风险评估围绕其基本要素展开,在对这些要素的评估过程中需要充分考虑基本要素相关的各 类属性。简述风险要素及属性之间存在的关系
a) 业务战略依赖资产去实现; b) 资产是有价值的,组织的业务战略对资产的依赖度越高,资产价值就越大; c) 资产价值越大则其面临的风险越大; d) 风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件; e) 脆弱性越多,威胁利用脆弱性导致安全事件的可能性越大; f) 脆弱性是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险; g) 风险的存在及对风险的认识导出安全需求; h) 安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本; i) 安全措施可抵御威胁,降低安全事件的发生的可能性,并减少影响; j) 风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险。有些残余 风险 来自于安全措施的不当或无效,需要进一步控制,而有些残余风险则是在综合考虑了安全成 本与效益后未控制的风险,是可以被接受的; k) 残余风险应受到密切监视,它可能会在将来诱发新的安全事件。