Il Vulnerability assessment permette di effettuare una valutazione dei meccanismi di sicurezza implementati su reti, macchine o applicazioni aziendali, con l'obiettivo di rilevare eventuali carenze di protezione rispetto ad elenchi di vulnerabilità tecnologiche note (es. CERT). Gli assessment vengono condotti tramite l'utilizzo di prodotti specifici ad elevata affidabilità che garantiscano una profondità di rilevazione ed una granularità di scansione completamente configurabile sulle esigenze del sistema informatico oggetto dell'assessment.

Al termine dell'attività, vengono prodotti i seguenti documenti:

Report generati dal prodotto di rilevazione
Documento "Relazione sul Vulnerability Assessment"
I report sono costituiti dagli elenchi delle vulnerabilità rilevate organizzate in formati differenti per fornire risultati leggibili sia al management che al settore tecnico.
Il documento è strutturato come segue:


1. Rilevazione dello scenario
2. Descrizione dell'oggetto della valutazione
3. Modalità di esecuzione dell'assessment
4. Riferimenti utilizzati per la valutazione
5. Elenco delle vulnerabilità riscontrate
6. Suggerimenti ed indicazioni di contromisure tecnologiche, organizzative e      procedurali da adottare per correggere le vulnerabilità

Ad ulteriore sostegno di una maggiore comprensione dei risultati ottenuti e come ulteriore verifica degli stessi può essere condotta una prova di penetration test che consiste nell'esecuzione manuale di attacchi tesi a confermare le vulnerabilità più significative tra quelle rilevate.
L'esito di tale prova viene eventualmente aggiunto al documento "Rilevazione sul Vulnerability Assessment" sotto forma di Appendice.