脆弱性识别时的数据应来自于资产的所有者

脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。

脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面，前者与具体技术活动相关，后者与管理环境相关。

对不同的识别对象，其脆弱性识别的具体要求应参照相应的技术或管理标准实施。例如，对物理环境的脆弱性识别应按GB/T9361-2000中的技术指标实施；对操作系统、数据库应按GBl'7859-1999中的技术指标实施；对网络、系统、应用等信息技术安全性的脆弱性识别应按GB/Tl8336-2001中的技术指标实施；对管理脆弱性识别方面应按GB/T19716-2005 的要求对安全管理制度及其执行情况进行检查，发现管理脆弱性和不足。

4)信息安全风险

人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。

5)安全措施

保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制。

6)残余风险

采取了安全措施后，信息系统仍然可能存在的风险。