PDF《CNAS-CL01-A020》

7 过程要求 7.1 要求、标书和合同的评审 7.1.1a) 实验室合同评审为签订信息安全检测合同而进行评审的政策和程序应 包括: 1) 对检测项目的保密和知识产权保护要求,在合同中(或签订专门的协议) 应予明确、充分规定. 2) 对检测项目结束后如何处置检测对象应予以规定. 7.2 方法的选择、验证和确认 7.2.1.3 实验室应确保测试使用的检测样本集 (如病毒样本库、 网络攻击数据包、 漏洞库等)为最新版本. CNAS-CL01-A020:2018 第4页共5页2018 年03 月01 日 发布

2018 年09 月01 日 实施 7.4 检测或校准物品的处置 7.4.1 实验室应向客户提供充分的保证,确保测试工具或测试集不会将病毒或其 他损坏因素引入到属于客户的硬件或软件中.检测完成后,实验室应按合同要求 处置被测样品,并保留记录. 7.4.3 在接收检测样品时,实验室应对检测对象进行病毒检查并记录结果. 7.5 技术记录 7.5.1 检测记录应能够追溯到检测人员的操作和工作方法及检测环境,应详细记 录检测环境配置(硬件和软件) 、参数设置等信息,确保该检测在尽可能接近原 条件的情况下能够重复. 当被测对象包括软件时, 实验室应建立配置管理的程序, 确保测试记录与被测对象的一致性. 7.5.2 实验室应有措施保持同一技术记录的不同形态的内容修改、版本控制的一 致性. 7.7 确保结果的有效性 7.7.1 实验室制定有效的质量监控方案还应包括: a) 由同一检测人员对被测对象进行重复检测;

b) 由不同的检测人员使用相同方法对同一被测对象进行检测;

c) 使用不同的检测方法 (技术) 或同一类型的不同仪器或工具对同一被测对 象进行检测. 实验室应保存监控活动的记录,包括对比对测试结果的评价. 7.8 报告结果 7.8.1 总则 7.8.1.2 实验室以电子方式传输的检测报告应使用加密方式传输,以确保检测报 告的完整和保密. 7.11 数据控制和信息管理 7.11.3 实验室应建立数据(尤其是涉及到客户敏感数据、知识产权、安全缺陷 等的检测数据、电子和纸质记录以及其他的材料)保护程序,以防止非授权人员 的访问.当检测结束后,实验室应妥善删除检测过程中在被测对象上生成的测试 数据(如:端口、策略、账号、口令等) . 注:纳入配置管理的电子版软件测试技术文档,可通过文档修改表记录版本 号、修改内容、日期、修改人、审核人等信息的方式保持不同介质实物资料版本 的一致;

纳入受控管理的其他技术记录,可通过适合不同介质的加注方式记录修 改内容、日期、修改人、审核人等信息.

8 管理体系要求 8.3 管理体系文件的控制(方式A) 8.3.2 实验室应有规定和措施,确保计算机系统中的文件与其它载体上的文件在 CNAS-CL01-A020:2018 第5页共5页2018 年03 月01 日 发布

2018 年09 月01 日 实施 内容、修订、版本控制、发布、存档等方面的一致性. 8.7 纠正措施(方式A) 8.7.1b) 信息安全检测活动产生问题的原因还可能是: 恶意代码、 检测操作顺序、 软件版本、参数设置、漏洞库、攻击特征库等.