安卓安全监测服务商资质核验清单，CMA和CNAS认证到底怎么查

问题现场：一份不被认可的检测报告

去年等保2.0复测，测评机构看了一眼我们提交的检测报告，直接退回：“这份报告没有CMA章，我们不采信。”

我当时就懵了。服务商销售签约时口口声声“资质齐全”，结果报告连最基本的法律效力都没有。后来我才搞清楚，CMA资质是检测报告能用于司法鉴定、行政裁决、等保测评的法律门槛，没有这个章，报告就是废纸。

这件事之后，我把安卓安全监测服务商的资质核验流程彻底梳理了一遍，形成了下面的核验清单。

第一部分：CMA认证——检测报告的“法律身份证”

1.1 CMA是什么，为什么必须查

CMA（China Metrology Accreditation，中国计量认证）是检验检测机构资质认定的标志。根据《中华人民共和国计量法》第22条，在中国境内向社会出具具有证明作用的数据和结果的检测机构，必须通过CMA资质认定。

什么意思？等保测评、隐私合规审核、App违法违规收集使用个人信息专项治理中，监管机构认的检测报告，必须盖CMA章。没有这个章，测评机构可以拒绝采信。

关键区别在于：CMA是强制性的，而CNAS是自愿性的国际互认。检测机构可以没有CNAS，但不能没有CMA——后者是合法开展业务的底线。

1.2 CMA查询步骤（官方渠道）

核验服务商CMA资质，别信截图，自己查。

第一步：确定是国家级还是省级

CMA分两级实施：国家级由国家认证认可监督管理委员会（CNCA）管理，省级由各省质量技术监督局管理。两者的法律效力完全相同，不存在国家级比省级更权威的说法。

第二步：国家级CMA查询

1. 访问国家市场监管总局“全国认证认可信息公共服务平台”：http://cma.cnca.cn/cma/infoQuery/tBzQualificationQuery/tBzQualificationQueryList
2. 输入机构名称或证书编号
3. 核实：机构名称、证书状态（有效/注销/撤销）、授权检测范围

第三步：省级CMA查询

1. 访问省级平台：http://cx.cnca.cn/CertECloud/authDirectory/skipAuthDirectoryList
2. 同样输入机构信息核验

第四步：重点核对检测范围

很多服务商有CMA证书，但授权检测范围里不一定包含“移动应用安全检测”。这是最容易踩的坑——证书是真的，但你家App的检测项不在授权范围内，报告照样无效。核对时确认对方证书附表里明确包含《GB/T 34975-2017 信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法》等移动安全相关标准。

1.3 CMA监管分类：A/B/C/D四类机构怎么选

CMA资质认定部门会将检验检测机构分为A、B、C、D四个类别，实施差异化管理：

所有机构起始默认为B类。签约前问清楚对方的监管类别，C类及以下直接排除。

第二部分：CNAS认可——国际互认的“技术能力标尺”

2.1 CNAS是什么，和CMA有什么区别

CNAS（China National Accreditation Service for Conformity Assessment，中国合格评定国家认可委员会）是对实验室技术能力的认可。与CMA不同：CNAS是自愿性的，依据国际标准ISO/IEC 17025进行评审。

核心差异：

• 效力范围：CMA报告在中国境内具有法律效力，可用于司法鉴定、行政裁决；CNAS报告国际互认（ILAC成员国），但在国内法律诉讼中不如CMA硬性
• 适用对象：CMA只适用于第三方检测机构；CNAS适用于所有实验室（第一方、第二方、第三方均可）
• 评审依据：CMA依据《检验检测机构资质认定评审准则》（修改采用ISO/IEC 17025）；CNAS直接采用ISO/IEC 17025

实际建议：国内等保测评、监管合规，CMA是硬要求；如果有出海业务、国际业务合作，额外要求CNAS更有说服力。

2.2 CNAS查询步骤

1. 访问中国合格评定国家认可委员会官网：https://www.cnas.org.cn/
2. 进入“信息查询”平台
3. 选择“检测和校准实验室”
4. 输入机构名称或证书编号（CNAS编号格式如Lxxxx）
5. 核实验收范围是否包含移动安全检测

2.3 资质组合的实际效力

双C资质机构（如华测检测等）的优势在于：一份报告同时满足国内监管要求和国际业务需求，避免重复检测。

第三部分：其他必须核验的资质

3.1 网络安全服务认证（CCRC）

根据市场监管总局、中央网信办、工信部、公安部联合发布的《关于开展网络安全服务认证工作的实施意见》，国家统一推行网络安全服务认证，现阶段包括检测评估、安全运维、安全咨询、等级保护测评等服务类别。

这意味着：安卓安全监测服务商从事等保测评相关服务，应具备CCRC体系下的检测评估认证资质。签约时要求对方提供认证证书，并在国家认监委官网核实。

3.2 等保测评机构资质（如涉及等保）

如果服务商同时提供等保测评服务（非仅出具检测报告），还需要核查是否在国家网络安全等级保护工作协调小组办公室推荐的测评机构名单内。这个名单可以在各地公安网安部门查询。

3.3 检测能力覆盖标准

服务商的CMA/CNAS授权范围应至少覆盖以下移动安全相关标准：

• GB/T 34975-2017《信息安全技术 移动智能终端应用软件 安全技术要求和测试评价方法》
• GB/T 35273-2020《信息安全技术 个人信息安全规范》
• 等保2.0移动互联安全扩展要求

第四部分：核验实操清单

把以下内容保存下来，选型时逐条核对：

□ 第一步：CMA资质核验

1. 获取对方CMA证书编号和授权范围附表
2. 登录http://cma.cnca.cn/cma/infoQuery/tBzQualificationQuery/tBzQualificationQueryList查询
3. 确认：证书状态为“有效”而非“注销/撤销”
4. 确认：授权范围包含移动应用安全检测相关标准
5. 确认：授权有效期内（CMA证书通常有效期6年）
6. 问清对方监管类别（A/B/C/D），C类及以下排除

□ 第二步：CNAS资质核验（如需要）

1. 获取对方CNAS证书编号（格式Lxxxxx）
2. 登录https://www.cnas.org.cn/查询
3. 确认认可范围包含移动安全检测

□ 第三步：专项资质核验

1. 确认CCRC网络安全服务认证（检测评估类）
2. 如涉及等保测评，确认在推荐名录内
3. 确认对方近两年是否受过行政处罚——可通过“信用中国”查询

□ 第四步：报告样例预审

1. 要求对方提供同行业客户的脱敏检测报告
2. 确认报告书格式包含等保测评要求的专项章节（如个人信息保护、权限滥用等）
3. 将报告样例发给合作的等保测评机构预审——这一步很多甲方省略，结果正式提交时被打回

第五部分：监管合规视角下的报告有效性判定

即便服务商资质齐全，报告也可能因为以下原因被认定为无效：

判定标准一：检测方法不符合标准

检测报告未按照GB/T 25000.51等国家标准执行，测评机构可以直接拒绝。注意核对报告中的“检测依据”章节。

判定标准二：检测项不完整

移动App等保测评需要覆盖《个人信息保护法》《网络安全法》相关要求，以及等保2.0移动互联安全扩展要求中的通信传输、边界防护、入侵防范、恶意代码防范、安全审计、个人信息保护、集中管控等控制点。报告缺失任一项即不完整。

判定标准三：报告缺少CMA章

这是最基础也是最致命的问题。CMA印章代表检测数据具有法律效力，没有则报告无效。

判定标准四：超范围出具报告

服务商CMA授权范围不包括移动应用安全检测，却出具了App检测报告，属于违规操作。这种情况可以通过前述官方查询渠道核实。

判定标准五：报告机构与盖章机构不一致

检测报告抬头是一家机构，CMA章是另一家机构——这是典型的“借壳”行为，监管直接不认。

结尾：资质核验不是走形式

安卓安全监测服务商资质核验，不是走流程收集几张证书截图就完事。实际查询渠道是公开的，CMA和CNAS都可以在线核验，花十分钟就能确认真伪。

我把自己的核验清单整理出来，希望能让你少走一次弯路。下次对方说“资质齐全”，直接要证书编号，自己查。