统，程序，设备中存在的漏洞或缺陷，比如结构设计问题或编
程漏洞；2操作性弱点：软件和系统在配置，操作，使用中的缺陷，包括人员在日常工作
中的不良习惯，审计或备份的缺乏；3管理性弱点：策略，程序，规章制度，人员意识，组织结构等方面的不足；识别弱点的途径包括审计报告，事件报告，安全复查报告，系统测试及评估报告，还可以利用专业机构发布的列表信息。当然，许多技术性和操作性弱点，可以借助自动化的漏洞扫描工具和渗透测试等方法来识别和评估。在对生命周期敏感的资产评估过程中，应注意从创建，使用，传输，存储，销毁等不同的阶段识别弱点。弱点的发现随着新应用新技术的出现需要不断更新完善弱点列表。
f313弱点赋值
信息资产弱点为IT设备自身存在的安全问题。在，弱点的严重性以暴露程度进行评价，即弱点被利用的难易程度，而弱点对资产安全影响的严重程度放在资产价值中去考虑，一个弱点可能导致多项不同价值资产的风险上升。参考业界的最佳实践，采用的等级划分如下：
将弱点严重性分为4个等级，分别是非常高（VH）、高（H）、中等（M）、低（L），并且从高到低分别赋值41。赋值标准参照下表。
赋值弱点等级
弱点赋值说明（弱点严重程度）
弱点很严重，可直接、轻易的被非法者利用，并对信息资产生
4
很高
产破坏
弱点严重，可利用直接，但需通过一定的攻击手段，可对信息
3
高
资产生产破坏
弱点严重一般，利用非常困难或不可利用，但通过与其它弱点
2
中
进行组合利用，可对信息资产生产破坏
1
低
弱点不严重，弱点不能利用，但会泄露有限的资产信息
32威胁分析
321概述
安全威胁是一种对系统、组织及其资产构成潜在破坏的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意因素和无意因素。环境因素包括自然界的不可抗力因素和其它物理因素。
322威胁来源分析
信息系统的安全威胁来源可考虑以下方面：威胁来源表
威胁来源
威胁来源描述
环境因素、意外事由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、
f故或故障
火灾、地震等环境条件和自然灾害；意外事故或由于软件、硬件、数据、通讯线路方面的故障。
无恶意内部人员
内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或被攻击；内部人员由于缺乏培训，专业技能不足不具备岗位技能要求而导致信息系统故障或被攻击。
恶意内部人员
不满的或r