IT ინფრასტრუქტურის უსაფრთხოების შესწავლა იწყება შეღწევადობის ტესტირებით და შესაბამის თანამშრომლებთან ინტერვიუებით. ამ პროცესის შედეგად შემფასებლები წარმოდგენას იქმნიან ორგანიზაციის მეთოდებზე, სტრუქტურაზე, ქსელის ტოპოლოგიასა და ქსელის/უსაფრთხოების კონფიგურაციაზე. შემდგომი უფრო ღრმა შესწავლა ფოკუსირებულია შემდეგ ძირითად საკითხებზე:
- კომპანიის ბიზნეს-არქიტექტურა;
- ბიზნეს პროცესები;
- ინფორმაციული უსაფრთხოების პოლიტიკები, პროცედურები და პრაქტიკა.
ამ საკითხების შესწავლა საშუალებას მოგვცემს გავარკვიოთ რა დონეზე პასუხობს ეს კომპონენტები შემდეგ საკითხებს:
- განსაზღვრავს უსაფრთხოებასა და რეგულაციებთან შესაბამისობაზე გავლენის მქონე მთავარ ფაქტორებს;
- უზრუნველყოფს რეგულაციებთან შესაბამისობის, მათი განხორციელების და კონტროლის ეფექტურ მექანიზმებს;
- შეესაბამება დადგენილ საერთაშორისო სტანდარტებს;
- აწესებს ნათელ და სრულ სამოქმედო პრინციპებს;
- განსაზღვრავს და შესაბამის პირებამდე მიაქვს როლები, მოვალეობები, იერარქია და კრიტიკულ სისტემებთან შეხების მქონე ყველა პირისა და ორგანიზაციის პასუხისმგებლობა;
- განსაზღვრავს სერვერული/ქსელური ინფრასტრუქტურის სწორ კონფიგურაციას;
საუკეთესო გამოცდილების ცოდნის ბაზა გამოყენებული იქნება რათა განისაზღვროს კომპონენტები, სადაც ხდება სისტემების აცდენა სასურველი მიზნისაგან და მოხდეს მათი ორგანიზება მაღალი, საშუალო და დაბალი ღირებულების მქონეებად. ეს განსაზღვრება დაედება საფუძვლად აღმოჩენილი ხარვეზების კლასიფიკაციას მაღალი, საშუალო და დაბალი რისკის პრობლემებად. მაღალი რისკი დაბალი ღირებულების მქონე სისტემაში უნდა გამოცალკევდეს მაღალი ღირებულების მქონე სისტემის მაღალი რისკისაგან. ეს საშუალებას მისცემს ორგანიზაციას მოახდინოს აღმოსაფხვრელი ხარვეზების რანჟირება და მათი თანმიმდევრული გადაჭრა.
