檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力認(rèn)可準(zhǔn)則在信息安全檢測(cè)領(lǐng)域的應(yīng)用說(shuō)明_第1頁(yè)
檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力認(rèn)可準(zhǔn)則在信息安全檢測(cè)領(lǐng)域的應(yīng)用說(shuō)明_第2頁(yè)
檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力認(rèn)可準(zhǔn)則在信息安全檢測(cè)領(lǐng)域的應(yīng)用說(shuō)明_第3頁(yè)
檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力認(rèn)可準(zhǔn)則在信息安全檢測(cè)領(lǐng)域的應(yīng)用說(shuō)明_第4頁(yè)
檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力認(rèn)可準(zhǔn)則在信息安全檢測(cè)領(lǐng)域的應(yīng)用說(shuō)明_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

GNAS-CL46:201X201X年X月X日檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力認(rèn)可準(zhǔn)則在信息安全檢測(cè)領(lǐng)域的應(yīng)用說(shuō)明范圍本文件適用于所有從事信息安全檢測(cè)的實(shí)驗(yàn)室。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。CNAS-CL01:檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室認(rèn)可準(zhǔn)則(idtISO/IEC17025)術(shù)語(yǔ)和定義CNAS-CL01界定的術(shù)語(yǔ)和定義適用于本文件。通用要求公正性4.1.3如果實(shí)驗(yàn)室所在的組織從事信息安全檢測(cè)以外的活動(dòng)(例如,涉及信息安全相關(guān)的開發(fā)),應(yīng)承諾并采取措施確保不利用被檢測(cè)信息安全相關(guān)方的知識(shí)產(chǎn)權(quán)牟取利益。

4.1.4實(shí)驗(yàn)室應(yīng)建立并保持從事信息安全檢測(cè)公正性和誠(chéng)實(shí)性的政策和程序,識(shí)別產(chǎn)品開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商等對(duì)信息安全檢測(cè)活動(dòng)公正性的影響。4.1.5如果實(shí)驗(yàn)室所在的組織從事信息安全檢測(cè)以外的活動(dòng),應(yīng)確保信息安全檢測(cè)人員不參加被測(cè)對(duì)象的開發(fā)和咨詢,信息安全檢測(cè)人員與產(chǎn)品開發(fā)、系統(tǒng)集成、系統(tǒng)運(yùn)維等可能存在影響公正性的利害關(guān)系的人員之間相互分離。結(jié)構(gòu)要求5.2實(shí)驗(yàn)室應(yīng)具有管理信息安全檢測(cè)領(lǐng)域的質(zhì)量和技術(shù)負(fù)責(zé)人,且除授權(quán)簽字人以外,至少具有5名信息安全檢測(cè)人員。資源要求人員6.2.2信息安全檢測(cè)實(shí)驗(yàn)室的技術(shù)人員應(yīng)滿足以下要求:a)從事信息安全檢測(cè)活動(dòng)的人員,應(yīng)具有計(jì)算機(jī)相關(guān)專業(yè)??萍耙陨蠈W(xué)歷;非相關(guān)專業(yè)應(yīng)具有本科及以上學(xué)歷,且應(yīng)經(jīng)過(guò)信息安全檢測(cè)技術(shù)專業(yè)培訓(xùn),從事信息安全檢測(cè)工作1年以上并至少參與過(guò)3個(gè)信息安全檢測(cè)項(xiàng)目。此外,各類人員均應(yīng)具備信息安全檢測(cè)工作相適應(yīng)的背景知識(shí)和檢測(cè)技能。b)各類人員其他應(yīng)滿足的要求包括:1)從事信息安全檢測(cè)項(xiàng)目組織與實(shí)施的負(fù)責(zé)人員應(yīng)熟悉項(xiàng)目管理、信息安全開發(fā)過(guò)程、信息安全檢測(cè)技術(shù)及其標(biāo)準(zhǔn)、規(guī)程和規(guī)范;2)從事信息安全檢測(cè)過(guò)程、檢測(cè)質(zhì)量規(guī)范與符合性審核監(jiān)督的人員應(yīng)熟悉信息安全的檢測(cè)過(guò)程、標(biāo)準(zhǔn)/規(guī)范/規(guī)程和信息安全檢測(cè)質(zhì)量評(píng)價(jià)。3)從事信息安全檢測(cè)結(jié)果評(píng)價(jià)(評(píng)估)和方法確認(rèn)的人員,以及授權(quán)簽字人員和意見解釋人員,應(yīng)從事信息安全檢測(cè)工作5年以上,并至少作為項(xiàng)目負(fù)責(zé)人實(shí)施過(guò)5個(gè)信息安全檢測(cè)項(xiàng)目。4)從事信息安全檢測(cè)執(zhí)行的人員,應(yīng)經(jīng)過(guò)相關(guān)培訓(xùn)、考核通過(guò)后方能上崗。實(shí)驗(yàn)室對(duì)信息安全檢測(cè)人員進(jìn)行的培訓(xùn),應(yīng)包括與信息安全檢測(cè)有關(guān)的法規(guī)、標(biāo)準(zhǔn)培訓(xùn)和檢測(cè)技術(shù)類培訓(xùn)。實(shí)習(xí)人員須在實(shí)驗(yàn)室有經(jīng)驗(yàn)和有能力的正式簽約人員的指導(dǎo)下,從事檢測(cè)活動(dòng)。5)實(shí)驗(yàn)室應(yīng)確保所有人員接受安全保密和知識(shí)產(chǎn)權(quán)保護(hù)方面的培訓(xùn),以確??蛻衾婧蜕虡I(yè)機(jī)密不被侵害與泄露。設(shè)施和環(huán)境條件6.3.1實(shí)驗(yàn)室應(yīng)建立防靜電、防范惡意代碼的檢測(cè)環(huán)境,以及防止實(shí)驗(yàn)室環(huán)境中部署的信息安全防護(hù)設(shè)備影響信息安全檢測(cè)結(jié)果。6.3.3對(duì)結(jié)果有影響的因素,實(shí)驗(yàn)室應(yīng)進(jìn)行監(jiān)控和記錄環(huán)境條件,包括防止病毒木馬等不良程序感染等。6.3.4c)實(shí)驗(yàn)室檢測(cè)網(wǎng)絡(luò)應(yīng)與其他網(wǎng)絡(luò)采取隔離措施。如果同時(shí)進(jìn)行多個(gè)檢測(cè)項(xiàng)目,實(shí)驗(yàn)室應(yīng)保持檢測(cè)環(huán)境的有效分離,防止拒絕服務(wù)攻擊等影響檢測(cè)結(jié)果。當(dāng)檢測(cè)活動(dòng)在實(shí)驗(yàn)室以外場(chǎng)所進(jìn)行時(shí),其檢測(cè)環(huán)境也應(yīng)滿足要求,并確保檢測(cè)活動(dòng)在受控環(huán)境下執(zhí)行。當(dāng)通過(guò)實(shí)驗(yàn)室以外的網(wǎng)絡(luò)實(shí)施遠(yuǎn)程檢測(cè)時(shí),應(yīng)確保網(wǎng)絡(luò)正常運(yùn)行的環(huán)境,并記錄或確認(rèn)影響性能指標(biāo)的外部因素。設(shè)備6.4.1信息安全檢測(cè)設(shè)備包括但不限于性能測(cè)試工具、安全性測(cè)試工具、仿真測(cè)試工具等。6.4.2實(shí)驗(yàn)室應(yīng)在客戶提供的檢測(cè)設(shè)備投入使用前進(jìn)行驗(yàn)證。6.4.3實(shí)驗(yàn)室應(yīng)及時(shí)更新升級(jí)檢測(cè)設(shè)備的版本和特征庫(kù),確保檢測(cè)使用的檢測(cè)樣本集(如病毒樣本庫(kù)、網(wǎng)絡(luò)攻擊數(shù)據(jù)包、漏洞庫(kù)等)為最新版本,并保存升級(jí)記錄。6.4.4有指標(biāo)要求的檢測(cè)設(shè)備在投入使用前及發(fā)生變更時(shí),均應(yīng)對(duì)其進(jìn)行驗(yàn)證。租賃的檢測(cè)設(shè)備,應(yīng)有可追溯的許可和/或授權(quán)協(xié)議。6.4.12正在進(jìn)行檢測(cè)的被測(cè)對(duì)象和檢測(cè)用的硬件設(shè)備應(yīng)張貼“檢測(cè)中”的狀態(tài)標(biāo)識(shí),并在運(yùn)行被測(cè)對(duì)象和檢測(cè)用的計(jì)算機(jī)設(shè)備屏保屏幕中設(shè)置標(biāo)識(shí),以避免錯(cuò)誤調(diào)整檢測(cè)環(huán)境影響檢測(cè)工作的進(jìn)行。6.4.13實(shí)驗(yàn)室應(yīng)保存所有檢測(cè)設(shè)備的檔案。實(shí)驗(yàn)室的記錄還應(yīng)包括所有檢測(cè)設(shè)備的配置信息,軟件形態(tài)檢測(cè)工具所需運(yùn)行環(huán)境、相關(guān)組件的庫(kù)版本信息以及其他需要特殊聲明的信息等。信息安全檢測(cè)設(shè)備的不同版本,均應(yīng)有唯一性標(biāo)識(shí)。計(jì)量溯源性6.5.3對(duì)于新的或發(fā)生了重大變化的無(wú)法進(jìn)行外部溯源的方法和檢測(cè)工具,實(shí)驗(yàn)室應(yīng)采取措施檢查檢測(cè)方法和檢測(cè)工具的有效性,檢查措施可包括:

a)適用時(shí),對(duì)特定的信息安全產(chǎn)品樣例進(jìn)行檢測(cè),審查信息安全產(chǎn)品樣例預(yù)埋問(wèn)題的復(fù)現(xiàn)情況,確認(rèn)其偏差。

b)適用時(shí),應(yīng)溯源到權(quán)威的測(cè)試集規(guī)范或其它有關(guān)的權(quán)威標(biāo)準(zhǔn)或規(guī)范。過(guò)程要求要求、標(biāo)書和合同評(píng)審7.1.1a)實(shí)驗(yàn)室的要求、標(biāo)書和合同評(píng)審程序,應(yīng)確保:1)對(duì)檢測(cè)項(xiàng)目的保密性要求和知識(shí)產(chǎn)權(quán)保護(hù)要求,在合同中(或簽訂專門的協(xié)議)應(yīng)予明確、充分規(guī)定。2)對(duì)信息安全檢測(cè)依據(jù)、為達(dá)到檢測(cè)目的需要提供給實(shí)驗(yàn)室的檢測(cè)輸入項(xiàng)等應(yīng)予以明確規(guī)定,檢測(cè)輸入項(xiàng)可包括被測(cè)對(duì)象相關(guān)技術(shù)材料、軟/硬件等。3)對(duì)檢測(cè)項(xiàng)目結(jié)束后如何處置檢測(cè)對(duì)象、檢測(cè)報(bào)告的交付數(shù)量及方式等應(yīng)予以明確規(guī)定。方法的選擇、驗(yàn)證和確認(rèn)7.2.2方法的確認(rèn)7.2.2.1針對(duì)非標(biāo)準(zhǔn)方法,應(yīng)經(jīng)過(guò)5名(含)以上的信息安全領(lǐng)域外部專家評(píng)審。檢測(cè)或校準(zhǔn)物品的處置7.4.1實(shí)驗(yàn)室應(yīng)有措施保證檢測(cè)工具或測(cè)試集不會(huì)將病毒或其他損壞因素引入到屬于客戶的硬件或軟件中。特殊的滲透性測(cè)試或破壞性測(cè)試,應(yīng)在向客戶充分說(shuō)明可能的后果并獲得客戶的允許后進(jìn)行。檢測(cè)工作完成后,實(shí)驗(yàn)室應(yīng)按合同要求的檢后處置方式處置被測(cè)對(duì)象,并保留記錄。7.4.3在接收軟件形態(tài)的檢測(cè)樣品時(shí),實(shí)驗(yàn)室應(yīng)對(duì)檢測(cè)對(duì)象進(jìn)行病毒檢查并記錄。技術(shù)記錄7.5.1信息安全檢測(cè)項(xiàng)目的技術(shù)記錄應(yīng)能夠追溯到檢測(cè)人員的操作和工作方法及檢測(cè)環(huán)境,應(yīng)詳細(xì)記錄檢測(cè)環(huán)境配置(硬件和軟件)、檢測(cè)工具及參數(shù)配置等信息,確保該檢測(cè)過(guò)程和檢測(cè)結(jié)果在盡可能接近原條件的情況下能夠進(jìn)行重復(fù)和復(fù)現(xiàn)。7.6測(cè)量不確定度的評(píng)定7.6.3實(shí)驗(yàn)室應(yīng)對(duì)信息安全檢測(cè)中定量類檢測(cè)項(xiàng)目評(píng)定測(cè)量不確定度。注1:在測(cè)量不確定度的評(píng)定中,實(shí)驗(yàn)室需更多關(guān)注由檢測(cè)方法、設(shè)備和人員帶來(lái)的測(cè)量不確定度影響。注2:對(duì)于信息安全檢測(cè)領(lǐng)域無(wú)法評(píng)定測(cè)量不確定度的定性類檢測(cè)項(xiàng)目,實(shí)驗(yàn)室需關(guān)注以下幾點(diǎn):a)檢測(cè)環(huán)境滿足要求;b)檢測(cè)設(shè)備的狀態(tài)滿足要求;c)檢測(cè)人員熟悉并嚴(yán)格按照操作流程和標(biāo)準(zhǔn)方法要求進(jìn)行操作。確保結(jié)果有效性7.7.1實(shí)驗(yàn)室制定的質(zhì)量監(jiān)控方案還應(yīng)包括:

a)由同一檢測(cè)人員對(duì)被測(cè)對(duì)象進(jìn)行重復(fù)檢測(cè);b)由不同的檢測(cè)人員使用相同方法對(duì)同一被測(cè)對(duì)象進(jìn)行檢測(cè);

c)使用不同的檢測(cè)方法(技術(shù))對(duì)同一被測(cè)對(duì)象進(jìn)行檢測(cè);d)同一類型的不同儀器或工具對(duì)同一被測(cè)對(duì)象進(jìn)行檢測(cè)。實(shí)驗(yàn)室應(yīng)保存監(jiān)控活動(dòng)的記錄,包括對(duì)比對(duì)檢測(cè)結(jié)果的評(píng)價(jià)。管理體系要求8.2管理體系文件(方式A)8.2.4實(shí)驗(yàn)室應(yīng)建立并實(shí)施與實(shí)驗(yàn)室信息安全檢測(cè)活動(dòng)范圍相適應(yīng)的管理體系。此外,應(yīng)制定非固定場(chǎng)所信息安全檢測(cè)活動(dòng)的程序,對(duì)開展非固定場(chǎng)所信息安全檢測(cè)活動(dòng)的人員職責(zé)和任職條件、工作程序和質(zhì)控方法等予以規(guī)定。糾正措施(方式A)8.7.1b)信息安全檢測(cè)活動(dòng)產(chǎn)生問(wèn)題的原因還可能是

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論