CNAS-CL08-A001：2018《司法鑒定法庭科學(xué)機構(gòu)能力認(rèn)可準(zhǔn)則在電子數(shù)據(jù)鑒定領(lǐng)域的應(yīng)用說明》

1、CNAS-CL08-A001司法鑒定/法庭科學(xué)機構(gòu)能力認(rèn)可準(zhǔn)則在電子數(shù)據(jù)鑒定領(lǐng)域的應(yīng)用說明Guidance on the Application of Accreditation Criteria for the Competence of Forensic Units in the Field of Digital Forensics中國合格評定國家認(rèn)可委員會2018 年 4 月 18 日 發(fā)布2018 年 9 月 1 日 實施CNAS-CL08-A001:2018第 6 頁 共 6 頁前言電子數(shù)據(jù)鑒定是中國合格評定國家認(rèn)可委員會（英文縮寫：CNAS）對司法鑒定/法庭科學(xué)機構(gòu)（以下簡稱鑒定機

2、構(gòu)）的認(rèn)可領(lǐng)域之一。電子數(shù)據(jù)鑒定是指在訴訟活動中鑒定人運用計算機科學(xué)與相關(guān)技術(shù)，對訴訟中涉及的電子數(shù)據(jù)領(lǐng)域的問題進(jìn)行檢測、檢驗、鑒別和判斷并提供鑒定意見的活動。本應(yīng)用說明是 CNAS 根據(jù)電子數(shù)據(jù)鑒定領(lǐng)域的特性而對 CNAS-CL08:2018司法鑒定/法庭科學(xué)機構(gòu)能力認(rèn)可準(zhǔn)則所作的進(jìn)一步說明，并不增加或減少該準(zhǔn)則的要求。因此，本應(yīng)用說明采用針對 CNAS-CL08:2018司法鑒定/法庭科學(xué)機構(gòu)能力認(rèn)可準(zhǔn)則的具體條款提出應(yīng)用說明的編排方式，故章節(jié)號是不連續(xù)的。本應(yīng)用說明應(yīng)與 CNAS-CL08:2018司法鑒定/法庭科學(xué)機構(gòu)能力認(rèn)可準(zhǔn)則同時使用。本應(yīng)用說明替代 CNAS-CL27:2014司

3、法鑒定/法庭科學(xué)機構(gòu)能力認(rèn)可準(zhǔn)則在電子物證鑒定領(lǐng)域的應(yīng)用說明。2018 年 4 月 18 日 發(fā)布2018 年 9 月 1 日 實施司法鑒定/法庭科學(xué)機構(gòu)能力認(rèn)可準(zhǔn)則在電子數(shù)據(jù)鑒定領(lǐng)域的應(yīng)用說明1 范圍本應(yīng)用說明適用于 CNAS 對所有從事電子數(shù)據(jù)鑒定活動的鑒定機構(gòu)的認(rèn)可。2 規(guī)范性引用文件本應(yīng)用說明主要參考和引用了 CNAS-CL08:2018司法鑒定/法庭科學(xué)機構(gòu)能力認(rèn)可準(zhǔn)則的相關(guān)內(nèi)容。3 術(shù)語和定義本應(yīng)用說明使用 CNAS-CL08:2018司法鑒定/法庭科學(xué)機構(gòu)能力認(rèn)可準(zhǔn)則中給出的相關(guān)術(shù)語和定義?？紤]到電子數(shù)據(jù)鑒定專業(yè)的特殊性，故采用以下術(shù)語和定義來描述所鑒定的檢材/樣本：存儲介質(zhì)是指

4、具備數(shù)據(jù)信息存儲功能的電子設(shè)備、硬盤、光盤、優(yōu)盤、記憶棒、存儲卡、存儲芯片等載體。原始存儲介質(zhì)是指直接來源于案件客觀事實的存儲介質(zhì)。電子數(shù)據(jù)是指在案件發(fā)生過程中形成的，以數(shù)字化形式存儲、處理、傳輸?shù)模?能夠證明案件事實的數(shù)據(jù)。4 通用要求4.1 公正性4.2 保密性4.3 獨立性5 結(jié)構(gòu)要求6 資源要求6.1 總則6.2 人員6.2.2 授權(quán)簽字人應(yīng)獲得電子數(shù)據(jù)鑒定領(lǐng)域鑒定人資格證書后在本領(lǐng)域鑒定工作 2 年（含）以上（或依法從事電子數(shù)據(jù)收集提取和審查判斷工作 7 年以上），并具有本專業(yè)中級及以上職稱。6.2.7 鑒定機構(gòu)應(yīng)根據(jù)人員崗位制定培訓(xùn)計劃，培訓(xùn)內(nèi)容至少應(yīng)包括（但不限于）：鑒定方法、相

5、關(guān)設(shè)備的操作；電子設(shè)備的安全保護(hù)；出庭質(zhì)證；電子數(shù)據(jù)相關(guān)新技術(shù)、法律法規(guī)。在以下情況時，鑒定機構(gòu)需對相關(guān)鑒定人員進(jìn)行重新培訓(xùn)：從事新的電子數(shù)據(jù)鑒定崗位工作；離開鑒定崗位時間超過 1 年；鑒定方法、關(guān)鍵設(shè)備發(fā)生變化。對培訓(xùn)活動的有效性驗證的方式包括（但不限于）：能力驗證結(jié)果；內(nèi)部質(zhì)量控制結(jié)果；內(nèi)外部審核；不符合工作的識別；利益相關(guān)方的投訴；人員監(jiān)督評價和考核。6.2.8 鑒定機構(gòu)應(yīng)由熟悉本專業(yè)的鑒定方法、程序、目的和結(jié)果評價的監(jiān)督員，每 2 年對鑒定人以及參與鑒定工作的人員進(jìn)行至少一次現(xiàn)場見證。結(jié)合工作崗位，見證內(nèi)容應(yīng)涉及設(shè)備操作、電子數(shù)據(jù)完整性校驗值計算、結(jié)果的分析判斷等關(guān)鍵技術(shù)環(huán)節(jié)。6.3

6、設(shè)施和環(huán)境條件6.3.1 鑒定機構(gòu)應(yīng)考慮電子數(shù)據(jù)鑒定中不同鑒定項目對設(shè)施和環(huán)境的要求。鑒定區(qū)域應(yīng)采取防磁、防靜電和不間斷供電等措施；對手機等具有無線通信功能的檢材/樣本的鑒定，應(yīng)在信號屏蔽或信號阻斷的環(huán)境中進(jìn)行。鑒定機構(gòu)應(yīng)具備保護(hù)其信息網(wǎng)絡(luò)安全的措施，包括防范計算機病毒等惡意代碼、防范網(wǎng)絡(luò)入侵和防范數(shù)據(jù)泄露等。在特殊情況下（如惡意代碼鑒定、手機等具有無線通信功能的原始存儲介質(zhì)聯(lián)網(wǎng)驗證時），可能需要關(guān)閉殺毒軟件等安全措施或者進(jìn)行無線網(wǎng)絡(luò)連接，此時鑒定機構(gòu)應(yīng)評估安全風(fēng)險，采取相應(yīng)的措施，并保存相應(yīng)記錄。6.3.4 應(yīng)實施、監(jiān)控并定期評審設(shè)施的控制措施，這些措施應(yīng)涉及但不限于：a) 鑒定機構(gòu)的辦公區(qū)

7、域與鑒定區(qū)域應(yīng)進(jìn)行有效的隔離；d) 當(dāng)鑒定活動對人身健康有危害時，應(yīng)配備保障人身安全的設(shè)施和防護(hù)裝備。6.4 設(shè)備6.4.4 對鑒定結(jié)果有效性有影響的鑒定設(shè)備版本或配置發(fā)生改變時，應(yīng)重新進(jìn)行功能核查。核查的措施可包括：對同一檢材/樣本進(jìn)行重復(fù)鑒定，審查鑒定結(jié)果的可復(fù)現(xiàn)性；將核查結(jié)論與另一個鑒定機構(gòu)的核查結(jié)論進(jìn)行比對；將核查結(jié)論與預(yù)期結(jié)果進(jìn)行比對，列出已知的缺陷。6.4.13 對鑒定結(jié)果有影響的電子數(shù)據(jù)鑒定設(shè)備的記錄，除準(zhǔn)則中所列內(nèi)容之外，還應(yīng)包括：設(shè)備核查的記錄；設(shè)備的配置情況；軟件的名稱和升級后的版本號。6.5 計量溯源性6.6 外部提供的產(chǎn)品和服務(wù)6.6.2 c) 對于涉及內(nèi)網(wǎng)、敏感終端、

8、服務(wù)器、大數(shù)據(jù)的外部技術(shù)支持或服務(wù)，應(yīng)當(dāng)制定相關(guān)的保密措施。7 過程要求7.1 委托受理7.1.1 i) 在接收原始存儲介質(zhì)時，應(yīng)當(dāng)檢查原始存儲介質(zhì)的相關(guān)信息，必要時，查閱封存記錄；具有無線通信功能的，應(yīng)當(dāng)檢查是否采取了信號屏蔽、信號阻斷或者切斷電源等措施；在接收電子數(shù)據(jù)時，應(yīng)計算、核查電子數(shù)據(jù)的完整性校驗值，必要時，核查提取電子數(shù)據(jù)過程的記錄；注 3：適用時，應(yīng)對原始存儲介質(zhì)的拆封過程和重新封存過程進(jìn)行錄像。注 4：準(zhǔn)則中相關(guān)信息是指原始存儲介質(zhì)的封存狀態(tài)、其是否完好、唯一性標(biāo)識等信息。j) 因鑒定活動可能對原始存儲介質(zhì)造成損壞或改變的，應(yīng)向委托方說明并進(jìn)行書面確認(rèn)。7.2 方法的選擇、驗證

9、和確認(rèn)7.3 抽樣/取樣7.3.5 當(dāng)鑒定工作涉及現(xiàn)場取樣時，應(yīng)記錄取樣人及取樣的時間、地點、設(shè)施和聯(lián)網(wǎng)狀況等信息。7.4 檢材/樣本的處置7.4.1 鑒定機構(gòu)應(yīng)制定檢材/樣本的處置程序，保證檢材/樣本的完整性，包括：計算、核查電子數(shù)據(jù)的完整性校驗值，并進(jìn)行備份；適用時，應(yīng)通過寫保護(hù)設(shè)備對檢材/樣本進(jìn)行鑒定；適用時，應(yīng)對檢材/樣本制作電子數(shù)據(jù)備份，對備份文件進(jìn)行檢驗；無法使用寫保護(hù)設(shè)備且無法制作備份時，應(yīng)盡可能減少對檢材/樣本中的電子數(shù)據(jù)造成改變；如不可避免對檢材/樣本中的電子數(shù)據(jù)造成影響鑒定結(jié)果的改變， 應(yīng)征得客戶的同意，書面注明原因，記錄操作過程并對操作過程進(jìn)行錄像。7.4.4 鑒定機構(gòu)應(yīng)

10、有專門防磁、防靜電存儲措施以保護(hù)檢材/樣本。7.5 記錄/檔案7.5.1 電子數(shù)據(jù)鑒定記錄應(yīng)能夠追溯到鑒定人員的操作過程和鑒定方法，應(yīng)能夠支持當(dāng)鑒定人不在時其他鑒定人可以評估鑒定過程并解釋這些數(shù)據(jù)。應(yīng)記錄所有使用的關(guān)鍵設(shè)備的操作參數(shù)，包括方法中未指定的參數(shù)；應(yīng)記錄檢出數(shù)據(jù)的完整性校驗值。當(dāng)出現(xiàn)異常數(shù)據(jù)時（如硬盤壞道等存儲介質(zhì)故障、超過方法可接受的范圍）， 應(yīng)記錄原因。7.5.4 當(dāng)使用電子數(shù)據(jù)鑒定設(shè)備實時生成的電子日志作為原始記錄時，電子日志應(yīng)滿足準(zhǔn)則中技術(shù)記錄、數(shù)據(jù)控制和信息管理等有關(guān)要求。7.6 測量不確定度的評定7.7 確保結(jié)果的有效性7.7.1 鑒定機構(gòu)的質(zhì)量控制活動應(yīng)優(yōu)先考慮以下方式

11、：不同人員對同一檢材/樣本進(jìn)行檢驗；不同廠商同類型設(shè)備對同一檢材/樣本進(jìn)行檢驗。當(dāng)鑒定機構(gòu)持續(xù) 1 個月未開展鑒定活動時，電子數(shù)據(jù)鑒定機構(gòu)應(yīng)實施至少一次監(jiān)控鑒定結(jié)果有效性的活動。7.7.2 在認(rèn)可證書有效期內(nèi)，鑒定機構(gòu)參加能力驗證活動應(yīng)覆蓋認(rèn)可能力范圍內(nèi)的鑒定項目/參數(shù)，對于無法獲得能力驗證的項目/參數(shù)，至少進(jìn)行一次實驗室間比對。7.8 鑒定文書7.8.1 總則7.8.1.2 當(dāng)鑒定機構(gòu)以硬拷貝或電子數(shù)據(jù)傳輸?shù)姆绞桨l(fā)布鑒定文書時，應(yīng)采取措施保證鑒定文書的完整性。必要時，采用加密方式傳輸。7.8.2 鑒定文書的通用要求7.8.2.1 電子數(shù)據(jù)鑒定文書的格式和包含的信息應(yīng)符合法規(guī)或行業(yè)所規(guī)定的要求。鑒定文書的信息除準(zhǔn)則所列內(nèi)容外，還應(yīng)滿足：g) 原始存儲介質(zhì)的描述應(yīng)包括原始存儲介質(zhì)的封存狀況、異常狀態(tài)；適用時， 應(yīng)核查電子數(shù)據(jù)的完整性校驗值。h) 適用時，應(yīng)提供取樣人及取樣的時間、地點；m) 鑒定結(jié)果中應(yīng)包括檢出數(shù)據(jù)的完整性校驗值；q) 鑒定設(shè)備的信息（含版本號）。7.9 投訴7.10 不符合工作7.11 數(shù)據(jù)控制和信息管理7.11.6 適用時，應(yīng)通過比對電子數(shù)據(jù)完整性校驗值對數(shù)據(jù)轉(zhuǎn)移進(jìn)行核查。8 管理體系要求8.1 方式8.2 管理體系文件化（方式 A）8.3 管理