L'impact du projet sur les risques de sécurité de l'information et leur traitement est évalué dès le début du projet.
Nouvelles exigences de sécurité du fait de nouvelles fonctions
Nouvelles classes d'information
Nouveaux scénarios pouvant conduire à la réalisation d'un événement redouté
L'avancement du traitement des risques est évalué, son efficacité en fin de projet évaluée.
Les risques temporaires liés à l'exécution du projet (communication, attribution de droits, déploiement, données de test, formation des utilisateurs, etc.) sont également pris en compte.