软件检测实验室认可,CMA新规与CNAS要求之间的五个重要差异点解读2026年4月17日国家市场监管总局发布了《软件检验检测机构资质认定评审补充要求(征求意见稿)》,计划于2026年9月1日起正式施行。在征求意见稿中,有很多地方与CNAS发布的CNAS-CL01-A019《检测和校准实验室能力认可准则在软件检测领域的应用说明》有较大的差异,尤其是人员要求部分。通过对比这两份文件,我们可以非常明显地感觉到,CMA 侧重硬性准入量化指标、监管门槛更高;CNAS 则更加侧重技术过程规范、要求更加偏原则化。
下面我们针对有差异的地方进行梳理和归纳:
一、人员要求(差异最大、量化指标悬殊)
1. 人员数量
CMA:通用软件检测≥20 人;仅嵌入式软件检测≥10 人。CNAS:仅要求至少 5 名软件检测人员,无细分场景人数下限。2. 学历与职称硬性要求
CMA:必须软件相关专业大专及以上;非相关专业需中级职称 + 1 年相关经历;中级及以上职称 / 同等能力人员占比≥30%。
CNAS:计算机相关大专以上 + 行业培训合格资质 / 高级工程师;无职称人数占比要求。
3. 关键岗位资质门槛
CMA :技术负责人 :需副高级及以上职称+3 年软件检测经历,或对应学历年限同等能力。
CNAS:CNAS虽没有技术负责人相关要求,但是在“各类人员其他应满足的要求”中用的是“一般应有”这样的措辞。4. 岗位从业经历
CMA:项目管理 / 测试设计岗:2 年开发或 3 年检测经历;报告审核 / 方法验证岗:3 年以上检测经历。CNAS:新增测试执行人员需 3 个月实习 + 完成 1 个项目;其余岗位经历年限与 CMA 基本一致,但无文件化强制考核监控要求。二、环境与设施
CMA:强制检测网络与其他网络物理 / 逻辑隔离;多项目并行需环境有效分离;远程测试需做环境差异分析并评估对结果影响。CNAS:仅要求网络隔离、防范外部干扰,无多项目分离、远程测试差异分析强制要求。CMA:明确需监控记录环境条件、防病毒升级留痕、场外测试同等防护;新增恶意程序交叉感染专项管控。CNAS:仅原则性要求防静电、电源保护、病毒防护,无细化记录与场外防护硬性条款。三、设备与测试工具管理
CMA:项目测试前必须核查病毒库、漏洞库、攻击数据包等样本集为最新版本,强制版本有效性管控。CNAS:无样本集时效性、版本核查的明确强制要求。CMA:商用、开源、自研、客户提供所有测试工具,投入使用前均需确认适用性与安全性;租赁设备需合法授权 + 独立支配权。CNAS:相关要求在CNAS-CL01-G001:2024中有所体现,但是对于投入前的确认要求并不像CMA那般具体。CMA:强制设备 / 工具唯一标识、版本升级受控,档案需细化生产厂商、版本、授权文件、运行平台等全维度信息。CNAS:仅原则要求版本控制与基础设备记录,档案细化程度低于 CMA。四、检测能力与方法管控
1.方法验证维度
CMA:引入方法前需试验验证检出率、重复性、实验室间比对,形成正式验证报告,流程闭环化。
CNAS:无检出率、重复性等量化验证指标要求。
2.标准覆盖要求
CMA:证书有效期内,质量控制必须覆盖能力附表所有参数,强制全项目质控。
CNAS:仅要求内部留样复测、能力验证,无全覆盖参数的硬性规定。五、管理体系与流程
1.信息管理系统
CMA:强制使用信息管理系统,覆盖合同 - 样品 - 测试 - 报告 - 归档全流程,系统修改需审批留痕、定期数据备份,外部运维需监督评价。
CNAS:无强制要求搭建全流程信息系统,仅规范技术记录版本一致性。
CMA:明确划分测试输入、技术文档、环境、执行、评审五大类强制记录,全覆盖检测全生命周期。CNAS:记录类别相近,但无强制分类归档、阶段成果评审的硬性要求。CNAS :测试周期超 6 个月项目,需定期与客户沟通进度、问题、变更;常规测试可简化书面协议。CMA:无项目周期专项沟通条款,侧重流程文件化与阶段评审。以上就是针对CMA发布的《软件检验检测机构资质认定评审补充要求(征求意见稿)》与CNAS发布的CNAS-CL01-A019《检测和校准实验室能力认可准则在软件检测领域的应用说明》的差异梳理与解读,如需软件检测领域CNAS/CMA实验室建设方案、资源配置清单、质量管理体系文件模板等资料,可扫码获取。
夜雨聆风
