缺少信息安全管理論壇，安全導向不明確，管理支持不明顯;組織信息系統管理制度不夠健全;

　　缺少跨部門的信息安全協調機制;

　　保護特定資產以及完成特定安全過程的職責還不明確;

　　員工信息安全意識薄弱，缺少防范意識，外來人員很容易直接進入生產和工作場所;

　　組織信息系統主機房安全存在隱患，如：防火設施存在問題，與危險品倉庫同處一幢辦公樓等;

　　組織信息系統備份設備仍有欠缺;

　　組織信息系統安全防范技術投入欠缺;

　　軟件知識產權保護欠缺;檔案、記錄等缺少可靠貯存場所;

　　缺少一旦發生意外時的保證生產經營連續性的措施和計劃;

　　許多計數機處于不設防狀態。

　　防范意識、管理措施、核心技術、安全產品，距離信息安全的要求相差很遠。

　　各種重要數據和文件被濫用、泄露、丟失被盜。

　　據國外統計，企業信息受到的損失中，70%是由于內部員工的疏忽或者有意泄密造成的。

　　安全問題所帶來的損失遠大于交易的帳面損失，它可分為三類，包括直接損失、間接損失和法律損失：

　　直接損失：丟失訂單，減少直接收入，損失生產率;間接損失：恢復成本，競爭力受損，品牌、聲譽受損，負面的公眾影響，失去未來的業務機會，影響股票市值或政治聲譽;法律損失：法律、法規的制裁，帶來相關聯的訴訟或追索等。