CNAS-CL08-A001：2018《司法鑒定法庭科學(xué)機(jī)構(gòu)能力認(rèn)可準(zhǔn)則在電子數(shù)據(jù)鑒定領(lǐng)域的應(yīng)用說(shuō)明》

1、CNAS-CL08-A001司法鑒定/法庭科學(xué)機(jī)構(gòu)能力認(rèn)可準(zhǔn)則在電子數(shù)據(jù)鑒定領(lǐng)域的應(yīng)用說(shuō)明Guidance on the Application of Accreditation Criteria for the Competence of Forensic Units in the Field of Digital Forensics中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)2018 年 4 月 18 日 發(fā)布2018 年 9 月 1 日 實(shí)施CNAS-CL08-A001:2018第 6 頁(yè) 共 6 頁(yè)前言電子數(shù)據(jù)鑒定是中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)（英文縮寫：CNAS）對(duì)司法鑒定/法庭科學(xué)機(jī)構(gòu)（以下簡(jiǎn)稱鑒定機(jī)

2、構(gòu)）的認(rèn)可領(lǐng)域之一。電子數(shù)據(jù)鑒定是指在訴訟活動(dòng)中鑒定人運(yùn)用計(jì)算機(jī)科學(xué)與相關(guān)技術(shù)，對(duì)訴訟中涉及的電子數(shù)據(jù)領(lǐng)域的問(wèn)題進(jìn)行檢測(cè)、檢驗(yàn)、鑒別和判斷并提供鑒定意見(jiàn)的活動(dòng)。本應(yīng)用說(shuō)明是 CNAS 根據(jù)電子數(shù)據(jù)鑒定領(lǐng)域的特性而對(duì) CNAS-CL08:2018司法鑒定/法庭科學(xué)機(jī)構(gòu)能力認(rèn)可準(zhǔn)則所作的進(jìn)一步說(shuō)明，并不增加或減少該準(zhǔn)則的要求。因此，本應(yīng)用說(shuō)明采用針對(duì) CNAS-CL08:2018司法鑒定/法庭科學(xué)機(jī)構(gòu)能力認(rèn)可準(zhǔn)則的具體條款提出應(yīng)用說(shuō)明的編排方式，故章節(jié)號(hào)是不連續(xù)的。本應(yīng)用說(shuō)明應(yīng)與 CNAS-CL08:2018司法鑒定/法庭科學(xué)機(jī)構(gòu)能力認(rèn)可準(zhǔn)則同時(shí)使用。本應(yīng)用說(shuō)明替代 CNAS-CL27:2014司

3、法鑒定/法庭科學(xué)機(jī)構(gòu)能力認(rèn)可準(zhǔn)則在電子物證鑒定領(lǐng)域的應(yīng)用說(shuō)明。2018 年 4 月 18 日 發(fā)布2018 年 9 月 1 日 實(shí)施司法鑒定/法庭科學(xué)機(jī)構(gòu)能力認(rèn)可準(zhǔn)則在電子數(shù)據(jù)鑒定領(lǐng)域的應(yīng)用說(shuō)明1 范圍本應(yīng)用說(shuō)明適用于 CNAS 對(duì)所有從事電子數(shù)據(jù)鑒定活動(dòng)的鑒定機(jī)構(gòu)的認(rèn)可。2 規(guī)范性引用文件本應(yīng)用說(shuō)明主要參考和引用了 CNAS-CL08:2018司法鑒定/法庭科學(xué)機(jī)構(gòu)能力認(rèn)可準(zhǔn)則的相關(guān)內(nèi)容。3 術(shù)語(yǔ)和定義本應(yīng)用說(shuō)明使用 CNAS-CL08:2018司法鑒定/法庭科學(xué)機(jī)構(gòu)能力認(rèn)可準(zhǔn)則中給出的相關(guān)術(shù)語(yǔ)和定義。考慮到電子數(shù)據(jù)鑒定專業(yè)的特殊性，故采用以下術(shù)語(yǔ)和定義來(lái)描述所鑒定的檢材/樣本：存儲(chǔ)介質(zhì)是指

4、具備數(shù)據(jù)信息存儲(chǔ)功能的電子設(shè)備、硬盤、光盤、優(yōu)盤、記憶棒、存儲(chǔ)卡、存儲(chǔ)芯片等載體。原始存儲(chǔ)介質(zhì)是指直接來(lái)源于案件客觀事實(shí)的存儲(chǔ)介質(zhì)。電子數(shù)據(jù)是指在案件發(fā)生過(guò)程中形成的，以數(shù)字化形式存儲(chǔ)、處理、傳輸?shù)模?能夠證明案件事實(shí)的數(shù)據(jù)。4 通用要求4.1 公正性4.2 保密性4.3 獨(dú)立性5 結(jié)構(gòu)要求6 資源要求6.1 總則6.2 人員6.2.2 授權(quán)簽字人應(yīng)獲得電子數(shù)據(jù)鑒定領(lǐng)域鑒定人資格證書后在本領(lǐng)域鑒定工作 2 年（含）以上（或依法從事電子數(shù)據(jù)收集提取和審查判斷工作 7 年以上），并具有本專業(yè)中級(jí)及以上職稱。6.2.7 鑒定機(jī)構(gòu)應(yīng)根據(jù)人員崗位制定培訓(xùn)計(jì)劃，培訓(xùn)內(nèi)容至少應(yīng)包括（但不限于）：鑒定方法、相

5、關(guān)設(shè)備的操作；電子設(shè)備的安全保護(hù)；出庭質(zhì)證；電子數(shù)據(jù)相關(guān)新技術(shù)、法律法規(guī)。在以下情況時(shí)，鑒定機(jī)構(gòu)需對(duì)相關(guān)鑒定人員進(jìn)行重新培訓(xùn)：從事新的電子數(shù)據(jù)鑒定崗位工作；離開鑒定崗位時(shí)間超過(guò) 1 年；鑒定方法、關(guān)鍵設(shè)備發(fā)生變化。對(duì)培訓(xùn)活動(dòng)的有效性驗(yàn)證的方式包括（但不限于）：能力驗(yàn)證結(jié)果；內(nèi)部質(zhì)量控制結(jié)果；內(nèi)外部審核；不符合工作的識(shí)別；利益相關(guān)方的投訴；人員監(jiān)督評(píng)價(jià)和考核。6.2.8 鑒定機(jī)構(gòu)應(yīng)由熟悉本專業(yè)的鑒定方法、程序、目的和結(jié)果評(píng)價(jià)的監(jiān)督員，每 2 年對(duì)鑒定人以及參與鑒定工作的人員進(jìn)行至少一次現(xiàn)場(chǎng)見(jiàn)證。結(jié)合工作崗位，見(jiàn)證內(nèi)容應(yīng)涉及設(shè)備操作、電子數(shù)據(jù)完整性校驗(yàn)值計(jì)算、結(jié)果的分析判斷等關(guān)鍵技術(shù)環(huán)節(jié)。6.3

6、設(shè)施和環(huán)境條件6.3.1 鑒定機(jī)構(gòu)應(yīng)考慮電子數(shù)據(jù)鑒定中不同鑒定項(xiàng)目對(duì)設(shè)施和環(huán)境的要求。鑒定區(qū)域應(yīng)采取防磁、防靜電和不間斷供電等措施；對(duì)手機(jī)等具有無(wú)線通信功能的檢材/樣本的鑒定，應(yīng)在信號(hào)屏蔽或信號(hào)阻斷的環(huán)境中進(jìn)行。鑒定機(jī)構(gòu)應(yīng)具備保護(hù)其信息網(wǎng)絡(luò)安全的措施，包括防范計(jì)算機(jī)病毒等惡意代碼、防范網(wǎng)絡(luò)入侵和防范數(shù)據(jù)泄露等。在特殊情況下（如惡意代碼鑒定、手機(jī)等具有無(wú)線通信功能的原始存儲(chǔ)介質(zhì)聯(lián)網(wǎng)驗(yàn)證時(shí)），可能需要關(guān)閉殺毒軟件等安全措施或者進(jìn)行無(wú)線網(wǎng)絡(luò)連接，此時(shí)鑒定機(jī)構(gòu)應(yīng)評(píng)估安全風(fēng)險(xiǎn)，采取相應(yīng)的措施，并保存相應(yīng)記錄。6.3.4 應(yīng)實(shí)施、監(jiān)控并定期評(píng)審設(shè)施的控制措施，這些措施應(yīng)涉及但不限于：a) 鑒定機(jī)構(gòu)的辦公區(qū)

7、域與鑒定區(qū)域應(yīng)進(jìn)行有效的隔離；d) 當(dāng)鑒定活動(dòng)對(duì)人身健康有危害時(shí)，應(yīng)配備保障人身安全的設(shè)施和防護(hù)裝備。6.4 設(shè)備6.4.4 對(duì)鑒定結(jié)果有效性有影響的鑒定設(shè)備版本或配置發(fā)生改變時(shí)，應(yīng)重新進(jìn)行功能核查。核查的措施可包括：對(duì)同一檢材/樣本進(jìn)行重復(fù)鑒定，審查鑒定結(jié)果的可復(fù)現(xiàn)性；將核查結(jié)論與另一個(gè)鑒定機(jī)構(gòu)的核查結(jié)論進(jìn)行比對(duì)；將核查結(jié)論與預(yù)期結(jié)果進(jìn)行比對(duì)，列出已知的缺陷。6.4.13 對(duì)鑒定結(jié)果有影響的電子數(shù)據(jù)鑒定設(shè)備的記錄，除準(zhǔn)則中所列內(nèi)容之外，還應(yīng)包括：設(shè)備核查的記錄；設(shè)備的配置情況；軟件的名稱和升級(jí)后的版本號(hào)。6.5 計(jì)量溯源性6.6 外部提供的產(chǎn)品和服務(wù)6.6.2 c) 對(duì)于涉及內(nèi)網(wǎng)、敏感終端、

8、服務(wù)器、大數(shù)據(jù)的外部技術(shù)支持或服務(wù)，應(yīng)當(dāng)制定相關(guān)的保密措施。7 過(guò)程要求7.1 委托受理7.1.1 i) 在接收原始存儲(chǔ)介質(zhì)時(shí)，應(yīng)當(dāng)檢查原始存儲(chǔ)介質(zhì)的相關(guān)信息，必要時(shí)，查閱封存記錄；具有無(wú)線通信功能的，應(yīng)當(dāng)檢查是否采取了信號(hào)屏蔽、信號(hào)阻斷或者切斷電源等措施；在接收電子數(shù)據(jù)時(shí)，應(yīng)計(jì)算、核查電子數(shù)據(jù)的完整性校驗(yàn)值，必要時(shí)，核查提取電子數(shù)據(jù)過(guò)程的記錄；注 3：適用時(shí)，應(yīng)對(duì)原始存儲(chǔ)介質(zhì)的拆封過(guò)程和重新封存過(guò)程進(jìn)行錄像。注 4：準(zhǔn)則中相關(guān)信息是指原始存儲(chǔ)介質(zhì)的封存狀態(tài)、其是否完好、唯一性標(biāo)識(shí)等信息。j) 因鑒定活動(dòng)可能對(duì)原始存儲(chǔ)介質(zhì)造成損壞或改變的，應(yīng)向委托方說(shuō)明并進(jìn)行書面確認(rèn)。7.2 方法的選擇、驗(yàn)證

9、和確認(rèn)7.3 抽樣/取樣7.3.5 當(dāng)鑒定工作涉及現(xiàn)場(chǎng)取樣時(shí)，應(yīng)記錄取樣人及取樣的時(shí)間、地點(diǎn)、設(shè)施和聯(lián)網(wǎng)狀況等信息。7.4 檢材/樣本的處置7.4.1 鑒定機(jī)構(gòu)應(yīng)制定檢材/樣本的處置程序，保證檢材/樣本的完整性，包括：計(jì)算、核查電子數(shù)據(jù)的完整性校驗(yàn)值，并進(jìn)行備份；適用時(shí)，應(yīng)通過(guò)寫保護(hù)設(shè)備對(duì)檢材/樣本進(jìn)行鑒定；適用時(shí)，應(yīng)對(duì)檢材/樣本制作電子數(shù)據(jù)備份，對(duì)備份文件進(jìn)行檢驗(yàn)；無(wú)法使用寫保護(hù)設(shè)備且無(wú)法制作備份時(shí)，應(yīng)盡可能減少對(duì)檢材/樣本中的電子數(shù)據(jù)造成改變；如不可避免對(duì)檢材/樣本中的電子數(shù)據(jù)造成影響鑒定結(jié)果的改變， 應(yīng)征得客戶的同意，書面注明原因，記錄操作過(guò)程并對(duì)操作過(guò)程進(jìn)行錄像。7.4.4 鑒定機(jī)構(gòu)應(yīng)

10、有專門防磁、防靜電存儲(chǔ)措施以保護(hù)檢材/樣本。7.5 記錄/檔案7.5.1 電子數(shù)據(jù)鑒定記錄應(yīng)能夠追溯到鑒定人員的操作過(guò)程和鑒定方法，應(yīng)能夠支持當(dāng)鑒定人不在時(shí)其他鑒定人可以評(píng)估鑒定過(guò)程并解釋這些數(shù)據(jù)。應(yīng)記錄所有使用的關(guān)鍵設(shè)備的操作參數(shù)，包括方法中未指定的參數(shù)；應(yīng)記錄檢出數(shù)據(jù)的完整性校驗(yàn)值。當(dāng)出現(xiàn)異常數(shù)據(jù)時(shí)（如硬盤壞道等存儲(chǔ)介質(zhì)故障、超過(guò)方法可接受的范圍）， 應(yīng)記錄原因。7.5.4 當(dāng)使用電子數(shù)據(jù)鑒定設(shè)備實(shí)時(shí)生成的電子日志作為原始記錄時(shí)，電子日志應(yīng)滿足準(zhǔn)則中技術(shù)記錄、數(shù)據(jù)控制和信息管理等有關(guān)要求。7.6 測(cè)量不確定度的評(píng)定7.7 確保結(jié)果的有效性7.7.1 鑒定機(jī)構(gòu)的質(zhì)量控制活動(dòng)應(yīng)優(yōu)先考慮以下方式

11、：不同人員對(duì)同一檢材/樣本進(jìn)行檢驗(yàn)；不同廠商同類型設(shè)備對(duì)同一檢材/樣本進(jìn)行檢驗(yàn)。當(dāng)鑒定機(jī)構(gòu)持續(xù) 1 個(gè)月未開展鑒定活動(dòng)時(shí)，電子數(shù)據(jù)鑒定機(jī)構(gòu)應(yīng)實(shí)施至少一次監(jiān)控鑒定結(jié)果有效性的活動(dòng)。7.7.2 在認(rèn)可證書有效期內(nèi)，鑒定機(jī)構(gòu)參加能力驗(yàn)證活動(dòng)應(yīng)覆蓋認(rèn)可能力范圍內(nèi)的鑒定項(xiàng)目/參數(shù)，對(duì)于無(wú)法獲得能力驗(yàn)證的項(xiàng)目/參數(shù)，至少進(jìn)行一次實(shí)驗(yàn)室間比對(duì)。7.8 鑒定文書7.8.1 總則7.8.1.2 當(dāng)鑒定機(jī)構(gòu)以硬拷貝或電子數(shù)據(jù)傳輸?shù)姆绞桨l(fā)布鑒定文書時(shí)，應(yīng)采取措施保證鑒定文書的完整性。必要時(shí)，采用加密方式傳輸。7.8.2 鑒定文書的通用要求7.8.2.1 電子數(shù)據(jù)鑒定文書的格式和包含的信息應(yīng)符合法規(guī)或行業(yè)所規(guī)定的要求。鑒定文書的信息除準(zhǔn)則所列內(nèi)容外，還應(yīng)滿足：g) 原始存儲(chǔ)介質(zhì)的描述應(yīng)包括原始存儲(chǔ)介質(zhì)的封存狀況、異常狀態(tài)；適用時(shí)， 應(yīng)核查電子數(shù)據(jù)的完整性校驗(yàn)值。h) 適用時(shí)，應(yīng)提供取樣人及取樣的時(shí)間、地點(diǎn)；m) 鑒定結(jié)果中應(yīng)包括檢出數(shù)據(jù)的完整性校驗(yàn)值；q) 鑒定設(shè)備的信息（含版本號(hào)）。7.9 投訴7.10 不符合工作7.11 數(shù)據(jù)控制和信息管理7.11.6 適用時(shí)，應(yīng)通過(guò)比對(duì)電子數(shù)據(jù)完整性校驗(yàn)值對(duì)數(shù)據(jù)轉(zhuǎn)移進(jìn)行核查。8 管理體系要求8.1 方式8.2 管理體系文件化（方式 A）8.3 管理