一文搞明白测试认证机构资质问题

安全产品不仅要满足各种各样的行业标准、规范，还需要通过各种测试认证，如果有一款产品需要过国密二级认证该怎么去了解信息呢？该找哪一家测试实验室去测试、哪一家认证机构去认证呢？

本文安智客主要想搞清楚国内这么多检测机构、实验室之间的相互关系、本文为小白科普性质，各位老师请多指教！

首先需要明白的是国家的检测认证最高管理机构是：

从信息安全产品来说，我们先在中国国家认证认可监督委员会下属的中国合格评定国家认可委员会网站上可以查询合格的认证机构、实验室、检测机构。

如何查询实验室、认证机构、检测机构是否正宗？

直接在官网上了解吧https://www.cnas.org.cn/

比如，截至2018年01月31日，CNAS认可各类认证机构、实验室及检验机构三大门类共计十四个领域的9634家。能获得国家认可委员会认可的实验室、认证机构、检测机构是最“正宗”的。

比如，CNAS认可的认证机构认证领域分布图

可以看到信息安全管理体系和信息技术服务管理体系一共有29家机构。

也可查询到北京的机构最多，这也符合我们社会主义国家的一般惯例！

各机构的关系？

针对信息安全产品检测，比如中国的CC认证，最权威的认证机构就是中国信息安全认证中心了，也可以这样说中国信息安全认证中心和中国合格评定国家认可委员会是平级单位，当然他也必须满足CNAS的要求。

再比如商用密码检测中心获得了中国合格评定国家认可委员会CNAS的实验室认可，中国国家认证认可监督管理委员会CMA的计量认证认定。

中国泰尔实验室获得的是CNAS的实验室认可证书。

上海市信息安全测评认证中心，也获得了CNAS的认可证书。

等等。

除此之外，还有工业和信息化部、银联、央行、国密局、公安部、科技部等等也会对认证机构、实验室、检测机构有资质要求。

比如银行卡检测中心获得的资质有：

• 国家认证认可监督管理委员会授予的中国计量认证（CMA）证书
• 中国合格评定国家认可委员会（CNAS）认可的国家实验室
• 中国人民银行授权的专业检测机构
• 国家质检总局授权的金融税控收款机专业检测机构
• 人力资源和社会保障部授权的金融社保卡专业检测机构
• 中国信息安全认证中心（ISCCC）授予的信息安全风险评估服务一级资质
• 中国银联授权的专业检测实验室
• EMVCo授权的国际EMV实验室
• PCI授权的DSS合规评估机构
• GlobalPlatform授权GP国际检测实验室
• MasterCard授权国际检测实验室
• Visa授权国际检测实验室
• 石化/石油加油IC卡及加油机具专业检测机构等

最后需要了解的是还有一些国际组织比如IAF(国际认可论坛)、ILAC（国际实验室认可合作组织）以及国际上一些区域组织比如PAC(太平洋认可合作组织)、（APLAC）亚太实验室认可合作组织等等，他们的作用类似于我们的CNAS。

所以说一些检测机构、实验室、认证中心等等其实也是不容易的，要长期的积累、需要一路打怪升级、面对各大资质管理机构也有竞争压力！