检测和校准实验室能力认可准则在.doc

检测和校准实验室能力认可准则在检测和校准实验室能力认可准则在信息安全检测领域的应用说明信息安全检测领域的应用说明一、引言一、引言本文件是CNAS根据信息安全检测的特性对《检测和校准实验室能力认可准则》（CNAS-CL01:2006）的部分条款所作的进一步说明，并不增加或减少该准则的要求本文件的应用说明按照《检测和校准实验室能力认可准则》（CNAS-CL01:2006）的条款顺序编排，故章节号不是完全连续的本文件应与《检测和校准实验室能力认可准则》（CNAS-CL01:2006）同时使用二、应用说明二、应用说明1.1. 范围范围1.2 本文件适用于所有从事信息安全检测的实验室2.2. 引用引用文件文件下列文件中的有关条款通过引用而成为本标准具体的条款凡注日期或版次的引用文件，其后的任何修改单（不包括勘误的内容）或修订版本都不适用于本标准，但提倡本标准的使用者探讨使用其最新版本的可能性凡不注日期或版次的引用文件，其最新版本适用于本标准检测和校准实验室认可准则（CNAS-CL01:2006）4 4．管理要求．管理要求4.1 组织组织4.1.4 如果实验室所在的组织从事信息安全检测以外的活动（例如，涉及信息安全相关的开发），应承诺并采取措施确保不利用被检测信息安全相关方的知识产权牟取利益；并且不应参与所在组织信息安全的研发活动，以避免影响其判断独立性和检测诚信度。

4.1.5 实验室应：a) 由熟悉项目管理、信息安全开发技术、信息安全测试技术及其标准、规程和规范的技术人员，负责组织实施信息安全检测任务c) 有政策和程序确保与被测对象的信息安全相关各方的机密信息和知识产权得到保护，确保客户产品的一切信息得到保护至少应对检测过程、电子储存、检测结果传输的信息保护方式进行描述，避免信息的泄露和不当使用给被测对象的运行构成潜在安全风险应制定书面保密承诺d) 应建立并保持从事信息安全检测公正性和诚实性的政策和程序，并确保信息安全检测人员不参加被测对象的开发和咨询，确保实验室检测人员与产品开发商、系统集成商、安全集成商、其他有利害关系和可能影响检测结果的人员之间保持相互分离e）应具有至少5名满足5.2要求的信息安全检测技术人员，并应拥有与其检测任务相适应的场地、设施、设备、检测工具等资产g）由熟悉信息安全检测过程以及信息安全测试的标准、规范、规程，信息安全质量评价和信息安全测试质量评价的人员，负责信息安全检测过程和产品的规范符合性审核监督； h) 由熟悉信息安全测试需求、测试结果评价和判定准则的人员，负责对信息安全测试输入和测试结果进行监督并应具有1名信息安全检测领域的技术负责人。

4.3 文件控制文件控制4.3.3.4 实验室应有规定和措施，确保计算机系统中的文件与其它载体上的文件在内容、修订、版本控制、发布、存档等方面的一致性4.4 要求、标书和合同的评审要求、标书和合同的评审4.4.1 为签订信息安全检测合同而进行评审的政策和程序应包括：a）对检测项目的机密保护和知识产权保护要求，在合同中（或签订专门的协议）应予明确、充分规定b）对检测项目结束后如何处置检测对象应予以规定4.114.11 纠正措施纠正措施4.11.2 原因分析 信息安全检测活动产生问题的原因还可能是：恶意代码、检测操作顺序、软件版本、参数设置、漏洞库、攻击特征库等4.134.13 记录的控制记录的控制4.13.1 总则4.13.1.2 所有的记录应注明日期和签名，其保存期限应至少满 1 个认可周期，或按照客户要求保存 4.13.1.3 实验室应有程序确保所有的记录（包括任何形式的记录）的准确性、完整性和保密性 4.13.1.4 以电子形式存储的记录应有相关人员标识和日期的信息，这些记录应有适当的标识和备份，应符合实验室的政策并确保记录的完整性，防止未经授权的访问和修改4.13.2 技术记录 4.13.2.1 检测记录应能够追溯到检测人员的操作和工作方法及检测环境，应详细记录检测环境配置（硬件和软件）、参数设置等信息，确保该检测在尽可能接近原条件的情况下能够重复。

当被测对象包括软件时，实验室应建立配置管理的程序，以保证测试记录与被测对象的一致性4.13.2.3 实验室应有措施保持同一技术记录的不同形态的内容修改、版本控制的一致性5.5. 技术要求技术要求5.25.2 人员人员 5.2.1 从事信息安全检测的实验室应确保与技术有关的人员具备信息安全检测的能力信息安全检测人员应具有信息安全、计算机软硬件、通信或网络等相关专业本科或以上学历，参加至少3个信息安全检测项目，且具有1年以上信息安全检测工作经历信息安全检测领域的技术负责人、授权签字人和意见解释人员应具备信息安全检测人员的专业背景，参加至少5个信息安全检测项目，且具有3年以上信息安全检测工作经历；实验室人员应接受过安全保密、知识产权保护方面的专门教育，并应具备安全保密意识和知识产权保护意识，以确保客户利益和商业机密不被泄露5.2.2 实验室的员工应经过培训和考核才能上岗实验室应保留所有技术人员（包括签约人员）的相关授权记录5.35.3 设施和环境条件设施和环境条件 5.3.2 实验室应建立稳压、防静电和防范恶意代码的检测环境，例如：实验室应具备有效的恶意代码防护和软件/数据备份程序实验室还应对检测环境在使用前进行核查。

5.3.3 检测网络应与其他网络采取隔离措施如果同时进行多个检测项目，实验室应保持检测环境的有效分离当检测活动在实验室以外场所进行，其检测环境也应满足要求，并确保检测活动在受控环境下执行注：当通过实验室以外的网络实施远程检测时，应注意影响网络正常运行的环境条件5.45.4 检测和校准方法及方法的确认检测和校准方法及方法的确认5.4.1 总则 实验室应按照检测方法制定可操作性的文件化程序信息安全检测所采用的检测方法可能涉及：检测样本集（如病毒样本库、网 络攻击数据包、漏洞库等）、检测用例集以及检测工具 /平台等所有检测方法都应经适当的验证、确认并进行相应的文件化管理实验室应确保测试使用的检测样本集为最新版本 5.4.2 方法的选择 当有产品方法时，实验室应使用产品方法5.4.7.2 b) 实验室应建立数据（尤其是涉及到客户敏感数据、知识产权、安全缺陷等的检测数据、电子和纸质记录以及其他的材料）保护程序，以防止非授权人员的访问当检测结束后，实验室应妥善删除检测过程中在被测对象上生成的测试数据（如：端口、策略、账号、口令等）5.55.5 设备设备 5.5.2 信息安全检测设备应包括硬件设备和软件检测工具，实验室应在每个项目测试前对检测设备进行核查。

实验室应确保检测设备满足信息安全产品检测的要求，至少具备漏洞扫描工具、协议分析类工具或渗透性测试工具对于性能检测项目，实验室还应具备性能测试工具实验室所选用的设备应是具有可追溯性的商用软、硬件或其他检测工具5.5.4 测试工具软件的不同版本，均应加以唯一性标识5.5.5 实验室应保存所有检测设备的档案实验室的记录还应包括检测设备的配置信息，软件检测工具所需运行环境等信息5.65.6 测量溯源性测量溯源性 5.6.2.2 检测5.6.2.2.1 信息安全实验室应具备测量不确定度评估的能力5.6.2.2.2 实验室应确保检测结果建立在可信的符合检测标准和方法的证据之上对于新的或发生了重大变化的无法进行外部溯源的方法和测试工具，实验室应采取措施检查测试方法和测试工具的有效性，检查措施可包括：a）适用时，对特定的信息安全产品样例进行检测，审查信息安全产品样例预埋问题的复现情况，确认其偏差b）适用时，确认报告应指明可溯源到权威的测试集规范或其它有关的权威标准或规范5.85.8 检测和校准物品（样品）的处置检测和校准物品（样品）的处置 5.8.3 在接收检测样品时，实验室应对检测对象进行恶意代码检查并记录结果。

5.8.4 实验室应向客户提供充分的保证，保证检测工具或测试集不会将病毒或其他损坏因素引入到属于客户的硬件或软件中检测工作完成后，实验室应按合同要求的检后处置方式处置被测对象，并保留记录5.95.9 检测和校准结果质量的保证检测和校准结果质量的保证 5.9.1 实验室制定的质量控制计划还应包括：（1）由同一检测人员对被测对象进行重复检测；（2）由不同的检测人员使用相同方法对同一被测对象进行检测；或（3）使用不同的检测方法（技术）或同一类型的不同仪器或工具对同一被测对象进行检测质量控制活动应有策划并进行记录，对结果应进行评价5.105.10 结果报告结果报告 5.10.7 结果的电子传送实验室以电子方式传输的检测报告应使用电子签名或者以加密方式传输，以确保检测报告的完整性、机密性以及真实性。