GB/T 35280-2017 信息安全技術 信息技術產品安全檢測機構條件和行為準則5.2 設施和環境
5.2 設施和環境
5.2.1
檢測機構應規定檢測活動所需的設施和環境,并形成文檔。設施和環境應滿足檢測活動的要求,不應影響檢測結果的正確性。檢測機構應監測、控制和記錄相關說明書、方法和規程所要求的環境。如果存在影響結果正確性的情況,應根據需要監測、控制和詳細記錄環境。
5.2.2
檢測機構應有受到保護(例如通過防火墻、入侵檢測系統等保護)的檢測網絡,保護其免受外部實體的非授權訪問,以及免受惡意軟件、蠕蟲、病毒及間諜軟件等的攻擊。
5.2.3
檢測機構應有保護客戶硬件、軟件、檢測數據、電子和紙質記錄以及其它材料的系統,該系統應保護客戶所有的材料和信息,避免檢測機構的外部人員、檢測機構的訪客、與相應檢測無關的檢測機構其他人員和其它未授權人員接觸這些材料和信息。
5.2.4
如果檢測機構在多個地點進行檢測活動,每個地點都應符合本標準的相關要求,并應建立多個地點之間的安全通信機制。
5.2.5
檢測機構應對檢測活動相關信息系統進行及時維護,以有效預防病毒和惡意軟件攻擊。
5.2.6
檢測機構應建立有效的備份機制,避免數據和記錄的丟失。
5.2.7
當檢測機構同時進行多個檢測活動時,不同客戶或者不同檢測產品的檢測環境應有效分離。
5.2.8
當檢測活動在檢測機構外部進行時,檢測機構應制定相應管理規程,用以指導檢測技術人員開展檢測活動。例如,在客戶地點進行檢測活動時,管理規程應規定如何在客戶地點安全的進行檢測、如何存儲記錄和文檔以及如何控制對檢測設備的訪問等。
推薦文章: