4.風險評估各要素的關系

　　方框部分的內(nèi)容為風險評估的基本要素，橢圓部分的內(nèi)容是與這些要素相關的屬性。 風險評估圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開，在對基本要素的評估過程中，需要充分考慮業(yè)務戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風險等與這些基本要素相關的各類屬性。

一個組織業(yè)務戰(zhàn)略的實現(xiàn)依賴于組織的資產(chǎn)，依賴程度越高，要求組織的風險越小；

資產(chǎn)本身具有價值，這是導致風險存在的最根本原因。組織的業(yè)務戰(zhàn)略對資產(chǎn)的依賴程度越高，資產(chǎn)價值就越大。資產(chǎn)價值越大，可能的風險就越大；威脅是引發(fā)風險的外在因素，資產(chǎn)面臨的威脅越多則風險越大，并可能演變成為安全事件；資產(chǎn)具有脆弱性，資產(chǎn)的脆習馬性可能暴露資產(chǎn)，資產(chǎn)具有的脆弱性越多則風險越大；脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)；風險的存在及對風險的認識導出安全需求；安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實施成本；安全措施可抵御威脅，降低風險；殘余風險有些是安全措施不當或無效，需要加強才可控制的風險，而有些則是在綜合考慮了安全成本與效益后不去控制的風險；殘余風險應受到密切監(jiān)視，殘余風險會隨著時間的推移而發(fā)生變化， 它可能會在將來誘發(fā)新的安全事件。