Analyse de risque §164.308(a)(1)(ii)(A)
L'artefact fondateur que l'OCR demande en premier. Inventaire des actifs, appariement menaces/vulnérabilités, scoring vraisemblance/impact selon le NIST SP 800-30, décisions de risque résiduel signées par le Security Official, et un plan de remédiation suivi et rafraîchi au moins une fois par an.



