Metrik Dampak
Metrik dampak menggambarkan dampak kerentanan yang berhasil dieksploitasi. Namun demikian, analis harus dapat menentukan batasan terhadap dampak akhir yang dapat dicapai oleh penyerang. Ketika mengidentifikasi nilai metrik dampak, perlu diperhitungkan dampak terhadap sistem yang rentan (vulnerable system impact) dan dampak diluar sistem yang rentan (subsequent system impact) yang ditentukan oleh dua hal yaitu dampak sistem rentan dan dampak selanjutnya yang muncul. Jika kerentanan tidak mempunyai dampak yang terjadi diluar sistem yang rentan, maka subsequent metric akan memiliki nilai NONE (N).
Metrik dampak terdiri atas beberapa kategori berikut.
Kerahasiaan / Confidentiality (VC/SC)
Metrik mengukur dampak kerahasiaan terhadap informasi karena keberhasilan eksploitasi kerentanan. Nilai dampak terhadap kerahasiaan ditunjukkan pada Tabel berikut.
Tabel. Metrik Dampak Kerahasiaan
| Nilai Metrik | Dampak pada Vulnerable System (VC) | Dampak pada Subsequent |
| High (H) | Semua informasi didalam sistem dapat diakses penyerang, atau akses terhadap informasi yang terbatas namun berdampak serius, misalnya kredensial sistem. |
Semua informasi didalam subsequent system dapat diakses penyerang, atau akses terhadap informasi yang terbatas namun berdampak serius, misalnya kredensial sistem. |
| Low (L) | Penyerang dapat mengakses terhadap informasi terbatas, namun tidak memiliki kendali atas informasi tersebut sehingga tidak berdampak serius atau tidak menimbulkan kerugian secara langsung terhadap sistem. |
Penyerang dapat mengakses terhadap informasi terbatas, namun tidak memiliki kendali atas informasi tersebut sehingga tidak berdampak serius atau tidak menimbulkan kerugian secara langsung terhadap subsequent system. |
| None (N) | Tidak terdapat informasi yang terungkap / hilang |
Tidak terdapat informasi yang terungkap / hilang pada subsequent system. |
Integritas / Integrity (VI/SI)
Ketersediaan / Availability (VA/SA)