国内金融行业和国外相比，还存在投资比例的差异。在国外金融行业的投资中服务和软件的比例占到三分之二，国内的硬件比例则相对高一些，占到二分之一多一些。“国外的金融信息化建设已经进行了四、五十年，有着良好的信息化基础，所以，信息化投资的比例也相对成熟和稳定。”

　　银行用的高端的计算机基本上是从国外进口的，这中间就存在一个歧视性定价问题。宋传杰曾研究过，进口的产品在国内的价格比在国外提高了1.5至3倍，这就一来，同样的产品，国内的金融行业要比国外同行支付更多的钱；再者，国内的劳动力成本比国外低得多，同样的工作岗位，在国外的成本有可能是5000美金，在国内5000块钱就足够了。“所以，从表面上看，国内金融行业在投资比例的分配上，有可能是服务占20%，硬件占50%，软件占30%。”

　　平常心对待信息安全

　　主要观点：信息安全是一个正常现象，内容极为广泛，既是主动的防范也是被动的防御。

　　金融信息安全是监管当局对银行提出的一个重要的要求，也是巴塞尔协议评判一家银行是不是良好的一个标准。所以，对于信息安全，所有的银行都不会掉以轻心。

　　“任何一件事情都是有风险的，风险无处不在。信息安全是一个很宽泛的概念，一只老鼠甚至都是信息安全的隐患，因为它有可能会咬断我们的电缆；夏天的雷雨天气也会对我们的动力设备造成威胁。我们要做的就是怎么防范和应对风险。”

　　与“谈信息安全色变”的CIO不同，宋传杰并不把信息安全看作一种压力。“这就像犯罪，一个没有犯罪的社会是不正常的。正是因为有了犯罪才有信息安全的需要。信息安全也是一种很正常的现象。”

　　“在建设一个系统的时候，我们一定会预先评估可能会出现的风险，并做好防范措施。在实施中不断改进，并进行思考，作一些前期的展望。”主动防御是一方面，信息安全也是被动防御的。“‘魔高一尺，道高一丈’，如果不是魔在前面跑，道也不会修炼了。”信息安全也是如此。正是因为存在隐患，所以信息安全需要不断地提升。

　　采访手记：预则立，不预则废

　　金融是社会经济生活中重要的一个环节，维系着经济的正常运转和财富增值。同时，金融也是一个高风险的行业，稍有差错，可能就会满盘皆输。敏感的领域担负着国计民生的重任。金融行业任重而道远。

　　信息化，时新的力量冲击着保守稳重的金融行业。信息化改变着社会生活的方方面面，所以，金融信息化，大势所趋。信息化介入金融行业，提升了业务和服务的质量，为金融行业和客户大开方便之门。一时间，金融业进入高速运转的网络时代。互联网承担了金融的运转，同时，也成为悬在金融行业头顶上的一把利刃。信息安全成为金融行业的头等大事。

　　信息安全的内容很宽泛，涉及面很广泛，可谓防不胜防。像宋传杰所说的，一只老鼠、一次雷雨天气，都有可能危及到系统的信息安全。凡事“预则立，不预则废”，防御是被动的，但是自身的“未雨绸缪”应该是主动积极的。

　　预先设想可能会出现的各种风险和威胁，提前制定好应对方案，加强自身的应变能力和防御能力，是最重要的。当然，信息安全只能被防御而不能被消灭。信息安全是信息化存在的附属品，存在即是合理的。信息安全的隐患，使金融行业的CIO们时刻保持着清醒的头脑，不断积极防范，提升系统，从而促进了金融信息化的进一步深入和健全。