信息安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第3部分：安全保障組件-編制說明

一、工作簡況

1.1任務(wù)來源

根據(jù)國家標(biāo)準(zhǔn)化管理委員會2021年下達(dá)的國家標(biāo)準(zhǔn)制修訂計劃，《信息安全

技術(shù)信息技術(shù)安全評估準(zhǔn)則第3部分：安全保障組件》由中國信息安全測評中

心負(fù)責(zé)承辦，計劃號：XXXXXX。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口

管理。

1.2主要起草單位和工作組成員

中國信息安全測評中心負(fù)責(zé)起草，中國電子科技集團(tuán)公司第十五研究所、華

為技術(shù)有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、浙江大華技術(shù)股份有限公

司、復(fù)旦大學(xué)、中科信息安全共性技術(shù)國家工程研究中心有限公司、中國科學(xué)院

信息工程研究所、成都虛谷偉業(yè)科技有限公司、北京數(shù)安行科技有限公司、合肥

天帷信息安全技術(shù)有限公司、陜西省網(wǎng)絡(luò)與信息安全測評中心、安徽中科國創(chuàng)高

可信軟件有限公司、武漢大學(xué)、科來網(wǎng)絡(luò)技術(shù)股份有限公司、吉首大學(xué)、醫(yī)渡云

（北京）技術(shù)有限公司、金篆信科有限責(zé)任公司等單位共同參與了該標(biāo)準(zhǔn)的起草

工作。

1.3主要工作過程

1）2021年9月至10月，征集標(biāo)準(zhǔn)參編單位，成立標(biāo)準(zhǔn)編制組。

2）2021年11月-12月，召開項目啟動會，確定各參與單位任務(wù)分工，根據(jù)

項目進(jìn)度安排，完善標(biāo)準(zhǔn)草案，測評中心在ISO/IEC15408的DIS版本上，修訂

出標(biāo)準(zhǔn)草案第一稿，梳理出新修訂標(biāo)準(zhǔn)中模塊化評估、組合評估等新增加內(nèi)容。

3）2022年2月24日，召開項目推進(jìn)會，確定核心標(biāo)準(zhǔn)編制組。

4）2022年2月-4月，對編制單位按五部分標(biāo)準(zhǔn)內(nèi)容和修訂難度進(jìn)行分組，

在標(biāo)準(zhǔn)草案第一稿的基礎(chǔ)上，先后完成兩次標(biāo)準(zhǔn)內(nèi)容的修訂工作，包含草案標(biāo)準(zhǔn)

內(nèi)容與ISO/IEC15408的FDIS版本的比較、按照GB1.1和GB1.2的要求對標(biāo)準(zhǔn)格

式和內(nèi)容進(jìn)行修改，準(zhǔn)備草案轉(zhuǎn)征求意見稿評審。

5）2022.4.19，召開WG5工作組線上會議，征集組內(nèi)意見，并進(jìn)行草案轉(zhuǎn)征

求意見稿評審工作組投票。

1

6）2022.4.27，召開WG5工作組專家線上研討會，征集組內(nèi)專家意見。

7）2022.5月-6月，測評中心對標(biāo)準(zhǔn)文本進(jìn)行第三輪修訂工作，重點(diǎn)對標(biāo)準(zhǔn)

中的長難句進(jìn)行梳理。

8）2022.6月，標(biāo)準(zhǔn)試點(diǎn)驗(yàn)證工作正式啟動。

9）2022年7月21日，召開線上會議反饋修訂參與單位前期修訂工作評價

推進(jìn)會。

10）2022年7月-8月，組織部分參與單位針對術(shù)語部分與GB/T25069-2022

進(jìn)行比對分析。

11）2022年8月9日，召開GB/T18336.3標(biāo)準(zhǔn)文本質(zhì)量把關(guān)研討會，根據(jù)

專家意見對標(biāo)準(zhǔn)中的“組合評估”和“復(fù)合評估”進(jìn)行區(qū)分。

12）2022年8月10日-9月15日，根據(jù)質(zhì)量把關(guān)會各專家意見進(jìn)行文本修

改；根據(jù)ISO/IEC15408-3-2022發(fā)布版（2022年8月10日發(fā)布）對文本進(jìn)行

校對。

13）2022年9月23日，通過安標(biāo)委秘書處組織召開的標(biāo)準(zhǔn)轉(zhuǎn)公開征求意見

稿評審會。

14）2022年9月23日-28日，項目組根據(jù)轉(zhuǎn)公開征求意見稿評審會專家意

見，進(jìn)行文本等的修改工作，最終形成標(biāo)準(zhǔn)征求意見稿。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

此標(biāo)準(zhǔn)使用等同采用的方式進(jìn)行修訂，等同采用IS0/IEC15408-3：202X

《Informationsecurity,cybersecurityandprivacyprotection—

EvaluationcriteriaforITsecurity—Part3:Securityassurance

components》。ISO/IEC15408是目前國際上對信息安全測評認(rèn)證最完善、最權(quán)

威、應(yīng)用最廣、最具普適性的技術(shù)標(biāo)準(zhǔn)，已在信息安全領(lǐng)域得到了廣泛認(rèn)可。國

際標(biāo)準(zhǔn)化組織幾年前啟動了ISO/IEC15408標(biāo)準(zhǔn)內(nèi)容的修訂工作，標(biāo)準(zhǔn)的內(nèi)容發(fā)

生了較大變化，并將于今年內(nèi)或明年初發(fā)布最終版。為了及時跟進(jìn)國際信息安全

標(biāo)準(zhǔn)技術(shù)發(fā)展和最新動向，使其具有更好的時效性、連貫性和可操作性，使我國

在信息安全測評領(lǐng)域保持與國際同步的技術(shù)水平，同時為開發(fā)者、使用者、測評

者提供更為全面、科學(xué)、規(guī)范的標(biāo)準(zhǔn)指引。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

本標(biāo)準(zhǔn)一方面為信息技術(shù)產(chǎn)品的安全測評工作提供依據(jù)，另一方面為信息技

2

術(shù)產(chǎn)業(yè)提升產(chǎn)品安全性提供重要的指引。同時，本標(biāo)準(zhǔn)承擔(dān)單位長期從事基于

GB/T18336的測評工作，積累了大量經(jīng)驗(yàn)，參編單位包括國內(nèi)信息安全檢測機(jī)

構(gòu)、認(rèn)證機(jī)構(gòu)、信息技術(shù)產(chǎn)品及方案提供商等相關(guān)應(yīng)用單位，對于標(biāo)準(zhǔn)的落地實(shí)

施可起到良好作用。

基于標(biāo)準(zhǔn)內(nèi)容和適用范圍，結(jié)合GB/T30270中的評估方法，試點(diǎn)驗(yàn)證工作

選取了高保障級芯片方向、手機(jī)終端方向、網(wǎng)絡(luò)產(chǎn)品新變化、新技術(shù)新應(yīng)用等技

術(shù)方向，重點(diǎn)驗(yàn)證國際標(biāo)準(zhǔn)中新增加和修訂的概念、評估理念的適用性和科學(xué)性。

1、高保障級測評方向

擬驗(yàn)證標(biāo)準(zhǔn)中的高保障級相關(guān)安全保障要求對國產(chǎn)智能芯片類產(chǎn)品的適用

性。在分析通過國際EAL6及以上測評基礎(chǔ)上，通過智能芯片類產(chǎn)品在結(jié)構(gòu)合理

性分析、代碼復(fù)雜度分析、完全形式化安全功能模型等方面的測評，來驗(yàn)證國產(chǎn)

芯片類產(chǎn)品高保障級相關(guān)安全保障要求的滿足性和自測的充分性。

2、網(wǎng)絡(luò)產(chǎn)品新變化方向

擬通過網(wǎng)絡(luò)產(chǎn)品（硬件和軟件）相關(guān)的Base-PP，防火墻PP-module，形成

的防火墻產(chǎn)品PP-configuration，來驗(yàn)證模塊化評估對我國網(wǎng)絡(luò)產(chǎn)品安全測評的適

用性和可操作性。

3、新技術(shù)新應(yīng)用方向

擬依據(jù)GB/T18336對手機(jī)終端、智能家居產(chǎn)品等新型信息技術(shù)產(chǎn)品進(jìn)行安全

性分析。重點(diǎn)對手機(jī)終端產(chǎn)品分析模塊化評估的適用性和可操作性。對智能家居

IoT相關(guān)產(chǎn)品，重點(diǎn)驗(yàn)證在GB/T18336框架下，用戶數(shù)據(jù)和隱私類相關(guān)安全功能

要求的適用性，并結(jié)合相關(guān)的自測驗(yàn)證產(chǎn)品安全功能對安全組件的滿足性。

四、知識產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)不涉及專利問題。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

依據(jù)此標(biāo)準(zhǔn)對信息技術(shù)產(chǎn)品測評的開展，為國家網(wǎng)絡(luò)安全保駕護(hù)航，對國家

網(wǎng)絡(luò)安全法律制度落地提供基礎(chǔ)支撐；為我國建成全方位信息技術(shù)產(chǎn)品安全性評

估標(biāo)準(zhǔn)體系，起到基礎(chǔ)框架作用，引領(lǐng)了我國網(wǎng)絡(luò)安全評估技術(shù)的發(fā)展；提升了

我國基礎(chǔ)軟硬件安全可控水平，為我國ICT產(chǎn)業(yè)國際競爭力的增強(qiáng)起到了規(guī)范性、

指導(dǎo)性作用，憑借GB/T18336與國際標(biāo)準(zhǔn)體系的接軌優(yōu)勢，助力多家國內(nèi)企業(yè)走

3

出國門。

六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況

本標(biāo)準(zhǔn)使用翻譯法等同采用ISO/IEC15408-3：2022《信息安全網(wǎng)絡(luò)安全

和隱私保護(hù)信息技術(shù)安全評估準(zhǔn)則—第3部分：安全保障組件》編制。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國家標(biāo)準(zhǔn)沒有沖突與矛盾的地方。

八、重大分歧意見的處理經(jīng)過和依據(jù)

無。

九、標(biāo)準(zhǔn)性質(zhì)的建議

建議本標(biāo)準(zhǔn)為推薦性國家標(biāo)準(zhǔn)。

十、貫徹標(biāo)準(zhǔn)的要求和措施建議

無。

十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議

建議本標(biāo)準(zhǔn)為推薦性國家標(biāo)準(zhǔn)，本文件和GB/T18336.4-202X、GB/T

18336.5-202X共同替代GB/T18336.3-2015。

十二、其它應(yīng)予說明的事項

無。

國家標(biāo)準(zhǔn)《信息安全技術(shù)信息技術(shù)安全評估準(zhǔn)則

第3部分：安全保障組件》編制工作組

2022年9月28日

4

一、工作簡況

1.1任務(wù)來源

根據(jù)國家標(biāo)準(zhǔn)化管理委員會2021年下達(dá)的國家標(biāo)準(zhǔn)制修訂計劃，《信息安全

技術(shù)信息技術(shù)安全評估準(zhǔn)則第3部分：安全保障組件》由中國信息安全測評中

心負(fù)責(zé)承辦，計劃號：XXXXXX。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口

管理。

1.2主要起草單位和工作組成員

中國信息安全測評中心負(fù)責(zé)起草，中國電子科技集團(tuán)公司第十五研究所、華

為技術(shù)有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、浙江大華技術(shù)股份有限公

司、復(fù)旦大學(xué)、中科信息安全共性技術(shù)國家工程研究中心有限公司、中國科學(xué)院

信息工程研究所、成都虛谷偉業(yè)科技有限公司、北京數(shù)安行科技有限公司、合肥

天帷信息安全技術(shù)有限公司、陜西省網(wǎng)絡(luò)與信息安全測評中心、安徽中科國創(chuàng)高

可信軟件有限公司、武漢大學(xué)、科來網(wǎng)絡(luò)技術(shù)股份有限公司、吉首大學(xué)、醫(yī)渡云

（北京）技術(shù)有限公司、金篆信科有限責(zé)任公司等單位共同參與了該標(biāo)準(zhǔn)的起草

工作。

1.3主要工作過程

1）2021年9月至10月，征集標(biāo)準(zhǔn)參編單位，成立標(biāo)準(zhǔn)編制組。

2）2021年11月-12月，召開項目啟動會，確定各參與單位任務(wù)分工，根據(jù)

項目進(jìn)度安排，完善標(biāo)準(zhǔn)草案，測評中心在ISO/IEC15408的DIS版本上，修訂

出標(biāo)準(zhǔn)草案第一稿，梳理出新修訂標(biāo)準(zhǔn)中模塊化評估、組合評估等新增加內(nèi)容。

3）2022年2月24日，召開項目推進(jìn)會，確定核心標(biāo)準(zhǔn)編制組。

4）2022年2月-4月，對編制單位按五部分標(biāo)準(zhǔn)內(nèi)容和修訂難度進(jìn)行分組，

在標(biāo)準(zhǔn)草案第一稿的基礎(chǔ)上，先后完成兩次標(biāo)準(zhǔn)內(nèi)容的修訂工作，包含草案標(biāo)準(zhǔn)

內(nèi)容與ISO/IEC15408的FDIS版本的比較、按照GB1.1和GB1.2的要求對標(biāo)準(zhǔn)格

式和內(nèi)容進(jìn)行修改，準(zhǔn)備草案轉(zhuǎn)征求意見稿評審。

5）2022.4.19，召開WG5工作組線上會議，征集組內(nèi)意見，并進(jìn)行草案轉(zhuǎn)征

求意見稿評審工作組投票。

1

6）2022.4.27，召開WG5工作組專家線上研討會，征集組內(nèi)專家意見。

7）2022.5月-6月，測評中心對標(biāo)準(zhǔn)文本進(jìn)行第三輪修訂工作，重點(diǎn)對標(biāo)準(zhǔn)

中的長難句進(jìn)行梳理。

8）2022.6月，標(biāo)準(zhǔn)試點(diǎn)驗(yàn)證工作正式啟動。

9）2022年7月21日，召開線上會議反饋修訂參與單位前期修訂工作評價

推進(jìn)會。

10）2022年7月-8月，組織部分參與單位針對術(shù)語部分與GB/T25069-2022

進(jìn)行比對分析。

11）2022年8月9日，召開GB/T18336.3標(biāo)準(zhǔn)文本質(zhì)量把關(guān)研討會，根據(jù)

專家意見對標(biāo)準(zhǔn)中的“組合評估”和“復(fù)合評估”進(jìn)行區(qū)分。

12）2022年8月10日-9月15日，根據(jù)質(zhì)量把關(guān)會各專家意見進(jìn)行文本修

改；根據(jù)ISO/IEC15408-3-2022發(fā)布版（2022年8月10日發(fā)布）對文本進(jìn)行

校對。

13）2022年9月23日，通過安標(biāo)委秘書處組織召開的標(biāo)準(zhǔn)轉(zhuǎn)公開征求意見

稿評審會。

14）2022年9月23日-28日，項目組根據(jù)轉(zhuǎn)公開征求意見稿評審會專家意

見，進(jìn)行文本等的修改工作，最終形成標(biāo)準(zhǔn)征求意見稿。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

此標(biāo)準(zhǔn)使用等同采用的方式進(jìn)行修訂，等同采用IS0/IEC15408-3：202X

《Informationsecurity,cybersecurityandprivacyprotection—

EvaluationcriteriaforITsecurity—Part3:Securityassurance

components》。ISO/IEC15408是目前國際上對信息安全測評認(rèn)證最完善、最權(quán)

威、應(yīng)用最廣、最具普適性的技術(shù)標(biāo)準(zhǔn)，已在信息安全領(lǐng)域得到了廣泛認(rèn)可。國

際標(biāo)準(zhǔn)化組織幾年前啟動了ISO/IEC15408標(biāo)準(zhǔn)內(nèi)容的修訂工作，標(biāo)準(zhǔn)的內(nèi)容發(fā)

生了較大變化，并將于今年內(nèi)或明年初發(fā)布最終版。為了及時跟進(jìn)國際信息安全

標(biāo)準(zhǔn)技術(shù)發(fā)展和最新動向，使其具有更好的時效性、連貫性和可操作性，使我國

在信息安全測評領(lǐng)域保持與國際同步的技術(shù)水平，同時為開發(fā)者、使用者、測評

者提供更為全面、科學(xué)、規(guī)范的標(biāo)準(zhǔn)指引。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

本標(biāo)準(zhǔn)一方面為信息技術(shù)產(chǎn)品的安全測評工作提供依據(jù)，另一方面為信息技

2

術(shù)產(chǎn)業(yè)提升產(chǎn)品安全性提供重要的指引。同時，本標(biāo)準(zhǔn)承擔(dān)單位長期從事基于

GB/T18336的測評工作，積累了大量經(jīng)驗(yàn)，參編單位包括國內(nèi)信息安全檢測機(jī)

構(gòu)、認(rèn)證機(jī)構(gòu)、信息技術(shù)產(chǎn)品及方案提供商等相關(guān)應(yīng)用單位，對于標(biāo)準(zhǔn)的落地實(shí)

施可起到良好作用。

基于標(biāo)準(zhǔn)內(nèi)容和適用范圍，結(jié)合GB/T30270中的評估方法，試點(diǎn)驗(yàn)證工作

選取了高保障級芯片方向、手機(jī)終端方向、網(wǎng)絡(luò)產(chǎn)品新變化、新技術(shù)新應(yīng)用等技

術(shù)方向，重點(diǎn)驗(yàn)證國際標(biāo)準(zhǔn)中新增加和修訂的概念、評估理念的適用性和科學(xué)性。

1、高保障級測評方向

擬驗(yàn)證標(biāo)準(zhǔn)中的高保障級相關(guān)安全保障要求對國產(chǎn)智能芯片類產(chǎn)品的適用

性。在分析通過國際EAL6及以上測評基礎(chǔ)上，通過智