Pažeidžiamumas – tai informacinės sistemos, tinklo, programinės įrangos spraga ar kito organizacijos turto silpnoji vieta, dėl kurios organizacijai kyla grėsmė.
Pažeidžiamumų vertinimo (Vulnerability Scanning) metu nustatoma pažeidžiamumų svarba, tikimybė ir potencialus poveikis.
Pažeidžiamumo vertinimo proceso etapai:
- Pažeidžiamumo kritiškumo vertinimas – identifikavus pažeidžiamumus skirstome juos į kategorijas: kritinius, didelius, vidutinius, mažus ir informacinius;
- Tikimybės įvertinimas – nustatoma, ar tikėtina (įvertinant ir laikotarpį), kad konkrečią spragą išnaudos grėsmės šaltinis;
- Poveikio vertinimas – atliekamas atsižvelgiant į finansines, operacines ir reputacijos pasekmes organizacijai, jei pažeidžiamumas bus išnaudotas.
- Prioriteto nustatymas – remiasi kritiškumo, tikimybės bei poveikio įvertinimo rezultatais.