4) PA03評(píng)估安全風(fēng)險(xiǎn)

評(píng)估安全風(fēng)險(xiǎn)的目標(biāo)是獲得對(duì)在一給定環(huán)境中運(yùn)行該系統(tǒng)相關(guān)的安全風(fēng)險(xiǎn)的理解，并按照給定的方法論優(yōu)先考慮風(fēng)險(xiǎn)問(wèn)題。由于風(fēng)險(xiǎn)環(huán)境要經(jīng)歷變化，因此必須對(duì)其進(jìn)行定期監(jiān)視。本過(guò)程區(qū)域基本實(shí)施有6項(xiàng)：

◇BP.03.01選擇風(fēng)險(xiǎn)所依據(jù)的方法、技術(shù)和準(zhǔn)則

◇BP.03.02識(shí)別威脅／脆弱性／影響三組合（暴露）

◇BP.03.03評(píng)估與每個(gè)暴露有關(guān)的風(fēng)險(xiǎn)

◇BP.03.04評(píng)估總體不確定性

◇BP.03.05風(fēng)險(xiǎn)優(yōu)先級(jí)排列

◇BP.03.06監(jiān)控風(fēng)險(xiǎn)的變化在BP.03.01項(xiàng)中，所選擇的方法可以是現(xiàn)有方法，也可以是一個(gè)經(jīng)過(guò)裁剪的方法，或者是針對(duì)系統(tǒng)運(yùn)行方面和給定環(huán)境的特定方法。用于該風(fēng)險(xiǎn)評(píng)估的方法論應(yīng)與所選的評(píng)估威脅、脆弱性和影響評(píng)估的方法論相銜接。

在BP.03.02項(xiàng)中，識(shí)別暴露的目的在于認(rèn)識(shí)這些威脅和脆弱性的利害關(guān)系，進(jìn)而識(shí)別出現(xiàn)威脅和脆弱性造成的影響。這些暴露將是在選擇系統(tǒng)保護(hù)措施中必須予以考慮的。

在BP.03.03項(xiàng)中，暴露是威脅和脆弱性的一種組合。許多情況下，特定的或一般化的影響力度或嚴(yán)重后果發(fā)生的可能性也必須作為考慮因素。但無(wú)論那種情況下，都會(huì)存在與度量標(biāo)準(zhǔn)相關(guān)的不確定性。更為有效的辦法是將不確定因素進(jìn)行分離，使用的工作數(shù)據(jù)應(yīng)該經(jīng)過(guò)了調(diào)整。可以認(rèn)為這些調(diào)整是這些數(shù)據(jù)的結(jié)果，還可以認(rèn)為是這些數(shù)據(jù)相關(guān)聯(lián)的不確定性的結(jié)果。這樣做常常可能影響到處理風(fēng)險(xiǎn)需要采納的策略。

在BP.03.04項(xiàng)中，總體風(fēng)險(xiǎn)不確定性是在BP.04.05“評(píng)估出現(xiàn)威脅事件的可能性”中已被標(biāo)識(shí)的威脅、脆弱性和影響及其特征不確性的積累。

在BP.03.05項(xiàng)中，已經(jīng)被識(shí)別的風(fēng)險(xiǎn)應(yīng)以組織的優(yōu)先級(jí)、風(fēng)險(xiǎn)出現(xiàn)的可能陛、資金等這些因素為依據(jù)進(jìn)行排序。