缺少信息安全管理论坛，安全导向不明确，管理支持不明显；组织信息系统管理制度不够健全； 

缺少跨部门的信息安全协调机制； 

保护特定资产以及完成特定安全过程的职责还不明确； 

员工信息安全意识薄弱，缺少防范意识，外来人员很容易直接进入生产和工作场所； 

组织信息系统主机房安全存在隐患，如：防火设施存在问题，与危险品仓库同处一幢办公楼等； 

组织信息系统备份设备仍有欠缺； 

组织信息系统安全防范技术投入欠缺； 

软件知识产权保护欠缺；档案、记录等缺少可靠贮存场所； 

缺少一旦发生意外时的保证生产经营连续性的措施和计划； 

许多计数机处于不设防状态。 

防范意识、管理措施、核心技术、安全产品，距离信息安全的要求相差很远。 

各种重要数据和文件被滥用、泄露、丢失被盗。 

据国外统计，企业信息受到的损失中，70%是由于内部员工的疏忽或者有意泄密造成的。 

安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失： 直接损失：丢失订单，减少直接收入，损失生产率；间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉；法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。