《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全檢測機(jī)構(gòu)條件和行為準(zhǔn)則-編制說明》

一、工作簡況

1.1任務(wù)來源

為加強(qiáng)信息技術(shù)產(chǎn)品安全檢測機(jī)構(gòu)管理，規(guī)范信息技術(shù)產(chǎn)品安全檢測機(jī)構(gòu)行

為，保障檢測活動的公正可信和安全檢測機(jī)構(gòu)的安全檢測能力，從而促使信息技

術(shù)產(chǎn)品供應(yīng)方提高產(chǎn)品的安全保障能力，保障國家關(guān)鍵信息基礎(chǔ)設(shè)施安全，配合

我國關(guān)鍵信息基礎(chǔ)設(shè)施安全管理工作以及國家網(wǎng)絡(luò)安全審查工作，全國信息安全

標(biāo)準(zhǔn)化技術(shù)委員會于2013年立項《信息安全技術(shù)信息技術(shù)產(chǎn)品安全檢測機(jī)構(gòu)條

件和行為準(zhǔn)則》國家標(biāo)準(zhǔn)。

《信息安全技術(shù)信息技術(shù)產(chǎn)品安全檢測機(jī)構(gòu)條件和行為準(zhǔn)則》（計劃編號：

20141146-T-469）由中國電子技術(shù)標(biāo)準(zhǔn)化研究院牽頭，中國信息安全測評中心、

國家信息技術(shù)安全研究中心、中國信息安全研究院有限公司、北京信息安全測評

中心、國家保密科技測評中心、國家應(yīng)用軟件產(chǎn)品質(zhì)量監(jiān)督檢驗中心、公安部計

算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督中心、中國信息安全認(rèn)證中心、信息產(chǎn)業(yè)信息安

全測評中心、陜西省網(wǎng)絡(luò)與信息安全測評中心、西安電子科技大學(xué)、重慶郵電大

學(xué)等單位共同參與起草。

1.2主要工作過程

1）2014年10月，成立標(biāo)準(zhǔn)編制組

考慮到信息技術(shù)產(chǎn)品安全檢測機(jī)構(gòu)的現(xiàn)狀，標(biāo)準(zhǔn)編制組廣泛吸收了國內(nèi)的安

全檢測機(jī)構(gòu)、研究機(jī)構(gòu)、質(zhì)檢機(jī)構(gòu)參與到標(biāo)準(zhǔn)研制工作，成立標(biāo)準(zhǔn)編制組。

2）2014年11月，調(diào)研國內(nèi)外檢測機(jī)構(gòu)相關(guān)標(biāo)準(zhǔn)現(xiàn)狀

研究現(xiàn)有國內(nèi)外檢測機(jī)構(gòu)相關(guān)標(biāo)準(zhǔn)，分析各自特點，學(xué)習(xí)借鑒，主要包括：

ISO/IEC17025檢測和校準(zhǔn)實驗室認(rèn)可準(zhǔn)則

NIST-HB-150-20-2013NISTHANDBOOK150-20CHECKLISTCOMMON

CRITERIATESTING

GB/T27025-2008檢測和校準(zhǔn)實驗室能力的通用要求

CNAS-CL46：2013《檢測和校準(zhǔn)實驗室能力認(rèn)可準(zhǔn)則在信息安全檢測領(lǐng)域

的應(yīng)用說明》

3）2015年1月，召開標(biāo)準(zhǔn)啟動會，確定標(biāo)準(zhǔn)范圍和框架

1

2015年1月編制組召開標(biāo)準(zhǔn)啟動會，與參與單位共同討論，明確了標(biāo)準(zhǔn)的適

用范圍和草案框架。

4）2015年2月-2016年3月，修改完善標(biāo)準(zhǔn)草案，召開標(biāo)準(zhǔn)草案研討會

編制組在研究我國已有檢測機(jī)構(gòu)相關(guān)規(guī)定和國內(nèi)外標(biāo)準(zhǔn)基礎(chǔ)上，結(jié)合我國工

作需要及檢測機(jī)構(gòu)實際情況，多次召開標(biāo)準(zhǔn)編制組會議，并陸續(xù)征求了相關(guān)專家

對標(biāo)準(zhǔn)草案的意見，對標(biāo)準(zhǔn)草案進(jìn)行修改和完善。

5）2016年5月-9月，修改完善標(biāo)準(zhǔn)草案，召開標(biāo)準(zhǔn)草案審查會，在WG7

征集意見

2016年5月11日，在北京組織有關(guān)專家召開標(biāo)準(zhǔn)草案審查會，會議專家同

意形成征求意見稿。會后標(biāo)準(zhǔn)編制組根據(jù)專家意見進(jìn)行了修改完善，形成新一版

標(biāo)準(zhǔn)草案。2016年8月，在WG7范圍內(nèi)征集成員單位對該標(biāo)準(zhǔn)的意見，編制組

根據(jù)反饋意見修改完善。

6）2016年10月，在全國信安標(biāo)委第二次會議周上，WG7成員單位討論，會

后修改形成征求意見稿初稿。

2016年10月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處在成都組織召開了

2016年第二次會議周。在會議周上，標(biāo)準(zhǔn)編制組與WG7成員單位就標(biāo)準(zhǔn)草案進(jìn)

行了討論，聽取了與會專家的意見。本次會議周形成會議決議，該標(biāo)準(zhǔn)修改完善

后形成征求意見稿初稿。

7）2016年12月，在全國信安標(biāo)委WG7專家審查會，會后修改形成征求意

見稿。

2016年12月22日，信安標(biāo)委WG7組織了國家標(biāo)準(zhǔn)征求意見稿專家審查會，

與會專家對征求意見稿初稿進(jìn)行審查并提出修改意見。會后，標(biāo)準(zhǔn)編制組按照與

會專家意見修改完善，形成征求意見稿。

二、編制原則和主要內(nèi)容

2.1編制原則

本標(biāo)準(zhǔn)的研究與編制工作遵循以下原則：

一是充分吸收已有檢測機(jī)構(gòu)相關(guān)標(biāo)準(zhǔn)?！稐l件和行為準(zhǔn)則》充分參考了國際、

國內(nèi)有關(guān)檢測和校準(zhǔn)實驗室以及安全測評機(jī)構(gòu)的條件和行為規(guī)范。標(biāo)準(zhǔn)參考了正

在修訂的ISO/IEC17025的DIS版本，并針對GB/T27025-2008以及《檢測和校準(zhǔn)

2

實驗室能力認(rèn)可準(zhǔn)則在信息安全檢測領(lǐng)域的應(yīng)用說明》中沒有涉及到的對檢測機(jī)

構(gòu)的要求，進(jìn)行了補(bǔ)充。

二是考慮可操作性和實用性。為了確保標(biāo)準(zhǔn)的可操作性和實用性，標(biāo)準(zhǔn)編制

從兩方面著手，一方面標(biāo)準(zhǔn)編制組廣泛吸收了國內(nèi)多家檢測機(jī)構(gòu)的人員作為標(biāo)準(zhǔn)

編制組成員；另一方面標(biāo)準(zhǔn)制定過程中，也不斷地借鑒國外實驗室的安全行為規(guī)

范要求標(biāo)準(zhǔn)來擴(kuò)充標(biāo)準(zhǔn)的內(nèi)容，為標(biāo)準(zhǔn)合理性和可操作性提供支撐。

2.2主要內(nèi)容

本標(biāo)準(zhǔn)從管理和技術(shù)的角度，規(guī)范了檢測機(jī)構(gòu)在測試信息技術(shù)產(chǎn)品安全時，

應(yīng)具備的條件以及遵守的安全行為規(guī)范。

本標(biāo)準(zhǔn)規(guī)定了信息技術(shù)產(chǎn)品安全檢測機(jī)構(gòu)在檢測信息技術(shù)產(chǎn)品的安全性時，

應(yīng)具備的條件以及應(yīng)遵守的行為準(zhǔn)則。

本準(zhǔn)則適用于所有從事信息技術(shù)產(chǎn)品安全性檢測的第三方機(jī)構(gòu)，可為相關(guān)主

管部門、信息技術(shù)產(chǎn)品供應(yīng)方和用戶選擇第三方檢測機(jī)構(gòu)提供參考。

檢測機(jī)構(gòu)應(yīng)為一個法人實體，并建立符合GB/T27025-2008要求的管理體系。

檢測機(jī)構(gòu)應(yīng)檢測機(jī)構(gòu)應(yīng)具備信息技術(shù)產(chǎn)品安全性檢測的技術(shù)能力，信息技術(shù)產(chǎn)品

的安全性包括：保護(hù)、維持信息的保密性、完整性和可用性，也可包括真實性、

可核查性、抗抵賴性、可靠性等性質(zhì)；應(yīng)具備檢測并分析被測產(chǎn)品中是否存在惡

意程序、安全缺陷（漏洞）等的檢測技術(shù)能力；應(yīng)具備產(chǎn)品供應(yīng)鏈安全的檢測能

力，包括產(chǎn)品供應(yīng)鏈組件關(guān)系分析和安全檢測能力；應(yīng)具備信息技術(shù)產(chǎn)品安全風(fēng)

險評估能力。檢測機(jī)構(gòu)應(yīng)遵守我國相關(guān)法律法規(guī)、公正透明的提供檢測服務(wù)、檢

測活動應(yīng)誠實守信、檢測結(jié)果應(yīng)可追溯可復(fù)現(xiàn)、開展檢測活動時應(yīng)遵循利益回避

的原則、對委托方信息安全保密、發(fā)生重大變更時及時報告。

三、主要試驗（或驗證）的分析、綜述報告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果

無。

四、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國際、國外同類標(biāo)準(zhǔn)水平的

對比情況，或與測試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對比情況

信息安全標(biāo)準(zhǔn)已經(jīng)成為網(wǎng)絡(luò)空間國際競爭的戰(zhàn)略制高點。特別是，信息技術(shù)

產(chǎn)品安全檢測機(jī)構(gòu)標(biāo)準(zhǔn)及其背后的管理政策將會對信息基礎(chǔ)產(chǎn)業(yè)造成重大影響，

也將限制國外更多的信息技術(shù)產(chǎn)品滲透到我國敏感部門和重要行業(yè)，這種情況下，

3

我國提出了加強(qiáng)對信息技術(shù)產(chǎn)品安全檢測機(jī)構(gòu)的安全管理是保障國家安全和社

會公眾利益的重要舉措。開展對信息技術(shù)產(chǎn)品安全檢測機(jī)構(gòu)管理，規(guī)范信息技術(shù)

產(chǎn)品安全檢測機(jī)構(gòu)行為，從而促使信息技術(shù)產(chǎn)品供應(yīng)方提高產(chǎn)品的安全保證能力，

是落實對國家關(guān)鍵信息基礎(chǔ)設(shè)施安全管理的措施之一。因此，編制組在標(biāo)準(zhǔn)編制

過程中，分析研究了ISO/IEC17025和NIST的檢測機(jī)構(gòu)和實驗室要求，參照我

國現(xiàn)有的相關(guān)標(biāo)準(zhǔn)和CNAS，以及國內(nèi)安全檢測機(jī)構(gòu)的現(xiàn)狀，綜合考慮制定了本

標(biāo)準(zhǔn)。

五、與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的關(guān)系

《信息技術(shù)產(chǎn)品安全檢測機(jī)構(gòu)條件和行為準(zhǔn)則》符合現(xiàn)有法律法規(guī)的要求。

《信息技術(shù)產(chǎn)品安全檢測機(jī)構(gòu)條件和行為準(zhǔn)則》與GB/T27025-2008《檢測

和校準(zhǔn)實驗室能力的通用要求》不矛盾、不沖突。通用要求標(biāo)準(zhǔn)是針對所有的檢

測機(jī)構(gòu)和校準(zhǔn)實驗室，沒有針對到安全檢測機(jī)構(gòu)的一些具體要求和規(guī)范。

六、重大分歧意見的處理經(jīng)過和依據(jù)

《條件和行為準(zhǔn)則》編制過程中未出現(xiàn)重大分歧。其他詳見意見匯總處理表。

七、國家標(biāo)準(zhǔn)作為強(qiáng)制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議

建議《條件和行為準(zhǔn)則》作為推薦性國家標(biāo)準(zhǔn)發(fā)布實施。

八、貫徹國家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等

內(nèi)容）

《條件和行為準(zhǔn)則》通過對信息技術(shù)產(chǎn)品安全檢測機(jī)構(gòu)管理，規(guī)范信息技術(shù)

產(chǎn)品安全檢測機(jī)構(gòu)行為，從而促使信息技術(shù)產(chǎn)品供應(yīng)方提高產(chǎn)品的安全保證能力。

建議同《信息安全技術(shù)信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則》配套使用。

九