脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來(lái)自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。脆弱性識(shí)別所采用的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。

脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問(wèn)題。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。

對(duì)不同的識(shí)別對(duì)象，其脆弱性識(shí)別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)實(shí)施。例如，對(duì)物理環(huán)境的脆弱性識(shí)別應(yīng)按GB/T9361-2000中的技術(shù)指標(biāo)實(shí)施；對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)應(yīng)按GBl'7859-1999中的技術(shù)指標(biāo)實(shí)施；對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等信息技術(shù)安全性的脆弱性識(shí)別應(yīng)按GB/Tl8336-2001中的技術(shù)指標(biāo)實(shí)施；對(duì)管理脆弱性識(shí)別方面應(yīng)按GB/T19716-2005 的要求對(duì)安全管理制度及其執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)管理脆弱性和不足。

4)信息安全風(fēng)險(xiǎn)

人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。

5)安全措施

保護(hù)資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制。

6)殘余風(fēng)險(xiǎn)

采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。