GBT 18336.2 安全功能组件标准立项修订与发展报告.docx

《GB/T18336.2安全功能组件》标准修订发展报告

EnglishTitle:DevelopmentReportontheRevisionofGB/T18336.2:SecurityFunctionalComponents

摘要

随着信息技术的飞速发展，云计算、物联网、人工智能等新兴技术广泛应用，网络安全威胁日益复杂多变，对信息技术产品及系统的安全性提出了更高要求。作为我国信息技术安全评估领域的核心标准之一，GB/T18336系列标准（等同采用国际标准ISO/IEC15408，即“通用准则”）是开展信息技术产品安全测评、认证和采购的重要依据。本报告聚焦于GB/T18336.2-2015《信息技术安全技术信息技术安全评估准则第2部分：安全功能组件》的修订工作。本次修订旨在与最新的国际标准ISO/IEC15408-2:2022保持同步，确保我国标准与国际前沿技术发展同频共振。修订的核心内容包括：在密码支持（FCS类）、用户数据保护（FDP类）等关键安全功能组件中，新增了适配当前主流技术（如后量子密码、数据脱敏、隐私计算等）的安全功能族及组件，并对原有组件内容进行了技术性更新与完善。本次修订显著增强了标准的时效性、科学性和可操作性，为信息技术产品的开发者提供了更明确的安全功能设计指引，为测评机构提供了更科学的评估依据，也为最终用户的产品选型和供应链安全风险管理提供了权威的标准化支撑，对我国构建自主可控、安全可信的信息技术产业生态具有重要的战略意义。

关键词：信息技术安全评估准则；通用准则；安全功能组件；标准修订；网络安全；密码支持；隐私保护

Keywords:InformationTechnologySecurityEvaluationCriteria;CommonCriteria;SecurityFunctionalComponents;StandardRevision;Cybersecurity;CryptographicSupport;PrivacyProtection

正文

一、修订背景与目的意义

GB/T18336《信息技术安全技术信息技术安全评估准则》是我国在信息技术产品安全评估领域的基础性、纲领性标准体系，其技术内容等同采用国际标准化组织（ISO）和国际电工委员会（IEC）联合发布的ISO/IEC15408（通用准则，CommonCriteria）。该系列标准通过建立一套国际公认的、严谨的安全评估框架，为信息技术产品的安全特性定义、评估和认证提供了通用语言和方法论。

本次针对GB/T18336.2-2015的修订工作，其核心驱动力源于信息技术环境的深刻变革与安全需求的快速演进。自2015年版标准发布以来，信息技术领域涌现出大量新技术与应用模式，同时网络攻击手段也日趋高级化、复杂化。国际标准ISO/IEC15408已于2022年完成了新一轮的重大更新（ISO/IEC15408:2022），以回应这些新的挑战。因此，对GB/T18336.2进行同步修订，具有以下多重重要意义：

1.保持国际同步与先进性：及时跟进并等同采用ISO/IEC15408-2:2022，确保我国在信息技术安全评估领域的技术要求、方法论与国际最新实践保持一致，避免因标准滞后而形成技术壁垒，有利于我国信息技术产品参与国际市场竞争与互认。

2.提升标准的时效性与适用性：将过去近十年国际国内在信息安全测评实践中积累的经验、面临的新威胁以及应对的新技术（如量子计算威胁下的密码算法迁移、数据安全与隐私保护法规的合规要求等）融入标准，使标准内容更贴合当前及未来一段时间内信息技术产品的安全开发与评估实际需求。

3.增强标准的科学性与可操作性：通过对安全功能组件的增补、细化和更新，使安全要求的描述更加精确、完整，减少了评估过程中的歧义，为开发者实现安全功能、测评者验证安全特性提供了更清晰、更规范的指引，从而提升整个评估生态的效率和可靠性。

4.服务国家网络安全战略：该标准的修订是落实《网络安全法》、《数据安全法》、《个人信息保护法》以及国家网络安全等级保护制度2.0等法律法规和政策要求的具体技术举措，为关键信息基础设施保护、重要网络产品和服务的安全审查提供了与时俱进的标准化工具。

二、修订范围与主要技术内容

本项目对GB/T18336.2-2015进行修订，技术内容上等同采用最新的国际标准ISO/IEC15408-2:2022。此次修订是GB/T18336系列标准整体更新计划的重要组成部分，旨在实现与ISO/IEC15408:2022的全面同步。

与GB/T18336.2-2015相比，本次修订的主要技术内容变化体现在对“安全功能