A primeira etapa da gestão de risco é a identificação e mapeamento das ameaças.

É correto afirmar que esse processo:

 

• é concluído apenas ao fim das etapas seguintes.

• deverá ser revisto, mas não ampliado; seu objetivo deve ser reduzir as ameaças e não aumentá-las.

• é realizado uma única vez; quando há necessidade de repeti-lo a análise completa deve ser reiniciada. 

• deverá ser revisto e ampliado, sempre que possível.

• não corresponde à primeira etapa da gestão de risco, mas à segunda - após a avaliação dos riscos.