信息技术安全评估准则 第5部分：预定义的安全要求包标准立项修订与发展报告.docx

*

《信息技术安全评估准则第5部分：预定义的安全要求包》标准修订发展报告

EnglishTitle:DevelopmentReportontheRevisionof*InformationTechnologySecurityEvaluationCriteria—Part5:Pre-definedPackagesofSecurityRequirements*

摘要

随着全球数字化转型的深入，信息技术产品的安全性与可信性已成为国家安全、经济发展和社会稳定的基石。国际标准化组织（ISO）和国际电工委员会（IEC）联合发布的ISO/IEC15408（通用准则，CommonCriteria）系列标准，是信息技术安全评估领域最具权威性和影响力的国际标准，为信息技术产品与系统的安全功能及保障要求提供了系统化的评估框架。我国等同采用的GB/T18336系列国家标准，是构建国家信息安全标准体系、开展信息安全产品测评认证的核心依据。本报告聚焦于GB/T18336-2015的修订工作，特别是其拟新增的第5部分“预定义的安全要求包”。本次修订旨在等同采用最新的ISO/IEC15408:2022国际标准，确保我国标准与国际前沿技术发展保持同步。修订的核心内容是将原标准中分散的评估保障级（EAL）和组合保障包（CAP）进行系统化整合与重构，并基于新版标准对保护轮廓（PP）和安全目标（ST）的分类，创新性地定义了“保护轮廓保障包（PPA）”和“安全目标保障包（STA）”等新概念。此举不仅提升了标准的时效性与连贯性，更通过提供预定义的、模块化的安全要求包，极大地增强了标准的可操作性和实用性，为信息技术产品的开发者、使用者以及第三方测评机构提供了更为清晰、高效和科学的标准化指引，对推动我国信息安全产业的高质量发展、提升关键信息基础设施的安全防护水平具有重要的战略意义。

关键词：信息技术安全评估准则；通用准则；预定义安全包；保护轮廓保障包；安全目标保障包；标准修订；网络安全

Keywords:InformationTechnologySecurityEvaluationCriteria;CommonCriteria;Pre-definedSecurityPackages;ProtectionProfileAssurancePackage;SecurityTargetAssurancePackage;StandardRevision;Cybersecurity

正文

一、修订背景与目的意义

在全球网络空间竞争日趋激烈、网络安全威胁持续演进的背景下，建立科学、统一、与国际接轨的信息技术安全评估体系至关重要。GB/T18336《信息技术安全技术信息技术安全评估准则》（等同采用ISO/IEC15408，即通用准则）是我国信息安全标准体系的核心组成部分，自发布以来，已成为指导我国信息安全产品研发、测评认证和采购选型的关键技术依据。该标准通过定义保护轮廓（PP）和安全目标（ST），为特定类型产品或系统的安全要求提供了标准化描述框架，并通过评估保障级（EAL）来衡量其安全保障的深度和广度。

然而，国际信息安全技术发展日新月异，ISO/IEC15408标准自身也在不断演进和完善。我国现行标准GB/T18336-2015所对应的国际版本已显滞后，未能完全反映国际最新的技术共识和实践经验。为了建立和完善国家信息安全标准体系，及时跟踪与接轨国际最新技术动态，对GB/T18336-2015进行修订已势在必行。

本次修订项目的核心目的与意义在于：

1.保持国际同步与先进性：通过等同采用最新的ISO/IEC15408:2022国际标准，确保我国在信息技术安全评估领域的技术要求、方法论和术语体系与国际最高水平保持一致，避免因标准滞后而形成技术壁垒或评估差异。

2.完善标准结构与可操作性：新版国际标准对标准结构进行了重要优化。本次修订拟新增的第5部分“预定义的安全要求包”，是对原有评估保障模型的重大改进。它将原先分散在第3部分中的评估保障级（EAL）和组合保障包（CAP）等内容进行系统性抽取、整合与重构，形成了更加模块化、易于理解和使用的“包”概念。这显著提升了标准的逻辑清晰度和工程实用性。

3.引入创新性概念，提升评估效率：修订内容基于ISO/IEC15408-1:2022中对PP和ST的细化分类，创新性地定义了“保护轮廓保障包（PPA）”和“安全目标保障包（STA）”。这些预定义的包为开发者和评估者提供了经过验证的、可重用的安全要求组合模板，能够大幅减少在定义具体产品安全目标时的重复工作和不确定性，提高安全开发与评估的一致性和效率。

4.服务国家信息化建