脅威と似た言葉に、事象（イベント）、ハザード(危険)、リスクなどがあります。

事象（イベント）とは、「ある一連の周辺状況の出現又は変化」を指します。一般的に使われる際の意図とほぼ同じことを指し、ごく一般的な「催し物」から、企業に悪影響を与える脅威（例：火災など）にいたるまで、さまざまな状況を指します。

ハザード（危険）は、組織の目的達成を脅かす要因という観点では「脅威」と同じです。が、それ自体では組織に襲いかかるものではなく、組織が何らかのアクションをとることによって陥るワナなどのことを指します。言い換えますと、脅威は能動的に脅かすものであるのに対し、ハザードは受動的に脅かすもの、と表現できます。

リスクは、「目的に対する不確かさの影響」です。つまり、組織の目的達成を脅かす程度とその“可能性”を指します。地震を脅威に例えますと、リスクは「地震によって事業中断が起きる可能性」といった表現で表すことになります。

企業のリスク管理では、リスクを特定し、分析し、評価し、対応する活動が継続的に行われています。この際の「リスク特定」の活動に、「脅威」という言葉が深く関係してくることになります。

なぜなら、リスク管理の国際規格であるISO31000の「リスク特定」の項でも「（リスク特定では）原因及び起こり得る結果を特定することが望ましい」と述べられていますが、「脅威」はリスクの要因になり得るものだからです。つまり、企業にとってのリスクを洗い出す際に、「脅威」を意識することが重要となるわけです。

事実「情報漏えい」や「事業中断」など、結果から考えたほうがリスクを洗い出しやすい場合もあれば、「地震」や「火災」といった要因（脅威）から考えたほうがリスクを洗い出しやすい場合もあるでしょう。

脅威は、その脅威の主語になり得るものを考えると洗い出しやすくなります。脅威の主語になる得るものとは、たとえばハッカーや泥棒、テロリスト、従業員、自然などです。

下記は、これらを体系的に分類する一例です。

【出典：ISMSユーザーズガイド JISQ27001:2006(ISO/IEC27001:2005)対応の記載内容を基に筆者が編集】

なお、人為的脅威に関しては、さらにこれらを、第一者（本人）、第二者（例：取引先やグループ会社）、第三者（部外者）に分け、それを意図的か偶発的脅威かで分類することもできます。