检查机构能力认可准则在信息安全技术领域的应用说明.DOCVIP

检查机构能力认可准则 在信息安全技术领域的应用说明 （征求意见稿） 一 引言 信息安全技术是中国合格评定国家认可委员会（英文缩写：CNAS）对检查机构的认可领域之一，该领域主要是对信息系统（产品）的安全特性与法规、标准或特定要求的符合性进行检查。 本文件是CNAS 根据信息安全技术的特性而对CNAS— CI01:2006《检查机构能力认可准则》所作的进一步说明，并不增加或减少该准则的要求。因此，本文件采用针对CNAS《检查机构能力认可准则》的具体条款提出应用说明的编排方式，故章节号是不连续的。 本文件需与CNAS— CI01:2006《检查机构能力认可准则》和CNAS— CI02:2006《检查机构能力认可准则的应用说明》同时使用。 二 应用说明 2 定义 2.1 信息安全检查 在该领域中，信息安全检查活动也称为信息安全测评，检查机构也称为测评机构，检查员也称为测评工程师。 信息安全检查（信息安全测评）是指使用信息技术安全专业知识，对信息系统或信息产品进行检查，确定信息系统或信息产品的安全性与法规、标准或特定要求的符合性。 4.独立性、公正性和诚实性 4.1 应制定明确的文件化政策，确保检查机构人员的判断不受来自与产品开发人员、系统集成人员及其他与检查结果有利害关系的人员影响。 5.保密性 由于该技术领域大多数检查过程记录与结果是电子数据，易于复制和扩散，应考虑制订特殊的保护政策和程序,保护客户的信息和商业机密的安全。 如检查对象为涉密注信息产品或系统，制定保护政策或程序时还应考虑相关法律法规的要求 注：本文中的“涉密”，是指《中华人民共和国保守国家秘密法》所定义的“国家秘密”。 6.组织和管理 6.3 信息安全领域的检查机构技术主管应具备计算机科学专业、电子技术专业或者其他相关专业大学本科及以上学历，且经过信息安全技术方面的技术培训，并至少具备在信息安全技术领域的5年工作经验，或具备信息技术相关领域高级工程师及以上技术资格。 7.质量体系 7.8 检查机构处理反馈和采取纠正措施，应进行原因分析，并考虑病毒、测评操作的次序等潜在因素的影响。 8.人员 8.2.1 信息安全领域的检查员应具备计算机相关专业或者其他相关专业大学或以上学历；具备计算机软件和硬件、网络技术、信息安全专门技术等方面的技术培训（如：取得相应的资格证书），并至少具备在信息安全技术领域的1年工作经验 检查员还应掌握了解以下知识或具备相关经验：操作系统、数据结构、算法设计和分析、数据库系统、程序语言、计算机系统结构和网络；还应接受知识产权保护和保密专门教育，树立保护客户利益和防止机密泄露的意识。（保留知识产权等） 8.2.2 信息安全领域的授权签字人，除满足上述学历与培训要求外，至少还应具备在信息安全技术领域的5 8.3 信息安全领域的检查机构应充分考虑该领域技术与知识更新的速度，确保培训计划的全面性与及时性。 应为每一位检查员制定个性化的培训计划。培训计划应考虑该领域的最新技术发展，以保证检查员在整个聘用期间与技术发展保持同步。 9.设施和设备 9.1 检查机构的测评设备包括但不限于计算机软硬件设备、测评工具或其他的用于信息安全检查的设备。 9.2 检查机构应对自行开发的测评工具进行可行性、有效性和结果重复性技术评价，经批准后方可投入使用。相关记录应予保存。 9.3 检查机构应确定其测评设备满足测评要求，包括硬件配置、防范计算机病毒等恶意代码、防范网络入侵的措施等（进行渗透测评时除外）。 9.5检查机构应根据信息技术领域的特殊性，制定有针对性的程序文件和作业指导书，确保所有测评设备得到合理的维护与升级。 9.7 检查机构应优先选用公允的商用软、硬件或其他测评设备。 检查机构自行开发的测评工具在投入使用前应由3名或以上与开发过程无关的资深检查员或者具备高级职称的外部专家进行评估与验证，确保其有效性、可靠性。 无论是商用测评设备，还是由检查机构开发的测评工具均应提供测评设备与检查结果相关性或准确性的充分证据。 9.15 应记录与计算机（系统）及相应的测评工具（软件）有关的维护和升级的信息。 10.检查方法和程序 10.2 对信息系统的测评是一种基于技术要素和管理要素的综合性评判。单项指标的测评结论可以依据测评标准判断；但当对信息系统整体作出综合测评意见时，测评机构应制定详细的技术作业指导书，以保证不同检查员作出判断的一致性。 特别是，当测评结论意见需要给出等级判断，而测评结果表明测评结论处于两个相邻等级的临界位置时，作业指导书应给出相应的判断方法。 10.3 检查方法在完成编制后，应组织与编制过程无关的专家评审，确定其适宜性，经批准后才可以使用。 检查机构应在检查标准和方法基础上制定文件化的作业指导书，并据此开展检查。信息安全检查的方法涉及：测试用例集；用来运行这