应对脆弱性严重程度进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低。下表提供了脆弱性严重程度等级定义、赋值的一种参考。组织机构可参考下表,制定自己的脆弱性严重程度分级准则。
脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
