本階段是涉密信息系統安全風險評估的重要環節，其主要內容包括以下幾種。

　　1、竊密威脅分析

　　（1）竊密對象的資產價值。

　　（2）秘密可能被接觸的范圍和頻率。

　　（3）潛在威脅源的竊密動機和竊密能力。

　　2、脆弱性分析

　　（1）制度缺陷

　　（2）管理缺陷

　　（3）技術缺陷（如設計、實現、實施等發面）。

　　（4）脆弱性被竊密者利用的難易程度。這一點是由多種因素綜合確定的，包括脆弱性的嚴重程度，是否存在可被利用的途徑等。

　　（5）脆弱性之間的相互影響關系。某些失、泄密渠道有可能成為其他泄密渠道產生的前提條件，或者使這些失泄密渠道被利用的可能性增加。因此，分析保密脆弱性時，必須考慮脆弱性之間的相互影響關系。這一點可通過事件樹或故障樹模型加以=分析。

　　3、已有安保措施下的失泄密影響分析

　　識別脆弱性的目的在于明確安保改進的對象和重點。脆弱性分析所采用的方法主要有問卷調查、人員問詢、工具掃描、手動檢查、文檔審查、滲透測試等。已有安保措施下的失泄密影響分析是明確在采取安保措施下失、泄密后可能造成的相對損失。