分析階段

分析階段應包括以下工作：

*一份近期的風險評估，或記錄機構當前信息安全需要的IT審計表。該風險評估應包含所有損失記錄以及以往的法律訴訟、投訴文檔和由此造成的其他信息安全領域的負面影響。

*關鍵參考材料的收集，除了上面所提及的條款，還包括所有現有的策略。有時，影響信息安全的策略記錄會存放于人力資源部門以及會計、財務、法律或公司的安全部門。

根據Charles Cresson Woocl:

由于一些人受到時間或資源限制，因而會嘗試跳過以上所提的數據收集過程。無論何時，只要數據收集時間被大大縮短，管理層拒絕接受由此產生的文檔記錄的可能性就會增加。管理層的信息安全觀正是通過這樣的數據收集過程得以確立——已有的策略、需要增加或修改的策略、管理者如何增強策略、機構所面臨的特殊漏洞，以及其他基本的背景信息。倘若對背景信息的考慮不夠徹底，那么，新產生的信息安全策略就很難滿足機構的真正需要。