118检查机构能力认可准则在信息安全技术领域的应用说明 - 中国合格评定.docVIP

检查机构能力认可准则 在信息安全技术领域的应用说明 （征求意见稿） 一 引言 信息安全技术是中国合格评定国家认可委员会（英文缩写：CNAS）对检查机构的认可领域之一，该领域主要是对信息系统（产品）的安全特性与法规、标准或特定要求的符合性进行检查。 本文件是CNAS 根据信息安全技术的特性而对CNAS— CI01:2006《检查机构能力认可准则》所作的进一步说明，并不增加或减少该准则的要求。因此，本文件采用针对CNAS《检查机构能力认可准则》的具体条款提出应用说明的编排方式，故章节号是不连续的。 本文件需与CNAS— CI01:2006《检查机构能力认可准则》和CNAS— CI02:2006《检查机构能力认可准则的应用说明》同时使用。 二 应用说明 2 定义 2.1 信息安全检查 在该领域中，信息安全检查活动也称为信息安全测评，检查机构也称为测评机构，检查员也称为测评工程师。 信息安全检查（信息安全测评）是指使用信息技术安全专业知识，对信息系统或信息产品进行检查，确定信息系统或信息产品的安全性与法规、标准或特定要求的符合性。 4.独立性、公正性和诚实性 4.1 应制定明确的文件化政策，确保检查机构人员的判断不受来自与产品开发人员、系统集成人员及其他与检查结果有利害关系的人员影响。 5.保密性 由于该技术领域大多数检查过程记录与结果是电子数据，易于复制和扩散，应考虑制订特殊的保护政策和