信息技术 安全技术 信息技术安全评估准则 第1部分：简介和一般模型标准立项修订与发展报告.docx

《信息技术安全技术信息技术安全评估准则第1部分：简介和一般模型》标准修订发展报告

EnglishTitle:DevelopmentReportontheRevisionof*Informationtechnology—Securitytechniques—EvaluationcriteriaforITsecurity—Part1:Introductionandgeneralmodel*

摘要

随着信息技术的飞速演进和网络安全威胁的日益复杂化，建立科学、统一、与国际接轨的信息技术安全评估体系至关重要。GB/T18336系列标准（等同采用国际标准ISO/IEC15408，即“通用准则”）是我国信息技术安全评估领域的核心基础标准，为信息技术产品与系统的安全性评估提供了通用框架和方法论。本报告聚焦于该系列标准第1部分（GB/T18336.1）的修订工作。本次修订旨在将国家标准与最新的国际标准ISO/IEC15408-1:2022保持同步，及时吸纳国际信息安全评估领域二十余年实践积累的最新成果与技术动向。

报告详细阐述了本次标准修订的核心目的与深远意义，即通过更新标准内容，增强其时效性、连贯性与可操作性，从而为信息技术安全产品的开发者、使用者以及第三方测评机构提供更为全面、科学和规范的指引。报告系统梳理了本次修订的主要技术内容，重点分析了新增的“保护轮廓模块（PP-Module）”、“保护轮廓配置（PP-Configuration）”、“组合保障”等关键概念，以及文档结构重组、术语更新等技术性调整。这些修订不仅反映了评估方法从静态、单一向动态、模块化发展的趋势，也显著提升了标准应对复杂、组合式信息技术系统安全评估的能力。本报告的结论部分总结了修订工作的价值，并展望了标准在未来推动我国网络安全产业高质量发展、支撑关键信息基础设施保护中的关键作用。

关键词：信息技术安全评估；通用准则；GB/T18336；标准修订；保护轮廓；安全保障级；模块化评估

Keywords:ITSecurityEvaluation;CommonCriteria;GB/T18336;StandardRevision;ProtectionProfile;SecurityAssuranceLevel;ModularEvaluation

---

正文

一、修订背景与目的意义

在全球数字化浪潮下，信息安全与网络安全已成为保障国家安全、经济稳定和社会运行的基石。信息技术产品与系统的安全性需要一套公认、客观的评估准则进行衡量。GB/T18336《信息技术安全技术信息技术安全评估准则》系列标准，作为我国在该领域的权威标准，自发布以来，为规范国内信息安全测评市场、提升产品安全质量、促进国际互认发挥了不可替代的作用。

本次对GB/T18336.1-2015的修订，核心驱动力在于保持我国标准与国际先进水平的同步。国际标准化组织（ISO）和国际电工委员会（IEC）联合发布的ISO/IEC15408标准（通用准则，CC）始终处于动态发展之中，其2022年发布的最新版本（ISO/IEC15408-1:2022）融入了近十年来的技术演进与实践经验。我国2015年版标准所基于的国际版本已显滞后，部分概念和框架难以完全适应云计算、物联网、工业互联网等新型复杂信息技术环境下的安全评估需求。

因此，本次修订具有以下重要意义：

1.提升时效性与先进性：通过等同采用ISO/IEC15408-1:2022，使国家标准及时跟进国际信息安全评估技术的最新发展动向，确保我国评估框架的先进性和前瞻性。

2.增强连贯性与可操作性：修订后的标准作为系列标准的总论，其概念和模型的更新为后续各部分（如安全功能组件、安全保障组件）的协调一致奠定了基础，使整个评估体系逻辑更严密，实践指导性更强。

3.提供全面科学指引：更新后的标准为信息技术安全产品的开发者提供了更清晰的安全目标定义和实现指南；为使用者（采购方、系统集成方）提供了更可靠的选型与验收依据；为第三方测评者提供了更规范、更细化的评估方法论，从而全面提升我国信息技术安全产业链各环节的标准化水平。

4.支撑国家网络安全战略：该标准的修订与实施，是贯彻落实《网络安全法》、《关键信息基础设施安全保护条例》等法律法规，以及国家网络安全等级保护制度2.0要求的具体技术支撑，有助于筑牢国家网络安全屏障。

二、范围与主要技术内容

本标准修订的范围是对GB/T18336.1-2015进行全面的技术更新，等同采用国际标准ISO/IEC15408-1:2022。作为GB/T18336系列标准的纲领性文件，第1部分“简介和一般模型”旨在定义信息技术安全评估