Пересмотр политики информационной безопасности предприятия (проводится периодически):

Затраты на поиск уязвимостей системы защиты информации.

Оплата работы специалистов, выполняющих работы по определению возможного ущерба и переоценке степени риска.