大概没有人会不同意，等保测评市场越来越卷了。
“去年的测评单价已经很低了，没想到今年还能更低，测评市场已经接近ISO认证的咨询市场了”
“今年几乎所有测评机构都去参加密评的考试了，但也不是每家都能拿到的，就算拿到。前面已经有48家了”
“等保做久了，客户都变专业了，时不时的还说，去年XX机构不是这样测的，你们为什么是这样做？经验差一点的技术员经常被问懵”
生存和繁衍，是人的基本需求。对于企业来说也是一样，活下去，是第一要义。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++
等保测评的上半场，无疑是增量红利期，指的2021年之前。在这一阶段，同一地区开展业务的基本上就是本地有牌照的这么几家，大家水平都差不多。客户的对比感还不那么强烈，也就是说所谓的口味还没有被养刁；加上公安部门的大力检查，在党政机关以外，成功推动了大型企业、物流、安防等多个社会行业从0到1的市场覆盖。这一时期，拼的是关系和牌照。
等保测评的下半场，市场扩展接近边缘，跨省竞争已成常态。牌照不再稀缺，关系可以慢慢经营，机构之内的差距日渐缩小。大家都不约而同地感觉到强烈的寒意。

于是很多人问：怎么办？答案就是：有红利的时候，比抓红利的速度。没有红利的时候，比能力。能力是什么？是技术、业务和经营。通过提升能力，可以实现：卖给更多客户，卖给客户更多，卖给更好的客户
01卖给更多的客户—走出去，抢下来，活下来……

走出去：就是要走出本省市场，开拓异地业务。抢下来：是说你想要得到的每一个客户都有自己原本的测评服务公司，你大概率只能低价出击，并且会面临客户挑剔、质疑的眼神。活下来：异地经营，你的测评质量能不能保证原有水准？甚至比别家机构更好？要争取在尽可能短的服务时间內，让原本不熟悉的客户认可你，信任你。就像肯德基，30年前属于中高档消费，现在已是日常消费了。你可以说他的客户定位有所下降，但你绝不能说它的市场覆盖越来越小。为什么？因为他的“卖给更多客户”从来都不是一个问题，根本原因就在于服务质量掌控得好，无论在任何一个城市，不管是小县城还是大省会，口味服务基本一样，实现了客户的普遍认可。

那么我们的机构呢？之前肯定是在自己熟悉的地区（XX市、XX省）、熟悉的领域（XX行业）有所建树的，但是走出去以后呢？在需要重新招兵买马、设立办事处的异地，面对着不熟悉的员工、尚未形成默契的团队，仅凭一两个办事处负责人，是很难保持原有的测评服务质量的。如果连原有的水准都达不到，那就更谈不上去和原有的供应商抢夺市场了。去年一年，就有好几个机构走到了广东这种市场巨大，但是监管力度比较强的省份，结果一年不到就由于未能通过本地监管考核，被迫撤出甚至被停牌，原有自身业务收入都受影响，可以说得不偿失。主要原因就是没有过技术管理这一关。
所以，机构想要实现“卖给更多客户”，首先要先过“质量关”，就要在服务水准上狠下功夫，具体就是确保质量体系合规性、测评结果准确度、服务过程标准化、人工成本趋平稳。举个例子，以前机构可能只关注每个项目多长时间出报告，现在就需要细化到资产调研、现场测评、编写报告各自花费多少时间，找出效率短板；以前关注测评过程文档完整的方法是管理手段，例如督促检查，绩效考核，或者安排专人经办等，现在还需要加上项目基本信息自动填写、归档文件的自动差漏以节约人力；以前关注人员能力，是要加大培训，引进高水平人才，现在要通过技术手段，将主观的测评能力和判断能力进行信息化留存，降低机构对技术人员个人能力的依赖，促进机构能力的低成本快速复制。
02卖给客户更多—除了测评服务我们还能卖什么

让我们先看一看国内先进的测评机构都在开展什么业务。
广州竞远：

近三年收入如下：

北方实验室：


近三年收入如下：

因此，我们大致可以将拓展业务的方向分为两类。一类是更多的第三方检测服务，一类是叠加更多的安全合规服务。
第一类业务的开展取决于资质门槛高低，以刚刚公布成绩的商密评估考试为例，其最终结果还未尘埃落定。且按照市场规律，需要渡过1～3年的业务起步阶段。因此本文主要探讨安全合规服务。
既然叫做合规服务，那就是服务的其中一种。客户的满意度至关重要。如何能钻进客户的心里，找到痛点，进而提高客户的满意度呢？
首先要把等保测评服务做好，经得起其他机构的冲击，能得到客户关键负责人的认可。只有这样，才能在等保测评的基础上得到合规服务的机会，把尽可能多的安全合规业务入口牢牢掌握在自己手里。
其次要了解客户在合规管理中心底真正想要实现什么。对于下级部门众多的，比方学校，客户想要厘清资产，挖出“看不清、找不到”的信息系统，摸清底数，明确边界，减少工作盲区；比方具体某个地市的数办/大数据局，客户想要第一时间掌握职责内所有单位、所有系统的合规动态和多维度统计数据，助力顶层决策；比方网络安全经费欠缺和安全人员不足的单位，合规资料留存不全，管理制度拟定和落地困难，安服公司完成的工作也不能完全满足管理所需，因此，客户希望能够将所有资料进行信息化留存，同时降低管理制度的建立和落地难度，从而实现便捷迎检和合规达标。
由于合规服务是真正帮助客户（不仅是主要领导，更能帮助具体经办人员）解决实际工作痛点的。所以这一项服务开展，将帮助你获取客户单位关键负责人和经办人员的满意和信任，突破过去只靠牌照作为入口的瓶颈。
在这样的基础上，机构自然就打开了深挖更多业务机会、开展诸多优秀机构所提供的综合运维、攻防演练、重保值守等服务的机会。（具体建议机构负责人详细阅读广州竞远和北方实验室的招股说明书）
03卖给更好的客户—我们该准备什么

什么是更好的客户？自然是有钱（经费有保障）、有项目（信息系统数量多、规模大）、可发展（安全合规需求将长期持续）的客户，必然是以关键信息基础设施单位，并根据各地实际情况向外扩展。
这样的客户，自然是各测评机构争相服务的对象。这就对机构提出了软、硬件的双重挑战。机构需要做到：
1、满足GB/T 36959—2018 《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》（以下简称“评估规范”）中“Ⅱ、Ⅲ”测评机构的要求。
早在2018年，评估规范就将测评机构分为“Ⅰ、Ⅱ、Ⅲ”三档，今年4月，公安部三所组织召开了 《网络安全等级测评与检测评估机构服务认证技术规范》I级要求的线上宣贯会，敲响了监管部门对机构整体评估工作规范性从严要求的警钟。未来还将对二级，三级机构出台更具体的标准。
2、密切关注公安部关基保护中心的相关工作动态。2023年4月19日，公安部关基保护中心正式挂牌成立，同时各省的关基保护中心也会陆续成立，作为等保测评的业务主管部门，公安机关必将在具体的关基测评方面出台细化的管理举措。所有在网络安全领域主动作为的客户，都将参考关基测评要求，进行本单位的测评采购。
下半场，不靠本事真的不好赚钱了。
祝你，拥有更多客户。
祝福。
END