(三) 資訊安全風險管理組織架構
在執行資訊安全風險管理之前，相關組織、角色及權責應預先設置，相關授權需要明確區分，在設置相關組織時需考量下列事項：
• 發展出適合於組織的資訊安全風險管理作為，其中組織的特性、文化要先考量。
• 識別與分析事件相關者，相關風險的負責人、管理者、決策者應與識別。
• 定義組織內部與外部所有各方的角色和職責。
• 建立起組織與經營者的必要關係及高階風險管理功能介面。
• 定義決策提報路徑，哪種類型或等級的風險須要如何決策應先行定義其路徑。
• 說明需要保存的記錄。
做好全景分析的準備工作後，就可以開始進行風險評鑑的工作，對照條文6.2，現在我們已經完成建立與維持資訊安全風險的標準(風險評估準則、衝擊準則及風險接受準則)，在設計準則時我們也注意到設定的要求必須確保重複的資訊安全風險評鑑能產出一致的、有效的和可比較的結果，亦即不同的人在不同的時機、使用相同的準則，盡量能有一致性的結果，避免差異過大造成評鑑時的不確定性，影響風險管理的效能。

三、 風險評鑑
從架構圖上來看，做完全景分析後就要執行風險評鑑，評鑑區分三個部分：風險識別、風險分析及風險評估，其最終目標是產生風險的優先順序清單，過程中應考量風險必須被完整識別、量化與質化的風險描述、按風險評估準則和與組織有關的目標以訂定優先順序等事項，輸入事項就是前面所提到的全景分析資料。
(一) 風險識別

每一個步驟的結果就是下一步驟的輸入，例如識別資產後產生了資產清單，資產清單再用來識別威脅，並產生威脅清單以成為下個步驟的輸入。

1. 識別資產
   識別範圍界線內的資產，目前比較好的做法是用流程來識別，從組織的業務面去看會與業務相關的流程，從流程中找出相關的資產。識別的項目應包含擁有者、位置、功能及特性。資產是對組織有價值的任何東西，資產識別應該在適合的細節層面進行，最終的清單應包含風險管理的資產清單，記載企業運作時與這些資產的相關事項。
   美國國家標準技術研究所(NIST)所提出的標準化方式，用以描述與識別企業內的應用程式、作業系統及硬體設備等資訊資產，建議各級單位於資產清點時使用Common Platform Enumeration(簡稱CPE)，格式主要分為三大類：作業系統(o)、應用程式(a)及硬體(h)；主要資訊：廠商名稱(vendor)、產品名稱(product)、產品版本(version)、產品更新(update)、產品版次(edition)、語系(language)，配合Common Vulnerabilities and Exposures(簡稱CVE)羅列各種資安弱點，並給予編號以便查閱， CVE目標為將所有已知弱點與資安風險的名稱標準化，俾利於各個弱點資料庫與安全工具之間發布資料，最後藉由National Vulnerability Database(簡稱NVD，為NIST所建置，是專門用來蒐集各種資通系統弱點資訊的資料庫網站)建立CPE與CVE對應關係，以解決弱點與資訊資產之對應關係，這種類型的資產清冊就可以快速地找到資產、威脅及弱點對應。
   一般資訊資產的分類方式如下表：