等級保護測評服務不是一個僅用價格就可以衡量的標準化服務

最近兩周不得不等有6個項目在走採購流程，其中兩個合同是一對一直接交流溝通確定，另外4個項目都是走招投標流程。招投標的項目評比方式也都不一樣，有綜合評分的，有看個性化需求滿足情況的，也有現場談判對比服務內容的。這個裡面相對來說綜合評分法更合理更能幫助用戶選擇最優的服務商。

為什麼這麼說？我們經常遇到的一種招標方式——競爭性談判，競爭性談判就是誰的價格低就選誰，誰就中標。這個好處很明顯，價格低，便宜。但是對於等級保護測評這種安全服務項目來說，這個不合理。等級保護測評不是一種標準化服務，不是量身高測體重，不是大家都能做，且大家做的結果都基本一致的活。當然如果你只是想過等保，為了做等保而做等保，那麼這種方法很適合你，你只想拿一個基本符合的報告，而不管測評的質量。但是如果你真的想做事，想通過等保把自己的信息系統梳理一遍，發現其中存在的安全隱患的話，那麼等級保護測評就是一件非標準的技術活。不同測評機構測出的問題，發現的問題一定不一樣。舉個例子，等保測評裡面有一項滲透測試服務，據我了解目前有些測評機構這塊工作都沒去做或者做的很一般，那怎麼能發現其中問題呢？再來說一家測評機構全年的項目合同很少，那麼必然他們的技術參與的項目就少，經驗相對就匱乏些，技術和經驗都需要積累，實踐出真知，難道在家閉門造車就能很厲害？那麼你們找這類型的測評機構做測評，是不是有點拿小白鼠做實驗的樣子。

還有種評標的方式也比較常見就是誰家提供的服務內容多就選誰家。這個問題也比較嚴重，第一我們主要的目的是做等級保護測評，而不是各種其他服務，選到最後發現我們偏離了一開始的目的。另外再說下是不是服務越多就越好呢？裡面也存在點問題，這麼多服務這個服務商能做好嗎？比如應急響應服務，通常是在出現一些安全事件的情況下做應急處理，幫助用戶找出原因，解決問題。甲乙丙丁大家都提供了這個服務，甲乙提供一年，丙和丁為了拿下項目提供2年應急響應服務，但是當安全事件發生時只有甲能做出響應並解決問題，那麼你要2年服務或者其他那麼多七七八八服務有用嗎？我們看重服務的量更要看重服務的質，沒有質這個量不要也罷。所有的服務都是有成本的，什麼都有、什麼都提供、什麼都做，往往最後這事就做不好。你所提供的服務超出了你的成本，這種事是干不長久的。

所以，等級保護測評服務不是一個標準化產品，不能僅僅用價格去衡量，我們在關注價格的同時，更應關注價值。有價值的事多花點錢肯定比花少的錢做沒價值的事更划算。那麼其他安全服務，包括一些安全產品也是這樣，價格我們需要考慮，但不是我們考慮的唯一因素，我們比價格，也要比質量。不得不等建議大家條件允許的情況下盡量用綜合評分法，相對來說這是一種更科學更合理的評標方法。

【如果您覺得有用，歡迎收藏並分享到朋友圈，讓更多的朋友了解網路安全，了解等級保護，分享也是一種美德！】

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！