全面介绍第三方软件测评业务
第三方软件测评
全文是根据个人理解,不一定正确,仅供大家参考学习。当然有不对的地方也欢迎大家指证,在此文中我也对常见的疑问进行解答,希望对大家有所帮助:
疑问1:项目需要第三方软件测评报告,请问费用是多少?有没有报价标准?需求暂不清楚
疑问2:能否不实测直接出具报告,费用照样给?
疑问3:出具的测试报告就几页纸,费用尽量能不能少点?
疑问4:怎么核对检测公司的资质?
疑问5:为什么有些检测机构出具的测试报告费用很低?甚至低于成本价。
疑问6:每次询价时除了关注费用以外,还要关注什么?
阅读全文后,上述6点疑问一定能找到答案。
第三方软件测评的定义:
第三方软件测评,也叫第三方软件测试,个人感觉使用“第三方软件测评”更加严谨,有时可以简称为“软测”。
比较正式定义:是指一个独立于软件开发组织和最终用户之外的测试组织,负责进行软件系统的测试与验证。
也可以按关键字进行拆分解释:第三方软件测评=第三方+软件+测评
第三方:在软件开发合同中,乙方负责根据合同与需求开发与实现软件功能,而甲方需要根据合同约定支付费用,在实际的业务中使用乙方开发的软件。由于软件存在一定的复杂性与专业性,乙方不能做出专业质量评价,所以一般在软件研发合同中,在验收条件中引入了第三方软件检测机构出具测试报告的要求,由于第三方独立性,间接保证了测试结果的公正性。
软件:由程序(代码)与文档组成
测评:“测”进行技术验证,“评”对测试最终结果进行评价,出具终最报告。
第三方软件测评公司:
作为第三方机构,要评价别人软件质量好坏,肯定打铁还需自身硬,不然谁都可以从事第三方测试工作。所以引入了第三方软件测评的资质要求。要从事第三方软件测评业务,则需要通过国家与国际认可的资质才可以展开业务。目前,第三方软件测评资质被市场承认的资质有两个, 这两个资质都对公司法律地址、公司场所环境、人员技术能力、检测工具、检测方法、质量体系等(简称“人、机、物、料、法、环、测”)做出了明确要求,并不定期接受各级主管单位的抽查与核实。
第三方软件测评资质(种类介绍):
能够从事第三方软件测评的机构必须具备国家相关部门承认并颁发的资质,是对测试过程和结果的保障,目前软测资质就两个:一个CNAS资质,一个CMA资质
CMA资质 : China Metrology Accreditation 中国计量认证
CNAS资质:China National Accreditation Service for Conformity Assessment,CNAS) 中国合格评定国家认可委员会
这两个资质的主要特点有:
- CMA是由省级市场监督管理局负责,具有一定的强制性,法人必须独立,不能拥有检测以外业务范围以影响公共性,出具的检测报告具有中国法律效力。
- CNAS由中国合格评定国家认可委员负责,仅表明组织具备了按国际认可准则开展服务能力的一种证明,针对软件测试来说,就是一种软件测试能力的一种技术认可,出具的测试报告不具有法律效力。CNAS采用的自愿申请原则,软件研发公司也可以申请(称之为第一方实验室)、软件业主方也可以申请(称之为第二方实验室),另外,申请了CMA检测机构也申请CNAS(称之为第三方实验室),三者都可以出具软件测试报告并加盖CNAS. 只是报告使用场景要求一样,第一方实验室只有在企业内部使用报告。
- 只有两个资质都申请了才可以称得上“权威独立第三方软件测试机构”
- 就两者而言,CNAS资质认可相较于CMA资质更难获得,但其含金量和认可度更高。
上述关于资质种类特点说明,在实际项目的项目报告就会现以下几种情况:
情况1:软件测试报告中,只有检验检测章,未加盖CNAS CMA章 --表明此报告仅供内部学习参考使用,无其他任何证明作用,也不用承担任何法律责任。
情况2:软件测试报告中,除了检验检测章,加盖CNAS章,--表明此报告出具过程满足CNAS要求,此报告的技术能力是认可的,但不具有法律效力。社会上针对仅加盖CNAS章检测报告的效力有两种说法:
说法1:CNAS第一方实验室或者CNAS第二方实验室不给自己出具的软件测试报告,就是第三方测试报告,再说CNAS报告仅仅是一种技术能力的认可,至于别人拿着这份检测报告干什么事,不是实验室所能左右的,CNAS第一方实验室或者CNAS第二方实验室可以大胆的出具报告。
说法2:163号令规定,所出具有证明作用的数据、结果的报告均需要加盖CMA标识,这是强制规定。也就是说原本用于证明用的软件检测报告(带CNAS),现在必须要有CMA的标识,否则不能作为一种证明或认证。CNAS第一方实验室或者CNAS第二方实验室出具的软件测试测试报告只有企业内部使用。违规对外出具软件测试报告,必须满足CMA的要求,否则可以被罚款。
至于哪种说法对不对,自己体会吧,现在很多CNAS第一方实验室出具的测试报告也可以在社会上流通,比较谨慎的客户都要求双章,规避软件测试报告给自身带来的风险。
情况3:软件测试报告中,除了检验检测章,只有CMA章, --表明此报告符合CMA.并具有法律效力,在中国国内流通测试报告无任何问题,出具的检测报告一定是第三方的,检测机构为测试报告背书,承担相应责任。注:在实际项目甲乙双方针对软件出现争议需要打官司时,此时技术检测报告一定要用加盖CMA.
情况4:软件测试报告中,除了检验检测章,还有CMA章、CNAS章,简称为:盖双章。 这类报告无论技术认可还是法律保障均涵盖了,因此,一般报告的双章的费用也略高,承担的责任也不一样。
情况5:CMA又分为国家级和省级证书,具有同等法律效力,只是主管单位不一样
第三方软件测评资质(标准介绍):
机构申请了CMA/CNAS资质后,是不是社会上的产品都可以检测?由什么约束?那就是“标准”,这里的“标准”是指:国际标准、国家标准、地方标准、行业标准、甚至是企业标准。CNAS认可的标准可以是标准方法,也可以是非标的,所以不论国标,还是国际标准都是可以的,只要你们有相应的能力就可以申请,现在连资质认定(CMA)也是都鼓励采用国际先进的标准。只是有些省份因为审核老师因为无法赋予能力项。
软件检测有哪些标准? 由于软件的分类比较多,例如常规分为“通用应用软件“、”行业应用软件“、”嵌入式软件”、”军工软件“等不同标准的划分,目前针对软件测试有1个比较基础的也是比较通用型的国家标准,也是所有第三方软件测评公司一个必不可少的标准。
《系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》GB/T 25000.10-2016
该标准是国家标准,肯定具有通用性,都是大方向的约定,满足了对第三方软件测评公司约束,其实这个标准基本上就说了3个事:软件质量要求、软件测试过程以及软件质量评价。也说清楚了:要做什么事,怎么做事以及做事结果怎么样。
要做什么事:你第三方软件测试机构可以从软件8个质量特性+文档集进行测试
怎么做事:你第三方软件测试机构肯定要做测试计划、测试用例以及执行记录、测试问题报告、最终测试报告,得有这样的一个过程。
做事结果怎么样:你第三方软件测试机构既然测试了,你总得给一个评价
所以说,您会发现每一份第三方软件测评报告中都必须有一个栏目写明“测试标准”或者叫“测试依据”,GB/T 25000.10-2016仅仅是一个基础性的标准,并没有说明具体检测对象以及明细化的检测项,在实际的项目实施中,客户希望第三方机构按其他的“国家标准或者企业标准”执行测试,这时检测报告中引入了“参考标准”。
当参考标准引用较多时,得到大家承认时,第三方机构就可以正式申请该标准。目前常见的第三方软件测试标准有:
【常用国标-移动应用】GB/T 37729-2019智能移动终端应用软件(APP)技术要求
【常用国标-移动应用】GB/T34975-2017移动终端应用软件安全技术要求和测试评价方法
【常用国标-源代码】GB/T 34944-2017Java语言源代码漏洞测试规范
【常用国标-源代码】GB/T 34943-2017C/C++语言源代码漏洞测试规范
【常用企标-电力行业】Q/GDW 1597-2015 国家电网公司应用软件系统通用安全要求
【常用企标-电力行业】Q/GDW 10942-2018应用软件系统安全性测试方法
【常用企标-电力行业】代码安全检测 Q/GDW 10929.5-2018
【常用企标-电力行业】DL/T 2031-2019 8.1 电力移动应用软件测试规范
注:一家第三方软件测评机构检测能力强不强,可以通过查看机构申请的相关标准多少,也是一种判断依据之一。
第三方软件测评资质(能力项介绍):
机构申请了CMA/CNAS资质后,通过了相关标准,是不是所有检测项都可以进行?那不一定,就需要再查看具备的能力项。能力项是第三方检测资质的最细的粒度,不会再细分。
就软件测试来而,上面谈到通用标准GB/T 25000.10-2016中约定了软件8个质量特性+文档集,共计9个能力项,而针对有些能力项目,需要专业的检测工具以及检测人员具备相关的能力才能赋予。在CMA/CNAS首次申请或者能力项时,评审老师会进行严格考核,很多不满足的条件的机构,存在部份能力项缺失的情况。最为常见的也是最主要的两个能力项需要大家关注,一个“性能效率”、一个是“信息安全”。
第三方软件测评资质(核查):
超范围出具检测报告
- 资质不满足条件,出具检测报告
- 资质的检测标准不满足条件,检测标准不对、不全而出具检测报告
- 资质检测标准下的检测能力项不满足条件,不全而出具检测报告
- 资质以过期或非正常状态出具检测报告
- 源代码审计测试、APP应用测试需要通过CNAS相关特定标准,不能仅使用GB/T 25000.10-2016去覆盖。
- 特定行业与特定企业有明确要求,需要第三方软件测试机构通过指定的行业标准或企业标指出具的检测报告才能被认可。
基于以上六点,需要我们核查第三方检测机构的资质,不然大部份的报告不合规风险由客户自己承担。可以核查资质种类、标准以及能力项。
核查资质方式
目前CMA/CNAS都支持在线核查与线下核查。在线核查由专门官方网站进行核查,线下核查可以通过(纸质版)资质证书以及能力附表的扫描件进行线下核查。
| 资质 |
核查方式 |
支持情况 |
说明 |
| CNAS |
在线核查 |
支持 |
按公司名、省份、检测标准、能力项在线查询。 |
| CNAS |
线下核查 |
支持 |
可以要求检测机构提供CNAS能力附表 |
| 省级CMA |
在线核查 |
暂不支持 |
仅可以查看公司基本信息 |
| 省级CMA |
线下核查 |
支持 |
可以要求检测机构提供CMA能力附表 |
| 国家级CMA |
在线核查 |
支持 |
可以按公司名、检测标准、能力项进行核查 |
| 国家级CMA |
线下核查 |
支持 |
可以要求检测机构提供CMA能力附表 |
CNAS核查示例
下面以“开元华创科技(集团)有限公司”为例进行介绍。
(1)先进行CNAS在线资质核查:
首先,需要访问中国合格评定国家认可委员会的官网
(https://las.cnas.org.cn/LAS_FQ/publish/externalQueryL1.jsp),找到实验室认可栏目点进去,再找到左侧的获认可实验室,然后再选择第一个检测实验室,进去后就可以看到查询窗口,如下图所示:
在cnas官网成功查询到这家公司,双点【开元华创科技(集团)有限公司】
可以查看该机构资质的相关信息,公司名称、地址、资质申请时间等信息。
再双击【已正式公布的结构化能力范围】
就可以查看开元华创科技(集团)有限公司对应的检测标准与能力项(项目/参数),发现存在软件所有质量特性的范围,该机构出具的通用应用软件不会存在超范围出具报告的风险。
(2)再进行CNAS线下资质核查:
查看由开元华创科技(集团)有限公司提供的《CNAS证书.pdf》《CNAS能力范围.pdf》
经过在线与线下核查,发现【开元华创科技(集团)有限公司】通过较多的检测标准,具体包括:
| 检验检测领域对象 |
CNAS标准 |
| 通用应用软件 |
GB/T 25000.51-2016 《系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品(RUSP)的质量要求和测评细则》 |
| 行业应用软件 |
GB/T 25000.51-2016 《系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品(RUSP)的质量要求和测评细则》 |
| Q/GDW 1597-2015《国家电网公司应用软件系统通用安全要求》 |
|
| Q/GDW 10942-2018《应用软件系统安全性测试方法》 |
|
| JAVA源代码 |
GB/T 34944-2017 《JAVA语言源代码漏洞测评规范》 |
| C/C++源代码 |
GB/T 34943-2017《C/C++语言源代码漏洞测试规范》 |
| C#源代码 |
GB/T 34946-2017《C#语言源代码漏洞测试规范》 |
| 源代码 |
GB/T 39412-2020《信息安全技术 代码安全审计规范》 |
| 移动智能应用软件 |
GB/T 37729-2019《信息技术 智能移动终端应用软件(APP)技术要求》 |
| GB/T 34975-2017《信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法》 |
|
| GB/T 35273-2020 《信息安全技术 个人信息安全规范》 |
经过资质分析,发现这家公司通过电力企业标准,同时兼顾了源代码审计与移动端测试,应该是一家不错的第三方测试机构。
另外说一个比较有用的用法,在我们日常生活中,怀疑某个产品存在质量有问题,也可以通过CNAS官网进行查询,例如:发现水质有问题,可以查询【四川省】、【水质】的检测的机构有3家,变可以查询官网进行联系,委托检测,出具检测报告,就可以找相关组织单位说事了。
CNAS实验室能力范围查询窗口
CMA核查示例
下面还是以“开元华创科技(集团)有限公司”为例进行介绍。
(1)首先进行CMA在线核查,需要访问国家市场监督管理总局官网
http://cx.cnca.cn/CertECloud/index/index/page
在【国家级资质认定获证机构查询】
(2)进行CMA线下核查,
查看由开元华创科技(集团)有限公司提供的《CMA证书.pdf》《CMA能力范围.pdf》
经审查【开元华创科技(集团)有限公司】获取了国家级资质认定CMA证书,具体能力项有:
| 检验检测领域对象 |
CMA相关标准 |
| 通用应用软件 |
GB/T 25000.51-2016 《系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品(RUSP)的质量要求和测评细则》 |
| JAVA源代码 |
GB/T 34944-2017 《JAVA语言源代码漏洞测评规范》 |
| C/C++源代码 |
GB/T 34943-2017《C/C++语言源代码漏洞测试规范》 |
| C#源代码 |
GB/T 34946-2017《C#语言源代码漏洞测试规范》 |
| 源代码 |
GB/T 39412-2020《信息安全技术 代码安全审计规范》 |
| 移动智能应用软件 |
GB/T 37729-2019《信息技术 智能移动终端应用软件(APP)技术要求》 |
| GB/T 34975-2017《信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法》 |
|
| GB/T 35273-2020 《信息安全技术 个人信息安全规范》 |
经过【开元华创科技(集团)有限公司】对两个资质核查,开元华创具备国家级CMA资质及CNAS实验室认可证书,并且检验检测能力范围覆盖《国家电网有限公司信息系统测试与版本管理细则》规定中的能力要求。可以出具符合国网要求的功能与非功能测试报告、安全功能测试与渗透测试报告、源代码测试报告,满足要求。
最后,进一步与机构进行沟通,了解其他相关资质与证书,进行增强说服力。
1. 公司已取得国家高新技术企业证书、中关村高新技术企业证书、北京市“专精特新” 中小企业证书。
2.公司已获得CCRC风险评估、CCRC安全集成、CCRC安全运维等多项安全服务资质。
3. 公司取得国际ISO 9001质量管理体系认证、ISO 14001环境管理体系认证、ISO 45001职业健康安全管理体系认证、ISO 20000 信息技术服务管理体系认证及ISO27001信息安全管理体系认证。
4. 公司取得了武器装备质量管理体系认证证书、AAA企业信用证书。
5. 公司已获取保密资质证书
6. 其他标准3项正在申请中
至此,检查资质结束。
第三方软件测评报告如何收费
经常有客户问“我需要一个第三方软件测评报告,请问多少钱?”
首先,检测企业内部一般存在收费标准,但是每次遇到项目情况不尽相同,也不可能做到严格按收费标准来(有政策支持的机构除外),在实际项目报告过程中,内部的收费标准还是作为指导,仅供参考,由负责报价人或组织进行综合评估后决定。
而第三方软测行业内更没有一个明确的、统一的收费标准,不同地域之间的收费不同,各个检测单位的报价也略有差异。第三方检测报告的收费标准需要根据具体的测试需求而定。
但针对第三方软测的费用预估还是有评估方法:
第一种:按项目建设费用的2-5%进行收费或预算计划。
第二种:依据具体委托内容进行评估,如只有功能性测试,则需要提供具体功能清单,根据功能数量进行评估,若还有非功能指标,如性能效率、信息安全性等需提供完整要求进行报价,价格区间一般是几千到几万不等。
单纯从软件质量角度可以整理出一份参考的第三方软件测试价单:
| 软件质量 |
划分标准 |
费用 |
说明 |
| 功能测试 |
(1)20个功能点以下 (2)20-200功能点 (3)200以上功能点 |
1万起步 1万~3万 3万以上 |
少于20个按20个计算 |
| 性能测试 |
(1)仅限指标验证 (2)配合性能调优 |
常规指标3K~5K一个 3万起步 |
按指标个数进行累加计费, 涉及多轮测试,时间久 |
| 信息安全 |
(1)安全功能测试 (2)漏洞扫描测试 (3)渗透测试 |
按系统进行收费,每个系统最纸4~6万起步 |
对检测工具以及检测人员能力要求较高 |
| 源代码 |
(1)源代码审计 |
1万起步,按代码行数级别分别计费 |
人工代码走查,则按行收费 |
| 其他质量特性 |
(1)兼容性 (2)易用性 (3)可移植性 (4)可靠性 (5)可维护性 (6)用户文档集 |
按一个特性5K计费 |
第三方测试公司针对项目的报价,不能仅仅只考虑技术成本,风险与质控才是第一位的,接下来才考虑技术实施成本。因此一个第三方软测的最终报价由【风险】+【成本】+【其它】共同构成,进行综合评定。
为了第三方检测公司更科学的、合理的为每一位客户进行报价,建议对所有可能风险因素进行收集,为最终报价提供依据
| 编号 |
内容 |
|
| 1 |
资质用章需求 |
是单章还是双章? |
| 2 |
行业类别 |
软件隶属哪个行业,是否涉及人身安全与重大经济损失 |
| 3 |
甲乙纠纷 |
目前甲乙双方针对软件是否存在纠纷 |
| 4 |
报告用途 |
用于招投标、系统上线、内部结题、项目验收等 |
| 5 |
甲乙谁委托 |
甲方委托一般测试按合同执行 |
| 6 |
检测标准 |
是否涉及多个标准 |
| 7 |
检测项需求 |
涉及多少质量特性, 每个质量特性又包括哪些子检测项 |
| 8 |
是否涉及出差 |
如果需要现场测试,异城就涉及出差费用 |
| 9 |
报告是否加急 |
如果时间要求比较急,要求短时间出具检测报告,优先安排 |
| 10 |
整个项目金额 |
根据项目金额评估项目规模 |
| 11 |
地区经济情况 |
经济欠发达地区,费用可以适当调低 |
注:第7点的检测需求重要,占比较高,风险控制虽然占比低,但具有否决权。
第三方软件测评政策
在很多指导文件、管理办法、相关要求中,均明确了第三方软件测评需求。
例如:成办函64号文件(成都市电子政务管理办法).pdf
又例如:《四川省省级政务信息化项目管理办法》川办发〔2021〕49号(1)
又例如:《国家电网有限公司信息系统测试与版本管理细则》中,
第六章第二十条规定,“第三方测试应委托通过相关测试技术标准认证的CNAS及CMA资质的第三方专业测试机构”。
第六章第十九条规定, “第三方测试内容包括功能与非功能测试、安全功能测试与渗透测试、源代码测试等” 。
等等,目前全国各行各业都多少涉及到第三方软件测评机构出具测评报告的需求。
第三方软件测评报告
先说说第三方软件测评报告有什么用途
出具了第三方软件测评报告,报告具有有什么用呢? 用途还是挺多的。
(1)鉴定测试 (科技成果鉴定),测试依据GB/T 25000.51-2016,鉴定测试可用于:
- 鉴定报告可以用于申报国家、省、市科技成果奖的依据
- 企业申请的《中小企业创新基金》、《科技项目验收》、《科技成果鉴定》、《自主创新产品认定》等提供的科技成果鉴定测试报告,为项目验收提供有力的证明。
- 常用于申报类项目
(2)验收测 --项目验收测试
验收测试一般是针对招投标、技术开发合同、需求规格说明书的验收依据,确认系统功能正确的情况下,是否满足招投标、技术开发合同、需求规格说明书的要求。常用于技术开发合同类项目
(3)确认测试
软件确认测试依据GB/T 25000.51-2016,确认测试一般是针对功能测试,确认功能能否正常使用。比登记测试要深入,但比鉴定要求要低。常用于验证功能正确性。
(4)专项测试
评测实验室可以依据客户的实际要求,针对性地定制测试种类和测试项,包括本地化测试、安全扫描等。常用于客户定制化的测试需求。
先说说第三方软件测评报告格式
第三方软件测评报告基本是都是遵循统一的标准,例如对:资质盖的位置、三级审核并签字、测试申明、测试概要、测试结论、测试环境等要素都有明确的要求。
第三方软件测评服务内容:
软件测试公司可以提供多种测试服务,包括但不限于以下内容:
- 功能测试:测试软件是否能够正常执行预期功能,包括各个模块、业务流程、界面等。
- 性能测试:测试软件的性能表现,包括响应时间、吞吐量、稳定性等。
- 安全测试:测试软件的安全性,包括漏洞扫描、密码强度测试、权限控制等。
- 兼容性测试:测试软件在不同平台、不同浏览器、不同设备上的兼容性。
- 用户体验测试:测试软件的易用性、界面设计、交互体验等。
第三方软件测评报告不能乱来
经常有客户说:“我就要一份报告,工作量感觉就几页纸,费用尽量少点”,或者说:“能不能不测试直接出具报告,费用照样给”。
说这话的客户,对第三方软件测试业务应该是不了解,我在这里解释一下:
其一:您收到的仅仅是一份“软件测试报告”,但第三方检测公司根据CMA/CNAS的体系要示,需要编写各种原始记录,最主要的包括技术记录(测试计划与方案、测试用例与执行记录、测试缺陷报告、最终测试报告)还包括各种质量记录(合同评审、环境记录单、设备仪器使用记录等等),要求所有检测记录有据可查。
其二:第三方出具检测报告就是给项目进行背书的,如果因为那点费用出具虚假报告、不实报告,一经发现所承担的资质风险、法律责任、资金损失都将是无法承受的。不值得。
第三:不测试直接出具测试报告,价格也会越做越低,路越走越窄,相关口碑可以在行内快速知晓,所面临风险将越大。如果一定检验检测机构在认真经营的情况下,“不测试直接出具报告”做事方式肯定是行不通的。
具有相应的职责和权利 1. 承担相应的技术责任和民事责任;
承担相应的法律责任
《产品质量法》-第五十七条
产品质量检验机构、认证机构伪造检验结果或者出具虚假证明的,责令改正,对单位处五万元以上十万元以下的罚款,对直接负责的主管人员和其他直接责任人员处一万元以上五万元以下的罚款;有违法所得的,并处没收违法所得;情节严重的,取消其检验资格、认证资格;构成犯罪的,依法追究刑事责任。 产品质量检验机构、认证机构出具的检验结果或者证明不实,造成损失的,应当承担相应的赔偿责任;造成重大损失的,撤销其检验资格、认证资格本法第二十一条第二款的规定,对不符合认证标准而使用认证标志的产品,未依法要求其改正或者。 产品质量认证机构违反取消其使用认证标志资格的,对因产品不符合认证标准给消费者造成的损失,与产品的生产者、销售者承担连带责任;情节严重的,撤销其认证资格。
2)《计量法》第三十条;以及《计量法实施细则》;
第五十五条 本细则规定的行政处罚,由县级以上地方人民政府计量行政部门决定。罚款1万元以上的,应当报省级人民政府计量行政部门决定。没收违法所得及罚款一律上缴国库。
第五十条 未取得计量认证合格证书的产品质量检验机构,为社会提供公证数据的,责令其停止检验,可并处1000元以下的罚款。
3)《合同法》第七章,造成违约的责任;
第一百一十一条 合同履行 质量不符合约定的,应当按照当事人的约定承担违约责任。对违约责任没有约定或者约定不明确,依照本法第六十一条的规定仍不能确定的,受损害方根据标的的性质以及损失的大小,可以合理选择要求对方承担修理、更换、重作、退货、减少价款或者报酬等违约责任。
第一百一十二条 履行、补救措施后的损失赔偿 当事人一方不履行合同义务或者履行合同义务不符合约定的,在履行义务或者采取补救措施后,对方还有其他损失的,应当赔偿损失。
一份软件测评报告的报价都低于成本价,是好事吗?
- 针对有些测试报告的费用超低现像,无非就以下几种情况:
- 测试机构正在业务推广,不计成本
- 第三方测试机构已无法经营,已在注销阶段
- 10人以下的小型检测机构,对风险认识不足
- 因资质失效、超出资质范围、超出标准、超出能力范围等,违规出具检测报告,其实这时检测报告已无相关证明作用,机构也没有风险,风险全部转给委托方自己了,只是委托方不知道罢了。
- 仅写了测试报告,未按体系要求完成相关的原始记录,成本低。
- 检测报告未纳入检测公司的质量控制体系,说白了查不到。
最终大家可以发现,低价格的检测报告所面临的风险明显高于正规渠道的。只要您能接受这些风险,那当然无所谓了。
另一方面,再讲讲认真做事的第三方测试机构,从公司领导层到底层员工,都强调服务于客户,提升软件质量,在测试过程中,尽可能发现软件的各种质量问题,协助客户解决,并进行回归测试。这样的整个项目周期延长,成本肯定增加。再加上真正能发现问题的检测工程师,工作经验一般都是超过3~5年以上的,人工成本也是相对较多。
读者应该能感受到,我应该是认真在做事,结合多年经验,我可以结合项目实际情况给出一个合理化的第三方测试解决方案,用服务、高效、专业打动客户。
寻找第三方检测机构出具检测报告需要关注什么?
作为软件开发方与使用业主方为找不到合适的第三方检测机构而苦恼,当新软件产品研发出来了,面临的就是产品即将上市售卖、报批科研项目、参与市场竞争招投标等,很多要求的文件中明确指出产品需要提供第三方检测机构出具的第三方检测报告。
那应该如何寻找第三方检测机构呢?
1、看实验室的资质,是否具备中国合格评定国家认可委员会CNAS,中国计量认证认可CMA;
2、看实验室性质,在国内存在科研院所、民营股份制检测公司、国外检测认证公司等;
3、看实验室资质的认可范围,检测标准是否在资质认可范围之内;
4、看实验室从事检测认证行业的背景,服务案例,人员资质,检测设备相关参数是否符合测试要求;
5、主要需要问好检测报告是否可以出具CNAS,CMA双标识检测报告;
6、检测报告中是否有检测结论,该检测结论是否满足我们产品验证的要求。
7、看实验室位置,如果是异地项目,有没有本地化服务,沟通配合是否存在问题;
8、看多久可以出具检测报告,是否满足交付的周期;
9、看检测服务速度,是否可以快速高效的安排测试进度,出具检测周期排期日程表等。
最后提醒大家注意的是选择检测机构时,不能仅仅只考虑价格,需要结合资质、公司情况、能力项目、客户项目情况等综合评价选取。 【开元华创科技(集团)有限公司】是不错的选择,资质满足、相关标准能力满足、服务与价格也存在优势。
经CNAS认可的第一方和第二方实验室能否开展外部客户委托检测服务?这些实验室认为通过CNAS的实验室认可有对外出具的检测报告的资质?
问:企业内部(第一方或第二方)实验室通过CNAS认可,可否作为第三方对外出具证书报告?
CNAS官方的回答如下:
CNAS认可,是对实验室能力的认可,可否作为第三方机构对外出具证书报告,还要符合国家法律法规的要求。例如国家计量法规定作为第三方检测机构对外出具检测报告要通过计量认证。
1.第一、二、三方实验室的区别:
(1)第三方实验室(社会实验室):
独立于第一方实验室和第二方实验室,为社会提供检测或校准服务的实验室,数据为社会所用。
目的:提高和控制社会产品质量。一般使用国家标准或国际标准。
(2)第一方实验室(供方实验室):
组织内的实验室,检测或校准自己生产的产品,或委托某实验室代表其检测或校准自己生产的产品,数据为我所用。
目的:提高和控制产品质量,一般使用企业标准或国家标准国际标准。
(3)第二方实验室(需方实验室):
组织内实验室或委托某实验室代表其检测或校准供方提供的产品,数据为我所用。
CMA定义
CMA定义:(China Inspection Body and Laboratory Mandatory Approval)是中国计量认证的简称。其来源是《中华人民共和国计量法》第四章第22条的规定:第二十二条 为社会提供公证数据的产品质量检验机构,必须经省级以上人民政府计量行政部门对其计量检定、测试的能力和可靠性考核合格。这里所称的“公证数据”,是指面向社会从事检测工作的技术机构为他人决定、仲裁、裁决所出具的可引起一定法律后果的数据,即除了具有真实性和科学性外,还具有合法性。因此,所有对社会出具公证数据的产品质量监督检验机构必须取得中国计量认证(即CMA),才允许其在检验报告上使用CMA标识。有CMA标识的检验报告可用于产品质量评价、成果及司法鉴定,具有法律效力。
另外,《检验检测机构监督管理办法》和《检验检测机构资质认定管理办法(修正案)》中明确了检验检测机构及其人员应当对所出具的检验检测报告负责,并明确除依法承担行政法律责任外,还须依法承担民事、刑事法律责任。
CNAS定义
CNAS背景:CNAS(中国合格评定国家认可委员会)是在中国政府领导下,由国家质量监督检验检疫总局(现工业和信息化部)和中国国家认证认可监督管理委员会(现市场监管总局)共同管理的国家级认可机构。CNAS资质的起源可以追溯至1990年,当时我国对外开放,进出口贸易快速增长,而各国之间的贸易要求产品必须符合一定的质量标准。但当时我国的检测机构、认证机构等还比较少,能够认可的机构更是少之又少,缺乏具有国际认可的机构严格检测、认证产品,形成的质量障碍导致不少产品无法进入国际市场。为解决这一困境,中国于1998年成立了CNAS,旨在加强我国的认证和检测体系建设,推动中国的工业产品和技术服务进入国际市场。
CNAS的成立,为我国认证检测市场的发展创造了良好的环境,也为我国制造业的转型升级提供了重要的支撑。随着CNAS的发展壮大,它越来越成为了中国认证检测领域的权威机构之一,为国家的贸易和产业发展做出了重要贡献。
什么是CNAS?
CNAS定义,为中国合格评定国家认可委员会(China National Accreditation Service for Conformity Assessment,CNAS)的认证英文缩写,是在原中国认证机构国家认可委员会(CNAB)和中国实验室国家认可委员会(CNAL)基础上合并重组而成的。CNAS是由国家认证认可监督管理委员会批准设立并授权的国家认可机构,统一负责对认证机构、实验室和检验机构等相关机构的认可工作。CNAS通过评价、监督合格评定机构(如认证机构、实验室、检查机构)的管理和活动,确认其是否有能力开展相应的合格评定活动(如认证、检测和校准、检查等)、确认其合格评定活动的权威性,发挥认可约束作用。以及CNAS实验室认可的发展历程。
CNAS意义:
- 与若干国家认可机构签署了互认协议,得到国家间的认可
- CNAS实验室都依据了ISO/IEC17025标准执行
- 员工的技术能力得到认可
- 技术结果具有有效性
- 质量管理体系得到了承认
CNAS标志:
为中国合格评定国家认可委员会(China National Accreditation Service for Conformity Assessment,CNAS)的认证英文缩写
扩展知识:
第三方软测软件资质,在整个软件工程项目仅仅是一种要求,还包括:
| 关键阶段 |
核心工作 |
核心资质要求 |
| 立项阶段 |
可行性研究报告、初步设计概算报告、软件工程造价报告 |
资信资质、通信信息设计资质、软件工程造价资质 |
| 建设阶段 |
系统集成(软件开发、硬件采购) |
系统集成资质(软件企业成熟度(CMMI)) |
| 全过程监理 |
信息系统工程监理资质 |
|
| 全过程审计 |
信息系统审计资质 |
|
| 验收阶段 |
财务报告、第三方审计报告 |
会计师事务所或信息系统审计资质 |
| 第三方软件测评报告(包括功能、性能、信息安全性测评报告) |
检验检测资质软测(CMA与CNAS) |
|
| 安全风险评估报告(涉密信息系统安全保密测评报告) |
涉密信息系统安全保密测评资质 分保测评(保密局) |
|
| 安全风险评估报告(非涉密信息系统网络安全等级保护测评报告) |
网络安全等级保护测评资质 |
|
| 信息安全风险评估 |
信息安全风险评估资质----风评 |
|
| 密码应用安全性评估报告 |
商用密码应用评估资质---密评 |
|
| 安全风险评估报告(数据安全风险评估报告等) |
大数据安全资质 |
|
| 运行阶段 |
绩效评估报告、后评价报告 |
资信资质甲级或无 |
| 废弃阶段 |
审计报告 |
会计师事务所或信息系统审计资质 |
感谢
如果你全文通读了,在此表示感谢!!!相关对第三方软件测评有一个全面了解。我将不定期分享我对第三方软测业务理解以及相关测试技术的分享。也欢迎您加入我的知识星球: 知识星球:11938791
