Die Beurteilung von Gefahren und Bedrohungen für ein Unternehmen oder eine Organisation findet in drei Schritten statt. Zuerst muss die Gefahr oder Bedrohung identifiziert werden, anschließend erfolgt die Analyse, bevor letztendlich Eintrittswahrscheinlichkeit und Schadensausmaß bewertet werden.