Eine Informationssicherheits-Risikoanalyse erfasst und bewertet die Risiken für die Informationssicherheit. Da jede Verarbeitungstätigkeit von Informationen potenziell Informationssicherheits-Risiken hat, bietet Ihnen ein Verzeichnis von Verarbeitungstätigkeiten (das beispielsweise für den Datenschutz erstellt wurde) einen guten Überblick über die möglichen Risiken. Identifizieren Sie dann die verarbeiteten Informationen (etwa Kundendaten, Produktionsdaten et cetera) und die für die Verarbeitung verwendeten IT-Systeme (Office, ERP-System, Website und dergleichen).

Für die Bewertung des möglichen Schadens teilen Sie die verarbeiteten Informationen nach Kritikalität des Schutzbedarfes ein (beispielsweise ein Geschäftsgeheimnis hätte sehr hohe Vertraulichkeit, Bankverbindungsdaten von Kunden eine hohe Integrität) – für den Anfang reichen drei Stufen (normal – hoch – sehr hoch). Für die Bewertung der Eintrittswahrscheinlichkeit arbeiten Sie mit einem IT-Experten zusammen, der einschätzt, wie leicht es für einen Angreifer wäre, über die verwendeten IT-Systeme die Informationen erfolgreich anzugreifen. Auch hier ist eine dreistufige Einteilung am Anfang ausreichend (unwahrscheinlich – möglich– wahrscheinlich).

Nun kombinieren Sie die Bewertungen in einer Risiko-Matrix und können so die größten Risiken auf einen Blick erfassen. Legen Sie nun ihr Risiko-Akzeptanz-Niveau fest: Alle Risiken, die "kleiner" sind als dieses Niveau, sind für das Unternehmen tragbar, alle die "größer" sind, benötigen eine Behandlung – meist durch eine risikosenkende Maßnahme.

Im weiteren Verlauf können Sie dann die Bewertungskriterien verfeinern, etwa durch Hinzuziehen von tatsächlichen statistischen Werten zu Hackerangriffen und monetären Schäden oder die Berücksichtigung von qualitativen Aspekten wie der Motivation oder der Anzahl potenzieller Angreifer.