1.資產:參與評估的所有資產,包括人員、設備、數據、網絡、硬件和軟件等。
2.威脅:確定可能的威脅類型,如網絡攻擊、惡意軟件、社會工程等。
3.弱點:確定系統中可能存在的弱點,包括技術、物理和管理控制方面的弱點。
4.影響:評估安全威脅對資產的實際影響。
5.概率:評估威脅的概率。