六、安保策略

        安保策略是定义系统、组织或其他实体安全意味着什么。对于一个组织，它要约束成员的行为，以及用机制约束黑客的入侵，诸如使用门、锁、墙等设施。对于系统，安保策略要约束功能和数据流，约束外部系统和黑客的访问，包括对人员或应用程序和数据访问。 
 

        安保策略由组织的高级管理层或选出的委员会来定义。安保策略可以由组织按要求对特定功能或系统进行裁剪。安保项目应该包括安保策略、标准、指南、基线、程序、安保基础培训、事故响应计划和法规遵从。这些内容在ISO/IEC 27000系列标准中描述，美国能源部提供了可以实施的细节。

七、危险评估

        危险评估包括分析资产，确定信息和资产的价值, 确定漏洞和潜在危险（威胁），威胁降低方法，决定可以接受、避免或转移的危险。这项行动由危险分析团队执行。危险评估过程包括执行评估程序，分析及评定危险结果。危险评估应用于信息、通信和电力。在这个周期，应该确定关键资产。
危险评估必须考虑对安保系统的影响。比如在一个系统中的危险可能是：
       ?安全危险可能导致生命损失，人员伤害，或环境破坏。
       ?任务危险可能导致这个系统的瘫痪，诸如关键基础设施或数据的损失。
       ?商业危险可能导致重大经济损失，诸如商业或声誉的损失。
       ?安保危险可能导致敏感数据的损失。

八、建立危险分析团队

       危险分析团队必须包括组织关键区域中的人员诸如管理人员，工程人员，安保专家，过程控制工程师，信息技术（IT）规划师，应用分析师，程序设计师。危险分析团队成员必须是每个行业里的专家，了解过程、商业对象、工程原理、技术和法规。

九、信息和资产的价值

        信息的价值决定了安保的方法。在评估信息的价值时，同样的逻辑可用于资产，诸如设施，系统，服务，资源，供给和人员。为了评估什么是危险，必须评估什么是财产。信息和资产都应该有给予它数量和质量的测量。
        实际价值由它的获得、开发和维护的成本所决定。对于所有者，授权用户和非授权用户的重要性决定了资产的价值。资产可以是有形的（计算机、设备、网络、系统、设施、供给）或者是无形的（声誉、数据、知识产权）。
 

十、确定威胁

        威胁评估是一个非常具体的行为，在有些情况下，这是一项困难的任务。 
        威胁可以分成人为（有意或无意）和自然灾害。很多类型的威胁来源于多种漏洞，从而导致多种特定的威胁。一旦威胁是针对某种应用、系统、业务单位或组织, 必须查清相关的漏洞，找到解决的办法。

十一、确定漏洞

        漏洞是一个用来攻击的潜在通道，是连接内部或外部代理，可能导致安保失效的系统属性或环境。发现漏洞并不那么容易，需要一定的技能水平。当发现特定的漏洞时，需要找出所有针对组织的进入点，找出访问信息（来自电子和物理）点，诸如：
       - 因特网连接； 
       - 远程访问点；
       - 与其他组织的连接；
       - 物理访问设施；
       - 用户访问点；
      - 无线访问点。
        失效模式和影响分析是一种用于决定漏洞位置以及查出路径的方法。这种方法支持决定功能、确定功能失效、评估失效原因和对结构化过程的影响。这是一个系统工程方法，近来用于评估危险管理的优先级和减轻已知漏洞的威胁。