Es decir, hay que estimar qué valor tienen para la organización, cuál es su importancia para la misma. Para calcular este valor, se considera cual puede ser el daño que puede suponer para la organización que un activo resulte dañado en cuanto a su disponibilidad, integridad y confidencialidad.
Esta valoración se hará de acuerdo con una escala que puede ser cuantitativa (valor económico del activo) o cualitativa (se establece de acuerdo a una escala). Ejemplo: bajo, medio, alto o bien un rango numérico, por ejemplo de 0 a 10 con independencia de la escala utilizada, los aspectos a considerar pueden ser los daños como resultado de:
- Violación de legislación aplicable.
- Reducción del rendimiento de la actividad.
- Efecto negativo en la reputación.
- Pérdidas económicas.
- Trastornos en el negocio. La valoración debe ser lo más objetiva posible, por lo que en el proceso deben estar involucradas todas las áreas de la organización, aunque no participen en otras partes del proyecto y de esta manera obtener una imagen realista de los activos de la organización.
La entrevista y la encuesta es la forma de valoración más utilizada, ya que en ambos casos, se debe seleccionar un grupo significativo de personas entre el personal de la empresa. Estas personas deben representar a todas las áreas de alcance del Sistema de Gestión de la Seguridad de Información, así como tener roles diferentes.