脆弱性識別時的數據應來自于資產的所有者、使用者，以及相關業務領域和軟硬件方面的專業人員等。脆弱性識別所采用的方法主要有：問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。

脆弱性識別主要從技術和管理兩個方面進行，技術脆弱性涉及物理層、網絡層、系統層、應用層等各個層面的安全問題。管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩方面，前者與具體技術活動相關，后者與管理環境相關。

對不同的識別對象，其脆弱性識別的具體要求應參照相應的技術或管理標準實施。例如，對物理環境的脆弱性識別應按GB/T9361-2000中的技術指標實施；對操作系統、數據庫應按GBl'7859-1999中的技術指標實施；對網絡、系統、應用等信息技術安全性的脆弱性識別應按GB/Tl8336-2001中的技術指標實施；對管理脆弱性識別方面應按GB/T19716-2005 的要求對安全管理制度及其執行情況進行檢查，發現管理脆弱性和不足。

4)信息安全風險

人為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響。

5)安全措施

保護資產、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規程和機制。

6)殘余風險

采取了安全措施后，信息系統仍然可能存在的風險。