1）资产

资产是企业、机构直接赋予了价值而需要保护的东西。它可能以多种形式存在，有无形、有形，有硬件、软件，有文档、代码，也有服务、企业形象等。

2）威胁

安全威胁是一种对机构及其资产构成存在潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统，安全威胁都是一个客观存在的事物。它是风险评估的重要因素之一。

3）脆弱性

脆弱性评估，也称为弱点评估，是安全风险评估中的重要内容。脆弱性是资产本身存在的，它可以被威胁利用，引起对资产或商业目标的损害。脆弱性包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。

值得注意的是，脆弱性虽然是资产本身固有的，但它本身不会造成损失，它只是一种条件或环境，可能导致被威胁利用而造成资产损失。所以如果没有触的威胁发生，单纯的脆弱性并不会对资产造成损害。

4）风险

风险是由于系统存在的脆弱性，人或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两项指标来衡量。

5）可能性

可能性用于衡量安全威胁转化为安全事件的可能性或者概率情况。

6）影响

影响是特定的安全事件或者事故，给信息系统所造成的直接或间接的破坏和不良后果以及损失情况。

7）安全措施

安全措施是各类用于安全保护目的的具体技术措施和管理措施的总称。安全措施可以对风险起到重要的缓解和降低作用。

8）残余风险

安全风险不可能被彻底清除，各类安全措施虽然能缓解风险，但是必然有一部分风险是安全措施所无法消除的，这部分风险被称为残余风险。

9）可接受风险

可接受风险是信息系统的所有者所能够承担的风险水平。如果不能承担风险，必须采取适当的控制措施予以缓解，最终风险管理的目的在于将信息系统的残余风险控制在可接受风险的水平之下。