1、2014 年 4 月 1 日 发布 2014 年 4 月 1 日 实施 CNAS-CL27 司法鉴定/ 法庭科学机构能力认可准则 在电子物证鉴定领域的应用说明 Guidance on the Application of Accreditation Criteria for the Competence of Forensic Units in the Field of Digital Forensics 中国合格 评定国 家认可委 员会 CNAS-CL27:2014 第 1 页 共 6 页 2014 年 4 月 1 日 发布 2014 年 4 月 1 日 实施 前 言 电子物证鉴定是中国合格
2、评定国家认可委员会 (英文缩写:CNAS ) 对司法鉴定/ 法庭 科学机构的认可领域之一。 电子物证鉴定是指在诉讼活动中鉴定人运用计算机科学与技术 或者专门知识, 对诉讼涉及的专门性问题进行鉴别和判断并提供鉴定意见的活动, 该领域 涉及电子数据提取、 固定与恢复, 电子数据真实性 (完整性) 鉴定, 电子数据同一性和相 似性鉴定等鉴定活动。 本应用说明是 CNAS 根据电子物证鉴定领域的特性而对 CNAS-CL08:2013 司法鉴定 / 法庭科学机构能力认可准则 所作的进一步说明, 并不增加或减少该准则的要求。 因此, 本应用说明采用针对 CNAS-CL08:2013 司法 鉴定/ 法庭科学
3、机构能力认可准则 的具体条 款提出应用说明的编排方式,故章节号是不连续的。 本应用说明应与 CNAS-CL08:2013 司法 鉴定/ 法庭科学机构能力认可准则 同时使用。 本应用说明替代 CNAS-CL27:2010 检测和校准实验室能力认可准则在电子物证检验领域 的应用说明 。 CNAS-CL27:2014 第 2 页 共 6 页 2014 年 4 月 1 日 发布 2014 年 4 月 1 日 实施 司法鉴定/法庭科学机构能力认可准则 在电子物证鉴定领域的应用说明 1 范围 1.2 本应用说明适用于 所有CNAS对从事电子物证鉴定领域鉴定活动的司法鉴定/ 法庭科学 机构的认可。 2 引用
4、标 准、术语和定义 2.1 引用标 准 本应用 说明主要参考和引用了CNAS-CL08:2013 司法 鉴定/ 法庭科学机构能力认可准 则的相关内容。 2.2 术语和 定义 本应用 说明使用CNAS-CL08:2013 司法 鉴定/ 法庭科学机构能力认可准则中给出的 相关术语和定义。 3 通用要求 3.1 公正性 3.2 保密性 3.3 独立性 4 管理要 求 4.1 组织 4.2 管理体 系 4.3 文件控 制 4.4 委托受 理 4.5 分包 4.6 服务和 供应 品的采购 4.7 服务客 户 4.8 投诉 CNAS-CL27:2014 第 3 页 共 6 页 2014 年 4 月 1 日
5、 发布 2014 年 4 月 1 日 实施 4.9 不符合 鉴定 工作的控 制 4.10 改进 4.11 纠正 措施 4.11.2 原 因分析 在电子物证鉴定中出现异常时, 分析潜在的原因除了注释中所列之外还应包括计算机 病毒等恶意代码的影响、 计算机内运行的其它软件的影响、 计算机运行的网络环境的影响 等。 4.12 预 防措施 4.13 记 录的控 制 4.13.2 技术记 录 4.13.2.1 电子物证鉴定记录应能够追溯到鉴定人员的操作过程和鉴定方法, 应能够支持当 鉴定人不在时其他鉴定人可以评估鉴定过程并解释这些数据。 应记录所有软硬件设备的操 作参数, 包括方法中未指定的参数; 应记
6、录检出数据的完整性校验值。 当出现异常数据时 (如硬盘坏道等介质故障、超过方法可接受的范围) ,应记录原因。 4.14 内 部审核 4.15 管 理评审 5 技术要求 5.1 总则 5.2 人员 5.2.1 从事电子物证鉴定的鉴定人应具有计算 机科学与技术等相关专 业大学本科以上(包 括大学本科)学历,并具备在电子物证鉴定领域的执业资格。 电子物证鉴定授权签字人除满足上述要求外, 还应有5 年以上的本专业鉴定人工作经 历,或取得中级职称后从事本专业鉴定人工作3 年以上。 5.2.4 鉴定机构应对鉴定人进行定期培训与技 能考核。当鉴定标准、 鉴定方法和人员岗位 等发生变化时,应重新进行培训与技能
7、考核。 培训计划应包括鉴定人出庭质证能力的培训。 5.3 设施和 环境 条件 5.3.1 电子物证鉴定区 域应具备防静电设施;手机鉴定应在屏蔽手机信号的环境中进行。 鉴定机构应具备保护其信息网络安全的措施, 包括防范计算机病毒等恶意代码、 防范 网络入侵 和防范 数据 泄 露等。在特殊情 况下 ( 如恶意代 码鉴定 时) ,可能需要 关闭 杀毒软CNAS-CL27:2014 第 4 页 共 6 页 2014 年 4 月 1 日 发布 2014 年 4 月 1 日 实施 件等安全措施,此时鉴定机构应评估安全风险,采取相应的措施,并保存相应记录。 5.3.3 鉴定机构的办公 与鉴定区域应进行有效的
8、隔离。 5.4 鉴定方 法及 方法的确 认 5.4.1 总则 鉴定机构应按照相关的鉴定技术标准和规范进行电子物证鉴定, 包括鉴定环境、 鉴定 工具、 鉴定步骤及鉴定结果的描述; 检材/样本的提取、 封装、 保存、 对检材/样本的各个 功能的鉴定所采用的鉴定方法顺序及鉴定方法的组合等。 5.4.4 方法 的确 认 5.4.4.2 鉴定机构自行 制定鉴定方法应通过聘请 3 名以上具备相关 专业高级职称的外部专 家进行确认,确保其可行性、有效性、公正性和结果重复性、复现性的要求。 5.4.6 数据 控制 5.4.6.2 由鉴 定机 构 自行 开 发的 对鉴定 结果 有影 响 的所 有软 件, 应按下
9、 列 要求 进行 合适 的 配置管理: 应编制配置管理计划,将配置管理计划形成文档并加以实施。 应制定一个方案,该方案标识需要控制的软件及其版本。 应标识和记录更改申请; 分析并评价更改; 批准或否决更改申请。 应对每次修改 进行审核跟踪,可以跟踪修改的原因和修改的授权。 应编制管理记录和状态报告,以说明受控软件项的状态和历史。 注: 软件配置管理系统是一套软件, 采用时, 它可确保对版本号、 发行量和软件变更 的充分标识、控制、可见性和安全性。 5.5 设备 5.5.2 鉴定机构应有对鉴定结果有影响的鉴定 设备进行核查的程序和 方法。鉴定设备的核 查用以确认鉴定设备能适当地运行并且所产生的结
10、果与有关标准或规范相一致。 鉴定设备 (包括软件)的版本或配置发生改变时,应重新核查。 核查的措施可包括: 适用时,对特定检材/样本进行鉴定,审查鉴定结果的可复现性。 适用时,将核查结论与另一个鉴定机构的核查结论进行比对。 适用时, 核查结论应指明可追溯到的权威标准或规范, 还应提供所得结果与预期 结果的比对,并列出已知的缺陷。 CNAS-CL27:2014 第 5 页 共 6 页 2014 年 4 月 1 日 发布 2014 年 4 月 1 日 实施 5.5.5 鉴定机构应保存对鉴定结果有影响的电 子物证鉴定设备及其软 件的记录。记录除准 则中所列之外,还应包括: 设备核查和重新核查的记录;
11、 鉴定所用软硬件设备的配置情况; 软件升级时,软件的名称和升级后的版本号。 5.5.10 鉴定机构应有 程序对电 子物证 鉴定设 备及其软 件的功 能进行 定期功能 核查, 以保 持其状态的可靠性。 5.6 测量溯 源性 5.6.2 特定 要求 5.6.2.2 鉴定 5.6.2.2.1 对于电子物 证鉴定机构,准则的5.6.2.2 中给出的测量溯源 性要求仅适用于测量 设备和具有测量功能的鉴定设备。 5.7 抽样/ 取样 5.8 检材/ 样 本的处 置 5.8.1 鉴定机构应有专 门的程序或方法保证检材/样本的完整性,包括: 在条件允许的情况下, 应对送检的存储设备进行完整备份, 并只在副本上
12、进行处 理与分析; 在没有替代方法只能直接操作检材/样本时, 应尽可能避免对检材/样本造成永久 性改变; 如不可避 免可 能对检材/ 样本造 成永 久性改变 ,必须征 得客 户的同意 ,评估对检 材/样本的影响,并以书面和录像方式记录操作过程。 “保管链 ”的记 录 应能证明 在物理 检材/样本从接 收到返 还(或 清理)之 间的所 有转 移过程处于鉴定机构的全面控制之下。 5.8.2 检材/样本的标识系统设计和使用应确保 检材/样本的组件在传 递与处置过程当中不 被混淆。 5.8.4 鉴定机构应有专 门防磁、防静电存储环境存放检材/样本。 对于一些特定形式的检材/样本 (如具有无线通信接口并
13、处于开机状态的检材/样本) , 可能需要物理或电子信号屏蔽设施,以维护其完整性。 5.9 鉴定结 果质 量的保证 5.9.1 获认可的领域应满足能力验证的频次要 求,无法参加能力验证 的鉴定对象,一个认CNAS-CL27:2014 第 6 页 共 6 页 2014 年 4 月 1 日 发布 2014 年 4 月 1 日 实施 可周期内至少进行一次实验室间比对。 5.10 鉴 定文书 5.10.3 鉴定文 书的 信息 5.10.3.1 f) 适用时 ,检材/ 样本 的描述和状态信息 应包 括检材/样本的 完整性 校验值或 异常状 态描述; i) 鉴定的结果或意见中应包括检出数据的完整性校验值。 5.10.7 鉴定文 书的 电子 传送 以电子方式传输鉴定文书时, 鉴定机构应使用电子签名, 以确保报告的完整性。 必要 时,采用加密方式传输,以确保报告的机密性。
