《信息安全技术 信息技术产品安全检测机构条件和行为准则-编制说明》.pdfVIP

一、 工作简况 1.1 任务来源 为加强信息技术产品安全检测机构管理，规范信息技术产品安全检测机构行 为，保障检测活动的公正可信和安全检测机构的安全检测能力，从而促使信息技 术产品供应方提高产品的安全保障能力，保障国家关键信息基础设施安全，配合 我国关键信息基础设施安全管理工作以及国家网络安全审查工作，全国信息安全 标准化技术委员会于2013年立项《信息安全技术 信息技术产品安全检测机构条 件和行为准则》国家标准。 《信息安全技术 信息技术产品安全检测机构条件和行为准则》（计划编号： T-469）由中国电子技术标准化研究院牵头，中国信息安全测评中心、 国家信息技术安全研究中心、中国信息安全研究院有限公司、北京信息安全测评 中心、国家保密科技测评中心、国家应用软件产品质量监督检验中心、公安部计 算机信息系统安全产品质量监督中心、中国信息安全认证中心、信息产业信息安 全测评中心、陕西省网络与信息安全测评中心、西安电子科技大学、重庆邮电大 学等单位共同参与起草。 1.2 主要工作过程 1） 2014年10月，成立标准编制组 考虑到信息技术产品安全检测机构的现状，标准编制组广泛吸收了国内的安 全检测机构、研究机构、质检机构参与到标准研制工作，成立标准编制组。 2） 2014年11月，调研国内外检测机构相关标准现状 研究现有国内外检测机构相关标准，分析各自特点，学习借鉴，主要包括：  ISO/IEC 17025 检测和校准实验室认可准则  NIST-HB-150-20-2013 NIST HANDBOOK 150-20 CHECKLIST COMMON CRITERIA TESTING  GB/T27025-2008 检测和校准实验室能力的通用要求  CNAS-CL46：2013《检测和校准实验室能力认可准则在信息安全检测领域 的应用说明》 3） 2015年1月，召开标准启动会，确定标准范围和框架 1 2015年1月编制组召开标准启动会，与参与单位共同讨论，明确了标准的适 用范围和草案框架。 4） 2015年2月-2016年3月，修改完善标准草案，召开标准草案研讨会 编制组在研究我国已有检测机构相关规定和国内外标准基础上，结合我国工 作需要及检测机构实际情况，多次召开标准编制组会议，并陆续征求了相关专家 对标准草案的意见，对标准草案进行修改和完善。 5） 2016年5月-9月，修改完善标准草案，召开标准草案审查会，在WG7 征集意见 2016年5月11 日，在北京组织有关专家召开标准草案审查会，会议专家同 意形成征求意见稿。会后标准编制组根据专家意见进行了修改完善，形成新一版 标准草案。2016年8月，在WG7范围内征集成员单位对该标准的意见，编制组 根据反馈意见修改完善。 6）2016年10月，在全国信安标委第二次会议周上，WG7成员单位讨论，会 后修改形成征求意见稿初稿。 2016年 10月，全国信息安全标准化技术委员会秘书处在成都组织召开了 2016年第二次会议周。在会议周上，标准编制组与WG7成员单位就标准草案进 行了讨论，听取了与会专家的意见。本次会议周形成会议决议，该标准修改完善 后形成征求意见稿初稿。 7）2016年 12月，在全国信安标委WG7专家审查会，会后修改形成征求意 见稿。 2016年12月22 日，信安标委WG7组织了国家标准征求意见稿专家审查会， 与会专家对征求意见稿初稿进行审查并提出修改意见。会后，标准编制组按照与 会专家意见修改完善，形成征求意见稿。 二、编制原则和主要内容 2.1 编制原则 本标准的研究与编制工作遵循以下原则： 一是充分吸收已有检测机构相关标准。《条件和行为准则》充分参考了国际、 国内有关检测和校准实验室以及安全测评机构的条件和行为规范。标准参考了正 在修订的ISO/IEC17025的DIS版本，并针对GB/T27025-2008 以及《检测和校准 2 实验室能力认可准则在信息安全检测领域的应用说明》中没有涉及到的对检测机 构的要求，进行了补充。 二是考虑可操作性和实用性。为了确保标准的可操作性和实用性，标准编制 从两方面着