检测和校准实验室能力认可准则在信息安全检测领域的应用说明.docVIP

GNAS-CL46:201X

201X年X月X日PAGE2

检测和校准实验室能力认可准则

在信息安全检测领域的应用说明

FORMTEXTGuidanceontheApplicationofTestingandCalibrationLaboratoriesCompetenceAccreditationCriteriaintheFieldofInformationSecurityTesting

CNAS-CL01-A020:2019

201X年X月X日发布201X年X月X日实施

目??次

TOC\o1-3\h\z\u前??言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4通用要求 1

4.1公正性 1

5结构要求 1

6资源要求 1

6.2人员 1

6.3设施和环境条件 2

6.4设备 2

6.5计量溯源性 2

7过程要求 3

7.1要求、标书和合同评审 3

7.2方法的选择、验证和确认 3

7.4检测或校准物品的处置 3

7.5技术记录 3

7.6测量不确定度的评定 3

7.7确保结果有效性 3

8管理体系要求 4

8.2管理体系文件（方式A） 4

8.7纠正措施（方式A） 4

8.8内部审核（方式A） 4

8.9管理评审（方式A） 4

前??言

本文件由中国合格评定国家认可委员会（CNAS）制定，是结合信息安全检测的特点对CNAS-CL01:2018《检测和校准实验室能力认可准则》中的部分条款的应用说明，并不增加或减少该认可准则的要求。

本文件与CNAS-CL01:2018《检测和校准实验室能力认可准则》同时使用。

在结构编排上，本文件章、节的条款号和条款名称均采用CNAS-CL01:2018中章、节条款号和名称，对CNAS-CL01:2018应用说明的具体内容在对应条款后给出。

本文件代替：CNAS-CL01-A020:2018《检测和校准实验室能力认可准则在信息安全检测领域的应用说明》。

CNAS-CL01-A020:2019

PAGE4

检测和校准实验室能力认可准则在信息安全检测领域的应用说明

范围

本文件适用于所有从事信息安全检测的实验室。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

CNAS-CL01:检测和校准实验室认可准则（idtISO/IEC17025）

术语和定义

CNAS-CL01界定的术语和定义适用于本文件。

通用要求

公正性

4.1.3如果实验室所在的组织从事信息安全检测以外的活动（例如，涉及信息安全相关的开发），应承诺并采取措施确保不利用被检测信息安全相关方的知识产权牟取利益。

4.1.4实验室应建立并保持从事信息安全检测公正性和诚实性的政策和程序，识别产品开发商、系统集成商、系统运维商等对信息安全检测活动公正性的影响。

4.1.5如果实验室所在的组织从事信息安全检测以外的活动，应确保信息安全检测人员不参加被测对象的开发和咨询，信息安全检测人员与产品开发、系统集成、系统运维等可能存在影响公正性的利害关系的人员之间相互分离。

结构要求

5.2实验室应具有管理信息安全检测领域的质量和技术负责人，且除授权签字人以外，至少具有5名信息安全检测人员。

资源要求

人员

6.2.2信息安全检测实验室的技术人员应满足以下要求：

a)从事信息安全检测活动的人员，应具有计算机相关专业专科及以上学历；非相关专业应具有本科及以上学历，且应经过信息安全检测技术专业培训，从事信息安全检测工作1年以上并至少参与过3个信息安全检测项目。此外，各类人员均应具备信息安全检测工作相适应的背景知识和检测技能。

b)各类人员其他应满足的要求包括：

1）从事信息安全检测项目组织与实施的负责人员应熟悉项目管理、信息安全开发过程、信息安全检测技术及其标准、规程和规范；

2）从事信息安全检测过程、检测质量规范与符合性审核监督的人员应熟悉信息安全的检测过程、标准/规范/规程和信息安全检测质量评价。

3)从事信息安全检测结果评价（评估）和方法确认的人员，以及授权签字人员和意见解释人员，应从事信息安全检测工作5年以上，并至少作为项目负责人实施过5个信息安全检测项目