风险管理的要素和相互关系

3.风险管理的要素和相互关系

使命依赖于资产去完成，资产拥有价值。信息化的程度越高，单位的使命越重要，对资产的依赖度越高，资产的价值则就越大。资产的价值越大则风险越大。风险是由威胁引发，威胁越大则风险越大，并可能演变成事件。威胁要利用脆弱性实现，脆弱性越容易被利用则风险越大。脆弱性使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险。资产的重要性和对风险的意识会导出安全需求；安全需求要通过安全措施来得以满足，且是有成本的。安全措施可以抗击威胁，降低风险，减弱事件的影响。风险不可能削减为零，在实施了安全措施后还会有残留的风险。部分残余风险来自于安全措施可能不当或无效，在以后需要继续控制这部分风险，另一部分残余风险则是在综合考虑了安全措施的成本与资产价值后，有意未去控制的风险，这部分风险是可以被接受的。残余风险应受到密切监视，因为它可能会在将来诱发新的事件。