信息系统中存在安全隐患和薄弱环节,对用户、企业和社会都可能造成不必要的损失.文章主要介绍安全管理测评的基础知识,阐述了安全管理测评的重要性，针对安全管理测评中的常见问题进行分析并提出有效建议。信息系统的安全管理制度应定期评审信息系统相关的政策和制度，并根据现实情况不断进行改进，尤其是在发生重大安全事故、出现新的漏洞以及技术基础结构发生变更时。安全管理机构方面由于在管理方面的投入较少，很多机构的人员都严重缺乏，岗位设置不明确，不能做到最小授权的原则。人员安全管理方面，只有对人员进行有效的管理后，才有可能降低人为错误、盗窃、诈骗和误用设备的风险，从而减小信息系统因人员错误而造成损失的概率。系统建设管理方面，对采购、开发/外包、实施、验收、交付都未进行严格的管理，企业验收交付后未提供相应的操作手册，也未进行相应的培训。系统运维管理方面，缺少事件审批流程，对计算机、网络机房环境以及设置有网络终端的办公环境的进出未进行管理和记录;对资产、介质、设备未进行规范化管理，多数资产清单未表明资产的重要程度;由于资金的缺乏，多数机构未建立安全监控中心，不能实时监控设备运行情况等，部分机构应特别注意信息泄密的管理。