。它們之間相互依賴、相互作用，是一種因果關(guān)系，可以表達為：風險的一個或多個起源，采用一種或多

 

種途徑，侵害一個或多個風險受體，造成風險損失。

風險源是威脅的發(fā)起方，稱為威脅源或威脅主體。

風險方式是威脅源實施威脅所采取的手段，稱為威脅行為。

風險途徑是威脅源實施威脅利用的薄弱環(huán)節(jié)，稱為脆弱性或漏洞。

風險受體是威脅的承受方，即息系統(tǒng)。

風險損失是威脅源實施威脅所造成的損失，稱為影響。

(5)確定息風險評估依據(jù)和方法

 

  ISO27001息風險評估依據(jù)包括現(xiàn)有國際或 有關(guān)息標準、組織的行業(yè)主管的業(yè)務(wù)系統(tǒng)的要求和制度、組織的息系統(tǒng)互聯(lián)單位的要求、組織的息系統(tǒng) 本身的實時性或性能要求等。根據(jù)息評估風險依據(jù)，并綜合考慮息K險評估的目的、范圍、時間、效果、評估人員素質(zhì)等因素，選擇具體的風險計算方 法，并依據(jù)組織業(yè)務(wù)實施對系統(tǒng)運行的需求.確定相關(guān)的評估剡斷依據(jù)，使之能夠與組織壞境和要求相適應(yīng)。