编辑: hyszqmzc | 2019-07-04 |
2018 年09 月01 日 实施 CNAS-CL01-A020 检测和校准实验室能力认可准则 在信息安全检测领域的应用说明 Guidance on the Application of Testing and Calibration Laboratories Competence Accreditation Criteria in the Field of Information Security Testing 中国合格评定国家认可委员会 CNAS-CL01-A020:2018 第1页共5页2018 年03 月01 日 发布
2018 年09 月01 日 实施 前言本文件由中国合格评定国家认可委员会(CNAS)制定,是结合信息安 全检测的特点对 CNAS-CL01《检测和校准实验室能力认可准则》中的部分 条款的应用说明,并不增加或减少该认可准则的要求.
本文件与 CNAS-CL01《检测和校准实验室能力认可准则》同时使用. 在结构编排上,本文件章、节的条款号和条款名称均采用 CNAS-CL01: 中章、节条款号和名称,对CNAS-CL01 应用说明的具体内容在对应条款后 给出. 本文件代替 CNAS-CL46:2013《检测和校准实验室能力认可准则在信息安 全检测领域的应用说明》 . 本次修订主要根据 CNAS-CL01:2018《检测和校准实验室能力认可准则》 对章节号重新进行了编排,并按照 CNAS 的统一要求调整文件编号. CNAS-CL01-A020:2018 第2页共5页2018 年03 月01 日 发布
2018 年09 月01 日 实施 检测和校准实验室能力认可准则在信息安全检测领域的应用说明
1 范围 本文件适用于所有从事信息安全检测的实验室.
2 引用文件 CNAS-CL01:2018《检测和校准实验室认可准则》
3 术语和定义
4 通用要求 4.1 公正性 4.1.3 如果实验室所在的组织从事信息安全检测以外的活动(例如,涉及信息安 全相关的开发) ,应承诺并采取措施确保不利用被检测信息安全相关方的知识产 权牟取利益. 4.1.4 实验室应建立并保持从事信息安全检测公正性和诚实性的政策和程序,并 确保信息安全检测人员不参加被测对象的开发和咨询, 确保实验室检测人员与产 品开发商、系统集成商、安全集成商、其他有利害关系和可能影响检测结果的人 员之间相互分离.
5 结构要求
6 资源要求 6.2 人员 6.2.2 信息安全检测实验室的人员应满足以下要求: a) 信息安全检测人员应具有信息安全、计算机、通信或网络等相关专业本 科或以上学历,从事信息安全检测工作
1 年以上,且至少参与过
3 个信息安全检 测项目. b) 信息安全检测领域的授权签字人和意见解释人员应具有信息安全、计算 机、通信或网络等相关专业本科或以上学历,从事信息安全检测工作
3 年以上, 且至少参与过
5 个信息安全检测项目. c) 实验室人员应经过相关培训,考核通过后方能上岗.实验室人员还应接 受安全保密和知识产权保护方面的培训,以确保客户利益和商业机密不被泄露. d) 实验室应: 1) 至少具有
5 名信息安全检测人员;
2) 由熟悉信息安全项目管理、开发、测试及标准、规范、规程的技术人员 负责组织实施信息安全检测任务;
CNAS-CL01-A020:2018 第3页共5页2018 年03 月01 日 发布
2018 年09 月01 日 实施 3) 由熟悉信息安全检测过程、标准/规范/规程,信息安全质量评价和信息 安全测试质量评价的人员,负责信息安全检测过程和产品的规范符合性审核监 督;
4) 由熟悉信息安全测试需求、测试结果评价和判定准则的人员负责对信息 安全测试输入和测试结果进行核查. 6.3 设施和环境条件 6.3.1 实验室应建立稳压、防静电和防范恶意代码的检测环境.实验室还应对检 测环境在使用前进行核查. 6.3.4 b) 检测网络应与其他网络采取隔离措施.如果同时进行多个检测项目,实 验室应保持检测环境的有效分离.当检测活动在实验室以外场所进行时,其检测 环境也应满足要求,并确保检测活动在受控环境下执行.当通过实验室以外的网 络实施远程检测时,应注意影响网络正常运行的环境条件. 6.4 设备 6.4.1 信息安全检测设备应包括硬件设备和软件检测工具.实验室应在每个项目 测试前对检测设备进行核查.对于性能检测项目,实验室所选用的设备应是具有 可追溯性的商用软件和硬件. 6.4.13 实验室应保存所有检测设备的档案.实验室的记录还应包括检测设备的 配置信息、软件检测工具所需运行环境等信息.软件测试工具的不同版本,均应 有唯一性标识. 6.5 计量溯源性 6.5.3 对于新的或发生了重大变化的无法进行外部溯源的方法和测试工具,实验 室应采取措施检查测试方法和测试工具的有效性,检查措施可包括: a) 适用时,对特定的信息安全产品样例进行检测,审查信息安全产品样例 预埋问题的复现情况,确认其偏差. b) 适用时,应溯源到权威的测试集规范或其它有关的权威标准或规范.