2) PA05評(píng)估脆弱性

本過(guò)程區(qū)域包括分析系統(tǒng)資產(chǎn)、定義特殊的脆弱性以及提供對(duì)整個(gè)系統(tǒng)脆弱性的評(píng)估。 評(píng)估活動(dòng)在系統(tǒng)生命期內(nèi)任何時(shí)間都可進(jìn)行，以支持在已知環(huán)境中對(duì)開(kāi)發(fā)、維護(hù)和運(yùn)行系統(tǒng)作出決策。由于脆弱性會(huì)發(fā)生變化，所以必須定期監(jiān)控。

本過(guò)程區(qū)域基本實(shí)施有5項(xiàng)：

◇BP.05.01選擇識(shí)別和描述系統(tǒng)脆弱性的方法、技術(shù)和標(biāo)準(zhǔn)

◇BP.05.02識(shí)別系統(tǒng)存在的脆弱性

◇BP.05.03收集與脆弱性特征有關(guān)的數(shù)據(jù)

◇BP.05.04對(duì)脆弱性進(jìn)行綜合分析，評(píng)判脆弱性或脆弱性組合可能帶來(lái)的危害

◇BP.05.05監(jiān)控脆弱性的變化
       在BP.05.01項(xiàng)中，脆弱性分析方法可以是現(xiàn)有的、經(jīng)裁剪的或者專門(mén)針對(duì)系統(tǒng)中特定運(yùn)行方面和確定環(huán)境而制定的。它可以是定量的、定性的或者是定量定性綜合方法。需要注意的是，在整個(gè)評(píng)估期間，所選用的分析方法要求要統(tǒng)一，因?yàn)椴煌姆治龇椒ǎa(chǎn)生的分析結(jié)果可能是不一致的，這樣會(huì)讓我們無(wú)法判別各個(gè)脆弱性之間的層次關(guān)系。

在BP.05.03項(xiàng)中，收集與脆弱性特征有關(guān)的數(shù)據(jù)，包括該脆弱性如果被威脅利用給資產(chǎn)帶來(lái)的危害；該脆弱性有沒(méi)有已經(jīng)發(fā)布的補(bǔ)丁或者解決方案，如果有，可以在哪里能夠安全得到，如果沒(méi)有，是否還有相關(guān)的解決措施，或者避免方式等。