Соотношение между уязвимостью и угрозой
Уязвимость
Это потенциальный путь для выполнения атаки.
Существует:
в компьютерных системах и сетях (делая систему открытой для атак с использованием технических методов);
в административных процедурах (делая среду открытой для атак без использования технических методов).
Уязвимость характеризуется сложностью и уровнем технических навыков, необходимых для того, чтобы ею воспользоваться.
Уязвимостью высокого уровня риска - легко воспользоваться (с помощью сценария атаки), позволяет злоумышленнику получить полный контроль над системой.
Уязвимостью низкого уровня риска - потребует от атакующего вложения значительных средств в оборудование и персонал и 
позволит лишь получить доступ к не особо ценной информации.
Угроза
Потенциально или реально существующая опасность нарушения безопасности
Основные сферы проявления угроз 
Экономические угрозы:
хищения, совершенные путем присвоения, растраты, злоупотребления служебным положением;
кражи;
взяточничество;
корыстные злоупотребления властью или служебным положением;
контрабанда;
нарушение правил валютных операций и пр.
Вструктуре экономической преступности одну треть занимают хищения государственного и общественного имущества, совершаемые путем присвоения, растраты либо злоупотребления служебным положением. 
Социальные угрозы определяются:
повышающимся уровнем безработицы;
расширяющейся зоной нищеты;
увеличивающимся разрывом в уровнях доходов между бедными и богатыми, с нарастающей региональной дифференциацией.
дискриминационное положение женщин в бизнесе, инвалидов, военнослужащих и т. д.
Информационные угрозы это действия, приводящие:
к ознакомлению с конфиденциальной информацией;
к ее модификации (т. е. изменению содержания и структуры в интересах злоумышленника);
к уничтожению;
к неправомерному обладанию охраняемыми сведениями:
разглашение,
утечка по техническим каналам,
несанкционированный доступ со стороны злоумышленников.
Виды информационных угроз
ознакомление с конфиденциальной информацией различными путями (подглядывания, копирования и т. д.);
модификация информации в интересах злоумышленника;
разрушение информации (факты вандализма, вредительства, развлечение для хакеров).
Осуществление этих угроз может быть реализовано:
путём неофициального доступа к источникам конфиденциальной информации;
путем подкупа сотрудников предприятия, непосредственно связанных с коммерческой тайной;
путем перехвата информации, передаваемой средствами связи или излучаемой различными техническими средствами;
через переговорные процессы между представителями 
различных структур и др.
