1)人員風險。
由于組織缺乏人員安全管理、明確的職責和意識教育、內部無意或惡意人員的錯誤或攻擊、外部惡意或好奇人員或組織的攻擊，組織業務將面臨巨大風險。

 

二是組織風險。
如果組織在信息安全組織管理方面基礎薄弱、技術服務能力差，組織在信息安全管理方面處于失控狀態，增加了信息安全風險。

 

三是物理環境風險。
由于缺乏對組織場所的安全保護，或者防水、防火、防雷等保護措施，面對盜竊和自然災害有時會造成很大損失。

 

4)信息機密性/完整性風險。
信息是組織信息技術系統裝載的業務數據，是一種非常重要的資產，甚至有人認為信息是組織的血液，是一種除了資產負債表之外逐漸積累的信息，可以用來增強組織的競爭優勢。與實物資產相比，信息非常分散，易于復制，是組織業務流程中重要的輸入和輸出數據，如客戶數據、產品設計等。如果沒有得到正確的識別、評估、保存和管理，它將面臨被盜、損壞和丟失的風險，這不僅會嚴重損害依賴這些關鍵信息的核心業務，還會對組織的聲譽和聲譽造成巨大損失，甚至破壞整個組織。

信息風險管理主要是保證信息的機密性、完整性和可用性。

 

五是系統風險。
通常使用的計算機操作系統，以及大量應用軟件在組織業務交流中的使用，尤其是定制應用產品，這些系統和應用軟件的問題和缺陷都會對一系列系統產生影響，尤其是當多個應用系統互聯時，影響會涉及到整個組織的多個系統。例如，一些系統維護困難、結構不完善、缺乏文檔、設計漏洞等問題有時會在系統升級和安裝補丁時引入更高的風險。

系統風險要求機構具備協同、維護、測試、版本管理、配置管理、系統管理和監控系統應用的管理能力。

 

六、通信操作風險。
如果通信加密、應用分區、防病毒、IDS等安全措施出現技術或管理問題，被攻擊者使用后會造成信息安全風險。

 

七、基礎設施風險。
基礎設施包括支持業務應用系統的網絡(局域網、廣域網、互聯網、專線網絡、無線網絡)、硬件(服務器、主機、應用終端、共享設備)、物理環境，是組織業務生存的基礎(如電力、WEB服務器、數據庫服務器等)。).一旦出現故障或中斷，它承載的應用也會出現問題或停止。

基礎設施風險要求在應用層、網絡層、鏈路層和物理層面進行綜合防范。

 

8)業務連續性風險。
依賴信息系統服務的組織關鍵業務可能因系統停機而中斷，或因系統服務效率下降(如響應時間過長)導致新客戶流失或老客戶轉移。

業務連續性風險要求機構具備信息技術服務、安全事件處理和災難恢復能力。

 

九、第三方合作風險。
第三方是服務提供商和銷售商。隨著外包業務的興起，許多組織業務依賴于供應商和銷售商的服務提供。由于合同不完整，第三方服務能力下降，不適應業務需求快速增長，缺乏第三方管理經驗，產品支持失敗，升級周期短，功能不足等風險因素導致第三方服務失敗。

第三方合作風險要求加強合同談判和轉換服務的風險管理。

 

十、風險評估風險。
如果不專業的風險評估人員、不科學的評估方法和不一致的評估標準往往導致系統性風險評估不一致、風險評估結果不正確、風險決策失誤。

 

11)法律風險。
在信息系統的運行過程中，由于不了解國家法律或明知故犯，組織面臨個人隱私泄露帶來的風險。

 

12)決策風險。
風險決策和控制選擇是信息安全風險管理的核心和最終目標。如果在風險分析、評估和控制方面不能全面、科學地反映組織的安全狀況，決策者可能會在安全投資方面犯重大錯誤。決策風險主要是基于風險評估的結果，從風險規避、風險放緩、風險轉移和風險承受四個方面進行權衡決策，避免決策失誤。