情報セキュリティ対策をどの程度のレベルで行うのが適切かは、守るべき情報資産に関する経営者の判断になりますが、概念的には、リスクの大きさ(被害損失)とセキュリティ対策費用とのバランスで考えることになります。
総費用=対策費用+被害損失→最小
情報セキュリティ対策を全然行わないならば、対策費用はかかりませんが、被害に合う確率も高くなりその被害損失は大きくなります。逆に、万全の対策をすれば被害損失は低くなりますが、対策費用は極度に大きくなります。対策費用と被害損失の合計が最小になる点が最適対策水準であるとすればよいことになります(、このような曲線を作成することは、実際にはかなり困難です。あくまでも考え方を示すものです)。
対策手段を検討して、少ない費用で大きな効果を得られれば、最適対策水準を右側にシフトできます。
計画に関して評価・査定することをアセスメント(assessment)といいますが、このような検討を行い最適対策水準を求めること、右側にシフトする案を策定することをセキュリティアセスメントといいます。