3) PA02評估影響

評估影響的目的是識別對該系統有關的影響，并對發生影響的可能性進行評估。評估影響要遵循成本和效益的平衡的原則。另外必須考慮意外事件發生的頻度。特別重要的是，即使每一次影響引起的損失并不大，但長期積累的眾多意外事件的影響總和則可造成嚴重損失。對影響的評估是評估風險和選擇安全措施的要素。

由于影響要經歷變化，必須定期進行監視。 本過程區域基本實施有6項：

◇BP.02.0l對運行、業務或任務指令進行識別、分析和優先級排列

◇BP.02.02識別系統資產

◇BP.02.03選擇用于評估影響的度量標準

◇BP.02.04標識度量標準以及（若需要）度量標準轉換因子之間的關系

◇BP.02.05識別影響

◇BP02.06監控影響中發生的變化

在BP.02.01項中，對運行、業務或任務指令進行識別、分析和優先級排列，也需要考慮對業務戰略的影響，因為這些因素會增加和降低組織可能遭受的影響。同時，它們也可能會影響在其它基本實施和過程區域中對風險的順序。因此，當在測試潛在影響時要對這些影響因素加以考慮和分解。例如，在對資產價值進行評估時，資產的價值不能僅根據自身的價袼來進行評判，對于具有相同價格的路由器，處在骨干路由關鍵節點位置和處在局域網內部的某個位置，它們的價值是不同的，這里就加人了路由器所處位置對業務影響的因素。一般的，價值可以跟運行意義、密級、敏感性或與系統利用和計劃運行有關。有些資產是無形的或隱含的，它可根據合適的安全需求進行定義。如資產可定義為用戶清單的保密性、協作辦公通信的可用性或資費信息的完整性。對它們價值的評估可以理解為對系統運行、人類生活、運行費用以及其它因素的影響，或在運行環境中可控功能受到損害、修改或不可用。

在BP.02.03項中，許多度量標準可用來測量事件的影響。例如：預算財務成本；依靠專家經驗劃分嚴重程度等級，如從1到10；從預定義清單中有選擇地使用形容詞，例如低、 中、高等。針對不同的系統，需要預先確定哪種度量標準適合于此系統。

在BP.02.04項中，需要注意的是，不同度量標準之間的關系需要建立起來，以保證在整個影響評估中對所有風險均保持一致性方法。在某些情況下，需要把各種度量標準方法組合起來，產生單一的統一結果。舉例說，若某風險是隕石推毀一棟房屋，那么潛在的影響便是要花費800000元重建這棟房屋。另一種影響可能是6個月后再重建房屋。如果每月預算2000 元的租房費用，那么這兩種影響可以組合起來。其總影響便是812000元。