確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)
　　根據(jù)滿(mǎn)足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、 法律法規(guī)的規(guī)定等內(nèi)容，識(shí)別現(xiàn)有信息系統(tǒng)及管理上的不足，以及可能造成的風(fēng)險(xiǎn)大小。
　　確定風(fēng)險(xiǎn)評(píng)估的范圍
　　風(fēng)險(xiǎn)評(píng)估范圍可能是組織全部的信息及與信息處理相關(guān)的各類(lèi)資產(chǎn)、管理機(jī)構(gòu)，也可能是某個(gè)獨(dú)立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶(hù)知識(shí)產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門(mén)等。