Über die Bestandsaufahme von Infrastruktur, Applikationen und Personal ergibt sich die Sicht auf die Unternehmensprozesse. Darin enthalten sind IT-Basisdienste wie Active Directory, DMZ, ESX und auch die zur Verfügung gestellten IT-Services wie Fileservice, E-Mail, ERP-System.
Die unternehmensspezifischen Kernprozesse wie Logistik, Personal, Vertrieb, Produktion etc. werden erfasst und hinsichtlich ihrer Kritikalität bewertet und möglichen Ausfall-Szenarien gegenübergestellt. Wichtig ist auch das Erkennen von Kopf-Monopolen im Unternehmen.
Auf dieser Basis ergibt die Schwachstellenanalyse die Notwendigkeit von entsprechenden Maßnahmen, Richtlinienerstellungen, Etablierung eines ISMS usw.