检测和校准实验室能力认可准则在信息安全检测领域的应用说明.docx

C/VAS
CNAS-CL01-A020
检测和校准实验室能力认可准则
在信息安全检测领域的应用说明
Guidance on the Application of Testing and Calibration Labora过后方能上岗。实验室对信息安全检测 人员进行的培训，应包括与信息安全检测有关的法规、标准培训和检测技术类培训。实****人员须在实验 室有经验和有能力的正式签约人员的指导下，从事检测活动。
5） 实验室应确保所有人员接受安全保密和知识产权保护方面的培训，以确保客户利益和商业机密不 被侵害与泄露。

、防范恶意代码的检测环境，以及防止实验室环境中部署的信息安全防护设 备影响信息安全检测结果。
，实验室应进行监控和记录环境条件，包括防止病毒木马等不良程序感染等。
c）实验室检测网络应与其他网络采取隔离措施。如果同时进行多个检测项目，实验室应保持检测 环境的有效分离，防止拒绝服务攻击等影响检测结果。当检测活动在实验室以外场所进行时，其检测环 境也应满足要求，并确保检测活动在受控环境下执行。当通过实验室以外的网络实施远程检测时，应确 保网络正常运行的环境，并记录或确认影响性能指标的外部因素。

1信息安全检测设备包括但不限于性能测试工具、安全性测试工具、仿真测试工具等。
。
，确保检测使用的检测样本集（如病毒样本库、 网络攻击数据包、漏洞库等）为最新版本，并保存升级记录。
，均应对其进行验证。租赁的检测设备，应有 可追溯的许可和/或授权协议。
“检测中”的状态标识，并在运行被测对象 和检测用的计算机设备屏保屏幕中设置标识，以避免错误调整检测环境影响检测工作的进行。
。实验室的记录还应包括所有检测设备的配置信息，软件形态 检测工具所需运行环境、相关组件的库版本信息以及其他需要特殊声明的信息等。信息安全检测设备的 不同版本，均应有唯一性标识。

，实验室应采取措施检查检测 方法和检测工具的有效性，检查措施可包括：
a） 适用时，对特定的信息安全产品样例进行检测，审查信息安全产品样例预埋问题的复现情况，确 认其偏差。
b） 适用时，应溯源到权威的测试集规范或其它有关的权威标准或规范。
7过程要求
、标书和合同评审
a）实验室的要求、标书和合同评审程序，应确保：
1） 对检测项目的保密性要求和知识产权保护要求，在合同中（或签订专门的协议）应予明确、充分 规定。
2） 对信息安全检测依据、为达到检测目的需要提供给实验室的检测输入项等应予以明确规定，检测 输入项可包括被测对象相关技术材料、软/硬件等。
3）对检测项目结束后如何处置检测对象、检测报告的交付数量及方式等应予以明确规定。
、验证和确认