CMA申请条件补充要求(软件检测)
一、人员能力
1)软件检测人员数量:一般≥20人;仅嵌入式软件检测≥10人
2)学历/经历:相关专业大专及以上;非相关专业需中级及以上职称且≥1年软件开发/检测经历
3)关键能力:熟悉法规标准,掌握被测软件背景知识、检测技术与工具操作
4)中级及以上职称或同等能力占比:≥30%(同等能力:博士≥1年、硕士≥3年、本科≥5年、大专≥8年软件检测经历)
5)技术负责人:了解资质认定要求及专业知识;副高级及以上职称且≥3年软件检测经历,或同等能力(本科≥8年、硕士≥5年、博士≥3年)
6)授权签字人:了解资质认定及授权范围专业;副高级及以上职称且≥3年软件检测经历,或同等能力(同上)
二、设备/工具/信息系统
1)影响结果的设备:测试工具(性能/安全/仿真等)、陪测软硬件、支撑被测软件运行软硬件
2)租赁设备:需合法许可/授权协议,确保独立支配使用权
3)量值溯源:测量仪器应溯源;影响准确/有效性的设备需检定、校准或核查
4)工具确认与核查:商用/客户提供/开源/自研工具均需检定校准或核查;有指标的工具使用前检查范围;客户提供/开源/自研工具使用前确认适用性与安全性
5)项目前核查与样本集更新:每个项目测试前核查设备,确保检测样本集(病毒库、攻击包、漏洞库等)为最新版本,保障持续适用与安全
6)版本与配置控制:测试工具应版本管理、升级与配置控制,具唯一性标识,防止误用
7)信息管理系统:覆盖全流程(委托、方案、样品、核查、环境、记录、报告等),定期备份;修改需确认批准并留记录;操作手册及电子表格受控;外部运维需监督评价
三、检测样品(测试对象/被测软件)
1)接收记录与标识:接收时详细记录被测软件的程序、文档、数据及版本号,进行唯一性标识
2)病毒检查:接收及现场测试时,均需采取病毒检查措施并记录,现场还应进行风险告知
3)防护保证:向客户保证测试工具/集不会将病毒或其他因素引入客户软硬件
4)测试后处置:测试完成后,按客户要求处置被测软件,并保留记录
四、方法/标准/文件化体系运行
1)标准与要求:掌握现行有效国际/国家/行业标准,具备相应检测能力
2)方法引入前验证:验证能否正确运用并形成验证报告,确认人、设施、设备等满足要求,通过检出率、重复性、比对等试验证明准确性
3)方法技术评审与确认:检测前对方法进行技术评审和确认;方法含测试标准、工具及使用、用例获取结果程序
4)指导书与符合性:具备方法使用指导书,确保用例、数据、工具配置符合方法;通过培训等确保正确运用
5)流程与文件化:检测过程及项目管理政策、制度、计划、程序、指导书文件化;对需求、计划、用例、结果等阶段成果评审
五、环境与设施
1)设施环境:确保数据与设备完好安全稳定,软硬件环境匹配被测软件;检测区与非检测区有效隔离,防非授权进入。
2)固定场所外测试:需控制设施环境满足要求,保障记录与数据完整安全
3)环境监控与记录:监控记录影响结果的环境条件;防恶意程序交叉感染(防病毒软件及时升级并记录,使用前核查环境);固定场所外实施同等防护
4)网络与项目隔离:检测网络与其他网络隔离;多项目并行环境有效分离;远程测试关注网络环境,必要时做差异性分析并说明偏差及影响
六、测量/记录/质量控制
1)技术记录:保存检测技术记录,涵盖活动、审查数据、日期及责任人;至少包含输入项、技术文档、环境记录、执行记录、技术评审记录等
2)质量控制:文件化质量控制要求,证书有效期内覆盖所有参数;可采用留样再测、不同方法/工具重复检测标识偏差,参加实验室间比对/能力验证标识离群