| 标准编号 | RB/T 203-2018 (RB/T203-2018) | | 中文名称 | 信息安全领域检验检测机构安全管理要求 | | 英文名称 | Requirements for security management of information security inspection body and test laboratory | | 行业 | Chinese Industry Standard (推荐) | | 中标分类 | A00 | | 国际标准分类 | 03.120.20 | | 字数估计 | 12,197 | | 发布日期 | 2018-06-04 | | 实施日期 | 2018-12-01 | | 标准依据 | 国认科(2018)31号 | | 发布机构 | 国家认证认可监督管理委员会 | RB/T 203-2018
Requirements for security management of information security inspection body and test laboratory
ICS 03.120.20
A00
中华人民共和国认证认可行业标准
信息安全领域检验检测机构安全
管理要求
2018-06-04发布
2018-12-01实施
中国国家认证认可监督管理委员会 发 布
目次
前言 Ⅰ
引言 Ⅱ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 组织和管理 1
4.1 组织 1
4.2 安全管理要求 2
4.3 风险评估及风险控制 2
4.4 纠正措施 2
4.5 预防措施 2
4.6 内部审核 3
4.7 管理评审 3
5 人员管理 3
5.1 总则 3
5.2 人员确认、培训和评价 3
5.3 保密 4
5.4 离岗离职 4
6 设施与环境管理 4
6.1 设施 4
6.2 检验检测环境 5
7 设备管理 5
7.1 总则 5
7.2 安全使用 5
7.3 维修和报废 6
7.4 自开发设备 6
8 安全运行管理 6
8.1 检验检测方法及方法的确认 6
8.2 检验检测对象安全管理 6
8.3 安全运行 7
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准由国家认证认可监督管理委员会提出并归口。
本标准起草单位.中国信息安全认证中心。
本标准主要起草人.严妍、布宁、张晓梅、贾雪飞、何静、郝伟博、辛建峰。
引 言
信息安全领域检验检测机构作为信息安全检验检测工作的执行者,其管理水平和技术能力决定了
检验检测结果的科学准确,直接影响认证结果的科学性、客观性和公正性。
GB/T 27025和GB/T 27020是我国检验检测机构的通用管理标准,提出了检验检测机构在“人、
机、料、法、环”5个要素中的管理要求。本标准针对信息安全领域特殊性、信息安全检验检测技术特点,
在上述标准基础上,补充了检验检测机构应具备的安全管理要求,以指导信息安全领域检验检测机构建
立、改进和完善管理体系,不断提升检验检测服务水平,保障检测结果的科学准确。
信息安全领域检验检测机构安全
管理要求
1 范围
本标准规定了信息安全领域检验检测机构安全管理的组织和管理、人员、设施与环境、设备和安全
运行相关要求。
本标准适用于所有从事信息安全相关检验检测活动的机构。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 27020 合格评定 各类检验机构的运作要求
GB/T 27025 检测和校准实验室能力的通用要求
3 术语和定义
GB/T 27020和GB/T 27025界定的以及下列术语和定义适用于本文件。
3.1
依法成立,依据相关标准或者技术规范,利用仪器设备、环境设施等技术条件和专业技能,对信息安
全产品、信息技术产品安全性、信息系统安全性或者法律法规规定的特定对象进行检验检测活动的专业
技术组织。
3.2
安全管理 securitymanagement
信息安全检验检测机构为实现检验检测活动的目标,确保检验检测活动中的数据及资源的保密性、
安全性和完整性而进行的有关决策、计划、组织和控制等方面的活动。
3.3
安全设施 securityfacilities
信息安全领域检验检测机构在从事检验检测活动中,将检验检测活动中面临的威胁及其存在的脆
弱性控制在安全范围内,以及减少、预防和消除安全风险所配备的装置(设备)和采取的措施。
4 组织和管理
4.1 组织
检验检测机构或其母体组织应有明确的法......
|