情報資産を洗い出し、資産目録を作成する。 資産目録作成に際しては、その後のリスクアセスメントを考慮し、明確にすべき項目を確定する。 （例えば、情報の保管場所や、媒体の形態など） 資産の保有者を明確にする。 資産ごとの価値を評価する。 価値の評価は情報セキュリティの三要素であるC（機密性）・I（完全性）・A（可用性）が侵された場合の影響または被害の度合いから考える。

情報資産の洗い出しは、 標準装備のサンプルデータ を元に行う。

慣れていない人でも簡単に資産目録が作成可能。

決められたフォーマットに従って、各項目を明確にし、記載することで資産目録が完成。

資産目録に記載すべき項目も予めリスクアセスメントに必要な要件として確定されている。

資産価値の評価に必要な指針を元にC・I・Aごとに評価する。

予め用意された指針を利用するため、C・I・Aごとの価値判断が簡単かつ標準的に行える。