“卡”在哪儿？

　　虽然大多数专家认为，政府强调实施等级安全保护制度是非常英明之举，但是，当政策法规要落到行业实践时，却为何结合得如此松散呢？瓶颈究竟在哪儿？

　　中国信息产业商会信息安全产业分会常务副理事长、著名信息安全专家屈延文教授认为，在一定程度上讲，缺乏一个强有力的信息资产安全监管机构和一套切实可行的信息安全监管机制，是国家信息安全宏观政策无法在金融业中全面落实的重要原因。

　　他认为，现在出台的《等级保护》只是一个红头文件。事实上，对于信息安全，不同部门理解的角度是不同的，公安部门讲的是安全责任；银监会讲的是安全秩序；商业银行讲的是安全效益。因此，银监会、保监会、证监会、信监会、工商会共用一个文件，一个框架虽然可行但不实际，一旦跟行业的具体问题相结合，必然存在鸿沟。

　　“我认为银行方面信息化的安全最终还是由银监会来管来抓比较合适，因为银行的信息安全属于操作风险，而操作风险就是属于银监会管的。我们不可能脱离银行业务来孤立地谈银行系统的安全。”

　　在他看来，现阶段在银行业进行《等级保护》试点工作已出现两难。

　　一难是，公安部并不懂得银行业务，如果强行推的话，必然会出现沟通障碍，只能就系统安全来谈安全，和业务剥离，使得商业银行因无法评估安全效益而缺乏贯彻落实《等级保护》的动力。

　　二难是，如果由银行业自行推，就缺乏一个强有力的监督管理机构。银监会和人民银行分开时间不长，分工不是很明确，还存在交叉。譬如银行风险、货币风险归人民银行管，操作风险归银监会管。“而这些又彼此交叉，职责的磨合需要一段时间。”

　　据记者了解，目前人民银行管理安全的部门隶属于人民银行科技司，对各商业银行的安全推广工作只能起到一个召集者的角色和行业信息化的指导性作用，心有余而力不足；而银监会没有对信息资产安全实施监管的机构，根本就拿不出具体的实施方案来，银监会的信息中心目前还无法替代信息资产监管的职能，它所承担的工作仍局限于银监会内部的一些信息化项目建设，如办公自动化、网络基础设施建设等等。

　　一些银行的信息化主管同意屈延文的部分看法，认为人民银行和银监会在信息安全监管方面可以做得更得力一些;但是，认为仅仅靠银行业内部，很难解决信息资产安全监管的机制问题。

　　某试点银行的信息化主管认为，文件写得怎样并不是等级保护最重要的事，关键问题是有没有操作性缺陷。从已经迈开的试点工作来看，实施等级保护的第一步——风险评估就是制约《等级保护》落实的最大短板。

　　首先，风险评估是一个非常复杂的问题，尤其是金融业的信息系统自身所依赖的技术复杂，涉及层面广泛，评估更是难上加难。譬如在2000年10月，银行监管巴塞尔委员会关于电子银行发展中风险管理和监管问题的报告中，仅电子银行相关的主要风险，就列出战略风险、名誉风险、操作风险（包括安全和法律风险）以及信用、市场和流动性风险众多条。

　　其次，请谁进行风险评估也是一个令人头疼的问题。按照国家政策的相关规定，我国重要的信息系统进行风险评估，主要是自己评估或委托第三方进行评估。

　　接受采访的一些银行信息化主管认为，如果进行自评估，绝大多数银行并不具备这个实力，在系统业务繁忙的情况下，银行不可能投入大量的人力和物力去进行风险评估；即使是有评估能力的银行，也认为“内部评审权威性差，自己内部人自己评自己，说不过去”，不敢贸然行事。

　　如果委托第三方评估，究竟该如何判定第三方的资质又成为一个新问题。因为以前根据人民银行的要求，会委托有实力的第三方定期做信息风险评估，但并无资质这一说。“我们不敢也没有能力承担起风险的责任。”某重要商业银行地方分行的信息化主管说。

　　因此对金融业来说，在相关配套监管措施缺位的情况下，请第三方进行风险评估本身就蕴涵了新的风险。如果不知道系统的弱点，就不可能很好地保护系统；如果知道了系统的弱点，一旦被泄露，将会带来更大的不堪设想的风险，尤其是在安全漏洞大量存在和安全事故层出不穷的状态下。

　　如何前行？

　　尽管《等级保护》在金融行业遭遇落地难题，但被采访的几位专家和银行信息化主管都认为《等级保护》从最高层次对信息系统进行了安全角度的划分，是构建我国信息安全保障体系的核心重要环节。

　　金融行业将如何突破落实《等级保护》中的重重关卡，摆脱胶着状态，顺利前行呢？一位不愿意透露姓名的信息化主管认为，首先是在于上级的重视，银行信息化建设的历史充分表明，“一把手工程”才会成功。

　　“公安部门再怎么强调，下边的CSO再怎么努力，抵不上行长亲自发话过问。”这位信息化主管说， “2000年人民银行召开信息化安全会议，行长一发话，各个商业银行的安全处就齐唰唰地建成了。”他认为，如果银行领导也认同公安部门的看法，在实施《等级保护》时，落实责任制，层层都要有人管，从总行到各分行都有责任，很多问题就可以迎刃而解。

　　“一把手”工程确实能带来信息化建设的成功，可目前有几家企业的信息化建设是“一把手”工程？从当前一些银行实施软件的不成功就可以看出一二来。所以说，“一把手”工程关键还是在于落实，从组织结构上把它明确下来。“如果这个问题得不到彻底解决，一切都是白搭。”业内一资深信息化专家表示，“银行等级保护工作的实施只是一个具体问题，类似这样实施难的信息化问题还有很多。”

　　除了需要上级领导的高度重视，抓紧制定行业内的相关配套做事，来解决监督管理方面的问题，也是金融业当前亟需要跟进的重要环节。因为没有专门的监管机构来从事信息化的监督管理，很多事情落不到实处。

　　一位银行信息化主管认为，在银行内部有安全管理机关却无监督机关，这使得安全工作是弥补而非预防，许多工作处在可做可不做的状态，譬如落实《等级保护》，因为并没有谁对违反《等级保护》规定情况下的处罚标准进行界定。他赞同屈延文的看法，呼吁银监会直接成立科技监管司或信息资源监管司，来督促银行信息化安全工作的全面实施。

　　“目前由于监管机构的缺失，评估工作走过场和所谓的腐败问题也非常严重。” 某著名安全专家在接受记者采访时表示，就算评估工作是真实的，通过评估之后，由有关部门发放证书，证明其符合要求与标准。评估之后，被评估的工作是否还能保持评估时的标准要求，必须对被评估企业进行监管，否则，评估之后，各项工作出现倒退，评估的意义便失去了。

　　对于专家的说法，记者有一些同感。2004年记者有幸参加了银行重大系统的专家组验收会，对整个验收的过程有一些了解和感觉，虽说谈不上腐败，但是那种走过场和流于形式的现象还是挺有感触的。

　　该专家认为，评估工作正确的做法是把评估的重点放在信息资产的价值评估上，给出信息资产和风险资产价值化的评分与定价的标准。评估工作除实行价值评估外，还要实行效益或有效性的再评估。

　　现在的信息安全已经逐渐变成一个独立的学科，一些信息化主管认为，信息安全需要有专业人员提供服务，包括风险分析、咨询服务等。在国家尚未对安全服务进行规划化管理时，金融业可以先行一步，对提供安全服务的企业进行行业资质管理，依靠政策和市场相调控的原则，来弥补银行安全人才缺乏的短板。

　　就算评估工作是真实的，且在通过评估之后，由有关部门发放证书，证明其符合要求与标准。但评估之后，要使被评估的工作还能保持评估时的标准要求，就必须对被评估企业进行监管。

(责任编辑：)