本階段是涉密信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié)，其主要內(nèi)容包括以下幾種。

　　1、竊密威脅分析

　　（1）竊密對(duì)象的資產(chǎn)價(jià)值。

　　（2）秘密可能被接觸的范圍和頻率。

　　（3）潛在威脅源的竊密動(dòng)機(jī)和竊密能力。

　　2、脆弱性分析

　　（1）制度缺陷

　　（2）管理缺陷

　　（3）技術(shù)缺陷（如設(shè)計(jì)、實(shí)現(xiàn)、實(shí)施等發(fā)面）。

　　（4）脆弱性被竊密者利用的難易程度。這一點(diǎn)是由多種因素綜合確定的，包括脆弱性的嚴(yán)重程度，是否存在可被利用的途徑等。

　　（5）脆弱性之間的相互影響關(guān)系。某些失、泄密渠道有可能成為其他泄密渠道產(chǎn)生的前提條件，或者使這些失泄密渠道被利用的可能性增加。因此，分析保密脆弱性時(shí)，必須考慮脆弱性之間的相互影響關(guān)系。這一點(diǎn)可通過事件樹或故障樹模型加以=分析。

　　3、已有安保措施下的失泄密影響分析

　　識(shí)別脆弱性的目的在于明確安保改進(jìn)的對(duì)象和重點(diǎn)。脆弱性分析所采用的方法主要有問卷調(diào)查、人員問詢、工具掃描、手動(dòng)檢查、文檔審查、滲透測(cè)試等。已有安保措施下的失泄密影響分析是明確在采取安保措施下失、泄密后可能造成的相對(duì)損失。