本檔案是 CNAS 根據信息技術產品檢測領域的特性而對 CNAS— CL01:2006《檢測和校準實驗室能力認可準則》所作的進一步說明,並不增加或減少該準則的要求。因此,本檔案採用針對 CNAS— CL01:2006《檢測和校準實驗室能力認可準則》的具體條款提出套用說明的編排方式,故章節號是不連續的。本檔案需與 CNAS—CL01:2006《檢測和校準實驗室能力認可準則》同時使用。
基本介紹
- 中文名:CNAS-CL20檢測和校準實驗室能力認可準則在信息技術軟體產品檢測領域的套用說明
- 發布時間:2006 年 06 月 01 日
- 發布機構:中國合格評定國家認可委員會
- 實施時間: 2007 年 04 月 30 日
套用說明
引言
信息技術產品檢測領域是中國合格評定國家認可委員會(英文縮寫:CNAS)對實驗室的認可領域之一。
要求
4 管理要求
4.1 組織
4.1.5 實驗室應
a)有政策和程式確保客戶的機密信息和所有權得到保護。除了有電子儲存和傳輸結果的保護程式,在檢測過程中還應對客戶產品的一切信息進行保護。例如,檢測過程中的螢幕保護等。
b)建立並保持從事信息技術產品檢測公正性和信任性的政策和程式。實驗室應:
(1)確保以獨立判斷和始終保持可信方式組織信息技術產品檢測;
(2)同一實驗室人員或小組不能開發和檢測同一標準或信息技術產品;
(3)同一實驗室人員對其將要參加檢測的同一標準或信息技術產品不得提供諮詢服務;
實驗室應制定明確的政策並在實驗室檢測人員與產品開發商、系統集成商、
其他有利害關係和可能影響檢測結果的人員之間建立保持相互分離的檔案化程式。
4.2 管理體系
4.2.1 實驗室的管理體系應能促進實驗室的活動以保證技術準確,檢測公正等。
管理體系應包括:
(1) 保證適當信息得到保護的政策和程式。例如,哪些信息應當保護,以防止透露給實驗室之外的人員、參觀實驗室人員、不需知道這些信息的實驗室人員以及其他未授權人員。
(2)體系管理和可靠性的程式。如果適用,還應包括在實驗室以外的場所進行信息技術產品檢測的程式。例如,解釋並說明怎樣保證檢測場所的檢測條件,如何儲存記錄和檔案以及如何控制檢測設備等。
4.11 糾正措施
4.11.2 原因分析
不合格潛在的原因除了注釋中所列之外還應包括病毒、檢測的操作順序等。
4.13 記錄的控制
4.13.1 總則
4.13.1.2 所有的記錄應註明日期和簽名。實驗室的記錄應保存五年以上。
4.13.1.3 實驗室應有程式確保所有的記錄(包括任何形式的記錄)的準確性、完整性和保密性,防止未經授權的訪問和和修改。信息技術產品檢測實驗室應採取措施確保,無論在檢測期間還是在檢測之後,第三方都不能夠訪問線上記錄。如果進行檢測的客戶的系統,在檢測期間向客戶開放訪問,則檢測實驗室應能確保第三方在檢測期間不能夠訪問正在進行檢測的客戶的系統。此外,如果進行檢測的客戶的系統在檢測完成之後向第三方開放訪問,並且客戶要將檢測結果放在其系統上,那么,客戶應提供一份書面承諾,說明對檢測記錄負全部責任。如果
客戶沒有做出這樣的承諾,檢測實驗室首先應以妥善的刪除方式尋求與客戶達成協定,然後刪除在檢測過程中在客戶系統上生成的所有記錄。
4.13.1.4 以電子形式記錄和存儲的記錄應有相關人員和日期的信息,這些記錄應有適當的標識和備份,也應符合實驗室的政策並確保記錄的完整性。
4.13.2 技術記錄
4.13.2.1 檢測行為記錄應能夠追溯到檢測人員的操作和工作方法。
(1) 保證適當信息得到保護的政策和程式。例如,哪些信息應當保護,以防止透露給實驗室之外的人員、參觀實驗室人員、不需知道這些信息的實驗室人員以及其他未授權人員。
(2)體系管理和可靠性的程式。如果適用,還應包括在實驗室以外的場所進行信息技術產品檢測的程式。例如,解釋並說明怎樣保證檢測場所的檢測條件,如何儲存記錄和檔案以及如何控制檢測設備等。
4.11 糾正措施
4.11.2 原因分析
不合格潛在的原因除了注釋中所列之外還應包括病毒、檢測的操作順序等。
4.13 記錄的控制
4.13.1 總則
4.13.1.2 所有的記錄應註明日期和簽名。實驗室的記錄應保存五年以上。
4.13.1.3 實驗室應有程式確保所有的記錄(包括任何形式的記錄)的準確性、完整性和保密性,防止未經授權的訪問和和修改。信息技術產品檢測實驗室應採取措施確保,無論在檢測期間還是在檢測之後,第三方都不能夠訪問線上記錄。如果進行檢測的客戶的系統,在檢測期間向客戶開放訪問,則檢測實驗室應能確保第三方在檢測期間不能夠訪問正在進行檢測的客戶的系統。此外,如果進行檢測的客戶的系統在檢測完成之後向第三方開放訪問,並且客戶要將檢測結果放在其系統上,那么,客戶應提供一份書面承諾,說明對檢測記錄負全部責任。如果
客戶沒有做出這樣的承諾,檢測實驗室首先應以妥善的刪除方式尋求與客戶達成協定,然後刪除在檢測過程中在客戶系統上生成的所有記錄。
4.13.1.4 以電子形式記錄和存儲的記錄應有相關人員和日期的信息,這些記錄應有適當的標識和備份,也應符合實驗室的政策並確保記錄的完整性。
4.13.2 技術記錄
4.13.2.1 檢測行為記錄應能夠追溯到檢測人員的操作和工作方法。
技術要求
5.2 人員
5.2.1 實驗室應確保其管理人員和技術人員具備進行信息技術產品檢測的能力。實驗室應保存有效的技術與管理的人員名單,包括實驗室主任,授權簽字人和關鍵技術人員。實驗室應保持那些從事信息技術產品檢測和負責監督的實驗室員工的崗位記錄和個人簡歷,且便於查閱。從事信息技術產品檢測活動的實驗室員工應具有計算機科學專業或計算機工程專業或者相關專業大學學歷,或者具有同等學歷。檢測人員應至少具備計算機軟體硬體和網路技術等方面的技術培訓,並至少具備在信息技術產品具體套用領域的 3 年工作經驗。實驗室的技術人員應至少掌握了解下列範圍的知識或經驗:作業系統、數據結構、算法設計和分析、資料庫系統、程式語言、計算機系
統結構和網路。檢測人員還應接受過智慧財產權保護方面的專門教育,具備智慧財產權意識確保客戶利益和商業機密不被泄露。針對相應的崗位技術能力要求和培訓還應考慮必要的考核。實驗室應檢查每一名被授權從事每項檢測方法檢測的員工的能力。
5.2.2 實驗室應對新員工和在崗員工制定詳細的培訓計畫檔案。每位新員工應經過培訓才能上崗。培訓計畫應是最新的,當檢測標準、檢測方法和員工崗位等發生變化時,在崗員工應重新培訓後上崗。每一名員工對其所從事的工作可能接受在職培訓、脫產培訓或其他適當形式的培訓。實驗室保存的培訓資料應是實用、有效的。實驗室員工的培訓應側重以下方面:
(1) 檢測標準/方法的一般要求,包括編寫檢測報告;
(2) 計算機軟硬體及其套用的科學知識;
(3) 計算機安全知識;
(4) 檢測標準/方法的使用知識。
5.3 設施和環境條件
5.3.1 實驗室應有足夠的設施以保障信息技術產品的檢測,包括但不限於用於檢測的設備、用於員工培訓、記錄保存、檔案保存和軟體保存等的設施,以及為確保檢測數據的準確及檢測設備的安全穩定而應具備的防靜電措施。
實驗室應有適當的保護系統保護相應的硬體、軟體、檢測數據、電子和紙質記錄以及其他的材料,避免透露給實驗室以外的人員、參觀實驗室人員、以及不需知道這些信息的實驗室人員和其他未授權人員。用於信息技術產品檢測的實驗室網路應與實驗室以外的網路隔離。如果檢測在實驗室以外的場所進行,其環境也應滿足所要求的實驗室環境等級,並能夠控制檢測環境以防止非授權實體在檢測期間進入系統存取信息。
5.3.2 實驗室應具備防範計算機病毒、惡意軟體等不良程式對檢測設施和環境造成影響的措施,例如,應具備有效的病毒保護和軟體/數據備份程式。實驗室還應定期檢查網路情況,必要時定期進行軟硬體的更新換代,與外界建立聯繫應具備電子郵件的能力等。
5.3.3 如果實驗室同時進行多樣檢測,它應保持檢測中的產品、檢測平台、外圍環境和檔案的有效分離。在某些信息技術產品檢測服務中,對單個檢測或確認服務內使用的軟體構件之間也需要明確的隔離。檢測工具、被測產品和支持環境應進行有效的隔離。一旦被測產品被集成在客戶提供的系統中,實驗室應確保在被測系統的環境部分中沒有來自其它方面的可能影響其檢測或確認結果的干擾。
5.4 檢測和校準方法及方法的確認
5.4.1 總則
實驗室應按照檢測標準和檢測方法制定檔案化程式,並據此進行信息技術產品檢測。信息技術產品檢測所採用的檢測方法涉及:檢測用例集;用來運行這些檢測用例的檢測工具(硬體和軟體)以及使用它們的方法;用來選擇和運行檢測用例及分析觀察、說明結果的相關程式,所有這些都應經適當的驗證、確認並進行相應的檔案化管理。
檢測方法確認中應包括對樣品的各個功能的檢測順序及檢測的組合。
5.4.4 非標準方法CNAS-CL20:2006
注 c 待測樣品類型的描述應包括樣品名稱、版本信息、類別等。
5.4.5 方法的確認
方法應滿足重複性和復現性準則的要求。
5.4.6 測量不確定度的評定
這些要求僅適用於要進行物理量檢測以及檢測涉及使用浮點算法或數據的近似表示極個別情況的檢測。
5.4.7.2c)由使用者開發的檢測工具和檢測用例應有足夠詳細的檔案說明,並對其適用性進行適當驗證。
5.5 設備
5.5.2 檢測設備包括但不限於硬體設備、軟體檢測工具或其他的用於信息技術產品檢測的設備,實驗室應確保檢測設備能夠滿足信息技術產品檢測的要求。用於信息技術產品檢測的計算機系統或網路系統應進行合理配置,所選用的設備應是具有可追溯性的商用軟、硬體或其他檢測工具。
5.5.3 實驗室應保存用於信息技術產品檢測的設備的使用說明及實驗室內部檔案化的使用程式。
5.5.5 實驗室應對所有的檢測設備情況編制檔案和保持記錄,包括客戶提供的設備和實驗室提供的設備。記錄除準則中所列之外,還應包括檢測所用設備的配置及支撐軟體等信息。
5.6 測量溯源性
5.6.2.2 檢測
信息技術產品檢測活動應能追溯到檢測人員的操作。檢測工具應能顯示其實施的檢測和檢測結論,並能追溯到檢測標準和方法。實驗室應確保檢測結果建立在可信的符合檢測標準和檢測方法的證據之上。
5.8 檢測和校準物品(樣品)的處置
5.8.1 當檢測的產品包括軟體構件時,如果需要,實驗室應使用適當的配置管理工具以確保在檢測過程中軟體構件的有效性和完整性。
5.8.3 在接收檢測樣品時應對樣品進行病毒檢查並記錄 。
5.8.4 實驗室應向客戶提供充分的保證,確保檢測工具或檢測用例集不會將病毒或其他損壞因素引入到屬於客戶的硬體或軟體中。當檢測樣品包括軟體時,如需要,實驗室應具備配置管理機制以便防止在檢測過程中樣品軟體被無意篡改。
5.10 結果報告
5.10.1 總則
實驗室應簽署它所完成的檢測工作的檢測報告,檢測報告應準確地、清楚地體現檢測狀況、檢測組織、檢測結果和所要求的信息。檢測報告應提供所有的必要信息以便允許同一實驗室或另一個實驗室能依據報告重複檢測並獲得類似的結果。實驗室應提供滿足結果的證據。
5.10.7 結果的電子傳送
以電子方式傳輸的檢測報告要使用電子簽名或者以加密方式傳輸,以確保報告的完整性和提交報告的實驗室身份。
5.4.4 非標準方法CNAS-CL20:2006
注 c 待測樣品類型的描述應包括樣品名稱、版本信息、類別等。
5.4.5 方法的確認
方法應滿足重複性和復現性準則的要求。
5.4.6 測量不確定度的評定
這些要求僅適用於要進行物理量檢測以及檢測涉及使用浮點算法或數據的近似表示極個別情況的檢測。
5.4.7.2c)由使用者開發的檢測工具和檢測用例應有足夠詳細的檔案說明,並對其適用性進行適當驗證。
5.5 設備
5.5.2 檢測設備包括但不限於硬體設備、軟體檢測工具或其他的用於信息技術產品檢測的設備,實驗室應確保檢測設備能夠滿足信息技術產品檢測的要求。用於信息技術產品檢測的計算機系統或網路系統應進行合理配置,所選用的設備應是具有可追溯性的商用軟、硬體或其他檢測工具。
5.5.3 實驗室應保存用於信息技術產品檢測的設備的使用說明及實驗室內部檔案化的使用程式。
5.5.5 實驗室應對所有的檢測設備情況編制檔案和保持記錄,包括客戶提供的設備和實驗室提供的設備。記錄除準則中所列之外,還應包括檢測所用設備的配置及支撐軟體等信息。
5.6 測量溯源性
5.6.2.2 檢測
信息技術產品檢測活動應能追溯到檢測人員的操作。檢測工具應能顯示其實施的檢測和檢測結論,並能追溯到檢測標準和方法。實驗室應確保檢測結果建立在可信的符合檢測標準和檢測方法的證據之上。
5.8 檢測和校準物品(樣品)的處置
5.8.1 當檢測的產品包括軟體構件時,如果需要,實驗室應使用適當的配置管理工具以確保在檢測過程中軟體構件的有效性和完整性。
5.8.3 在接收檢測樣品時應對樣品進行病毒檢查並記錄 。
5.8.4 實驗室應向客戶提供充分的保證,確保檢測工具或檢測用例集不會將病毒或其他損壞因素引入到屬於客戶的硬體或軟體中。當檢測樣品包括軟體時,如需要,實驗室應具備配置管理機制以便防止在檢測過程中樣品軟體被無意篡改。
5.10 結果報告
5.10.1 總則
實驗室應簽署它所完成的檢測工作的檢測報告,檢測報告應準確地、清楚地體現檢測狀況、檢測組織、檢測結果和所要求的信息。檢測報告應提供所有的必要信息以便允許同一實驗室或另一個實驗室能依據報告重複檢測並獲得類似的結果。實驗室應提供滿足結果的證據。
5.10.7 結果的電子傳送
以電子方式傳輸的檢測報告要使用電子簽名或者以加密方式傳輸,以確保報告的完整性和提交報告的實驗室身份。
