8.1.1  企業信息安全形勢

信息安全涉及信息的存儲、傳輸、處理與使用等環節，存儲在計算機中的重要文件、數據庫中的重要數據等信息都存在著安全隱患，一旦丟失、損壞、泄露和不能及時送達等都會給企業造成很大的損失。隨著信息技術的廣泛應用，信息的獲取方法、存儲形態、傳輸渠道和處理方式都在不斷發生新的變化，泄密渠道增多，監管難度增大，信息安全問題更趨復雜，企業信息安全形勢日益嚴峻。

企業信息安全風險主要來源于兩個方面，一是外部的威脅，二是內部的脆弱性，這兩方面產生的企業信息安全問題，輕則可能導致數據丟失、系統故障，重則可能導致業務中斷、客戶損失、公司商譽與利益受損等。

企業信息安全的外部威脅一般是客觀存在的，不能被企業管理和控制消除，主要包括不可抗力和惡意破壞等，如：地震、火災、戰爭、破壞性攻擊、惡意代碼、病毒、WEB站點入侵等。

企業信息安全的內部脆弱性，往往和信息系統本身及管理相關，一般可以通過識別、分析、資源提供、加強管理等措施在一定程度上進行控制。內部脆弱性主要有：電力、設備資源故障等硬件缺陷；系統本身或配套設施等設計缺陷；人員、權限、制度策略、培訓等管理缺陷；操作失誤、檢查失察、貽誤預防和糾正缺陷時機等職責缺位。