根据美国FBI/CSI等权威机构的调查，超过85%的安全威胁来自组织内部。事实上，信息安全的现实威胁主要是内部人员的疏忽和犯罪行为。

比如，计算机系统一般是通过口令来识别用户的。如果用户提供正确的口令，则系统会认为该用户是合法用户。假设一个合法用户把他/她的账户信息告诉给了其他人，那么非法用户也可以使用系统，并且无法被系统察觉出来。再比如，一个员工可能会依照一个电话请求改变自己的口令，而给攻击者提供了入侵的便利。还有，如果组织没有严格的管理规定，员工可以随意设置IP地址，则可能造成IP地址冲突，造成业务的中断。因此，对员工进行安全技术培训和安全意识教育十分重要。

除了个人疏忽或不负责的行为会给组织的信息系统带来安全威胁，内部人员也可能出于报复而主动攻击信息系统。这个时候，内部人员的攻击威胁比外部人员更加危险。因为内部人员通常比较清楚组织的计算机网络系统架构和操作规程，而且通常还会知道足够的口令跨越安全控制，而这些安全控制足以把外部攻击者挡在门外了。(www.daowen.com)

安全通常不会给企业带来直接的经济效益，但它能有效避免损失。比较糟糕的是，企业一般都认为在安全上的投资是一种浪费，而且为系统添加安全功能往往会使原来简单的操作变得复杂，从而降低处理效率。

信息安全不仅靠组织和内部人员具有相应的安全技术知识、安全意识和领导层对安全的重视，还必须制定一套明确责任、明确审批权限的安全管理制度，以及专门的安全管理部门，从根本上保证所有人员的规范化行为和操作。