標準解讀

《GB/T 35280-2017 信息安全技術 信息技術產(chǎn)品安全檢測機構條件和行為準則》是由中國國家標準化管理委員會發(fā)布的一項國家標準,旨在為從事信息技術產(chǎn)品安全檢測的機構提供一套規(guī)范化的指導原則。該標準明確了檢測機構在進行信息技術產(chǎn)品安全性評估時所需滿足的基本條件以及應遵循的行為準則。

根據(jù)標準內(nèi)容,信息技術產(chǎn)品安全檢測機構需具備一定的組織結構、人員資質和技術能力。具體來說,這些機構應當建立完善的管理體系,包括但不限于質量控制體系、風險管理機制等;同時要求其工作人員擁有相應的專業(yè)知識背景及實踐經(jīng)驗,并定期接受培訓以保持技能更新。此外,還強調了對測試環(huán)境的安全性要求,比如物理安全措施、數(shù)據(jù)保護策略等。

對于行為準則部分,《GB/T 35280-2017》規(guī)定了檢測過程中必須遵守的原則,如獨立性、公正性和保密性。獨立性指的是檢測活動不受任何外界因素干擾;公正性意味著所有客戶都將被平等對待;而保密性則要求嚴格保護客戶的商業(yè)秘密和個人隱私信息不被泄露。此外,還提出了透明度的要求,即向客戶提供清晰明確的服務流程說明及相關報告,并確保整個評估過程公開透明。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2017-12-29 頒布
  • 2018-07-01 實施
?正版授權
GB/T 35280-2017信息安全技術信息技術產(chǎn)品安全檢測機構條件和行為準則_第1頁
GB/T 35280-2017信息安全技術信息技術產(chǎn)品安全檢測機構條件和行為準則_第2頁
GB/T 35280-2017信息安全技術信息技術產(chǎn)品安全檢測機構條件和行為準則_第3頁
GB/T 35280-2017信息安全技術信息技術產(chǎn)品安全檢測機構條件和行為準則_第4頁
GB/T 35280-2017信息安全技術信息技術產(chǎn)品安全檢測機構條件和行為準則_第5頁
免費預覽已結束,剩余11頁可下載查看

下載本文檔

GB/T 35280-2017信息安全技術信息技術產(chǎn)品安全檢測機構條件和行為準則-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T35280—2017

信息安全技術信息技術產(chǎn)品安全

檢測機構條件和行為準則

Informationsecuritytechnology—Requirementandcodeofconductfor

securitytestingbodiesofinformationtechnologyproducts

2017-12-29發(fā)布2018-07-01實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T35280—2017

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

基本要求

4…………………2

行政管理要求

4.1………………………2

能力要求

4.2……………2

資源要求

5…………………2

人員

5.1…………………2

設施和環(huán)境

5.2…………………………3

設備

5.3…………………3

外部提供的產(chǎn)品和服務

5.4……………4

過程要求

6…………………4

要求標書和合同的評審

6.1、……………4

方法選擇和確認

6.2……………………4

抽樣

6.3…………………5

檢測樣品的處置

6.4……………………5

技術記錄

6.5……………5

檢測結果質量的保證

6.6………………5

結果報告

6.7……………6

投訴

6.8…………………6

不符合檢測工作的控制

6.9……………6

數(shù)據(jù)和信息的管理

6.10…………………6

管理體系要求

7……………7

行為準則

8…………………7

參考文獻

………………………9

GB/T35280—2017

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術標準化研究院中國信息安全測評中心中國信息安全研究院有限

:、、

公司北京信息安全測評中心國家信息技術安全研究中心公安部第三研究所國家保密科技測評中

、、、、

心國家應用軟件產(chǎn)品質量監(jiān)督檢驗中心中國信息安全認證中心中國電子科技集團公司第十五研究

、、、

所信息產(chǎn)業(yè)信息安全測評中心中國科學院軟件研究所陜西省網(wǎng)絡與信息安全測評中心西安電子

()、、、

科技大學重慶郵電大學華東師范大學國網(wǎng)江蘇省電力公司電力科學研究院

、、、。

本標準主要起草人范科峰王惠蒞龔潔中李琳任澤君王春佳楊晨顧健楊宏寧王坤

:、、、、、、、、、、

董晶晶李鳳娟張寶峰時志偉魏方方甘杰夫劉玉嶺賀海馬文平楊帆裴慶琪楊力黃永洪

、、、、、、、、、、、、、

何道敬劉虹黃偉

、、。

GB/T35280—2017

引言

為保障關鍵信息基礎設施網(wǎng)絡安全消減因為大量使用的信息技術產(chǎn)品可能給設施引入的安全缺

,

陷漏洞惡意程序等潛在的安全風險需要通過對信息技術產(chǎn)品安全檢測提高信息技術產(chǎn)品供應方產(chǎn)

、、,,

品的安全保障能力

。

同時為加強信息技術產(chǎn)品安全檢測機構管理規(guī)范信息技術產(chǎn)品安全檢測機構行為保障檢測活動

,,

的公正可信性以及安全檢測機構的能力水平促使信息技術產(chǎn)品供應方提高產(chǎn)品的安全保障能力保障

,,

國家關鍵信息基礎設施安全制定本標準

,。

GB/T35280—2017

信息安全技術信息技術產(chǎn)品安全

檢測機構條件和行為準則

1范圍

本標準規(guī)定了信息技術產(chǎn)品安全檢測機構應具備的條件以及應遵守的行為準則

。

本標準適用于從事信息技術產(chǎn)品安全性檢測的第三方機構可為相關主管部門信息技術產(chǎn)品供應

,、

方和用戶選擇第三方檢測機構提供參考

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術術語

GB/T25069—2010

合格評定詞匯和通用原則

GB/T27000—2006

檢測和校準實驗室能力的通用要求

GB/T27025

信息安全技術信息技術產(chǎn)品供應方行為安全準則

GB/T32921—2016

3術語和定義

和界定的以及下列術語和定義適用

GB/T25069—2010、GB/T27000—2006GB/T32921—2016

于本文件為了便于使用以下重復列出了中的一些術語和定義

。,GB/T32921—2016。

31

.

信息技術產(chǎn)品informationtechnologyproduct

具有采集存儲處理傳輸控制交換顯示數(shù)據(jù)或信息功能的硬件軟件系統(tǒng)和服務

、、、、、、、、。

注信息技術產(chǎn)品包括計算機及其輔助設備通信設備網(wǎng)絡設備自動控制設備操作系統(tǒng)數(shù)據(jù)庫應用軟件與服

:、、、、、、

務等

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權,嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論