'사이버보안 위험 평가' 규칙

1. 위협 모델에서 위험 및 통제 항목을 도출한다.

2. 완화 전/후 점수를 평가할 수 있는 방법을 제공한다.

3. 위험에 대한 수용 기준을 포함한다.

4. 안전 위험 평가로 이관하는 방법을 제공한다.

5. 발생 확률보다 공격 가능성(Exploitability) 에 초점을 맞춘다.

6. 알려진 취약점을 예견 가능한 위험으로 평가한다.

7. 취약점 평가 시 TPLC (Total Product Life Cycle) 를 고려한다.

8. 장치의 사이버 위험을 더 큰 시스템의 맥락에서 평가한다.

9. 주요 CISA KEV (Known Exploited Vulnerabilities) 취약점을 설계 단계에서 제거한다.

10. 최악의 상황을 가정하거나 공격 가능성에 대한 근거를 제시한다.

11. 보안 통제가 새로운 취약점을 초래하는지 확인한다.

의도적 및 비의도적 사이버 실패를 모두 고려한다.