99年资安研讨会讲义之3作者许英明-NCC资通安全宣导网-国家通讯.pptVIP

資通安全產品及保護剖繪審驗作業要點簡介 報告人：許英明 國家通訊傳播委員會 99年12月27日 前言 什麼是資通安全產品？ 資通安全產品類別 資通安全產品類別-1 資通安全產品類別-2 資通安全產品類別-3 資通安全產品類別-4 資通安全產品類別-5 資通安全產品類別-6 資通安全產品類別-7 資通安全產品類別-8 資通安全產品類別-9 資通安全產品類別-10 資通安全產品類別-11 資通安全產品類別-12 資通安全產品類別-13 資通安全產品及保護剖繪審驗作業要點 資通安全產品及保護剖繪審驗作業要點 資通安全產品及保護剖繪審驗作業要點 資通安全產品及保護剖繪審驗作業要點 資通安全產品及保護剖繪審驗作業要點 作業要點用詞定義 (1/4) 評估技術報告(Evaluation Technical Report, ETR) 指評估實驗室為評估資通安全產品或保護剖繪撰寫之技術報告，提供驗證機關作為驗證報告之依據。 審驗 (Certification) 指對資通安全產品或保護剖繪以符合特定安全需求，由驗證機關出具書面證明之程序。 驗證報告（Certification Report, CR） 指驗證機關依評估實驗室提供之評估技術報告，確認其遵循共同準則、共同方法論及評估程序撰寫之報告。 資通安全產品及保護剖繪審驗作業要點 用詞定義 (2/4) 資訊技術安全評估共同準則(Common Criteria for Information Technology Security Evaluation, CC) 指資通安全產品及保護剖繪之安全功能及安全保證之國際共同規範，即國際標準組織之ISO/IEC 15408規範。 資訊技術安全評估共同方法論(Common Methodology for Information Technology Security Evaluation, CEM) 指依共同準則評估及驗證資通安全產品及保護剖繪之安全功能及安全保證等級時，應遵循之方法及程序，即國際標準組織之ISO/IEC 18405規範。 資通安全產品及保護剖繪審驗作業要點 評估及驗證規範 共同準則(CC ;Common Criteria ;ISO/IEC 15408 V3.1) 共同方法論(CEM ;Common Methodology Evaluation) 其他由本會訂定公告之技術規範 中華民國國家標準（Chinese National Standards, CNS－CNS15408） 國際標準組織所訂標準 區域標準組織所訂標準 CCRA介紹 1998年美國、英國、德國、法國與加拿大等五國提議簽署資安產品共同準則驗證證明書相互承認協議(Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security，CCRA) CCRA條款於2000年定案，其內容共包括了以下二十個項目：協定的目的、協定的精神、會員資格、範圍、例外、定義、承認條件、自願性的定期性評鑑、出版品、資訊的分享、新的參與者、協定的管理、爭議、承包商的採用、協定的費用、修訂、期效、參與的自願性終止、協定之起始日及協定的效力等。 簡報完畢 敬請指教 CCRA介紹 CCRA會員身分： 接受證書會員(CCP,Certificate Consuming Participant) 接受證書會員，因不具備資訊技術產品安全評估的能力， 但表示接受授與證書會員之驗證機構所出具的資訊技術產 品及保護剖繪的安全評估及驗證報告。 授與證書會員(CAP,Certificate Authorizing Participant) 授與證書會員有權指派運作於其國內符合CCRA條款第 一條規定之驗證機構出具資訊技術產品及保護剖繪的驗 證證明書者。 CCRA介紹 CAP(13) Canada France Germany UK USA Australia New Zealand Japan Netherlands Norway Korea CCP(12) Finland Greece Italy Spain Sweden Austria Czech Hungary India Singapore Turkey Denmark Israel Certificate 授與證書會員國 (CAP)：具備核發CC證書之權限。 接受證書會員國 (CCP)：僅能接受CAP會員國所核發之證書。 Malaysia Pakistan 現有共同準則國際組織會員國 KECS NSCIB荷蘭 NSS 挪威 SECS 西班牙 UK