Mielőtt nekikezdünk egy informatikai rendszer kiépítésének vagy átszabásának, elengedhetetlen, hogy felmérjük a kockázati tényezőket, amelyek az adott rendszert fenyegetik. A veszélyek számbavételén túl az általuk okozható károkat is érdemes ám felbecsülni, hogy azok ismeretében alakíthassuk az informatikai rendszert és a cégen belüli válságkezelő tervet.

Az informatikai biztonságra fordított erőforrásaink akkor hasznosulnak a legjobban, ha célzottan és az ismert kockázati tényezőkkel arányosan alkalmazzuk azokat, mégpedig a kezdetektől fogva. Egy informatikai rendszert később is biztonságosabbá lehet tenni, ám olyankor a kezdeti költségek 5–6-szorosával számolhatunk.

Az IT-kockázatelemzés lépései:

1. Kockázati tényezők, vagyis a rendszer helyes működését fenyegető események felmérése (például áramszünet, természeti károk, meghibásodások, vírusfertőzés, szoftverhiba, betörés, stb.)
2. Bekövetkezési valószínűség, ill. szándékos visszaélés esetén a támadási potenciál nagyságrendi meghatározása
3. Lehetséges károk megállapítása és a következmények súlyozása. A titkos adat kiszivárgása miatti hitelvesztés, más természetű, mint az üzletmenet leállása egy adatvesztés miatt.
4. Védelem kialakítása a kockázatok ismeretének arányában, és fenntartása rendszeres IT-audittal.