南京邦道企業(yè)管理咨詢有限公司

2)對(duì)測(cè)試項(xiàng)目結(jié)束條件、測(cè)試風(fēng)險(xiǎn)應(yīng)予充分規(guī)定； 3)對(duì)開(kāi)展測(cè)試準(zhǔn)備了解測(cè)試任務(wù)的同時(shí)逐步完善合同內(nèi)容的評(píng)審，或可能 延續(xù)到軟件測(cè)試計(jì)劃、測(cè)試需求和測(cè)試說(shuō)明階段的評(píng)審，應(yīng)予充分規(guī)定； 4)對(duì)測(cè)試目的、為達(dá)到測(cè)試目的需要提供給實(shí)驗(yàn)室的測(cè)試輸入項(xiàng)、測(cè)試輸 入項(xiàng)的提供方式以及提供時(shí)機(jī)應(yīng)予充分規(guī)定。

測(cè)試輸入項(xiàng)可包括： ——符合標(biāo)準(zhǔn)規(guī)范要求的被測(cè)試軟件產(chǎn)品，包括程序、軟件文檔、數(shù)據(jù)文檔； ——文檔化的被測(cè)試軟件的分配需求（可含技術(shù)需求、非技術(shù)需求和驗(yàn)收準(zhǔn) 則），如研制要求、軟件研制任務(wù)書(shū)等； ——被測(cè)試軟件安裝運(yùn)行環(huán)境以及其他配合被測(cè)試軟件運(yùn)行的設(shè)備設(shè)施、軟 件、數(shù)據(jù)等詳細(xì)信息。 

7.1.1c)實(shí)驗(yàn)室應(yīng)對(duì)檢測(cè)任務(wù)進(jìn)行測(cè)試需求分析，測(cè)試策劃應(yīng)由實(shí)驗(yàn)室完成，外 部提供測(cè)試服務(wù)的合同或協(xié)議應(yīng)滿足客戶要求，明確外部提供測(cè)試服務(wù)的評(píng)審和 監(jiān)督要求，由客戶或法定管理機(jī)構(gòu)指定的外部提供者除外。 

7.1.6對(duì)測(cè)試周期（接受被測(cè)試軟件至交付測(cè)試報(bào)告）超過(guò)6個(gè)月的軟件測(cè)試項(xiàng) 目，實(shí)驗(yàn)室應(yīng)與客戶及被測(cè)試軟件相關(guān)方保持必要溝通。

溝通內(nèi)容可包括： 1）合同、客戶要求變更及其落實(shí)情況； 2）計(jì)劃進(jìn)展情況，延誤或其他主要偏離及其原因； 3）已發(fā)現(xiàn)的軟件問(wèn)題； 4）遇到的測(cè)試問(wèn)題； 5）需要溝通的其他問(wèn)題。 

7.1.8對(duì)常規(guī)軟件測(cè)試（如某行業(yè)已有明確要求的例行軟件測(cè)試）項(xiàng)目，測(cè)試合同可以是任何書(shū)面的協(xié)議。實(shí)驗(yàn)室應(yīng)對(duì)軟件測(cè)試協(xié)議及時(shí)形成詳細(xì)的文字記錄， 并有審核確認(rèn) 7.2方法的選擇、驗(yàn)證和確認(rèn) 7.2.1方法選擇和驗(yàn)證 7.2.1.3實(shí)驗(yàn)室所采用的軟件測(cè)試方法，一般包括測(cè)試用例集、測(cè)試工具（硬件 和軟件）及其使用方法、以及依托測(cè)試工具運(yùn)行測(cè)試用例獲得測(cè)試結(jié)果的相關(guān)程 序三要素。為了保證不影響軟件測(cè)試方法的運(yùn)用和測(cè)試結(jié)果，實(shí)驗(yàn)室應(yīng)具有適當(dāng) 的軟件測(cè)試方法使用指導(dǎo)書(shū)，有措施確保測(cè)試用例、測(cè)試腳本、測(cè)試數(shù)據(jù)和測(cè)試 工具的一致、有效。 

7.2.1.5實(shí)驗(yàn)室應(yīng)制定測(cè)試計(jì)劃、測(cè)試需求和測(cè)試用例及其執(zhí)行方案，通過(guò)文檔化 方式明確選定的測(cè)試方法。實(shí)驗(yàn)室應(yīng)通過(guò)培訓(xùn)、技術(shù)咨詢或技術(shù)指導(dǎo)方式確保能 夠正確運(yùn)用選擇的測(cè)試方法。 

7.2.2方法確認(rèn) 7.2.2.1實(shí)驗(yàn)室應(yīng)組織本領(lǐng)域?qū)＜覍?duì)非標(biāo)方法進(jìn)行技術(shù)評(píng)審。 注：技術(shù)評(píng)審可包含但不限于以下內(nèi)容： a)被測(cè)試軟件類型的描述應(yīng)包括名稱、版本信息、開(kāi)發(fā)語(yǔ)言等； b)能夠測(cè)試的軟件質(zhì)量特性或測(cè)試類別、測(cè)試目的和測(cè)試能力范圍； c)陪測(cè)設(shè)備設(shè)施軟件及其性能要求； d)方法應(yīng)有需要的軟件硬件環(huán)境、測(cè)試數(shù)據(jù)及其他約束條件。 

7.2.2.3軟件測(cè)試方法確認(rèn)應(yīng)盡可能全面，包括對(duì)被測(cè)試軟件的各種質(zhì)量子特性 的測(cè)試順序、測(cè)試約束及測(cè)試輸入的組合并進(jìn)行測(cè)試方法的驗(yàn)證。 

7.4檢測(cè)或校準(zhǔn)物品的處置 7.4.1實(shí)驗(yàn)室應(yīng)向客戶提供充分的保證，確保測(cè)試工具或測(cè)試集不會(huì)將病毒或其 他損壞因素引入到屬于客戶的硬件或軟件中。

測(cè)試完成后，實(shí)驗(yàn)室應(yīng)按客戶要求 處置被測(cè)試軟件，并保留記錄。 7.4.2實(shí)驗(yàn)室在接收被測(cè)軟件時(shí)應(yīng)詳細(xì)記錄被測(cè)試軟件的程序、軟件工程文檔、 數(shù)據(jù)及版本號(hào)，并進(jìn)行唯一性標(biāo)識(shí)。 

7.4.3在接收測(cè)試樣品時(shí)，應(yīng)對(duì)樣品進(jìn)行病毒檢查并記錄。 7.5技術(shù)記錄 7.5.1實(shí)驗(yàn)室應(yīng)保存外部提供測(cè)試服務(wù)的技術(shù)文檔、測(cè)試記錄和測(cè)試報(bào)告。

適用 時(shí)軟件測(cè)試項(xiàng)記錄應(yīng)包括： a)測(cè)試輸入項(xiàng)記錄：客戶提供的被測(cè)試軟件清單、與軟件測(cè)試相關(guān)的文件 清單等； b)測(cè)試技術(shù)文檔：測(cè)試（回歸測(cè)試）方案、測(cè)試（項(xiàng)目）計(jì)劃、測(cè)試需求 規(guī)格說(shuō)明、測(cè)試說(shuō)明、軟件測(cè)試報(bào)告的副本等；

檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力認(rèn)可準(zhǔn)則 在信息安全檢測(cè)領(lǐng)域的應(yīng)用說(shuō)明 

本文件由中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)（CNAS）制定，是結(jié)合信息安 全檢測(cè)的特點(diǎn)對(duì)CNAS-CL01《檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力認(rèn)可準(zhǔn)則》中的部分 條款的應(yīng)用說(shuō)明，并不增加或減少該認(rèn)可準(zhǔn)則的要求。 本文件與CNAS-CL01《檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力認(rèn)可準(zhǔn)則》同時(shí)使用。 

在結(jié)構(gòu)編排上，本文件章、節(jié)的條款號(hào)和條款名稱均采用CNAS-CL01: 中章、節(jié)條款號(hào)和名稱，對(duì)CNAS-CL01應(yīng)用說(shuō)明的具體內(nèi)容在對(duì)應(yīng)條款后 給出。 

本文件代替CNAS-CL46:2013《檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力認(rèn)可準(zhǔn)則在信息安 全檢測(cè)領(lǐng)域的應(yīng)用說(shuō)明》。 

本次修訂主要根據(jù)CNAS-CL01:2018《檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力認(rèn)可準(zhǔn)則》 對(duì)章節(jié)號(hào)重新進(jìn)行了編排，并按照CNAS的統(tǒng)一要求調(diào)整文件編號(hào)。

1范圍 本文件適用于所有從事信息安全檢測(cè)的實(shí)驗(yàn)室。 2引用文件 CNAS-CL01:2018《檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室認(rèn)可準(zhǔn)則》 3術(shù)語(yǔ)和定義 4通用要求 4.1公正性 4.1.3如果實(shí)驗(yàn)室所在的組織從事信息安全檢測(cè)以外的活動(dòng)（例如，涉及信息安 全相關(guān)的開(kāi)發(fā)），應(yīng)承諾并采取措施確保不利用被檢測(cè)信息安全相關(guān)方的知識(shí)產(chǎn) 權(quán)牟取利益。 

4.1.4實(shí)驗(yàn)室應(yīng)建立并保持從事信息安全檢測(cè)公正性和誠(chéng)實(shí)性的政策和程序，并 確保信息安全檢測(cè)人員不參加被測(cè)對(duì)象的開(kāi)發(fā)和咨詢，確保實(shí)驗(yàn)室檢測(cè)人員與產(chǎn) 品開(kāi)發(fā)商、系統(tǒng)集成商、安全集成商、其他有利害關(guān)系和可能影響檢測(cè)結(jié)果的人 員之間相互分離。 5結(jié)構(gòu)要求 6資源要求 

6.2人員 6.2.2信息安全檢測(cè)實(shí)驗(yàn)室的人員應(yīng)滿足以下要求： a)信息安全檢測(cè)人員應(yīng)具有信息安全、計(jì)算機(jī)、通信或網(wǎng)絡(luò)等相關(guān)專業(yè)本 科或以上學(xué)歷，從事信息安全檢測(cè)工作1年以上，且至少參與過(guò)3個(gè)信息安全檢 測(cè)項(xiàng)目。 b)信息安全檢測(cè)領(lǐng)域的授權(quán)簽字人和意見(jiàn)解釋人員應(yīng)具有信息安全、計(jì)算 機(jī)、通信或網(wǎng)絡(luò)等相關(guān)專業(yè)本科或以上學(xué)歷，從事信息安全檢測(cè)工作3年以上， 且至少參與過(guò)5個(gè)信息安全檢測(cè)項(xiàng)目。 c)實(shí)驗(yàn)室人員應(yīng)經(jīng)過(guò)相關(guān)培訓(xùn)，考核通過(guò)后方能上崗。實(shí)驗(yàn)室人員還應(yīng)接 受安全保密和知識(shí)產(chǎn)權(quán)保護(hù)方面的培訓(xùn)，以確?？蛻衾婧蜕虡I(yè)機(jī)密不被泄露。 d)實(shí)驗(yàn)室應(yīng)： 1)至少具有5名信息安全檢測(cè)人員； 2)由熟悉信息安全項(xiàng)目管理、開(kāi)發(fā)、測(cè)試及標(biāo)準(zhǔn)、規(guī)范、規(guī)程的技術(shù)人員 負(fù)責(zé)組織實(shí)施信息安全檢測(cè)任務(wù)；

3)由熟悉信息安全檢測(cè)過(guò)程、標(biāo)準(zhǔn)/規(guī)范/規(guī)程，信息安全質(zhì)量評(píng)價(jià)和信息 安全測(cè)試質(zhì)量評(píng)價(jià)的人員，負(fù)責(zé)信息安全檢測(cè)過(guò)程和產(chǎn)品的規(guī)范符合性審核監(jiān) 督； 4)由熟悉信息安全測(cè)試需求、測(cè)試結(jié)果評(píng)價(jià)和判定準(zhǔn)則的人員負(fù)責(zé)對(duì)信息 安全測(cè)試輸入和測(cè)試結(jié)果進(jìn)行核查。 6.3設(shè)施和環(huán)境條件 6.3.1實(shí)驗(yàn)室應(yīng)建立穩(wěn)壓、防靜電和防范惡意代碼的檢測(cè)環(huán)境。

實(shí)驗(yàn)室還應(yīng)對(duì)檢 測(cè)環(huán)境在使用前進(jìn)行核查。 6.3.4b)檢測(cè)網(wǎng)絡(luò)應(yīng)與其他網(wǎng)絡(luò)采取隔離措施。如果同時(shí)進(jìn)行多個(gè)檢測(cè)項(xiàng)目，實(shí) 驗(yàn)室應(yīng)保持檢測(cè)環(huán)境的有效分離。當(dāng)檢測(cè)活動(dòng)在實(shí)驗(yàn)室以外場(chǎng)所進(jìn)行時(shí)，其檢測(cè) 環(huán)境也應(yīng)滿足要求，并確保檢測(cè)活動(dòng)在受控環(huán)境下執(zhí)行。當(dāng)通過(guò)實(shí)驗(yàn)室以外的網(wǎng) 絡(luò)實(shí)施遠(yuǎn)程檢測(cè)時(shí)，應(yīng)注意影響網(wǎng)絡(luò)正常運(yùn)行的環(huán)境條件。 

6.4設(shè)備 6.4.1信息安全檢測(cè)設(shè)備應(yīng)包括硬件設(shè)備和軟件檢測(cè)工具。實(shí)驗(yàn)室應(yīng)在每個(gè)項(xiàng)目 測(cè)試前對(duì)檢測(cè)設(shè)備進(jìn)行核查。對(duì)于性能檢測(cè)項(xiàng)目，實(shí)驗(yàn)室所選用的設(shè)備應(yīng)是具有 可追溯性的商用軟件和硬件。 6.4.13實(shí)驗(yàn)室應(yīng)保存所有檢測(cè)設(shè)備的檔案。

實(shí)驗(yàn)室的記錄還應(yīng)包括檢測(cè)設(shè)備的 配置信息、軟件檢測(cè)工具所需運(yùn)行環(huán)境等信息。軟件測(cè)試工具的不同版本，均應(yīng) 有唯一性標(biāo)識(shí)。 

6.5計(jì)量溯源性 6.5.3對(duì)于新的或發(fā)生了重大變化的無(wú)法進(jìn)行外部溯源的方法和測(cè)試工具，實(shí)驗(yàn) 室應(yīng)采取措施檢查測(cè)試方法和測(cè)試工具的有效性，檢查措施可包括： a)適用時(shí)，對(duì)特定的信息安全產(chǎn)品樣例進(jìn)行檢測(cè)，審查信息安全產(chǎn)品樣例 預(yù)埋問(wèn)題的復(fù)現(xiàn)情況，確認(rèn)其偏差。 b)適用時(shí)，應(yīng)溯源到權(quán)威的測(cè)試集規(guī)范或其它有關(guān)的權(quán)威標(biāo)準(zhǔn)或規(guī)范。 

7過(guò)程要求 7.1要求、標(biāo)書(shū)和合同的評(píng)審 7.1.1a)實(shí)驗(yàn)室合同評(píng)審為簽訂信息安全檢測(cè)合同而進(jìn)行評(píng)審的政策和程序應(yīng) 包括： 1)對(duì)檢測(cè)項(xiàng)目的保密和知識(shí)產(chǎn)權(quán)保護(hù)要求，在合同中（或簽訂專門(mén)的協(xié)議） 應(yīng)予明確、充分規(guī)定。 2)對(duì)檢測(cè)項(xiàng)目結(jié)束后如何處置檢測(cè)對(duì)象應(yīng)予以規(guī)定。 

7.2方法的選擇、驗(yàn)證和確認(rèn) 7.2.1.3實(shí)驗(yàn)室應(yīng)確保測(cè)試使用的檢測(cè)樣本集（如病毒樣本庫(kù)、網(wǎng)