GB/T 35280-2017信息安全技術(shù)信息技術(shù)產(chǎn)品安全檢測機構(gòu)條件和行為準(zhǔn)則

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T35280—2017

信息安全技術(shù)信息技術(shù)產(chǎn)品安全

檢測機構(gòu)條件和行為準(zhǔn)則

Informationsecuritytechnology—Requirementandcodeofconductfor

securitytestingbodiesofinformationtechnologyproducts

2017-12-29發(fā)布2018-07-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T35280—2017

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

基本要求

4…………………2

行政管理要求

4.1………………………2

能力要求

4.2……………2

資源要求

5…………………2

人員

5.1…………………2

設(shè)施和環(huán)境

5.2…………………………3

設(shè)備

5.3…………………3

外部提供的產(chǎn)品和服務(wù)

5.4……………4

過程要求

6…………………4

要求標(biāo)書和合同的評審

6.1、……………4

方法選擇和確認(rèn)

6.2……………………4

抽樣

6.3…………………5

檢測樣品的處置

6.4……………………5

技術(shù)記錄

6.5……………5

檢測結(jié)果質(zhì)量的保證

6.6………………5

結(jié)果報告

6.7……………6

投訴

6.8…………………6

不符合檢測工作的控制

6.9……………6

數(shù)據(jù)和信息的管理

6.10…………………6

管理體系要求

7……………7

行為準(zhǔn)則

8…………………7

參考文獻(xiàn)

………………………9

Ⅰ

GB/T35280—2017

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國電子技術(shù)標(biāo)準(zhǔn)化研究院中國信息安全測評中心中國信息安全研究院有限

:、、

公司北京信息安全測評中心國家信息技術(shù)安全研究中心公安部第三研究所國家保密科技測評中

、、、、

心國家應(yīng)用軟件產(chǎn)品質(zhì)量監(jiān)督檢驗中心中國信息安全認(rèn)證中心中國電子科技集團(tuán)公司第十五研究

、、、

所信息產(chǎn)業(yè)信息安全測評中心中國科學(xué)院軟件研究所陜西省網(wǎng)絡(luò)與信息安全測評中心西安電子

()、、、

科技大學(xué)重慶郵電大學(xué)華東師范大學(xué)國網(wǎng)江蘇省電力公司電力科學(xué)研究院

、、、。

本標(biāo)準(zhǔn)主要起草人范科峰王惠蒞龔潔中李琳任澤君王春佳楊晨顧健楊宏寧王坤

:、、、、、、、、、、

董晶晶李鳳娟張寶峰時志偉魏方方甘杰夫劉玉嶺賀海馬文平楊帆裴慶琪楊力黃永洪

、、、、、、、、、、、、、

何道敬劉虹黃偉

、、。

Ⅲ

GB/T35280—2017

引言

為保障關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全消減因為大量使用的信息技術(shù)產(chǎn)品可能給設(shè)施引入的安全缺

,

陷漏洞惡意程序等潛在的安全風(fēng)險需要通過對信息技術(shù)產(chǎn)品安全檢測提高信息技術(shù)產(chǎn)品供應(yīng)方產(chǎn)

、、,,

品的安全保障能力

。

同時為加強信息技術(shù)產(chǎn)品安全檢測機構(gòu)管理規(guī)范信息技術(shù)產(chǎn)品安全檢測機構(gòu)行為保障檢測活動

,,

的公正可信性以及安全檢測機構(gòu)的能力水平促使信息技術(shù)產(chǎn)品供應(yīng)方提高產(chǎn)品的安全保障能力保障

,,

國家關(guān)鍵信息基礎(chǔ)設(shè)施安全制定本標(biāo)準(zhǔn)

,。

Ⅳ

GB/T35280—2017

信息安全技術(shù)信息技術(shù)產(chǎn)品安全

檢測機構(gòu)條件和行為準(zhǔn)則

1范圍

本標(biāo)準(zhǔn)規(guī)定了信息技術(shù)產(chǎn)品安全檢測機構(gòu)應(yīng)具備的條件以及應(yīng)遵守的行為準(zhǔn)則

。

本標(biāo)準(zhǔn)適用于從事信息技術(shù)產(chǎn)品安全性檢測的第三方機構(gòu)可為相關(guān)主管部門信息技術(shù)產(chǎn)品供應(yīng)

,、

方和用戶選擇第三方檢測機構(gòu)提供參考

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069—2010

合格評定詞匯和通用原則

GB/T27000—2006

檢測和校準(zhǔn)實驗室能力的通用要求

GB/T27025

信息安全技術(shù)信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則

GB/T32921—2016

3術(shù)語和定義

和界定的以及下列術(shù)語和定義適用

GB/T25069—2010、GB/T27000—2006GB/T32921—2016

于本文件為了便于使用以下重復(fù)列出了中的一些術(shù)語和定義

。,GB/T32921—2016。

31

.

信息技術(shù)產(chǎn)品informationtechnologyproduct

具有采集存儲處理傳輸控制交換顯示數(shù)據(jù)或信息功能的硬件軟件系統(tǒng)和服務(wù)

、、、、、、、、。

注信息技術(shù)產(chǎn)品包括計算機及其輔助設(shè)備通信設(shè)備網(wǎng)絡(luò)設(shè)備自動控制設(shè)備操作系統(tǒng)數(shù)據(jù)庫應(yīng)用軟件與服

:、、、、、、

務(wù)等