정보자산에 대한 잠재적 및 알려진 ( A )과 ( B )으로 
나타날 수 있는 조직의 피해와 현재 구현된 통제의 
실패 가능성 및 영향을 평가 시 ( C ) 
(DOA)을 포함하여야 한다. 
이를 통해 정보자산의 위험을 관리할 수 있는 
적절한 정보보호대책 선택 및 우선순위의 
확보를 지원하여야 한다.