任何組織，不論它在信息技術方面如何努力以及采納如何新的信息安全技術，實際上在信息安全管理方面都還存在漏洞，例如：
    1. 缺少信息安全管理論壇，安全導向不明確，管理支持不明顯；
    2. 缺少跨部門的信息安全協調機制；
    3. 保護特定資產以及完成特定安全過程的職責還不明確；
    4. 雇員信息安全意識薄弱，缺少防范意識，外來人員很容易直接進入生產和工作場所；
    5. 組織信息系統管理制度不夠健全；
    6. 組織信息系統主機房安全存在隱患，如：防火設施存在問題，與危險品倉庫同處一幢辦公樓等；
    7. 組織信息系統備份設備仍有欠缺；
    8. 組織信息系統安全防范技術投入欠缺；
    9. 軟件知識產權保護欠缺；
    10. 計算機房、辦公場所等物理防范措施欠缺；
    11. 檔案、記錄等缺少可靠貯存場所；
    12. 缺少一旦發生意外時的保證生產經營連續性的措施和計劃；
    …….等等
    通過以上信息管理方面的漏洞以及經常見諸報端的種種信息安全事件表明，任何組織都急需建立信息安全管理體系，以保障其技術和商業機密，保障信息的完整性和可用性，最終保持其生產、經營活動的連續性。