Ausgangspunkt von Verbesserungen ist immer die Kenntnis des IST-Zustandes. Um diese Kenntnis zu erlangen sehen Informationssicherheitsstandards verschiedene Analysen vor.

Die Strukturanalyse dokumentiert den Informationsverbund - beispielsweise die Zusammenhänge zwischen Geschäftsprozessen, Anwendungen, Hard- und Softwareassets, Räumen und Personen. Die Schutzbedarfsanalyse definiert das angestrebte Niveau hinsichtlich der Sicherheitsziele für verschiedene Elemente der Strukturanalyse.

Die Risikoanalyse setzt die identifizierten Risiken mit den gegen diese Risiken wirkenden Maßnahmen in Beziehung und dokumentiert die Rest-Risiken.