上篇《基于数据安全的风险评估-脆弱性识别》，是从脆弱性识别内容、识别方式、脆弱性定级，三个部分进行介绍。与脆弱密切相关的是威胁，威胁是一种对组织及资产构成潜在破坏的可能性因素，威胁需要利用资产脆弱性才能产生危害。造成威胁的因素可分为人为因素（恶意和非恶意）和环境因素（不可抗力和其它）。本篇威胁性识别将从威胁来源、威胁识别与分类、威胁等级划分三个部分进行介绍。

一、威胁来源

在对威胁进行分类前，首先需要考虑威胁来源，威胁来源包括环境因素及人为因素，环境因素包括：断电、静电、温度、湿度、地震、火灾等，由于环境因素是共性因素（信息系统评估与数据安全品评估），本篇不过多做介绍。而认为因素可参考如下示例图。

数据威胁示例图

二、威胁识别与分类

威胁识别在风险评估过程中至关重要，威胁识别的准确性直接影响识别风险评估及后续的安全建设方向，所以丰富的数据威胁识别内容或分类，影响整体风险评估质量。

威胁识别可分为管理和技术两大类，具体如下示例图：

威胁识别示例图

三、威胁等级划分

判断威胁出现的频率是威胁识别的重要内容，在威胁等级评估中，需要从三个方面考虑：

1.发生在自身安全事件中出现过的威胁及频率；

2.通过检测工具及各种日志主动发现的威胁及其频率；

3.社会或特定行业威胁及其频率。（如前几年的携程事件）。

通过对威胁频率进行等级处理，不同等级分别代表威胁出现的频率高低，等级数值越大，其威胁出现频率越高，具体如下示例图。

威胁等级划分示例图

下章介绍数据资产风险分析及综合风险评估分析（结合资产识别、威胁识别、脆弱性识别、风险），主要包括风险计算、风险判定及综合风险分析表。

资产识别与脆弱性识别请见：

基于数据安全的风险评估-数据资产识别

基于数据安全的风险评估-脆弱性识别​​​​​​​