「風險」是衡量一個系統、服務或其他實體，受到潛在事件或情況威脅程度的尺規，通常以發生的嚴重性與可能性（likelihood）來綜合評估。
以資安風險來說，可能因系統或資訊遭到未經授權存取、使用、披露、中斷服務、修改、滅失等，對組織造成不良的影響，代表風險與威脅、嚴重性與可能性是互相有關連的。

風險矩陣

風險矩陣為發生嚴重性 * 發生可能性，可產生出以下組合，即可代表風險高低：

• 低嚴重性、低發生可能性
• 低嚴重性、中發生可能性
• 低嚴重性、高發生可能性
• 中嚴重性、低發生可能性
• 中嚴重性、中發生可能性
• 中嚴重性、高發生可能性
• 高嚴重性、低發生可能性
• 高嚴重性、中發生可能性
• 高嚴重性、高發生可能性
  
  風險矩陣示意圖（圖片來源：Why Use Matrix-Type Models for Risk Assessment?）

風險管理術語

• 資產：對組織來說有相當的價值，需要受到保護，可能是有形（如硬體設備）或無形（如資訊）的資產。
• 漏洞：保護資產措施中存在的缺口或薄弱環節，通常為系統或程式中本來就存在的弱點或缺陷，一旦如果被利用就可能導致風險事件發生，因此組織應盡力防止漏洞遭到利用。
• 威脅：指人或其他實體，透過利用漏洞達成入侵或其他非法行為的目標。
• 可能性（Likelihood）：漏洞被成功利用的機率，或是事件發生的頻率。

瞭解了風險管理的基本術語後，接下來就來到風險管理的處理流程，包含了識別、評估、處理三大步驟，明日將會詳細介紹。