信息安全检测领域实验室认可管理研究.doc

信息安全检测领域实验室认可管理研究LaboratoryAccreditationl实验室认可中国认证认可;2一躲:6苫58信息安全检测领域实验室认信息安全检测领域是中国合格评定国家认可委员会(CNAS)对实验室的认可领域之一,在认可管理中关注信息安全检测的特殊性,才可进一步保证信息安全检测领域实验室认可管理的规范性.信息安全检测领域实验室认可管理的研究,其目的是通过研究分析信息安全检测领域实验室在认可管理中的特殊要求,制定息安全检测实验室认可管理作业指导书,从而规范信息安全领域实验室的评审工作,提高信息安全检测领域实验室认可的有效性和一致性.信息安全检测的特点信息安全技术涉及计算机软硬件,网络通信,微电子,密码等众多知识领域,有着覆盖面广的技术体系和丰富的科学内涵.随着信息安全技术的快速发展,信息安全测评技术也在不断更新,同时具有与信息安全技术一样的复杂,多样性的特点.目前国内外的信息安全技术相关标准更多地注重指导意义,在细化技术实现的路线以及规范检测方法上有一定欠缺,因此在标准的理解上容易产生差异,实验室必须制定细致的检测方法作业指导书才能避免评价结果不一致的产生.目前用于信息安全检测的测试工具还不足以满足标准的要求,自动化测试范围有限,因此更多的是依赖检测人员的测评技术能力.信息安全检测涉及大量人员利用综合知识进行的判别,要求检测人员具有丰富的计算机,网络,通信,软件,密码等广泛的,综合性的知识,同时要具备不断跟踪信息安全技术变化,了解新的安全问题以及黑客攻击手段的能力.管理研究翁正军杨铭张庆波由于信息安全检测的特殊性以及检测技术仍在不断发展中,信息安全检测还不能像其他硬件检测那样实现精确的度量,目前的信息安全检测技术还不能完全达到不同组织或人员对同一信息安全产品进行安全性检测得到可以比对的数字化测试结果,且信息安全检测是一个复杂的过程,保证信息安全检测质量的关键要素为检测人员的个人技术素质和实验室对检测过程的控制程度.信息安全检测领域实验室认可管理现状及面临的问题目前实验室认可管理工作规范包括”实验室认可评审工作指导书”,”实验室及相关机构和检查机构认可评审程序”及相关表格等,这些程序和作业指导书适用于一般实验室认可,不能体现信息安全检测领域实验室认可管理的特殊性,在对信息安全检测领域实验室进行认可管理过程中没有针对信息安全检测领域实验室认可管理的指导书,不能确保信息安全检测领域实验室认可管理工作的规范操作.从信息安全检测实验室认可体系现状研究报生的调研结果看,由于评审员/技术专家把握不同,已认可的信息安全检测领域实验室的能力范围(包括领域代码,产品/产品类别,项目/参数等)差异比较大.CNAS尚未组织开展针对信息安全检测领域的能力验证活动,因此实验室白行开展的实验室间设备比对,人员能力比对的有效性缺乏权威确认,在评审阶段难以度量.在目前的认可管理中对申请信息安全检测领域实验室的技术负责人,检测人员的资格,能力和数量缺少明确要求,不能适应信息安全检测领域实验室的特殊要求.另方面可一许多软件检测实验室和综合实验室进行了信息安全检测能力的扩项,信息安全检测领域在大部分软件及综合实验室所占的比例比较小,因此现场评审组长一般由非信息安全检测领域的主任评审员担任,申请材料中关于信息安全检测的内容不一定由信息安全检测专业的评审员进行审查,不能确保信息安全检测领域相关申请资料审查的质量.在现场评审组成员中对技术评审员的信息安全检测专业背景没有明确要求,不能保证现场试验正确性,充分性的判别.因此,为提高认可的有效性和一致性,需要规范信息安全检测领域实验室的评审工作,对信息安全检测领域评审员/技术专家专业能力(专业背景,工作经历),信息安全检测领域实验室申请认可范围,参加能力验证活动情况,实验室关键人员资格/能力及数量,典型报告的有效性以及对信息安全检测领域实验室认可流程的管理提出特殊要求.有必要明确适用于信息安全检测实验室申请认可的标准/方法的范围,给出信息安全检测领域认可标准列表.信息安全检测领域实验室认可管理过程的特殊要求通过上述信息安全检测特点,信息安全检测领域实验室认可管理现状及面临问题的论述和分析,我们认为在信息安全检测领域实验室认可管理中应在申请受理,评审安排,现场评审实施阶段充分考虑信息安全检测领域的特殊性,明确在这三个阶段认可管理的特殊要求.申请受理阶段的特殊要求在申请受理阶段认可管理的相关责任人员主要对不同类型的申请资料进行审查,从实验室认可管理的开始阶段就关注信息安全检测领域实验室认可管理的特殊性,保证该阶段认可管理的规范性.1.初次申请资料审查.认可管理相关责任人员对信息安全检测领域实验室的初次申请资料进行审查时,要确认申请认可领域;依据实验室认可LaboratoryAccreditation信息安全检测领域认可标准列表确认申请的标准,对于未列在标准列表中的申请标准,应按照信息安全检测领域非标准方法确认指南进行确认;审查实验室信息安全领域技术负责人,检测人员的资格,能力和检测人员的数量是否满足”检测和校准实验室能力认可准则在信息安全检测领域的应用说明”的要求;指导评审组审查实验室提交的典型报告涉及的检测项目和检测参数应覆盖申请认可的检测项目和标准参数,包括样品描述,测试过程描述,测试环境,检测要求,检测方法,检测结果描述,必要时应提供作业指导书.指导评审组参考险测和校准实验室能力认可准则在信息安全检测领域的应用说明审查信息安全检测工具满足检测标准/方法的要求;审查申请实验室参加信息安全领域能力验证的情况.2.复评审资料审查.认可管理相关责任人员除了要关注初次申请资料审查的内容外,还应关注实验室申请认可能力范围的变化情况,信息安全领域关键人员变化情况,有效认可周期内出具的检测报告覆盖认可能力范围的情况,认可周期内参加能力验证活动的情况.3.扩项申请资料审查.实验室若是首次申请信息安全检测领域扩项,则扩项申请资料的审查与初次申请资料审查相同;实验室若非首次申请信息安全检测领域,应确认申请认可的标准,关注典型报告的内容,审查信息安全检测工具满足检测标准/方法要求的情况,扩项项目参加能力验证活动情况.评审安排阶段的特殊要求评审安排主要是根据评审类型和实验室类型派遣满足信息安全检测领域评审要求的现场评审组.负责专业信息安全检测领域实验室初次评审,复评审和扩项评审的评审组长应具有信息安全技术领域专业背景,熟悉信息安全技术标准;可以确认申请的检测参数是否填写规范,正确;可以识别信息安全检测工具满足检测标l总期59AccreditationTechnology认可技术±国证认可f)卜r破珀r0吕N6O实验室和检查机构认可变更的处理要求及方法中国合格评定国家认可中心娜仁图亚牛兴荣实验室和检查机构在获准认可后持续地符合认可要求,是维持其认可资格的前提条件.实际工作中,获准认可实验室和检查机构所处外部环境及内部资源时常发生变化,而个别机构由于不了解认可机构关于认可变更的处理程序和要求,未能及时向认可机构通报变更,特别是那些影响质量管理及技术能力的因素发生变化而未及时通报时,即可导致违反认可规则而受到认可机构的处罚,甚至有可能被撤销其认可资格.本文结合中国合格评定国家认可委员会(CNAS)相关认可规则的要求,介绍认可变更的通报内容,处理程序和要求,以期帮助获准认可的实验室和检查机构全面掌握认可(接上页)准/方法要求;可以识别典型报告的技术能力表达是否充分.信息安全检测领域的技术评审员除满足上述要求外,同时应为信息安全检测机构人员,从事信息安全领域检测工作,熟悉评审涉及的信息安全标准,具有对信息安全检测工具的使用经验.如果申请认可信息安全检测领域的实验室是综合实验室,其信息安全检测领域申请认可资料应在文件审查阶段提交信息安全检测领域的技术/主任评审员审查.在信息安全检测领域实验室初次评审,复评审和扩项评审时,无论实验室是否为专业从事信息安全检测的实验室还是综合实验室,评审组成员中均应至少包括一名信息安全检测领域的技术评审员.变更处理的规则,及时向认可机构通报相关变更信息,维持认可资格.内容和要求实验室和检查机构在获认可后都可能有变更的情况发生,CNAS要求获认可的实验室和检查机构发生以下变更,如实验室和检查机构的名称,地址,法律地位发生变化,高级管理人员,授权签字人发生变更,认可范围内的重要试验设备,环境,检测,校准,检查工作范围及检测项目发生重大改变,联系人,电话,传真和电子信箱发生变更,可能影响实验室和检查机构满足认可要求的能力的其他事宜发生变更等情况,应在变更后1个月内以书面形式通监督评审时可以安排具有信息安全技术领域专业背景,从事信息安全领域检测工作,熟悉评审涉及的信息安全标准的见习评审员.评审实施阶段的特殊要求认可管理相关责任人员依据测和校准实验室能力认可准则在信息安全检测领域的应用说明的特殊要求,审核评审组的现场评审策划方案,并关注评审组现场评审策划方案的以下方面:同类检测项目应在认可周期内至少安排一次现场试验;初评和扩项评审时,现场试验尽量全面覆盖申请的检测参数;应安排新增信息安全检测人员做现场试验;应安排关键信息安全检测工具在现场试验中使用;针对新扩项检测项目和参数,重点考核授权签字人的技术能力.敬告订户2011年报刊征订.y-作即将结束,请速到当地邮局订阅本刊.本刊邮发代号为80-249.