GB/T 35280-2017 信息安全技術 信息技術產品安全檢測機構條件和行為準則5.3 設備
5.3 設備
5.3.1
檢測機構應具有滿足檢測活動的設備,應建立設備使用、維護、廢棄等管理制度。當檢測機構使用非本機構的設備時,應確保其滿足本標準及相關要求。
5.3.2
檢測機構針對可能對檢測結果準確性或有效性產生顯著影響的設備,在投入使用前應驗證其是否能夠滿足檢測的需求。
5.3.3
檢測機構應具有相應的安全檢測工具等資源,檢測工具包括但不限于安全漏洞掃描工具、源代碼分析工具、安全配置核查工具等。
5.3.4
檢測工具應遵從制造商的說明書進行維護(如適用),并遵從檢測機構內部管理制度。
5.3.5
當檢測工具發生變更時,無論其變動大小,檢測機構都應對變更后的檢測工具進行驗證,以確保其正確執行。如檢測工具沒有配套的驗證程序,檢測機構應定義驗證程序,形成文檔,并記錄驗證過程。
5.3.6
檢測機構應維護可能影響到檢測活動的設備的記錄。記錄應包括:設備標識(包括軟件和固件版本,若適用)、型號、設備校準信息、維護活動、配置信息以及對設備的任何損害、故障、修改或者維修的信息等。
5.3.7
任何非正常運行或者可能損壞的設備,應不再予以使用。在其修復并驗證能夠正確完成其功能前,應隔離放置,并進行標記。
5.3.8
檢測項目結束時,應及時清除設備中存儲的相關信息。
推薦文章: