Pierwszym krokiem jest zdefiniowanie lub opracowanie architektury aplikacji i klasyfikacji danych związanych z każdą transakcją. Ten krok dotyczy sposobu działania aplikacji. Z reguły, jeśli kwestie bezpieczeństwa zostaną zdefiniowane pod kątem wpływu na biznes, łatwiej będzie omówić je z kierownictwem i łatwiej będzie zdefiniować wymagania dotyczące bezpieczeństwa. Zalecanym podejściem jest opracowanie diagramu transakcyjnego śledzenia przepływu, który śledzi transakcje i typy danych na różnych serwerach i sieciach. Powinien to być funkcjonalny i logiczny obraz tego, jak aplikacja będzie działać, czyli jak będą przebiegać transakcje, jakie systemy będą uczestniczyć w zarządzaniu transakcjami i gdzie te systemy będą wspierać cele biznesowe i łańcuch wartości produktu w organizacji. Należy zidentyfikować źródła danych i interfejsy danych, a przetwarzane informacje należy sklasyfikować. W ten sposób można przedstawić pełny przepływ transakcji.
Typowe punkty architektury warstwowej obejmują:
* Klienci. Mogą to być komputery PC, cienkie klienty (urządzenia, które korzystają ze współużytkowanych aplikacji z serwera i mają niewielką ilość pamięci), osobiste asystenty cyfrowe (PDA) i telefony obsługujące protokół aplikacji bezprzewodowych (WAP).
* Serwery. Mogą to być procesory WorldWideWeb, aplikacji, baz danych i oprogramowania pośredniego, a także serwery zaplecza i starsze systemy.
* Urządzenia sieciowe. Przełączniki, routery, zapory sieciowe, karty sieciowe, kodeki, modemy oraz wewnętrzne i zewnętrzne witryny hostingowe.
* Przestrzenie sieciowe. Strefy zdemilitaryzowane sieci (DMZ), intranety, ekstranety i Internet.
Na tym etapie procesu ważne jest, aby zidentyfikować krytyczność aplikacji dla firmy i nadrzędne kwestie związane z bezpieczeństwem: poufność transakcji, integralność transakcji lub dostępność transakcyjną. Zdefiniowanie tych kwestii bezpieczeństwa pomoże uzasadnić usługi bezpieczeństwa wybrane do ochrony systemu. Im dokładniej można opisać architekturę, tym dokładniej można chronić informacje za pomocą usług bezpieczeństwa.