3.風險管理的要素和相互關系

使命依賴于資產去完成，資產擁有價值。信息化的程度越高，單位的使命越重要，對資產的依賴度越高，資產的價值則就越大。資產的價值越大則風險越大。風險是由威脅引發，威脅越大則風險越大，并可能演變成事件。威脅要利用脆弱性實現，脆弱性越容易被利用則風險越大。脆弱性使資產暴露，是未被滿足的安全需求，威脅要通過利用脆弱性來危害資產，從而形成風險。資產的重要性和對風險的意識會導出安全需求；安全需求要通過安全措施來得以滿足，且是有成本的。安全措施可以抗擊威脅，降低風險，減弱事件的影響。風險不可能削減為零，在實施了安全措施后還會有殘留的風險。部分殘余風險來自于安全措施可能不當或無效，在以后需要繼續控制這部分風險，另一部分殘余風險則是在綜合考慮了安全措施的成本與資產價值后，有意未去控制的風險，這部分風險是可以被接受的。殘余風險應受到密切監視，因為它可能會在將來誘發新的事件。