Một trong những khái niệm quan trọng của kỹ thuật phân tích kiểm sốt là điểm hở
a. Xác định các điểm hở trong hệ thống:Điểm hở là điểm mà tại đó thơng tin của hệ thống có tiềm năng bị thâm nhập bởi những người trong hoặc ngoài tổ chức. Điều này khơng chỉ nói tới dạng đầu ra, như đơn mua hàng và bảng kiểm kê, mà cịn nói tới mọi thơng tin bên trong cơng ty mà nếu bị dùng sai thì có thể làm cho tài sản cơng ty chịu rủi ro. Mỗi khi xác định được điểm hở, cần phải tiến hành ba hoạt động: Xác định kiểu đe doạ từ chỗ hở, đánh giá các đe doạ và tình trạng đe doạ
b. Xác định kiểu đe doạ từ chỗ hở: Các kiểu đe doạ này bao gồm từ các hành động cố ý như ăn cắp hoặc phá hoại cho tới các nguy cơ mất mát tài sản và ảnh hưởng tới công việc nghiệp vụ của công ty, chẳng hạn như các quyết định quản lý tồi. Mức độ đe doạ dưới dạng thiệt hại tiềm năng cho hệ thống cũng cần được xem xét và tính tốn.
c. Đánh giá các đe doạ: Có các mức độ đe doạ khác nhau: cao, thấp , vừa. Đe doạ cao là mối đe doạ lớn đến hệ thống có thể bị tổn thất nghiêm trọng nếu tình huống xấu nhất xuất hiện. Đe doạ vừa có nghĩa là hệ thống có thể bị thất thốt trong những trường hợp tồi nhất nhưng vẫn có thể chịu đựng được mà không ảnh hưởng đến nền nghiệp vụ. Đe
doạ thấp có nghĩa là hệ thống có thể dự kiến đựơc mối đe doạ và chuẩn bị được một số phương tiện để ngăn cản.
d Xác định tình trạng đe doạ:Sau khi thấy được các mối đe doạ có thể có, nhóm kiểm tra có thể kiểm tra lại xem những đe doạ này xuất hiện như thế nào. Điều này bao gồm việc dùng biểu đồ luồng dữ liệu BLD. Theo dõi ngược lại điểm hở, rà sốt các hồn cảnh được biểu thị bởi từng quá trình và lỗi tiềm năng từ mỗi dịng dữ liệu. Giai đoạn này của việc phân tích điều khiển địi hỏi rất nhiều trí tưởng tượng và óc sáng tạo. Một khía cạnh khác cần kiểm tra tại giai đoạn này này là xác suất xuất hiện tình huống đe doạ. Thông tin này, cùng với các chi tiết trước đây về “mức độ đe doạ” có thể làm cho nhóm kiểm sốt quyết định được về tầm quan trọng của mối nguy hiểm và giúp cho họ quyết định được tầm mức kiểm soát cần thực hiện.
e. Thiết kế các kiểm soát cần thiết: Sau khi đã nắm chắc được mức độ thiệt hại phát sinh từ điểm hở, nhà thiết kế phải quyết định các kiểm soát vật lý để ngăn cản hoặc làm giảm thiểu thiệt hại này.
Phân tích các nguy cơ thất thốt dữ liệu bao gồm việc phát hiện các điểm hở thường là các chỗ vào ra như các file, màn hình, phân tích các đe dọa từ chỗ hở như:
phá hoại, lấy cắp gây sự lãng phí, làm sai lệch thơng tin.