本过程区域包括分析系统资产、定义特殊的脆弱性以及提供对整个系统脆弱性的评估。 评估活动在系统生命期内任何时间都可进行,以支持在已知环境中对开发、维护和运行系统作出决策。由于脆弱性会发生变化,所以必须定期监控。
