4) PA03評估安全風險

評估安全風險的目標是獲得對在一給定環境中運行該系統相關的安全風險的理解，并按照給定的方法論優先考慮風險問題。由于風險環境要經歷變化，因此必須對其進行定期監視。本過程區域基本實施有6項：

◇BP.03.01選擇風險所依據的方法、技術和準則

◇BP.03.02識別威脅／脆弱性／影響三組合（暴露）

◇BP.03.03評估與每個暴露有關的風險

◇BP.03.04評估總體不確定性

◇BP.03.05風險優先級排列

◇BP.03.06監控風險的變化在BP.03.01項中，所選擇的方法可以是現有方法，也可以是一個經過裁剪的方法，或者是針對系統運行方面和給定環境的特定方法。用于該風險評估的方法論應與所選的評估威脅、脆弱性和影響評估的方法論相銜接。

在BP.03.02項中，識別暴露的目的在于認識這些威脅和脆弱性的利害關系，進而識別出現威脅和脆弱性造成的影響。這些暴露將是在選擇系統保護措施中必須予以考慮的。

在BP.03.03項中，暴露是威脅和脆弱性的一種組合。許多情況下，特定的或一般化的影響力度或嚴重后果發生的可能性也必須作為考慮因素。但無論那種情況下，都會存在與度量標準相關的不確定性。更為有效的辦法是將不確定因素進行分離，使用的工作數據應該經過了調整。可以認為這些調整是這些數據的結果，還可以認為是這些數據相關聯的不確定性的結果。這樣做常常可能影響到處理風險需要采納的策略。

在BP.03.04項中，總體風險不確定性是在BP.04.05“評估出現威脅事件的可能性”中已被標識的威脅、脆弱性和影響及其特征不確性的積累。

在BP.03.05項中，已經被識別的風險應以組織的優先級、風險出現的可能陛、資金等這些因素為依據進行排序。