確定保護(hù)的對(duì)象（保護(hù)資產(chǎn)）是什么？它們直接和間接價(jià)值？
　　資產(chǎn)面臨哪些潛在威脅？導(dǎo)致威脅的問(wèn)題所在？威脅發(fā)生的可能性有多大？
　　資產(chǎn)中存在哪里弱點(diǎn)可能會(huì)被威脅所利用？利用的容易程序又如何？
　　一旦威脅事件發(fā)生，組織會(huì)遭受怎樣的損失或者面臨怎樣的負(fù)面影響？
　　組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險(xiǎn)帶來(lái)的損失降低到最低程序。