检测和校准实验室能力认可准则在信息技术软件产品检测领域的应用

CNAS—CL20检测和校准实验室能力认可准则在信息技术软件产品检测领域的应用说明GuidanceontheApplicationofLaboratoryAccreditationCriteriaintheFieldofITSoftwareProductTests中国合格评定国家认可委员会CNAS-CL20:2006第1页共6页2006年06月01日发布2007年4月16日第1次修订2007年04月30日实施检测和校准实验室能力认可准则在信息技术产品检测领域的应用说明一引言信息技术产品检测领域是中国合格评定国家认可委员会（英文缩写：CNAS）对实验室的认可领域之一。本文件是CNAS根据信息技术产品检测领域的特性而对CNAS—CL01：2006《检测和校准实验室能力认可准则》所作的进一步说明，并不增加或减少该准则的要求。因此，本文件采用针对CNAS—CL01：2006《检测和校准实验室能力认可准则》的具体条款提出应用说明的编排方式，故章节号是不连续的。本文件需与CNAS—CL01：2006《检测和校准实验室能力认可准则》同时使用。二应用说明4管理要求4.1组织4.1.5实验室应c)有政策和程序确保客户的机密信息和所有权得到保护。除了有电子储存和传输结果的保护程序，在检测过程中还应对客户产品的一切信息进行保护。例如，检测过程中的屏幕保护等。d)建立并保持从事信息技术产品检测公正性和信任性的政策和程序。实验室应：(1)确保以独立判断和始终保持可信方式组织信息技术产品检测；(2)同一实验室人员或小组不能开发和检测同一标准或信息技术产品；(3)同一实验室人员对其将要参加检测的同一标准或信息技术产品不得提供咨询服务；实验室应制定明确的政策并在实验室检测人员与产品开发商、系统集成商、其他有利害关系和可能影响检测结果的人员之间建立保持相互分离的文件化程CNAS-CL20:2006第2页共6页2006年06月01日发布2007年4月16日第1次修订2007年04月30日实施序。4.2管理体系4.2.1实验室的管理体系应能促进实验室的活动以保证技术准确，检测公正等。管理体系应包括：(1)保证适当信息得到保护的政策和程序。例如，哪些信息应当保护，以防止透露给实验室之外的人员、参观实验室人员、不需知道这些信息的实验室人员以及其他未授权人员。(2)体系管理和可靠性的程序。如果适用，还应包括在实验室以外的场所进行信息技术产品检测的程序。例如，解释并说明怎样保证检测场所的检测条件，如何储存记录和文件以及如何控制检测设备等。4.11纠正措施4.11.2原因分析不合格潜在的原因除了注释中所列之外还应包括病毒、检测的操作顺序等。4.13记录的控制4.13.1总则4.13.1.2所有的记录应注明日期和签名。实验室的记录应保存五年以上。4.13.1.3实验室应有程序确保所有的记录（包括任何形式的记录）的准确性、完整性和保密性，防止未经授权的访问和和修改。信息技术产品检测实验室应采取措施确保，无论在检测期间还是在检测之后，第三方都不能够访问在线记录。如果进行检测的客户的系统，在检测期间向客户开放访问，则检测实验室应能确保第三方在检测期间不能够访问正在进行检测的客户的系统。此外，如果进行检测的客户的系统在检测完成之后向第三方开放访问，并且客户要将检测结果放在其系统上，那么，客户应提供一份书面承诺，说明对检测记录负全部责任。如果客户没有做出这样的承诺，检测实验室首先应以妥善的删除方式寻求与客户达成协议，然后删除在检测过程中在客户系统上生成的所有记录。4.13.1.4以电子形式记录和存储的记录应有相关人员和日期的信息，这些记录CNAS-CL20:2006第3页共6页2006年06月01日发布2007年4月16日第1次修订2007年04月30日实施应有适当的标识和备份，也应符合实验室的政策并确保记录的完整性。4.13.2技术记录4.13.2.1检测行为记录应能够追溯到检测人员的操作和工作方法。5技术要求5.2人员5.2.1实验室应确保其管理人员和技术人员具备进行信息技术产品检测的能力。实验室应保存有效的技术与管理的人员名单，包括实验室主任，授权签字人和关键技术人员。实验室应保持那些从事信息技术产品检测和负责监督的实验室员工的岗位记录和个人简历，且便于查阅。从事信息技术产品检测活动的实验室员工应具有计算机科学专业或计算机工程专业或者相关专业大学学历，或者具有同等学历。检测人员应至少具备计算机软件硬件和网络技术等方面的技术培训，并至少具备在信息技术产品具体应用领域的3年工作经验。实验室的技术人员应至少掌握了解下列范围的知识或经验：操作系统、数据结构、算法设计和分析、数据库系统、程序语言、计算机系统结构和网络。检测人员还应接受过知识产权保护方面的专门教育，具备知识产权意识确保客户利益和商业机密不被泄露。针对相应的岗位技术能力要求和培训还应考虑必要的考核。实验室应检查每一名被授权从事每项检测方法检测的员工的能力。5.2.2实验室应对新员工和在岗员工制定详细的培训计划文件。每位新员工应经过培训才能上岗。培训计划应是最新的，当检测标准、检测方法和员工岗位等发生变化时，在岗员工应重新培训后上岗。每一名员工对其所从事的工作可能接受在职培训、脱产培训或其他适当形式的培训。实验室保存的培训资料应是实用、有效的。实验室员工的培训应侧重以下方面：(1)检测标准/方法的一般要求，包括编写检测报告；(2)计算机软硬件及其应用的科学知识；(3)计算机安全知识；(4)检测标准/方法的使用知识。CNAS-CL20:2006第4页共6页2006年06月01日发布2007年4月16日第1次修订2007年04月30日实施5.3设施和环境条件5.3.1实验室应有足够的设施以保障信息技术产品的检测，包括但不限于用于检测的设备、用于员工培训、记录保存、文件保存和软件保存等的设施，以及为确保检测数据的准确及检测设备的安全稳定而应具备的防静电措施。实验室应有适当的保护系统保护相应的硬件、软件、检测数据、电子和纸质记录以及其他的材料，避免透露给实验室以外的人员、参观实验室人员、以及不需知道这些信息的实验室人员和其他未授权人员。用于信息技术产品检测的实验室网络应与实验室以外的网络隔离。如果检测在实验室以外的场所进行，其环境也应满足所要求的实验室环境等级，并能够控制检测环境以防止非授权实体在检测期间进入系统存取信息。5.3.2实验室应具备防范计算机病毒、恶意软件等不良程序对检测设施和环境造成影响的措施，例如，应具备有效的病毒保护和软件/数据备份程序。实验室还应定期检查网络情况，必要时定期进行软硬件的更新换代，与外界建立联系应具备电子邮件的能力等。5.3.3如果实验室同时进行多样检测，它应保持检测中的产品、检测平台、外围环境和文件的有效分离。在某些信息技术产品检测服务中，对单个检测或确认服务内使用的软件构件之间也需要明确的隔离。检测工具、被测产品和支持环境应进行有效的隔离。一旦被测产品被集成在客户提供的系统中，实验室应确保在被测系统的环境部分中没有来自其它方面的可能影响其检测或确认结果的干扰。5.4检测和校准方法及方法的确认5.4.1总则实验室应按照检测标准和检测方法制定文件化程序，并据此进行信息技术产品检测。信息技术产品检测所采用的检测方法涉及：检测用例集；用来运行这些检测用例的检测工具（硬件和软件）以及使用它们的方法；用来选择和运行检测用例及分析观察、说明结果的相关程序，所有这些都应经适当的验证、确认并进行相应的文件化管理。检测方法确认中应包括对样品的各个功能的检测顺序及检测的组合。5.4.4非标准方法CNAS-CL20:2006第5页共6页2006年06月01日发布2007年4月16日第1次修订2007年04月30日实施注c待测样品类型的描述应包括样品名称、版本信息、类别等。5.4.5方法的确认方法应满足重复性和复现性准则的要求。5.4.6测量不确定度的评定这些要求仅适用于要进行物理量检测以及检测涉及使用浮点算法或数据的近似表示极个别情况的检测。5.4.7.2c)由使用者开发的检测工具和检测用例应有足够详细的文件说明，并对其适用性进行适当验证。5.5设备5.5.2检测设备包括但不限于硬件设备、软件检测工具或其他的用于信息技术产品检测的设备，实验室应确保检测设备能够满足信息技术产品检测的要求。用于信息技术产品检测的计算机系统或网络系统应进行合理配置，所选用的设备应是具有可追溯性的商用软、硬件或其他检测工具。5.5.3实验室应保存用于信息技术产品检测的设备的使用说明及实验室内部文件化的使用程序。5.5.5实验室应对所有的检测设备情况编制文件和保持记录，包括客户提供的设备和实验室提供的设备。记录除准则中所列之外，还应包括检测所用设备的配置及支撑软件等信息。5.6测量溯源性5.6.2.2检测信息技术产品检测活动应能追溯到检测人员的操作。检测工具应能显示其实施的检测和检测结论，并能追溯到检测标准和方法。实验室应确保检测结果建立在可信的符合检测标准和检测方法的证据之上。5.8检测和校准物品（样品）的处置5.8.1当检测的产品包括软件构件时，如果需要，实验室应使用适当的配置管理工具以确保在检测过程中软件构件的有效性和完整性。CNAS-CL20:2006第6页共6页2006年06月01日发布2007年4月16日第1次修订2007年04月30日实施5.8.3在接收检测样品时应对样品进行病毒检查并记录。5.8.4实验室应向客户提供充分的保证，确保检测工具或检测用例集不会将病毒或其他损坏因素引入到属于客户的硬件或软件中。当检测样品包括软件时，如需要，实验室应具备配置管理机制以便防止在检测过程中样品软件被无意篡改。5.10结果报告5.10.1总则实验室应签署它所完成的检测工作的检测报告，检测报告应准确地、清楚地体现检测状况、检测组织、检测结果和所要求的信息。检测报告应提供所有的必要信息以便允许同一实验室或另一个实验室能依据报告重复检测并获得类似的结果。实验室应提供满足结果的证据。5.10.7结果的电子传送以电子方式传输的检测报告要使用电子签名或者以加密方式传输，以确保报告的完整性和提交报告的实验室身份。