GB/T 35280-2017信息安全技術(shù)信息技術(shù)產(chǎn)品安全檢測機構(gòu)條件和行為準則

ICS35040

L80.

中華人民共和國國家標準

GB/T35280—2017

信息安全技術(shù)信息技術(shù)產(chǎn)品安全

檢測機構(gòu)條件和行為準則

Informationsecuritytechnology—Requirementandcodeofconductfor

securitytestingbodiesofinformationtechnologyproducts

2017-12-29發(fā)布2018-07-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T35280—2017

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

基本要求

4…………………2

行政管理要求

4.1………………………2

能力要求

4.2……………2

資源要求

5…………………2

人員

5.1…………………2

設施和環(huán)境

5.2…………………………3

設備

5.3…………………3

外部提供的產(chǎn)品和服務

5.4……………4

過程要求

6…………………4

要求標書和合同的評審

6.1、……………4

方法選擇和確認

6.2……………………4

抽樣

6.3…………………5

檢測樣品的處置

6.4……………………5

技術(shù)記錄

6.5……………5

檢測結(jié)果質(zhì)量的保證

6.6………………5

結(jié)果報告

6.7……………6

投訴

6.8…………………6

不符合檢測工作的控制

6.9……………6

數(shù)據(jù)和信息的管理

6.10…………………6

管理體系要求

7……………7

行為準則

8…………………7

參考文獻

………………………9

Ⅰ

GB/T35280—2017

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術(shù)標準化研究院中國信息安全測評中心中國信息安全研究院有限

:、、

公司北京信息安全測評中心國家信息技術(shù)安全研究中心公安部第三研究所國家保密科技測評中

、、、、

心國家應用軟件產(chǎn)品質(zhì)量監(jiān)督檢驗中心中國信息安全認證中心中國電子科技集團公司第十五研究

、、、

所信息產(chǎn)業(yè)信息安全測評中心中國科學院軟件研究所陜西省網(wǎng)絡與信息安全測評中心西安電子

()、、、

科技大學重慶郵電大學華東師范大學國網(wǎng)江蘇省電力公司電力科學研究院

、、、。

本標準主要起草人范科峰王惠蒞龔潔中李琳任澤君王春佳楊晨顧健楊宏寧王坤

:、、、、、、、、、、

董晶晶李鳳娟張寶峰時志偉魏方方甘杰夫劉玉嶺賀海馬文平楊帆裴慶琪楊力黃永洪

、、、、、、、、、、、、、

何道敬劉虹黃偉

、、。

Ⅲ

GB/T35280—2017

引言

為保障關鍵信息基礎設施網(wǎng)絡安全消減因為大量使用的信息技術(shù)產(chǎn)品可能給設施引入的安全缺

,

陷漏洞惡意程序等潛在的安全風險需要通過對信息技術(shù)產(chǎn)品安全檢測提高信息技術(shù)產(chǎn)品供應方產(chǎn)

、、,,

品的安全保障能力

。

同時為加強信息技術(shù)產(chǎn)品安全檢測機構(gòu)管理規(guī)范信息技術(shù)產(chǎn)品安全檢測機構(gòu)行為保障檢測活動

,,

的公正可信性以及安全檢測機構(gòu)的能力水平促使信息技術(shù)產(chǎn)品供應方提高產(chǎn)品的安全保障能力保障

,,

國家關鍵信息基礎設施安全制定本標準

,。

Ⅳ

GB/T35280—2017

信息安全技術(shù)信息技術(shù)產(chǎn)品安全

檢測機構(gòu)條件和行為準則

1范圍

本標準規(guī)定了信息技術(shù)產(chǎn)品安全檢測機構(gòu)應具備的條件以及應遵守的行為準則

。

本標準適用于從事信息技術(shù)產(chǎn)品安全性檢測的第三方機構(gòu)可為相關主管部門信息技術(shù)產(chǎn)品供應

,、

方和用戶選擇第三方檢測機構(gòu)提供參考

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069—2010

合格評定詞匯和通用原則

GB/T27000—2006

檢測和校準實驗室能力的通用要求

GB/T27025

信息安全技術(shù)信息技術(shù)產(chǎn)品供應方行為安全準則

GB/T32921—2016

3術(shù)語和定義

和界定的以及下列術(shù)語和定義適用

GB/T25069—2010、GB/T27000—2006GB/T32921—2016

于本文件為了便于使用以下重復列出了中的一些術(shù)語和定義

。,GB/T32921—2016。

31

.

信息技術(shù)產(chǎn)品informationtechnologyproduct

具有采集存儲處理傳輸控制交換顯示數(shù)據(jù)或信息功能的硬件軟件系統(tǒng)和服務

、、、、、、、、。

注信息技術(shù)產(chǎn)品包括計算機及其輔助設備通信設備網(wǎng)絡設備自動控制設備操作系統(tǒng)數(shù)據(jù)庫應用軟件與服

:、、、、、、

務等