В соответствии с требованиями международного стандарта ISO 27001 оценка рисков должна регулярно проводиться для всех информационных активов организации. Ценность информационного актива определяется степенью его влияния на бизнес-процессы организации. Поэтому первоначально потребуется составить список всех бизнес-процессов и участвующих в них активов и проранжировать их по степени критичности.
После этого необходимо разработать план оценки рисков для каждого бизнес-процесса и для каждого информационного актива (группы активов), участвующих в этих бизнес-процессах, на ближайший год. Начинать оценку следует с наиболее критичных активов и процессов.