1)人員風險。
由于組織缺乏人員安全管理、明確的職責和意識教育、內(nèi)部無意或惡意人員的錯誤或攻擊、外部惡意或好奇人員或組織的攻擊，組織業(yè)務將面臨巨大風險。

 

二是組織風險。
如果組織在信息安全組織管理方面基礎(chǔ)薄弱、技術(shù)服務能力差，組織在信息安全管理方面處于失控狀態(tài)，增加了信息安全風險。

 

三是物理環(huán)境風險。
由于缺乏對組織場所的安全保護，或者防水、防火、防雷等保護措施，面對盜竊和自然災害有時會造成很大損失。

 

4)信息機密性/完整性風險。
信息是組織信息技術(shù)系統(tǒng)裝載的業(yè)務數(shù)據(jù)，是一種非常重要的資產(chǎn)，甚至有人認為信息是組織的血液，是一種除了資產(chǎn)負債表之外逐漸積累的信息，可以用來增強組織的競爭優(yōu)勢。與實物資產(chǎn)相比，信息非常分散，易于復制，是組織業(yè)務流程中重要的輸入和輸出數(shù)據(jù)，如客戶數(shù)據(jù)、產(chǎn)品設(shè)計等。如果沒有得到正確的識別、評估、保存和管理，它將面臨被盜、損壞和丟失的風險，這不僅會嚴重損害依賴這些關(guān)鍵信息的核心業(yè)務，還會對組織的聲譽和聲譽造成巨大損失，甚至破壞整個組織。

信息風險管理主要是保證信息的機密性、完整性和可用性。

 

五是系統(tǒng)風險。
通常使用的計算機操作系統(tǒng)，以及大量應用軟件在組織業(yè)務交流中的使用，尤其是定制應用產(chǎn)品，這些系統(tǒng)和應用軟件的問題和缺陷都會對一系列系統(tǒng)產(chǎn)生影響，尤其是當多個應用系統(tǒng)互聯(lián)時，影響會涉及到整個組織的多個系統(tǒng)。例如，一些系統(tǒng)維護困難、結(jié)構(gòu)不完善、缺乏文檔、設(shè)計漏洞等問題有時會在系統(tǒng)升級和安裝補丁時引入更高的風險。

系統(tǒng)風險要求機構(gòu)具備協(xié)同、維護、測試、版本管理、配置管理、系統(tǒng)管理和監(jiān)控系統(tǒng)應用的管理能力。

 

六、通信操作風險。
如果通信加密、應用分區(qū)、防病毒、IDS等安全措施出現(xiàn)技術(shù)或管理問題，被攻擊者使用后會造成信息安全風險。

 

七、基礎(chǔ)設(shè)施風險。
基礎(chǔ)設(shè)施包括支持業(yè)務應用系統(tǒng)的網(wǎng)絡(局域網(wǎng)、廣域網(wǎng)、互聯(lián)網(wǎng)、專線網(wǎng)絡、無線網(wǎng)絡)、硬件(服務器、主機、應用終端、共享設(shè)備)、物理環(huán)境，是組織業(yè)務生存的基礎(chǔ)(如電力、WEB服務器、數(shù)據(jù)庫服務器等)。).一旦出現(xiàn)故障或中斷，它承載的應用也會出現(xiàn)問題或停止。

基礎(chǔ)設(shè)施風險要求在應用層、網(wǎng)絡層、鏈路層和物理層面進行綜合防范。

 

8)業(yè)務連續(xù)性風險。
依賴信息系統(tǒng)服務的組織關(guān)鍵業(yè)務可能因系統(tǒng)停機而中斷，或因系統(tǒng)服務效率下降(如響應時間過長)導致新客戶流失或老客戶轉(zhuǎn)移。

業(yè)務連續(xù)性風險要求機構(gòu)具備信息技術(shù)服務、安全事件處理和災難恢復能力。

 

九、第三方合作風險。
第三方是服務提供商和銷售商。隨著外包業(yè)務的興起，許多組織業(yè)務依賴于供應商和銷售商的服務提供。由于合同不完整，第三方服務能力下降，不適應業(yè)務需求快速增長，缺乏第三方管理經(jīng)驗，產(chǎn)品支持失敗，升級周期短，功能不足等風險因素導致第三方服務失敗。

第三方合作風險要求加強合同談判和轉(zhuǎn)換服務的風險管理。

 

十、風險評估風險。
如果不專業(yè)的風險評估人員、不科學的評估方法和不一致的評估標準往往導致系統(tǒng)性風險評估不一致、風險評估結(jié)果不正確、風險決策失誤。

 

11)法律風險。
在信息系統(tǒng)的運行過程中，由于不了解國家法律或明知故犯，組織面臨個人隱私泄露帶來的風險。

 

12)決策風險。
風險決策和控制選擇是信息安全風險管理的核心和最終目標。如果在風險分析、評估和控制方面不能全面、科學地反映組織的安全狀況，決策者可能會在安全投資方面犯重大錯誤。決策風險主要是基于風險評估的結(jié)果，從風險規(guī)避、風險放緩、風險轉(zhuǎn)移和風險承受四個方面進行權(quán)衡決策，避免決策失誤。