【IT168 专稿】信息安全认证标准如同中国的其他标准一样，经历了“友邦惊诧”、“无奈缓行”、“变相实施”、“前途未卜”这样一个艰难曲折的发展历程。中国标准“千转百回”的艰辛路，带给我们怎样的思考和启发？

　　信息安全认证艰辛路

　　日前，澳大利亚力拓公司驻上海办事处的四名业务人员因涉嫌窃取中国国家秘密而被拘捕。四人在中外进出口铁矿石谈判期间，因为信息泄密，给中国钢铁行业带来高达7000多亿元的经济损失。这为中国的企业信息化敲响了警钟，也使网络安全、信息安全再次被提到战略层面。

　　信息安全产品和技术是保障信息安全的重要支撑。随着信息产业的快速发展和信息化进程的逐步深入，信息安全问题成为了全球共同关注的焦点。在信息安全领域，采取统一认证机制来保障信息系统安全是各国的通用做法。我国也不例外。

　　今年4月27日，由国家质量监督检验检疫总局、中华人民共和国财政部、中华人民共和国国家认证认可监督管理委员会联合发布了《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）。

　　公告中，将国家质量监督检验检疫总局、国家认证认可监督管理委员会《关于部分信息安全产品实施强制性认证的公告》（2008年第7号）中涉及的信息安全产品强制性认证的强制实施时间延至2010年5月1日，并仅在政府采购法规定的范围内强制实施。认证产品范围包括防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换、安全路由器、智能卡COS、数据备份与恢复、安全操作系统、安全数据库系统、反垃圾邮件、入侵检测系统、网络脆弱性扫描、安全审计、网站恢复13种产品。目前，信息安全产品的认证受理工作已经开始。

　　据记者了解，《关于部分信息安全产品实施强制性认证的公告》在2008年1月就已发布，在时隔一年多之后，又联合财政部发布调整公告，不仅延后了原公告的执行时间，更将信息安全产品认证的强制实施限定在政府采购法规定的范围内。在世界范围内将信息安全的重要性上升到国家战略层面的今天，为了确保信息安全产品质量、保障国家信息安全，国家对信息安全产品以及信息网络系统的安全，实施了很多行政许可和认证的监管措施。但事实上，中国的信息安全认证之路走得十分艰辛。