《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全檢測(cè)機(jī)構(gòu)條件和行為準(zhǔn)則-編制說(shuō)明》

一、工作簡(jiǎn)況

1.1任務(wù)來(lái)源

為加強(qiáng)信息技術(shù)產(chǎn)品安全檢測(cè)機(jī)構(gòu)管理，規(guī)范信息技術(shù)產(chǎn)品安全檢測(cè)機(jī)構(gòu)行

為，保障檢測(cè)活動(dòng)的公正可信和安全檢測(cè)機(jī)構(gòu)的安全檢測(cè)能力，從而促使信息技

術(shù)產(chǎn)品供應(yīng)方提高產(chǎn)品的安全保障能力，保障國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全，配合

我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全管理工作以及國(guó)家網(wǎng)絡(luò)安全審查工作，全國(guó)信息安全

標(biāo)準(zhǔn)化技術(shù)委員會(huì)于2013年立項(xiàng)《信息安全技術(shù)信息技術(shù)產(chǎn)品安全檢測(cè)機(jī)構(gòu)條

件和行為準(zhǔn)則》國(guó)家標(biāo)準(zhǔn)。

《信息安全技術(shù)信息技術(shù)產(chǎn)品安全檢測(cè)機(jī)構(gòu)條件和行為準(zhǔn)則》（計(jì)劃編號(hào)：

20141146-T-469）由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院牽頭，中國(guó)信息安全測(cè)評(píng)中心、

國(guó)家信息技術(shù)安全研究中心、中國(guó)信息安全研究院有限公司、北京信息安全測(cè)評(píng)

中心、國(guó)家保密科技測(cè)評(píng)中心、國(guó)家應(yīng)用軟件產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、公安部計(jì)

算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督中心、中國(guó)信息安全認(rèn)證中心、信息產(chǎn)業(yè)信息安

全測(cè)評(píng)中心、陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心、西安電子科技大學(xué)、重慶郵電大

學(xué)等單位共同參與起草。

1.2主要工作過(guò)程

1）2014年10月，成立標(biāo)準(zhǔn)編制組

考慮到信息技術(shù)產(chǎn)品安全檢測(cè)機(jī)構(gòu)的現(xiàn)狀，標(biāo)準(zhǔn)編制組廣泛吸收了國(guó)內(nèi)的安

全檢測(cè)機(jī)構(gòu)、研究機(jī)構(gòu)、質(zhì)檢機(jī)構(gòu)參與到標(biāo)準(zhǔn)研制工作，成立標(biāo)準(zhǔn)編制組。

2）2014年11月，調(diào)研國(guó)內(nèi)外檢測(cè)機(jī)構(gòu)相關(guān)標(biāo)準(zhǔn)現(xiàn)狀

研究現(xiàn)有國(guó)內(nèi)外檢測(cè)機(jī)構(gòu)相關(guān)標(biāo)準(zhǔn)，分析各自特點(diǎn)，學(xué)習(xí)借鑒，主要包括：

ISO/IEC17025檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室認(rèn)可準(zhǔn)則

NIST-HB-150-20-2013NISTHANDBOOK150-20CHECKLISTCOMMON

CRITERIATESTING

GB/T27025-2008檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力的通用要求

CNAS-CL46：2013《檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力認(rèn)可準(zhǔn)則在信息安全檢測(cè)領(lǐng)域

的應(yīng)用說(shuō)明》

3）2015年1月，召開(kāi)標(biāo)準(zhǔn)啟動(dòng)會(huì)，確定標(biāo)準(zhǔn)范圍和框架

1

2015年1月編制組召開(kāi)標(biāo)準(zhǔn)啟動(dòng)會(huì)，與參與單位共同討論，明確了標(biāo)準(zhǔn)的適

用范圍和草案框架。

4）2015年2月-2016年3月，修改完善標(biāo)準(zhǔn)草案，召開(kāi)標(biāo)準(zhǔn)草案研討會(huì)

編制組在研究我國(guó)已有檢測(cè)機(jī)構(gòu)相關(guān)規(guī)定和國(guó)內(nèi)外標(biāo)準(zhǔn)基礎(chǔ)上，結(jié)合我國(guó)工

作需要及檢測(cè)機(jī)構(gòu)實(shí)際情況，多次召開(kāi)標(biāo)準(zhǔn)編制組會(huì)議，并陸續(xù)征求了相關(guān)專家

對(duì)標(biāo)準(zhǔn)草案的意見(jiàn)，對(duì)標(biāo)準(zhǔn)草案進(jìn)行修改和完善。

5）2016年5月-9月，修改完善標(biāo)準(zhǔn)草案，召開(kāi)標(biāo)準(zhǔn)草案審查會(huì)，在WG7

征集意見(jiàn)

2016年5月11日，在北京組織有關(guān)專家召開(kāi)標(biāo)準(zhǔn)草案審查會(huì)，會(huì)議專家同

意形成征求意見(jiàn)稿。會(huì)后標(biāo)準(zhǔn)編制組根據(jù)專家意見(jiàn)進(jìn)行了修改完善，形成新一版

標(biāo)準(zhǔn)草案。2016年8月，在WG7范圍內(nèi)征集成員單位對(duì)該標(biāo)準(zhǔn)的意見(jiàn)，編制組

根據(jù)反饋意見(jiàn)修改完善。

6）2016年10月，在全國(guó)信安標(biāo)委第二次會(huì)議周上，WG7成員單位討論，會(huì)

后修改形成征求意見(jiàn)稿初稿。

2016年10月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處在成都組織召開(kāi)了

2016年第二次會(huì)議周。在會(huì)議周上，標(biāo)準(zhǔn)編制組與WG7成員單位就標(biāo)準(zhǔn)草案進(jìn)

行了討論，聽(tīng)取了與會(huì)專家的意見(jiàn)。本次會(huì)議周形成會(huì)議決議，該標(biāo)準(zhǔn)修改完善

后形成征求意見(jiàn)稿初稿。

7）2016年12月，在全國(guó)信安標(biāo)委WG7專家審查會(huì)，會(huì)后修改形成征求意

見(jiàn)稿。

2016年12月22日，信安標(biāo)委WG7組織了國(guó)家標(biāo)準(zhǔn)征求意見(jiàn)稿專家審查會(huì)，

與會(huì)專家對(duì)征求意見(jiàn)稿初稿進(jìn)行審查并提出修改意見(jiàn)。會(huì)后，標(biāo)準(zhǔn)編制組按照與

會(huì)專家意見(jiàn)修改完善，形成征求意見(jiàn)稿。

二、編制原則和主要內(nèi)容

2.1編制原則

本標(biāo)準(zhǔn)的研究與編制工作遵循以下原則：

一是充分吸收已有檢測(cè)機(jī)構(gòu)相關(guān)標(biāo)準(zhǔn)。《條件和行為準(zhǔn)則》充分參考了國(guó)際、

國(guó)內(nèi)有關(guān)檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室以及安全測(cè)評(píng)機(jī)構(gòu)的條件和行為規(guī)范。標(biāo)準(zhǔn)參考了正

在修訂的ISO/IEC17025的DIS版本，并針對(duì)GB/T27025-2008以及《檢測(cè)和校準(zhǔn)

2

實(shí)驗(yàn)室能力認(rèn)可準(zhǔn)則在信息安全檢測(cè)領(lǐng)域的應(yīng)用說(shuō)明》中沒(méi)有涉及到的對(duì)檢測(cè)機(jī)

構(gòu)的要求，進(jìn)行了補(bǔ)充。

二是考慮可操作性和實(shí)用性。為了確保標(biāo)準(zhǔn)的可操作性和實(shí)用性，標(biāo)準(zhǔn)編制

從兩方面著手，一方面標(biāo)準(zhǔn)編制組廣泛吸收了國(guó)內(nèi)多家檢測(cè)機(jī)構(gòu)的人員作為標(biāo)準(zhǔn)

編制組成員；另一方面標(biāo)準(zhǔn)制定過(guò)程中，也不斷地借鑒國(guó)外實(shí)驗(yàn)室的安全行為規(guī)

范要求標(biāo)準(zhǔn)來(lái)擴(kuò)充標(biāo)準(zhǔn)的內(nèi)容，為標(biāo)準(zhǔn)合理性和可操作性提供支撐。

2.2主要內(nèi)容

本標(biāo)準(zhǔn)從管理和技術(shù)的角度，規(guī)范了檢測(cè)機(jī)構(gòu)在測(cè)試信息技術(shù)產(chǎn)品安全時(shí)，

應(yīng)具備的條件以及遵守的安全行為規(guī)范。

本標(biāo)準(zhǔn)規(guī)定了信息技術(shù)產(chǎn)品安全檢測(cè)機(jī)構(gòu)在檢測(cè)信息技術(shù)產(chǎn)品的安全性時(shí)，

應(yīng)具備的條件以及應(yīng)遵守的行為準(zhǔn)則。

本準(zhǔn)則適用于所有從事信息技術(shù)產(chǎn)品安全性檢測(cè)的第三方機(jī)構(gòu)，可為相關(guān)主

管部門、信息技術(shù)產(chǎn)品供應(yīng)方和用戶選擇第三方檢測(cè)機(jī)構(gòu)提供參考。

檢測(cè)機(jī)構(gòu)應(yīng)為一個(gè)法人實(shí)體，并建立符合GB/T27025-2008要求的管理體系。

檢測(cè)機(jī)構(gòu)應(yīng)檢測(cè)機(jī)構(gòu)應(yīng)具備信息技術(shù)產(chǎn)品安全性檢測(cè)的技術(shù)能力，信息技術(shù)產(chǎn)品

的安全性包括：保護(hù)、維持信息的保密性、完整性和可用性，也可包括真實(shí)性、

可核查性、抗抵賴性、可靠性等性質(zhì)；應(yīng)具備檢測(cè)并分析被測(cè)產(chǎn)品中是否存在惡

意程序、安全缺陷（漏洞）等的檢測(cè)技術(shù)能力；應(yīng)具備產(chǎn)品供應(yīng)鏈安全的檢測(cè)能

力，包括產(chǎn)品供應(yīng)鏈組件關(guān)系分析和安全檢測(cè)能力；應(yīng)具備信息技術(shù)產(chǎn)品安全風(fēng)

險(xiǎn)評(píng)估能力。檢測(cè)機(jī)構(gòu)應(yīng)遵守我國(guó)相關(guān)法律法規(guī)、公正透明的提供檢測(cè)服務(wù)、檢

測(cè)活動(dòng)應(yīng)誠(chéng)實(shí)守信、檢測(cè)結(jié)果應(yīng)可追溯可復(fù)現(xiàn)、開(kāi)展檢測(cè)活動(dòng)時(shí)應(yīng)遵循利益回避

的原則、對(duì)委托方信息安全保密、發(fā)生重大變更時(shí)及時(shí)報(bào)告。

三、主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果

無(wú)。

四、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國(guó)際、國(guó)外同類標(biāo)準(zhǔn)水平的

對(duì)比情況，或與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況

信息安全標(biāo)準(zhǔn)已經(jīng)成為網(wǎng)絡(luò)空間國(guó)際競(jìng)爭(zhēng)的戰(zhàn)略制高點(diǎn)。特別是，信息技術(shù)

產(chǎn)品安全檢測(cè)機(jī)構(gòu)標(biāo)準(zhǔn)及其背后的管理政策將會(huì)對(duì)信息基礎(chǔ)產(chǎn)業(yè)造成重大影響，

也將限制國(guó)外更多的信息技術(shù)產(chǎn)品滲透到我國(guó)敏感部門和重要行業(yè)，這種情況下，

3

我國(guó)提出了加強(qiáng)對(duì)信息技術(shù)產(chǎn)品安全檢測(cè)機(jī)構(gòu)的安全管理是保障國(guó)家安全和社

會(huì)公眾利益的重要舉措。開(kāi)展對(duì)信息技術(shù)產(chǎn)品安全檢測(cè)機(jī)構(gòu)管理，規(guī)范信息技術(shù)

產(chǎn)品安全檢測(cè)機(jī)構(gòu)行為，從而促使信息技術(shù)產(chǎn)品供應(yīng)方提高產(chǎn)品的安全保證能力，

是落實(shí)對(duì)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全管理的措施之一。因此，編制組在標(biāo)準(zhǔn)編制

過(guò)程中，分析研究了ISO/IEC17025和NIST的檢測(cè)機(jī)構(gòu)和實(shí)驗(yàn)室要求，參照我

國(guó)現(xiàn)有的相關(guān)標(biāo)準(zhǔn)和CNAS，以及國(guó)內(nèi)安全檢測(cè)機(jī)構(gòu)的現(xiàn)狀，綜合考慮制定了本

標(biāo)準(zhǔn)。

五、與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的關(guān)系

《信息技術(shù)產(chǎn)品安全檢測(cè)機(jī)構(gòu)條件和行為準(zhǔn)則》符合現(xiàn)有法律法規(guī)的要求。

《信息技術(shù)產(chǎn)品安全檢測(cè)機(jī)構(gòu)條件和行為準(zhǔn)則》與GB/T27025-2008《檢測(cè)

和校準(zhǔn)實(shí)驗(yàn)室能力的通用要求》不矛盾、不沖突。通用要求標(biāo)準(zhǔn)是針對(duì)所有的檢

測(cè)機(jī)構(gòu)和校準(zhǔn)實(shí)驗(yàn)室，沒(méi)有針對(duì)到安全檢測(cè)機(jī)構(gòu)的一些具體要求和規(guī)范。

六、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)

《條件和行為準(zhǔn)則》編制過(guò)程中未出現(xiàn)重大分歧。其他詳見(jiàn)意見(jiàn)匯總處理表。

七、國(guó)家標(biāo)準(zhǔn)作為強(qiáng)制性國(guó)家標(biāo)準(zhǔn)或推薦性國(guó)家標(biāo)準(zhǔn)的建議

建議《條件和行為準(zhǔn)則》作為推薦性國(guó)家標(biāo)準(zhǔn)發(fā)布實(shí)施。

八、貫徹國(guó)家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過(guò)渡辦法等

內(nèi)容）

《條件和行為準(zhǔn)則》通過(guò)對(duì)信息技術(shù)產(chǎn)品安全檢測(cè)機(jī)構(gòu)管理，規(guī)范信息技術(shù)

產(chǎn)品安全檢測(cè)機(jī)構(gòu)行為，從而促使信息技術(shù)產(chǎn)品供應(yīng)方提高產(chǎn)品的安全保證能力。

建議同《信息安全技術(shù)信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則》配套使用。

九