3) PA02評估影響

評估影響的目的是識別對該系統(tǒng)有關(guān)的影響，并對發(fā)生影響的可能性進(jìn)行評估。評估影響要遵循成本和效益的平衡的原則。另外必須考慮意外事件發(fā)生的頻度。特別重要的是，即使每一次影響引起的損失并不大，但長期積累的眾多意外事件的影響總和則可造成嚴(yán)重?fù)p失。對影響的評估是評估風(fēng)險和選擇安全措施的要素。

由于影響要經(jīng)歷變化，必須定期進(jìn)行監(jiān)視。 本過程區(qū)域基本實施有6項：

◇BP.02.0l對運行、業(yè)務(wù)或任務(wù)指令進(jìn)行識別、分析和優(yōu)先級排列

◇BP.02.02識別系統(tǒng)資產(chǎn)

◇BP.02.03選擇用于評估影響的度量標(biāo)準(zhǔn)

◇BP.02.04標(biāo)識度量標(biāo)準(zhǔn)以及（若需要）度量標(biāo)準(zhǔn)轉(zhuǎn)換因子之間的關(guān)系

◇BP.02.05識別影響

◇BP02.06監(jiān)控影響中發(fā)生的變化

在BP.02.01項中，對運行、業(yè)務(wù)或任務(wù)指令進(jìn)行識別、分析和優(yōu)先級排列，也需要考慮對業(yè)務(wù)戰(zhàn)略的影響，因為這些因素會增加和降低組織可能遭受的影響。同時，它們也可能會影響在其它基本實施和過程區(qū)域中對風(fēng)險的順序。因此，當(dāng)在測試潛在影響時要對這些影響因素加以考慮和分解。例如，在對資產(chǎn)價值進(jìn)行評估時，資產(chǎn)的價值不能僅根據(jù)自身的價袼來進(jìn)行評判，對于具有相同價格的路由器，處在骨干路由關(guān)鍵節(jié)點位置和處在局域網(wǎng)內(nèi)部的某個位置，它們的價值是不同的，這里就加人了路由器所處位置對業(yè)務(wù)影響的因素。一般的，價值可以跟運行意義、密級、敏感性或與系統(tǒng)利用和計劃運行有關(guān)。有些資產(chǎn)是無形的或隱含的，它可根據(jù)合適的安全需求進(jìn)行定義。如資產(chǎn)可定義為用戶清單的保密性、協(xié)作辦公通信的可用性或資費信息的完整性。對它們價值的評估可以理解為對系統(tǒng)運行、人類生活、運行費用以及其它因素的影響，或在運行環(huán)境中可控功能受到損害、修改或不可用。

在BP.02.03項中，許多度量標(biāo)準(zhǔn)可用來測量事件的影響。例如：預(yù)算財務(wù)成本；依靠專家經(jīng)驗劃分嚴(yán)重程度等級，如從1到10；從預(yù)定義清單中有選擇地使用形容詞，例如低、 中、高等。針對不同的系統(tǒng)，需要預(yù)先確定哪種度量標(biāo)準(zhǔn)適合于此系統(tǒng)。

在BP.02.04項中，需要注意的是，不同度量標(biāo)準(zhǔn)之間的關(guān)系需要建立起來，以保證在整個影響評估中對所有風(fēng)險均保持一致性方法。在某些情況下，需要把各種度量標(biāo)準(zhǔn)方法組合起來，產(chǎn)生單一的統(tǒng)一結(jié)果。舉例說，若某風(fēng)險是隕石推毀一棟房屋，那么潛在的影響便是要花費800000元重建這棟房屋。另一種影響可能是6個月后再重建房屋。如果每月預(yù)算2000 元的租房費用，那么這兩種影響可以組合起來。其總影響便是812000元。