（1）风险要素

① 资产

资产是有价值的信息资产。

② 对策

对策是用以减少脆弱性并满足资产所有者的安全策略。

③ 威胁

能够通过未授权访问、毁坏、揭露、数据修改和拒绝服务对系统造成潜在危害的任何环境或事件。

④ 脆弱性

在信息系统、系统安全程序、管理控制、物理设计、内部控制或实现中存在的，可能被攻击者利用来获得未授权的信息或破坏关键处理的弱点。

⑤ 风险

风险是由威胁发生的可能性、威胁所导致的不利影响以及影响的严重程度来决定。

（2）风险要素关系

① 信息资产的所有者给资产赋予了一定的价值，威胁主体希望以违背所有者初衷的方式滥用和破坏资产。资产所有者意识到这种威胁可能致使资产损坏，对所有者而言 资产中的价值将会降低。其中资产的安全性损坏包括以下几种：资产破坏性地暴露于未授权的接受者（丧失保密性）；资产由未授权地更改损坏（丧失完整性）；资 产的访问权被未授权地剥夺（丧失可用性）。

② 资产所有者必须分析可能的威胁并确定哪些存在于他们的环境，其结果就是风险。这种分析会有助于对策的选择，以应对风险并将其降低到一个可接受的水平。

③ 对策的使用可以减少脆弱性，但残留的脆弱性仍可以被威胁者所利用，从而造成资产的残余风险。资产所有者会通过给出其它的约束来寻求最小的残余的风险。