其次，政策的管理部门太多，行政效率很低，从而导致落实政策和法规时，出现问题不知道找谁。牵头实施《等级保护》的相关部门很多，国信办、公安部、信息产业部、保密局、人民银行、银监会都在参与，但具体工作究竟该由谁指导落实，却非常模糊。

　　“坦率地讲，《等级保护》试点在我们银行没有太多进展。”该银行科技部负责人说，“很多事情，政府管理的部门一多，就会变得复杂理不清头绪。上面没说清楚，下面就更搞不清楚。”

　　据一家地方性银行的信息化主管介绍，他们是当地公安部门确定的第一批落实《等级保护》的试点单位之一，但几个月过去了，银行都还没有弄清楚该工作到底是公安部门的网监处牵头，还是由内保局来主管，因为二者都在做等级保护的相关工作。“最后的结果是，公安部门需要我们提供什么材料，我们就提供什么材料。”这位信息化主管说，“从而失去了试点工作的意义。”

　　再者，虽然我国银行业的网络安全意识和网络安全应用水平居于各行业之首，但“等级保护”却是一个新课题。一方面，相对来说，中国金融业基于互联网的入侵近几年才涌现，大家对风险的评估能力和安全的防护手段还处在逐步改进之中;另一方面，随着前几年银行业数据大集中的逐步完成，银行的业务系统不单单是一个软件系统，还涉及到覆盖全国的网络系统。

　　“我们缺乏经验，也无从下手。”某政策性银行一位主管信息安全的CSO说，“公安部出台了一些细节，指导性不强;而人民银行也没有具体的相关条例。”据了解，按照公安部门的要求：在落实《等级保护》时，系统的定级要银行自己来上报，再由公安部门来检查。

　　对于银行来说，评估自己的系统应该上报为几级是件相当头疼的事情。如果系统的安全级别报高了，安全措施就会要求高，从而增加银行的安全成本，影响到安全效益;如果系统的安全级别报低了，万一出了问题，谁也负担不了这个责任。

　　该安全主管表示，等级保护是一定要做的，但对于像我们银行这样信息化人手远远不够的单位来说，只能是借鉴试点的兄弟单位的经验来做，眼下所能做的是把相关政策、法规消化理解透彻。“这不是一两年就能做好的工作，只能是走走停停，边走边看。”

　　“卡”在哪儿?

　　虽然大多数专家认为，政府强调实施等级安全保护制度是非常英明之举，但是，当政策法规要落到行业实践时，却为何结合得如此松散呢?瓶颈究竟在哪儿?

　　中国信息产业商会信息安全产业分会常务副理事长、著名信息安全专家屈延文教授认为，在一定程度上讲，缺乏一个强有力的信息资产安全监管机构和一套切实可行的信息安全监管机制，是国家信息安全宏观政策无法在金融业中全面落实的重要原因。

　　他认为，现在出台的《等级保护》只是一个红头文件。事实上，对于信息安全，不同部门理解的角度是不同的，公安部门讲的是安全责任;银监会讲的是安全秩序;商业银行讲的是安全效益。因此，银监会、保监会、证监会、信监会、工商会共用一个文件，一个框架虽然可行但不实际，一旦跟行业的具体问题相结合，必然存在鸿沟。

　　“我认为银行方面信息化的安全最终还是由银监会来管来抓比较合适，因为银行的信息安全属于操作风险，而操作风险就是属于银监会管的。我们不可能脱离银行业务来孤立地谈银行系统的安全。”

　　在他看来，现阶段在银行业进行《等级保护》试点工作已出现两难。

　　一难是，公安部并不懂得银行业务，如果强行推的话，必然会出现沟通障碍，只能就系统安全来谈安全，和业务剥离，使得商业银行因无法评估安全效益而缺乏贯彻落实《等级保护》的动力。