資料來源: https://www.tksg.global/mod/page/view.php?id=43792 資訊技術安全評估共同準則 (CC, ISO/IEC 15408, GB/T 18336) 產品檢測與認證服務 資訊技術安全評估共同準則 資訊技術安全評估共同準則 ( Common Criteria for IT Security Evaluation, ISO/IEC 15408 ),簡稱共同準則 (Common Criteria) 或 CC,是針對實現資/通訊產品所使用 資訊技術的安全性 所進行的安全技術認證。 共同準則是資訊安全性的架構,是建立在資/通訊產品的開發者可以在安全標的 (Security Target, ST ) 檔案當中,標示安全功能需求 (Security Functional Requirements, SFR ) 及安全保障需求 (Security Assurance Requirement, SAR ),或者也可以從資/通訊產品的保護剖繪 (Protection Profile, PP ) 中取得這些資料。 開發商 CC 文件準備指南 (Guidelines for Developer Documentation) ISO/IEC TR 15446 Information technology — Security techniques — Guidance for the production of protection profiles and security targets 加解密組認證 (Cryptographic Module Validation Programme, CMVP) - FIPS 140-3 Standards 開發商可以實現或是聲明其產品的安全屬性,檢測實驗室可以評估這些產品, 根據不同的安全保障級別 (EAL),評估與檢測的深度也不同 ,並確認其是否符合聲明的屬性。換句話說,共同準則提供了保證,資/通訊安全產品的規格、實現以及評估可以用一個嚴謹、標準化且可重覆的方式進行,而且可以與目標使用環境相稱。共同準則會維護一份已認證產品的清單,其中包括作業系統、存取控制系統、資料庫、及密鑰管理系統等。 參照相關國際標準: ISO/IEC 15408-1 Information securit
留言