Analiza el estado en el que se encuentra la organización: (CHUSI)
- Canales de comunicación
- Hardware
- Usuario
- Software
- Información
También debe tener en cuenta el marco legal y jurídico de la seguridad para ello utiliza las Políticas de la Organización, sus Objetivos y Alcances.
Alcances: Se debe estudiar hasta dónde llega la información más relevante para conocer sus vulnerabilidades por ejemplo: clientes, retiros de la empresa voluntarios o involuntarios, proveedores, etc. Para ello se establecen contratos de protección de confidencialidad, acuerdos de nivel de servicio (LSA), etc.