GBT 18336.3 信息技术安全评估准则 第3部分：安全保障组件标准立项修订与发展报告.docxVIP

《GB/T18336.3信息技术安全评估准则第3部分：安全保障组件》修订发展报告

EnglishTitle:DevelopmentReportontheRevisionofGB/T18336.3-InformationTechnologySecurityEvaluationCriteria-Part3:SecurityAssuranceComponents

摘要

随着全球数字化转型的深入，信息技术（IT）产品和系统的安全性已成为国家安全、经济发展和社会稳定的基石。国际标准化组织（ISO）和国际电工委员会（IEC）联合发布的ISO/IEC15408（通用准则，CommonCriteria）系列标准，是国际公认的、用于评估IT产品与系统安全性的权威框架。我国等同采用的GB/T18336系列国家标准，为我国信息安全测评认证体系提供了核心的技术依据。本报告聚焦于《GB/T18336.3-2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件》的修订工作。本次修订旨在与最新的国际标准ISO/IEC15408-3:2022保持同步，及时吸纳国际信息安全评估领域二十余年的实践经验与技术发展成果。修订的核心内容包括：对标准结构进行优化，将评估保障级、组合保障包等内容重组至系列标准的其他部分；新增了保护轮廓配置评估、组合设计遵从、TOE研发构件等关键族与组件；并对原有组件内容进行了全面更新与完善。本次修订显著提升了标准的科学性、时效性、连贯性与可操作性，为国内信息技术产品的开发者、使用者及第三方测评机构提供了更为全面、精准和规范的评估指引，对强化我国关键信息基础设施安全防护能力、推动自主可控安全产品高质量发展具有重要的战略意义。

关键词：

信息技术安全评估准则；通用准则；安全保障组件；标准修订；ISO/IEC15408；保护轮廓；安全目标；测评认证

InformationTechnologySecurityEvaluationCriteria;CommonCriteria;SecurityAssuranceComponents;StandardRevision;ISO/IEC15408;ProtectionProfile;SecurityTarget;EvaluationandCertification

正文

1.修订背景与目的意义

在全球网络安全威胁日益复杂化、常态化的背景下，建立科学、统一、国际互认的信息技术产品安全评估体系至关重要。GB/T18336《信息技术安全技术信息技术安全评估准则》系列国家标准（等同采用ISO/IEC15408）是我国开展信息技术产品安全测评与认证的基石性标准。该标准通过结构化方法，定义了评估对象（TOE）的安全功能要求和安全保障要求，为证明产品满足特定安全需求提供了可信赖的框架。

本次修订的对象为GB/T18336的第3部分——安全保障组件。该部分是整个评估准则的核心技术引擎，详细定义了从开发、指导性文档、生命周期支持到测试、脆弱性评估等各个阶段所需满足的保障要求组件。自GB/T18336.3-2015发布以来，国际标准ISO/IEC15408已于2022年完成了重要更新（ISO/IEC15408:2022）。为保持我国标准与国际先进水平的同步，确保我国测评认证结果在国际上的认可度，并对接国内如《网络安全法》、《关键信息基础设施安全保护条例》等法律法规对产品安全提出的更高要求，对GB/T18336.3进行修订势在必行。

本次修订的核心目的与意义在于：

*保持国际同步与先进性：等同采用ISO/IEC15408-3:2022，及时跟进国际信息安全标准的技术发展与最新动向，确保我国标准技术内容的时效性。

*增强科学性与适用性：吸收国际社会二十多年的安全测评实践反馈，对标准内容进行结构性优化和细节完善，使其更符合当前复杂信息技术产品和系统的评估需求。

*提升可操作性与指导性：通过澄清概念、细化要求和增加新组件，为产品开发者、系统集成商、测评实验室以及最终用户提供更清晰、全面和规范的技术指引，降低标准使用门槛，提高评估效率与一致性。

*支撑国家网络安全体系：为我国的网络安全审查、关键信息基础设施安全保护、重要网络产品和服务的安全检测认证等工作，提供更新、更坚实的技术标准支撑。

2.修订范围与主要技术内容

本项目旨在对GB/T18336.3-2015进行全面修订，修订后的版本将等同采用国际标准ISO/IEC15408-3:2022的最新内容。此次修订不仅是文本的简单更新，更是一次基于长期实践的结构性优化与内容深化。

主要技术内容的变更与增强体现在以