根据GB/T20269-2006《信息安全技术 信息系统安全管理要求》，风险分析和评估包括有资产识别和分析、威胁识别和分析、脆弱性识别和分析；
对威胁的识别和分析， 不同安全等级应有选择地满足以下要求的一项:
a ) 威胁的基本分析: 应根据以往发生的安全事件、外部提供的资料和积累的经验等， 对威胁进行粗略的分析。题目中提到，分析了常见病毒计算机系统、数据文件的破坏程度及感染特点进行了分析，并制定相应的措施，这是属于威胁的基本分析。
b ) 威胁列表: 在 a )的基础上， 结合业务应用、 系统结构特点以及访问流程等因素， 建立并维护威胁列表; 由于不同业务系统面临的威胁是不同的， 应针对每个或者每类资产有一个威胁列表。
c ) 威胁的详细分析: 在 b )的基础上， 考虑威胁源在保密性、 完整性或可用性等方面造成损害， 对威胁的可能性和影响等属性进行分析， 从而得到威胁的等级; 威胁等级也可通过综合威胁的可能性和强度的评价获得。
d ) 使用检测工具捕捉攻击: 在 c ) 的基础上，对关键区域或部位进行威胁分析和评估， 在业务应用许可并得到批准的条件下，可使用检测工具在特定时间捕捉攻击信息进行威胁分析。