daopuyun的博客

软件检测实验室在申请CNAS资质时，需建立符合认可文件要求的质量管理体系，包括明确组织架构、人员职责和能力要求，并全面覆盖质量要素。质量管理体系文件分为四个层级：质量手册、程序文件、作业指导书和记录文件。质量手册为纲领性文件，程序文件详细说明质量要素，作业指导书提供具体操作指南，记录文件则包括技术记录和质量记录。这些文件依据CNAS-CL01：2018等标准编写，确保实验室管理体系的有效运行。本文通过逻辑关系图帮助梳理质量管理体系，后续将详细介绍各部分结构及关键点。

检验检测机构资质认定评审准则》2023版是软件测试实验室CMA认定的最新依据，也是CMA软件测试实验室建立质量管理体系的重要参考标准。本文我们从软件测试实验室的角度，针对第二章评审内容与要求部分一起梳理解读。资质认定技术评审内容包括:对检验检测机构主体、人员、场所环境、设备设施和管理体系等方面是否符合资质认定要求的审查。本条是对资质认定技术评审内容的规定。主要有五大部分：1、软件测试实验室的主体2、技术人员和管理人员3、测试场所4、检验检测设备设施5、质量管理体系。

实验室人员监督主要是针对在培人员，新进人员、换岗人员等。人员监督强调“新”，初始能力。新员工、新授权之前和新项目运行时，应对人员进行“初始能力”的监督。我们应该还听过一个类似的概念叫做“人员能力监控”，人员能力监控强调“授权在岗”，持续能力。人员独立上岗后，实验室还应选择适当的方式对其工作进行监控，并保留相应记录，以确认其能力能够持续保持。本文我们主要介绍软件测试CNAS实验室人员能力的监督模式。

在新版准则中，对期间核查的范围扩大了，从过去仅对需要校准的设备扩大到现在所有需要利用期间核查来保持对设备性能信心的设备。期间核查不是校准，校准要做的是通过计量标准量值确定设备示值的操作，解决“准”的问题；而期间核查做的是确定设备是否保持原有状态的操作，解决“稳”的问题。CMA/CNAS软件检测机构设备在大多数情况下仅需要进行期间核查。本文我们一起来梳理CMA/CNAS软件检测机构设备的期间核查怎么做。

软件评测实验室申请CNAS/CMA认证时，需要根据相关认可准则文件的要求，准备能够支撑业务开展的相关资源，搭建科学规范的实验室质量管理体系。试运行并覆盖全部质量要素后，经过评审机构的评审，就可以拥有相关资质了。本文我们主要跟大家分享的是软件评测实验室认证如何创建质量管理体系。

3、市场监管局自受理申请之日起，应当在30个工作日内，完成对申请人的技术评审，由于申请人整改或者其它自身原因导致无法在规定时间内完成的情况除外。(二) 检验检测机构应当对检验检测数据、结果的准确性或者有效性有影响的设备(包括用于测量环境条件等辅助测量设备)实施检定、校准或核查保证数据、结果满足计量。(一) 检验检测机构具有符合标准或者技术规范要求的检验检测场所，包括固定的、临时的、可移动的或者多个地点的场所。第十条 检验检测机构应当具有固定的工作场所，工作环境符合检验检测要求。、技术能力应当符合工作需要。

第四个方面是人员相关的费用，像内审员培训费、软件测试工程师考取证书的费用，根据认可文件要求，软件测试实验室至少需要配备5名软件测试工程师，都需要考取相关的资质证书。第二方面是环境方面的费用，实验室的装修规格没有一致的标准，只要符合官方文件对检测环境的要求即可。最后一个方面是参加能力验证或测量审核的费用，CNAS软件检测实验室申请一次能力验证一般会产生的费用在1万左右，参加测量审核产生的费用会比能力验证稍高一些，所以咱们尽量去选择合适的能力验证去参加，以节省这方面的费用。评审费（分为文件评审费及现场评审费）

软件检测实验室申请CNAS资质首先需要根据认可准则的要求，配备相应的实验室环境、人员、设备，建立软件检测实验室质量管理体系和技术体系，试运行并全面覆盖相关质量要素。本文我们一起来梳理在CNAS软件实验室评审过程中需要提前准备的材料，快速掌握CNAS软件实验室评审需要覆盖的质量要素。1、营业执照2、外部组织关系图3、内部组织结构图4、公正性声明或服务承诺5、防止利益冲突的措施和承诺6、保密承诺和措施。

因此，密评服务的客户群体包括但不限于关键信息基础设施运营者（如电信、能源、交通、金融等领域核心系统）、大型企业与机构（如银行、互联网公司、医疗保健机构等）、政府机关与公共部门（各级政府、事业单位及其处理政务数据、公民信息、公共服务数据的系统）、第三方服务提供商（云计算、大数据平台等）、中小型企业（处理敏感信息或依赖信息系统的核心业务）、特定行业与领域（如国防、电力、电商、在线支付等）。《密码法》明确规定，未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告。

针对该文件的换版发布，不论是已经获取CNAS认可的软件测试实验室，还是正在准备申请软件实验室认可的实验室，都应该做好以下工作：首先应该从官网“认可规范”栏目中的“实验室认可——认可准则——认可应用准则”中查找并下载最新文件，做好相应的文件控制管理工作。根据文件变动内容修订相应的内部文件。最后还应组织宣贯培训，识别新旧文件差异，做好内部应对工作计划。CNAS-CL01-G001:2024检测和校准实验室能力认可准则的应用要求是一份强制执行的准则文件，软件实验室认可过程中，一定会用到该文件。

昨日，国家认监委发布了关于废止国认实〔2018〕28号文件的通知，为贯彻落实《检验检测机构资质认定管理办法》（2021年4月2日根据国家市场监督管理总局令第38号修改）、《检验检测机构资质认定评审准则》（市场监管总局公告2023年第21号）及《检验检测机构资质认定评审人员管理办法（试行）》，根据有关工作要求，现决定废止《国家认监委关于检验检测机构资质认定工作采用相关认证认可行业标准的通知》（国认实〔2018〕28号）。1.检验检测机构资质认定能力评价 检验检测机构通用要求（RB/T 214-2017）

软件测试实验室申请软件测试CMA认可前，需要根据《检验检测机构资质认定评审准则》等认可文件，建立实验室质量管理体系，并落地相关文件。管理体系文件需要将认可文件的相关要求转化为适用于本实验室的规定，具有可操作性，各层次文件之间要求一致。软件测试CMA质量管理体系文件，按照金字塔结构可以分为质量手册、程序文件、作业指导书和记录文件四个层级。每个层级之间需要注意逻辑的一贯性，逻辑关系要清晰，还要满足认可准则和/或资质认定条款的所有要求。

5、为防范计算机病毒、恶意样品等不良程序对检验/检测设施和环境造成影响，用于存储质量体系和常用工具软件、操作系统克隆备份，操作系统、数据库及其他支持软件的备份的服务器和计算机，由设备管理员负责安装有效的病毒保护程序并及时更新病毒库，并对质量体系文件、软件/数据、检验/检测文档等进行备份。记录及数据的完整和安全，防止非授权实体的进入。4、检测室管理规定方面，如卫生整洁、工作秩序、 物品摆放及挪动要求、消防安全要求、《检测环境使用监测记录》填写要求、在测项目的文档管理、人员出入要求、安全要求等。

实验室应建立应对风险和机遇的措施，这是CNAS准则文件中规定的，实验室管理体系必须要包含的四大要素之一。通过风险识别，实验室可以识别和评估可能影响测试结果准确性和可靠性的潜在风险，从而确保提供高质量的服务。有助于实验室发现潜在的弱点和改进机会，从而不断优化工作流程和提高服务质量。在CNAS-CL01-A019检测和校准实验室能力认可准则在软件检测领域的应用说明中，还要求实验室在制定合同评审程序时，需要对测试风险予以充分的规定。除此之外，实验室的内部审核的周期和覆盖范围也应基于风险分析。

京津冀三地检验检测机构资质认定专业技术评价机构（以下简称资质认定技术评价机构）分别受三地省级市场监督管理部门委托，负责组织授权签字人考核的具体实施，并依据考核结果提出处理意见、跟踪整改效果等工作。为推进京津冀三地检验检测机构资质认定工作协同，加强检验检测机构授权签字人管理，根据《检验检测机构资质认定管理办法》《检验检测机构监督管理办法》《检验检测机构资质认定评审准则》等规定，制定本办法。（一）熟悉检验检测机构资质认定相关法律、行政法规的规定，熟悉《检验检测机构资质认定评审准则》及相关技术文件的要求；

能力验证方案中通常包括以下内容：实施机构的联系方式，参加者的数量及类型，参加条件，潜在的误差来源，样品的特性或预期的量值范围，样品制备和均匀性、稳定性检验（包括方法及程序），样品储存、传输和分发，样品丢失或损害时采取的措施，检测/校准方法，日程安排，数据处理和采用的统计分析，指定值及不确定度的确定方法，指定值的计量溯源性，结果评价标准，反馈给参加者的数据等的描述，对计划的结果及结论公布的范围，参加者反馈结果的标准化报告格式等必要内容。3、进行检测或校准之前，能力验证物品的准备和/或状态调节的详细要求；

在软件检测领域，当软件检测结果涉及测量值并有量值精确度要求的，要应用评定测量不确定度的程序，分析不确定度的因素及其对软件测试结果的可能影响，测量结果不确定度的评定要求一般仅适用于要进行物理量检测以及检测涉及使用浮点算法或数据的近似表示极个别情况的检测，例如效率度量中响应时间、处理时间、周转时间、吞吐量等。在申请CMA资质时，软件评测机构需要制定《测量不确定度的评定程序》用来指导进行测量不确定度评定。《测量不确定度的评定程序》中，需要对不确定度的有关概念进行明确，如测量结果及特性、测量误差、测量不确定度等。

该条款是对监测、控制和记录环境条件的要求，监测、控制和记录环境条件的前提是相关规范、方法或程序对环境条件有要求，或环境条件影响结果的有效性。需要制定《检测环境管理规定》相关文件，明确环境设施及内务规定和对检验检测环境的管理规定，要求相关人员依据检验检测方法要求识别各检验检测活动所必需的设施及环境条件的要求，并依据检验检测的要求持续更新相关设施和环境要求。当需要离开固定环境，实施现场检测时，需要严格进行现场检验检测设施环境的控制，确保环境条件满足检验检测标准或者技术规范的要求。

软件测试实验室通过按照认可要求建立质量管理体系、获取CNAS资质，不仅能向社会、向客户证明自己的技术能力，而且可以创造和国际接轨的平台，助力产品质量提升。本文与大家分享CNAS软件测试实验室建立实验室质量管理体系与质量管理体系运行过程中的核心要素，帮助大家快速掌握CNAS软件测试实验室质量管理体系整体思路。

软件测试实验室申请CNAS/CMA资质需要经历文审、现场评审、现场见证等评审环节，本文我们从不同环节入手，跟大家一一分享在不同环节中，需要准备的资料清单以及评审专家的评审点汇总。

GB/T25000标准由下图所示的21部分组成，其中GB/T 25000.10-2016《系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第10部分：系统与软件质量模型》和GB/T 25000.51-2016《系统与软件工程 系统与软件 质量要求和评价（SQuaRE）第 51 部分：就绪可用软件产品（RUSP）的质量要求和测试细则》是建立软件测试技术体系可以参考的部分，GB/T 25000.51尤为重要。第5章RUSP的要求部分说明了RUSP的质量要求，包括产品说明、用户文档、软件质量。

对照业务能力框架，检查每个业务活动是否有制度文件予以规范，查找缺漏；融合的管理体系文件整体架构可参照ISO管理体系文件总体架构，融合原有各管理体系的要素，以软件测试实验室现有规章制度内容为基本遵循，形成一套统一的以质量手册、程序文件、作业指导书和记录文件构成的体系文件，实现对业务活动的全面覆盖。全面分析软件测试实验室各部门所有的业务活动，明确体系对业务的覆盖范围，对各项业务活动的工作范围、业务流程、职责权限、相互关系进行研究和描述，对各项业务细化分解，形成各单位的业务能力框架，最后汇总形成业务能力框架。

能力验证是软件测评实验室申请CNAS认证前必须要做的一类质量活动。CNAS软件测评实验室初次认可和扩大认可范围时，申请认可的每个子领域应至少参加过一次相关领域的能力验证且获得满意结果。通过认定认可后，只要存在可获得的能力验证，不同类目参加能力验证的领域和频次应满足 CNAS 能力验证领域和频次（CNAS-AL07）的要求，软件测试领域应至少每 2 年参加一次。

另外很重要的是：需考虑现有的数据是否足以反映所有的不确定度来源，是否需要安排其它的实验和研究来确保所有的不确定度来源都得到了充分的考虑。取95%的包含概率，k=2（准确值是1.96，习惯做法取2），那么第4步合成的标准不确定度，乘以包含因子2，就得到扩展不确定度。测量不确定度作为测量结果的一部分，合理表征了被测量量值的分散性，对测量结果的可信性、可比性和可接受性都有重要影响，是评价测量活动质量的重要指标。以上就是CNAS软件检测机构的不确定度评定的相关介绍，如需完整的测量不确定度记录表模板，可私信我获取。

人员能力确认是CNAS软件检测实验室质量管理工作中非常重要的一个环节。本文我们一起来看一下，软件检测实验室人员能力确认的三种方法，以及软件检测实验室人员能力要求以及与人员相关的质量记录。

1）未按《质量手册》和管理程序要求提供对影响公正性的风险进行识别、评价的记录。2）当影响因素有变化时，未能持续识别影响公正性的风险，如所有权/控制权变化、新进人员、新客户产生、有营销行为等。风险包括：实验室活动、实验室的各种关系，或实验室人员的关系而引发的风险；危及实验室公正性的关系可能基于所有权、控制权、管理、人员、共享资源、财务、合同、市场营销（包括品牌推广）、给介绍新客户的人销售佣金或其他好处等。体系文件中缺少实验室活动范围的描述。或者实验室活动范围有变动，但未及时更新体系文件。

软件检测实验室在申请CNAS认可时，需要依据认可准则的要求，结合实验室的实际运行情况，编写软件检测实验室质量管理体系文件。在CNAS相关认可准则中，并没有明确说明质量管理体系具体应该是什么样子，但是在实际的评审过程中，有明确要求，质量管理体系文件应逻辑清晰一致，严禁照搬。本文我们就一起梳理和探讨CNAS软件检测实验室质量管理体系文件的编写思路以及主要内容要素。

本系列文章我们跟大家按照CNAS-CL01《检测和校准实验室能力认可准则》文件中的顺序，逐条分析每一部分条款，帮助软件检测实验室在申请CNAS资质时，更好地理解资质申请过程中应该做好的相关工作。本文我们是公正性要求部分的解读。

管理评审全套输入输出记录是必查项目，在CMA或CNAS评审过程中，评审专家会对最近一次的管评全套材料进行全面审查，机构在管评方面最容易犯的5个高频问题，这些问题只要审到100%会开具不符合，机构应提前进行管评材料的全面审查及完善。培训内容不全，只有技术类培训，缺少保密和公正性、体系、安全等方面的培训；记录是实验室各项工作合规开展的证明，也是CMA或CNAS资质评审的重要依据材料，在记录管理方面，应从制度的建立到记录模板的设计到记录的填写归档进行全面管理，针对不合规的记录应时时开展培训宣贯。

如果检验检测报告中的信息量不充分或信息出现错误，就会导致报告内容不实，与样品或检测结果无法对应，甚至会造成检验检测报告无效的情况。此种情况若经客户许可，可将分包方的检验检测数据、结果纳入自身的检验检测报告中，但在报告中应明确标注分包项目，且注明自身无相应资质认定许可技术能力，并注明分包方的名称和资质认定许可编号。因此，CNAS软件测试实验室在进行合同评审时，应严格核对本机构的资质情况，只有报告中包含的所有检测项目均获得资质，才可以在检验检测报告上加盖相应资质标识，这是合同评审以及报告生成时应控制的关键点。

检验检测机构中从事技术管理和专业技术工作的人员，包括但不限于:管理层、技术负责人、质量负责人、授权签字人、提出意见和解释的人员、内审员、质量监督员、操作各类仪器设备、从事检验检测、抽(采)样人员、合同评审人员、样品管理人员、技术档案管理人员、仪器设备管理人员等。

CMA软件测试实验室的数据是实验室原始记录的重要部分，不仅仅在CMA资质评审的过程中是非常重要的评审内容，在后续有关部门的的飞行检查中，也是非常重要的检查内容。如果实验室出现伪造数据、篡改数据、不实数据和虚假数据，有可能会被行政处罚和撤销资质，严重时还会受到法律制裁。本文我们就一起来看一下，CMA软件测试实验室如何规范修改数据，以及伪造数据、篡改数据、不实数据和虚假数据有什么区别。

但是对于漏洞扫描工具的选择范围就非常广泛了，行业内比较有名的像AWVS 、AppScan、 WebInspect、 nessus、nmap等国外工具，以及安恒、绿盟等国产工具。本文我们就跟大家分享一下，针对漏洞扫描工具，我们可以从哪些方面去评估，帮助大家选到适合自己的漏洞扫描工具。针对不同的工具我们也做了一些比对，如果您有漏洞扫描工具采购相关的需要，或者计划申请cnas软件测试认证，可以私信我获取详细的比对参数，查看行业主流漏洞扫描工具之间的差异。（谢绝转载，更多内容可查看我的专栏）

软件测试实验室在申请CMA资质前，需要依据相关政策和法规建立质量管理体系和技术体系。在前面的文章中我们为大家介绍了CMA软件测试实验室质量管理体系的建设思路，本文我们继续跟大家分享CMA软件测试实验室技术体系的建设思路。从整体来看，CMA软件测试实验室的检验检测业务流程如下图所示，包含客户沟通、业务受理、样品接收、样品抽样、样品标识、检测项目开始、样品流转、检测准备、样品检测、原始记录及校准、结果报告、报告签发、样品处置、报告存档、投诉处理以及报告更正或增补这些环节。

软件测试实验室在计划申请CNAS资质前，需要建立一套符合CNAS要求的软件测试质量管理体系。CNAS软件测试质量管理体系不仅能够提升软件测试实验室的质量水准，还可以确保测试结果的权威性和稳定性。本文我们一起来看一下在CNAS软件测试质量管理体系建设的过程中，不同阶段需要做的工作以及CNAS软件测试质量管理体系的十个核心要素。

CMA是中国检测机构和实验室强制认证的缩写。取得实验室资质认定合格证书的检测机构，可按证书上所批准列明的项目，在检测证书及报告上使用CMA标志。资质认定分国家和省级两级，二者执行的准则和认定程序相同，许可的效力也相同，均为全国通用，只是管辖权不同。软件测试实验室获取CMA资质经过申请、受理、审查配合、获取证书这几个阶段。本文我们一起来看一下，在审查配合阶段，软件实验室资质评审要点清单。我们分别从材料审查和现场评审两个方面展开介绍。

CNAS是中国合格评定国家认可委员会的简称，是国家认证认可监督管理委员会批准设立并授权的国家机构。负责对实验室、认证机构和检查机构的认可工作，并通过评价和监督实验室、认证机构、检查机构的活动，确认其是否有能力开展相应的认证、检测和校准、检查等活动以及确认其活动的权威性。是目前最具公信力的实验室认可评审机构。软件测评实验室获得CNAS认可不仅可以促进业务发展，还可以提升实验室的公信力和权威度。本文我们一起来了解一下，软件测评实验室获取CNAS认可的流程。

在CNAS-CL01《检测和校准实验室能力认可准则》中，第7.8部分是针对报告结果的全部要求。本文我们分享的是CNAS认可委发布的认可文件解读，通过逐条进行分析，帮助大家了解认可准则中有关CNAS软件测试实验室检测报告部分的内容。

十四五”规划和党的二十大报告均提出，要坚定不移地建设制造强国、质量强国，网络强国、数字中国。检验检测行业是为实体经济服务的“高技术服务业、科技服务业和生产性服务业”，作为国家质量基础设施重要组成部分，被视为国家质量提升、助力实体经济转型升级的重要支撑。检验检测行业数字化转型既是服务于我国数字经济发展和产业质量提升的现实需要，也是检验检测行业做大做强的必由之路。由于检验检测行业现阶段数字化水平普遍处于起步阶段，急需努力寻求突破。

风险管理过程是实验室管理的重要组成部分，贯穿于实验室的全部活动过程之中。在CNAS-CL01：2018《检测和校准实验室能力认可准则》中，第4.1.4条规定：实验室应持续识别影响公正性的风险。这些风险应包括其活动、实验室的各种关系，或者实验室人员的关系而引发的风险。然而，这些关系并非一定会对实验室的公正性产生风险。在实际的评审过程中，该条款也是公正性方面最容易出现问题的地方。本文我们一起来梳理一下，CNAS软件测试实验室公正性风险评估怎么做。