缺少信息安全管理論壇，安全導(dǎo)向不明確，管理支持不明顯；組織信息系統(tǒng)管理制度不夠健全； 

缺少跨部門的信息安全協(xié)調(diào)機(jī)制； 

保護(hù)特定資產(chǎn)以及完成特定安全過程的職責(zé)還不明確； 

員工信息安全意識薄弱，缺少防范意識，外來人員很容易直接進(jìn)入生產(chǎn)和工作場所； 

組織信息系統(tǒng)主機(jī)房安全存在隱患，如：防火設(shè)施存在問題，與危險(xiǎn)品倉庫同處一幢辦公樓等； 

組織信息系統(tǒng)備份設(shè)備仍有欠缺； 

組織信息系統(tǒng)安全防范技術(shù)投入欠缺； 

軟件知識產(chǎn)權(quán)保護(hù)欠缺；檔案、記錄等缺少可靠貯存場所； 

缺少一旦發(fā)生意外時(shí)的保證生產(chǎn)經(jīng)營連續(xù)性的措施和計(jì)劃； 

許多計(jì)數(shù)機(jī)處于不設(shè)防狀態(tài)。 

防范意識、管理措施、核心技術(shù)、安全產(chǎn)品，距離信息安全的要求相差很遠(yuǎn)。 

各種重要數(shù)據(jù)和文件被濫用、泄露、丟失被盜。 

據(jù)國外統(tǒng)計(jì)，企業(yè)信息受到的損失中，70%是由于內(nèi)部員工的疏忽或者有意泄密造成的。 

安全問題所帶來的損失遠(yuǎn)大于交易的帳面損失，它可分為三類，包括直接損失、間接損失和法律損失： 直接損失：丟失訂單，減少直接收入，損失生產(chǎn)率；間接損失：恢復(fù)成本，競爭力受損，品牌、聲譽(yù)受損，負(fù)面的公眾影響，失去未來的業(yè)務(wù)機(jī)會，影響股票市值或政治聲譽(yù)；法律損失：法律、法規(guī)的制裁，帶來相關(guān)聯(lián)的訴訟或追索等。