4) PA03評估安全風險

評估安全風險的目標是獲得對在一給定環(huán)境中運行該系統(tǒng)相關的安全風險的理解，并按照給定的方法論優(yōu)先考慮風險問題。由于風險環(huán)境要經(jīng)歷變化，因此必須對其進行定期監(jiān)視。本過程區(qū)域基本實施有6項：

◇BP.03.01選擇風險所依據(jù)的方法、技術和準則

◇BP.03.02識別威脅／脆弱性／影響三組合（暴露）

◇BP.03.03評估與每個暴露有關的風險

◇BP.03.04評估總體不確定性

◇BP.03.05風險優(yōu)先級排列

◇BP.03.06監(jiān)控風險的變化在BP.03.01項中，所選擇的方法可以是現(xiàn)有方法，也可以是一個經(jīng)過裁剪的方法，或者是針對系統(tǒng)運行方面和給定環(huán)境的特定方法。用于該風險評估的方法論應與所選的評估威脅、脆弱性和影響評估的方法論相銜接。

在BP.03.02項中，識別暴露的目的在于認識這些威脅和脆弱性的利害關系，進而識別出現(xiàn)威脅和脆弱性造成的影響。這些暴露將是在選擇系統(tǒng)保護措施中必須予以考慮的。

在BP.03.03項中，暴露是威脅和脆弱性的一種組合。許多情況下，特定的或一般化的影響力度或嚴重后果發(fā)生的可能性也必須作為考慮因素。但無論那種情況下，都會存在與度量標準相關的不確定性。更為有效的辦法是將不確定因素進行分離，使用的工作數(shù)據(jù)應該經(jīng)過了調整?？梢哉J為這些調整是這些數(shù)據(jù)的結果，還可以認為是這些數(shù)據(jù)相關聯(lián)的不確定性的結果。這樣做常?？赡苡绊懙教幚盹L險需要采納的策略。

在BP.03.04項中，總體風險不確定性是在BP.04.05“評估出現(xiàn)威脅事件的可能性”中已被標識的威脅、脆弱性和影響及其特征不確性的積累。

在BP.03.05項中，已經(jīng)被識別的風險應以組織的優(yōu)先級、風險出現(xiàn)的可能陛、資金等這些因素為依據(jù)進行排序。