风险评估的三个要素A. 硬件，软件和人B. 政策，结构和技术C. 组织，技术和信息D. 资产，威胁和脆弱性

风险评估的三个要素是信息安全领域的重要知识点。本题考查学生对风险评估核心概念的理解。
关键点在于明确风险评估的三个基本组成部分：资产（需要保护的对象）、威胁（可能对资产造成损害的事件或行为）、脆弱性（资产存在的弱点，使威胁能够造成实际损害）。其他选项中的内容虽然与安全相关，但并非风险评估的直接要素。

选项分析

选项A：硬件，软件和人

• 错误原因：硬件、软件和人属于信息系统的组成部分，但风险评估的核心是围绕资产、威胁、脆弱性展开，而非系统构成要素。

选项B：政策，结构和技术

• 错误原因：政策和结构属于管理措施，技术是防护手段，这些是风险管理的范畴，而非风险评估的直接要素。

选项C：组织，技术和信息

• 错误原因：组织和技术是管理与防护的维度，信息是资产的一种形式，但未完整涵盖风险评估的核心三要素。

选项D：资产，威胁和脆弱性

• 正确原因：
  1. 资产是需要保护的资源（如数据、系统）。
  2. 威胁是可能对资产造成损害的事件（如网络攻击）。
  3. 脆弱性是资产的弱点（如未打补丁的系统），使威胁能够实际利用。
     三者共同构成风险评估的基础。