一个梦想着成为旅行家的年轻人，在这个茫茫的世界上还不曾真正旅行过，没有任何经验可以依靠，也不熟悉任何一条旅行路线，听取了年老的旅行家的建议，为了实现自己的梦想，历尽艰辛万苦，收集和整理了一份旅行地图和相关的人文地理资料，坚信会对他未来的旅行有着莫大的帮助。当他设计旅行路线的时候，准确的比例让他知道将要旅行的距离，丰富的人文地理资料让他提前做出必要的准备------不管计划是否幼稚或者错误百出，以后的旅行会给他纠正错误的机会，至少我们的年轻人制定了一个有根据的计划，可以在旅行中加以检验。
当我们的年轻人已经历经风霜，经验丰富的时候，他已经不需要依靠地图了，他在心里用高高的山岳、热闹的城镇和破旧颠簸的马车印下了自己的地图，这个地图由一条条的旅行路线组成，路上布满了他的梦想和艰辛。可是现在这老旧的地图对他来说更重要了，因为旅行家将历次旅行的征途用线条标在了地图上，日记里还负有更多地说明和补充，已经残破的地图上凝聚着他旅行的全部心血。
我们现在就效法年轻的旅行家，着手进行资产评估，为我们自己准备好旅行地图------企业信息资产图，让我们未来的旅行平坦一些。
首先，我们为自己界定一个范围，这个范围足够小，使得我们容易搞明白这个范围内发生的任何问题，不至于由于界定不清或者范围过大，将杂七杂八的事情都扯进来，到头来一头乱麻，扯不清楚，因此，我选取的范围是企业的IT基础设施和上面运行的信息系统。因为显然的，漏洞、对漏洞的威胁以及相关的补丁都是在这个范围内起作用。
这里IT基础设施是指企业网络拓扑以及实现这个拓扑的交换机、路由器等网络设施，任何一个企业信息网络都需要IT基础设施作为支撑。在这个IT基础设施上，存在着各种企业应用，它们有的重要一些，有的不那么重要，在各种业务流程中担当某种角色，企业网络上的不同用户群体利用这些应用完成自己的工作。
其次，我们不想将事情搞得很复杂，在这个范围内，依照补丁管理这个单纯的目的，从技术角度进行资产评估。选取这样一个单纯的角度，一方面是因为我们可以撇开人的问题、管理的问题、法律问题、公众影响等等烦人的问题不考虑，容易得出清晰的印象，另一方面，我们希望评估的结果产生的是企业信息资产图以及相关的资讯，一些纯粹的技术信息，与那些东西毫不相干，因此，选取这样一个角度应该是合适的，也大大简化了我们评估的难度。

第三，我们知道地图是以一个非常直观和简便的2维平面作为基础，然后在上面按比例仔细标出山川、河流、城市和道路等重要的地理信息的图形。我们效法这个办法，也要先为企业资产信息图找出一个直观和简便的绘制基础，然后在上面标出关键的安全要素，来完成这个图形。
我们已经知道，企业的一切信息系统都依赖IT基础设施，并且一切信息系统在网络上最直观地反映是逻辑结构和数据流，这样，我们就找到了需要的基础------反映企业IT基础架构的企业网络逻辑结构图，使用这个有几个好处：
1． IT基础架构是企业信息网络的基础，通常具有架构清晰，设备数量少而简单，结构相对稳定的特点，其逻辑图也具备同样的特点，
2． 由于任何信息系统都不能够超出IT基础架构的范围，那么，任何信息系统都可以在逻辑图上用关键设备坐标和数据流示意表示出来，
3． 网络中各种重要要素，例如：服务器、用户群等，很容易在逻辑图上面标示出来，
4． 逻辑图到实际网络部署图之间通常有对应关系，操作方便，
5． 运行在基础设施上的各种应用及业务流易于在上面标示出来。
所以，我们选取它作为基础。有了基础后，接下来应该找出适合我们目标的要素，将要素在图形上标示出来。
我们知道企业最终关心的不是什么补丁管理，而是运行在网络上的业务不要受到干扰。补丁管理只是面对安全威胁保障这一目的的手段而已，所以，我们就抓住企业网络上的业务流这个关键，从补丁管理的角度出发，分析漏洞及其威胁是通过那些关键因素起作用，从而干扰业务流的。