该标准对企业组织、IT 开发人员、管理人员以及所有参与安全可靠 IT 产品开发过程的人员都很有用。
信息安全评估通用准则 CC(Common Criteria for Information Technology Security Evaluation)是一个通用的标准,针对安全评估中的信息技术(IT)产品的安全功能及其保障措施提供的一套通用要求。
ISO/IEC 15408 GB/T18336信息安全评估标准由三部分组成:
Part 1 简介和一般模型
· 定义了IT安全评估的一般概念和原理,并提出了评估的一般模型。
Part 2 安全功能组件
· 建立一套功能组件作为标准模板,TOE的功能要求基于这些模板来建立;
· 列出一系列功能组件,并按类和族的方式进行组织分类。
Part 3 部分安全保障组件
· 建立一套保障组件作为标准模板,TOE的保障要求基于这些模板来建立;
· 列出了一套保障组件,并按类和族的方式进行组织分类;
· 定义了PP和ST的评估准则,并提出了七个预定义的保障包,称为评估保障级(EAL)。
1、CC致力于保护资产免遭未授权的泄漏、修改或表示可用性
2、此类保护与三种安全失效情况对应,通常分别称为机密性、完整性和可用性。
保护什么?
针对人群?
用来做什么
1、可为IT产品的安全功能及其保障措施满足这些要求的情况建立信任级别
2、评估结果可以帮助消费者确定该IT产品是否满足其安全要求
CC通用标准简介
产品通过 CC 认证,可以深层次排除产品的信息安全隐患,使设计人员对产品的安全性提供更多的保障、检测人员对产品的安全性进行更深入的评价。
本项业务仅针对已经完成产品开发的具有安全功能的信息技术产品
金融
安全认证
芯片
航空航天
操作系统