8.1.1  企業(yè)信息安全形勢(shì)

信息安全涉及信息的存儲(chǔ)、傳輸、處理與使用等環(huán)節(jié)，存儲(chǔ)在計(jì)算機(jī)中的重要文件、數(shù)據(jù)庫中的重要數(shù)據(jù)等信息都存在著安全隱患，一旦丟失、損壞、泄露和不能及時(shí)送達(dá)等都會(huì)給企業(yè)造成很大的損失。隨著信息技術(shù)的廣泛應(yīng)用，信息的獲取方法、存儲(chǔ)形態(tài)、傳輸渠道和處理方式都在不斷發(fā)生新的變化，泄密渠道增多，監(jiān)管難度增大，信息安全問題更趨復(fù)雜，企業(yè)信息安全形勢(shì)日益嚴(yán)峻。

企業(yè)信息安全風(fēng)險(xiǎn)主要來源于兩個(gè)方面，一是外部的威脅，二是內(nèi)部的脆弱性，這兩方面產(chǎn)生的企業(yè)信息安全問題，輕則可能導(dǎo)致數(shù)據(jù)丟失、系統(tǒng)故障，重則可能導(dǎo)致業(yè)務(wù)中斷、客戶損失、公司商譽(yù)與利益受損等。

企業(yè)信息安全的外部威脅一般是客觀存在的，不能被企業(yè)管理和控制消除，主要包括不可抗力和惡意破壞等，如：地震、火災(zāi)、戰(zhàn)爭、破壞性攻擊、惡意代碼、病毒、WEB站點(diǎn)入侵等。

企業(yè)信息安全的內(nèi)部脆弱性，往往和信息系統(tǒng)本身及管理相關(guān)，一般可以通過識(shí)別、分析、資源提供、加強(qiáng)管理等措施在一定程度上進(jìn)行控制。內(nèi)部脆弱性主要有：電力、設(shè)備資源故障等硬件缺陷；系統(tǒng)本身或配套設(shè)施等設(shè)計(jì)缺陷；人員、權(quán)限、制度策略、培訓(xùn)等管理缺陷；操作失誤、檢查失察、貽誤預(yù)防和糾正缺陷時(shí)機(jī)等職責(zé)缺位。