据记者了解，目前人民银行管理安全的部门隶属于人民银行科技司，对各商业银行的安全推广工作只能起到一个召集者的角色和行业信息化的指导性作用，心有余而力不足;而银监会没有对信息资产安全实施监管的机构，根本就拿不出具体的实施方案来，银监会的信息中心目前还无法替代信息资产监管的职能，它所承担的工作仍局限于银监会内部的一些信息化项目建设，如办公自动化、网络基础设施建设等等。

　　一些银行的信息化主管同意屈延文的部分看法，认为人民银行和银监会在信息安全监管方面可以做得更得力一些;但是，认为仅仅靠银行业内部，很难解决信息资产安全监管的机制问题。

　　某试点银行的信息化主管认为，文件写得怎样并不是等级保护最重要的事，关键问题是有没有操作性缺陷。从已经迈开的试点工作来看，实施等级保护的第一步——风险评估就是制约《等级保护》落实的最大短板。

　　首先，风险评估是一个非常复杂的问题，尤其是金融业的信息系统自身所依赖的技术复杂，涉及层面广泛，评估更是难上加难。譬如在2000年10月，银行监管巴塞尔委员会关于电子银行发展中风险管理和监管问题的报告中，仅电子银行相关的主要风险，就列出战略风险、名誉风险、操作风险(包括安全和法律风险)以及信用、市场和流动性风险众多条。

　　其次，请谁进行风险评估也是一个令人头疼的问题。按照国家政策的相关规定，我国重要的信息系统进行风险评估，主要是自己评估或委托第三方进行评估。

　　接受采访的一些银行信息化主管认为，如果进行自评估，绝大多数银行并不具备这个实力，在系统业务繁忙的情况下，银行不可能投入大量的人力和物力去进行风险评估;即使是有评估能力的银行，也认为“内部评审权威性差，自己内部人自己评自己，说不过去”，不敢贸然行事。

　　如果委托第三方评估，究竟该如何判定第三方的资质又成为一个新问题。因为以前根据人民银行的要求，会委托有实力的第三方定期做信息风险评估，但并无资质这一说。“我们不敢也没有能力承担起风险的责任。”某重要商业银行地方分行的信息化主管说。

　　因此对金融业来说，在相关配套监管措施缺位的情况下，请第三方进行风险评估本身就蕴涵了新的风险。如果不知道系统的弱点，就不可能很好地保护系统;如果知道了系统的弱点，一旦被泄露，将会带来更大的不堪设想的风险，尤其是在安全漏洞大量存在和安全事故层出不穷的状态下。

　　如何前行?

　　尽管《等级保护》在金融行业遭遇落地难题，但被采访的几位专家和银行信息化主管都认为《等级保护》从最高层次对信息系统进行了安全角度的划分，是构建我国信息安全保障体系的核心重要环节。