ISO-IEC-15408简介

适用场景

ISO-IEC-15408，也称为“信息技术安全评估通用准则”（Common Criteria，简称CC），是一套国际通用的信息技术安全评估标准。它适用于以下场景：

1. 安全产品评估：用于评估信息技术产品的安全性，确保其符合特定的安全需求。
2. 系统认证：帮助企业和组织验证其系统的安全性，满足合规性要求。
3. 政府采购：许多国家和地区的政府采购要求产品必须通过CC认证。
4. 跨行业应用：适用于金融、医疗、通信等多个行业的安全需求。

适配系统与环境配置要求

ISO-IEC-15408的评估和认证过程对系统和环境有一定的要求：

1. 硬件要求：评估对象（如安全产品）需在符合标准的硬件环境中运行。
2. 软件要求：评估过程中可能需要特定的软件工具支持，如安全分析工具或测试工具。
3. 文档完整性：评估需要完整的开发文档、安全目标文档和测试报告。
4. 评估机构：必须由经过认可的评估机构执行认证。

资源使用教程

1. 了解标准框架：首先熟悉ISO-IEC-15408的框架和核心概念，如保护轮廓（PP）和安全目标（ST）。
2. 定义安全需求：根据实际需求，定义产品的安全功能需求（SFR）和安全保证需求（SAR）。
3. 选择评估级别：根据产品的安全目标，选择合适的评估保证级别（EAL）。
4. 提交评估申请：联系认可的评估机构，提交评估申请和相关文档。
5. 完成评估：配合评估机构完成测试和审核，获取认证。

常见问题及解决办法

1. 评估周期长：评估过程可能耗时较长，建议提前规划并准备充分的文档。

   • 解决办法：优化文档管理流程，确保所有材料齐全且符合标准。

2. 评估费用高：认证费用可能较高，尤其是高保证级别的评估。

   • 解决办法：根据实际需求选择合适的评估级别，平衡成本与安全性。

3. 标准理解困难：ISO-IEC-15408的术语和框架可能较为复杂。

   • 解决办法：参加相关培训或咨询专业机构，加深对标准的理解。

4. 评估失败：部分产品可能因未满足安全需求而未能通过评估。

   • 解决办法：在开发阶段就引入安全设计，确保产品符合标准要求。

ISO-IEC-15408为信息技术安全提供了一套严谨的评估方法，帮助用户和开发者建立信任。通过合理规划和准备，可以高效完成认证，提升产品的市场竞争力。