ISO27001资料，挺详细的资料。有一定的参考价值。

风险、威胁和脆弱性的概念 风险Risk： 特定的威胁利用资产漏洞的潜在可能，并可导致对组织的危害。它根据事件的可能性及后果进行测量。 风险分析： 评估风险数量的系统化流程 风险评估： 包括风险定义，风险分析和风险评估的流程。 威胁Threat： 引起事故的潜在因素，可能对组织或系统产生损害 脆弱性Vulnerability： 资产的弱点，可能被一个或多个威胁利用 影响 Impact： 信息安全事故的结果