网络风险评估的三要素包括主要包括资产、威胁、脆弱性三要素。网络安全风险（Risk）是指网络中的资产受到损伤或破坏造成的危害及其可能性，它由资产的威胁主体直接（或间接）利用弱点所引发。资产、威胁、脆弱性这三个要素之间的相互作用，决定了风险的后果（Impact）和可能性（Likelihood）。其中，资产的脆弱性及其面临的威胁类型决定了风险发生的可能性，资产价值和威胁严重程度决定了风险的后果。风险评估是基于这些要素构建指标体系，建立合理的评估模型，通过计算评估风险发生的可能性及其产生的负面影响的程度，进而结合安全标准或工具，确定系统风险等级。