2018年3月23日公安部第十一局发布了新的《网络安全等级保护测评机构管理办法》,对测评机构的规范管理做出了明确说明,新的管理办法目前已经实施了一年多,对整个测评行业的规范运行起了很大正面作用,但是目前市场上还是有一些不规范的行为存在。今天不得不等就讲一个问题,我们会不时看到个大的项目里会把等保测评作为其中一项需求放入此项目中一起招标,最终中标方通常都是一些集成商或软件商等单位。这种项目运作方式是不正确的,严重影响了等保测评项目的规范管理,各地网安部门应当对此类测评项目严格禁止,引导等保测评市场的正确开展。
为什么说这种项目运作方式是不正确的?我们来看看新的《网络安全等级保护测评机构管理办法》中对相关行为的规定:
第四十三条 测评机构有下列情形之一的,等保办责令其限期整改;情形严重的,责令整改期间暂停测评业务,并予通报。
(二)分包、转包、代理测评项目,或恶意竞争,扰乱测评工作正常开展的;
第四十四条 测评机构有下列情形之一的,等保办应取消其推荐证书,并向社会公告,三年内不得再次申请。
(三)有网络安全产品开发、销售或系统安全集成等影响测评结果公正性行为;与产品提供商、服务商或被测评方存在利益勾结,扰乱测评业务正常开展的;
如果一个大的集成项目里含有等保测评要求,那么中标方肯定不可能是测评机构,不然测评机构自身就会存在系统安全集成的问题,这会被直接取消测评机构推荐证书,那么中标方肯定是其他的集成类公司,但是集成公司肯定又没有测评资质,他要把项目顺利交付,必然会把测评项目再次分包给有资质的测评机构,那么在这个项目中测评机构就涉嫌存在代理测评项目及与产品提供商、服务商或被测评方存在利益勾结,扰乱测评业务正常开展的嫌疑。可能测评机构或者集成商会说他们之间没有这种行为,但是这很难说清楚,里面具体的细节当事双方最清楚,没有无缘无故的爱自然也没有无缘无故的项目,为什么选择A测评机构没有选择B测评机构,总是有原因的,难道之间真的就没有一点利益问题?一旦测评机构依附于其他方去做测评项目,那么作为测评机构的客观性、公正性就可能会被打折扣,这将失去测评机构一个第三方检测机构的意义。
那么如何避免此类行为的再次发生呢?不得不等建议:1、各业主单位首先在项目招标中将测评项目与其他项目分开,保障测评项目的独立性,这样可以避免测评机构与相关方有一定联系,可以有效保障后续测评过程的合规性、公正性及客观性,也是对自己单位的安全负责。试想一家集成商分包出去的测评项目,集成商的想法难道一点不会影响测评机构?在人屋檐下,不得不低头;2、各测评机构对于此类项目一律不予承接,一旦这样的路走不通了,自然业主下次就会把测评项目单独拉出来进行招投标,承接此类项目的风险过大,短期内是有一些利益,但是一旦被主管单位较真严格追查起来,就会存在违反管理办法43及44条的可能,轻则暂停业务重则直接测评资质,得不偿失;3、作为测评行业主管单位的公安网安部门需要进行规范宣贯,一方面告之广大业主需要将测评项目进行独立招标,另一方面对违反管理办法的测评机构进行严厉处罚,对相关不规范的项目实施报备不予通过。目前听说部分地区已经下过类似通知,明确要求测评项目需要进行独立招标,不得与集成项目放在一起。其他地区也可以发布相关通知要求,共同去规范测评市场的各类行为,保障测评项目的实施质量,最终确保广大业主单位的网络安全。