Metrik Dampak
Metrik dampak menggambarkan dampak kerentanan yang berhasil dieksploitasi. Namun demikian, analis harus dapat menentukan batasan terhadap dampak akhir yang dapat dicapai oleh penyerang. Ketika mengidentifikasi nilai metrik dampak, perlu diperhitungkan dampak terhadap sistem yang rentan (vulnerable system impact) dan dampak diluar sistem yang rentan (subsequent system impact) yang ditentukan oleh dua hal yaitu dampak sistem rentan dan dampak selanjutnya yang muncul. Jika kerentanan tidak mempunyai dampak yang terjadi diluar sistem yang rentan, maka subsequent metric akan memiliki nilai NONE (N).
Metrik dampak terdiri atas beberapa kategori berikut.
Kerahasiaan / Confidentiality (VC/SC)
Metrik mengukur dampak kerahasiaan terhadap informasi karena keberhasilan eksploitasi kerentanan. Nilai dampak terhadap kerahasiaan ditunjukkan pada Tabel berikut.
Tabel. Metrik Dampak Kerahasiaan
| Nilai Metrik | Dampak pada Vulnerable System (VC) | Dampak pada Subsequent System (SC) |
| High (H) | ||
| Low (L) | ||
| None (N) |
Integritas / Integrity (VI/SI)
Ketersediaan / Availability (VA/SA)