信息技术安全评估准则 第4部分：评估方法和活动的规范框架标准立项修订与发展报告.docx

*

《信息技术安全评估准则第4部分：评估方法和活动的规范框架》标准修订发展报告

EnglishTitle:DevelopmentReportontheRevisionof*InformationTechnology—SecurityTechniques—EvaluationCriteriaforITSecurity—Part4:FrameworkfortheSpecificationofEvaluationMethodsandActivities*

摘要

随着全球数字化转型进程的加速，信息技术（IT）产品与系统的安全性已成为保障国家安全、经济运行和社会稳定的基石。作为国际公认的信息技术安全评估基础标准，ISO/IEC15408（通用准则，CC）及其对应的国家标准GB/T18336系列，为IT安全产品的开发、评估和采购提供了权威的技术框架。然而，国际标准ISO/IEC15408已于2022年完成重要更新，发布了ISO/IEC15408:2022版本。为确保我国信息安全标准体系的国际同步性、技术先进性和实践指导性，对GB/T18336-2015进行修订已势在必行。

本报告聚焦于GB/T18336系列标准中至关重要的第4部分——《评估方法和活动的规范框架》的修订工作。本次修订的核心目的是等同采用ISO/IEC15408:2022的第4部分，实现与国际最新技术内容的全面接轨。报告详细阐述了本次标准修订的立项背景、目的意义、适用范围及主要技术内容。修订工作旨在通过细化评估者行为元素、提供示例解释、构建标准化的评估活动与方法框架，显著提升安全评估过程的规范性、一致性和可操作性。这不仅为评估机构（测评者）提供了更清晰、更科学的作业指南，也为产品开发者明确了安全保障要求的具体实现与验证路径，同时为产品使用者（采购方）提供了更可靠的信任依据。本报告的结论部分总结了标准修订对行业发展的推动作用，并对未来我国在信息技术安全评估领域的标准化工作进行了展望。

关键词：信息安全；通用准则；安全评估；评估方法；安全保障；标准修订；国际同步

Keywords:InformationSecurity;CommonCriteria;SecurityEvaluation;EvaluationMethod;SecurityAssurance;StandardRevision;InternationalSynchronization

正文

一、修订背景与目的意义

当前，以云计算、物联网、人工智能、5G为代表的新一代信息技术深度融合，网络空间面临的威胁日益复杂化、高级化和常态化。信息技术产品与系统的安全性，直接关系到关键信息基础设施的稳定运行、个人隐私数据的有效保护以及数字经济的健康发展。在此背景下，建立一套科学、统一、国际互认的信息技术安全评估体系至关重要。

GB/T18336《信息技术安全技术信息技术安全评估准则》（等同采用ISO/IEC15408，即通用准则）自引入我国以来，已成为信息安全测评领域的基础性、纲领性标准。该标准通过定义一套完整的安全功能组件和安全保障组件，为IT安全产品的设计、开发、评估和采购建立了通用语言和信任基础。然而，我国现行版本GB/T18336-2015所对应的国际标准已更新至ISO/IEC15408:2022。国际新版本融入了过去近十年全球信息安全威胁态势的变化、技术演进的最新成果以及各国测评实践积累的宝贵经验。

因此，对GB/T18336-2015进行修订，首要目的在于实现与国际标准ISO/IEC15408:2022的同步。这不仅是履行我国作为国际标准化组织（ISO）和国际电工委员会（IEC）成员国义务的体现，更是确保我国信息安全标准体系保持时效性、连贯性和国际可比性的必然要求。通过同步修订，可以及时吸纳国际最新的安全理念、技术要求和最佳实践，避免我国在信息安全评估领域出现技术滞后或贸易壁垒。

本次修订的核心意义在于提升标准的可操作性和指导价值。标准的生命力在于应用。本次修订将重点优化第4部分“评估方法和活动的规范框架”，旨在为标准的实际应用者——包括IT安全产品的开发者、第三方评估机构（测评者）以及最终用户和采购方——提供更为全面、科学和规范的行动指引。对于开发者，更清晰的评估框架有助于其在产品生命周期早期融入安全要求，降低后期整改成本；对于测评者，规范化的评估方法和活动描述将减少评估过程的主观差异，提高评估结果的一致性和公信力；对于使用者，基于更新、更严格标准评估通过的产品，能为其提供更高等级的安全信任。综上所述，本次修订是推动我国信息技术安全产业高质量发展、筑牢国家网络安全屏障的一项重要基础性工作。

二、范