ISO27001认证企业应对公司的信息资产进行梳理，并且根据以下几个方面进行风险识别

　　（a）识别ISMS范围内的信息资产及其责任人

　　对公司内的信息资产和重要信息资产进行整理，形成《信息资产统计表》；

　　根据统计结果，对信息资产进行审查，以确认没有被遗漏的信息资产

　　（b）根据《信息资产分类/分级指南》对信息资产进行分类分级

　　（c）识别信息资产所面临的威胁

　　（d）识别丧失保密性、完整性和可用性可能对信息资产造成的影响