检查机构能力认可准则.docx

上传人:叶*** 文档编号:35106986 上传时间:2022-08-20 格式:DOCX 页数:5 大小:17.44KB
返回 下载 相关 举报
检查机构能力认可准则.docx_第1页
第1页 / 共5页
检查机构能力认可准则.docx_第2页
第2页 / 共5页
点击查看更多>>
资源描述

《检查机构能力认可准则.docx》由会员分享,可在线阅读,更多相关《检查机构能力认可准则.docx(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、检查机构能力认可准则检查机构能力认可准则在信息安全技术领域应用说明(征求意见稿)一 引言信息安全技术是中国合格评定国家认可委员会(英文缩写:CNAS)对检查机构认可领域之一,该领域主要是对信息系统(产品)安全特性和法规、标准或特定要求符合性进行检查。本文件是CNAS 根据信息安全技术特性而对CNAS CI01:2006检查机构能力认可准则所作进一步说明,并不增加或减少该准则要求。因此,本文件采用针对CNAS检查机构能力认可准则具体条款提出应用说明编排方式,故章节号是不连续。本文件需和CNAS CI01:2006检查机构能力认可准则和CNAS CI02:2006检查机构能力认可准则应用说明同时使

2、用。二 应用说明2 定义2.1 信息安全检查在该领域中,信息安全检查活动也称为信息安全测评,检查机构也称为测评机构,检查员也称为测评工程师。信息安全检查(信息安全测评)是指使用信息技术安全专业知识,对信息系统或信息产品进行检查,确定信息系统或信息产品安全性和法规、标准或特定要求符合性。4.独立性、公正性和诚实性4.1 应制定明确文件化政策,确保检查机构人员判断不受来自和产品开发人员、系统集成人员及其他和检查结果有利害关系人员影响。5.保密性由于该技术领域大多数检查过程记录和结果是电子数据,易于复制和扩散,应考虑制订特殊保护政策和程序,保护客户信息和商业机密安全。如检查对象为涉密注信息产品或系统

3、,制定保护政策或程序时还应考虑相关法律法规要求注:本文中“涉密”,是指中华人民共和国保守国家秘密法所定义“国家秘密”。6.组织和管理6.3 信息安全领域检查机构技术主管应具备计算机科学专业、电子技术专业或者其他相关专业大学本科及以上学历,且经过信息安全技术方面技术培训,并至少具备在信息安全技术领域5年工作经验,或具备信息技术相关领域高级工程师及以上技术资格。7.质量体系7.8 检查机构处理反馈和采取纠正措施,应进行原因分析,并考虑病毒、测评操作次序等潜在因素影响。8.人员8.2.1 信息安全领域检查员应具备计算机相关专业或者其他相关专业大学或以上学历;具备计算机软件和硬件、网络技术、信息安全专

4、门技术等方面技术培训(如:取得相应资格证书),并至少具备在信息安全技术领域1年工作经验。检查员还应掌握了解以下知识或具备相关经验:操作系统、数据结构、算法设计和分析、数据库系统、程序语言、计算机系统结构和网络;还应接受知识产权保护和保密专门教育,树立保护客户利益和防止机密泄露意识。(保留知识产权等)8.2.2 信息安全领域授权签字人,除满足上述学历和培训要求外,至少还应具备在信息安全技术领域5年工作经验。8.3 信息安全领域检查机构应充分考虑该领域技术和知识更新速度,确保培训计划全面性和及时性。应为每一位检查员制定个性化培训计划。培训计划应考虑该领域最新技术发展,以保证检查员在整个聘用期间和技

5、术发展保持同步。9.设施和设备9.1 检查机构测评设备包括但不限于计算机软硬件设备、测评工具或其他用于信息安全检查设备。9.2 检查机构应对自行开发测评工具进行可行性、有效性和结果重复性技术评价,经批准后方可投入使用。相关记录应予保存。9.3 检查机构应确定其测评设备满足测评要求,包括硬件配置、防范计算机病毒等恶意代码、防范网络入侵措施等(进行渗透测评时除外)。9.5检查机构应根据信息技术领域特殊性,制定有针对性程序文件和作业指导书,确保所有测评设备得到合理维护和升级。9.7 检查机构应优先选用公允商用软、硬件或其他测评设备。检查机构自行开发测评工具在投入使用前应由3名或以上和开发过程无关资深

6、检查员或者具备高级职称外部专家进行评估和验证,确保其有效性、可靠性。无论是商用测评设备,还是由检查机构开发测评工具均应提供测评设备和检查结果相关性或准确性充分证据。9.15 应记录和计算机(系统)及相应测评工具(软件)有关维护和升级信息。10.检查方法和程序10.2 对信息系统测评是一种基于技术要素和管理要素综合性评判。单项指标测评结论可以依据测评标准判断;但当对信息系统整体作出综合测评意见时,测评机构应制定详细技术作业指导书,以保证不同检查员作出判断一致性。特别是,当测评结论意见需要给出等级判断,而测评结果表明测评结论处于两个相邻等级临界位置时,作业指导书应给出相应判断方法。10.3 检查方

7、法在完成编制后,应组织和编制过程无关专家评审,确定其适宜性,经批准后才可以使用。检查机构应在检查标准和方法基础上制定文件化作业指导书,并据此开展检查。信息安全检查方法涉及:测试用例集;用来运行这些测试用例测试工具(硬件和软件)以及使用它们方法;用来选择和运行测试用例及分析观察、说明结果相关作业指导文件,所有这些都应经适当验证、确认并进行相应文件化管理。检查方法确认中应包括对检查对象各个功能测试顺序及测试组合。11.检查样品和项目处置11.2 在开始进行检查之前,检查员应测评对象状态,记录发现或被告知任何明显异常情况,例如:应对测评对象进行病毒检查并记录。当测评对象为信息系统时,具体测评内容应根

8、据标准和方法确定,以确保不同测评对象测评结果具有可比性;一般不应随着客户主观意愿而对测评内容进行选择。如客户有选择具体测评内容特殊要求,应在检查合同中声明,同时在测评报告中明确相关信息。11.4 信息安全领域检查机构应有形成文件程序和适当措施,以避免测评对象在其测评期间测评环境、软硬件配置发生变化,例如:测评工具不会将病毒或其他损坏因素滞留属于客户测评对象中。当评测对象包含软件时,检查机构应具备配置管理机制以防止在检查过程中软件被非预期更改,或者确保在检查结束后恢复原状态。12.记录12.2 适用时,检查记录包括以下信息:测评人员信息、依据工作方法和程序、使用测评工具、具体操作步骤、测评得到数据或中间结果等。12.3 涉密检查活动记录,应优先考虑相关法律法规要求。5 / 5

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育专区 > 初中资料

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁