昨日,等级保护网又公布了一份关于两家评估机构整改的公告,这次涉及山西和安徽两个省的测评机构,两家单位的《网络安全等级测评与检测评估机构服务认证证书》被认证中心实施了暂停。这次山西的机构被要求开展为期六个月的整改,安徽的机构被要求为期三个月的整改。结合今年前段时间《2022年测评机构一家取消、一家整改》《关于取消上海市网络技术综合应用研究所联盟会员资格的公告》,已发生五家机构或被取消资质或被要求整改了。
等级测评机构的作用在整个等级保护工作中的价值是毋庸置疑的,但在接触的很多单位的网络安全负责人,常常抱怨说只是知道测评机构的人来了,过几天测评报告就出来了,到底做了什么我们也不知道。这种印象总让很多单位对测评产生了一些误解,也有很多单位把测评当做被动合规的工具,以为开展测评就是获得了护身符。种种对等级保护的误解,都说明测评工作开展过程中存在非常多的问题。那么测评机构该如何在这种质疑声中,挽回声誉让测评真实服务于等级保护工作,服务于国家网络安全等级保护制度呢?同时,如何促进国家网络安全体系健康发展,我们该担负什么使命?我们是真实的为民为国分忧还是糊弄事呢?记得,当年在上海时,上海人教会我的第一个词是“捣糨糊”,经常会被人问到是不是“捣糨糊”的,理解这个词之后我就一直存着敬畏之心,告诫自己绝不做一个捣糨糊的人。我曾经一个老板认为“好服务”就是“说好话”。我曾和好多人开玩笑,比如理发店,如果你手艺不好,谈不上好的服务,你把人家头理的像狗啃的一样,你就是叫人家“爷爷”,人家应该也不会在光顾你的店面。等级保护测评有自己的测评相关的国家标准与规范,只要认真履行国家标准与规范,无论是被测评方还是测评机构都能做到真实合规,为后续工作开展提供坚实的支撑。测评,是验证等级保护开展的一个核验,也不存什么过等保,切不可追求六十分(现测评报告的七十分)万岁,多一分白费的念头,鉴于,网络安全是整体的而不是割裂的,是动态的而不是静态的,是开放的而不是封闭的,是相对的而不是绝对的,是共同的而不是孤立的。所以,没有一劳永逸的网络安全防护手段,按期开展等级保护测评及时发现安全风险隐患,为整改加固提供参考依据是非常有必要的,同时测评不真实不客观的虚假服务带来的伪安全是要命的。所以,测评机构应该担负起国家赋予的责任和义务,承担起自己的社会责任,要有担当为网络强国增砖添瓦。同时,取得资质不容易,且行且珍惜。
|
