根據ISO/IEC 13335-1,信息安全風險是指威脅使用壹項資產或壹組資產的漏洞對組織造成損害的潛在可能,體現為威脅使用該漏洞所導致的壹系列突發事件(或安全事件)。
資產、威脅和漏洞是信息安全風險的基本要素,是信息安全風險存在的基本條件。沒有資產,威脅就沒有攻擊或破壞的目標;沒有威脅,雖然資產有價值,漏洞嚴重,但安全事故不會發生;如果系統沒有漏洞,威脅就沒有可用的鏈接,安全事故就不會發生。
風險可以正式表示為:R=(A,T,V),其中R代表風險,A代表資產,T代表威脅,V代表漏洞。