7.4 評估威脅

7.4.1　基本要求

應標識安全威脅及其性質和特征，對系統安全的威脅進行標識和特征化；應定期地對威脅進行監視，以保證由本要求項所產生的安全理解始終得到維持。

7.4.2　標識自然威脅

標識由自然原因引起的相應威脅。

7.4.3　標識人為威脅

標識由人為偶然原因引起的威脅與故意行為引起的威脅。

7.4.4　標識威脅的測量尺度

7.4.4.1　

對可能在特定位置中出現的預料事件，應根據具體情況建立最大和最小測量單位范圍。

7.4.4.2　

標識特定環境中相應的測量尺度和適用范圍。

7.4.5　評估威脅影響的效果

7.4.5.1　

確定對系統進行成功攻擊的黑客潛在的能力。

7.4.5.2　

評估由人為原因引起的威脅影響的動因和結果。

7.4.6　評估威脅的可能性

對威脅事件如何發生的可能性進行評估，評估出現威脅事件的可能性。

7.4.7　監視威脅及其特征

7.4.7.1　

有規律地對現有威脅及其特征進行監視，并檢查新的威脅；本條與7.7.2“定義協調目標”的一般化監視活動緊密相連。

7.4.7.2

監視威脅范圍中不斷的變化以及相應特征的變化。