2) PA05評估脆弱性

本過程區(qū)域包括分析系統(tǒng)資產(chǎn)、定義特殊的脆弱性以及提供對整個系統(tǒng)脆弱性的評估。 評估活動在系統(tǒng)生命期內(nèi)任何時間都可進(jìn)行，以支持在已知環(huán)境中對開發(fā)、維護(hù)和運行系統(tǒng)作出決策。由于脆弱性會發(fā)生變化，所以必須定期監(jiān)控。

本過程區(qū)域基本實施有5項：

◇BP.05.01選擇識別和描述系統(tǒng)脆弱性的方法、技術(shù)和標(biāo)準(zhǔn)

◇BP.05.02識別系統(tǒng)存在的脆弱性

◇BP.05.03收集與脆弱性特征有關(guān)的數(shù)據(jù)

◇BP.05.04對脆弱性進(jìn)行綜合分析，評判脆弱性或脆弱性組合可能帶來的危害

◇BP.05.05監(jiān)控脆弱性的變化
       在BP.05.01項中，脆弱性分析方法可以是現(xiàn)有的、經(jīng)裁剪的或者專門針對系統(tǒng)中特定運行方面和確定環(huán)境而制定的。它可以是定量的、定性的或者是定量定性綜合方法。需要注意的是，在整個評估期間，所選用的分析方法要求要統(tǒng)一，因為不同的分析方法，所產(chǎn)生的分析結(jié)果可能是不一致的，這樣會讓我們無法判別各個脆弱性之間的層次關(guān)系。

在BP.05.03項中，收集與脆弱性特征有關(guān)的數(shù)據(jù)，包括該脆弱性如果被威脅利用給資產(chǎn)帶來的危害；該脆弱性有沒有已經(jīng)發(fā)布的補丁或者解決方案，如果有，可以在哪里能夠安全得到，如果沒有，是否還有相關(guān)的解決措施，或者避免方式等。