缺少信息安全管理(lǐ)論壇，安全導向不明(míng)确，管理(lǐ)支持不明(míng)顯；組織信息系統管理(lǐ)制度不夠健全；
缺少跨部門(mén)的信息安全協調機制；
保護特定資産以及完成特定安全過程的職責還不明(míng)确；
員工(gōng)信息安全意識薄弱，缺少防範意識，外(wài)來(lái)人員很(hěn)容易直接進入生産和(hé)工(gōng)作(zuò)場所；
組織信息系統主機房安全存在隐患，如：防火設施存在問題，與危險品倉庫同處一幢辦公樓等；
組織信息系統備份設備仍有欠缺；
組織信息系統安全防範技術投入欠缺；
軟件知(zhī)識産權保護欠缺；檔案、記錄等缺少可靠貯存場所；
缺少一旦發生意外(wài)時(shí)的保證生産經營連續性的措施和(hé)計(jì)劃；
許多計(jì)數機處于不設防狀态。
防範意識、管理(lǐ)措施、核心技術、安全産品，距離信息安全的要求相差很(hěn)遠。
各種重要數據和(hé)文(wén)件被濫用(yòng)、洩露、丢失被盜。
據國外(wài)統計(jì)，企業信息受到(dào)的損失中，70%是由于内部員工(gōng)的疏忽或者有意洩密造成的。
 安全問題所帶來(lái)的損失遠大(dà)于交易的帳面損失，它可分爲三類，包括直接損失、間接損失和(hé)法律損失： 直接損失：丢失訂單，減少直接收入，損失生産率；間接損失：恢複成本，競争力受損，品牌、聲譽受損，負面的公衆影響，失去未來(lái)的業務機會(huì)，影響股票市值或政治聲譽；法律損失：法律、法規的制裁，帶來(lái)相關聯的訴訟或追索等。