脆弱性識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。脆弱性識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。

脆弱性識別主要從技術(shù)和管理兩個方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。

對不同的識別對象，其脆弱性識別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)實施。例如，對物理環(huán)境的脆弱性識別應(yīng)按GB/T9361-2000中的技術(shù)指標(biāo)實施；對操作系統(tǒng)、數(shù)據(jù)庫應(yīng)按GBl'7859-1999中的技術(shù)指標(biāo)實施；對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等信息技術(shù)安全性的脆弱性識別應(yīng)按GB/Tl8336-2001中的技術(shù)指標(biāo)實施；對管理脆弱性識別方面應(yīng)按GB/T19716-2005 的要求對安全管理制度及其執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)管理脆弱性和不足。

4)信息安全風(fēng)險

人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。

5)安全措施

保護(hù)資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規(guī)程和機(jī)制。

6)殘余風(fēng)險

采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險。