GB/T 18336.4-2024网络安全技术信息技术安全评估准则第4部分：评估方法和活动的规范框架

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T183364—2024/ISO/IEC15408-42022

.:

部分代替GB/T183363—2015

.

网络安全技术信息技术安全评估准则

第4部分评估方法和活动的规范框架

:

Cybersecuritytechnology—EvaluationcriteriaforITsecurity—

Part4Frameworkforsecificationofevaluationmethodsandactivities

:p

ISO/IEC15408-42022Informationsecuritcbersecuritandricvac

(:,y,yypy

rotectionEvaluationcriteriaforITsecurit—Part4Frameworkfor

py:

secificationofevaluationmethodsandactivitiesIDT

p,)

2024-04-25发布2024-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T183364—2024/ISO/IEC15408-42022

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

评估方法和评估活动的一般模型

4………………………2

概念和模型

4.1…………………………2

用派生方法制定评估方法和评估活动

4.2……………3

评估方法和评估活动描述中的动词用法

4.3…………5

评估方法和评估活动的描述公约

4.4…………………5

评估方法的结构

5…………………………5

概述

5.1…………………5

评估方法的规范

5.2……………………6

评估活动的结构

6…………………………10

概述

6.1…………………10

评估活动的说明

6.2……………………11

附录资料性缩略语

NA()………………14

参考文献

……………………15

Ⅰ

GB/T183364—2024/ISO/IEC15408-42022

.:

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件是网络安全技术信息技术安全评估准则的第部分已经

GB/T18336《》4。GB/T18336

发布以下部分

:

第部分简介和一般模型

———1:;

第部分安全功能组件

———2:;

第部分安全保障组件

———3:;

第部分评估方法和活动的规范框架

———4:;

第部分预定义的安全要求包

———5:。

本文件和网络安全技术信息技术安全评估准则第部分安全保障组

GB/T18336.3—2024《3:

件信息安全技术网络技术安全评估准则第部分预定义的安全要求包

》、GB/T18336.5—2024《5:》

共同代替信息技术安全技术信息技术安全评估准则第部分安全保障

GB/T18336.3—2015《3:

组件

》。

本文件部分代替网络技术安全技术信息技术安全评估准则第部

GB/T18336.3—2015《3

分安全保障组件与相比除结构调整和编辑性改动外主要技术变化如下

:》。GB/T18336.3—2015,,:

增加了评估方法和评估活动的一般模型见第章

———(4);

删除了保障范型见年版的第章

———(GB/T18336.3—20155);

删除了安全保障组件见年版的第章

———(GB/T18336.3—20156);

增加了评估方法的结构见第章

———(5);

增加了评估活动的结构见第章

———(6);

删除了评估保障级见年版的第章

———(GB/T18336.3—20157);

删除了组合保障包见年版的第章

———(GB/T18336.3—20158);

删除了类保障轮廓评估见年版的第章

———APE:(GB/T18336.3—20159);

删除了类安全目标评估见年版的第章

———ASE:(GB/T18336.3—201510);

删除了类开发见年版的第章

———ADV:(GB/T18336.3—201511);

删除了类指导性文档见年版的第章

———AGD:(GB/T18336.3—201512);

删除了类生命周期支持见年版的第章

———ALC:(GB/T18336.3—201513);

删除了类测试见年版的第章

———ATE:(GB/T18336.3—201514);

删除了类脆弱性评定见年版的第章

———AVA:(GB/T18336.3—201515);

删除了类组合见年版的第章

———ACO:(GB/T18336.3—201516)。

本文件等同采用信息安全网络安全和隐私保护信息技术安全评估准

ISO/IEC15408-4:2022《、

则第部分评估方法和活动的规范框架

4:》。

本文件做了下列最小限度的编辑性改动

:

为与现有标准协调将标准名称改为网络安全技术信息技术安全评估准则第部分评

———,《4:

估方法和活动的规范框架

》;

增加资料性附录缩略语

———NA“”。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

Ⅲ

GB/T183364—2024/ISO/IEC15408-42022

.:

本文件起草单位中国信息安全测评中心中国合格评定国家认可中心中国电子技术标准化研究

:、、

院中国网络安全审查技术与认证中心中国电子科技集团公司第十五研究所中贸促信息技术有限责

、、、

任公司北京邮电大学中国航天系统科学与工程研究院国家广播电视总局广播电视科学研究院北京

、、、、

奇虎科技有限公司国网新疆电力有限公司电力科学研究院启明星辰信息技术集团股份有限公司

、、、

北京神州绿盟科技有限公司新华三技术有限公司远江盛邦北京网络科技股份有限公司

、、()。

本文件主要起草人石竑松张宝峰李凤娟杨永生许源高金萍刘昱函林阳荟晨王晨宇陶小峰

:、、、、、、、、、、

王志远刘佳王峰申永波张屹李明轩张锦川霍珊珊孙俊丁峰吴大鹏刘健张益权晓文叶建伟

、、、、、、、、、、、、、、、

解伟万晓兰谢仕华毕海英贾炜邓辉王书毅刘宏伟

、、、、、、、。

本文件于年首次发布为年第一次修订年第二次修订本次

2001GB/T18336.3—2001,2008,2015,

为第三次修订部分代替编号为

,GB/T18336.3—2015,GB/T18336.4。

Ⅳ

GB/T183364—2024/ISO/IEC15408-42022

.:

引言

本文件的读者对象主要是采用的评估者和确认评估者行为的认证者以及评

GB/T18336—2024,

估发起者开发者作者和其他对安全感兴趣的团体

、、PP/STIT。

拟由五个部分构成

GB/T18336。

第部分简介和一般模型旨在对进行整体概述定义信息技术安全评估的一

———1:。GB/T18336,

般概念和原则并给出了评估的一般模型

,。

第部分安全功能组件旨在建立一套可用于描述安全功能要求的功能组件标准化模板

———2:。。

这些功能组件按类和族的方式进行结构化组织通过组件选择细化裁剪等方式构造出具体

,、、

的安全功能要求

。

第部分安全保障组件旨在建立一套可用于描述安全保障要求的保障组件标准化模板

———3:。。

这些安全保障组件按类和族的方式进行结构化组织定义针对和进行评估的准

,PP、STTOE

则通过组件选择细化裁剪等方式构造出具体的安全保障要求

,、、。

第部分评估方法和活动的规范框架旨在为规范评估方法和活动提供一个标准化框架

———4:。。

这些评估方法和活动包含在及任意支持这些方法和活动的文档中供评估者基于

PP、ST,

的其他部分中描述的模型开展评估工作

GB/T18336。

第部分预定义的安全要求包旨在提供利益相关者通常使用的安全保障要求和安全功能

———5:。

要求的包提供的包示例包括评估保障级和组合保障包

,(EAL)(CAP)。

针对信息技术产品的安全评估提供了一套通用的安全功能及其保障措施要

(IT),GB/T18336

求从而允许各个独立的产品的评估结果之间具有可比性为中规定

,IT。ISO/IEC18045GB/T18336

的一些保障要求提供了配套的方法

。

本文件描述了一个框架可用于从的工作单元派生评估活动并将其分组为评估

,ISO/IEC18045,

方法评估活动或评估方法可能包含在和任何支持它们的文件中当配置模

(EM)。PP。PP、PP-、PP-

块包或安全目标确定要使用特定的评估方法评估活动时要求评估人员在确定

、(ST)/,ISO/IEC18045

评估者裁定时遵循并报告相关的评估方法评估活动如中所述在某些情况下评估

,/。GB/T18336.1,,

授权机构能决定不批准使用特定的评估方法评估活动在这种情况下评估授权机构能决定不按照

/:,

所要求的评估方法评估活动进行评估

ST/。

本文件还允许为扩展定义评估活动在这种情况下评估活动的派生与为扩展定义的等

SAR,,SAR

效行为元素和工作单元相关如果本文件中引用或对的使用

。ISO/IEC18045ISO/IEC15408-3SAR

如定义评估活动的基本原理时那么在扩展的情况下这种引用也将适用于为扩展定义的

(),SAR,SAR

等效行为元素和工作单元

。

为简明起见本文件指定了如何定义评估方法和评估活动但本身没有规定评估方法或评估活动的

,,

实例

。

在的其他部分和中出现的下述注描述了在那些文件中关于粗体

GB/T18336GB/T30270—2024

字和斜体字的使用本文件没有使用那些惯例但这里注仍被保留以与其他标准一致

。,。

注本文件在某些情况下使用粗体字和斜体字来区分术语和其余部分文本族内组件之间的关系约定使用粗体突

:。

出显示对所有新的要求也约定使用粗体字对于分层的组件当其要求被增强或修改且超出了前一个组件

,。,,

的要求时以粗体显示此外除了前面的组件之外任何新的或增强的允许的操作使用粗体突出显示

,。,,。

约定使用斜体来表示具有精确含义的文本对于安全保障要求该约定也适用于与评估相关的特殊动词

。,。

Ⅴ

GB/T183364—2024/ISO/IEC15408-42022

.:

网络安全技术信息技术安全评估准则

第4部分评估方法和活动的规范框架

:

1范围

本文件提供了一个标准化框架用以规定客观的可重复的和可重现的评估方法和评估活动

,、。

本文件未规定如何评估采用或维持评估方法和评估活动这方面的内容由那些在其感兴趣的特

、。

定领域内提出评估方法和评估活动的相关方负责

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全网络安全和隐私保护信息技术安全评估准则第部分简介和

ISO/IEC15408-1、1:

一般模型

(Informationsecurity,cybersecurityandprivacyprotection—EvaluationcriteriaforITsecu-

rity—Part1:Introductionandgeneralmodel)

注网络安全技术信息技术安全评估准则