Cette structure, qui utilisera les pratiques optimales de la profession (notamment OCTAVE, SSE-CMM et ISO-17799), aura pour tâche de recenser les actifs essentiels, d'évaluer les risques de calculer la probabilité de réalisation d'un dommage éventuel et d'en mesurer les conséquences, d'analyser le degré de vulnérabilité du système, puis d'élaborer une stratégie ou un plan antisinistre.
风险评估采用工业上的最佳做法(例如OCTAVE、SSE-CMM和ISO-17799),将包括确定关键资产、威胁评估、可能和后果估计、弱点分析,以及最后的矫正行动战略/计划。