說明

根據前一章，我們用弱掃工具取得各系統的弱點清單，上面的分數是Base分數，用商用軟體幫你填入更多參數，然而，許多環境因素工具是沒辦法幫你計算，因為他不知道這個服務是否重要、是否有對外、是否上面有機密資訊、是否也額外保護措施等等

方式

這些資訊在導入ISMS做風險評鑑時的"資訊資產清單"裡面，有(4)機密性、(5)完整性、(6)可用性以及風險值等資料，再加上對外服務清單(2)、有雙因子或登入管理系統(3)權限部分是可以緩解的，以及第4章收集情資是否已有Exploit(1)

基本分數 + (機密性 * 權重) + (完整性 * 權重) + (可用性 * 權重) + (服務重要性 * 權重) + (漏洞POC公開 * 權重) - (漏洞類性 mapping 既有控制防護)

接著當有這些資料後自動化計算就可行了，以Nessus來說可以匯出CSV或是API方式，Github也有很多匯入資料庫的專案
VulnWhisperer
https://github.com/HASecuritySolutions/VulnWhisperer

至於公式每個參數的比重是需要討論出來的，每個場域對於C.I.A的比重各有不同。

結論

將這些資料加入可以做為是否掃描的依據，有些弱點資產在內網可以適度調降風險，然而對外的就要調高風險，衡量既有人力資源，分配在修補重要的資產上，視情況加速修補或者增加修補到低威脅弱點，回覆了第二章的問題"低風險就不需要處理"。

將資源放在對的事情上，可避免什麼事情都做，結果都做不好的窘境。