《信息安全技術 信息技術產品安全檢測機構條件和行為準則-編制說明》

一、工作簡況

1.1任務來源

為加強信息技術產品安全檢測機構管理，規(guī)范信息技術產品安全檢測機構行

為，保障檢測活動的公正可信和安全檢測機構的安全檢測能力，從而促使信息技

術產品供應方提高產品的安全保障能力，保障國家關鍵信息基礎設施安全，配合

我國關鍵信息基礎設施安全管理工作以及國家網(wǎng)絡安全審查工作，全國信息安全

標準化技術委員會于2013年立項《信息安全技術信息技術產品安全檢測機構條

件和行為準則》國家標準。

《信息安全技術信息技術產品安全檢測機構條件和行為準則》（計劃編號：

20141146-T-469）由中國電子技術標準化研究院牽頭，中國信息安全測評中心、

國家信息技術安全研究中心、中國信息安全研究院有限公司、北京信息安全測評

中心、國家保密科技測評中心、國家應用軟件產品質量監(jiān)督檢驗中心、公安部計

算機信息系統(tǒng)安全產品質量監(jiān)督中心、中國信息安全認證中心、信息產業(yè)信息安

全測評中心、陜西省網(wǎng)絡與信息安全測評中心、西安電子科技大學、重慶郵電大

學等單位共同參與起草。

1.2主要工作過程

1）2014年10月，成立標準編制組

考慮到信息技術產品安全檢測機構的現(xiàn)狀，標準編制組廣泛吸收了國內的安

全檢測機構、研究機構、質檢機構參與到標準研制工作，成立標準編制組。

2）2014年11月，調研國內外檢測機構相關標準現(xiàn)狀

研究現(xiàn)有國內外檢測機構相關標準，分析各自特點，學習借鑒，主要包括：

ISO/IEC17025檢測和校準實驗室認可準則

NIST-HB-150-20-2013NISTHANDBOOK150-20CHECKLISTCOMMON

CRITERIATESTING

GB/T27025-2008檢測和校準實驗室能力的通用要求

CNAS-CL46：2013《檢測和校準實驗室能力認可準則在信息安全檢測領域

的應用說明》

3）2015年1月，召開標準啟動會，確定標準范圍和框架

1

2015年1月編制組召開標準啟動會，與參與單位共同討論，明確了標準的適

用范圍和草案框架。

4）2015年2月-2016年3月，修改完善標準草案，召開標準草案研討會

編制組在研究我國已有檢測機構相關規(guī)定和國內外標準基礎上，結合我國工

作需要及檢測機構實際情況，多次召開標準編制組會議，并陸續(xù)征求了相關專家

對標準草案的意見，對標準草案進行修改和完善。

5）2016年5月-9月，修改完善標準草案，召開標準草案審查會，在WG7

征集意見

2016年5月11日，在北京組織有關專家召開標準草案審查會，會議專家同

意形成征求意見稿。會后標準編制組根據(jù)專家意見進行了修改完善，形成新一版

標準草案。2016年8月，在WG7范圍內征集成員單位對該標準的意見，編制組

根據(jù)反饋意見修改完善。

6）2016年10月，在全國信安標委第二次會議周上，WG7成員單位討論，會

后修改形成征求意見稿初稿。

2016年10月，全國信息安全標準化技術委員會秘書處在成都組織召開了

2016年第二次會議周。在會議周上，標準編制組與WG7成員單位就標準草案進

行了討論，聽取了與會專家的意見。本次會議周形成會議決議，該標準修改完善

后形成征求意見稿初稿。

7）2016年12月，在全國信安標委WG7專家審查會，會后修改形成征求意

見稿。

2016年12月22日，信安標委WG7組織了國家標準征求意見稿專家審查會，

與會專家對征求意見稿初稿進行審查并提出修改意見。會后，標準編制組按照與

會專家意見修改完善，形成征求意見稿。

二、編制原則和主要內容

2.1編制原則

本標準的研究與編制工作遵循以下原則：

一是充分吸收已有檢測機構相關標準?！稐l件和行為準則》充分參考了國際、

國內有關檢測和校準實驗室以及安全測評機構的條件和行為規(guī)范。標準參考了正

在修訂的ISO/IEC17025的DIS版本，并針對GB/T27025-2008以及《檢測和校準

2

實驗室能力認可準則在信息安全檢測領域的應用說明》中沒有涉及到的對檢測機

構的要求，進行了補充。

二是考慮可操作性和實用性。為了確保標準的可操作性和實用性，標準編制

從兩方面著手，一方面標準編制組廣泛吸收了國內多家檢測機構的人員作為標準

編制組成員；另一方面標準制定過程中，也不斷地借鑒國外實驗室的安全行為規(guī)

范要求標準來擴充標準的內容，為標準合理性和可操作性提供支撐。

2.2主要內容

本標準從管理和技術的角度，規(guī)范了檢測機構在測試信息技術產品安全時，

應具備的條件以及遵守的安全行為規(guī)范。

本標準規(guī)定了信息技術產品安全檢測機構在檢測信息技術產品的安全性時，

應具備的條件以及應遵守的行為準則。

本準則適用于所有從事信息技術產品安全性檢測的第三方機構，可為相關主

管部門、信息技術產品供應方和用戶選擇第三方檢測機構提供參考。

檢測機構應為一個法人實體，并建立符合GB/T27025-2008要求的管理體系。

檢測機構應檢測機構應具備信息技術產品安全性檢測的技術能力，信息技術產品

的安全性包括：保護、維持信息的保密性、完整性和可用性，也可包括真實性、

可核查性、抗抵賴性、可靠性等性質；應具備檢測并分析被測產品中是否存在惡

意程序、安全缺陷（漏洞）等的檢測技術能力；應具備產品供應鏈安全的檢測能

力，包括產品供應鏈組件關系分析和安全檢測能力；應具備信息技術產品安全風

險評估能力。檢測機構應遵守我國相關法律法規(guī)、公正透明的提供檢測服務、檢

測活動應誠實守信、檢測結果應可追溯可復現(xiàn)、開展檢測活動時應遵循利益回避

的原則、對委托方信息安全保密、發(fā)生重大變更時及時報告。

三、主要試驗（或驗證）的分析、綜述報告，技術經(jīng)濟論證，預期的經(jīng)濟效果

無。

四、采用國際標準和國外先進標準的程度，以及與國際、國外同類標準水平的

對比情況，或與測試的國外樣品、樣機的有關數(shù)據(jù)對比情況

信息安全標準已經(jīng)成為網(wǎng)絡空間國際競爭的戰(zhàn)略制高點。特別是，信息技術

產品安全檢測機構標準及其背后的管理政策將會對信息基礎產業(yè)造成重大影響，

也將限制國外更多的信息技術產品滲透到我國敏感部門和重要行業(yè)，這種情況下，

3

我國提出了加強對信息技術產品安全檢測機構的安全管理是保障國家安全和社

會公眾利益的重要舉措。開展對信息技術產品安全檢測機構管理，規(guī)范信息技術

產品安全檢測機構行為，從而促使信息技術產品供應方提高產品的安全保證能力，

是落實對國家關鍵信息基礎設施安全管理的措施之一。因此，編制組在標準編制

過程中，分析研究了ISO/IEC17025和NIST的檢測機構和實驗室要求，參照我

國現(xiàn)有的相關標準和CNAS，以及國內安全檢測機構的現(xiàn)狀，綜合考慮制定了本

標準。

五、與有關的現(xiàn)行法律、法規(guī)和強制性國家標準的關系

《信息技術產品安全檢測機構條件和行為準則》符合現(xiàn)有法律法規(guī)的要求。

《信息技術產品安全檢測機構條件和行為準則》與GB/T27025-2008《檢測

和校準實驗室能力的通用要求》不矛盾、不沖突。通用要求標準是針對所有的檢

測機構和校準實驗室，沒有針對到安全檢測機構的一些具體要求和規(guī)范。

六、重大分歧意見的處理經(jīng)過和依據(jù)

《條件和行為準則》編制過程中未出現(xiàn)重大分歧。其他詳見意見匯總處理表。

七、國家標準作為強制性國家標準或推薦性國家標準的建議

建議《條件和行為準則》作為推薦性國家標準發(fā)布實施。

八、貫徹國家標準的要求和措施建議（包括組織措施、技術措施、過渡辦法等

內容）

《條件和行為準則》通過對信息技術產品安全檢測機構管理，規(guī)范信息技術

產品安全檢測機構行為，從而促使信息技術產品供應方提高產品的安全保證能力。

建議同《信息安全技術信息技術產品供應方行為安全準則》配套使用。

九