2)對測試項目結(jié)束條件、測試風險應予充分規(guī)定； 3)對開展測試準備了解測試任務的同時逐步完善合同內(nèi)容的評審，或可能 延續(xù)到軟件測試計劃、測試需求和測試說明階段的評審，應予充分規(guī)定； 4)對測試目的、為達到測試目的需要提供給實驗室的測試輸入項、測試輸 入項的提供方式以及提供時機應予充分規(guī)定。

測試輸入項可包括： ——符合標準規(guī)范要求的被測試軟件產(chǎn)品，包括程序、軟件文檔、數(shù)據(jù)文檔； ——文檔化的被測試軟件的分配需求（可含技術(shù)需求、非技術(shù)需求和驗收準 則），如研制要求、軟件研制任務書等； ——被測試軟件安裝運行環(huán)境以及其他配合被測試軟件運行的設(shè)備設(shè)施、軟 件、數(shù)據(jù)等詳細信息。 

7.1.1c)實驗室應對檢測任務進行測試需求分析，測試策劃應由實驗室完成，外 部提供測試服務的合同或協(xié)議應滿足客戶要求，明確外部提供測試服務的評審和 監(jiān)督要求，由客戶或法定管理機構(gòu)指定的外部提供者除外。 

7.1.6對測試周期（接受被測試軟件至交付測試報告）超過6個月的軟件測試項 目，實驗室應與客戶及被測試軟件相關(guān)方保持必要溝通。

溝通內(nèi)容可包括： 1）合同、客戶要求變更及其落實情況； 2）計劃進展情況，延誤或其他主要偏離及其原因； 3）已發(fā)現(xiàn)的軟件問題； 4）遇到的測試問題； 5）需要溝通的其他問題。 

7.1.8對常規(guī)軟件測試（如某行業(yè)已有明確要求的例行軟件測試）項目，測試合同可以是任何書面的協(xié)議。實驗室應對軟件測試協(xié)議及時形成詳細的文字記錄， 并有審核確認 7.2方法的選擇、驗證和確認 7.2.1方法選擇和驗證 7.2.1.3實驗室所采用的軟件測試方法，一般包括測試用例集、測試工具（硬件 和軟件）及其使用方法、以及依托測試工具運行測試用例獲得測試結(jié)果的相關(guān)程 序三要素。為了保證不影響軟件測試方法的運用和測試結(jié)果，實驗室應具有適當 的軟件測試方法使用指導書，有措施確保測試用例、測試腳本、測試數(shù)據(jù)和測試 工具的一致、有效。 

7.2.1.5實驗室應制定測試計劃、測試需求和測試用例及其執(zhí)行方案，通過文檔化 方式明確選定的測試方法。實驗室應通過培訓、技術(shù)咨詢或技術(shù)指導方式確保能 夠正確運用選擇的測試方法。 

7.2.2方法確認 7.2.2.1實驗室應組織本領(lǐng)域?qū)＜覍Ψ菢朔椒ㄟM行技術(shù)評審。 注：技術(shù)評審可包含但不限于以下內(nèi)容： a)被測試軟件類型的描述應包括名稱、版本信息、開發(fā)語言等； b)能夠測試的軟件質(zhì)量特性或測試類別、測試目的和測試能力范圍； c)陪測設(shè)備設(shè)施軟件及其性能要求； d)方法應有需要的軟件硬件環(huán)境、測試數(shù)據(jù)及其他約束條件。 

7.2.2.3軟件測試方法確認應盡可能全面，包括對被測試軟件的各種質(zhì)量子特性 的測試順序、測試約束及測試輸入的組合并進行測試方法的驗證。 

7.4檢測或校準物品的處置 7.4.1實驗室應向客戶提供充分的保證，確保測試工具或測試集不會將病毒或其 他損壞因素引入到屬于客戶的硬件或軟件中。

測試完成后，實驗室應按客戶要求 處置被測試軟件，并保留記錄。 7.4.2實驗室在接收被測軟件時應詳細記錄被測試軟件的程序、軟件工程文檔、 數(shù)據(jù)及版本號，并進行唯一性標識。 

7.4.3在接收測試樣品時，應對樣品進行病毒檢查并記錄。 7.5技術(shù)記錄 7.5.1實驗室應保存外部提供測試服務的技術(shù)文檔、測試記錄和測試報告。

適用 時軟件測試項記錄應包括： a)測試輸入項記錄：客戶提供的被測試軟件清單、與軟件測試相關(guān)的文件 清單等； b)測試技術(shù)文檔：測試（回歸測試）方案、測試（項目）計劃、測試需求 規(guī)格說明、測試說明、軟件測試報告的副本等；

檢測和校準實驗室能力認可準則 在信息安全檢測領(lǐng)域的應用說明 

本文件由中國合格評定國家認可委員會（CNAS）制定，是結(jié)合信息安 全檢測的特點對CNAS-CL01《檢測和校準實驗室能力認可準則》中的部分 條款的應用說明，并不增加或減少該認可準則的要求。 本文件與CNAS-CL01《檢測和校準實驗室能力認可準則》同時使用。 

在結(jié)構(gòu)編排上，本文件章、節(jié)的條款號和條款名稱均采用CNAS-CL01: 中章、節(jié)條款號和名稱，對CNAS-CL01應用說明的具體內(nèi)容在對應條款后 給出。 

本文件代替CNAS-CL46:2013《檢測和校準實驗室能力認可準則在信息安 全檢測領(lǐng)域的應用說明》。 

本次修訂主要根據(jù)CNAS-CL01:2018《檢測和校準實驗室能力認可準則》 對章節(jié)號重新進行了編排，并按照CNAS的統(tǒng)一要求調(diào)整文件編號。

1范圍 本文件適用于所有從事信息安全檢測的實驗室。 2引用文件 CNAS-CL01:2018《檢測和校準實驗室認可準則》 3術(shù)語和定義 4通用要求 4.1公正性 4.1.3如果實驗室所在的組織從事信息安全檢測以外的活動（例如，涉及信息安 全相關(guān)的開發(fā)），應承諾并采取措施確保不利用被檢測信息安全相關(guān)方的知識產(chǎn) 權(quán)牟取利益。 

4.1.4實驗室應建立并保持從事信息安全檢測公正性和誠實性的政策和程序，并 確保信息安全檢測人員不參加被測對象的開發(fā)和咨詢，確保實驗室檢測人員與產(chǎn) 品開發(fā)商、系統(tǒng)集成商、安全集成商、其他有利害關(guān)系和可能影響檢測結(jié)果的人 員之間相互分離。 5結(jié)構(gòu)要求 6資源要求 

6.2人員 6.2.2信息安全檢測實驗室的人員應滿足以下要求： a)信息安全檢測人員應具有信息安全、計算機、通信或網(wǎng)絡(luò)等相關(guān)專業(yè)本 科或以上學歷，從事信息安全檢測工作1年以上，且至少參與過3個信息安全檢 測項目。 b)信息安全檢測領(lǐng)域的授權(quán)簽字人和意見解釋人員應具有信息安全、計算 機、通信或網(wǎng)絡(luò)等相關(guān)專業(yè)本科或以上學歷，從事信息安全檢測工作3年以上， 且至少參與過5個信息安全檢測項目。 c)實驗室人員應經(jīng)過相關(guān)培訓，考核通過后方能上崗。實驗室人員還應接 受安全保密和知識產(chǎn)權(quán)保護方面的培訓，以確?？蛻衾婧蜕虡I(yè)機密不被泄露。 d)實驗室應： 1)至少具有5名信息安全檢測人員； 2)由熟悉信息安全項目管理、開發(fā)、測試及標準、規(guī)范、規(guī)程的技術(shù)人員 負責組織實施信息安全檢測任務；

3)由熟悉信息安全檢測過程、標準/規(guī)范/規(guī)程，信息安全質(zhì)量評價和信息 安全測試質(zhì)量評價的人員，負責信息安全檢測過程和產(chǎn)品的規(guī)范符合性審核監(jiān) 督； 4)由熟悉信息安全測試需求、測試結(jié)果評價和判定準則的人員負責對信息 安全測試輸入和測試結(jié)果進行核查。 6.3設(shè)施和環(huán)境條件 6.3.1實驗室應建立穩(wěn)壓、防靜電和防范惡意代碼的檢測環(huán)境。

實驗室還應對檢 測環(huán)境在使用前進行核查。 6.3.4b)檢測網(wǎng)絡(luò)應與其他網(wǎng)絡(luò)采取隔離措施。如果同時進行多個檢測項目，實 驗室應保持檢測環(huán)境的有效分離。當檢測活動在實驗室以外場所進行時，其檢測 環(huán)境也應滿足要求，并確保檢測活動在受控環(huán)境下執(zhí)行。當通過實驗室以外的網(wǎng) 絡(luò)實施遠程檢測時，應注意影響網(wǎng)絡(luò)正常運行的環(huán)境條件。 

6.4設(shè)備 6.4.1信息安全檢測設(shè)備應包括硬件設(shè)備和軟件檢測工具。實驗室應在每個項目 測試前對檢測設(shè)備進行核查。對于性能檢測項目，實驗室所選用的設(shè)備應是具有 可追溯性的商用軟件和硬件。 6.4.13實驗室應保存所有檢測設(shè)備的檔案。

實驗室的記錄還應包括檢測設(shè)備的 配置信息、軟件檢測工具所需運行環(huán)境等信息。軟件測試工具的不同版本，均應 有唯一性標識。 

6.5計量溯源性 6.5.3對于新的或發(fā)生了重大變化的無法進行外部溯源的方法和測試工具，實驗 室應采取措施檢查測試方法和測試工具的有效性，檢查措施可包括： a)適用時，對特定的信息安全產(chǎn)品樣例進行檢測，審查信息安全產(chǎn)品樣例 預埋問題的復現(xiàn)情況，確認其偏差。 b)適用時，應溯源到權(quán)威的測試集規(guī)范或其它有關(guān)的權(quán)威標準或規(guī)范。 

7過程要求 7.1要求、標書和合同的評審 7.1.1a)實驗室合同評審為簽訂信息安全檢測合同而進行評審的政策和程序應 包括： 1)對檢測項目的保密和知識產(chǎn)權(quán)保護要求，在合同中（或簽訂專門的協(xié)議） 應予明確、充分規(guī)定。 2)對檢測項目結(jié)束后如何處置檢測對象應予以規(guī)定。 

7.2方法的選擇、驗證和確認 7.2.1.3實驗室應確保測試使用的檢測樣本集（如病毒樣本庫、網(wǎng)