2) PA05評估脆弱性

本過程區域包括分析系統資產、定義特殊的脆弱性以及提供對整個系統脆弱性的評估。 評估活動在系統生命期內任何時間都可進行，以支持在已知環境中對開發、維護和運行系統作出決策。由于脆弱性會發生變化，所以必須定期監控。

本過程區域基本實施有5項：

◇BP.05.01選擇識別和描述系統脆弱性的方法、技術和標準

◇BP.05.02識別系統存在的脆弱性

◇BP.05.03收集與脆弱性特征有關的數據

◇BP.05.04對脆弱性進行綜合分析，評判脆弱性或脆弱性組合可能帶來的危害

◇BP.05.05監控脆弱性的變化
       在BP.05.01項中，脆弱性分析方法可以是現有的、經裁剪的或者專門針對系統中特定運行方面和確定環境而制定的。它可以是定量的、定性的或者是定量定性綜合方法。需要注意的是，在整個評估期間，所選用的分析方法要求要統一，因為不同的分析方法，所產生的分析結果可能是不一致的，這樣會讓我們無法判別各個脆弱性之間的層次關系。

在BP.05.03項中，收集與脆弱性特征有關的數據，包括該脆弱性如果被威脅利用給資產帶來的危害；該脆弱性有沒有已經發布的補丁或者解決方案，如果有，可以在哪里能夠安全得到，如果沒有，是否還有相關的解決措施，或者避免方式等。