六、安保策略

        安保策略是定義系統、組織或其他實體安全意味著什么。對于一個組織，它要約束成員的行為，以及用機制約束黑客的入侵，諸如使用門、鎖、墻等設施。對于系統，安保策略要約束功能和數據流，約束外部系統和黑客的訪問，包括對人員或應用程序和數據訪問。 
 

        安保策略由組織的高級管理層或選出的委員會來定義。安保策略可以由組織按要求對特定功能或系統進行裁剪。安保項目應該包括安保策略、標準、指南、基線、程序、安保基礎培訓、事故響應計劃和法規遵從。這些內容在ISO/IEC 27000系列標準中描述，美國能源部提供了可以實施的細節。

七、危險評估

        危險評估包括分析資產，確定信息和資產的價值, 確定漏洞和潛在危險（威脅），威脅降低方法，決定可以接受、避免或轉移的危險。這項行動由危險分析團隊執行。危險評估過程包括執行評估程序，分析及評定危險結果。危險評估應用于信息、通信和電力。在這個周期，應該確定關鍵資產。
危險評估必須考慮對安保系統的影響。比如在一個系統中的危險可能是：
       ?安全危險可能導致生命損失，人員傷害，或環境破壞。
       ?任務危險可能導致這個系統的癱瘓，諸如關鍵基礎設施或數據的損失。
       ?商業危險可能導致重大經濟損失，諸如商業或聲譽的損失。
       ?安保危險可能導致敏感數據的損失。

八、建立危險分析團隊

       危險分析團隊必須包括組織關鍵區域中的人員諸如管理人員，工程人員，安保專家，過程控制工程師，信息技術（IT）規劃師，應用分析師，程序設計師。危險分析團隊成員必須是每個行業里的專家，了解過程、商業對象、工程原理、技術和法規。

九、信息和資產的價值

        信息的價值決定了安保的方法。在評估信息的價值時，同樣的邏輯可用于資產，諸如設施，系統，服務，資源，供給和人員。為了評估什么是危險，必須評估什么是財產。信息和資產都應該有給予它數量和質量的測量。
        實際價值由它的獲得、開發和維護的成本所決定。對于所有者，授權用戶和非授權用戶的重要性決定了資產的價值。資產可以是有形的（計算機、設備、網絡、系統、設施、供給）或者是無形的（聲譽、數據、知識產權）。
 

十、確定威脅

        威脅評估是一個非常具體的行為，在有些情況下，這是一項困難的任務。 
        威脅可以分成人為（有意或無意）和自然災害。很多類型的威脅來源于多種漏洞，從而導致多種特定的威脅。一旦威脅是針對某種應用、系統、業務單位或組織, 必須查清相關的漏洞，找到解決的辦法。

十一、確定漏洞

        漏洞是一個用來攻擊的潛在通道，是連接內部或外部代理，可能導致安保失效的系統屬性或環境。發現漏洞并不那么容易，需要一定的技能水平。當發現特定的漏洞時，需要找出所有針對組織的進入點，找出訪問信息（來自電子和物理）點，諸如：
       - 因特網連接； 
       - 遠程訪問點；
       - 與其他組織的連接；
       - 物理訪問設施；
       - 用戶訪問點；
      - 無線訪問點。
        失效模式和影響分析是一種用于決定漏洞位置以及查出路徑的方法。這種方法支持決定功能、確定功能失效、評估失效原因和對結構化過程的影響。這是一個系統工程方法，近來用于評估危險管理的優先級和減輕已知漏洞的威脅。