RB_T 203-2018信息安全领域检验检测机构安全管理要求.pdf

ICS 03.120.20A00RB中华人民共和国认证认可行业标准RB/T 203—2018信息安全领域检验检测机构安全管理要求Requirements for security management of information securityinspection body and test laboratory2018-06-04发布2018-12-01实施发布中国国家认证认可监督管理委员会 RB/T203—2018次目前言.引言1范围2规范性引用文件3术语和定义4组织和管理4.1组织4.2安全管理要求4.3风险评估及风险控制4.4纠正措施-4.5预防措施4.6内部审核4.7管理评审5人员管理5.1总则5.2人员确认、培训和评价5.3保密5.4离岗离职6设施与环境管理6.1设施.....6.2检验检测环境7设备管理7.1总则7.2安全使用7.3维修和报废7.4自开发设备8安全运行管理8.1检验检测方法及方法的确认8.2检验检测对象安全管理营营+8.3安全运行 RB/T 203—2018前言本标准按照GB/T1.12009给出的规则起草。本标准由国家认证认可监督管理委员会提出并归口。本标准起草单位：中国信息安全认证中心。本标准主要起草人：严妍、布宁、张晓梅、贾雪飞、何静、郝伟博、辛建峰。H RB/T203—2018引言信息安全领域检验检测机构作为信息安全检验检测工作的执行者，其管理水平和技术能力决定了检验检测结果的科学准确，直接影响认证结果的科学性、客观性和公正性。GB/T27025和GB/T27020是我国检验检测机构的通用管理标准，提出了检验检测机构在“人、机、料、法、环”5个要素中的管理要求。本标准针对信息安全领域特殊性、信息安全检验检测技术特点，在上述标准基础上，补充了检验检测机构应具备的安全管理要求，以指导信息安全领域检验检测机构建立、改进和完善管理体系，不断提升检验检测服务水平，保障检测结果的科学准确。Ⅱ RB/T203—2018信息安全领域检验检测机构安全管理要求1范围本标准规定了信息安全领域检验检测机构安全管理的组织和管理、人员、设施与环境、设备和安全运行相关要求。本标准适用于所有从事信息安全相关检验检测活动的机构。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T27020合格评定各类检验机构的运作要求GB/T27025检测和校准实验室能力的通用要求3术语和定义GB/T27020和GB/T27025界定的以及下列术语和定义适用于本文件。3.1信息安全领域检验检测机构勾information security inspection body and test laboratory依法成立，依据相关标准或者技术规范，利用仪器设备、环境设施等技术条件和专业技能，对信息安全产品、信息技术产品安全性、信息系统安全性或者法律法规规定的特定对象进行检验检测活动的专业技术组织。3.2安全管理securitymanagement信息安全检验检测机构为实现检验检测活动的目标，确保检验检测活动中的数据及资源的保密性、安全性和完整性而进行的有关决策、计划、组织和控制等方面的活动。3.3安全设施securityfacilities信息安全领域检验检测机构在从事检验检测活动中，将检验检测活动中面临的威胁及其存在的脆弱性控制在安全范围内，以及减少、预防和消除安全风险所配备的装置（设备）和采取的措施。4组织和管理4.1组织检验检测机构或其母体组织应有明确的法律地位和从事相关活动的资格，且满足以下条件：a）在中华人民共和国境内注册成立（港澳台地区除外）；b）由中国公民投资、中国法人投资或国家投资的企事业单位（港澳台地区除外）。1 RB/T203—20184.2安全管理要求4.2.1检验检测机构管理体系中应包括安全管理要求，安全管理要求应与检验检测机构规模、检验检测活动的复杂度和风险相适应。检验检测机构应至少有一名经最高管理者授权的管理层人员（安全负责人)负责安全管理的运行控制。4.2.2应制定安全管理方针和控制自标，控制目标应包括对管理活动和技术活动制定的安全目标，应明确且可考核。4.2.3检验检测机构应建立安全管理部门或岗位，安全管理部门或岗位应负责检验检测机构安全管理和日常监督工作。在开展检验检测的部门内应有专职或兼职的安全管理员，负责本部门的日常安全工作。4.2.4安全管理要求应明确规定具体的责任部门、责任范围、工作流程及责任人、任务安排及对人员能力的要求、与其他责任部门的关系、应使用的工作文件等。4.2.5安全管理要求应详细说明使用者的权限及资格要求、安全风险、安全设施和设备的功能、活动目的和具体操作步