4.1 風險要素關系

風險評估中各要素的關系如圖1所示：

圖1中方框部分的內容為風險評估的基本要素，橢圓部分的內容是與這些要素相關的屬性。風險評估圍繞著資產、威脅、脆弱性和安全措施這些基本要素展開，在對基本要素的評估過程中，需要充分考慮業務戰略、資產價值、安全需求、安全事件、殘余風險等與這些基本要素相關的各類屬性。

圖1中的風險要素及屬性之間存在著以下關系：

a） 業務戰略的實現對資產具有依賴性，依賴程度越高，要求其風險越小；

b） 資產是有價值的，組織的業務戰略對資產的依賴程度越高，資產價值就越大；
c）風險是由威脅引發的，資產面臨的威脅越多則風險越大，并可能演變成為安全事件；
d）資產的脆弱性可能暴露資產的價值，資產具有的脆弱性越多則風險越大；
e）脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產；
f）風險的存在及對風險的認識導出安全需求；
g）安全需求可通過安全措施得以滿足，需要結合資產價值考慮實施成本；
h）安全措施可抵御威脅，降低風險；
i）殘余風險有些是安全措施不當或無效,需要加強才可控制的風險；而有些則是在綜合考慮了安全成本與效益后不去控制的風險；
j）殘余風險應受到密切監視，它可能會在將來誘發新的安全事件。