PA04評估威脅

評估威脅過程區域的目的在于識別安全威肋圾其性質和特征。由于威脅可發生變化， 因此必須定期地對其進行監視，以保證由本過程區域所產生的安全理解始終得到維持。

本過程區域基本實施有6項：

◇BP.04.01識別由自然因素所引起的有關威脅

◇BP.04.02識別由人為因素所引起的有關威脅

◇BP.04.03制定評判威脅的測度單位

◇BP.04.04評估威脅源的動機和能力

◇BP.04.05評估威脅事件出現的可能性

◇BP.04.06監控威脅的變化
       這是需要注意的是BP.04.03項，即需要確定用什么指標來衡量威脅的高低。自然和人為威脅都有與之相關的測度單位，應根據具體情況，對可能在特定位置中出現的事件，建立測度范圍。比如說，“未授權訪問”是個威脅，那么它威脅的范圍，可以根據具體情況設定為一臺主機，一個VPN域，或一個業務區等作為它威脅的范圍測度單位，或者比如我們常說的十年一遇的冰災，百年一遇的洪水，十年，百年也可作為威脅的范圍測試單位。如果某一特定威脅不存在標準的測度單位，可以設立一個標準測度單位，并對標準單位進行描述。

在BP.04.04項中，我們主要根據攻擊者對系統有多大興趣，攻擊者擁有的知識、技俞邑、 工具和其它資源來評估威脅源的動力和能力。比如在IATF模型中，威脅被定為7級，第1級定義為“無意的或意外的事件”；第7級定義為“占有豐富程度資源的熟練的對手，愿意冒較大的風險