A.安全評估的第一步是確定信息系統(tǒng)的資產(chǎn)，并明確資產(chǎn)的價值，
B.資產(chǎn)的價值是由對組織、供應(yīng)商、合作伙伴、客戶和其他利益相關(guān)方在安全事件中對保密性、完整性和可用性的影響來衡量的。
C.資產(chǎn)的范圍很廣，一切需要加以保護(hù)的東西都算作資產(chǎn)，包括：信息資產(chǎn)、紙質(zhì)文件、軟件資產(chǎn)、物理資產(chǎn)、人員、公司形象和聲譽(yù)、服務(wù)等。
D.資產(chǎn)的評估應(yīng)當(dāng)從關(guān)鍵業(yè)務(wù)開始，最終覆蓋所有的關(guān)鍵資產(chǎn)。