2013检测和校准试验室能力认可准则在信息安全检测领域的应用说明.PDFVIP

CNAS-CL46 检测和校准实验室能力认可准则 在信息安全检测领域的应用说明 Guidance on the Application of Testing and Calibration Laboratories Competence Accreditation Criteria in the Field of Information Security Testing 中国合格评定国家认可委员会 2013 年09 月01 日 发布 2015 年06 月01 日第一次修订 2015 年06 月01 日 实施 CNAS-CL46:2013 第 1 页 共5 页 前 言 本文件由中国合格评定国家认可委员会（CNAS ）制定，是结合信息安全检 测的特点对 CNAS-CL01：2006 《检测和校准实验室能力认可准则》中的部分条 款的应用说明，并不增加或减少该认可准则的要求。 本文件与CNAS-CL01：2006 《检测和校准实验室能力认可准则》同时使用。 在结构编排上，本文件章、节的条款号和条款名称均采用CNAS-CL01:2006 中章、节条款号和名称，对CNAS-CL01:2006 应用说明的具体内容在对应条款后 给出。 2013 年09 月01 日 发布 2015 年06 月01 日第一次修订 2015 年06 月01 日 实施 CNAS-CL46:2013 第 2 页 共5 页 检测和校准实验室能力认可准则在信息安全检测领域的应用说明 1 范围 1.2 本文件适用于所有从事信息安全检测的实验室。 2 引用标准 检测和校准实验室认可准则（CNAS-CL01:2006 ） 3 术语和定义 4 管理要求 4.1 组织 4.1.4 如果实验室所在的组织从事信息安全检测以外的活动 （例如，涉及信息安全相 关的开发），应承诺并采取措施确保不利用被检测信息安全相关方的知识产权牟取利 益；并且不应当承担所在组织研发的信息安全产品的第三方检测活动，以避免影响其 判断独立性和检测诚信度。 4.1.5 实验室应： a) 安排由熟悉项目管理、信息安全开发技术、信息安全测试技术及其标准、规 程和规范的技术人员负责组织、实施信息安全检测任务。 c) 有政策和程序确保与被测对象的信息安全相关各方的机密信息和知识产权得 到保护。至少应对检测过程、电子储存、检测结果传输的信息保护方式进行描述，避 免信息的泄露和不当使用给被测对象的运行构成潜在安全风险。应制定并签署书面保 密承诺书。 d) 应建立并保持从事信息安全检测公正性和诚实性的政策和程序，并确保信息 安全检测人员不参加被测对象的开发和咨询，确保实验室检测人员与产品开发商、系 统集成商、安全集成商、其他有利害关系和可能影响检测结果的人员之间相互分离。 e ）应具有至少5 名满足5.2 要求的信息安全检测技术人员，并应拥有与其检测 任务相适应的场地、设施、设备、检测工具等资源。 g ）由熟悉信息安全的检测过程、标准/规范/规程，信息安全质量评价和信息安全 测试质量评价的人员，负责信息安全检测过程和产品的规范符合性审核监督； h) 由熟悉信息安全测试需求、测试结果评价和判定准则的人员负责对信息安全 测试输入和测试结果进行监督，并应具有1 名信息安全检测领域的技术负责人。 2013 年09 月01 日 发布 2015 年06 月01 日第一次修订 2015 年06 月01 日 实施 CNAS-CL46:2013 第 3 页 共5 页 4.2 管理体系 4.3 文件控制 4.3.3.4 实验室应有规定和措施，确保计算机系统中的文件与其它载体上的文件在内 容、修订、版本控制、发布、存档等方面的一致性。