风险的三个因素包括：风险因素、风险事故和损失。

其中，风险因素是指引起或增加风险发生的机会的潜在原因，一般包括物质风险、道德风险和心理风险因素。

风险事故是指引起风险的发生的直接原因，它的产生就是风险的发生。

损失是指财产的损失，包括直接或间接的损失，这是风险产生的后果。

风险的三个要素不是相互影响，而是风险因素导致风险事故的发生，而风险事故的发生又造成了损失。

三个要素：项目风险管理包括项目风险管理环境的建立、项目风险管理规划、信息沟通与协调。

四个基本过程：风险识别、风险分析、风险应对和风险监控。

项目风险管理体系通常包括了风险本身的管理与非风险本身的管理, 有时候，非风险本身的管理甚至要重于风险本身的管理。

项目风险管理体系由内部要素和外部要素构成。

项目风险管理体系的内部要素包括：
（1）风险管理组织机构
（2）风险管理资源
（3）风险管理保障机制
（4）风险管理运行机制
项目风险管理体系的外部要素包括：
（1）政府部门
（2）业主与监理方
（3）风险管理专业机构
（4）其他承包商
（5）中介机构
一、坚定三要素在风险管理中要坚定地立足于a.s.t.三要素。

在风险评估中，如果这三个要素有所确实，会大大影响风险评估的说服力。

比如，如果在风险评估中，不对资产和业务作出有特点、有针对性地评估、分析，仅仅按照２７００１的内容对应地进行评估，那么就仅仅是做了“安全措施评估”，这仅仅是安全三要素的一个脚。

如果仅仅按照多年来业界的评估模式，评估资产价值、脆弱性和威胁，组成风险，而将安全措施仅仅作为风险值分析出来后的控制来考虑，会对于控制措施的前后连贯性缺乏描述。

其实，没有无防护的系统，防护措施在风险中也有其地位，就像风险１０要素模型中阐述的，脆弱性和防护措施有一定的对应关系。

总之，在风险管理中，特别是在风险评估中，一定要全面考虑风险的这三个要素。

二、a.s.t.三要素，有主有附着ａ是资产和业务，ｔ是威胁，ｓ是防护措施。

ａａ是
可以自己独立存在的。

资产和业务有其自身的目标、方法、模式、体系架构等等。

如果从业务的角度看，可以不理会ｓ和ｔ，紧紧考虑ａ。

所以，ａ是风险要素中，最“元”的要素。

就像as4360中对于风险的定义：“对目标有所影响的某件事情发生的可能。

”这句话里有一个关键点就是目标，而这个目标就是资产，就是业务，就是对于业务的保障。

ｔ→ａｔ一定是针对资产和业务的。

没有孤零零存在的威胁。

没有伤害的目标，威胁就没有意义。

所以，在威胁的评估中，一定要明确是针对什么资产和业务的威胁。

即使是比较通用的威胁，也一定要清楚这个威胁是针对那个资产类的威胁。

ｓ（ｔ→ａ）防护措施，一定是要防护某一个威胁。

而威胁一定是针对资产和业务的。

也就是说，看一个防护措施，一定要搞清楚解决那些威胁、保护那些资产。

有的时候，仅仅说一个防护措施是防护什么资产的，但是，如果忽视了所对应的威胁，就会迷失。

所以，这风险三要素不仅仅是ａｓｔ，而是ｓ（ｔ→ａ）。