薄弱点：是指资产或资产组中能被威胁利用的弱点。威胁是利用薄弱点而对资产或组织造成损害的。典型的薄弱点有：

□ 物理保护措施的缺乏或不适当：举例来说，门窗保护不当，可能因为盗窃危及到信息的保密性、完整性和可用性。

□ 密码的错误选择和应用：可能导致未经授权访问密码保护的系统中的信息，因此危及到信息的保密性、完整性和可用性。

□ 与外部网络的连接未被保护（例如：Internet）：以这种方法联接到其它网络，可能导致在系统中存储的和处理的信息保密性、完整性和可用性的丢失。

□ 文件存储未被保护：举例来说，可能被盗窃行为利用，因此导致保密性、可用性和完整性的丢失。

□ 缺乏安全培训：导致用户可能意识不到安全问题，危及到保密性、完整性和可用性。