ISO27001認證企業應對公司的信息資產進行梳理，并且根據以下幾個方面進行風險識別

　　（a）識別ISMS范圍內的信息資產及其責任人

　　對公司內的信息資產和重要信息資產進行整理，形成《信息資產統計表》；

　　根據統計結果，對信息資產進行審查，以確認沒有被遺漏的信息資產

　　（b）根據《信息資產分類/分級指南》對信息資產進行分類分級

　　（c）識別信息資產所面臨的威脅

　　（d）識別喪失保密性、完整性和可用性可能對信息資產造成的影響