南京邦道企业管理咨询有限公司

2)对测试项目结束条件、测试风险应予充分规定； 3)对开展测试准备了解测试任务的同时逐步完善合同内容的评审，或可能 延续到软件测试计划、测试需求和测试说明阶段的评审，应予充分规定； 4)对测试目的、为达到测试目的需要提供给实验室的测试输入项、测试输 入项的提供方式以及提供时机应予充分规定。

测试输入项可包括： ——符合标准规范要求的被测试软件产品，包括程序、软件文档、数据文档； ——文档化的被测试软件的分配需求（可含技术需求、非技术需求和验收准 则），如研制要求、软件研制任务书等； ——被测试软件安装运行环境以及其他配合被测试软件运行的设备设施、软 件、数据等详细信息。 

7.1.1c)实验室应对检测任务进行测试需求分析，测试策划应由实验室完成，外 部提供测试服务的合同或协议应满足客户要求，明确外部提供测试服务的评审和 监督要求，由客户或法定管理机构指定的外部提供者除外。 

7.1.6对测试周期（接受被测试软件至交付测试报告）超过6个月的软件测试项 目，实验室应与客户及被测试软件相关方保持必要沟通。

沟通内容可包括： 1）合同、客户要求变更及其落实情况； 2）计划进展情况，延误或其他主要偏离及其原因； 3）已发现的软件问题； 4）遇到的测试问题； 5）需要沟通的其他问题。 

7.1.8对常规软件测试（如某行业已有明确要求的例行软件测试）项目，测试合同可以是任何书面的协议。实验室应对软件测试协议及时形成详细的文字记录， 并有审核确认 7.2方法的选择、验证和确认 7.2.1方法选择和验证 7.2.1.3实验室所采用的软件测试方法，一般包括测试用例集、测试工具（硬件 和软件）及其使用方法、以及依托测试工具运行测试用例获得测试结果的相关程 序三要素。为了保证不影响软件测试方法的运用和测试结果，实验室应具有适当 的软件测试方法使用指导书，有措施确保测试用例、测试脚本、测试数据和测试 工具的一致、有效。 

7.2.1.5实验室应制定测试计划、测试需求和测试用例及其执行方案，通过文档化 方式明确选定的测试方法。实验室应通过培训、技术咨询或技术指导方式确保能 够正确运用选择的测试方法。 

7.2.2方法确认 7.2.2.1实验室应组织本领域专家对非标方法进行技术评审。 注：技术评审可包含但不限于以下内容： a)被测试软件类型的描述应包括名称、版本信息、开发语言等； b)能够测试的软件质量特性或测试类别、测试目的和测试能力范围； c)陪测设备设施软件及其性能要求； d)方法应有需要的软件硬件环境、测试数据及其他约束条件。 

7.2.2.3软件测试方法确认应尽可能全面，包括对被测试软件的各种质量子特性 的测试顺序、测试约束及测试输入的组合并进行测试方法的验证。 

7.4检测或校准物品的处置 7.4.1实验室应向客户提供充分的保证，确保测试工具或测试集不会将病毒或其 他损坏因素引入到属于客户的硬件或软件中。

测试完成后，实验室应按客户要求 处置被测试软件，并保留记录。 7.4.2实验室在接收被测软件时应详细记录被测试软件的程序、软件工程文档、 数据及版本号，并进行唯一性标识。 

7.4.3在接收测试样品时，应对样品进行病毒检查并记录。 7.5技术记录 7.5.1实验室应保存外部提供测试服务的技术文档、测试记录和测试报告。

适用 时软件测试项记录应包括： a)测试输入项记录：客户提供的被测试软件清单、与软件测试相关的文件 清单等； b)测试技术文档：测试（回归测试）方案、测试（项目）计划、测试需求 规格说明、测试说明、软件测试报告的副本等；

检测和校准实验室能力认可准则 在信息安全检测领域的应用说明 

本文件由中国合格评定国家认可委员会（CNAS）制定，是结合信息安 全检测的特点对CNAS-CL01《检测和校准实验室能力认可准则》中的部分 条款的应用说明，并不增加或减少该认可准则的要求。 本文件与CNAS-CL01《检测和校准实验室能力认可准则》同时使用。 

在结构编排上，本文件章、节的条款号和条款名称均采用CNAS-CL01: 中章、节条款号和名称，对CNAS-CL01应用说明的具体内容在对应条款后 给出。 

本文件代替CNAS-CL46:2013《检测和校准实验室能力认可准则在信息安 全检测领域的应用说明》。 

本次修订主要根据CNAS-CL01:2018《检测和校准实验室能力认可准则》 对章节号重新进行了编排，并按照CNAS的统一要求调整文件编号。

1范围 本文件适用于所有从事信息安全检测的实验室。 2引用文件 CNAS-CL01:2018《检测和校准实验室认可准则》 3术语和定义 4通用要求 4.1公正性 4.1.3如果实验室所在的组织从事信息安全检测以外的活动（例如，涉及信息安 全相关的开发），应承诺并采取措施确保不利用被检测信息安全相关方的知识产 权牟取利益。 

4.1.4实验室应建立并保持从事信息安全检测公正性和诚实性的政策和程序，并 确保信息安全检测人员不参加被测对象的开发和咨询，确保实验室检测人员与产 品开发商、系统集成商、安全集成商、其他有利害关系和可能影响检测结果的人 员之间相互分离。 5结构要求 6资源要求 

6.2人员 6.2.2信息安全检测实验室的人员应满足以下要求： a)信息安全检测人员应具有信息安全、计算机、通信或网络等相关专业本 科或以上学历，从事信息安全检测工作1年以上，且至少参与过3个信息安全检 测项目。 b)信息安全检测领域的授权签字人和意见解释人员应具有信息安全、计算 机、通信或网络等相关专业本科或以上学历，从事信息安全检测工作3年以上， 且至少参与过5个信息安全检测项目。 c)实验室人员应经过相关培训，考核通过后方能上岗。实验室人员还应接 受安全保密和知识产权保护方面的培训，以确保客户利益和商业机密不被泄露。 d)实验室应： 1)至少具有5名信息安全检测人员； 2)由熟悉信息安全项目管理、开发、测试及标准、规范、规程的技术人员 负责组织实施信息安全检测任务；

3)由熟悉信息安全检测过程、标准/规范/规程，信息安全质量评价和信息 安全测试质量评价的人员，负责信息安全检测过程和产品的规范符合性审核监 督； 4)由熟悉信息安全测试需求、测试结果评价和判定准则的人员负责对信息 安全测试输入和测试结果进行核查。 6.3设施和环境条件 6.3.1实验室应建立稳压、防静电和防范恶意代码的检测环境。

实验室还应对检 测环境在使用前进行核查。 6.3.4b)检测网络应与其他网络采取隔离措施。如果同时进行多个检测项目，实 验室应保持检测环境的有效分离。当检测活动在实验室以外场所进行时，其检测 环境也应满足要求，并确保检测活动在受控环境下执行。当通过实验室以外的网 络实施远程检测时，应注意影响网络正常运行的环境条件。 

6.4设备 6.4.1信息安全检测设备应包括硬件设备和软件检测工具。实验室应在每个项目 测试前对检测设备进行核查。对于性能检测项目，实验室所选用的设备应是具有 可追溯性的商用软件和硬件。 6.4.13实验室应保存所有检测设备的档案。

实验室的记录还应包括检测设备的 配置信息、软件检测工具所需运行环境等信息。软件测试工具的不同版本，均应 有唯一性标识。 

6.5计量溯源性 6.5.3对于新的或发生了重大变化的无法进行外部溯源的方法和测试工具，实验 室应采取措施检查测试方法和测试工具的有效性，检查措施可包括： a)适用时，对特定的信息安全产品样例进行检测，审查信息安全产品样例 预埋问题的复现情况，确认其偏差。 b)适用时，应溯源到权威的测试集规范或其它有关的权威标准或规范。 

7过程要求 7.1要求、标书和合同的评审 7.1.1a)实验室合同评审为签订信息安全检测合同而进行评审的政策和程序应 包括： 1)对检测项目的保密和知识产权保护要求，在合同中（或签订专门的协议） 应予明确、充分规定。 2)对检测项目结束后如何处置检测对象应予以规定。 

7.2方法的选择、验证和确认 7.2.1.3实验室应确保测试使用的检测样本集（如病毒样本库、网