任何風險都具有自然屬性和社會屬性，ISO27000信息安全風險也不例外。由于信息系統本身就是一個人機系統，在系統生命周期的每一個過程都離不開人的參與，而由于人的技術和管理能力的有限性，自然環境的不可控性，使信息系統不可避免在技術、管理和環境三方面存在一定的脆弱性，它是信息安全風險生成的內在原因。

　　從 系統論的觀點來看，信息系統是由相互作用、相互依賴的若干部分組合而成，各部分承受風險的能力與每部分的安全狀況以及它們之間的相互聯系方式密切相關。各 個組成部分抵御外界威脅的抵抗力、自適應力和恢復力各不相同，它們之間的聯系方式也各不相同。這樣自身抵抗威脅的能力以及自適應力差的部分風險比較大。另 外，信息系統的各組成部分相互依存，實現自身在信息系統中的功能，因此它們之間的結合點往往是薄弱環節，也是信息系統可能發生風險事件的脆弱點。信息系統 各個組成部分的安全狀況是隨著外界因素的變化而處于發展和變化中，它的脆弱性也是動態變化的，因此要用動態的觀點來看待信息系統的脆弱性。

　　從信息系統的安全角度，信息系統脆弱性主要是來自技術、管理和物理自然環境的脆弱性。

　　ISO27000信息安全風險形成的內因——技術脆弱性

　　眾所周知，很多組織使用的網絡操作系統和業務應用系統都存在令人擔憂的安全漏洞。

　　WINDOWS 計算機產品在世界市場上占據絕對的地位，是大多數用戶使用的系統，然而卻有著“最不安全操作系統”的名聲。從 DOS, WINDOWS9X, WINDOWS 2000, WINDOWS NT,WINDOWS XP 操作系統，不斷發布的安全補丁仍然不能保證安全的操作環境。WINDOWS 提供的通過 TELNET遠程進行系統用戶登錄的方式，創建了在身份認證方面的主要安全弱點，攻擊者可以通過 TELNET 對系統帳戶進行口令猜測;允許遠程主機匿名登錄 FTP服務器，使 FTP 服務器在訪問控制方面存在匿名可寫的目錄;WINDOWS的遠程緩沖區溢出成為拒絕服務攻擊的系統漏洞;還有 WINDOWS 的默認共享配置、弱口令問題;WEB服務 IIS5.0 printer ISAPI遠程緩沖區溢出;WINDOWS 2000 電子郵件系統的 SENDMAIL 頭處理溢出漏洞，SMTP 服務認證錯誤漏洞，很容易使傳輸郵件被修改，引發郵件欺詐問題等等。

　　數據庫軟件 Oracle Tnslsnr 口令設置缺失，Microsoft SQL Server 2000 多個服務安全漏洞，2003年病毒利用 SQL Server 2000的漏洞的流行傳播導致因特網幾乎癱瘓。

　　一些安全產品，諸如網管、防火墻等也存在安全弱點，如防火墻拒絕服務。

　　另 外，INTERNET 網絡數據的傳輸是沒有加密控制的，無法保證信息的機密性和完整性安全目標，影響了認證和不可否認的功能實現。快速增長的網絡促進了復雜應用服務的發展，這 些新產品尤其是現貸供應(Off-the-shelf)的應用系統雖然解決了一定的安全需求，但由于缺乏合理的安全設計和配置，常常引入新的漏洞。

　　ISO27000信息安全風險形成的內因——管理問題

　　由于網絡和信息系統的復雜性，需要經過良好培訓或有經驗的員工來保證信息系統的安全工程實施和管理，另外依據ISO27000標準，建立信息安全管理體系也是非常重要的，但 現有的安全人才一般都集中分布在安全產品公司、學校和研究機構，遠遠不能滿足組織的安全人才需求。缺乏經驗的專業人員經常由于錯誤的安全配置、軟硬件的錯 誤使用，使系統處于不安全狀態，容易受到內外部的攻擊;或者未經過安全教育培訓的員工由于缺乏安全意識，經常不遵守安全制度和違背安全策略，極易引發安全 事件。

　　另外，由于缺乏組織決策層領導的支持或是沒有意識到安全問題的重要性， 很少為信息安全分配足夠的資源，比如建立相應的組織機構“信息安全部”或“安全官”，而把信息安全責任看作是信息技術部門以及技術人員的職責;有的組織缺 乏有效的信息安全計劃以及安全機制，有的甚至根本沒有安全策略和計劃，或者是即使有，也是束之高閣，因為沒有相應的監管機制，或者是人員無安全意識，導致 安全策略不能有效的實施和遵守，一旦發生安全事件不知道應該在什么時間、向誰匯報違規和事故，管理者也就不清楚發生了什么，也就不能及時、合理地處理安全 問題，使安全損失擴大，有時甚至是災難性的。

　　ISO27000信息安全風險形成的內因——物理自然環境

　　缺乏對建筑物、門、窗等支撐設施的物理保護和物理訪問控制的監管，導致盜竊、故意破壞設施發生的可能性;不穩定的電力供應如電涌和電壓波動容易引起存儲介質失效或硬件故障;防水、防火、防雷等防范措施的不充分，可能在災難發生時，造成嚴重損失。