(1)完整性風險(integrity risk)。即數據未經授權使用或不完整或不準確而造成的風險。這種風險通常與用戶界面的設計、數據處理程序、災害恢復程序、數據控制機制及信息安全機制等有關;
(2)存取風險(access risk)。即系統、數據或信息存取不當而導致的風險。在互聯網和電子商務日益普及的今天,存取風險是企業面臨的主要威脅之壹。存取風險主要與業務程序的確立、應用系統的安全、數據管理控制、數據處理環境、網絡安全、計算機和通信設備狀況等有關;
(3)獲得性風險(availability risk)。即影響數據或信息的可獲得性的風險。主要與數據處理過程的動態監控、數據恢復技術、備份和應急計劃等有關。
(4)體系結構風險(infrastructure risk)。即信息技術體系結構規劃不合理或未能與業務結構實現調配所帶來的風險。主要與信息技術組織的健全、信息安全文化的培育、信息技術資源配置、信息安全系統的設計和運行、計算機和網絡操作環境、數據管理的內在統壹性等有關;
(5)其它相關風險(other business risk)。即其他影響企業業務活動的技術性風險。主要與信息技術對業務目標的支持、業務流程周期、存貨預警系統、業務中斷、產品信息反饋系統、業務的流動性管理等有關。
信息技術風險管理框架是由風險管理要素(戰略和政策調控、資源配置、事態監控和結構界定)和信息技術環境(程序、應用、數據管理、平臺、網絡和物理設施)構成的。
信息技術環境結構大體上也就是信息技術體系結構,該結構可以從兩種角度考察,自上而下展示系統的形成和實現過程,自下而上描述系統的支撐和服務過程。