随着我国信息安全水平的不断提升，对于各类ICT产品的信息安全要求也在逐年提升。近年来，“EAL认证”的要求在招标文件、采购需求等文件中出现的频次越来越高，也给企业带来了新的竞争点。其中，EAL4+可以覆盖EAL1-4级的要求同时，也不涉及到EAL5半形式化的技术分析投入，成为了众多企业选择的目标；因此，获取EAL4+认证成为了提升产品安全性、增强市场竞争力的关键。然而，对于许多企业而言，EAL4+认证成本成为了重担。不少企业表示，在商业的竞争力提升从而获取的订单甚至都难以覆盖在EAL4+证书的投入。今天，望安科技就来为大家剖析 EAL4 + 认证成本高的原因，并分享中小企业低成本通过认证的秘诀。

EAL4+认证成本为何居高不下？其中有两方面的原因：

其一是测评机构的测评费用较高。由于EAL4+认证采用的标准GB/T18336是由国外标准ISO/IEC15408采纳而来，其中的测试流程也与国外一致。虽然相较于国外，国内的认证难度相对较低，但也不会破坏认证的整体框架。一方面，实验室需要审核文档材料，另一方面也需要对产品寄样进行全方面的攻击测试，从而满足全方面的需要。这就造成了实验室本身的工作量较大，一般过程需要6个月左右的测试时间，也将收取高昂的测试费用。

其二是企业的人力投入十分惊人。根据对部分企业的调查采访，一般初次接触国内EAL4+认证的员工都会被需要的认证文档材料吓到，以望安曾经服务的案例举例：一份EAL4+的认证材料基本在600页左右，其中需要对产品安全性做大量的分析与测试，同时还应符合实验室的要求。GB/T18336其中并没有对证据文档的详细要求，最终导致了初期的学习成本极高。根据估算，完成一份EAL4+认证的前期准备基本需要一个团队投入4-6个月的时间，如果是初次接触，这个时间或许还将延长。背后带来的近百万的人力成本也让许多中小企业望而却步。

相比于国外的通用CC认证与EUCC认证，国内的EAL认证已经显得相对友好。以国外通用CC为例，一个项目的认证成本可能将高达数百万甚至更高。但是，以下的这些方法和渠道可以帮您降低部分认证成本：

第一，前期进行充足的调研。一般而言，认证费用由咨询费用（如有）、测试费用、现场审查费用、认证费用构成。不同实验室之间的报价也有不同。同时，也需要注意认证证书与测评证书有效性和有效期的区别。

第二，由于EAL认证有认证失败的风险，建议在产品研发初期就开始规划安全功能。同时在认证前期的材料准备上尽可能完善，以减少后续反复多次修改造成的额外人力成本。

第三，重视现场审查工作。一般现场审查都需要提前准备，如果现场审查不通过的，还需要预约下次审查，其中可能造成的差旅等一系列费用都将是需要额外承担的。

第四，寻找经验丰富可靠的外部咨询机构。EAL认证的难度极高，工作量极大，同时还有以上一系列可能出现问题。如果可以外部机构参与来负责认证全流程，一方面可以加快认证进度，另一方面也可以用部分的服务费成本降低整体的人力成本，提高效率。

国内EAL认证方面有以望安科技为首的少部分机构可以提供EAL认证的咨询服务，其中望安科技曾经完成过小米EAL5+的认证，已在高等级领域积累了丰富的经验。咨询机构一般都与认证机构与实验室保持良好的关系，望安科技根据用户需求选择合适的认证方案，尽可能降低用户成本，提高效率，确保企业认证申请顺利推进。

望安科技已经成功助力众多中小企业以较低成本通过 EAL4 + 认证，让企业在提升产品安全水平的同时，无需承受过高的经济负担。别再让 EAL4 + 认证的成本阻碍企业发展，快与望安科技携手，踏上低成本认证的快车道，开启企业产品安全与市场竞争力提升的新篇章！