信息技术 安全技术 信息技术安全评估准则 第3部分：安全保障组件标准立项修订与发展报告.docx

*

《信息技术安全技术信息技术安全评估准则第3部分：安全保障组件》国家标准修订发展报告

DevelopmentReportontheRevisionofNationalStandardInformationtechnology—Securitytechniques—EvaluationcriteriaforITsecurity—Part3:Securityassurancecomponents

---

摘要

随着全球数字化转型的深入，信息技术（IT）产品与系统的安全性已成为国家安全、经济发展和社会稳定的基石。国际标准化组织（ISO）和国际电工委员会（IEC）联合发布的ISO/IEC15408（通用准则，CommonCriteria）系列标准，是国际公认的、用于评估IT产品与系统安全性的权威框架。我国等同采用的GB/T18336系列国家标准，是国内开展信息安全产品测评、认证和采购的核心依据。本报告聚焦于GB/T18336.3《安全保障组件》的修订工作。

本次修订旨在将GB/T18336.3-2015与最新的国际标准ISO/IEC15408-3:2022保持同步。修订的核心意义在于：第一，保持技术前沿性，及时吸纳国际信息安全评估领域二十余年的最佳实践与最新研究成果；第二，增强标准科学性与适用性，通过内容重组、新增组件和更新定义，使标准结构更清晰、逻辑更严谨，更贴合当前复杂IT系统的安全保障需求；第三，提升产业指导价值，为国内IT产品的开发者、系统集成商、第三方测评机构以及政府采购方提供一套与时俱进、与国际接轨的标准化语言和评估尺规，助力我国信息安全产业的高质量发展和国际竞争力提升。

报告详细阐述了本次修订的目的意义、范围与主要技术内容变更，并对主导修订工作的全国信息安全标准化技术委员会（TC260）进行了介绍。结论部分总结了修订工作的价值，并对标准未来的应用与影响进行了展望。

关键词：信息安全；通用准则；安全保障组件；标准修订；测评认证；TC260

Keywords:InformationSecurity;CommonCriteria;SecurityAssuranceComponents;StandardRevision;EvaluationandCertification;TC260

---

正文

一、修订目的与意义

国家标准GB/T18336《信息技术安全技术信息技术安全评估准则》是我国信息安全标准体系中的核心基础标准，其技术内容等同采用国际标准ISO/IEC15408（通用准则）。该系列标准为信息技术产品和系统的安全性评估提供了一个通用、客观、可重复的框架，广泛应用于政府、金融、能源、交通等关键信息基础设施领域的产品采购与安全测评。

本次对GB/T18336.3-2015《第3部分：安全保障组件》的修订，主要基于以下三方面的重要考量：

1.紧跟国际技术发展，保持标准时效性：ISO/IEC15408标准自1999年首次发布以来，历经多次修订，其2022年版（ISO/IEC15408:2022）凝聚了全球信息安全评估领域二十多年的实践经验与技术共识。及时等同采用最新国际标准，是确保我国国家标准技术内容先进、与国际主流实践同步的必然要求。这有助于消除技术壁垒，促进我国安全产品与国际市场的互认。

2.适应国内信息化建设实际需求：随着我国“网络强国”、“数字中国”战略的深入推进，云计算、物联网、工业互联网、人工智能等新技术新应用蓬勃发展，对IT产品的安全保障提出了更高、更复杂的要求。修订后的标准将提供更科学、更细化的安全保障组件，能够更好地指导开发者为应对新型威胁设计安全功能，也为测评者提供了更精准的评估依据，从而全面提升我国关键信息基础设施的安全防护水平。

3.优化标准结构，提升可操作性与连贯性：本次修订并非简单的文本翻译更新，而是对标准内部逻辑和结构的一次重要优化。通过将部分内容（如评估保障级、组合保障包）提取并重组至系列标准的其他部分（第5部分），使得第3部分“安全保障组件”的定位更加纯粹和聚焦。同时，新增和更新的组件内容，使得整个评估准则的体系更加完整，各组成部分之间的逻辑关系更加清晰，极大地增强了标准的科学性和在实际评估工作中的可操作性。

综上所述，本次修订工作对于建立健全我国自主可控的信息安全技术标准体系、规范信息安全产品市场、提升国家整体网络安全保障能力具有深远的基础性意义。

二、修订范围与主要技术内容

本项目严格限定于对国家标准GB/T18336.3-2015的修订，技术路线为等同采用（IDT）国际标准ISO/IEC15408-3:2022。修订工作确保与GB/T18336系列标准其他部