《信息安全技术 信息技术产品安全检测机构条件和行为准则-编制说明》

一、工作简况

1.1任务来源

为加强信息技术产品安全检测机构管理，规范信息技术产品安全检测机构行

为，保障检测活动的公正可信和安全检测机构的安全检测能力，从而促使信息技

术产品供应方提高产品的安全保障能力，保障国家关键信息基础设施安全，配合

我国关键信息基础设施安全管理工作以及国家网络安全审查工作，全国信息安全

标准化技术委员会于2013年立项《信息安全技术信息技术产品安全检测机构条

件和行为准则》国家标准。

《信息安全技术信息技术产品安全检测机构条件和行为准则》（计划编号：

20141146-T-469）由中国电子技术标准化研究院牵头，中国信息安全测评中心、

国家信息技术安全研究中心、中国信息安全研究院有限公司、北京信息安全测评

中心、国家保密科技测评中心、国家应用软件产品质量监督检验中心、公安部计

算机信息系统安全产品质量监督中心、中国信息安全认证中心、信息产业信息安

全测评中心、陕西省网络与信息安全测评中心、西安电子科技大学、重庆邮电大

学等单位共同参与起草。

1.2主要工作过程

1）2014年10月，成立标准编制组

考虑到信息技术产品安全检测机构的现状，标准编制组广泛吸收了国内的安

全检测机构、研究机构、质检机构参与到标准研制工作，成立标准编制组。

2）2014年11月，调研国内外检测机构相关标准现状

研究现有国内外检测机构相关标准，分析各自特点，学习借鉴，主要包括：

ISO/IEC17025检测和校准实验室认可准则

NIST-HB-150-20-2013NISTHANDBOOK150-20CHECKLISTCOMMON

CRITERIATESTING

GB/T27025-2008检测和校准实验室能力的通用要求

CNAS-CL46：2013《检测和校准实验室能力认可准则在信息安全检测领域

的应用说明》

3）2015年1月，召开标准启动会，确定标准范围和框架

1

2015年1月编制组召开标准启动会，与参与单位共同讨论，明确了标准的适

用范围和草案框架。

4）2015年2月-2016年3月，修改完善标准草案，召开标准草案研讨会

编制组在研究我国已有检测机构相关规定和国内外标准基础上，结合我国工

作需要及检测机构实际情况，多次召开标准编制组会议，并陆续征求了相关专家

对标准草案的意见，对标准草案进行修改和完善。

5）2016年5月-9月，修改完善标准草案，召开标准草案审查会，在WG7

征集意见

2016年5月11日，在北京组织有关专家召开标准草案审查会，会议专家同

意形成征求意见稿。会后标准编制组根据专家意见进行了修改完善，形成新一版

标准草案。2016年8月，在WG7范围内征集成员单位对该标准的意见，编制组

根据反馈意见修改完善。

6）2016年10月，在全国信安标委第二次会议周上，WG7成员单位讨论，会

后修改形成征求意见稿初稿。

2016年10月，全国信息安全标准化技术委员会秘书处在成都组织召开了

2016年第二次会议周。在会议周上，标准编制组与WG7成员单位就标准草案进

行了讨论，听取了与会专家的意见。本次会议周形成会议决议，该标准修改完善

后形成征求意见稿初稿。

7）2016年12月，在全国信安标委WG7专家审查会，会后修改形成征求意

见稿。

2016年12月22日，信安标委WG7组织了国家标准征求意见稿专家审查会，

与会专家对征求意见稿初稿进行审查并提出修改意见。会后，标准编制组按照与

会专家意见修改完善，形成征求意见稿。

二、编制原则和主要内容

2.1编制原则

本标准的研究与编制工作遵循以下原则：

一是充分吸收已有检测机构相关标准。《条件和行为准则》充分参考了国际、

国内有关检测和校准实验室以及安全测评机构的条件和行为规范。标准参考了正

在修订的ISO/IEC17025的DIS版本，并针对GB/T27025-2008以及《检测和校准

2

实验室能力认可准则在信息安全检测领域的应用说明》中没有涉及到的对检测机

构的要求，进行了补充。

二是考虑可操作性和实用性。为了确保标准的可操作性和实用性，标准编制

从两方面着手，一方面标准编制组广泛吸收了国内多家检测机构的人员作为标准

编制组成员；另一方面标准制定过程中，也不断地借鉴国外实验室的安全行为规

范要求标准来扩充标准的内容，为标准合理性和可操作性提供支撑。

2.2主要内容

本标准从管理和技术的角度，规范了检测机构在测试信息技术产品安全时，

应具备的条件以及遵守的安全行为规范。

本标准规定了信息技术产品安全检测机构在检测信息技术产品的安全性时，

应具备的条件以及应遵守的行为准则。

本准则适用于所有从事信息技术产品安全性检测的第三方机构，可为相关主

管部门、信息技术产品供应方和用户选择第三方检测机构提供参考。

检测机构应为一个法人实体，并建立符合GB/T27025-2008要求的管理体系。

检测机构应检测机构应具备信息技术产品安全性检测的技术能力，信息技术产品

的安全性包括：保护、维持信息的保密性、完整性和可用性，也可包括真实性、

可核查性、抗抵赖性、可靠性等性质；应具备检测并分析被测产品中是否存在恶

意程序、安全缺陷（漏洞）等的检测技术能力；应具备产品供应链安全的检测能

力，包括产品供应链组件关系分析和安全检测能力；应具备信息技术产品安全风

险评估能力。检测机构应遵守我国相关法律法规、公正透明的提供检测服务、检

测活动应诚实守信、检测结果应可追溯可复现、开展检测活动时应遵循利益回避

的原则、对委托方信息安全保密、发生重大变更时及时报告。

三、主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果

无。

四、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的

对比情况，或与测试的国外样品、样机的有关数据对比情况

信息安全标准已经成为网络空间国际竞争的战略制高点。特别是，信息技术

产品安全检测机构标准及其背后的管理政策将会对信息基础产业造成重大影响，

也将限制国外更多的信息技术产品渗透到我国敏感部门和重要行业，这种情况下，

3

我国提出了加强对信息技术产品安全检测机构的安全管理是保障国家安全和社

会公众利益的重要举措。开展对信息技术产品安全检测机构管理，规范信息技术

产品安全检测机构行为，从而促使信息技术产品供应方提高产品的安全保证能力，

是落实对国家关键信息基础设施安全管理的措施之一。因此，编制组在标准编制

过程中，分析研究了ISO/IEC17025和NIST的检测机构和实验室要求，参照我

国现有的相关标准和CNAS，以及国内安全检测机构的现状，综合考虑制定了本

标准。

五、与有关的现行法律、法规和强制性国家标准的关系

《信息技术产品安全检测机构条件和行为准则》符合现有法律法规的要求。

《信息技术产品安全检测机构条件和行为准则》与GB/T27025-2008《检测

和校准实验室能力的通用要求》不矛盾、不冲突。通用要求标准是针对所有的检

测机构和校准实验室，没有针对到安全检测机构的一些具体要求和规范。

六、重大分歧意见的处理经过和依据

《条件和行为准则》编制过程中未出现重大分歧。其他详见意见汇总处理表。

七、国家标准作为强制性国家标准或推荐性国家标准的建议

建议《条件和行为准则》作为推荐性国家标准发布实施。

八、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等

内容）

《条件和行为准则》通过对信息技术产品安全检测机构管理，规范信息技术

产品安全检测机构行为，从而促使信息技术产品供应方提高产品的安全保证能力。

建议同《信息安全技术信息技术产品供应方行为安全准则》配套使用。

九