どんな問題を想定すればよいか?それを把握するためには自組織または自部門の業務において何が問題でどのような脆弱性が存在するのかを明らかにする必要がある。一般論として想定されるセキュリティの問題には次のようなものがある。
【1】セキュリティ違反
【2】法規
【3】事件・事故および障害
【4】誤用
【5】認可されていない変更
【6】認可されていないアクセス
【7】悪意のあるソフトウェア
【8】不正な情報
【9】組織間で交換される情報およびソフトウェアのセキュリティ
【10】暗号管理策の欠如または不適切な使用
【11】モバイルコンピューティングおよび遠隔作業
【12】利用者の誤り
【13】物理的セキュリティ
【14】事業継続性
実際には自組織または自部門に関係するものだけ想定すればよい。たとえば、モバイルコンピューティングがなければ、モバイルコンピューティングにおける問題を想定する必要はない。過剰な問題の想定は真の問題を見えにくくする傾向があるので注意する必要がある。