检查机构能力认可准则.pdfVIP

个人整理精品文档，仅供个人学习使用 检查机构能力认可准则 在信息安全技术领域的应用说明 （征求意见稿） 一引言 信息安全技术是中国合格评定国家认可委员会（英文缩写：）对检查机构的 认可领域之一，该领域主要是对信息系统（产品）的安全特性与法规、标准或特 定要求的符合性进行检查。 本文件是根据信息安全技术的特性而对— 《检查机构能力认可准则》所作 的进一步说明，并不增加或减少该准则的要求。因此，本文件采用针对《检查机 构能力认可准则》的具体条款提出应用说明的编排方式，故章节号是不连续的。 本文件需与— 《检查机构能力认可准则》和— 《检查机构能力认可准则的 应用说明》同时使用。 二应用说明 定义 信息安全检查 在该领域中，信息安全检查活动也称为信息安全测评，检查机构也称为测评 机构，检查员也称为测评工程师。 信息安全检查（信息安全测评）是指使用信息技术安全专业知识，对信息系 统或信息产品进行检查，确定信息系统或信息产品的安全性与法规、标准或特定 要求的符合性。 .独立性、公正性和诚实性 应制定明确的文件化政策，确保检查机构人员的判断不受来自与产品开发人员、 系统集成人员及其他与检查结果有利害关系的人员影响。 1 / 4 个人整理精品文档，仅供个人学习使用 .保密性 由于该技术领域大多数检查过程记录与结果是电子数据，易于复制和扩散， 应考虑制订特殊的保护政策和程序,保护客户的信息和商业机密的安全。 注 如检查对象为涉密 信息产品或系统，制定保护政策或程序时还应考虑相关 法律法规的要求 注 本文中的“涉密”，是指《中华人民共和国保守国家秘密法》所定义的“国家秘密”。 .组织和管理 信息安全领域的检查机构技术主管应具备计算机科学专业、电子技术专业或者其 他相关专业大学本科及以上学历，且经过信息安全技术方面的技术培训，并至少 具备在信息安全技术领域的年工作经验，或具备信息技术相关领域高级工程师及 以上技术资格。 .质量体系 检查机构处理反馈和采取纠正措施，应进行原因分析，并考虑病毒、测评操作的 次序等潜在因素的影响。 .人员 8.2.1信息安全领域的检查员应具备计算机相关专业或者其他相关专业大学或以 上学历；具备计算机软件和硬件、网络技术、信息安全专门技术等方面的技术培 训（如：取得相应的资格证书），并至少具备在信息安全技术领域的年工作经验。 检查员还应掌握了解以下知识或具备相关经验：操作系统、数据结构、算法 设计和分析、数据库系统、程序语言、计算机系统结构和网络；还应接受知识产 权保护和保密专门教育，树立保护客户利益和防止机密泄露的意识。（保留知识 产权等） 8.2.2信息安全领域的授权签字人，除满足上述学历与培训要求外，至少还应 备在信息安全技术领域的年工作经验。 2 / 4 个人整理精品文档，仅供个人学习使用 信息安全领域的检查机构应充分考虑该领域技术与知识更新的速度，确保培训计 划的全面性与及时性。 应为每一位检查员制定个性化的培训计划。培训计划应考虑该领域的最新技 术发展，以保证检查员在整个聘用期间与技术发展保持同步。 .设施和设备 检查机构的测评设备包括但不限于计算机软硬件设备、测评工具或其他的用于信 息安全检查的设备。 检查机构应对自行开发的测评工具进行可行性、有效性和结果重复性技术评价， 经批准后方可投入使用。相关记录应予保存。 检查机构应确定其测评设备满足测评要求，包括硬件配置、防范计算机病毒等恶 意代码、防范网络入侵的措施等（进行渗透测评时除外）。 检查机构应根据信息技术领域的特殊性，制定有针对性的程序文件和作业指导 书，确保所有测评设备得到合理的维护与升级。 检查机构应优先选用公允的商用软、硬件或其他测评设备。 检查机构自行开发的测评工具在投入使用前应由名或以上与开发过程无关 的资深检查员或者具备高级职称的外部专家进行评估与验证，确保其有效性、可 靠性。 无论是商用测评设备，还是由检查机构开发的测评工