网站系统测试的一份能同时加盖CMA和CNAS双标识的测试报告是项目结题验收的通行证。

双标识使用合规

能力范围包括：报告中的每一个检测项目（如“性能效率”、“信息安全性”）、测试方法标准（如GB/T 25000.51）都必须列在机构的CMA和CNAS能力附表中。不能出现超范围使用的情况。

标识规范：双标识一般并排或上下排列于报告首页，清晰可见。需标注CMA证书号和CNAS认可注册号。同时满足CNAS-R01《认可标识使用规则》和各省市CMA标识使用要求。

责任声明：需包含机构对报告负责、仅供客户使用、不可部分复制等标准声明。

信息完整

被测系统唯一标识：除名称外必须记录具体的版本号（如V2.1.3），网站最好包含URL、部署域名，并附上模块清单。

测试环境

客户端：操作系统、浏览器类型及版本（如Chrome 126、Edge 124）、屏幕分辨率、使用的插件。

服务端：服务器硬件配置（CPU、内存）、操作系统、Web服务器（Nginx/Apache）、数据库（MySQL 8.0.33）、中间件及版本。

网络：网络带宽、是不是使用了负载均衡等。

测试数据：如果使用了预置数据需说明来源和状态（如“从生产环境脱敏后的10万条用户数据”）。

测试工具及标识：列出安全扫描工具（如Burp Suite Professional v2023.9.1）、性能测试工具（JMeter 5.5）的名称、版本，包含工具的受控编号来证明处于管理体系内。

测试依据和过程

方法标准结合：不能只写根据GB/T 25000.51-2016。要具体到条款，如：信息安全性测试用例设计，根据GB/T 25000.51第5.2条款要求，并参照OWASP Top 10 2021进行补充。

缺陷精确定位分析：不满足于发现一个XSS漏洞，而要描述为：在用户登录后的个人资料编辑页面的地址字段，发现一处反射型跨站脚本漏洞。通过注入简单payload，可导致弹窗，存在被利用钓鱼用户会话的风险，严重度考虑为高。

量化结果和测量不确定：对于性能效率等定量标准，如首页平均加载时间1.8秒，需考虑测试结果的波动可给出置信区间或说明不确定度来源及值，这符合CNAS对精确度的要求。

结果和意见准确

测试范围：本次测试，在被测环境V2.0版本上，所测功能、性能效率、兼容性、信息安全性项目满足GB/T 25000.51的相关要求。不要对系统整体可用性、市场作用作评价。

授权签字人对位签发：报告必须由该测试领域（如软件功能、性能）经过CMA和CNAS双重考核批准的授权签字人签发。签名、日期、电子签名控制都需要合规。