风险管理的基本概念

资产（Asset）—— 任何对组织具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。对资产的评估要 从价值、重要性或敏感度等方面来考虑。
威胁（Threat）—— 就是可能对资产或组织造成损害的意外事件的潜在原因，即某种威胁源（threat source）或威胁代理（threat agent）成功利用特定弱点对资产造成负面影响的潜在可能。威胁类型包括人为威胁（故意和无意）和非人为威胁（自然和环境）。识别并评估威胁时需要考虑 威胁源的动机和能力。风险管理关心的是威胁发生的可能性。
弱点（Vulnerability）—— 也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。弱点本身并不能构成伤害，它只是威胁利用来实 施影响的一个条件。风险管理过程中要识别弱点，并评估弱点的严重性和可被利用的容易程度。
风险（Risk）—— 特定威胁利用资产的弱点给资产或资产组带来损害的潜在可能性.单个或者多个威胁可以利用单个或者多个弱点。风险是威胁事件发生的可能性与影响综合作用的结 果。
可能性（Likelihood）—— 对威胁事件发生的几率（Probability）或频率（Frequency）的定性描述。
影 响（Impact）—— 或者是后果（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。
安全措施 （Safeguard）—— 也称作控制措施（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方 法和措施。
残留风险（Residual Risk）—— 在实施安全措施之后仍然存在的风险。