As sentenças abaixo são inspiradas no texto de Ramos (2006) sobre Segurança da Informação:

I. Evento que tem potencial em si próprio para comprometer os objetivos da organização e pode trazer danos diretos aos ativos, ou prejuízos decorrentes de situações inesperadas.

II. Ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existentes.

III. Medida indicativa de probabilidade de uma ocorrência que possa comprometer os objetivos da organização, combinada com os impactos que ela trará.

Fonte: (RAMOS, Anderson. Security Officer - 1: guia oficial para formação de gestores em segurança da informação. Porto Alegre: Zouk, 2006.)

Tais sentenças descrevem, respectivamente, as definições de: