随着《网络安全法》不断地普及,各单位对网络安全等级保护制度的认知逐渐加强,网络安全等级保护制度在实施中,涉及到等级测评和商用密码应用安全性评估两项工作,而且这两项工作涉及到项目验收。所以,在各个项目落实过程中,大家都比较重视。
其实,各单位对等级测评以及商密评估费用比较关注。根据《河南省财政厅关于印发<关于省级政务信息化建设项目支出预算标准的规定>的通知》豫财预〔2024〕105号(简称“规定”),我们看到测评预算再次下调,这个信号既是市场向政府的反馈,也是政府向市场的反馈。通知里明确:实行动态管理,省财政厅将根据有关政策、信息技术发展及市场行情变化等情况,适时进行调整。在“习惯过紧日子”的大要求下,预算管理也越来越严格。河南测评预算在《河南省财政厅关于印发<关于省级政务信息化建设项目支出预算标准的规定(试行)>的通知(豫财预〔2020〕81号)》,等级保护测评第二级预算是5万元/系统,第三级则是10万元/系统。如下图所示:而在最新的新的规定中,则分别下调为:第二级4万元/系统、第三级8万元/系统。对比,我没看到等级测评预算,二级下降1万、三级下降了2万。商用密码应用安全性评估在新规定中,则与测评保持一致:分别为4万、8万元每系统。如图所示:首先,随着测评机构在市场上,恶意低价竞争的不断加剧,内卷式竞争的不断升级,导致测评价格一低再低,一路走低。而各个测评机构之间,又因此互相攻讦的同时,自降价格。最终,如果按照要求严格开展工作,都在成本内了。所以,低价格已经低于人工成本时,还想要质量是不现实的。
其次,现在很多人的认知还是“合规”就是“一纸证明”,甚至有很多单位将备案证明视为合规的标准。备案其真实意义是主要指的是有关单位或个人依法向主管机关报告事由并登记备查,以便日后查考。备案证明是证明需要按照对应级别要求建设某个信息系统,并不是逃避责任的。所以,在工作开展中,不考虑真实情况、不考虑客观实际,一味追求高分数,而项目过程管理一塌糊涂,日后被查时则一大堆问题暴露。好比一个从来不学习的混子,却在期末考试中要求监考老师给自己高分,小孩子不耻的事情,在成年人中不断上演。所以,在这种氛围内,价格战成为测评和评估类服务的主要权重,而作为工作真正的技术和服务被架空,给社会以及老板的感觉,测评不需要技术随便找个人都能干的错觉,所以市场价格一再走低,呈现出来的就是低价格的数据,而在数据面前的反馈到政府层面,那么在财政预算过程中,需要适时下调。同样,在预算下调后,将进一步刺激市场调低预期,进一步压低价格,价格竞争加剧,内卷式竞争无法避免。各项工作其实需要遵循客观规律,虽然人人都希望有个好的结果,但是更需要有个扎实的过程。信息化项目在实施过程中,需要加强合规工作管理,定级、备案、建设整改(含建设过程中的整改),时时处处都需要在过程中留痕,做到每一个环节都合规,也就是“过程合规”最终实现“结果合规”,依据国家和行业标准进行管控,才能是真合规。只有,既要谋全局,体系化的考虑工作开展,又要各项工作分解细化沉到最底层,做到真合规了,我们的战斗“工事”才能不被人家一炮轰塌,才能更加贴近实战化,而这一切都需要常态化推进工作中落实,切不可考虑“揠苗助长”,否则收成只能是“秕谷子烂糠”。合规,就是打基础。基础不稳,在上面的建筑就不可能是安全的。如同当年上海的“楼倒倒”,地基上面的质量虽好,只是平躺时不裂开,但是最终成为一滩垃圾。市场的恶意低价、内卷式竞争,反馈到预算部门是预算需要调低;预算调低,则影响市场进一步震荡下行,如此往复自己把自己卷死。而形式化合规盛行,实际工作务虚,真正做技术服务的人被边缘化,是一个恶性循环。2025年,河南省的等级测评与商用密码应用安全性评估市场将如何,我们拭目以待。强监管下需要细监管,因为合规是网络(信息系统)全生命周期的合规。— 欢迎关注
还没有评论,来说两句吧...