如何申請辦理信息安全檢測CMA/CNAS實驗室認證
本文件由中國合格評定國家認可委員會(CNAS)制定,是結合信息安 全檢測的特點對CNAS-CL01《檢測和校準實驗室能力認可準則》中的部分 條款的應用說明,并不增加或減少該認可準則的要求。 本文件與CNAS-CL01《檢測和校準實驗室能力認可準則》同時使用。 
在結構編排上,本文件章、節(jié)的條款號和條款名稱均采用CNAS-CL01: 中章、節(jié)條款號和名稱,對CNAS-CL01應用說明的具體內容在對應條款后 給出。 
本文件代替CNAS-CL46:2013《檢測和校準實驗室能力認可準則在信息安 全檢測領域的應用說明》。 本次修訂主要根據CNAS-CL01:2018《檢測和校準實驗室能力認可準則》 對章節(jié)號重新進行了編排,并按照CNAS的統(tǒng)一要求調整文件編號。
1范圍 本文件適用于所有從事信息安全檢測的實驗室。 2引用文件 CNAS-CL01:2018《檢測和校準實驗室認可準則》 3術語和定義 4通用要求 4.1公正性 4.1.3如果實驗室所在的組織從事信息安全檢測以外的活動(例如,涉及信息安 全相關的開發(fā)),應承諾并采取措施確保不利用被檢測信息安全相關方的知識產 權牟取利益。 
4.1.4實驗室應建立并保持從事信息安全檢測公正性和誠實性的政策和程序,并 確保信息安全檢測人員不參加被測對象的開發(fā)和咨詢,確保實驗室檢測人員與產 品開發(fā)商、系統(tǒng)集成商、安全集成商、其他有利害關系和可能影響檢測結果的人 員之間相互分離。 
6.2.2信息安全檢測實驗室的人員應滿足以下要求: a)信息安全檢測人員應具有信息安全、計算機、通信或網絡等相關專業(yè)本 科或以上學歷,從事信息安全檢測工作1年以上,且至少參與過3個信息安全檢 測項目。 b)信息安全檢測領域的授權簽字人和意見解釋人員應具有信息安全、計算 機、通信或網絡等相關專業(yè)本科或以上學歷,從事信息安全檢測工作3年以上, 且至少參與過5個信息安全檢測項目。 c)實驗室人員應經過相關培訓,考核通過后方能上崗。實驗室人員還應接 受安全保密和知識產權保護方面的培訓,以確??蛻衾婧蜕虡I(yè)機密不被泄露。 d)實驗室應: 1)至少具有5名信息安全檢測人員; 2)由熟悉信息安全項目管理、開發(fā)、測試及標準、規(guī)范、規(guī)程的技術人員 負責組織實施信息安全檢測任務;
3)由熟悉信息安全檢測過程、標準/規(guī)范/規(guī)程,信息安全質量評價和信息 安全測試質量評價的人員,負責信息安全檢測過程和產品的規(guī)范符合性審核監(jiān) 督; 4)由熟悉信息安全測試需求、測試結果評價和判定準則的人員負責對信息 安全測試輸入和測試結果進行核查。 6.3設施和環(huán)境條件 6.3.1實驗室應建立穩(wěn)壓、防靜電和防范惡意代碼的檢測環(huán)境。實驗室還應對檢 測環(huán)境在使用前進行核查。 6.3.4b)檢測網絡應與其他網絡采取隔離措施。
如果同時進行多個檢測項目,實 驗室應保持檢測環(huán)境的有效分離。當檢測活動在實驗室以外場所進行時,其檢測 環(huán)境也應滿足要求,并確保檢測活動在受控環(huán)境下執(zhí)行。當通過實驗室以外的網 絡實施遠程檢測時,應注意影響網絡正常運行的環(huán)境條件。 6.4設備 6.4.1信息安全檢測設備應包括硬件設備和軟件檢測工具。
實驗室應在每個項目 測試前對檢測設備進行核查。對于性能檢測項目,實驗室所選用的設備應是具有 可追溯性的商用軟件和硬件。 6.4.13實驗室應保存所有檢測設備的檔案。實驗室的記錄還應包括檢測設備的 配置信息、軟件檢測工具所需運行環(huán)境等信息。軟件測試工具的不同版本,均應 有唯一性標識。 
6.5計量溯源性 6.5.3對于新的或發(fā)生了重大變化的無法進行外部溯源的方法和測試工具,實驗 室應采取措施檢查測試方法和測試工具的有效性,檢查措施可包括: a)適用時,對特定的信息安全產品樣例進行檢測,審查信息安全產品樣例 預埋問題的復現(xiàn)情況,確認其偏差。 b)適用時,應溯源到權威的測試集規(guī)范或其它有關的權威標準或規(guī)范。 
7過程要求 7.1要求、標書和合同的評審 7.1.1a)實驗室合同評審為簽訂信息安全檢測合同而進行評審的政策和程序應 包括: 1)對檢測項目的保密和知識產權保護要求,在合同中(或簽訂專門的協(xié)議) 應予明確、充分規(guī)定。 
2)對檢測項目結束后如何處置檢測對象應予以規(guī)定。 7.2方法的選擇、驗證和確認 7.2.1.3實驗室應確保測試使用的檢測樣本集(如病毒樣本庫、網絡攻擊數(shù)據包、 漏洞庫等)為最新版本。
7.4檢測或校準物品的處置 7.4.1實驗室應向客戶提供充分的保證,確保測試工具或測試集不會將病毒或其 他損壞因素引入到屬于客戶的硬件或軟件中。
檢測完成后,實驗室應按合同要求 處置被測樣品,并保留記錄。 7.4.3在接收檢測樣品時,實驗室應對檢測對象進行病毒檢查并記錄結果。 
7.5技術記錄 7.5.1檢測記錄應能夠追溯到檢測人員的操作和工作方法及檢測環(huán)境,應詳細記 錄檢測環(huán)境配置(硬件和軟件)、參數(shù)設置等信息,確保該檢測在盡可能接近原 條件的情況下能夠重復。
當被測對象包括軟件時,實驗室應建立配置管理的程序, 確保測試記錄與被測對象的一致性。 7.5.2實驗室應有措施保持同一技術記錄的不同形態(tài)的內容修改、版本控制的一 致性。 
7.7確保結果的有效性 7.7.1實驗室制定有效的質量監(jiān)控方案還應包括: a)由同一檢測人員對被測對象進行重復檢測; b)由不同的檢測人員使用相同方法對同一被測對象進行檢測; c)使用不同的檢測方法(技術)或同一類型的不同儀器或工具對同一被測對 象進行檢測。 實驗室應保存監(jiān)控活動的記錄,包括對比對測試結果的評價。 
7.8報告結果 7.8.1總則 7.8.1.2實驗室以電子方式傳輸?shù)臋z測報告應使用加密方式傳輸,以確保檢測報 告的完整和保密。 7.11數(shù)據控制和信息管理 7.11.3實驗室應建立數(shù)據(尤其是涉及到客戶敏感數(shù)據、知識產權、安全缺陷 等的檢測數(shù)據、電子和紙質記錄以及其他的材料)保護程序,以防止非授權人員 的訪問。當檢測結束后,實驗室應妥善刪除檢測過程中在被測對象上生成的測試 數(shù)據(如:端口、策略、賬號、口令等)。 注:納入配置管理的電子版軟件測試技術文檔,可通過文檔修改表記錄版本 號、修改內容、日期、修改人、審核人等信息的方式保持不同介質實物資料版本 的一致;納入受控管理的其他技術記錄,可通過適合不同介質的加注方式記錄修 改內容、日期、修改人、審核人等信息。 
8.3.2實驗室應有規(guī)定和措施,確保計算機系統(tǒng)中的文件與其它載體上的文件在 CNAS-CL01-A020:2018等方面的一致性。 8.7糾正措施(方式A) 8.7.1b)信息安全檢測活動產生問題的原因還可能是:惡意代碼、檢測操作順序、 軟件版本、參數(shù)設置、漏洞庫、攻擊特征庫等。