2)對測試項目結束條件、測試風險應予充分規定； 3)對開展測試準備了解測試任務的同時逐步完善合同內容的評審，或可能 延續到軟件測試計劃、測試需求和測試說明階段的評審，應予充分規定； 4)對測試目的、為達到測試目的需要提供給實驗室的測試輸入項、測試輸 入項的提供方式以及提供時機應予充分規定。

測試輸入項可包括： ——符合標準規范要求的被測試軟件產品，包括程序、軟件文檔、數據文檔； ——文檔化的被測試軟件的分配需求（可含技術需求、非技術需求和驗收準 則），如研制要求、軟件研制任務書等； ——被測試軟件安裝運行環境以及其他配合被測試軟件運行的設備設施、軟 件、數據等詳細信息。 

7.1.1c)實驗室應對檢測任務進行測試需求分析，測試策劃應由實驗室完成，外 部提供測試服務的合同或協議應滿足客戶要求，明確外部提供測試服務的評審和 監督要求，由客戶或法定管理機構指定的外部提供者除外。 

7.1.6對測試周期（接受被測試軟件至交付測試報告）超過6個月的軟件測試項 目，實驗室應與客戶及被測試軟件相關方保持必要溝通。

溝通內容可包括： 1）合同、客戶要求變更及其落實情況； 2）計劃進展情況，延誤或其他主要偏離及其原因； 3）已發現的軟件問題； 4）遇到的測試問題； 5）需要溝通的其他問題。 

7.1.8對常規軟件測試（如某行業已有明確要求的例行軟件測試）項目，測試合同可以是任何書面的協議。實驗室應對軟件測試協議及時形成詳細的文字記錄， 并有審核確認 7.2方法的選擇、驗證和確認 7.2.1方法選擇和驗證 7.2.1.3實驗室所采用的軟件測試方法，一般包括測試用例集、測試工具（硬件 和軟件）及其使用方法、以及依托測試工具運行測試用例獲得測試結果的相關程 序三要素。為了保證不影響軟件測試方法的運用和測試結果，實驗室應具有適當 的軟件測試方法使用指導書，有措施確保測試用例、測試腳本、測試數據和測試 工具的一致、有效。 

7.2.1.5實驗室應制定測試計劃、測試需求和測試用例及其執行方案，通過文檔化 方式明確選定的測試方法。實驗室應通過培訓、技術咨詢或技術指導方式確保能 夠正確運用選擇的測試方法。 

7.2.2方法確認 7.2.2.1實驗室應組織本領域專家對非標方法進行技術評審。 注：技術評審可包含但不限于以下內容： a)被測試軟件類型的描述應包括名稱、版本信息、開發語言等； b)能夠測試的軟件質量特性或測試類別、測試目的和測試能力范圍； c)陪測設備設施軟件及其性能要求； d)方法應有需要的軟件硬件環境、測試數據及其他約束條件。 

7.2.2.3軟件測試方法確認應盡可能全面，包括對被測試軟件的各種質量子特性 的測試順序、測試約束及測試輸入的組合并進行測試方法的驗證。 

7.4檢測或校準物品的處置 7.4.1實驗室應向客戶提供充分的保證，確保測試工具或測試集不會將病毒或其 他損壞因素引入到屬于客戶的硬件或軟件中。

測試完成后，實驗室應按客戶要求 處置被測試軟件，并保留記錄。 7.4.2實驗室在接收被測軟件時應詳細記錄被測試軟件的程序、軟件工程文檔、 數據及版本號，并進行唯一性標識。 

7.4.3在接收測試樣品時，應對樣品進行病毒檢查并記錄。 7.5技術記錄 7.5.1實驗室應保存外部提供測試服務的技術文檔、測試記錄和測試報告。

適用 時軟件測試項記錄應包括： a)測試輸入項記錄：客戶提供的被測試軟件清單、與軟件測試相關的文件 清單等； b)測試技術文檔：測試（回歸測試）方案、測試（項目）計劃、測試需求 規格說明、測試說明、軟件測試報告的副本等；

檢測和校準實驗室能力認可準則 在信息安全檢測領域的應用說明 

本文件由中國合格評定國家認可委員會（CNAS）制定，是結合信息安 全檢測的特點對CNAS-CL01《檢測和校準實驗室能力認可準則》中的部分 條款的應用說明，并不增加或減少該認可準則的要求。 本文件與CNAS-CL01《檢測和校準實驗室能力認可準則》同時使用。 

在結構編排上，本文件章、節的條款號和條款名稱均采用CNAS-CL01: 中章、節條款號和名稱，對CNAS-CL01應用說明的具體內容在對應條款后 給出。 

本文件代替CNAS-CL46:2013《檢測和校準實驗室能力認可準則在信息安 全檢測領域的應用說明》。 

本次修訂主要根據CNAS-CL01:2018《檢測和校準實驗室能力認可準則》 對章節號重新進行了編排，并按照CNAS的統一要求調整文件編號。

1范圍 本文件適用于所有從事信息安全檢測的實驗室。 2引用文件 CNAS-CL01:2018《檢測和校準實驗室認可準則》 3術語和定義 4通用要求 4.1公正性 4.1.3如果實驗室所在的組織從事信息安全檢測以外的活動（例如，涉及信息安 全相關的開發），應承諾并采取措施確保不利用被檢測信息安全相關方的知識產 權牟取利益。 

4.1.4實驗室應建立并保持從事信息安全檢測公正性和誠實性的政策和程序，并 確保信息安全檢測人員不參加被測對象的開發和咨詢，確保實驗室檢測人員與產 品開發商、系統集成商、安全集成商、其他有利害關系和可能影響檢測結果的人 員之間相互分離。 5結構要求 6資源要求 

6.2人員 6.2.2信息安全檢測實驗室的人員應滿足以下要求： a)信息安全檢測人員應具有信息安全、計算機、通信或網絡等相關專業本 科或以上學歷，從事信息安全檢測工作1年以上，且至少參與過3個信息安全檢 測項目。 b)信息安全檢測領域的授權簽字人和意見解釋人員應具有信息安全、計算 機、通信或網絡等相關專業本科或以上學歷，從事信息安全檢測工作3年以上， 且至少參與過5個信息安全檢測項目。 c)實驗室人員應經過相關培訓，考核通過后方能上崗。實驗室人員還應接 受安全保密和知識產權保護方面的培訓，以確保客戶利益和商業機密不被泄露。 d)實驗室應： 1)至少具有5名信息安全檢測人員； 2)由熟悉信息安全項目管理、開發、測試及標準、規范、規程的技術人員 負責組織實施信息安全檢測任務；

3)由熟悉信息安全檢測過程、標準/規范/規程，信息安全質量評價和信息 安全測試質量評價的人員，負責信息安全檢測過程和產品的規范符合性審核監 督； 4)由熟悉信息安全測試需求、測試結果評價和判定準則的人員負責對信息 安全測試輸入和測試結果進行核查。 6.3設施和環境條件 6.3.1實驗室應建立穩壓、防靜電和防范惡意代碼的檢測環境。

實驗室還應對檢 測環境在使用前進行核查。 6.3.4b)檢測網絡應與其他網絡采取隔離措施。如果同時進行多個檢測項目，實 驗室應保持檢測環境的有效分離。當檢測活動在實驗室以外場所進行時，其檢測 環境也應滿足要求，并確保檢測活動在受控環境下執行。當通過實驗室以外的網 絡實施遠程檢測時，應注意影響網絡正常運行的環境條件。 

6.4設備 6.4.1信息安全檢測設備應包括硬件設備和軟件檢測工具。實驗室應在每個項目 測試前對檢測設備進行核查。對于性能檢測項目，實驗室所選用的設備應是具有 可追溯性的商用軟件和硬件。 6.4.13實驗室應保存所有檢測設備的檔案。

實驗室的記錄還應包括檢測設備的 配置信息、軟件檢測工具所需運行環境等信息。軟件測試工具的不同版本，均應 有唯一性標識。 

6.5計量溯源性 6.5.3對于新的或發生了重大變化的無法進行外部溯源的方法和測試工具，實驗 室應采取措施檢查測試方法和測試工具的有效性，檢查措施可包括： a)適用時，對特定的信息安全產品樣例進行檢測，審查信息安全產品樣例 預埋問題的復現情況，確認其偏差。 b)適用時，應溯源到權威的測試集規范或其它有關的權威標準或規范。 

7過程要求 7.1要求、標書和合同的評審 7.1.1a)實驗室合同評審為簽訂信息安全檢測合同而進行評審的政策和程序應 包括： 1)對檢測項目的保密和知識產權保護要求，在合同中（或簽訂專門的協議） 應予明確、充分規定。 2)對檢測項目結束后如何處置檢測對象應予以規定。 

7.2方法的選擇、驗證和確認 7.2.1.3實驗室應確保測試使用的檢測樣本集（如病毒樣本庫、網