所谓“合规”,合乎法律规定要求。在国内,网络安全领域需要掌握以《网络安全法》《数据安全法》《个人信息保护法》《密码法》四部比较重要的法律,另外还涉及《关键信息基础设施安全保护条例》《商用密码管理条例》《网络数据安全管理条例》《网络安全等级保护条例》(征求意见稿),而网络安全等级保护制度,是各项合规工作的前提和基础。
根据四部门发布的43号文,我们看到等级保护定级、备案工作完成后,就是需要根据所定级别开展建设整改工作,而在这个过程中就涉及到工程化、系统化的项目管理知识,要有科学有序的输入,同时要有实实在在的项目输出,每个阶段再细化,同时又是环环相扣的。更具体的内容则可以参考《网络安全等级保护实施指南》,当然工作也不能止步在《实施指南》,依然要按图索骥不断细化,直到可以配置具体的每一条策略或每一条命令。
看完了河南的等级测评和商用密码应用安全性评估的预算标准,我们看一下四川省的。昨天,谈到低价问题。经和四川测评机构的部分人交流,低价也是司空见惯的一种情况。其实,有些人私下交流,发现低价问题是一个普遍现象,但是这种现象背后如何保证服务质量,令人担忧。
根据四部门发布的43号文,我们知道等级保护工作涉及五个规定动作,分别是定级、备案、建设整改、等级测评、监督检查。等级保护测评是这五个规定动作的重要一环,等级测评工作的具体实施,按照《测评过程指南》去开展,等级测评分解后又涉及测评准备活动、方案编制活动、现场测评活动、报告编制活动等四个重要环节。而每个环节再细分节,又细分若干具体事项。如测评准备活动,则包含工作启动、信息收集和分析、工具和表单准备等。
对于四川省,中关村信息安全测评联盟2016年1月发布的《中关村信息安全测评联盟等级测评项目收费指导意见(试行)》,给各省均有一个指导价格,而四川则二级测评费用每系统5万元,三级是12万元,四级则是16万元。
根据公开资料显示,四川省则以团标《四川省信息化项目费用测算标准》(T/SCSIA 0015-2023)的形式指导着测评市场运作。我通过标准,可以看到四川在等级测评和商用密码应用安全性评估的一个指导思想。具体测评项目实际落地价格,还是有待测评机构之间的角力之后,才是真实。从部分人交流的结果看,实际成交价格要低得多。当然,当地的测评机构,更有观感,甚至是语言无法形容。我在此,不过是隔靴搔痒。通过收集这些资料,只是让大家,多关注关注各地政府指导的方向。
网络安全等级保护测评费
计取方法
计费基价表
测算说明
测算应注意以下内容:
密码应用安全性评估费
计取方法
计费基价表
密码应用安全性评估费标准见表I.14。
测算说明
测算应注意以下内容:
— 欢迎关注 往期回顾 —
