Dalam terminologi umum Vulnerability Analysis  dianggap mirip dengan Vulnerability Assessment. Namun, saya merasa ada perbedaan kecil antara keduanya. Vulnerability Analysis  adalah bagian dari siklus Vulnerability Assessment.
Kita melakukan identifikasi, mengukur resiko dan memprioritaskan risiko. Analisis kerentanan menyelidiki kerentanan yang terdeteksi oleh alat Vulnerability Assesment.
Perlu dicatat bahwa analisis kerentanan adalah langkah opsional yang bergantung pada  kemampuan alat penilaian kerentanan, lingkungan pemindaian, analisis mendalam,  dan seterusnya. Investigasi kerentanan harus dilakukan dengan mempertimbangkan semua faktor ini.
Setelah Anda mendapatkan laporan hasil pemindaian dari pemindai kerentanan seperti misalnya Nessus, Anda dapat melakukan tinjauan terperinci dari setiap kerentanan untuk memeriksa setidaknya bidang-bidang berikut:
- False Positif
- Risk Severity
- Aplicability Analysis
- Recommendation
False Positif
Kalau ada false positif, ini bisa di abaikan karena false positif adalah bukan menunjukkan kerentanan.
Risk Severity
Tingkat keparahan risiko adalah tingkat keparahan risiko yang terkait dengan setiap kerentanan, tergantung pada lingkungan dan sifat bisnis yang terkena. Tingkat keparahan risiko dapat bersifat kuantitatif atau kualitatif. Umumnya, lebih disukai, dan diakui oleh industri, untuk menggunakan risiko keparahan sebagai kualitatif.
Secara umum resiko dapat dikategorikan sebagai Critical, High, Medium, Low, dan Info. Beberapa organisasi mengkategorikan mereka hanya sebagai Tinggi, Sedang, dan Rendah.
Sebagian besar organisasi perusahaan besar yang telah menjalankan dan mempunyai standar sertifikasi  misalnya seperti ISO 27001 pasti sudah menentukan proses manajemen risikonya.
Proses manajemen risiko ini menentukan tingkat keparahan risiko mereka termasuk disana  ada  definisi, matriks risiko, kriteria penerimaan risiko, dan sebagainya.
