等保2.0的一些问题

测评机构的主要问题
目前国内的测评机构有199家，测评机构主要分为以下几类:
1)北京地区国字头的测评机构：全国199家测评机构中北京就占了30多家，几乎都是国字头的背景，很多挂着都是行业或者部委的名头，这些测评机构基本不愁业务，也有能力吸引优秀的毕业生，技术能力也较强，能够专心的从事技术，同时由于面对的客户大都是行业内或部委的单位，测评过程中比较顺利，因此在硬件整改方面，被测单位几乎都很全，比较典型的例子就是，2018年培训时，北京的某某老师说，身份鉴别的双因素认证应该时高危，设备没有就不符合，但是从地方测评机构来看，至少江西是无法做到，因为双因素认证要求除了一次性采购身份认证平台硬件设备外，还需要UKEY硬件费用，还不算每年的证书续期费用和人工管理成本费用，这费用足够每年做一次等保测评了，毕竟北京和很多二三线地方相比，无论经济实力和思想认识上，差距还是挺大的。
2）二三线城市的测评机构，这类测评机构大部分是当地的领头羊，除了测评外，基本还有其他风险评估、软件测试业务，所以，在当地省份和邻近省份还是比较有名的，有的甚至还将业务做到了邻近省份。
3）二三线城市和新加入的测评机构，这类测评机构基本都是处于随时会被淘汰边缘，之前有个江苏某家测评机构居然每年连能力验证都不知道也不参加，测评报告全是基本符合，没有不符合，这类很多前身都是集成公司，技术实力较低，把等保测评当作驾校培训，每年被停止营业的大部分就是这类。
测评机构存在的主要问题有如下几个方面：
1）恶意竞争。大部分非国字头或国企背景的测评机构在面对越来越激烈市场竞争时，压力越来越大，尤其今年疫情的原因，很多机构一二季度都无法开展测评，笔者所在的机构在中部某省也算是排名前3 的机构，但是一直到6月才逐渐慢慢恢复业务，非国字头的测评机构如果没有业务就意味着倒闭，毕竟每天的税费、人工成本压力很大，加上近两年，准入门槛降低，新增了一批测评机构，又放宽了异地测评条件，竞争压力更大，因此，恶意低价抢标的事件层出不穷，有些机构甚至3W一个系统，测评费用降低最终导致测评时间短、测评人员技术水平低，测评机构之间相互压价，毕竟，生存下来才是首位的。
2）人员流动性大。目前在一线城市测评师税前工资基本是7000-9000左右，二三线城市就5000-6000左右，说实话，这对于一个网络安全行业的从业人员来说，确实较低，这还是有相关工作经验的，要知道笔者所在的中部某省，系统集成、厂家技术支持、软件测试等岗位的工资都至少6000以上，开发的工作普遍1W，而测评人员项目压力大，经常出差，文档要求高、技术能力要求高，这点工资很难吸引优秀的人员，很多邀请面试的人员压根对测评不感冒，再加上一听工资待遇并不高，根本不来面试，或者约了面试也不打招呼也不来，或者面试通过后要求回去考虑，结果考虑考虑就不来，笔者感觉今年招聘特别难，且在职的很多人员因为疫情期间工资未发放都开始人心浮动，一方面，测评项目费用低逐渐降低，另一方面，测评机构的成本逐渐增加，要减少成本就必须多做项目，减低边际成本，导致形成冲突无可避免，
3）测评机构缺少长远发展规划
目前测评机构大部分为非国企，部分国企背景的也是盈亏自负，可能少部分属于事业单位，但是笔者所在的中部省份区域中，测评机构均为私营企业，股东和管理层缺少长远规划，感觉就像割韭菜，尤其是盲目扩张业务，但是人员技术能力和管理曾水平却没有得到提升，企业往往更看重做大，却很难做强，缺少明确的发展规划，个人也看不到发展前景。
4）测评机构独立性不足
测评机构为营利性决定了测评机构不可能完全中立，所以很多地方暴露出花钱买报告的情况就习以为常了，而且测评管理办法对测评机构处罚力度比较小，即便吊销推荐证书，原班人马换个公司又可以从头开始。加上客户要求越来越高，测评机构必然的倾向于客户，毕竟，对于绝大部分机构来说，客户就是上帝。