CL46信息安全.docx

1、CL46信息安全附表6(CNAS-CL46:2013) 检测和校准实验室能力认可准则在信息安全检测领域的应用说明核查表4管理要求条 款核 查 内 容对应的质量管理体系文件名称、编号及章节/条款号自查结果说明备注4.1组织4.1.4如果实验室所在的组织从事信息安全检测以外的活动（例如，涉及信息安全相关的开发），是否承诺并采取措施确保不利用被检测信息安全相关方的知识产权牟取利益；并且不应当承担所在组织研发的信息安全产品的第三方检测活动，以避免影响其判断独立性和检测诚信度？4.1.5实验室是否：a) 安排由熟悉项目管理、信息安全开发技术、信息安全测试技术及其标准、规程和规范的技术人员负责组织、实施信

2、息安全检测任务。填表说明：1.“自查结果说明”栏应逐个条款进行描述。“自查结果说明”栏应逐个条款进行描述。_2. 本核查表只在CNAS-CL46适用时填写。条 款核 查 内 容对应的质量管理体系文件名称、编号及章节/条款号自查结果说明备注d) 建立并保持从事信息安全检测公正性和诚实性的政策和程序，并确保信息安全检测人员不参加被测对象的开发和咨询，确保实验室检测人员与产品开发商、系统集成商、安全集成商、其他有利害关系和可能影响检测结果的人员之间相互分离。e）具有至少5名满足5.2要求的信息安全检测技术人员，并应拥有与其检测任务相适应的场地、设施、设备、检测工具等资源。g）由熟悉信息安全的检测过程

3、、标准/规范/规程，信息安全质量评价和信息安全测试质量评价的人员，负责信息安全检测过程和产品的规范符合性审核监督；h) 由熟悉信息安全测试需求、测试结果评价和判定准则的人员负责对信息安全测试输入和测试结果进行监督，并具有1名信息安全检测领域的技术负责人。4.3文件控制4.3.3.4实验室是否有规定和措施，确保计算机系统中的文件与其它载体上的文件在内容、修订、版本控制、发布、存档等方面的一致性？4.4 要求、标书和合同的评审4.4.1为签订信息安全检测合同而进行评审的政策和程序是否包括：a）对检测项目的机密保护和知识产权保护要求，在合同中（或签订专门的协议）应予明确、充分规定。b）对检测项目结束

4、后如何处置检测对象应予以规定。4.11 纠正措施4.11.2原因分析信息安全检测活动产生问题的原因是否包括了：恶意代码、检测操作顺序、软件版本、参数设置、漏洞库、攻击特征库等？4.13 记录4.13.1 4.13.1.2总则所有的记录是否注明日期和签名，其保存期限是否至少满1个认可周期？或按照客户要求的时限保存？4.13.1.3实验室是否有程序确保所有的记录（包括任何形式的记录）的准确性、完整性和保密性？4.13.1.4以电子形式存储的记录是否有相关人员标识和日期的信息？这些记录是否有适当的标识和备份？是否符合实验室的政策并确保记录的完整性？是否能够防止XX的访问和修改？4.13.2 4.13

5、.2.1技术记录检测记录是否能够追溯到检测人员的操作和工作方法及检测环境？是否详细记录检测环境配置（硬件和软件）、参数设置等信息？确保该检测在尽可能接近原条件的情况下能够重复。当被测对象包括软件时，实验室是否建立配置管理的程序？以保证测试记录与被测对象的一致性。4.13.2.3实验室是否有措施保持同一技术记录的不同形态的内容修改、版本控制的一致性？5技术要求条 款核 查 内 容对应的质量管理体系文件名称、编号及章节/条款号自查结果说明备注5.2 人员5.2.1实验室是否确保与技术有关的人员具备信息安全检测的能力？信息安全检测人员是否具有信息安全、计算机软硬件、通信或网络等相关专业本科或以上学历

6、，至少3个信息安全检测项目的经历，且具有1年以上信息安全检测工作经历？5.2.2实验室的员工是否经过相关培训、考核通过后方能上岗？实验室是否保留所有技术人员（包括签约人员）的相关授权记录？实验室是否保留所有技术人员（包括签约人员）的相关授权记录？5.3设施和环境条件5.3.2实验室是否建立稳压、防静电和防范恶意代码的检测环境？例如：实验室是否具备有效的恶意代码防护和软件/数据备份程序？实验室是否对检测环境在使用前进行核查？5.3.3检测网络是否与其他网络采取隔离措施？如果同时进行多个检测项目，实验室是否保持检测环境的有效分离？当检测活动在实验室以外场所进行时，其检测环境是否也满足要求，并确保检

7、测活动在受控环境下执行？注：当通过实验室以外的网络实施远程检测时，应注意影响网络正常运行的环境条件。5.4 检测和校准方法及方法确认5.4.1总则实验室是否按照检测方法制定可操作的文件化程序？信息安全检测所采用的检测方法可能涉及：检测样本集（如病毒样本库、网络攻击数据包、漏洞库等）、检测用例集以及检测工具/平台等。所有检测方法是否都经过适当的验证、确认及其文件化管理？实验室是否确保测试使用的检测样本集为最新版本？5.4.2方法的选择当有产品检测方法时，实验室是否使用产品检测方法？5.4.7.2 b)实验室是否建立数据（尤其是涉及到客户敏感数据、知识产权、安全缺陷等的检测数据、电子和纸质记录以及

8、其他的材料）保护程序，以防止非授权人员的访问？当检测结束后，实验室是否妥善删除检测过程中在被测对象上生成的测试数据（如：端口、策略、账号、口令等）？5.5 设备5.5.2信息安全检测设备是否包括硬件设备和软件检测工具。实验室是否在每个项目测试前对检测设备进行核查。实验室是否确保检测设备满足信息安全产品检测的要求？对于性能检测项目，实验室是否具备性能测试能力？实验室所选用的设备是否是具有可追溯性的商用软件和硬件？5.5.4软件测试工具的不同版本，是否有唯一性标识？5.5.5实验室是否保存所有检测设备的档案？实验室的记录是否还包括检测设备的配置信息，软件检测工具所需运行环境等信息？5.6测量溯源性

9、5.6.2.25.6.2.22检测对于新的或发生了重大变化的无法进行外部溯源的方法和测试工具，实验室是否采取措施检查测试方法和测试工具的有效性？检查措施可包括：a）适用时，对特定的信息安全产品样例进行检测，审查信息安全产品样例预埋问题的复现情况，确认其偏差。b）适用时，确认报告应指明可溯源到权威的测试集规范或其它有关的权威标准或规范。5.8测试和校准物品的处置5.8.3在接收检测样品时，实验室是否对检测对象进行病毒检查并记录结果？5.8.4实验室是否向客户提供充分的保证，保证检测工具或测试集不会将病毒或其他损坏因素引入到属于客户的硬件或软件中？检测工作完成后，实验室是否按合同要求的检后处置方式处置被测对象，并保留记录？5.9 检测和校准结果质量的保证5.9.1实验室制定的质量控制计划是否还包括：（1）由同一检测人员对被测对象进行重复检测；（2）由不同的检测人员使用相同方法对同一被测对象进行检测；（3）使用不同的检测方法（技术）或同一类型的不同仪器或工具对同一被测对象进行检测。质量控制活动是否有计划和实施记录，包括对比对测试结果的评价？5.10 结果报告5.10.7实验室以电子方式传输的检测报告是否使用电子签名或者以加密方式传输，以确保检测报告的完整性、机密性以及真实性？