检测和校准试验室能力认可准则在信息安全检测领域的应用说明.DOCVIP

检测和校准实验室能力认可准则在 信息安全检测领域的应用说明 一、引言 本文件是CNAS根据信息安全检测的特性对《检测和校准实验室能力认可准则》（CNAS-CL01:2006）的部分条款所作的进一步说明，并不增加或减少该准则的要求。本文件的应用说明按照《检测和校准实验室能力认可准则》（CNAS-CL01:2006）的条款顺序编排，故章节号不是完全连续的。本文件应与《检测和校准实验室能力认可准则》（CNAS-CL01:2006）同时使用。 二、应用说明 1. 范围 1.2 本文件适用于所有从事信息安全检测的实验室。 2. 引用文件 下列文件中的有关条款通过引用而成为本标准具体的条款。凡注日期或版次的引用文件，其后的任何修改单（不包括勘误的内容）或修订版本都不适用于本标准，但提倡本标准的使用者探讨使用其最新版本的可能性。凡不注日期或版次的引用文件，其最新版本适用于本标准。 检测和校准实验室认可准则（CNAS-CL01:2006） 4．管理要求 4.1 组织 4.1.4 如果实验室所在的组织从事信息安全检测以外的活动（例如，涉及信息安全相关的开发），应承诺并采取措施确保不利用被检测信息安全相关方的知识产权牟取利益；并且不应参与所在组织信息安全的研发活动，以避免影响其判断独立性和检测诚信度。 4.1.5 实验室应： a) 由熟悉项目管理、信息安全开发技术、信息安全测试技术及其标准、规程和规范的技术人员，负责组织实施信息安全检测任务。 c) 有政策和程序确保与被测对象的信息安全相关各方的机密信息和知识产权得到保护，确保客户产品的一切信息得到保护。至少应对检测过程、电子储存、检测结果传输的信息保护方式进行描述，避免信息的泄露和不当使用给被测对象的运行构成潜在安全风险。应制定书面保密承诺。 d) 应建立并保持从事信息安全检测公正性和诚实性的政策和程序，并确保信息安全检测人员不参加被测对象的开发和咨询，确保实验室检测人员与产品开发商、系统集成商、安全集成商、其他有利害关系和可能影响检测结果的人员之间保持相互分离。 e）应具有至少5名满足5.2要求的信息安全检测技术人员，并应拥有与其检测任务相适应的场地、设施、设备、检测工具等资产。 g）由熟悉信息安全检测过程以及信息安全测试的标准、规范、规程，信息安全质量评价和信息安全测试质量评价的人员，负责信息安全检测过程和产品的规范符合性审核监督； h) 由熟悉信息安全测试需求、测试结果评价和判定准则的人员，负责对信息安全测试输入和测试结果进行监督。并应具有1名信息安全检测领域的技术负责人。 4.3 文件控制 4.3.3.4 实验室应有规定和措施，确保计算机系统中的文件与其它载体上的文件在内容、修订、版本控制、发布、存档等方面的一致性。 4.4 要求、标书和合同的评审 4.4.1为签订信息安全检测合同而进行评审的政策和程序应包括： a）对检测项目的机密保护和知识产权保护要求，在合同中（或签订专门的协议）应予明确、充分规定。 b）对检测项目结束后如何处置检测对象应予以规定。 4.11 纠正措施 4.11.2 原因分析 信息安全检测活动产生问题的原因还可能是：恶意代码、检测操作顺序、软件版本、参数设置、漏洞库、攻击特征库等。 4.13 记录的控制 4.13.1 总则 4.13.1.2 所有的记录应注明日期和签名，其保存期限应至少满1个认可周期，或按照客户要求保存。 4.13.1.3 实验室应有程序确保所有的记录（包括任何形式的记录）的准确性、完整性和保密性。 4.13.1.4 以电子形式存储的记录应有相关人员标识和日期的信息，这些记录应有适当的标识和备份，应符合实验室的政策并确保记录的完整性，防止未经授权的访问和修改。 4.13.2 技术记录 4.13.2.1 检测记录应能够追溯到检测人员的操作和工作方法及检测环境，应详细记录检测环境配置（硬件和软件）、参数设置等信息，确保该检测在尽可能接近原条件的情况下能够重复。 当被测对象包括软件时，实验室应建立配置管理的程序，以保证测试记录与被测对象的一致性。 4.13.2.3 实验室应有措施保持同一技术记录的不同形态的内容修改、版本控制的一致性。 5. 技术要求 5.2 人员 5.2.1 从事信息安全检测的实验室应确保与技术有关的人员具备信息安全检测的能力。 信息安全检测人员应具有信息安全、计算机软硬件、通信或网络等相关专业本科或以上学历，参加至少3个信息安全检测项目，且具有1年以上信息安全检测工作经历。 信息安全检测领域的技术负责人、授权签字人和意见解释人员应具备信息安全检测人员的专业背景，参加至少5个信息安全检测项目，且具有3年以上信息安全检测工作经历；实验室人员应接受过安全保密、知识产权保护方面的专门教育，并应具备安全保密意识和知识产权保护意识，以确保客户利益和