走出信息安全产品认证困局

走出信息安全产品认证困局

■ 文  沐澜

这几天，北京天融信科技有限公司负责中央国家机关政府采购协调工作的林女士的心情与天气一样焦灼——公司旗下13款信息安全类产品因协议供货入围型号与中国信息安全认证中心颁发的证书上列明的型号不一致，而被暂停了协议供货资格。有此遭遇的不止天融信一家，与她心情一样的还有其他23家厂商。

前不久，中央国家机关政府采购中心（以下简称国采中心）发布《关于信息安全产品资质审核的通知》，24家企业的142款信息安全类产品协议供货入围的型号与中国信息安全产品认证证书上的“产品名称和型号、规格、版本”不一致，被暂停协议供货资格。

根据财政部等多个部委联合发布的《关于信息安全产品实施政府采购的通知》，自2010年5月1日起，安全路由器、安全数据库系统等13种产品须在《政府采购法》规定的范围内实行强制性认证。中国信息安全认证中心具体负责此项认证工作，而担负申请认证产品检测的机构共有7家。截至2013年5月31日，中国信息安全认证中心已颁发了350张信息安全产品认证证书。

为什么会出现“产品协议供货入围型号与中国信息安全产品认证证书上的产品名称和型号、规格、版本不一致”的情况呢？

在我国现行的信息安全管理体制框架下，企业所生产的信息安全类产品所要经过的检测不只一种，而是涉及多个国家职能部门的检测要求。每类检测所需的时间、成本对于企业尽快营利都会造成一定的影响。因此，对企业而言，参与认证的次数、所获证书的数量自然是越少越好。而根据相关的认证规则，每个产品型号不一定都对应一张认证证书，同一产品单元认证即核心指标相同、边缘指标或外形不同的产品也可作为同一认证。

在这样的情况下，部分企业认为：既然国家并没有规定每款产品与认证证书必须一一对应，那么多款规格类似的产品对应一张证书也无伤大雅。记者在国采中心此次公布的清单中发现，几乎所有被公示的企业都有多款产品只对应一个证书的情况。其中，涉及产品款数最多的北京神州绿盟科技有限公司，其20款产品只对应了5个证书。

在记者与部分相关企业的沟通中，几乎每家企业都会心虚地表示：“又不是只有我们一家出现这种情况，你看这次被公示的企业那么多，大家都是这样做的。”不难看出，多款产品对应一个证书已是企业的惯用手段。

从另一个角度来看，认证机构和集采机构作为独立的第三方机构、作为连接采购人和供应商的桥梁，必须做到正确把关，才能将国家对信息安全产品采购的相关规定落到实处。

至于当前如何破解企业“一证对多品”和“相应减少厂商认证成本”的问题，记者认为，只有集中采购机构、认证机构、检测机构以及企业4方当事人在法律法规的框架下，针对信息安全产品采购的具体特点认真分析、共同探讨，方能寻找出一条妥善解决的途径。