優先級劃分

只要一個機構遵循了在第2章中略述的有關SecSDLC，以及第7和第8章描述的風險管理過程，它就已經能夠識別自己所面對的風險并能夠為風險劃BIA先級別。這些機構只需要更新威脅列表和加入攻擊簡報的信息，就可以進行BIA。

攻擊簡報是對一次攻擊發生過程的詳細描述。在表3-2中列出的攻擊簡報示例包括攻擊的初步跡象、活動預兆和結果。無論機構所面對的攻擊是自然發生的還是人為的，無論是蓄謀已久的還是偶然的，都應該制定這樣一個簡報來應付每一個重大攻擊。在隨后的計劃階段，可以使用這些文檔來發現攻擊預兆，如果攻擊成功，這些文檔也可以用來確定損失程度。