2022年,全国共有18家机构在年度监督审查中存在严重问题,其中15家暂停整改,3家撤销认证证书经营。据不完全数据统计,停牌期间各机构的经济损失,在2000万~14000万不等。
有人欢喜有人忧
停牌不过个把月,外地的测评机构像嗅到了血的鲨鱼,一拥而入,将原本就摇摇欲坠的区域生态撞出巨大缺口。虽说市场价格下跌已有数年,但2022年,伴随着大规模的监督处罚,无数机构以瞬间加速的姿态横冲直撞,恰似一口气点燃所有烟火,搅动测评市场星星火光,留下再也无法复原的痕迹。
价格下降,最开心的自然是各安全集成商,测评服务对他们而言属于成本,这一大笔开销自是能省则省。
业主们反而忧心忡忡:
张先生,某国企就职者
现在公开招投标都不能有地域限制,如果是一家从来没有在我们这里做过业务的机构中标了,后面会不会发生什么谁都不好说,到时候是我们反被连累……
X13(化名)的机构也是这15家中的一家,他深知,这一轮价格战打下来,便是再也回不去了。虽说每个行业都有自己的生命周期,测评机构的黄金时期,很明显是已经过去了。
黄金期机构的日子有多好过呢?
让我们来算一笔账。目前国内网络安全一流的攻防高手参加HVV,一天的出场费大约是8000元。而一个中等规模的三级系统,按照测评费用4万,需要四名技术员去现场两~三天来算,人均出场费大约是3000~5000元每天。相比攻防人员的高成本,以及攻防业务无法常年持续的现状,测评机构的人均产出确实极具性价比。安全圈里一张牌照可值2000万的说法,也就不奇怪了。
监管政策加速明确了行业走势
面对这样的市场形势,不少地区的监管部门倒是积极主动作为。检查频次从每年一次上升到每季度一次,配套核查差旅凭证和现场测评相片,力求确保本地区测评质量在线。
对此,属地的测评机构还是心怀感激的,毕竟对监管部门的要求和动作比较熟悉了,配合起来轻车熟路,无形之中增添了几分优势。
但客观上,这种高频词、严要求的检查动作不可避免地产生了一些副作用。
言哥,属地测评机构从业者
以前只要两个人就可以完成归档文件的整理,现在我们不得不考虑增加人手,除此之外技术人员外出的附加工作量也随之增大,做技术的嘛,普遍都觉得麻烦,对此总有些抱怨。一面是要求提高,另一面是价格走低,对我们管理者也提出了更高的要求。
客观说,这是每一个行业发展的必经之路。
回想2005年左右,全国的网络安全市场尚未培育成熟,营收驱动乏力之下,有着财政支持的事业单位成为了第一批“有底气吃螃蟹”的机构。随着市场的逐步酝酿,自2013年起,越来越多的私人企业加入了测评机构的队伍,经过近20年的发展酝酿,全国测评机构总数已达到239家。以苏州为例,一个地级市就有4家本地机构。
供大于求的市场关系决定了整个行业已进入“追求质量”的后发展阶段,从行情最好的时候开始,直到再也杀不动的地板底价,测评价格在相互竞争中的震荡走低还将持续一段时间。在这段时间内,机构的价值依然存在,只是管理者必须转变之前的躺赢心态,用“像麻雀一样,数着粮食过日子”的危机感,在机构内部开展精细化管理、在深度降本增效上下功夫。
激荡后的平静,赛道转换加速
落一叶而知秋。于是乎:有的机构,在外省做了几单业务,反而被属地网安检查了好大一通,最后感觉得不偿失又缩回根据地。
有的机构,一早涉猎新的领域,积极拓展性能测试、数据司法鉴定等其他业务。近期组织的全国第三轮密评资质申请,其中相当一部分都是测评机构。
X13,停业整改测评机构从业者
其实我们也清楚,这些所谓的新业务,无非是换了另一个种类的检测牌照,但是现在的商业市场对网络安全认知已相当成熟,新的检测类业务从一开始就进入了充分的市场化竞争,牌照红利时期更短,监管更加规范,当初等保测评黄金时期的辉煌是不可能再有了。
既然如此,以检测资质为主的业务原型,是不是可以考虑改一改了?有没有可能既不用伤筋动骨,又能快速转型,逃离这开至荼蘼的命运?
凛冬将至,小西牛与您共赴生态之约。
声明:本文来自小西牛合规,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。