检测和校准实验室能力认可准则

检测和校准实验室能力认可准则在信息安全检测领域的应用 说明 关于失联党员情况说明岗位说明总经理岗位说明书会计岗位说明书行政主管岗位说明书 一、引言本文件是CNAS根据信息安全检测的特性对《检测和校准实验室能力认可准则》（CNAS-CL01:2006）的部分条款所作的进一步说明，并不增加或减少该准则的要求。本文件的应用说明按照《检测和校准实验室能力认可准则》（CNAS-CL01:2006）的条款顺序编排，故章节号不是完全连续的。本文件应与《检测和校准实验室能力认可准则》（CNAS-CL01:2006）同时使用。二、应用说明1.范围1.2本文件适用于所有从事信息安全检测的实验室。2.引用文件下列文件中的有关条款通过引用而成为本标准具体的条款。凡注日期或版次的引用文件，其后的任何修改单（不包括勘误的内容）或修订版本都不适用于本标准，但提倡本标准的使用者探讨使用其最新版本的可能性。凡不注日期或版次的引用文件，其最新版本适用于本标准。检测和校准实验室认可准则（CNAS-CL01:2006）4．管理要求4.1组织4.1.4如果实验室所在的组织从事信息安全检测以外的活动（例如，涉及信息安全相关的开发），应承诺并采取措施确保不利用被检测信息安全相关方的知识产权牟取利益；并且不应参与所在组织信息安全的研发活动，以避免影响其判断独立性和检测诚信度。4.1.5实验室应：a)由熟悉项目管理、信息安全开发技术、信息安全测试技术及其标准、规程和 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 的技术人员，负责组织实施信息安全检测任务。c)有政策和程序确保与被测对象的信息安全相关各方的机密信息和知识产权得到保护，确保客户产品的一切信息得到保护。至少应对检测过程、电子储存、检测结果传输的信息保护方式进行描述，避免信息的泄露和不当使用给被测对象的运行构成潜在安全风险。应制定书面保密承诺。d)应建立并保持从事信息安全检测公正性和诚实性的政策和程序，并确保信息安全检测人员不参加被测对象的开发和咨询，确保实验室检测人员与产品开发商、系统集成商、安全集成商、其他有利害关系和可能影响检测结果的人员之间保持相互分离。e）应具有至少5名满足5.2要求的信息安全检测技术人员，并应拥有与其检测任务相适应的场地、设施、设备、检测工具等资产。g）由熟悉信息安全检测过程以及信息安全测试的标准、规范、规程，信息安全质量评价和信息安全测试质量评价的人员，负责信息安全检测过程和产品的规范符合性审核监督；h)由熟悉信息安全测试需求、测试结果评价和判定准则的人员，负责对信息安全测试输入和测试结果进行监督。并应具有1名信息安全检测领域的技术负责人。4.3文件控制4.3.3.4实验室应有规定和措施，确保计算机系统中的文件与其它载体上的文件在内容、修订、版本控制、发布、存档等方面的一致性。4.4要求、标书和合同的评审4.4.1为签订信息安全检测合同而进行评审的政策和程序应包括：a）对检测项目的机密保护和知识产权保护要求，在合同中（或签订专门的协议）应予明确、充分规定。b）对检测项目结束后如何处置检测对象应予以规定。4.11纠正措施4.11.2原因 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 信息安全检测活动产生问题的原因还可能是：恶意代码、检测操作顺序、软件版本、参数设置、漏洞库、攻击特征库等。4.13 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 的控制4.13.1总则4.13.1.2所有的记录应注明日期和签名，其保存期限应至少满1个认可周期，或按照客户要求保存。4.13.1.3实验室应有程序确保所有的记录（包括任何形式的记录）的准确性、完整性和保密性。4.13.1.4以电子形式存储的记录应有相关人员标识和日期的信息，这些记录应有适当的标识和备份，应符合实验室的政策并确保记录的完整性，防止未经授权的访问和修改。4.13.2技术记录4.13.2.1检测记录应能够追溯到检测人员的操作和工作方法及检测环境，应详细记录检测环境配置（硬件和软件）、参数设置等信息，确保该检测在尽可能接近原条件的情况下能够重复。当被测对象包括软件时，实验室应建立配置管理的程序，以保证测试记录与被测对象的一致性。4.13.2.3实验室应有措施保持同一技术记录的不同形态的内容修改、版本控制的一致性。5.技术要求5.2人员5.2.1从事信息安全检测的实验室应确保与技术有关的人员具备信息安全检测的能力。信息安全检测人员应具有信息安全、计算机软硬件、通信或网络等相关专业本科或以上学历，参加至少3个信息安全检测项目，且具有1年以上信息安全检测工作经历。信息安全检测领域的技术负责人、授权签字人和意见解释人员应具备信息安全检测人员的专业背景，参加至少5个信息安全检测项目，且具有3年以上信息安全检测工作经历；实验室人员应接受过安全保密、知识产权保护方面的专门教育，并应具备安全保密意识和知识产权保护意识，以确保客户利益和商业机密不被泄露。5.2.2实验室的员工应经过培训和考核才能上岗。实验室应保留所有技术人员（包括签约人员）的相关授权记录。5.3设施和环境条件5.3.2实验室应建立稳压、防静电和防范恶意代码的检测环境，例如：实验室应具备有效的恶意代码防护和软件/数据备份程序。实验室还应对检测环境在使用前进行核查。5.3.3检测网络应与其他网络采取隔离措施。如果同时进行多个检测项目，实验室应保持检测环境的有效分离。当检测活动在实验室以外场所进行，其检测环境也应满足要求，并确保检测活动在受控环境下执行。注：当通过实验室以外的网络实施远程检测时，应注意影响网络正常运行的环境条件。5.4检测和校准方法及方法的确认5.4.1总则实验室应按照检测方法制定可操作性的文件化程序。信息安全检测所采用的检测方法可能涉及：检测样本集（如病毒样本库、网络攻击数据包、漏洞库等）、检测用例集以及检测工具/平台等。所有检测方法都应经适当的验证、确认并进行相应的文件化管理。实验室应确保测试使用的检测样本集为最新版本。5.4.2方法的选择当有产品方法时，实验室应使用产品方法。5.4.7.2b)实验室应建立数据（尤其是涉及到客户敏感数据、知识产权、安全缺陷等的检测数据、电子和纸质记录以及其他的材料）保护程序，以防止非授权人员的访问。当检测结束后，实验室应妥善删除检测过程中在被测对象上生成的测试数据（如：端口、策略、账号、口令等）。5.5设备5.5.2信息安全检测设备应包括硬件设备和软件检测工具，实验室应在每个项目测试前对检测设备进行核查。实验室应确保检测设备满足信息安全产品检测的要求，至少具备漏洞扫描工具、协议分析类工具或渗透性测试工具。对于性能检测项目，实验室还应具备性能测试工具。实验室所选用的设备应是具有可追溯性的商用软、硬件或其他检测工具。5.5.4测试工具软件的不同版本，均应加以唯一性标识。5.5.5实验室应保存所有检测设备的档案。实验室的记录还应包括检测设备的配置信息，软件检测工具所需运行环境等信息。5.6测量溯源性5.6.2.2检测5.6.2.2.1信息安全实验室应具备测量不确定度评估的能力。5.6.2.2.2实验室应确保检测结果建立在可信的符合检测标准和方法的证据之上。对于新的或发生了重大变化的无法进行外部溯源的方法和测试工具，实验室应采取措施检查测试方法和测试工具的有效性，检查措施可包括：a）适用时，对特定的信息安全产品样例进行检测，审查信息安全产品样例预埋问题的复现情况，确认其偏差。b）适用时，确认报告应指明可溯源到权威的测试集规范或其它有关的权威标准或规范。5.8检测和校准物品（样品）的处置5.8.3在接收检测样品时，实验室应对检测对象进行恶意代码检查并记录结果。5.8.4实验室应向客户提供充分的保证，保证检测工具或测试集不会将病毒或其他损坏因素引入到属于客户的硬件或软件中。检测工作完成后，实验室应按合同要求的检后处置方式处置被测对象，并保留记录。5.9检测和校准结果质量的保证5.9.1实验室制定的质量控制 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 还应包括：（1）由同一检测人员对被测对象进行重复检测；（2）由不同的检测人员使用相同方法对同一被测对象进行检测；或（3）使用不同的检测方法（技术）或同一类型的不同仪器或工具对同一被测对象进行检测。质量控制活动应有策划并进行记录，对结果应进行评价。5.10结果报告5.10.7结果的电子传送实验室以电子方式传输的检测报告应使用电子签名或者以加密方式传输，以确保检测报告的完整性、机密性以及真实性。