3.3.2　了解威胁和风险

要定义风险并不太容易，“风险”这个词在文献中有很多不同的用法。根据国际标准化组织ISO 31000，风险是“不确定性对目标的影响”，而影响是与预期目标的正面或负面偏差。

“风险”这个词综合了三个要素（见图3-2）：它从潜在的事件开始，然后将其可能性与潜在的严重性结合起来。许多风险管理课程将风险定义为：风险（潜在损失）=威胁×漏洞×资产。

图3-2　风险是威胁、漏洞和资产（价值和影响）的综合体

要知道，并非所有的风险都值得化解，理解这一点真的很重要。例如，如果一个风险的可能性极小，但缓解的成本却很高，或者风险的严重程度低于缓解的成本，这样的风险是可以接受的。