上周帮朋友公司上线一套新OA系统,刚谈完功能需求,对方IT主管就皱着眉头问:‘风险评估这块,你们怎么收钱?’——这话一出,会议室里安静了两秒。其实不怪他警惕,市面上报价五花八门:有按天算的,有按项目总价百分比抽的,还有打包一口价的,连合同附件里都写着‘视情况调整’……
常见收费模式,不是越贵越靠谱
目前主流就三类:
① 人天计费:比如资深顾问800~1500元/人天,一般做3~5天现场调研+报告输出;
② 项目比例法:在整体实施合同里占3%~8%,比如100万的项目,风险评估可能收3万~8万;
③ 固定套餐价:分基础版(2.5万)、标准版(4.8万)、深度版(7.2万),对应不同检查项数量和报告颗粒度。
注意:有些公司把‘等保测评’‘渗透测试’硬塞进风险评估里,单独加钱。其实这两者目标不同——风险评估是看流程、制度、配置是否合理,而渗透测试是模拟黑客攻击。别稀里糊涂多付一笔。
影响价格的几个实在因素
真正决定报价高低的,往往不是公司名气,而是这些细节:
• 网络架构复杂度:有没有混合云?分支机构多少个?终端类型是否杂?
• 合规要求:金融、医疗行业必须过等保二级以上,评估维度更多,自然更贵;
• 历史文档质量:如果连网络拓扑图都是手绘的,顾问得先花半天理清现状,这部分时间肯定算进去;
• 是否要整改跟踪:只出报告不管落地,和陪跑3个月帮调配置,价格差一倍不止。
举个真实例子:一家本地连锁超市,12家门店+总部机房,用的是老旧防火墙+自建NAS,没做过等保。我们按标准版做了4.8万报价,包含漏洞扫描+策略核查+3次整改建议会。他们对比了另一家报6.5万但只给PDF报告的,最后选了前者——因为第二周就帮他们发现了两个未授权远程管理端口,避免了后续被勒索的风险。
签合同前盯紧这三点
• 明确交付物:至少要有《风险评估报告》《高风险项清单》《整改优先级建议》,别接受‘口头反馈’;
• 写清服务边界:是否含第三方系统接口风险分析?是否覆盖员工移动办公设备?这些不写清楚,后期容易扯皮;
• 约定复测机制:首次评估后,整改完能否免费复测一次?很多公司默认不包,但合理争取下,常能谈成。
说到底,风险评估不是交钱买张纸,而是提前看清哪根网线松了、哪个权限开大了、哪条策略形同虚设。价格只是入口,值不值,得看报告里写的第7条建议,能不能让你今晚睡得踏实点。