識別風險是發掘信息保護需求階段工作的關鍵
　　一切工程皆有需求，需求與風險的一致性越強，則需求越準確
　　信息安全工程的需求應從風險評估結果分析中得出
　　識別風險工作方式
　　與客戶進行溝通，并結合安全工程師專業知識
　　為每一個信息域指定信息受到的危害的度量準則和可能的危害事件
　　服務的強度要與信息威脅的等級相適應