服务介绍

信息技术安全评估准则 (Common Criteria for IT Security Evaluation, ISO/IEC 15408, GB/T 18336 ) 一般业界简称 "CC" 标准，可以应用在下列几方面的认证：

1、信息技术安全准则认证：

￮ 安全目标 (ST, Security Target) 认证：针对开发商单一或特定产品的安全规格进行认证; 通常由产品或安全技术开发商来发起，或者，客户要求 (例如，金融机构 )

￮ 保护轮廓 (PP, Protection Profile) 认证：针对某ㄧ类型(例如，防火墙、晶片...等) 产品所以用的安全技术规格进行认证，规范“这一类的产品”，“必须” 使用或者提供某些安全机制(例如，加/解密算法)，来符合客户的要求。通常是由协会、团体、主管机关 (尤其是涉及敏感资料的政府单位制定，用来作为信息处理设备采购的安全规范)或者军方来发起

2、评估对象 (TOE, Target of Evaluation)认证：通常由单一 (或结合已经认证过的) 产品或技术认证。这类的认证通常会由产品开发商提出，或者，客户要求。目的是为了证明安全产品符合安全规格，并且满足 CC 预先定义的安全技术评估等级 (EAL, Evaluation Assurance Level 1 ~ 7) 的要求。

3、开发商环境现场验证 (Site Security Certification)：TOE 认证过程当中，开发商必须确保 TOE 的生命周期符合 CC 的安全要求，发证机构都常会安排现场审核 (Site audit)

4、生产制造商环境现场认证 (Site Security Certification)：是针对生产制造操作厂家，确保生产制造过程的安全性，符合产品认证等级的要求，该认证属于生产厂家所属公司所拥有。    通过现场验证表示该厂已达一定的安全标准，在认证有效期 2 年内生产的所有安全产品，可无需重复认证。

信息技术安全评估准则 ISO/IEC 15408，集合欧、美信息安全技术准则 (最开始源自于军方)，逐渐发展成为全球信息安全技术国际标准。

目前通过 CC 交互认可机制 (CCRA, Common Criteria Recognition Arrangement)，各成员国间互相承认实验室能力、评估结果与认证的安全保障等级 (目前国际交互认可至 EAL 2 ; 欧盟至 EAL 4+ 等级)。

CC 是全球最新也最严谨的信息技术安全评估准则之一，在许多的产业、国家，信息处理产品必需通过 CC 认证后，才能进入到特定市场(例如，金融、交通、通信、安防、国防等)。

快速留言报名

联系方式
留言咨询
联系方式