风险评估各要素的关系

4.风险评估各要素的关系

　　方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。 风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。

一个组织业务战略的实现依赖于组织的资产，依赖程度越高，要求组织的风险越小；

资产本身具有价值，这是导致风险存在的最根本原因。组织的业务战略对资产的依赖程度越高，资产价值就越大。资产价值越大，可能的风险就越大；威胁是引发风险的外在因素，资产面临的威胁越多则风险越大，并可能演变成为安全事件；资产具有脆弱性，资产的脆习马性可能暴露资产，资产具有的脆弱性越多则风险越大；脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；风险的存在及对风险的认识导出安全需求；安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；安全措施可抵御威胁，降低风险；残余风险有些是安全措施不当或无效，需要加强才可控制的风险，而有些则是在综合考虑了安全成本与效益后不去控制的风险；残余风险应受到密切监视，残余风险会随着时间的推移而发生变化， 它可能会在将来诱发新的安全事件。