Para que una organización gestione su riesgo de la seguridad de la información correctamente, los administradores de la red o jefes de seguridad deben comprender cómo se recopila, procesa, almacena y transmite la información.
Para conocerse hacia adentro de la organización en este contexto, se requiere identificar qué activos de información son valiosos para la organización, categorizar y clasificar esos activos y comprender cómo están siendo protegidos actualmente.