威胁:对资产或组织可能导致负面结果的一个事件的潜在源。威胁源分三类:自然威胁、人为威胁和环境威胁。动机和能力是威胁的重要属性。如果威胁源的动机是故意的,显然要比非故意的威胁更有潜在的危害。如果威胁源的能力较强,或者拥有大量的资源也是同样的道理。而途径则是威胁实现其目的的方法,也可以称为威胁行为。
如威胁源:内部人员(没有接受良好培训、心怀不满、恶意、疏忽、不诚实、离职员工),动机:好奇、自负、聪明、获取钱财、复仇、无意错误和疏忽(例如数据录入错误、编程错误),威胁行为:骚扰员工、勒索、浏览专属信息、计算机滥用、欺诈和窃取、信息贿赂、输入伪造的被破坏过的信息、截获、恶意代码(例如病毒、逻辑炸弹、特洛伊木马)、出卖个人信息、系统缺陷、系统入侵、系统破坏、未授权系统访问。
威胁是客观存在的。如人为的意外的:疏忽和差错、文件删除、不正确的路由选择、物理事故,如环境的:地震、雷击、水灾、火灾。
脆弱性:资产能被威胁利用的弱点。脆弱性有时被翻译成“弱点”和“漏洞”等。脆弱性一般可以分类两大类,即:资产本身的脆弱性和安全控制措施的不足。前者一般指操作系统漏洞,产品设计时安全方面的先天不足,这些漏洞是当前流行的漏洞扫描工具的强项,也是风险评估人员过度关注的问题。但是,一组资产所面临的问题,不能简单的累加,因为由于产品集成,引进了很多新的安全问题。后者一般针对组合起来的资产,一个信息系统的从设计阶段就应该充分考虑其安全的问题,如果安全控制措施不足也可以认为其本身就是存在弱点的。