1. 위협 모델에서 위험 및 통제 항목을 도출한다. 2. 완화 전/후 점수를 평가할 수 있는 방법을 제공한다. 3. 위험에 대한 수용 기준을 포함한다. 4. 안전 위험 평가로 이관하는 방법을 제공한다. 5. 발생 확률보다 공격 가능성(Exploitability) 에 초점을 맞춘다. 6. 알려진 취약점을 예견 가능한 위험으로 평가한다. 7. 취약점 평가 시 TPLC (Total Product Life Cycle) 를 고려한다. 8. 장치의 사이버 위험을 더 큰 시스템의 맥락에서 평가한다. 9. 주요 CISA KEV (Known Exploited Vulnerabilities) 취약점을 설계 단계에서 제거한다. 10. 최악의 상황을 가정하거나 공격 가능성에 대한 근거를 제시한다. 11. 보안 통제가 새로운 취..