|
“卡”在哪儿?
虽然大多数专家认为,政府强调实施等级安全保护制度是非常英明之举,但是,当政策法规要落到行业实践时,却为何结合得如此松散呢?瓶颈究竟在哪儿?
中国信息产业商会信息安全产业分会常务副理事长、著名信息安全专家屈延文教授认为,在一定程度上讲,缺乏一个强有力的信息资产安全监管机构和一套切实可行的信息安全监管机制,是国家信息安全宏观政策无法在金融业中全面落实的重要原因。
他认为,现在出台的《等级保护》只是一个红头文件。事实上,对于信息安全,不同部门理解的角度是不同的,公安部门讲的是安全责任;银监会讲的是安全秩序;商业银行讲的是安全效益。因此,银监会、保监会、证监会、信监会、工商会共用一个文件,一个框架虽然可行但不实际,一旦跟行业的具体问题相结合,必然存在鸿沟。
“我认为银行方面信息化的安全最终还是由银监会来管来抓比较合适,因为银行的信息安全属于操作风险,而操作风险就是属于银监会管的。我们不可能脱离银行业务来孤立地谈银行系统的安全。”
在他看来,现阶段在银行业进行《等级保护》试点工作已出现两难。
一难是,公安部并不懂得银行业务,如果强行推的话,必然会出现沟通障碍,只能就系统安全来谈安全,和业务剥离,使得商业银行因无法评估安全效益而缺乏贯彻落实《等级保护》的动力。
二难是,如果由银行业自行推,就缺乏一个强有力的监督管理机构。银监会和人民银行分开时间不长,分工不是很明确,还存在交叉。譬如银行风险、货币风险归人民银行管,操作风险归银监会管。“而这些又彼此交叉,职责的磨合需要一段时间。”
据记者了解,目前人民银行管理安全的部门隶属于人民银行科技司,对各商业银行的安全推广工作只能起到一个召集者的角色和行业信息化的指导性作用,心有余而力不足;而银监会没有对信息资产安全实施监管的机构,根本就拿不出具体的实施方案来,银监会的信息中心目前还无法替代信息资产监管的职能,它所承担的工作仍局限于银监会内部的一些信息化项目建设,如办公自动化、网络基础设施建设等等。
一些银行的信息化主管同意屈延文的部分看法,认为人民银行和银监会在信息安全监管方面可以做得更得力一些;但是,认为仅仅靠银行业内部,很难解决信息资产安全监管的机制问题。
某试点银行的信息化主管认为,文件写得怎样并不是等级保护最重要的事,关键问题是有没有操作性缺陷。从已经迈开的试点工作来看,实施等级保护的第一步——风险评估就是制约《等级保护》落实的最大短板。
首先,风险评估是一个非常复杂的问题,尤其是金融业的信息系统自身所依赖的技术复杂,涉及层面广泛,评估更是难上加难。譬如在2000年10月,银行监管巴塞尔委员会关于电子银行发展中风险管理和监管问题的报告中,仅电子银行相关的主要风险,就列出战略风险、名誉风险、操作风险(包括安全和法律风险)以及信用、市场和流动性风险众多条。
其次,请谁进行风险评估也是一个令人头疼的问题。按照国家政策的相关规定,我国重要的信息系统进行风险评估,主要是自己评估或委托第三方进行评估。
接受采访的一些银行信息化主管认为,如果进行自评估,绝大多数银行并不具备这个实力,在系统业务繁忙的情况下,银行不可能投入大量的人力和物力去进行风险评估;即使是有评估能力的银行,也认为“内部评审权威性差,自己内部人自己评自己,说不过去”,不敢贸然行事。
如果委托第三方评估,究竟该如何判定第三方的资质又成为一个新问题。因为以前根据人民银行的要求,会委托有实力的第三方定期做信息风险评估,但并无资质这一说。“我们不敢也没有能力承担起风险的责任。”某重要商业银行地方分行的信息化主管说。
因此对金融业来说,在相关配套监管措施缺位的情况下,请第三方进行风险评估本身就蕴涵了新的风险。如果不知道系统的弱点,就不可能很好地保护系统;如果知道了系统的弱点,一旦被泄露,将会带来更大的不堪设想的风险,尤其是在安全漏洞大量存在和安全事故层出不穷的状态下。 |
