衡量威胁发生可能性主要依据其发生的频率，而资产价值、风险接受度和安全控制措施则与风险影响和缓解有关，不是衡量可能性的直接依据。