按照官方文件,信息安全等级保护的整个工作分定级\备案\建设整改\等级测评\监督检查等环节,
个人理解真正保证国标技术要求落到实处的就是测评,因此公安部花了相当大力气在测评机构和人员方面进行管理和控制,这个过程不管个案的情况,整体上还是对支撑等级保护工作,普遍提高各级信息系统建设运行单位和人员的安全意识起到了实际作用.
可是令人不解的是,现在不少地方出来一个差距测评,或者叫差距分析,说是整改建设前的叫差距测评(分析),整改后的叫验收测试.
这就有点意思了,是不是以后3级系统每年的测评叫年审测评,4级半年一次的测评叫半年测评呢?不管那种等级测评,依据的根本标准规范都是基本要求\测评要求,测评的方法\流程也都没有任何差别,起那么多名有什么意义?等级保护还不够复杂吗?
更不可理解的是,有些省市居然在公安部公布的推荐测试机构名单以外又公布一个可以做差距测评的机构名单,卖产品\做集成的公司广列其中.
这样一来,公安部为保证测评不带偏向性的控制要求--测评机构不能从事安全产品销售和集成 不是成了摆设?
更不公平的是:推荐测评机构又是培训人员,又是大搞机构内部管理规范,到头来却不得不和地方上什么都不用搞的厂商和集成商竞争所谓的差距测评业务.
最后,等级保护成了这样一个有点滑稽的过程:
1 厂商和集成商以低价(甚至免费)为用户开展所谓差距测评,发现大量与自己产品相关的安全问题
2 根据测评结果,用户不得不大量采购某某厂商的产品,并且认为这样就可以达到等保要求了
3 整改建设完成,厂商集成商收钱走人
4 公安部公布的推荐测试机构开展所谓验收测评,发现问题,提出不符合意见
5 用户要么大呼上当,要么投诉验收测评机刁难,拒绝支付验收测评费用
......
长此以往,真不知道,公安部公布的推荐测试机构怎么活?用户对等级保护怎么看?谁还要去申请等级保护测评资质?

不解,请大家讨论,指点一下!

楼主所说的确实存在问题，现在很多用户要求集成、咨询公司进行整改，而且要求过等保测评，很多公司为了利益，也和测评机构进行挂钩。目前来看只能通过相关的法规来约束各个测评机构、集成、咨询公司。公安部应该对这些公司进行通报。这些事情是我们现在无法左右的，牢骚可以发，工作接着做。提高业务能力是关键。

差距测评也称现状测评，旨在找出信息系统现状与国标基本要求之间的差距，分析得出安全需求，为建设整改提供依据。我所接触的一些用户，差距测评有自测评的，有用风险评估代替的。
等级测评也叫符合性测评，旨在检验建设整改后，信息系统状况与国标基本要求的符合程度。
监督检查，有不少场合也称监督性测评，当然这是公安的事情了，呵呵！

另外，楼主说的“真正保证国标技术要求落到实处的就是测评”，我不太同意。我觉得，不管是哪个测评，都只是个手段，真正要落实还是建设整改。
至于楼主说的“等级保护的滑稽过程”，完全把测评机构作为等级保护的主导。其实，等级保护工作起主导的是用户自己，建设整改也不简简单单是堆叠一堆安全产品。

确实是：“等级保护工作起主导的是用户自己”，但用户可能没安全经验，运维都是外包，人手不足，经验不够，所以还是形成有中国特色的"茶具测评”这种现象，虽然造成不公，不能看作“杯具”了。

几点商榷:
1、差距测评旨在找出信息系统现状与国标基本要求之间的差距，分析得出安全需求，为建设整改提供依据。"等级测评也叫符合性测评"。　这两个定义是准确的.但是,差距测评用风险评估代替,不大好理解;
２、我对有能力的用户以自测评方式开展差距测评是持赞成态度的,现在的问题是,有些地方向厂商另外发差距测评机构资质,一方面限制了没有取得这个资质的企业,另一方面规避了国家对测评机构的人员\机构和保证测评公正性的相关要求.把等保工作弄的相当复杂.
３、虽然等级保护工作起主导作用的确应当是用户,但是,用户对等保标准理解得了的又有多少呢?尤其是在政府\教育\卫生等等公共服务部门,可能银行好些.因此,我说"自己真正保证国标技术要求落到实处的就是测评",仅仅是技术把关,保证标准落地的意思,不是说安全建设是测评机构主导。
４、说句大白话,有太多的实例显示:相当多的所谓厂商差距测评机构正在把等保建设整改变成"堆叠一堆安全产品"。

目前，等级保护的测评有2种，一种是差距测评，旨在找出与相应定级的“差距”之处，不符合之处，需要整改之处。第二种就是等级保护测评，也就是符合性测评，目的是帮助政府相关机构了解目前的被测评单位是否符合国家相应的要求。
从历史原因来讲：差距测评产生的原因大概有2个：
1. 是最早的公安部公布的名单中，是有一部分含有安全设备生产厂商的公司在内，后来在08年11月，公安部下令，有安全设备销售的，不能进行等级保护测评，进而转做差距测评。
2. 是因为目前的等级保护测评单位数量的不足，目前只有9家公安部承认的等级保护测评单位，可能有增加，但不会太多。而面对众多的等级保护测评要求，为了降低测评单位的工作量，完成测评工作计划，于是放出差距测评一项，辅助测评工作的进行。

目前，所有的测评单位参加差距测评，差距测评报告并不被公安部所承认，不能做为正式的测评报告。
等级保护工作是国家为帮助企业了解自身的安全状态而建立的一套国家级标准的信息安全标准，目的也是为了让企业重视信息安全，提高安全意识。

至于说做差距测评，卖产品，做为商人，这个无可厚非。身为甲方，应该了解的是，我应该怎么保障安全，而不是堆叠产品。

国家推荐的信息安全等级测评机构不少了.
北京的机构有

公安部信息安全等级保护评估中心
国家信息技术安全研究中心
中国信息安全测评中心
电力行业信息安全等级保护测评中心
信息产业部计算机安全技术检测中心
北京信息安全测评中心
公安部第一研究所信息安全等级保护测评中心

共7家。

广东也有5家
中国赛宝实验室（工业和信息化部电子第五研究所）
深圳市信息安全测评中心
广州华南信息安全测评中心
深圳市网安计算机安全检测技术有限公司
广州竞远系统网络技术有限公司

浙江也有5家

浙江省电子产品检验所
浙江省发展信息安全测评技术有限公司
杭州安信检测技术有限公司
宁波市鑫诺检测技术有限公司
杭州市东安检测技术有限公司

重庆1家
重庆信安网络安全等级测评有限公司

河南1家
河南省金盾信息安全等级技术测评中心有限公司

不希望这样的杯具 越来越惨，以至于最后 等保成了 噱头！！

1、差距测评也叫现状测评，字面上不难理解，是找出信息系统现状。同样，风险评估也是得出信息系统现状的方法之一。这点，和公安等保评估中心专家交流的时候，他们说的。
2、前段时间，公布了测评机构的推荐清单，这个差距测评机构资质，有公布嘛？
3、5年前，用户的水平不是很高，很容易被厂商、服务商牵着走；不过近5年来，他们接触国外一流厂商、服务商越来越多，培训机会逐步增加，自身水平不断提高，对乙方要求也水涨船高。想必大家也意识到，现在做一些安全产品类的集成项目，不太好做了，客户不太好忽悠了！
不说别的，等保专家委员会成员，大部分都是行业用户的信息安全主管处级领导，我接触过其中一些，基本都是北大、清华的高材生，水平都很高，想忽悠人家，很困难。
4、据我了解，现在等保建设整改各个行业还没全面铺开吧？大多数行业目前都在把国标落地为行标，个别进度快的，只是做完了试点的差距测评。

“真正保证国标技术要求落到实处的就是测评”，这是一个误导人的说法。
测评只是一种手段，而且只是一种保证手段，要求落到实处的关键不在于多少产品，如何测评，而在于人的意识是否到位。这里的人不单单是指用户方，还包括厂家、集成商，乃至测评机构的相关人员的意识和素质。
谁都不能说测评机构就一定比集成商和厂家专业、规范，也没谁可以拍胸脯保证我给出的方案一定没问题。什么是安全？什么是适度安全？这两个问题我怕很多人在具体项目中都会选择性忘却。。。
所以，说白了，测评机构的抱怨在于大部分利益和主动权被厂家、集成商拿走了。厂家和集成商自然也不愿意被测评机构牵着鼻子走。这只是个利益的博弈，具体谁输谁赢，实际对用户来说真的有很大影响吗？用户所怕的情况不是测评机构和集成商互相打架，最怕的是测评机构和集成商联合起来把项目做大，做成一个过度安全。。。

不管等级测评还好，还是风险评估还是所谓的“差距测评”，都是一种评估手段，其本来目的都是为了降低风险，提高安全防护能力。但是等级保护是国家的一种制度，基本要求是站在国家的高度必须达到的安全基线；
风险评估更多应站在用户自身的角度去分析哪些是不可接受的风险，哪些可接收；
“差距测评”我看应该是一种对照标准的自评估手段。
以上任何一项活动如果纯粹是本着兜售产品的目的，那都违背了其本义，应该进行通报。

继续讨论一下：
1、找出信息系统现状的确是两种测评的共性部分，更始测评的起点,但是个人理解差距测评目的是找差距,找现状与国家标准的差距;风险评估目的是分析出不可接受的风险,可不可以接受的依据是客户的业务安全需要..等保国标考虑出发点更多居于国家安全、公共秩序、社会影响；客户安全需求更多考虑业务安全、机构敏感信息保护等，还是有很大不同的。
2、南方某省GA较早就公布了该省差距测评机构大名单,名单应当说基本囊括了各大厂商、集成商。
3、事实上，各行业用户的安全水平差距十分巨大，金融、政府、外企、国企、医院、学校，真的差别很大。一些行业（就不点出来了）根本没有安全技术人员，更谈不上安全技术人才了。被牵着走是不可避免的，所以被什么洋的机构牵往往成为能否做好的重要问题
4、等保测评在几个主要地区已经全面铺开，等保建设整改的方案工作已经开始。