第三方软件测试机构测试环境管理规范的框架内容围绕独立性、可追溯性、安全性、一致性展开。

一、目的和依据

目的：保证测试环境稳定、受控、可复现，保障测试结果有效，保护委托方数据和知识产权。

主要依据：

ISO/IEC 17025（检测和校准实验室能力认可标准）

CNAS-CL01-A019（软件和信息技术服务领域应用说明）

机构自身质量手册和程序文件

委托方信息安全和合规要求

二、适用范围

适用于机构内所有为软件测试提供支撑的硬件、软件、网络、数据、工具及配套设施。

包括环境全生命周期：规划、搭建、配置、使用、维护、变更至退役。

三、定义

测试环境：执行测试所必需的硬件、软件、网络配置、测试数据、支撑工具及文档的集合。

基线环境：经确定的、作为后续变更参照的标准环境配置。

环境快照：某一时刻环境的完整状态（系统镜像、配置、数据），用于回滚或重现。

四、职责分配

环境管理员：负责环境规划、搭建、配置、维护、监控和回收。

测试项目经理：提出环境需求，确定环境就绪，安排项目内使用。

测试工程师：按规范使用环境，记录异常，不得私自修改配置。

质量保证人员（QA）：监督环境管理过程，审计记录。

信息安全员：负责环境访问授权、安全方法和审计。

五、环境分类和隔离

按测试阶段：单元测试环境、集成测试环境、系统测试环境、验收测试环境、性能测试环境等。

按项目独立性：每个委托项目原则上独立使用一套环境或通过虚拟化、容器化实现强隔离。

网络隔离：不同项目环境必须处于不同网段或 VLAN，禁止非授权互访。

工具隔离：不同项目使用的测试管理工具、缺陷库、自动化框架应权限隔离。

六、环境规划和设计

需求分析

根据测试合同、测试计划识别所需OS、数据库、中间件、浏览器、硬件资源、第三方依赖等。

架构设计

绘制环境拓扑图，确定各组件版本、IP 规划、存储空间、备份方法。

资源预估

考虑性能测试的并发负载，预留足够的计算、内存、网络带宽，避免短板导致测试失真。

审批和留痕

环境设计方案须经项目经理和信息安全员批准并归档。

七、环境搭建和验收

搭建原则：

优先使用模板或镜像快速部署，减少手动操作。

安装来源必须合法、授权（正版），版本和委托方要求一致。

配置确定：

安装必要监控代理（资源使用、日志采集），但不干扰测试。

关闭非必要服务，加固操作系统。

验收标准：

依环境需求说明书逐项证实，生成《环境验收报告》。

开展冒烟测试，确定功能和连通性。

验收通过后设立基线。

八、配置管理

版本控制：

所有软件、补丁、配置文件、脚本均纳入版本管理（如 Git、SVN）。

环境配置项详细记录：OS 版本、依赖库、环境变量、注册表设置等。

变更追踪：

每次配置修改均记录变更请求、修改内容、审批人、时间。

配置库：

维护环境配置管理数据库（CMDB），含硬件资产、软件许可证、网络拓扑、账号等。

九、使用调度

预约机制：

环境使用需提前预约，确定时间段、占用资源、测试类型。

多个项目冲突时按优先级（合同约定、交付时间）协调，环境管理员统一调度。

独占性：

性能测试、安全测试等特殊测试必须独占环境，不得共享。

功能测试如需共享，需保证测试数据和执行互不干扰。

签入签出：

测试前从基线快照恢复环境，测试后清理敏感数据并释放资源。

十、监控和维护

日常监控：

CPU、内存、磁盘、网络带宽、重点服务状态。

告警阈值设置（如磁盘使用 >80%）。

定期维护：

定期更新系统补丁、病毒库（需考虑对测试的影响并记录）。

检查日志、清理临时文件、优化性能。

健康检查：

周期性执行自动化环境健康检查脚本，保证连通性、依赖完整性。

十一、安全管理

访问控制：

角色权限最小化原则，按需授权。

强密码方法、多原因认证（远程访问）。

严格管理账号，禁用共享账号，离职即回收。

数据安全：

测试数据必须脱敏或匿名化处理，禁止使用真实隐私数据（除非经授权并签署保密协议）。

测试数据存储加密，传输使用安全协议（如 SCP、HTTPS）。

网络安全：

防火墙方法仅开放测试所需端口。

日志审计开启，记录所有操作痕迹。

防污染：

和委托方生产环境物理/思路隔离，禁止直接连接。

十二、备份和恢复

备份对象：

环境配置、镜像快照、重点数据、测试脚本。

备份方法：

全量/增量结合，定期备份，异地存储。

性能基线环境、验收环境等环境变更前必做快照。

恢复演练：

每季度至少进行一次恢复测试，记录恢复时间和完整性，测试备份可用性。

十三、变更管理

流程：

提交《环境变更申请》，说明原因、内容、影响范围。

技术评审（环境管理员、相关项目经理）。

批准后由环境管理员执行，重点变更在维护窗口操作。

变更后更新配置基线、执行证实、通知所有相关方。

紧急变更：可事后补齐审批，但必须详细记录。

十四、环境销毁

条件：项目结束、合同期满且无继续保留要求。

销毁要求：

彻底清除所有委托方相关数据、代码、测试产物，使用不可恢复删除技术。

格式化存储介质、销毁虚拟机或容器。

填写《环境回收/销毁记录》，由委托方确定（如合同要求）。

十五、记录和档案

应留存记录：

环境需求说明、验收报告

配置项清单及变更记录

使用登记、调度记录

监控日志、维护工单

备份恢复记录、安全审计日志

环境销毁记录

保存期限：按机构质量体系或合同约定，一般不少于 3 年。

十六、培训和考核

所有测试人员、环境管理员须接受环境管理规范培训，考核通过方可上岗。

规范修订或工具更新后，及时组织再培训。

这份规范的目的是让每一次测试都运行在可靠、已知且安全的环境中，从而保证结果的可信和客户数据的安全。如果机构正在准备 CNAS 或 CMA 评审，还需结合具体评审标准补充对应的记录表单。