應(yīng)對脆弱性嚴(yán)重程度進(jìn)行等級化處理,不同的等級分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。下表提供了脆弱性嚴(yán)重程度等級定義、賦值的一種參考。組織機(jī)構(gòu)可參考下表,制定自己的脆弱性嚴(yán)重程度分級準(zhǔn)則。
脆弱性識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者,以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。脆弱性識別所采用的方法主要有:問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。