English 简体中文
    标题 摘要 内容
    搜索
    当前的位置:
    首页 >> 【检测信息】“一单一库” 新政落地,软件测试 CMA盖章时代正式终结!
    详情
    信息来源:食品伙伴网

    核心提示:市场监管总局发布的《关于对检验检测机构资质认定实施 “一单一库” 管理的公告》(2026 年第 14 号),将于2026 年 6 月 1 日起正式实施。


    各位软件测试行业的伙伴们,注意啦!市场监管总局发布的《关于对检验检测机构资质认定实施 “一单一库” 管理的公告》(2026 年第 14 号),将于2026 年 6 月 1 日起正式实施。这则公告直接重塑了软件测试领域的 CMA 资质使用规则,尤其对我们行业的甲乙方双方,影响堪称 “颠覆性”。今天,我们就把政策的核心影响、合规边界和实操建议一次性讲透,帮大家避开后续的合规雷区!

     

    一、先划重点:新政的核心规则,一句话讲明白

    很多伙伴可能已经听过 “一单一库”,但没搞懂它到底和咱们软件测试业务有啥关系。其实核心就两句话:

    “一单” 锁死业务范围:只有《检验检测机构资质认定事项清单》里的 11 大类业务,才能申请 CMA 资质。咱们软件测试里,绝大多数信息安全测评、通用软件质量测试,都不在这个清单里;

    “一库” 卡死标准门槛:哪怕是清单内的业务,也必须用《检验检测机构资质认定能力项目库》里的标准,才能出具带 CMA 标志的报告。你手里那些没入库的软件测试标准,6 月 1 日后,再也不能用来盖 CMA 章了。

    而这两条规则叠加,直接宣告了:软件测试行业里,绝大多数场景下,CMA 章不再需要,也不能再盖了!

     

    二、给甲方:别再拿 CMA 当 “硬门槛”,合规采购别踩坑

    1. 哪些软件测试业务,以后再也不能要 CMA 报告了?

    从 6 月 1 日起,以下这些常见的软件测试场景,任何第三方机构出具的报告,都不能标注 CMA 标志,你再要求供应商提供,不仅没必要,还可能让自己的项目陷入合规风险:

    信息安全类:渗透测试、漏洞扫描、代码安全审计、等保测评配套测试、系统安全风险评估;

    通用软件质量类:非特定行业的通用软件功能 / 性能 / 兼容性测试、企业自研系统的验收测试;

    非清单内行业的专项测试:未纳入 “一单” 的行业软件,哪怕有行业标准,只要不在 “一库” 里,也不能盖 CMA。

    2. 哪些场景,还能合法要 CMA 报告?

    只有同时满足以下两个条件的软件测试项目,供应商才能出具带 CMA 标志的报告:

    业务属于 “一单” 里的 11 大类(比如产品质量检验下的特定行业软件测试);

    测试采用的标准,已经纳入了 “一库”,比如你之前看到的 GB/T 46357-2025、GA/T 2018-2023 这类入库的行业标准。

    举个例子:你做公安视频监控系统的软件测试,用入库的 GA 标准做质量检测,供应商能盖 CMA;但你做普通企业业务系统的安全测试,哪怕供应商说 “我们能盖 CMA”,也是违规的,这份报告的 CMA 标志无效,后续监管抽查时,你作为采购方也要承担责任。

    3. 给甲方的采购避坑指南

    别再把 “CMA 资质” 作为软件测试供应商的强制准入条件了!新政明确要求,招标、采购环节,不得将 “一单一库” 以外的 CMA 资质作为委托条件,再写进招标文件,本身就不符合政策要求;

    优先关注供应商的行业专项资质:比如等保测评资质、软件测试能力成熟度认证、行业专项实验室认可,这些才是适配软件测试业务的合规背书;

    验收时别再执着于 CMA 章:只要供应商能提供符合行业标准的测试报告、完整的测试过程文档,且机构具备相应的技术能力,就可以正常验收,无效的 CMA 章反而会给项目留隐患。

     

    三、给乙方:别再靠 CMA “撑门面”,合规开展业务才是长久路

    1. 哪些业务,你以后再盖 CMA 章,就是违规?

    新政实施后,只要你的软件测试项目,不符合 “一单” 的业务范围,或者没用到 “一库” 里的标准,哪怕你之前有相关的 CMA 资质,也不能再盖 CMA 章了。尤其是:

    信息安全类所有测试业务,本身就不在清单内,盖 CMA 章属于明确的违规行为,监管部门可依法查处,最高可处 3 万元以上罚款;

    非入库标准的软件质量测试,哪怕是产品质量检验大类下的项目,只要用的标准不在 “一库” 里,也不能标注 CMA 标志;

    已取得但未纳入 “一单一库” 的能力项目,资质到期后会自动失效,到期后再用这些项目的 CMA 资质出具报告,同样违规。

    2. 还能合法用 CMA 的业务,一定要 “按标准办事”

    只有同时满足 “在清单内、标准在库内” 的软件测试项目,你才能继续出具带 CMA 标志的报告。比如用入库的 DL/T 标准做电力移动应用测试、用 JT/T 标准做高速公路监控系统软件测试,这些场景可以正常盖 CMA,但必须严格按照入库标准的要求开展测试,不能超范围使用。

    3. 给乙方的业务转型建议

    立刻梳理现有 CMA 资质项目:对照 “一单一库”,把不在清单内、标准未入库的项目全部剔除,停止在这些项目的报告上标注 CMA 标志;

    调整市场宣传和投标材料:删掉所有 “软件测试全业务支持 CMA 报告” 这类表述,明确标注 “仅入库标准对应的产品质量检验项目可出具 CMA 报告”;

    打造适配行业需求的合规服务:针对信息安全测试、通用软件质量测试等非 CMA 业务,优化测试报告的专业性和完整性,用技术能力、测试流程、案例背书替代无效的 CMA 章,比如强化等保合规适配、行业标准对齐、测试过程留痕,让报告的专业性成为客户认可的核心。

     

    四、最后说句实在话:CMA 不是万能背书,合规才是

    很多甲乙方伙伴之前都觉得,软件测试报告盖个 CMA 章,就等于 “有了权威背书”,但这次的 “一单一库” 新政,彻底打破了这个误区。

    对甲方来说,与其纠结一个无效的 CMA 章,不如把重点放在供应商的技术能力、测试流程的规范性、报告的专业性上;对乙方来说,与其靠违规盖 CMA 章吸引客户,不如深耕行业,把测试服务做深做透,让客户为你的技术和服务买单,而不是为一个无效的标志买单。

    新政落地在即,希望甲乙方都能及时调整认知,避开合规雷区,一起推动软件测试行业朝着更规范、更健康的方向发展。