CMA（检验检测机构资质认定）对App测试的要求，不是规定必须测哪些功能，是规范测试过程强制使用标准方法。机构出具的报告要盖CMA章，必须优先采用国家标准（GB/GB/T）或行业标准。

App测试主要的标准体系：

一、通用国标

这类标准适用范围最广，适用于绝大多数App的验收或委托测试。机构可根据它们出具有法律效力的报告。

GB/T 25000.51-2016《系统和软件工程 系统和软件质量要求和评价（SQuaRE） 第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》

这是最主流的根据。它定义了App作为“就绪可用软件产品”需测试的八大质量特性，包括功能、性能效率、兼容性、易用性、可靠性、信息安全性、维护性、可移植性等，并给出了详细测试要求。

GB/T 25000.10-2016《系统和软件工程 系统和软件质量要求和评价（SQuaRE） 第10部分：系统和软件质量模型》

和第51部分配套使用，是定义质量特性的基础模型，一般不单独用于直接的符合性测试。

二、信息安全和隐私合规类

App在收集使用个人信息时，主要标准：

GB/T 35273-2020《信息安全技术 个人信息安全规范》

这是App隐私合规测试的重要标准，细化了个人信息收集、存储、使用等各步骤的原则和安全要求。

GB/T 41391-2022《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》

专门针对App，对最小必要收集、敏感权限调用、第三方SDK管理等提出确定要求。

GB/T 34975-2017《信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法》

从移动智能终端角度，规定了App的安全技术要求，如权限控制、身份鉴别、数据加密等。

GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》（DSMM）

一般用于考虑App背后的数据处理者的整体安全能力。

三、特定领域标准

金融、政务、医疗等App，必须优先按照行业标准。

金融类：如 JR/T 0092-2019《中国金融移动支付 客户端技术规范》、JR/T 0171-2020《个人金融信息保护技术规范》，对交易安全和金融信息保护要求很高。

移动支付类：如 GB/T 37729-2019《移动智能终端支付应用软件安全规范》。

电子政务类：如 GB/T 39044-2020《政务服务平台接入规范》 等。

能源/工业类：一般涉及工控系统或特定数据采集协议。

四、标准的测试内容

功能：功能正确性和完整性，容错和互操作性。

性能效率：启动时间、响应时间、资源占用（CPU/内存）、并发承载能力等。

信息安全性：数据传输和存储加密、身份鉴别强度、权限控制、日志审计。

个人信息保护（隐私合规）：权限索取最小必要、隐私政策、用户权利实现机制、第三方SDK行为等。这是当前监管抽查的重要的。

兼容性：不同操作系统版本、主流机型分辨率、不同网络环境下的共存和兼容。

易用性：界面可理解、操作思路一致、用户差错防御。

可靠性：长时间运行的成熟度，异常或高负载下的故障恢复能力。