CNAS-CL46：2013 检测和校准实验室能力认可准则在信息安全检测领域的应用说明.docxVIP

2013年09月01日发布2014年01月01日实施

CNAS-CL46

检测和校准实验室能力认可准则在信息安全检测领域的应用说明

GuidanceontheApplicationofTestingandCalibration

LaboratoriesCompetenceAccreditationCriteriainthe

FieldofInformationSecurityTesting

中国合格评定国家认可委员会

CNAS-CL46:2013第1页共5页

2013年09月01日发布2014年01月01日实施

前言

本文件由中国合格评定国家认可委员会（CNAS）制定，是结合信息安全检测的特点对CNAS-CL01：2006《检测和校准实验室能力认可准则》中的部分条款的应用说明，并不增加或减少该认可准则的要求。

本文件与CNAS-CL01：2006《检测和校准实验室能力认可准则》同时使用。

在结构编排上，本文件章、节的条款号和条款名称均采用CNAS-CL01:2006中章、节条款号和名称，对CNAS-CL01:2006应用说明的具体内容在对应条款后给出。

CNAS-CL46:2013第2页共5页

2013年09月01日发布2014年01月01日实施

检测和校准实验室能力认可准则在信息安全检测领域的应用说明

1范围

1.2本文件适用于所有从事信息安全检测的实验室。

2引用标准

检测和校准实验室认可准则（CNAS-CL01:2006）

3术语和定义

4管理要求

4.1组织

4.1.4如果实验室所在的组织从事信息安全检测以外的活动（例如，涉及信息安全相关的开发），应承诺并采取措施确保不利用被检测信息安全相关方的知识产权牟取利益；并且不应当承担所在组织研发的信息安全产品的第三方检测活动，以避免影响其判断独立性和检测诚信度。

4.1.5实验室应：

a)安排由熟悉项目管理、信息安全开发技术、信息安全测试技术及其标准、规程和规范的技术人员负责组织、实施信息安全检测任务。

c)有政策和程序确保与被测对象的信息安全相关各方的机密信息和知识产权得到保护。至少应对检测过程、电子储存、检测结果传输的信息保护方式进行描述，避免信息的泄露和不当使用给被测对象的运行构成潜在安全风险。应制定并签署书面保密承诺书。

d)应建立并保持从事信息安全检测公正性和诚实性的政策和程序，并确保信息安全检测人员不参加被测对象的开发和咨询，确保实验室检测人员与产品开发商、系统集成商、安全集成商、其他有利害关系和可能影响检测结果的人员之间相互分离。

e）应具有至少5名满足5.2要求的信息安全检测技术人员，并应拥有与其检测任务相适应的场地、设施、设备、检测工具等资源。

g）由熟悉信息安全的检测过程、标准/规范/规程，信息安全质量评价和信息安全测试质量评价的人员，负责信息安全检测过程和产品的规范符合性审核监督；

h)由熟悉信息安全测试需求、测试结果评价和判定准则的人员负责对信息安全测试输入和测试结果进行监督，并应具有1名信息安全检测领域的技术负责人。

CNAS-CL46:2013第3页共5页

2013年09月01日发布