In diesem Schritt wird der Umfang des ISMS festgelegt und ein Projektteam gebildet. Eine Risikobewertung wird durchgeführt, um die Informations­sicherheits­risiken zu identifizieren.