前面我们通过、、公众号,一起了解了三个省的等级测评指导价情况,虽然是一孔,依然可以管中窥豹。
先回顾一下,我们看一下原来测评联盟2016年发布关于黑龙江省的等级测评的指导意见价格。如下表所示:
我们看到第二级收费基数为5万、第三级为10万,第四级位13万。那么现在,指导黑龙江等级测评预算的文件是黑龙江省财政厅印发的《黑龙江省省直政务信息系统运行维护项目支出预算标准(试行)》黑财办〔2023〕17号,那么价格是上升还是下降了呢?一览文件,我们发现其具体规定如下:黑龙江省安全测评计费标准
序号 | 安全测评等级 | 计费标准(万元) |
1 | 等级保护二级 | 不高于5万元/系统 |
2 | 等级保护三级 | 不高于8万元/系统 |
非涉密系统等级保护二级、三级测评费按照上表相关标准计取,非涉密系统等级保护四级、涉密系统等级保护、差距测评、风险评估、商用密码应用安全性评估等费用根据实际情况核定。根据文件,黑龙江财政文件并未明确商用密码评估、风险评估的费用。
这个公众号,已经对河南、四川、广西、黑龙江四省的等级保护测评的预算文件做了简单的介绍,让我们也对等级测评官方指导价格有了一个大致的了解。实际项目落地过程中,和信息化项目一样,几千万的预算冒出百十万甚至几十万中标的情况,个人听到过很多三级系统不足一万的项目。而政府公开资料,也见到过二级两万、三级在公众号后台,有朋友留言让找一下,说浙江地区的测评、密评价格三级不超过五万,作为发达地区这个价格确实匪夷所思。如果有朋友,有公开的指导性文件,请分享给我,以便我们一起探讨一下各地等级测评指导与现状。一个测评项目的开展有其规律,涉及到招投标、合同签订、基本情况调研、实施方案编写、现场实施、报告编制等多个环节,甚至还涉及整改验证等。在一个没有调研工作实际的投入时,随意拍脑袋定价是不明智的,这样最终必将得不到我们想要的结果。再者,随着所谓市场竞争进一步加剧,很多测评机构进入饮鸩止渴的境遇,那么测评机构面临的压力将进一步加大。另外,以一个偷工减料的方式,开展合规工作必将不断恶化,进而引发市场进一步坍缩。有人说具备影响力的机构,应当尽自己的社会价值,对国家安全有所担当,才能让测评市场一定程度上回归正轨。作为测评机构,需要遵循法律法规以及政策文件、国家标准,以自身先满足的合规要求,协助各责任单位开展合规工作,同时通过测评反应责任单位以及第三方服务公司合规情况。自律不律,何以律人?这个适用于大多数组织!
我们回顾一下等级测评的定义以及对测评机构最基本的要求,也可以结合这些内容,回顾一下测评机构在开展工作中是否做到应尽的责任和义务。《信息安全等级保护测评工作管理规范(试行)》对等级测评工作的定义如下:等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。《信息安全等级保护管理办法》对测评机构应尽义务做了规定:第二十三条 从事信息系统安全等级测评的机构,应当履行下列义务:(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。后记:网络安全等级保护制度是我国网络安全领域的基本制度,而在这个制度下又分三支监管方向,非涉密网络由公安机关主管,也是等级保护制度的主力;涉密网络由国家保密部门主管,是等级保护的重点;密码工作由国家密码管理行政部门主管,是网络安全的基石。非涉密是我们最熟悉的部分,工作层面又分解为定级、备案、建设整改、等级测评、监督检查,而等级测评是等级保护工作的重要组成内容,特别是《信息安全等级保护管理办法》明确了第三级以上信息系统,每年至少开展一次等级测评要求,这也是各单位为什么把等级保护工作的五个规定动作之一等同于等级保护的原因。在日常交流中,口头上说开展“等保”一般说的是“等级测评”,而实际等级保护则是五个规定动作,缺一不可,特别是建设整改工作,是对定级、备案的应答,也是等级测评、监督检查的基础和对象。等级测评市场的乱象,反应的绝不是等级测评市场本身,只是网络安全市场的一个缩影,折射出网络安全市场的乱象。如果安全方案不切实际,建设实施就将一片狼藉,建设一片狼藉,测评将无能为力,测评无能为力,监督检查则雾里看花。那么,等级测评得分越高的等级保护对象,作为管理者,就需要思考一下这个分数是真实的还是虚高了?根据《党委(党组)网络安全工作责任制实施办法》领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人,虚高的得分预示着存在更多的风险,那么各位领导到底能不能真切的了解自家系统的脆弱性呢?前段时间,仔细领略了陆宝华老师关于网络安全的30年反思,陆老师在视频里引述了贵阳领导的话,也是陆老师看到的实际情况。那就是:弱不禁风,而感觉良好;重病缠身,而浑然不知。我很佩服陆老师关于网络安全体系的谈话内容,在此前我在不同场合说过,很多单位的网络安全好似:你要牛头,他能给你提个牛头过来;你要牛腿,他能给你提个牛腿过来;你让他把牛牵过来,则是一头东拼西凑来的一头死牛。很多人,不能说不是网络安全好手,只是他是吃牛肉的,却不是养牛的,所以没见过活牛。我们容易迷信某些地方的先进经验,而某些地方也迷之自信。但是,现实时很多单位的数据在外面飘了多年,领导感觉良好不自知。很多信息系统,一旦按照标准或要求,一是一二是二做审计时,发现开发管理混乱不堪,近几年的多个数据安全泄露案例以及疫情期间的很多的宕机事件,都充分说明了问题。在此,期待与看到这篇文章的朋友一同探讨网络安全及等级保护、关基保护、数据安全保护、个人信息保护等内容,也期待朋友们提供素材资料,一同学习加深!
还没有评论,来说两句吧...