信息安全产品强制性认证延期执行一年 是否为身陷争议的妥协
作者: 卜娜
责任编辑: 阚智
来源: 电脑商情在线
时间: 2009-08-19 20:03
无论在任何一个国家,信息安全都已经成为直接涉及国家利益、安全和主权的关键产业。各国政府对信息安全产品以及信息系统安全性的测评认证,都要比对其他产品更为严格。在发达国家,对信息安全产品施行强制性认证也已经是普遍现象。在2008年初,我国终于正式发布了《关于部分信息安全产品实施强制性认证的公告》,这无疑是中国信息安全产业发展的新里程碑。时隔一年,虽然信息安全产品的强制认证之路走得并不顺畅,而延期一年执行的结果,又是否是我国信息安全产品的强制性认证在争议中所做的妥协呢?
强制认证 一波三折
2008年1月,国家质检总局与国家认监委发布了《关于部分信息安全产品实施强制性认证的公告》,首次规定对信息安全产品施行强制性认证,并要求从2009年5月1日起强制执行。其中所涉及的八大类信息安全产品,如未获得强制性产品认证证书和未加施中国强制性认证标志,将不得出厂、销售、进口或在其他经营活动中使用。
然而,自公告发布之后,就立即引来了多方争议,特别是一些代表国外信息安全企业利益的质疑声更是不绝于耳,其间不乏国外媒体对相关规定的刻意误读,甚至有些还把这个强制性认证政策实施的动机解读为“商业间谍”,且其结果可能“导致国际贸易争端”。
而就在公告规定的大限之日来临前夕,国家质检总局、财政部和国家认监委又联合发布了一份《关于调整信息安全产品强制性认证实施要求的公告》,宣布将强制性认证的实施时间推迟一年,并且缩小了强制实施的范围,仅限定在《政府采购法》所规定的范围内。
仅仅一年多的时间,信息安全产品的强制认证不仅陷入非议,最终还延期施行和缩小了强制施行范围,这个关乎国家安全、关乎信息安全产业发展政策的落地,显然是一波三折。
迂回前行不是妥协
在强制性认证公告发布之后,最大的争议实际上来源于市场内部。在国内的信息安全市场中,国外企业在高端市场和众多信息安全领域一直保持着霸主地位。而强制性认证的施行,更容易让人理解为对本土企业的保护政策,甚至可能引发这一市场利益的重新分配,而这必然会触动这些国外大公司的利益。因此,08年所发布的“一刀切”式的强制认证策略也遭到了最猛烈的“炮轰”,显然这些企业正在不惜动用任何资源对这一政策投“反对票”。
有趣的是,在今年发布了《调整公告》之后,不少国外企业却不再“质疑”,而是更为积极的准备通过这个强制性认证。而这其中的原因,正是政府采购开放大门的诱惑。
在没有强制性认证标准出台之前,为了规避国家信息安全风险,政府采购一直把国外厂商排除在门外。而在新规定中,政府采购的门槛正在变为强制性认证,这对国外的信息安全企业无疑是个新的市场机会。
在《调整公告》中,也有人怀疑范围收缩是对各种非议的一种妥协,但实际上小网捞到的鱼不一定比大网少。在国内,过去很多适用于局部市场的强制性认证标准,很多都是在标准成熟之后再演变为整个行业的标准。而国内的信息安全产业,还处在一个市场快速发展的阶段,对信息安全产品的认证检测技术,同样有待成熟。放在更容易控制的局部市场去“做实验”,显然也更容易实现真正保障国家安全的目标。而强制性认证实施的时间推迟了一年,似乎也为这一“实验”提供了更多准备的时间。
一位信息安全企业的负责人曾经告诉记者,每个信息安全企业投入各种认证检测的成本都很高。在强制性认证实施之后,信息安全市场的准入标准将实现相对的统一化,过去检测标准不一、准入条件各异,安全厂商需要投入大量认证成本的时代也将一去不返。对于信息安全企业的发展,自然是一件好事。
在发达国家,政府通过行政管理来控制与国家安全关系最为紧密的信息安全产业,是保证国家安全的重要责任之一,通过对信息安全产品实施强制性认证的管理方式,其实也是“泊来品”。《调整公告》所谓的“妥协”,其实都是对强制认证有效实施更为有益的调整,而对于最为关键的认证要求,始终没有过任何“妥协”。因为,国家安全永远没有妥协。
强制认证 一波三折
2008年1月,国家质检总局与国家认监委发布了《关于部分信息安全产品实施强制性认证的公告》,首次规定对信息安全产品施行强制性认证,并要求从2009年5月1日起强制执行。其中所涉及的八大类信息安全产品,如未获得强制性产品认证证书和未加施中国强制性认证标志,将不得出厂、销售、进口或在其他经营活动中使用。
然而,自公告发布之后,就立即引来了多方争议,特别是一些代表国外信息安全企业利益的质疑声更是不绝于耳,其间不乏国外媒体对相关规定的刻意误读,甚至有些还把这个强制性认证政策实施的动机解读为“商业间谍”,且其结果可能“导致国际贸易争端”。
而就在公告规定的大限之日来临前夕,国家质检总局、财政部和国家认监委又联合发布了一份《关于调整信息安全产品强制性认证实施要求的公告》,宣布将强制性认证的实施时间推迟一年,并且缩小了强制实施的范围,仅限定在《政府采购法》所规定的范围内。
仅仅一年多的时间,信息安全产品的强制认证不仅陷入非议,最终还延期施行和缩小了强制施行范围,这个关乎国家安全、关乎信息安全产业发展政策的落地,显然是一波三折。
迂回前行不是妥协
在强制性认证公告发布之后,最大的争议实际上来源于市场内部。在国内的信息安全市场中,国外企业在高端市场和众多信息安全领域一直保持着霸主地位。而强制性认证的施行,更容易让人理解为对本土企业的保护政策,甚至可能引发这一市场利益的重新分配,而这必然会触动这些国外大公司的利益。因此,08年所发布的“一刀切”式的强制认证策略也遭到了最猛烈的“炮轰”,显然这些企业正在不惜动用任何资源对这一政策投“反对票”。
有趣的是,在今年发布了《调整公告》之后,不少国外企业却不再“质疑”,而是更为积极的准备通过这个强制性认证。而这其中的原因,正是政府采购开放大门的诱惑。
在没有强制性认证标准出台之前,为了规避国家信息安全风险,政府采购一直把国外厂商排除在门外。而在新规定中,政府采购的门槛正在变为强制性认证,这对国外的信息安全企业无疑是个新的市场机会。
在《调整公告》中,也有人怀疑范围收缩是对各种非议的一种妥协,但实际上小网捞到的鱼不一定比大网少。在国内,过去很多适用于局部市场的强制性认证标准,很多都是在标准成熟之后再演变为整个行业的标准。而国内的信息安全产业,还处在一个市场快速发展的阶段,对信息安全产品的认证检测技术,同样有待成熟。放在更容易控制的局部市场去“做实验”,显然也更容易实现真正保障国家安全的目标。而强制性认证实施的时间推迟了一年,似乎也为这一“实验”提供了更多准备的时间。
一位信息安全企业的负责人曾经告诉记者,每个信息安全企业投入各种认证检测的成本都很高。在强制性认证实施之后,信息安全市场的准入标准将实现相对的统一化,过去检测标准不一、准入条件各异,安全厂商需要投入大量认证成本的时代也将一去不返。对于信息安全企业的发展,自然是一件好事。
在发达国家,政府通过行政管理来控制与国家安全关系最为紧密的信息安全产业,是保证国家安全的重要责任之一,通过对信息安全产品实施强制性认证的管理方式,其实也是“泊来品”。《调整公告》所谓的“妥协”,其实都是对强制认证有效实施更为有益的调整,而对于最为关键的认证要求,始终没有过任何“妥协”。因为,国家安全永远没有妥协。
