Forståelsen af egne informationsaktivers forretningsmæssige betydning kan opnås igennem en overordnet vurdering af, hvordan risikobilledet i forhold til informationsaktiver er påvirket af:
- Typen af organisationsudøvelse (politikudvikling, retsdannelse, afgørelse af sager, ”faktisk forvaltning”)
- Organisationens formål og mål
- Organisationens opbygning
- Den geografiske placering
- Teknologianvendelsen.
Et andet væsentligt element er omverdenen:
Hvem er organisationens væsentligste interessenter? Og hvilke af disse kan have en interesse i, hvordan organisationen beskytter sine informationsaktiver? Er der deciderede krav til tilgængelighed, fortrolighed eller integritet af data?
Eksempler på interessenter, der kan have en sådan interesse er:
- Borgere, der har overladt (personlige) oplysninger til organisationen
- Politiske aktører, der medvirker i det lovforberedende arbejde
- Andre organisationer, med hvem der udveksles oplysninger
- Leverandører, der behandler oplysninger på vegne af organisationen
Endelig skal scoopet fastlægges for styringen af informationssikkerheden:
- Er hele ministerområdet omfattet af alle dele af ISMS’et, eller differentieres der fx på forretnings- eller organisationsområder?
- Er alle geografiske lokationer omfattet?