第二個要考量的風險是針對資訊安全管理系統範圍內的機密性、完整性及可用性損害的風險，在此我想要開始用完整的風險管理來敘述後面條文的做法。ISO 27005是根據ISO 27001系列所發展的風險管理指引，所以它的作法會完整符合條文的規範，但這並不是說採用其他的指引或方法論就不符合條文的要求，仍視組織如何設計規畫及運用這些方法。為了比較能夠深入了解條文的要求，就以ISO 27005標準來說明整個風險管理的機制及運作。
一、ISO 27005 概論
風險究竟是甚麼？是一種事情發生的機率，例如明天下雨的機率是20%；而資訊安全風險就是發生損害機密性、完整性及可用性之事件的機率。觸發事件的因素有很多種，區分為內部及外部因素，內部是事物本身的特性、外部則是事物之外的狀況，舉例來說：最近病毒流行，感染冠狀病毒的機率有多高？這個機率就是我們所說的風險，所以是感染病毒的風險，內部因素是身體本身的抵抗力、防護力(勤洗手、手不摸臉部等)，外部因素就是病毒，後果就是生病、住院或死亡。
整理一下，內部因素通常稱為弱點、外部因素通常稱為威脅、後果通常以衝擊來說明。
風險 = f (威脅 * 弱點 * 衝擊)
弱點：物件或情境的內部
威脅：利用弱點造成事件發生的機率
衝擊：後果
在前面的案例中就是：
風險：感染病毒
弱點：不洗手、手經常摸臉
威脅：病毒
衝擊：生病、住院或者死亡
回到資訊安全風險來看，我們要分析的有資產、弱點及威脅。
(一)資訊資產
資訊資產是單位的資源或產出，對單位具有重要價值，資產若受到破壞時會影響業務進行，甚至造成中斷或癱瘓。資訊資產可區分有形資產(例如：資訊設備、儲存媒體、人員、基礎設施等)、無形資產(例如：應用系統、業務流程、知識、個人資料、單位聲譽等)。
(二)威脅
足以造成資訊資產危害之狀況或事，例如：破壞、洩漏、篡改資料及阻斷服務而危害。相對於資訊資產，威脅為外來的狀況。威脅通常可以分為：不可抗力因素(例如：地震、颱風)、人為錯誤(例如：資料輸入錯誤、設備操作錯誤)、惡意行動(例如：駭客入侵、竊取資料)。通常以發生可能性或機率進行評估。
(三)弱點
存在於資訊資產或其他組成元件的弱點，如果被威脅利用，會造成危害，例如軟體測試不足、硬體設計缺失、內部控制程序不足等。弱點存在於資訊資產本身，為資產之特性，例如：所在之地理位置、適用材質、使用、設計或管理方式。優點也可能成為弱點，例如：攜帶方便之隨身碟或筆記型電腦。通常以「被威脅利用之難易程度」進行評估。