1)人員風(fēng)險。
由于組織缺乏人員安全管理、明確的職責和意識教育、內部無(wú)意或惡意人員的錯誤或攻擊、外部惡意或好奇人員或組織的攻擊，組織業(yè)務(wù)將面臨巨大風(fēng)險。

 

二是組織風(fēng)險。
如果組織在信息安全組織管理方面基礎薄弱、技術(shù)服務(wù)能力差，組織在信息安全管理方面處于失控狀態(tài)，增加了信息安全風(fēng)險。

 

三是物理環(huán)境風(fēng)險。
由于缺乏對組織場(chǎng)所的安全保護，或者防水、防火、防雷等保護措施，面對盜竊和自然災害有時(shí)會(huì )造成很大損失。

 

4)信息機密性/完整性風(fēng)險。
信息是組織信息技術(shù)系統裝載的業(yè)務(wù)數據，是一種非常重要的資產(chǎn)，甚至有人認為信息是組織的血液，是一種除了資產(chǎn)負債表之外逐漸積累的信息，可以用來(lái)增強組織的競爭優(yōu)勢。與實(shí)物資產(chǎn)相比，信息非常分散，易于復制，是組織業(yè)務(wù)流程中重要的輸入和輸出數據，如客戶(hù)數據、產(chǎn)品設計等。如果沒(méi)有得到正確的識別、評估、保存和管理，它將面臨被盜、損壞和丟失的風(fēng)險，這不僅會(huì )嚴重損害依賴(lài)這些關(guān)鍵信息的核心業(yè)務(wù)，還會(huì )對組織的聲譽(yù)和聲譽(yù)造成巨大損失，甚至破壞整個(gè)組織。

信息風(fēng)險管理主要是保證信息的機密性、完整性和可用性。

 

五是系統風(fēng)險。
通常使用的計算機操作系統，以及大量應用軟件在組織業(yè)務(wù)交流中的使用，尤其是定制應用產(chǎn)品，這些系統和應用軟件的問(wèn)題和缺陷都會(huì )對一系列系統產(chǎn)生影響，尤其是當多個(gè)應用系統互聯(lián)時(shí)，影響會(huì )涉及到整個(gè)組織的多個(gè)系統。例如，一些系統維護困難、結構不完善、缺乏文檔、設計漏洞等問(wèn)題有時(shí)會(huì )在系統升級和安裝補丁時(shí)引入更高的風(fēng)險。

系統風(fēng)險要求機構具備協(xié)同、維護、測試、版本管理、配置管理、系統管理和監控系統應用的管理能力。

 

六、通信操作風(fēng)險。
如果通信加密、應用分區、防病毒、IDS等安全措施出現技術(shù)或管理問(wèn)題，被攻擊者使用后會(huì )造成信息安全風(fēng)險。

 

七、基礎設施風(fēng)險。
基礎設施包括支持業(yè)務(wù)應用系統的網(wǎng)絡(luò )(局域網(wǎng)、廣域網(wǎng)、互聯(lián)網(wǎng)、專(zhuān)線(xiàn)網(wǎng)絡(luò )、無(wú)線(xiàn)網(wǎng)絡(luò ))、硬件(服務(wù)器、主機、應用終端、共享設備)、物理環(huán)境，是組織業(yè)務(wù)生存的基礎(如電力、WEB服務(wù)器、數據庫服務(wù)器等)。).一旦出現故障或中斷，它承載的應用也會(huì )出現問(wèn)題或停止。

基礎設施風(fēng)險要求在應用層、網(wǎng)絡(luò )層、鏈路層和物理層面進(jìn)行綜合防范。

 

8)業(yè)務(wù)連續性風(fēng)險。
依賴(lài)信息系統服務(wù)的組織關(guān)鍵業(yè)務(wù)可能因系統停機而中斷，或因系統服務(wù)效率下降(如響應時(shí)間過(guò)長(cháng))導致新客戶(hù)流失或老客戶(hù)轉移。

業(yè)務(wù)連續性風(fēng)險要求機構具備信息技術(shù)服務(wù)、安全事件處理和災難恢復能力。

 

九、第三方合作風(fēng)險。
第三方是服務(wù)提供商和銷(xiāo)售商。隨著(zhù)外包業(yè)務(wù)的興起，許多組織業(yè)務(wù)依賴(lài)于供應商和銷(xiāo)售商的服務(wù)提供。由于合同不完整，第三方服務(wù)能力下降，不適應業(yè)務(wù)需求快速增長(cháng)，缺乏第三方管理經(jīng)驗，產(chǎn)品支持失敗，升級周期短，功能不足等風(fēng)險因素導致第三方服務(wù)失敗。

第三方合作風(fēng)險要求加強合同談判和轉換服務(wù)的風(fēng)險管理。

 

十、風(fēng)險評估風(fēng)險。
如果不專(zhuān)業(yè)的風(fēng)險評估人員、不科學(xué)的評估方法和不一致的評估標準往往導致系統性風(fēng)險評估不一致、風(fēng)險評估結果不正確、風(fēng)險決策失誤。

 

11)法律風(fēng)險。
在信息系統的運行過(guò)程中，由于不了解國家法律或明知故犯，組織面臨個(gè)人隱私泄露帶來(lái)的風(fēng)險。

 

12)決策風(fēng)險。
風(fēng)險決策和控制選擇是信息安全風(fēng)險管理的核心和最終目標。如果在風(fēng)險分析、評估和控制方面不能全面、科學(xué)地反映組織的安全狀況，決策者可能會(huì )在安全投資方面犯重大錯誤。決策風(fēng)險主要是基于風(fēng)險評估的結果，從風(fēng)險規避、風(fēng)險放緩、風(fēng)險轉移和風(fēng)險承受四個(gè)方面進(jìn)行權衡決策，避免決策失誤。