风险描述(risk descriptions)

根据ISO 31000，风险是“不确定性对目标的影响（effect of uncertainty on objectives）。” 这是适用於所有情况的通用风险定义，例如财务风险，人员风险，供应链风险，信息安全风险等。

以下是包含不确定性（uncertainty）和影响（effect）的完整风险描述：
员工不注意参加培训可能会导致经常违反安全政策。

以下风险描述不完整：
. 诸如地震，洪水等自然灾害是威胁的来源，是不确定性的一部分。
. “脚本小子使用开源工具对网站进行SQL注入”是一个不确定的威胁场景，没有描述其影响。
. 人命损失是一种後果。

有多种描述风险的结构方法。David Hillson博士创建的**风险元语言**是最着名的风险语言之一。使用风险元语言作为句子结构描述了以下样本风险，并且NIST通用风险模型专门用於信息安全环境。

由於黑客（威胁源threat source）可能通过SQL注入（威胁事件threat event）破坏了未打补丁的网站（漏洞vulnerability)），因此会危害组织的声誉（不利影响adverse impact）。（吴文智）

NIST通用风险模型

-NIST通用风险模型（NIST SP 800-30 R1）