Wypada jednak się zastanowić, jakie dane i w jaki sposób chronić w naszej organizacji. Jakie skuteczne środki bezpieczeństwa przedsięwziąć. Kto i za co ma odpowiadać. Co może się stać i jakie będą konsekwencje naruszenia przyjętych zasad ochrony danych. W tym celu analizujemy ryzyko w obszarze bezpieczeństwa informacji: określamy prawdopodobieństwo wystąpienia określonych zagrożeń, skutki ich ewentualnego wystąpienia oraz istotność dla analizowanego obszaru.