2007年12月22日，在中国人民银行科技司、银监会信息中心和各银行业金融机构的支持和协助下，金融电子化杂志社在北京召开了以等级保护在金融行业的实施为主题的“2007金融信息安全论坛”，中国人民银行科技司副司长李晓枫为大会致辞，来自商业银行、资产管理公司的科技部领导和IT企业的代表就会议主题展开了深入而广泛的探讨。

中国人民银行科技司副司长 李晓枫：
信息化发展到一定程度，科技部门付出了辛勤的劳动，支持了2007年银行业业务的高速发展。我们现在在想下一步往哪走。对于银行的信息化，大家心里都非常清楚，以数据大集中和应用整合的发展已经进入到攻坚阶段。银行业在数据的集中、应用架构整合方面科技部门做出了很多工作，注意了业务与技术的融合。
从信息化角度看，我们应该进入到战略性的阶段，在这个阶段中人民银行比较关注的一个问题是各个商业银行要注意自己的IT治理。信息科技要和业务范围匹配，要对业务有所支持，运行安全方面要稳定。信息安全方面，国家实行的信息安全等级保护制度，有利于建立长效机制，保证安全保护工作稳固、持久地进行下去；有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于突出重点，加强对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的安全保护和管理监督；有利于明确国家、企业、个人的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施。经过这几年的努力，我们在容灾、风险评估这几方面的体系已经建立起来。

国家开发银行营运中心副主任 熊平旭：
现阶段各家银行要建立起等级保护的理念，按照等级保护的要求自己完善各项措施比较重要，找第三方评估可能是以后的事情。我举一个别的行业的例子，比如我们行最近发生过一次欠债的情况，某公司贷款客户的财务报表等都是经过有资质的会计师事务所、律师事务所认定过，可是他们和客户一起造假账来骗银行。所以说，类似这样的第三方评估公司如果管理不是很规范，他一方面发现了别的漏洞，一方面又搞些小动作，那么银行面临的安全风险可能更大。如果说由公安局来检查，问题也很大，因为坦率的说，现在每家银行在安全、保密方面还是有不完全规范的地方，比如我们单位来过公安局的人员来查，他在查的过程中还要随机的提出一些别的问题要去查，查完后会提出一些红头文件报告，所提出的要求近期之内根本做不到，给银行造成很大的压力。可以说，这两种评估方式我们都很担心。

中国银行信息科技部副总工程师 冯恺：
等级保护在我们行已经引起了行领导层的高度重视，从这一点来讲，等级保护已经收到了成效，按照行里的说法，就是信息安全能够按照国家的要求来部署和落实了。但是，参加完2007年10月等级保护的专家讨论会后，我们有一点担心，没有想到等级保护的安全级别会定得那么高。虽然这些专家多数都来自各行各业技术方面的专家，但是金融行业的相对并不是很多，举的也多是电力、国家部委等的例子。我们比较害怕的是将来如果按照类似的成功经验来要求金融行业，特别是按照国家内网或是内部系统的要求将来贯彻到金融行业，担心有些成本、管理方式金融行业吃不消。定级高以后，不得不考虑投入，因为安全是要追求总体的平衡，总体的投入相互是有影响的，我们不能把某一块东西做得出类拔萃。

中国华融资产管理公司信息科技部总经理 艾军：
资产管理公司的特点是有很多呆账。呆账本身对社会经济运作不起作用，这是资产管理公司作业对象的特点，另外就是我们所有的系统是对内部作业提供支持和服务。比如，我们的核心业务系统我们叫资产信息管理系统，任务就是对工商银行接过来的呆坏账如何进行处置。这个系统只是管理，经过处置的账务财产并不对外营业，换言之就是我们没有窗口式的对外服务。我们的数据对社会秩序、公共利益不构成重大影响。安全等级保护我们希望将来有针对行业或子行业的等级标准。大银行和小银行没有量化的区分，这是我们目前最大的困惑。

渤海银行资讯科技部系统运行部高级经理 肖晓忠：
等级保护从制度上讲要求过高了，四级以上的系统，每年评估两次，对我们银行的管理是一种打击，应该每年评估一次，而且是结合等级保护的评估和其他方面的评估，比如IT内外部风险审计和电子银行评估管理办法等。我们聘请了一家公司对我们进行评估，应该能得到科学风险评估同等的外部等级评估的待遇。这样一个评估就能符合各项监管需求。如果一年评估一次而且能得到社会和各方监管机构的认可，还是能接受的。

华为存储网络安全公司：
在国家等级保护要求中，明确提出了结构安全这一基础要求，并将其放在了IT安全要求的首要位置，安全域规划正是结构安全主要的方法论。即便在目前等级保护制度还存在着诸多落地难题情况下，但基于等级化的安全域设计工作则是实实在在的。是能够大幅改善组织IT安全现状的。通常安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。如果理解广义的安全域概念则是，具有相同业务要求和安全要求的IT系统要素的集合。这些IT系统要素包括网络结构、系统架构、业务结构和流程等，按照这种方法划分安全域可以说是一次对信息资产的结构化。

Juniper网络公司高级安全顾问 李世朋：
信息安全等级保护是国家信息安全保障的基本制度，等级保护的整体实施工作包括系统定级、系统安全建设与整改、系统安全运维、等级测评等几个阶段。为此Juniper花费了大量的时间、精力和财力，本着为用户服务的态度，Juniper推出支持核心技术的系统，比如DOS高级防火墙系统、集成VPN，应用级防护，以及状态检测这些细节产品。Juniper将IDP技术、传统防火墙以及UTM（统一接入控制）结合成一个完善的网络核心层防护。

中国人民银行科技司安全处处长 郭全明：
等级保护是自主定级，专家只是提些意见，监管部门提供一些服务，并按照国家的要求每年检测一次安全级别。目前，很多银行根据专家的建议把重要的核心系统定在了四级，实际四级不是别人定的，而是自己定的。如果核心系统都定四级，那么中小城市商行是不是也是四级，这显然是不一样，因为它的重要性和影响与大银行不能相提并论。
另外，系统定级后的安全风险评估或评测，肯定不是自己评，而是由第三方组织评定。第三方可能是国家组织的专家队伍，也可能是专业的测评公司。搞风险评估有很大的风险，因为安全有一个理念就是我的弱点不能让你知道，你不知道我就是安全的，你知道了，我就不安全了。所以，我们也在反映，第一，应该出台国际评估的管理办法，第二，要做出一个可用公司列表，将来我们就在这个表中选择评测公司。很重要的一方面就是评估队伍如何去选择，依据什么原则，如何规避评估风险。
（根据录音整理，未经本人确认）