任何風(fēng)險(xiǎn)都具有自然屬性和社會(huì)屬性,，ISO27000信息安全風(fēng)險(xiǎn)也不例外。由于信息系統(tǒng)本身就是一個(gè)人機(jī)系統(tǒng),，在系統(tǒng)生命周期的每一個(gè)過程都離不開人的參與,，而由于人的技術(shù)和管理能力的有限性，自然環(huán)境的不可控性，使信息系統(tǒng)不可避免在技術(shù),、管理和環(huán)境三方面存在一定的脆弱性,，它是信息安全風(fēng)險(xiǎn)生成的內(nèi)在原因。

　　從系統(tǒng)論的觀點(diǎn)來看,，信息系統(tǒng)是由相互作用,、相互依賴的若干部分組合而成，各部分承受風(fēng)險(xiǎn)的能力與每部分的安全狀況以及它們之間的相互聯(lián)系方式密切相關(guān),。各個(gè)組成部分抵御外界威脅的抵抗力,、自適應(yīng)力和恢復(fù)力各不相同，它們之間的聯(lián)系方式也各不相同,。這樣自身抵抗威脅的能力以及自適應(yīng)力差的部分風(fēng)險(xiǎn)比較大,。另外，信息系統(tǒng)的各組成部分相互依存,，實(shí)現(xiàn)自身在信息系統(tǒng)中的功能,，因此它們之間的結(jié)合點(diǎn)往往是薄弱環(huán)節(jié)，也是信息系統(tǒng)可能發(fā)生風(fēng)險(xiǎn)事件的脆弱點(diǎn),。信息系統(tǒng)各個(gè)組成部分的安全狀況是隨著外界因素的變化而處于發(fā)展和變化中,，它的脆弱性也是動(dòng)態(tài)變化的，因此要用動(dòng)態(tài)的觀點(diǎn)來看待信息系統(tǒng)的脆弱性,。

　　從信息系統(tǒng)的安全角度,，信息系統(tǒng)脆弱性主要是來自技術(shù),、管理和物理自然環(huán)境的脆弱性,。

　　（1）技術(shù)脆弱性

　　眾所周知,，很多組織使用的網(wǎng)絡(luò)操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)都存在令人擔(dān)憂的安全漏洞,。

　　WINDOWS 計(jì)算機(jī)產(chǎn)品在世界市場(chǎng)上占據(jù)絕對(duì)的地位，是大多數(shù)用戶使用的系統(tǒng),，然而卻有著“最不安全 操作系統(tǒng)”的名聲,。從 DOS, WINDOWS9X, WINDOWS 2000, WINDOWS NT,WINDOWS XP 操作系統(tǒng)，不斷發(fā)布的安全補(bǔ)丁仍然不能保證安全的操作環(huán)境,。WINDOWS 提供的通過 TELNET遠(yuǎn)程進(jìn)行系統(tǒng)用戶登錄的方式,，創(chuàng)建了在身份認(rèn)證方面的主要安全弱點(diǎn)，攻擊者可以通過TELNET 對(duì)系統(tǒng)帳戶進(jìn)行口令猜測(cè),；允許遠(yuǎn)程主機(jī)匿名登錄FTP服務(wù)器,，使FTP服務(wù)器在訪問控制方面存在匿名可寫的目錄；WINDOWS的遠(yuǎn)程緩沖區(qū)溢出成為拒絕服務(wù)攻擊的系統(tǒng)漏洞,；還有 WINDOWS 的默認(rèn)共享配置,、弱口令問題；WEB服務(wù) IIS5.0 printer ISAPI遠(yuǎn)程緩沖區(qū)溢出；WINDOWS2000電子郵件系統(tǒng)的SENDMAIL頭處理溢出漏洞,，SMTP 服務(wù)認(rèn)證錯(cuò)誤漏洞,，很容易使傳輸郵件被修改，引發(fā)郵件欺詐問題等等,。

　　數(shù)據(jù)庫軟件Oracle Tnslsnr 口令設(shè)置缺失,，Microsoft SQL Server 2000 多個(gè)服務(wù)安全漏洞，2003年病毒利用SQL Server 2000的漏洞的流行傳播導(dǎo)致因特網(wǎng)幾乎癱瘓,。

　　一些安全產(chǎn)品,，諸如網(wǎng)管、防火墻等也存在安全弱點(diǎn),，如防火墻拒絕服務(wù),。

　　另外，INTERNET網(wǎng)絡(luò)數(shù)據(jù)的傳輸是沒有加密控制的,，無法保證信息的機(jī)密性和完整性安全目標(biāo),，影響了認(rèn)證和不可否認(rèn)的功能實(shí)現(xiàn)?？焖僭鲩L(zhǎng)的網(wǎng)絡(luò)促進(jìn)了復(fù)雜應(yīng)用服務(wù)的發(fā)展,，這些新產(chǎn)品尤其是現(xiàn)貸供應(yīng)(Off-the-shelf)的應(yīng)用系統(tǒng)雖然解決了一定的安全需求，但由于缺乏合理的安全設(shè)計(jì)和配置,，常常引入新的漏洞,。

　　（2）管理問題

　　由于網(wǎng)絡(luò)和信息系統(tǒng)的復(fù)雜性,，需要經(jīng)過良好培訓(xùn)或有經(jīng)驗(yàn)的員工來保證信息系統(tǒng)的安全工程實(shí)施和管理,，另外依據(jù)ISO27000標(biāo)準(zhǔn)，建立信息安全管理體系也是非常重要的,，但現(xiàn)有的安全人才一般都集中分布在安全產(chǎn)品公司,、學(xué)校和研究機(jī)構(gòu)，遠(yuǎn)遠(yuǎn)不能滿足組織的安全人才需求,。缺乏經(jīng)驗(yàn)的專業(yè)人員經(jīng)常由于錯(cuò)誤的安全配置,、 軟硬件的錯(cuò)誤使用，使系統(tǒng)處于不安全狀態(tài),，容易受到內(nèi)外部的攻擊,；或者未經(jīng)過安全教育培訓(xùn)的員工由于缺乏安全意識(shí)，經(jīng)常不遵守安全制度和違背安全策略,，極易引發(fā)安全事件,。

　　另外，由于缺乏組織決策層領(lǐng)導(dǎo)的支持或是沒有意識(shí)到安全問題的重要性,， 很少為信息安全分配足夠的資源,，比如建立相應(yīng)的組織機(jī)構(gòu)“信息安全部”或“安全官”,，而把信息安全責(zé)任看作是信息技術(shù)部門以及技術(shù)人員的職責(zé)；有的組織缺乏有效的信息安全計(jì)劃以及安全機(jī)制,，有的甚至根本沒有安全策略和計(jì)劃,，或者是即使有，也是束之高閣,，因?yàn)闆]有相應(yīng)的監(jiān)管機(jī)制,，或者是人員無安全意識(shí)，導(dǎo)致安全策略不能有效的實(shí)施和遵守,， 一旦發(fā)生安全事件不知道應(yīng)該在什么時(shí)間,、向誰匯報(bào)違規(guī)和事故，管理者也就不清楚發(fā)生了什么,，也就不能及 時(shí),、合理地處理安全問題，使安全損失擴(kuò)大,，有時(shí)甚至是災(zāi)難性的,。

　　（3）物理自然環(huán)境

　　缺乏對(duì)建筑物,、門,、窗等支撐設(shè)施的物理保護(hù)和物理訪問控制的監(jiān)管，導(dǎo)致盜竊,、故意破壞設(shè)施發(fā)生的可能性,；不穩(wěn)定的電力供應(yīng)如電涌和電壓波動(dòng)容易引起存儲(chǔ)介質(zhì)失效或硬件故障；防水,、防火,、防雷等防范措施的不充分，可能在災(zāi)難發(fā)生時(shí),，造成嚴(yán)重?fù)p失,。