广西壮族自治区等级测评与商密评估预算为几何？

先回顾一下，原来测评联盟2016年发布的等级测评的指导意见价格。如下表所示：

我们看到第二级收费基数为7万、第三级为13万，第四级位16万。那么现在，指导广西壮族自治区等级测评预算的文件是《广西壮族自治区本级政务信息化建设和运维项目预算支出标准》（桂财建〔2023〕102号），其具体规定如下：

网络安全等级保护测评费。等级保护测评费是项目单位依据国家网络安全等级保护制度规定，委托符合资质的第三方机构，按照有关规范和技术标准，对信息系统安全等级保护情况进行检测评估活动所收取的费用。网络安全等级保护测评费用：等保第二级系统测评费用6万元/系统、等保第三级系统测评费用按8万元/系统的上限值控制，等保第四级、五级测评费用根据实际情况核定。

风险评估费。信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。风险评估包括：漏洞扫描、人工审计、渗透性测试等目前普遍采用国际标准的BS 7799(ISO/IEC17799)、国家标准《计算机信息系统安全保护等级划分准则》（GB 17859-1999）等标准、方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。

（1）已申请网络安全等级保护测评费用的，除自治区相关文件有明确要求的外，该项目当年不再重复安排风险评估费用。

（2）如果项目当年仅申请安全风险评估费的，其取费标准应不高于相应网络安全等级保护测评费。等保四级、五级系统的风险评估费用根据实际情况核定。

商用密码应用安全性评估费和密改费用。商用密码应用安全性评估费是指在采用商用密码技术、产品和服务集成建设的网络或信息系统中，自行或者委托商用密码检测机构对其密码应用的合规性、正确性和有效性等进行评估的费用，包含密码应用方案评估与系统密码应用安全性评估等。商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接，避免重复评估、测评。如果仅申报商用密码应用安全性评估费用（无等保测评或风险评估）以等保第二级信息系统密评费用7万元/系统、等保第三级信息系统密评费用8万元/系统为上限值控制。

应用系统密改费用。按照具体整改内容，如需要购置成品软硬件密码产品的，按照购置费计算；存在系统软件开发的，按照本标准中软件开发工作量或者功能点来评估。

综合下来，广西在财政管理中，将等级测评、风险评估、商密评估均给出了指导价格。具体情况，如下：

广西壮族自治区评估类预算参考表：

2025年，广西的等级测评与商用密码应用安全性评估市场将如何，我们也拭目以待。

题外话，前天在与北京做合规的朋友交流时，分享了一个等级测评的公开报价，某些地区公开价格，已经杀到了第二级两万以内，三级三万以内。前次，我们说任何事物都有其客观规律，从调研到方案，甚至每个单位制度就算一是一二是二查一遍，需要多少时间？人工如何算？如果脚踏实地开展工作，那么可能人工成本就已经超过报价，那么测评机构还要保证利润，如何保障呢？其实，大家心知肚明。这种乱，或许才是开始。那么，我们的安全真实情况，如何掌握？我和传递？如何解决？会有一大堆HOW摆在我们面前？

我相信，国家制定网络安全相关制度，绝不是为了面子合规，还需要里子，因为黑客可不看你的面子，也不看你的水报告。

— 欢迎关注