確定保護(hù)的對象（保護(hù)資產(chǎn)）是什么？它們直接和間接價值？
　　資產(chǎn)面臨哪些潛在威脅？導(dǎo)致威脅的問題所在？威脅發(fā)生的可能性有多大？
　　資產(chǎn)中存在哪里弱點可能會被威脅所利用？利用的容易程序又如何？
　　一旦威脅事件發(fā)生，組織會遭受怎樣的損失或者面臨怎樣的負(fù)面影響？
　　組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險帶來的損失降低到最低程序。