Ein funktionierendes Risikomanagementsystem geht damit einher, dass Risiken für eine Organisation analysiert und bewertet werden können. Bevor eine solche Analyse vorgenommen werden kann, sollte eine detaillierte Übersicht darüber vorhanden sein, wie die Organisation aufgebaut ist. Zu diesem Zweck wird die Strukturanalyse durchgeführt. Die Strukturanalyse soll verdeutlichen, welche Objekte das Unternehmen besitzt, die geschützt werden müssen. Darunter fallen auch Gebäude, Räume, Geschäftsprozesse, Geräte, Anlagen, Anwendungen sowie IT-Systeme. Ein Netzplan, der die Abläufe und die damit zusammenhängenden Abhängigkeiten von Anwendungen zum IT-System erfasst, verdeutlicht den Umfang und den Maßstab, in dem das Unternehmen seine Infrastrukturen betrachten und auf Risiken prüfen soll. Machen Sie es sich zum Ziel eine Liste aller Zielobjekte zu erstellen, die über Schutzbedarf verfügen. Kennen Sie Ihre IT, Ihre Anwendungen, aber auch wie die Systeme, Anwendungen und Arbeitsprozesse miteinander verflochten sind. Darüber hinaus sollten Sie sowohl Ihre Kommunikationswege kennen als auch darüber informiert sein, wo sich Ihre zu schützenden Daten und Informationen befinden.