4.2 風險分析原理

風險分析原理如圖2所示：

風險分析中要涉及資產、威脅、脆弱性三個基本要素。每個要素有各自的屬性，資產的屬性是資產價值；威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等；脆弱性的屬性是資產弱點的嚴重程度。風險分析的主要內容為：
a）對資產進行識別，并對資產的價值進行賦值；
b）對威脅進行識別，描述威脅的屬性，并對威脅出現的頻率賦值；
c）對脆弱性進行識別，并對具體資產的脆弱性的嚴重程度賦值；
d）根據威脅及威脅利用脆弱性的難易程度判斷安全事件發生的可能性；
e）根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件造成的損失；