南京邦道企業(yè)管理咨詢有限公司

6.2.2實(shí)驗(yàn)室在制定影響實(shí)驗(yàn)室活動結(jié)果的各崗位的能力要求時，應(yīng)考慮以下要 求： a)校準(zhǔn)人員、校核人員、授權(quán)簽字人等關(guān)鍵技術(shù)人員應(yīng)具備所從事校準(zhǔn)項(xiàng) 目或?qū)I(yè)相關(guān)的技術(shù)知識和技能，包括但不限于以下方面： 1）了解測量標(biāo)準(zhǔn)以及被校設(shè)備的工作原理； 2）熟悉測量標(biāo)準(zhǔn)和被校設(shè)備的使用方法； 3）掌握校準(zhǔn)方法涉及的測量原理； 4）掌握測量結(jié)果相關(guān)的數(shù)據(jù)處理，能夠正確應(yīng)用和報(bào)告測量不確定度； 5）能夠正確使用規(guī)范的計(jì)量學(xué)名詞術(shù)語和計(jì)量單位。 b)校準(zhǔn)人員的培訓(xùn)應(yīng)至少包含計(jì)量基礎(chǔ)知識、專業(yè)技術(shù)知識、操作技能培 訓(xùn)三部分。

培訓(xùn)應(yīng)由具備資質(zhì)或能力的機(jī)構(gòu)或人員實(shí)施。 6.3設(shè)施和環(huán)境條件 6.3.1校準(zhǔn)實(shí)驗(yàn)室的設(shè)施和環(huán)境條件應(yīng)滿足相關(guān)校準(zhǔn)方法和程序的要求。 6.3.3當(dāng)相關(guān)校準(zhǔn)規(guī)范、方法或程序?qū)Νh(huán)境條件有要求時，或環(huán)境條件影響結(jié)果 的有效性時，實(shí)驗(yàn)室應(yīng)監(jiān)測、控制和記錄環(huán)境條件。

尤其是溫度、濕度、振動、 供電、電磁干擾、噪聲、灰塵等影響因素。對于準(zhǔn)確度要求較高的校準(zhǔn)活動，或 相關(guān)校準(zhǔn)方法或程序有要求時，實(shí)驗(yàn)室應(yīng)： a)對于靈敏度較高的儀器，應(yīng)該隔離可能影響校準(zhǔn)結(jié)果的機(jī)械振動和沖擊

6.5.3對于新的或發(fā)生了重大變化的無法進(jìn)行外部溯源的方法和測試工具，實(shí)驗(yàn) 室應(yīng)采取措施檢查測試方法和測試工具的有效性，檢查措施可包括： a)適用時，對特定的信息安全產(chǎn)品樣例進(jìn)行檢測，審查信息安全產(chǎn)品樣例 預(yù)埋問題的復(fù)現(xiàn)情況，確認(rèn)其偏差。 b)適用時，應(yīng)溯源到權(quán)威的測試集規(guī)范或其它有關(guān)的權(quán)威標(biāo)準(zhǔn)或規(guī)范。 

7過程要求 7.1要求、標(biāo)書和合同的評審 7.1.1a)實(shí)驗(yàn)室合同評審為簽訂信息安全檢測合同而進(jìn)行評審的政策和程序應(yīng) 包括： 1)對檢測項(xiàng)目的保密和知識產(chǎn)權(quán)保護(hù)要求，在合同中（或簽訂專門的協(xié)議） 應(yīng)予明確、充分規(guī)定。 2)對檢測項(xiàng)目結(jié)束后如何處置檢測對象應(yīng)予以規(guī)定。 

7.2方法的選擇、驗(yàn)證和確認(rèn) 7.2.1.3實(shí)驗(yàn)室應(yīng)確保測試使用的檢測樣本集（如病毒樣本庫、網(wǎng)絡(luò)攻擊數(shù)據(jù)包、 漏洞庫等）為最新版本。

7.4檢測或校準(zhǔn)物品的處置 

7.4.1實(shí)驗(yàn)室應(yīng)向客戶提供充分的保證，確保測試工具或測試集不會將病毒或其 他損壞因素引入到屬于客戶的硬件或軟件中。檢測完成后，實(shí)驗(yàn)室應(yīng)按合同要求 處置被測樣品，并保留記錄。 

7.4.3在接收檢測樣品時，實(shí)驗(yàn)室應(yīng)對檢測對象進(jìn)行病毒檢查并記錄結(jié)果。 

7.5技術(shù)記錄 7.5.1檢測記錄應(yīng)能夠追溯到檢測人員的操作和工作方法及檢測環(huán)境，應(yīng)詳細(xì)記 錄檢測環(huán)境配置（硬件和軟件）、參數(shù)設(shè)置等信息，確保該檢測在盡可能接近原 條件的情況下能夠重復(fù)。當(dāng)被測對象包括軟件時，實(shí)驗(yàn)室應(yīng)建立配置管理的程序， 確保測試記錄與被測對象的一致性。 

7.5.2實(shí)驗(yàn)室應(yīng)有措施保持同一技術(shù)記錄的不同形態(tài)的內(nèi)容修改、版本控制的一 致性。 

7.7確保結(jié)果的有效性 7.7.1實(shí)驗(yàn)室制定有效的質(zhì)量監(jiān)控方案還應(yīng)包括： a)由同一檢測人員對被測對象進(jìn)行重復(fù)檢測； b)由不同的檢測人員使用相同方法對同一被測對象進(jìn)行檢測； c)使用不同的檢測方法（技術(shù)）或同一類型的不同儀器或工具對同一被測對 象進(jìn)行檢測。 

實(shí)驗(yàn)室應(yīng)保存監(jiān)控活動的記錄，包括對比對測試結(jié)果的評價(jià)。 7.8報(bào)告結(jié)果 7.8.1總則 7.8.1.2實(shí)驗(yàn)室以電子方式傳輸?shù)臋z測報(bào)告應(yīng)使用加密方式傳輸，以確保檢測報(bào) 告的完整和保密。 

7.11數(shù)據(jù)控制和信息管理 7.11.3實(shí)驗(yàn)室應(yīng)建立數(shù)據(jù)（尤其是涉及到客戶敏感數(shù)據(jù)、知識產(chǎn)權(quán)、安全缺陷 等的檢測數(shù)據(jù)、電子和紙質(zhì)記錄以及其他的材料）保護(hù)程序，以防止非授權(quán)人員 的訪問。當(dāng)檢測結(jié)束后，實(shí)驗(yàn)室應(yīng)妥善刪除檢測過程中在被測對象上生成的測試 數(shù)據(jù)（如：端口、策略、賬號、口令等）。 

注：納入配置管理的電子版軟件測試技術(shù)文檔，可通過文檔修改表記錄版本 號、修改內(nèi)容、日期、修改人、審核人等信息的方式保持不同介質(zhì)實(shí)物資料版本 的一致；

納入受控管理的其他技術(shù)記錄，可通過適合不同介質(zhì)的加注方式記錄修 改內(nèi)容、日期、修改人、審核人等信息

8.7.1b)信息安全檢測活動產(chǎn)生問題的原因還可能是：惡意代碼、檢測操作順序、 軟件版本、參數(shù)設(shè)置、漏洞庫、攻擊特征庫等。

c)防止陽光直射的措施，如遮光布、附加的墻壁； d)按照相關(guān)規(guī)范、校準(zhǔn)方法和程序等規(guī)定的溫度和濕度范圍進(jìn)行控制，如 20°C±1°C，35%RH～70%RH； e)對廢氣予以適當(dāng)?shù)目刂?，如?qiáng)制排風(fēng)或回收裝置，防止其對設(shè)備的不利 影響，如對開關(guān)觸點(diǎn)的腐蝕； f)電磁干擾的隔離。

對于無線電測量，以及一些精密電子儀器的校準(zhǔn)，對電 磁干擾進(jìn)行適當(dāng)?shù)钠帘问潜匾模? g)對電源附加穩(wěn)壓或?yàn)V波裝置，確保提供波形純凈、電壓穩(wěn)定的電源供應(yīng)； h)為保證對灰塵、溫度、通風(fēng)等環(huán)境條件滿足要求，可能需要制定專門的 內(nèi)務(wù)要求。 注：實(shí)驗(yàn)室制定的校準(zhǔn)方法，應(yīng)根據(jù)需要對上述（但不限于）環(huán)境條件對校 準(zhǔn)結(jié)果質(zhì)量的影響進(jìn)行評估。

 6.4設(shè)備 6.4.1校準(zhǔn)用的主要設(shè)備（如測量標(biāo)準(zhǔn)、參考標(biāo)準(zhǔn)和標(biāo)準(zhǔn)物質(zhì)）應(yīng)是實(shí)驗(yàn)室自有 設(shè)備或長期租賃設(shè)備，不應(yīng)使用永久控制以外的設(shè)備，如臨時租賃或由客戶等提 供的設(shè)備。 

6.4.5實(shí)驗(yàn)室使用的測量標(biāo)準(zhǔn)的測量不確定度（或準(zhǔn)確度等級、最大允許誤差） 應(yīng)滿足校準(zhǔn)方法（如檢定規(guī)程或校準(zhǔn)規(guī)范）和國家溯源等級圖（國家檢定系統(tǒng)表） 等的要求，當(dāng)沒有相關(guān)規(guī)定時，其與被校設(shè)備的測量不確定度（或最大允許誤差） 之比應(yīng)小于或等于1/3。 

注：某些專業(yè)可能無法滿足測量標(biāo)準(zhǔn)與被校設(shè)備測量不確定度（或最大允許 誤差）之比小于或等于1/3，實(shí)驗(yàn)室應(yīng)能夠提供相關(guān)技術(shù)證明材料（如相關(guān)文獻(xiàn)）， 證明其測量標(biāo)準(zhǔn)配置的合理性