На этапе анализа рисков определяется возможность понести убытки из-за нарушения режима информационной безопасности организации, детализируются характеристики (или составляющие) рисков для информационных ресурсов и технологий.Результаты анализа используются при выборе средств защиты, оценке эффективности существующих и проектируемых подсистем информационной безопасности.