ist ein Prozess, der die bestehenden Sicherheitsrisiken identifiziert, ihre Größenordnung bestimmt und die Bereiche festlegt, die Sicherheitsmaßnahmen erfordern. Zu berücksichtigen sind hierbei ggf. die IT-Sicherheitsrichtlinie und das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI). (Dieser Prozess wird im BSI-Standard 200-3 auch "Risikoanalyse" und im Kontext der DSGVO "Datenschutzfolgeabschätzung" genannt.)