ISO_IEC 18045 信息技术安全评估方法学培训课件.pptxVIP

ISO/IEC18045信

息技术安全评估方法

学培训课件

汇报人：XXX

XXX

01信息安全评估概述

02ISO/IEC18045标准解析

03评估流程与方法目录

04评估技术要点

05评估工具与实践

06案例分析与应用

01信息安全评估概述

评估方法学定义

结构化评估框架

ISO/IEC18045定义了基于ISO/IEC15408系列标准的评估流

程，包括PP/ST验证、TOE安全功能测试和保障要求审查三个核

心阶段，形成标准化评估路径。

证据驱动方法论

强调通过分析开发者文档、测试报告和配置管理等客观证据，验证

安全功能组件(SFR)的实现符合性，确保评估结果可追溯。

分级评估机制

采用EAL保障级别体系（EAL1-EAL7），根据评估深度和严格

程度划分等级，支持对不同关键性系统的差异化评估需求。

评估标准体系

双标准协同架构层次化文档结构

CC(ISO/IEC15408)提供安全功能与包含11个安全功能类（如访问控制、审

保障要求分类体系，CEM(ISO/IEC计等）、5个产品保障类和7个预定义

18045)规定具体评估动作，两者形成EAL包，通过类-族-组件-元素的四级结

要求-方法的完整闭环。构实现要求精确表述。

多维度覆盖范围动态演进特性

涵盖硬件/软件/固件产品的独立评估、组标准每5年强制复审，当前版本(2022)

合TOE集成评估以及PP/ST文档评估，已纳入网络安全和隐私保护新要求，并即

但不涉及物理安全和管理流程评估。将被ISO/IECDIS18045:2024替代。

评估重要性分析

风险控制基础国际互认桥梁

基于的评估结果获得成

通过系统化识别IT