CNAS软件产品检测标准25000中信息安全性一般都用什么软件，现场评审一般都考核哪些？

应助达人

你们能找到一款叫信息安全等级测评工具吗？主要想问考核这个方面的？评测软件只要涉及信息安全方面的都会测评。比如漏洞缺陷等等

应助达人

一、覆盖软件产品八大特性的测试依据及准则
GB/T 25000.51-2016从功能性、性能效率、兼容性、易用性、可靠性、信息安全性、维护性、可移植性八个方面，对就绪可用软件产品的质量特性、测试及评价细则进行详细描述，为供需双方等提供测试依据和测试准则。

二、信息安全测试的关键要点
GB/T 25000.51-2016信息安全特性从保密性、完整性、可用性、抗低赖性、可核查性、真实性出发，对其保护信息和数据的程度进行判断和核查，并输出书面报告及改善方案。

保密性：指产品或系统确保数据只有在被授权时才能被访问的程度。
完整性：指产品或系统防止未授权访问，及篡改计算机程序或数据的程度。
可用性：指信息或数据可以随时正常使用的程度。
抗抵赖性：指活动或事件发生后可以被证实且不可被否认的程度。
可核查性：指实体的活动可以被唯一地追溯到该实体的程度。
真实性：指对象或资源的身份标识能够被证实符合其声明的程度。


三、兼容性测试的关键要点
随着电子产品及客户需求的不断提升，软件环境也在不断变化，在不同硬件及软件环境下，实现数据共享的要求也愈来愈高。

GB/T 25000.51-2016中增加兼容性测试准则，则是正式将其纳入规范化管理中。标准中兼容性测试是指在共享相同的硬件或软件环境的条件下，产品、系统或组件能够与其他产品、系统或组件交换信息，并执行其所需的功能。主要体现在软件的共存性和互操作性。

共存性：指在与其他产品共享通用的环境和资源的条件下，能够有效执行其所需的功能，并且不会对其他产品造成负面影响。
互操作性：指两个或多个系统、产品或组件能够正确交换信息，并正确使用已交换的信息。
数据格式的可交换性：指软件之间共享并交换的信息，能够互相协作共同完成某一项功能。


四、功能测试的关键要点

即当信息系统在指定条件下使用时，满足用户需求中明确规定的和隐含的要求。包括：

功能完备性：指功能集对指定的任务和目标的覆盖程度。
功能正确性：指信息系统具有所需精度的正确结果的程度。
功能适合性：指软件满足用户适用要求的程度。


五、性能效率测试的关键要点
性能效率是指软件产品在处理事务时所满足的需求，一般包括时间特性、资源利用性、容量等。

时间特性：指产品或系统执行其功能时，响应时间、处理时间及吞吐率满足需求的程度。
资源利用性：指产品或系统执行其功能时，所使用资源数量和类型满足需求的程度，主要包括 CPU 利用率、可用内存、磁盘、带宽等指标。
容量：指产品或系统参数的最大限量满足需求的程度。包括存储数据项数量、并发用户数。


六、易用性测试的关键要点
指软件产品易于学习和使用的程度，以及使用者的满意度等。

可辨识性：指用户能够清楚辨识产品或系统是否满足要求。
易学习性：用户可依据相关文档或帮助机制，正确地完成任务。
易操作性：指产品或系统易于操作和控制。
差错防御性：指系统预防用户犯错（增加或删除）的程度。
界面舒适性：指信息系统有令人愉悦和满意的人机交互。


七、可靠性测试的关键要点

主要检查信息系统在指定条件下、指定时间内执行指定功能的程度。

成熟性：信息系统在正常运行时满足可靠性要求的程度。
可用性：信息系统在使用时能够进行操作和访问的程度。
容错性：在存在硬件或软件故障时，信息系统的运行符合预期的程度。
易恢复性：在操作发生中断或失效时，信息系统能够恢复受影响的数据。


八、维护性测试的关键要点
信息系统维护性主要包括模块化、重用性、易分析、易修改、易测试等。

模块化：指由多个独立组件组成的信息系统，其中一个或多个组件的变更对其他组件产生的影响最小。
可重用性：指某个组件或模块能够被用于多个系统的程度。
易分析性：评估预期变更对产品或系统的影响、诊断产品的缺陷或失效原因、识别待修改部分的有效性和效率。
易修改性：产品或系统可以被有效地修改，且不会引入缺陷或降低现有产品质量。
易测试性：能够为产品或系统建立有效的测试准则。


九、可移植性测试的关键要点

指信息系统是否能够正确从一种运行环境迁移到另一种环境。

适应性：产品或系统能够有效适应不同的运行（或使用）环境。
易安装性：指定环境中，产品或系统能够成功地安装或卸载。
易替换性：在相同的环境中，产品能够替换另一个相同用途的指定软件产品，包括产品的覆盖、升级等。