信息系统验收检测报告办理_CMA检测机构_国家认可第三方检测机构

信息系统检测内容

信息系统验收检测涵盖功能性、性能效率、兼容性、易用性、可靠性、安全性、维护性、可移植性及用户文档九大质量特性。具体检测内容如下：

功能性检测：所有功能实现的完整性与正确性验证，包括业务处理功能、数据计算功能、接口调用功能、权限管理功能、流程流转功能、报表生成功能、日志记录功能、参数配置功能、定时任务功能、导入导出功能、打印输出功能、搜索筛选功能、消息通知功能、备份恢复功能、系统初始化功能。

性能效率检测：响应时间（平均响应时间、95百分位响应时间、最大响应时间）、吞吐量（每秒事务数TPS、每秒请求数QPS）、并发用户数（系统支持的最大并发量、稳定并发量）、资源利用率（CPU使用率、内存占用率、磁盘I/O、网络带宽占用率）、负载测试下的系统行为、压力测试下的系统降级与恢复、长时间运行稳定性（7×24小时或72小时）。

兼容性检测：操作系统兼容性（Windows、Linux、Unix、macOS不同版本）、浏览器兼容性（Chrome、Firefox、Edge、Safari、IE各主流版本）、数据库兼容性（MySQL、Oracle、SQL Server、PostgreSQL、DB2）、中间件兼容性（Tomcat、WebLogic、WebSphere、JBoss、Nginx）、移动端适配（iOS、Android不同分辨率与系统版本）、分辨率适配（1920×1080、1366×768、1440×900等）。

易用性检测：界面布局合理性、导航清晰度、操作一致性、输入提示有效性、错误提示准确性、帮助文档可理解性、操作步骤简捷性、界面元素可辨识度、用户自定义功能、快捷键支持、撤销与重做功能。

可靠性检测：平均无故障时间MTBF、平均修复时间MTTR、故障恢复能力、数据一致性校验、异常输入处理、事务回滚机制、冗余切换机制、硬件故障模拟下的系统表现、数据库断连重连、网络中断恢复、电源故障恢复。

安全性检测：身份鉴别（密码复杂度、登录失败锁定、验证码机制、多因素认证）、访问控制（垂直越权、水平越权、角色权限隔离）、数据加密传输（TLS/SSL配置）、敏感数据存储加密（AES-256、国密SM4）、SQL注入漏洞检测、跨站脚本XSS漏洞检测、跨站请求伪造CSRF检测、文件上传漏洞检测、路径遍历漏洞检测、敏感信息泄露检测、会话管理安全（会话超时、会话固定防御）、日志审计完整性。

维护性检测：代码注释覆盖率、模块耦合度、日志输出规范、配置参数外部化、错误码统一管理、监控接口可用性、热部署支持能力。

可移植性检测：跨平台部署一致性、数据库迁移脚本正确性、环境配置适应性、安装卸载清洁度。

用户文档检测：安装部署手册完整性、用户操作手册准确性、管理员维护手册详实度、API接口文档规范性、术语表一致性。

信息系统检测流程

委托受理阶段：委托方通过“聚检通”平台提交检测申请，填写系统基本信息（系统名称、版本号、部署架构、用户规模、业务类型），提供待测系统访问地址或交付物包。检测机构在2个工作日内完成申请初审，评估检测可行性并出具报价单与检测方案。

合同签订阶段：双方确认检测范围、检测标准依据（GB/T 25000.51-2016、GB/T 22239-2019等）、检测环境要求、测试数据准备责任、检测周期（通常为15至30个工作日）、付款方式、报告交付形式（纸质盖章版及电子版）。签订保密协议，明确数据安全责任。

检测准备阶段：委托方按照“聚检通”提供的《检测环境准备清单》搭建测试环境，提交测试账号（不少于3组不同权限角色）、测试数据（生产数据脱敏版或模拟数据）、接口文档、数据库设计文档。检测机构组建项目组，配置检测工具（LoadRunner性能测试工具、AppScan安全扫描工具、Burp Suite渗透工具、JMeter压力工具、Wireshark网络分析仪）。

现场检测实施阶段：检测工程师按照测试用例逐项执行，功能性测试采用黑盒等价类划分与边界值分析法，每个功能点至少执行3组数据用例。性能测试部署5台以上压测机，监控服务器资源指标。安全测试包含自动化扫描与人工渗透，漏洞验证采用CVSS 3.1评分体系。所有检测结果截屏留证，日志文件打包归档。

问题反馈与回归阶段：检测过程中发现的不符合项出具《问题报告单》，标注缺陷等级（致命、严重、一般、建议）。委托方整改后提交回归测试申请，检测机构对修改项及关联影响项进行复测，回归次数不超过3次免收额外费用。

报告编制与签发阶段：检测完成后5个工作日内出具《信息系统验收检测报告》，报告包含检测概述、检测环境说明、检测依据标准、各项检测结果数据汇总表、缺陷统计分析、综合评价结论（通过/不通过/有条件通过）、授权签字人签发、CMA印章及机构公章。

信息系统检测注意事项

环境隔离要求：检测活动必须在独立于生产环境的专用测试环境中进行，严禁直接对生产系统执行性能压力测试或安全渗透测试。测试环境应与生产环境保持硬件配置同比例缩小但不低于生产环境1/2的性能规格，网络带宽模拟实际使用场景。

数据脱敏规范：若使用生产数据脱敏版进行测试，必须执行敏感字段遮蔽处理（姓名、身份证号、手机号、银行卡号、地址等完全匿名化）。测试完成后7个工作日内删除本地缓存的所有测试数据，不得以任何形式留存。

账号权限管理：检测过程中使用的测试账号应遵循最小权限原则，不得提供系统管理员权限账号除非必要功能测试项涉及。委托方需在检测前撤销所有测试账号的数据库直接访问权限，仅保留应用层操作权限。

检测时机选择：性能检测应在系统负载低于峰值30%的时段启动基准测试，逐步加压至预期并发值的1.5倍。安全检测前需获得委托方书面授权文件，明确授权范围包括网络扫描、漏洞验证、弱口令探测等行为，授权有效期不得超过检测合同约定周期。

工具校准与验证：所有检测计量器具（网络测试仪、功率计、时间测量设备等）必须持有在有效期内的校准证书，溯源至国家基准。软件检测工具版本号应在报告中记录，商业工具提供正版授权证明，开源工具需说明版本哈希值。

文档一致性检查：委托方提交的用户文档必须与待测系统实际版本严格对应，版本号、发布日期、功能描述三者匹配。检测过程中发现的文档与实现不符项计入缺陷清单，不作为豁免理由。

异常中断处理：检测期间若发生系统崩溃、数据丢失等重大异常，检测工程师应立即停止操作并保留现场日志，24小时内出具《异常事件报告》。恢复检测前需由双方确认问题根因，排除同一故障点后重新执行全部已中断的测试用例。

报告使用限制：CMA检测报告仅针对委托检测时指定的系统版本及检测环境配置生效，任何对系统的代码修改、配置变更或部署环境调整后，原报告结论自动失效。报告不得拆分使用、不得涂改或伪造印章、不得用于超出授权范围的法律诉讼依据。

信息系统检测方法

功能检测方法：采用等价类划分法，将输入域划分为有效等价类和无效等价类，每类至少选取一个代表值。边界值分析法选取等于、刚好小于、刚好大于边界值的测试数据。判定表法处理复杂业务逻辑组合条件。场景法基于用例图构建基本流和备选流。错误推测法依据经验列举可能出错的输入组合。

性能检测方法：使用JMeter或LoadRunner构建线程组模拟虚拟用户。基准测试在无负载下获取单用户响应时间基线。负载测试以阶梯式加压每5分钟增加50个并发，持续记录TPS和响应时间拐点。压力测试持续增加负载至系统崩溃，记录最大承载极限。稳定性测试在80%峰值并发下运行72小时，监控内存泄漏和资源回收情况。峰值测试模拟突发流量（10倍于平均负载持续30秒）。

安全检测方法：采用SAST静态应用安全测试分析源代码中的SQL注入、XSS、硬编码密码等漏洞。DAST动态安全测试使用AppScan对运行中的应用发起爬取和攻击。手工渗透测试包含身份绕过尝试、会话劫持验证、越权操作测试、不安全的直接对象引用ID遍历。端口扫描使用Nmap检测开放端口及服务版本。中间件安全检测检查Tomcat管理后台、Redis未授权访问等常见配置缺陷。

兼容性检测方法：使用BrowserStack或Selenium Grid矩阵测试浏览器组合。分辨率适配采用响应式设计检测工具Resizer。移动端适配通过真机云测平台覆盖Top30主流机型。数据库兼容性执行DDL和DML脚本在各数据库环境中的执行结果比对。

可靠性检测方法：故障注入法使用Chaos Mesh模拟Pod删除、网络延迟、磁盘写满。恢复测试在系统运行中强制终止数据库服务，记录恢复时间RTO和数据丢失量RPO。数据一致性测试在高并发下执行转账类事务，断网后恢复检查账户余额恒等关系。

易用性检测方法：启发式评估由3名以上用户体验专家依照尼尔森十大可用性原则逐项评分。认知走查法模拟新手用户完成核心任务路径，记录每一步的困惑点。眼动追踪设备记录用户操作热区与注视时间。

信息系统检测费用

检测费用依据系统规模、功能点数量、并发用户指标、安全等级要求、检测标准组合五个维度综合核算。功能点检测按每个功能点80元至150元计费，以功能点计数法FPA核算，基础功能点数量以委托方提供的《系统功能列表》为准，检测机构抽取30%进行复核确认。性能检测按并发用户数阶梯收费：500并发以内8000元，500至2000并发15000元，2000以上并发每增加1000并发加收5000元。安全检测包含自动化扫描3000元/系统次，人工渗透测试按人天计费每人每天2500元，标准渗透周期为5人天即12500元，若需复测则按50%收取。

兼容性检测覆盖操作系统、浏览器、数据库各5种组合以内按5000元打包收费，每增加一种组合加收800元。可靠性检测72小时稳定性测试收费10000元，故障注入测试每类故障场景收费2000元。用户文档评审按每千字200元计费。

单项检测合计费用基础上提供套餐优惠：功能+性能+安全三项全套检测享受8折优惠，功能+性能+安全+兼容性四项检测享受7.5折优惠，全项检测（九大特性）享受7折优惠。加急服务（检测周期缩短至标准周期的一半）加收50%加急费。异地现场检测（检测工程师前往委托方所在地）按每人每天800元收取差旅补助，交通住宿费实报实销。

费用包含检测报告编制费、CMA印章使用费、首次检测及一次回归测试费用。若二次以上回归测试，按每次2000元收取复测管理费。检测费用通过“聚检通”平台统一结算，开具增值税专用发票（税率6%）。委托方需在合同签订后3个工作日内支付50%预付款，检测报告出具前支付剩余50%尾款。