三、信息安全风险的基本要素
    信息安全风险的基本要素是指信息、信息系统及其支撑环境从安全角度考虑所面临风险的基本组成成分，包括资产、威胁、脆弱性、影响和安全措施。
    图2描绘了信息安全风险的概念模型，可表述为：威胁主体可能利用信息、信息系统或支撑环境的脆弱性，对信息、信息系统和支撑环境实施威胁行为，造成负面影响。图中的虚线表示安全事件还未发生，影响是潜在的；安全事件虽处于未发生状态，但具有发生的可能性。短粗实线表示安全措施；安全措施一方面可以降低安全事件发生的可能性，另一方面可以减少安全事件发生后造成的影响。
    图2 信息安全风险的概念模型
    由图2可以看出，信息安全风险的基本要素包括由信息、信息系统和支撑环境组成的信息资产、由威胁主体和威胁行为构成的威胁、由信息资产自身弱点形成的脆弱性、信息资产受到威胁后可能造成的影响以及保护信息资产所采取的安全措施。这些基本要素与风险的关系为，信息资产、威胁、脆弱性和影响为风险的正相要素，即信息资产价值越高、威胁主体动机和威胁行为能力越强、脆弱性越容易被利用、影响程度越严重，那么风险就越大；而安全措施为风险的负相要素，即安全措施越完善和越有效，那么风险就越小。
    资产是核心要素，其他要素都是围绕着资产而产生的。也说就是，威胁是指资产面临的威胁，脆弱性是指资产自身的脆弱性，影响是指资产损失带来的负面影响，安全措施是指保护资产的安全措施。
    四、信息安全风险管理的基本原理
    信息安全风险管理围绕着上述信息安全的基本属性（简称安全属性）和信息安全风险的基本要素（简称风险要素）展开。首先，从每个安全属性的角度对各个风险要素及其相互关系进行识别、分析和评价，得出反映风险重要程度的风险等级（即风险评估）。然后，依据事先确定的风险接受标准，判断风险是否可接受；对于不可接受的风险，针对各个风险要素分别采取相应的安全措施，包括针对资产的保护和备份措施、针对威胁主体的威慑和打击措施、针对威胁行为的防范和抵御措施、针对脆弱性的加固和补丁措施、针对影响的抑制和弥补措施，从而改进和完善现有的安全措施（即风险处理）。
    如图3所示，风险要素和安全属性所构成的二维空间是信息安全风险管理的问题空间，其中，一种风险要素和一种安全属性构成信息安全风险管理的一个问题单元。原则上，对所有的问题单元都要关注，以免遗漏重要的安全问题。在实际操作时，由于安全关注点、任务紧迫性和资源可用性等实际情况的不同，对每个问题单元的关注程度会有所不同。
值得注意的是，安全属性之间不是相互孤立的，而是相互关联的。一种安全属性的损失会导致另一种或多种安全属性的损失。因此，更多关注某一方面的安全属性，不等于忽视其他方面的安全属性，而应依据安全目标的要求和安全属性的关联，在各安全属性之间进行权衡，以确保整体安全目标的达成。

(责任编辑：adminadmin2008)