Orienta quanto aos procedimentos a fim de evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e de quaisquer requisitos de segurança.

Um exemplo de vulnerabilidade que pode ser citado é o fato dos usuários demitidos não serem bloqueados nos sistemas de informação.

Os métodos proativos, que empregam testes de segurança do sistema, podem ser usados para identificar eficientemente as vulnerabilidades.

Nesta etapa são identificadas as vulnerabilidades do sistema que podem ser exploradas pelas potenciais fontes de ameaças.

Existem testes que podem auxiliar nesta tarefa, como por exemplo testes de invasão ativos (pentest).