1)人員風(fēng)險(xiǎn)。
由于組織缺乏人員安全管理、明確的職責(zé)和意識(shí)教育、內(nèi)部無意或惡意人員的錯(cuò)誤或攻擊、外部惡意或好奇人員或組織的攻擊，組織業(yè)務(wù)將面臨巨大風(fēng)險(xiǎn)。

 

二是組織風(fēng)險(xiǎn)。
如果組織在信息安全組織管理方面基礎(chǔ)薄弱、技術(shù)服務(wù)能力差，組織在信息安全管理方面處于失控狀態(tài)，增加了信息安全風(fēng)險(xiǎn)。

 

三是物理環(huán)境風(fēng)險(xiǎn)。
由于缺乏對(duì)組織場(chǎng)所的安全保護(hù)，或者防水、防火、防雷等保護(hù)措施，面對(duì)盜竊和自然災(zāi)害有時(shí)會(huì)造成很大損失。

 

4)信息機(jī)密性/完整性風(fēng)險(xiǎn)。
信息是組織信息技術(shù)系統(tǒng)裝載的業(yè)務(wù)數(shù)據(jù)，是一種非常重要的資產(chǎn)，甚至有人認(rèn)為信息是組織的血液，是一種除了資產(chǎn)負(fù)債表之外逐漸積累的信息，可以用來增強(qiáng)組織的競(jìng)爭(zhēng)優(yōu)勢(shì)。與實(shí)物資產(chǎn)相比，信息非常分散，易于復(fù)制，是組織業(yè)務(wù)流程中重要的輸入和輸出數(shù)據(jù)，如客戶數(shù)據(jù)、產(chǎn)品設(shè)計(jì)等。如果沒有得到正確的識(shí)別、評(píng)估、保存和管理，它將面臨被盜、損壞和丟失的風(fēng)險(xiǎn)，這不僅會(huì)嚴(yán)重?fù)p害依賴這些關(guān)鍵信息的核心業(yè)務(wù)，還會(huì)對(duì)組織的聲譽(yù)和聲譽(yù)造成巨大損失，甚至破壞整個(gè)組織。

信息風(fēng)險(xiǎn)管理主要是保證信息的機(jī)密性、完整性和可用性。

 

五是系統(tǒng)風(fēng)險(xiǎn)。
通常使用的計(jì)算機(jī)操作系統(tǒng)，以及大量應(yīng)用軟件在組織業(yè)務(wù)交流中的使用，尤其是定制應(yīng)用產(chǎn)品，這些系統(tǒng)和應(yīng)用軟件的問題和缺陷都會(huì)對(duì)一系列系統(tǒng)產(chǎn)生影響，尤其是當(dāng)多個(gè)應(yīng)用系統(tǒng)互聯(lián)時(shí)，影響會(huì)涉及到整個(gè)組織的多個(gè)系統(tǒng)。例如，一些系統(tǒng)維護(hù)困難、結(jié)構(gòu)不完善、缺乏文檔、設(shè)計(jì)漏洞等問題有時(shí)會(huì)在系統(tǒng)升級(jí)和安裝補(bǔ)丁時(shí)引入更高的風(fēng)險(xiǎn)。

系統(tǒng)風(fēng)險(xiǎn)要求機(jī)構(gòu)具備協(xié)同、維護(hù)、測(cè)試、版本管理、配置管理、系統(tǒng)管理和監(jiān)控系統(tǒng)應(yīng)用的管理能力。

 

六、通信操作風(fēng)險(xiǎn)。
如果通信加密、應(yīng)用分區(qū)、防病毒、IDS等安全措施出現(xiàn)技術(shù)或管理問題，被攻擊者使用后會(huì)造成信息安全風(fēng)險(xiǎn)。

 

七、基礎(chǔ)設(shè)施風(fēng)險(xiǎn)。
基礎(chǔ)設(shè)施包括支持業(yè)務(wù)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)(局域網(wǎng)、廣域網(wǎng)、互聯(lián)網(wǎng)、專線網(wǎng)絡(luò)、無線網(wǎng)絡(luò))、硬件(服務(wù)器、主機(jī)、應(yīng)用終端、共享設(shè)備)、物理環(huán)境，是組織業(yè)務(wù)生存的基礎(chǔ)(如電力、WEB服務(wù)器、數(shù)據(jù)庫服務(wù)器等)。).一旦出現(xiàn)故障或中斷，它承載的應(yīng)用也會(huì)出現(xiàn)問題或停止。

基礎(chǔ)設(shè)施風(fēng)險(xiǎn)要求在應(yīng)用層、網(wǎng)絡(luò)層、鏈路層和物理層面進(jìn)行綜合防范。

 

8)業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)。
依賴信息系統(tǒng)服務(wù)的組織關(guān)鍵業(yè)務(wù)可能因系統(tǒng)停機(jī)而中斷，或因系統(tǒng)服務(wù)效率下降(如響應(yīng)時(shí)間過長)導(dǎo)致新客戶流失或老客戶轉(zhuǎn)移。

業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)要求機(jī)構(gòu)具備信息技術(shù)服務(wù)、安全事件處理和災(zāi)難恢復(fù)能力。

 

九、第三方合作風(fēng)險(xiǎn)。
第三方是服務(wù)提供商和銷售商。隨著外包業(yè)務(wù)的興起，許多組織業(yè)務(wù)依賴于供應(yīng)商和銷售商的服務(wù)提供。由于合同不完整，第三方服務(wù)能力下降，不適應(yīng)業(yè)務(wù)需求快速增長，缺乏第三方管理經(jīng)驗(yàn)，產(chǎn)品支持失敗，升級(jí)周期短，功能不足等風(fēng)險(xiǎn)因素導(dǎo)致第三方服務(wù)失敗。

第三方合作風(fēng)險(xiǎn)要求加強(qiáng)合同談判和轉(zhuǎn)換服務(wù)的風(fēng)險(xiǎn)管理。

 

十、風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)。
如果不專業(yè)的風(fēng)險(xiǎn)評(píng)估人員、不科學(xué)的評(píng)估方法和不一致的評(píng)估標(biāo)準(zhǔn)往往導(dǎo)致系統(tǒng)性風(fēng)險(xiǎn)評(píng)估不一致、風(fēng)險(xiǎn)評(píng)估結(jié)果不正確、風(fēng)險(xiǎn)決策失誤。

 

11)法律風(fēng)險(xiǎn)。
在信息系統(tǒng)的運(yùn)行過程中，由于不了解國家法律或明知故犯，組織面臨個(gè)人隱私泄露帶來的風(fēng)險(xiǎn)。

 

12)決策風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)決策和控制選擇是信息安全風(fēng)險(xiǎn)管理的核心和最終目標(biāo)。如果在風(fēng)險(xiǎn)分析、評(píng)估和控制方面不能全面、科學(xué)地反映組織的安全狀況，決策者可能會(huì)在安全投資方面犯重大錯(cuò)誤。決策風(fēng)險(xiǎn)主要是基于風(fēng)險(xiǎn)評(píng)估的結(jié)果，從風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)放緩、風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)承受四個(gè)方面進(jìn)行權(quán)衡決策，避免決策失誤。