Mục đích của giai đoạn này là tiến hành nghiên cứu hệ thống an toàn (sau khi đã quyết định một mức chiến lược), chẳng hạn như phân tích những gì có thể xảy ra trong khi phát triển các hệ thống thông tin.
Việc nghiên cứu mang tính khả thi này bao gồm: đánh giá các rủi ro, ước lượng các chi phí thiết kế, phát triển các ứng dụng xác định nào và xác định quyền ưu tiên của chúng. Để đảm bảo được mục đích này, các phân tích cần quan tâm đến:
• Các rủi ro hệ thống (system risks): Đây là các đe doạ đáng kể nhất có thể xảy ra đối với một cơ sở dữ liệu, cần ước tính (đánh giá) các hình thức xâm phạm tương ứng và hậu quả của việc mất mát, thông qua các kỹ thuật phân tích rủi ro. Nói chung, các đe doạ điển hình (xảy ra trong các môi trường ứng dụng hoặc các tổ chức) là: đọc và sửa đổi trái phép dữ liệu, không cho phép (từ chối) người sử dụng hợp pháp truy nhập. Các hình thức tấn công phụ thuộc vào kiểu đe doạ. Ví dụ, chúng ta có thể phát hiện được việc đọc và sửa đổi trái phép dữ liệu, thông qua việc truy nhập vào khu vực lưu giữ vật lý, hoặc thông qua việc sử dụng không đúng đắn của các chương trình ứng dụng (ví dụ: con ngựa thành Tơroa), hoặc thông qua việc truy nhập vào các lược đồ dữ liệu.
• Các đặc trưng của môi trường cơ sở dữ liệu (features of database environment): Chúng ảnh hưởng đến các yêu cầu bảo vệ và các cơ chế liên quan. Ví dụ, các hệ thống bảo vệ đa mức phù hợp với môi trường quân sự, nhưng chưa chắc đã phù hợp với các môi trường thương mại, vì khó có thể định nghĩa các mức an toàn dữ liệu/người sử dụng trong đó.
• Khả năng ứng dụng của các sản phẩm an toàn hiện có (applicability of existing security products): Cần phải quan tâm đến tính tiện lợi khi chọn lựa giữa các sản phẩm thương mại hiện có sẵn và việc phát triển một hệ thống an toàn trộn ghép. Sự lựa chọn phụ thuộc vào loại hình, mức bảo vệ và khi nào thì an toàn được coi như là một đặc trưng vốn có của cơ sở dữ liệu, hay là một đặc trưng bổ sung.
• Khả năng tích hợp của các sản phẩm an toàn (Integrability of the security products): Đưa ra khả năng tích hợp các cơ chế an toàn với các cơ chế phần cứng và phần mềm thực tế.
• Hiệu năng đạt được của các hệ thống an toàn (performance of the resulting security system): Hiệu năng của các hệ thống an toàn cần được so sánh với các hệ thống thực tế, hoặc với các hệ thống mới, mà không cần bất kỳ các cơ chế và các kiểm soát an toàn nào.
Kết quả của các phân tích này là một tập hợp các đe doạ dễ xảy ra với một hệ thống, được sắp xếp theo quyền ưu tiên. Hơn nữa, chúng ta cần đánh giá khả năng áp dụng và tích hợp của các sản phẩm thương mại an toàn với các cơ chế hiện tại, có thể phát triển các cơ chế phi hình thức theo yêu cầu thông qua việc trộn ghép.
Giai đoạn tiếp theo của phương pháp luận được thực hiện hay không còn tuỳ thuộc vào các phân tích chi phí/lợi ích có mang lại một kết quả khả quan hay không.