E' il processo di identificazione di vulnerabilità riscontrabili in computer, sistemi e reti, ma anche debolezze in policy e pratiche relative alla gestione e all'operatività degli stessi.

L'attività parte da una scansione con sistemi automatici e non, effettuata prevalentemente sulla sottorete interna e sulle apparecchiature connesse, con lo scopo di rilevare le vulnerabilità note, che possono essere a rischio di attacco, per determinare le procedure appropriate che si possono implementare per ridurre questo rischio.

Il vulnerability assessment segue comunemente alcuni passaggi:

•  catalogazione degli assets e delle risorse di un sistema

•  assegnazione di un valore quantificabile e di un livello di importanza alle risorse

•  identificazione delle vulnerabilità o delle potenziali minacce alla risorse

•  riduzione o eliminazione delle vulnerabilità più gravi per le risorse più esposte