개인정보 DB, 결제 서비스, 서버, 네트워크, 평판처럼 가치와 소유자를 적습니다.
해킹, 악성코드, 내부자, 장애, 화재처럼 자산에 손실을 줄 사건입니다.
미패치, 약한 비밀번호, 권한 과다, 설정 오류처럼 위협이 이용할 지점입니다.
정성 평가는 등급으로, 정량 평가는 SLE와 ALE로 우선순위를 정합니다.
관리적·기술적·물리적 보호대책을 비용·효과와 법규 요구사항에 맞춥니다.
대책 후 남은 위험은 수용기준과 비교하고 책임자 또는 경영진이 승인합니다.