就目前的ISMS来说，RISK ASSESSMENT是第一步也是最重要的一步，但就目前来说，关于威胁和脆弱性的识别还是有很大的局限性的。威胁和脆弱性从理论上来说只能无穷列举并且时时更新，现就目前我个人的一些经验来做个总结，欢迎大家多扔板砖。
威胁可包括：
a) 人员威胁：故意破坏或无意失误；
b) 系统威胁：系统、网络或服务出现的故障；
c) 环境威胁：电源故障、污染、液体泄漏、火灾等；
d) 自然威胁：洪水、飓风、地震、雷电等。

脆弱性的来源可包括：
a) 物理脆弱性：组织的物理布局中存在的漏洞或缺陷；
b) 技术脆弱性：系统、程序、设备中存在的漏洞或缺陷；
c) 管理脆弱性：安全策略、规章制度、人员意识、组织结构等方面存在的不足。

ISMS威胁和脆弱性列表
类别 威胁 脆弱性
自然威胁 地震 处于地震易发地带；建筑物缺乏防震功能。
飓风 处于飓风易发地带；建筑物缺乏必要的防范功 能。
火山
洪水
海啸
泥石流
暴风雪
雪崩
雷电
其他
环境威胁 火灾
战争
重大疫情
恐怖主义（炸弹、绑架、勒索）
爆炸
供电故障（包括供电波动） 设备易受电压变化的影响；不稳定的高压输电网络；缺少供电保护设施（如稳压装置）；缺少备用发电机或UPS电源。
供水故障
及其他公共设施中断
危险物质泄漏
交通工具碰撞：火车，汽车、轮船和飞机
其他等
系统威胁 系统故障
网络故障
硬件故障
软件故障
服务提供不及时
恶意代码
其他
人员威胁 未授权访问
未授权修改或删除
信息滥用
员工破坏（心怀不满的雇员）
盗窃 对于建筑、门和窗缺乏物理保护；未被保护的储藏库
黑客
商业间谍
故意破坏 对建筑、房屋和办公室物理访问控制的不充分或倏忽
维护错误 缺乏维护程序或维护指导
操作错误 缺乏操作程序或操作指导
罢工
存储媒体的老化 缺乏定期更新计划
存储媒体的磁化 存储媒体的设备缺乏必要的防磁功能
空气中的颗粒或灰尘 设备缺乏必要的防护措施
极端温度或湿度 设备对温度变化敏感或缺乏空调设施

呵呵，排版有点乱，大家还有没有补充的啊？越多越好啊！

我的邮箱是:aap8214@163.com
给小弟发一份吧, 先谢了!!

已发，注意查收

请您也给我发一份可以吗
我的邮箱是wangdircpu@china.com.cn

请您也给我发一份可以吗
我的邮箱是wangdircpu@china.com.cn

文件已收到 ,非常 感谢你---易水寒江雪；
小弟这厢有礼了！！！

给我CC一份吧
saburina@sina.com
saburina@163.com

呵呵，客气了！

威胁是与环境相关的，可以参考ITBPM，不光有威胁的分类，而且有相应的控制。
http://www.bsi.bund.de/

我也要：liyangljw@yahoo.com.cn谢谢！

我也要：liyangljw@yahoo.com.cn谢谢！

thanks very much.

呵呵，其实我现在很多的东西还没有想好呢，所以只能是在这里和大家进行更多的探讨。现有的威胁及脆弱点的评估资料呢很多主要是针对IT系统而言，个人认为并不完善。等基本整理完成之后再来抛砖引玉。