只要一个机构遵循了在第2章中略述的有关SecSDLC,以及第7和第8章描述的风险管理过程,它就已经能够识别自己所面对的风险并能够为风险划BIA先级别。这些机构只需要更新威胁列表和加入攻击简报的信息,就可以进行BIA。
