GB/T 18336.4-2024網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第4部分：評(píng)估方法和活動(dòng)的規(guī)范框架

ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T183364—2024/ISO/IEC15408-42022

.:

部分代替GB/T183363—2015

.

網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則

第4部分評(píng)估方法和活動(dòng)的規(guī)范框架

:

Cybersecuritytechnology—EvaluationcriteriaforITsecurity—

Part4Frameworkforsecificationofevaluationmethodsandactivities

:p

ISO/IEC15408-42022Informationsecuritcbersecuritandricvac

(:,y,yypy

rotectionEvaluationcriteriaforITsecurit—Part4Frameworkfor

py:

secificationofevaluationmethodsandactivitiesIDT

p,)

2024-04-25發(fā)布2024-11-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T183364—2024/ISO/IEC15408-42022

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

評(píng)估方法和評(píng)估活動(dòng)的一般模型

4………………………2

概念和模型

4.1…………………………2

用派生方法制定評(píng)估方法和評(píng)估活動(dòng)

4.2……………3

評(píng)估方法和評(píng)估活動(dòng)描述中的動(dòng)詞用法

4.3…………5

評(píng)估方法和評(píng)估活動(dòng)的描述公約

4.4…………………5

評(píng)估方法的結(jié)構(gòu)

5…………………………5

概述

5.1…………………5

評(píng)估方法的規(guī)范

5.2……………………6

評(píng)估活動(dòng)的結(jié)構(gòu)

6…………………………10

概述

6.1…………………10

評(píng)估活動(dòng)的說明

6.2……………………11

附錄資料性縮略語(yǔ)

NA()………………14

參考文獻(xiàn)

……………………15

Ⅰ

GB/T183364—2024/ISO/IEC15408-42022

.:

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件是網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則的第部分已經(jīng)

GB/T18336《》4。GB/T18336

發(fā)布以下部分

:

第部分簡(jiǎn)介和一般模型

———1:;

第部分安全功能組件

———2:;

第部分安全保障組件

———3:;

第部分評(píng)估方法和活動(dòng)的規(guī)范框架

———4:;

第部分預(yù)定義的安全要求包

———5:。

本文件和網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第部分安全保障組

GB/T18336.3—2024《3:

件信息安全技術(shù)網(wǎng)絡(luò)技術(shù)安全評(píng)估準(zhǔn)則第部分預(yù)定義的安全要求包

》、GB/T18336.5—2024《5:》

共同代替信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第部分安全保障

GB/T18336.3—2015《3:

組件

》。

本文件部分代替網(wǎng)絡(luò)技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第部

GB/T18336.3—2015《3

分安全保障組件與相比除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外主要技術(shù)變化如下

:》。GB/T18336.3—2015,,:

增加了評(píng)估方法和評(píng)估活動(dòng)的一般模型見第章

———(4);

刪除了保障范型見年版的第章

———(GB/T18336.3—20155);

刪除了安全保障組件見年版的第章

———(GB/T18336.3—20156);

增加了評(píng)估方法的結(jié)構(gòu)見第章

———(5);

增加了評(píng)估活動(dòng)的結(jié)構(gòu)見第章

———(6);

刪除了評(píng)估保障級(jí)見年版的第章

———(GB/T18336.3—20157);

刪除了組合保障包見年版的第章

———(GB/T18336.3—20158);

刪除了類保障輪廓評(píng)估見年版的第章

———APE:(GB/T18336.3—20159);

刪除了類安全目標(biāo)評(píng)估見年版的第章

———ASE:(GB/T18336.3—201510);

刪除了類開發(fā)見年版的第章

———ADV:(GB/T18336.3—201511);

刪除了類指導(dǎo)性文檔見年版的第章

———AGD:(GB/T18336.3—201512);

刪除了類生命周期支持見年版的第章

———ALC:(GB/T18336.3—201513);

刪除了類測(cè)試見年版的第章

———ATE:(GB/T18336.3—201514);

刪除了類脆弱性評(píng)定見年版的第章

———AVA:(GB/T18336.3—201515);

刪除了類組合見年版的第章

———ACO:(GB/T18336.3—201516)。

本文件等同采用信息安全網(wǎng)絡(luò)安全和隱私保護(hù)信息技術(shù)安全評(píng)估準(zhǔn)

ISO/IEC15408-4:2022《、

則第部分評(píng)估方法和活動(dòng)的規(guī)范框架

4:》。

本文件做了下列最小限度的編輯性改動(dòng)

:

為與現(xiàn)有標(biāo)準(zhǔn)協(xié)調(diào)將標(biāo)準(zhǔn)名稱改為網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第部分評(píng)

———,《4:

估方法和活動(dòng)的規(guī)范框架

》;

增加資料性附錄縮略語(yǔ)

———NA“”。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

Ⅲ

GB/T183364—2024/ISO/IEC15408-42022

.:

本文件起草單位中國(guó)信息安全測(cè)評(píng)中心中國(guó)合格評(píng)定國(guó)家認(rèn)可中心中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究

:、、

院中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心中國(guó)電子科技集團(tuán)公司第十五研究所中貿(mào)促信息技術(shù)有限責(zé)

、、、

任公司北京郵電大學(xué)中國(guó)航天系統(tǒng)科學(xué)與工程研究院國(guó)家廣播電視總局廣播電視科學(xué)研究院北京

、、、、

奇虎科技有限公司國(guó)網(wǎng)新疆電力有限公司電力科學(xué)研究院?jiǎn)⒚餍浅叫畔⒓夹g(shù)集團(tuán)股份有限公司

、、、

北京神州綠盟科技有限公司新華三技術(shù)有限公司遠(yuǎn)江盛邦北京網(wǎng)絡(luò)科技股份有限公司

、、()。

本文件主要起草人石竑松張寶峰李鳳娟楊永生許源高金萍劉昱函林陽(yáng)薈晨王晨宇陶小峰

:、、、、、、、、、、

王志遠(yuǎn)劉佳王峰申永波張屹李明軒張錦川霍珊珊孫俊丁峰吳大鵬劉健張益權(quán)曉文葉建偉

、、、、、、、、、、、、、、、

解偉萬(wàn)曉蘭謝仕華畢海英賈煒鄧輝王書毅劉宏偉

、、、、、、、。

本文件于年首次發(fā)布為年第一次修訂年第二次修訂本次

2001GB/T18336.3—2001,2008,2015,

為第三次修訂部分代替編號(hào)為

,GB/T18336.3—2015,GB/T18336.4。

Ⅳ

GB/T183364—2024/ISO/IEC15408-42022

.:

引言

本文件的讀者對(duì)象主要是采用的評(píng)估者和確認(rèn)評(píng)估者行為的認(rèn)證者以及評(píng)

GB/T18336—2024,

估發(fā)起者開發(fā)者作者和其他對(duì)安全感興趣的團(tuán)體

、、PP/STIT。

擬由五個(gè)部分構(gòu)成

GB/T18336。

第部分簡(jiǎn)介和一般模型旨在對(duì)進(jìn)行整體概述定義信息技術(shù)安全評(píng)估的一

———1:。GB/T18336,

般概念和原則并給出了評(píng)估的一般模型

,。

第部分安全功能組件旨在建立一套可用于描述安全功能要求的功能組件標(biāo)準(zhǔn)化模板

———2:。。

這些功能組件按類和族的方式進(jìn)行結(jié)構(gòu)化組織通過組件選擇細(xì)化裁剪等方式構(gòu)造出具體

,、、

的安全功能要求

。

第部分安全保障組件旨在建立一套可用于描述安全保障要求的保障組件標(biāo)準(zhǔn)化模板

———3:。。

這些安全保障組件按類和族的方式進(jìn)行結(jié)構(gòu)化組織定義針對(duì)和進(jìn)行評(píng)估的準(zhǔn)

,PP、STTOE

則通過組件選擇細(xì)化裁剪等方式構(gòu)造出具體的安全保障要求

,、、。

第部分評(píng)估方法和活動(dòng)的規(guī)范框架旨在為規(guī)范評(píng)估方法和活動(dòng)提供一個(gè)標(biāo)準(zhǔn)化框架

———4:。。

這些評(píng)估方法和活動(dòng)包含在及任意支持這些方法和活動(dòng)的文檔中供評(píng)估者基于

PP、ST,

的其他部分中描述的模型開展評(píng)估工作

GB/T18336。

第部分預(yù)定義的安全要求包旨在提供利益相關(guān)者通常使用的安全保障要求和安全功能

———5:。

要求的包提供的包示例包括評(píng)估保障級(jí)和組合保障包

,(EAL)(CAP)。

針對(duì)信息技術(shù)產(chǎn)品的安全評(píng)估提供了一套通用的安全功能及其保障措施要

(IT),GB/T18336

求從而允許各個(gè)獨(dú)立的產(chǎn)品的評(píng)估結(jié)果之間具有可比性為中規(guī)定

,IT。ISO/IEC18045GB/T18336

的一些保障要求提供了配套的方法

。

本文件描述了一個(gè)框架可用于從的工作單元派生評(píng)估活動(dòng)并將其分組為評(píng)估

,ISO/IEC18045,

方法評(píng)估活動(dòng)或評(píng)估方法可能包含在和任何支持它們的文件中當(dāng)配置模

(EM)。PP。PP、PP-、PP-

塊包或安全目標(biāo)確定要使用特定的評(píng)估方法評(píng)估活動(dòng)時(shí)要求評(píng)估人員在確定

、(ST)/,ISO/IEC18045

評(píng)估者裁定時(shí)遵循并報(bào)告相關(guān)的評(píng)估方法評(píng)估活動(dòng)如中所述在某些情況下評(píng)估

,/。GB/T18336.1,,

授權(quán)機(jī)構(gòu)能決定不批準(zhǔn)使用特定的評(píng)估方法評(píng)估活動(dòng)在這種情況下評(píng)估授權(quán)機(jī)構(gòu)能決定不按照

/:,

所要求的評(píng)估方法評(píng)估活動(dòng)進(jìn)行評(píng)估

ST/。

本文件還允許為擴(kuò)展定義評(píng)估活動(dòng)在這種情況下評(píng)估活動(dòng)的派生與為擴(kuò)展定義的等

SAR,,SAR

效行為元素和工作單元相關(guān)如果本文件中引用或?qū)Φ氖褂?/p>

。ISO/IEC18045ISO/IEC15408-3SAR

如定義評(píng)估活動(dòng)的基本原理時(shí)那么在擴(kuò)展的情況下這種引用也將適用于為擴(kuò)展定義的

(),SAR,SAR

等效行為元素和工作單元

。

為簡(jiǎn)明起見本文件指定了如何定義評(píng)估方法和評(píng)估活動(dòng)但本身沒有規(guī)定評(píng)估方法或評(píng)估活動(dòng)的

,,

實(shí)例

。

在的其他部分和中出現(xiàn)的下述注描述了在那些文件中關(guān)于粗體

GB/T18336GB/T30270—2024

字和斜體字的使用本文件沒有使用那些慣例但這里注仍被保留以與其他標(biāo)準(zhǔn)一致

。,。

注本文件在某些情況下使用粗體字和斜體字來(lái)區(qū)分術(shù)語(yǔ)和其余部分文本族內(nèi)組件之間的關(guān)系約定使用粗體突

:。

出顯示對(duì)所有新的要求也約定使用粗體字對(duì)于分層的組件當(dāng)其要求被增強(qiáng)或修改且超出了前一個(gè)組件

,。,,

的要求時(shí)以粗體顯示此外除了前面的組件之外任何新的或增強(qiáng)的允許的操作使用粗體突出顯示

,。,,。

約定使用斜體來(lái)表示具有精確含義的文本對(duì)于安全保障要求該約定也適用于與評(píng)估相關(guān)的特殊動(dòng)詞

。,。

Ⅴ

GB/T183364—2024/ISO/IEC15408-42022

.:

網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則

第4部分評(píng)估方法和活動(dòng)的規(guī)范框架

:

1范圍

本文件提供了一個(gè)標(biāo)準(zhǔn)化框架用以規(guī)定客觀的可重復(fù)的和可重現(xiàn)的評(píng)估方法和評(píng)估活動(dòng)

,、。

本文件未規(guī)定如何評(píng)估采用或維持評(píng)估方法和評(píng)估活動(dòng)這方面的內(nèi)容由那些在其感興趣的特

、。

定領(lǐng)域內(nèi)提出評(píng)估方法和評(píng)估活動(dòng)的相關(guān)方負(fù)責(zé)

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全網(wǎng)絡(luò)安全和隱私保護(hù)信息技術(shù)安全評(píng)估準(zhǔn)則第部分簡(jiǎn)介和

ISO/IEC15408-1、1:

一般模型

(Informationsecurity,cybersecurityandprivacyprotection—EvaluationcriteriaforITsecu-

rity—Part1:Introductionandgeneralmodel)

注網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則