GB/T 35280-2017 信息安全技術 信息技術產品安全檢測機構條件和行為準則6.1 要求、標書和合同的評審
6.1 要求、標書和合同的評審
6.1.1 通用要求
6.1.1.1檢測機構應與客戶就檢測工作簽訂保密協議,明確檢測機構對用戶資料和檢測過程中產生信息的使用范圍和方法。
6.1.1.2檢測機構應制定評審客戶要求、標書和合同的管理制度,并形成文檔。
6.1.1.3當客戶要求的方法不適當或者已不適用時,檢測機構應告知客戶。
6.1.1.4應與客戶及時溝通相關事宜,例如:合同執行情況、執行合同時發生的偏差、客戶需要查看的檢測活動等。
6.1.1.5如果在執行合同期間,合同發生了變更,檢測機構應對合同進行重新評審,并與受影響的相關方進行溝通。
6.1.1.6應維護相關評審記錄,包括任何重大變更的記錄、與客戶就客戶要求的討論記錄、或者與客戶進行的涉及檢測活動結果的記錄等。
6.1.1.7 對特殊行業或領域進行安全檢測時,應對參與檢測的人員背景進行審查。
6.1.2 外部提供的檢測活動
6.1.2.1 檢測機構評審客戶申請、標書和合同的管理制度應包括對外部提供商的檢測活動的管理。檢測機構應告知客戶有哪些檢測活動由外部提供商執行,并獲得客戶的許可。
注:外部提供的檢測活動可能發生在下列情況:
——當檢測機構有資源和能力實施活動,但是由于意外原因不能夠部分或者全部實施;
推薦文章: