实务Practice
编辑／肖秀玲
信息安全产品认证工厂检查中
的几个常见问题 ○文／刘国伟李锦川
国家信息安全产品认证是信息安全产品领域的国家级产品认证， 2008年1月，国家质检总局和国家认监委联合发布了《关于部分信息安全产品实施强制性认证的公告》，规定从2009年5月1日起，对8大类、13种信息安全产品实行强制性认证。2009年4月27日，财政部、国家质检总局和国家认监委联合发布了《关于调整信息安全产品强制性认证实施要求的通告》，宣布将信息安全产品认证的实施时间延至2010年5月1日，并在《政府采购法》规定的范围内强制实施。2010年7月，国家认监委发布了《关于信息安全产品认证制度实施要求的公告》，将认证制度名称变更为“国家信息安全产品认证制度”。
一、工厂检查在认证中的作用目前，我国的国家信息安全产
品认证的模式采用的是“型式试验 +初始工厂检查+获证后监督”。无论是初次申请认证还是获证后监督，认证机构都要对产品的生产厂（或开发场所）进行工厂检查。
通过工厂检查，可以避免一些企业的欺诈行为。而且，对一些安全级别较高的产品，按照国家标准
58（认证技2011-04
万方数据
对其生产厂（或开发场所）的开发环境进行现场核查，可以进一步了解生产商的质量管理水平和安全保障能力，提高对产品质量和生产过程安全保障的信任度。
二、工厂检查经常发现的几个问题
1.缺少质量保证相关能力
按照质量保证能力基本要求，要求工厂建立文件化的程序，确保认证标志的妥善保管和使用，不合格品和获证产品变更后未经认证机构确认，不加贴国家信息安全产品认证标志。初始工厂检查的企业往往缺少这方面的程序文件，很多企业未建立认证标志的管理使用规定，更有些企业混淆了认证标志和本厂的产品标识。
其原因是信息安全产品生产企业多数为初次申请国家信息安全产品认证，未考虑到获证后的管理问题。相比之下，在对获证企业做监督检查时此类问题一般不会再出现。
2.缺少质量体系实施能力
按照质量保证能力基本要求，工厂应建立满足本文件要求的质量体系，并确保其实施和保
持。申请认证的信息安全企业基本都建立了质量管理体系，制定了一整套的质量管理体系文件。但在检查中发现部分企业体系文件形同虚设，实际的运作与体系文件规定相去甚远，失去了应有的规范企业生产，保证产品质量的意义。
其原因是质量体系的实施和保持需要成本投入和持续改进，一些企业急功近利，为了应对检查而准备材料，突击补充相关记录，导致体系运行的偏离。
3.缺少信息安全保证相关能力信息安全保证能力很多涉及到
开发安全，开发安全中很重要的一部分内容是对源代码及相关开发文档的保护。产品源代码等开发资料是企业的生存根本，在信息安全保证能力要求上也对相应开发安全提出了很高的要求。但一些企业对源代码及开发文档疏于管理，保护意识淡薄，问题比较严重的企业甚至将源代码及开发文档存放在个别工程师的笔记本电脑上，由工程师随意带入带出，极易造成核心技术外泄。另外，有些企业虽建有配置管理系统，对源代码等开发资料进行统一的管理，但终端机未与互联网隔离，终端可以随意上互联网，给源代码及开发文档带来很大安全隐惠。