随着我国信息安全水平的不断提升,对于各类ICT产品的信息安全要求也在逐年提升。近年来,“EAL认证”的要求在招标文件、采购需求等文件中出现的频次越来越高,也给企业带来了新的竞争点。其中,EAL4+可以覆盖EAL1-4级的要求同时,也不涉及到EAL5半形式化的技术分析投入,成为了众多企业选择的目标;因此,获取EAL4+认证成为了提升产品安全性、增强市场竞争力的关键。然而,对于许多企业而言,EAL4+认证成本成为了重担。不少企业表示,在商业的竞争力提升从而获取的订单甚至都难以覆盖在EAL4+证书的投入。今天,望安科技就来为大家剖析 EAL4 + 认证成本高的原因,并分享中小企业低成本通过认证的秘诀。
EAL4+认证成本为何居高不下?其中有两方面的原因:
其一是测评机构的测评费用较高。由于EAL4+认证采用的标准GB/T18336是由国外标准ISO/IEC15408采纳而来,其中的测试流程也与国外一致。虽然相较于国外,国内的认证难度相对较低,但也不会破坏认证的整体框架。一方面,实验室需要审核文档材料,另一方面也需要对产品寄样进行全方面的攻击测试,从而满足全方面的需要。这就造成了实验室本身的工作量较大,一般过程需要6个月左右的测试时间,也将收取高昂的测试费用。
其二是企业的人力投入十分惊人。根据对部分企业的调查采访,一般初次接触国内EAL4+认证的员工都会被需要的认证文档材料吓到,以望安曾经服务的案例举例:一份EAL4+的认证材料基本在600页左右,其中需要对产品安全性做大量的分析与测试,同时还应符合实验室的要求。GB/T18336其中并没有对证据文档的详细要求,最终导致了初期的学习成本极高。根据估算,完成一份EAL4+认证的前期准备基本需要一个团队投入4-6个月的时间,如果是初次接触,这个时间或许还将延长。背后带来的近百万的人力成本也让许多中小企业望而却步。
相比于国外的通用CC认证与EUCC认证,国内的EAL认证已经显得相对友好。以国外通用CC为例,一个项目的认证成本可能将高达数百万甚至更高。但是,以下的这些方法和渠道可以帮您降低部分认证成本:
第一,前期进行充足的调研。一般而言,认证费用由咨询费用(如有)、测试费用、现场审查费用、认证费用构成。不同实验室之间的报价也有不同。同时,也需要注意认证证书与测评证书有效性和有效期的区别。
第二,由于EAL认证有认证失败的风险,建议在产品研发初期就开始规划安全功能。同时在认证前期的材料准备上尽可能完善,以减少后续反复多次修改造成的额外人力成本。
第三,重视现场审查工作。一般现场审查都需要提前准备,如果现场审查不通过的,还需要预约下次审查,其中可能造成的差旅等一系列费用都将是需要额外承担的。
第四,寻找经验丰富可靠的外部咨询机构。EAL认证的难度极高,工作量极大,同时还有以上一系列可能出现问题。如果可以外部机构参与来负责认证全流程,一方面可以加快认证进度,另一方面也可以用部分的服务费成本降低整体的人力成本,提高效率。
国内EAL认证方面有以望安科技为首的少部分机构可以提供EAL认证的咨询服务,其中望安科技曾经完成过小米EAL5+的认证,已在高等级领域积累了丰富的经验。咨询机构一般都与认证机构与实验室保持良好的关系,望安科技根据用户需求选择合适的认证方案,尽可能降低用户成本,提高效率,确保企业认证申请顺利推进。
望安科技已经成功助力众多中小企业以较低成本通过 EAL4 + 认证,让企业在提升产品安全水平的同时,无需承受过高的经济负担。别再让 EAL4 + 认证的成本阻碍企业发展,快与望安科技携手,踏上低成本认证的快车道,开启企业产品安全与市场竞争力提升的新篇章!