信息安全技术 信息技术安全评估方法-编制说明

国家标准报批资料

一、工作简况

1.1任务来源

根据国家标准化管理委员会2020年下达的国家标准制修订计划，《信息技术

安全技术信息技术安全性评估方法》由中国信息安全测评中心负责承办，计划

号：20210976-T-469。该标准由全国信息安全标准化技术委员会归口管理。

1.2主要起草单位和工作组成员

中国信息安全测评中心联合吉林信息安全测评中心、清华大学共同申报了此

标准的修订工作，在标准编制过程中，又先后吸纳了中国电子科技集团公司第十

五研究所、中国网络安全审查技术与认证中心、北京信息安全测评中心、华为技

术有限公司、北京天融信网络安全技术有限公司等15家企事业单位加入工作组。

目前工作组共18家单位。

1.3主要工作过程

1）2020年9月，征集标准参编单位，成立标准编制组。

2）2020年9月，召开项目启动会，确定各参与单位任务分工，根据项目进度

安排，完善标准草案，测评中心基于ISO/IEC18045:2008，修订出标准草案第一

稿，梳理出新旧版本的差异。

3）2020年10月，编制组范围内征求意见，讨论完善标准草案，形成标准草

案第二稿。

4）2020年10月至11月，召开标准研讨会，根据专家意见完善标准草案，形

成标准草案第三稿。

5）2020年11月，在WG5工作组全会上推进标准，根据专家意见完善标准草案，

形成标准草案第四稿。

6）2020年12月，召开标准研讨会，根据专家意见，后续应基于ISO/IEC18045

的最新版本对本标准进行修订后再继续推进。

7）2021年1月至3月，编制组基于ISO/IEC18045的DIS版更新标准内容。

8）2021年3月，参加标准阶段性检查评审会，继续根据专家意见完善标准内

容。

国家标准报批资料

9）2021年3月至10月，编制组内部对ISO/IEC18045新版标准中的技术变化

“ACE类：PP配置评估”、“组合评估”等内容进行研讨，并完善标准文本。

10）2021年11月，在WG5工作组全会上汇报标准，根据专家意见继续完善征

求意见稿。

11）2021年12月至2022年3月，编制组基于ISO/IEC18045的FDIS版本内容更

新标准文本，解决了ISO/IEC18045的FDIS版本与DIS版本差异化问题，并继续对

文本内容进行修改完善。

9）2022年4月，召开WG5工作组专家线上研讨会，征集组内专家意见。

10）2022年5月至8月，根据专家意见，并基于ISO/IEC18045:2022的IS版本

完善标准的征求意见稿，解决了ISO/IEC18045的IS版本与FDIS版本差异化问题，

以及与GB/T18336内容一致性问题。

11)2022年9月，召开WG5工作组专家线上研讨会，并根据专家意见完善标准

征求意见稿。

二、标准编制原则和确定主要内容的论据及解决的主要问题

此标准等同采用IS0/IEC18045：2022，是对GB/T30270-2013《信息技术安

全技术信息技术安全性评估方法》的修订，其内容是依据GB/T18336《信息安

全技术信息技术安全评估准则》对信息技术产品进行安全评估时依据的评估方

法，是GB/T18336的配套标准，为信息技术产品生产者、评估者以及最终用户使

用GB/T18336提供指导，在我国网络安全建设中起着非常重要的作用。

该标准具有很好的时效性、连贯性、易于理解与操作的特点。

本标准对信息技术安全性评估方法的描述，主要内容如下：

1）评估过程和相关评估任务

2）保护轮廓（APE）评估的评估方法

3）PP配置（ACE）评估的评估方法

4）安全目标（ASE）评估的评估方法

5）分别描述开发（ADV）、指南文档（AGD）、生命周期支持（ALC）、测试

（ATE）、脆弱性评定（AVA）、组合（ACO）各保障类的保障要求相应的评估方

法。

本标准与GB/T30270-2013相比，主要变化如下：

国家标准报批资料

1）去掉了“概述”部分（见2013年版第5章）；

2）修改了“文档约定”（2013年版第6章的内容分别在本文件第5章、第

6章、第7章、第8章描述）；

3）修改了“通用评估任务”（见第9章“评估过程与相关任务”）；

4）修改了“保护轮廓评估”（见第10章“APE类：PP评估”）；

5）修改了“ASE类：安全目标评估”（见第12章）；

6）移动“缺陷纠正子活动”到“ALC类：生命周期支持”（见第15章）；

7）删除了“EAL1评估”、“EAL2评估”、“EAL3评估”和“EAL4评估”

（见2013年版的第10章、第11章、第12章和第13章）；

8）对评估活动描述方式进行了调整，按保障类的方式对各类评估活动进行

描述，包括：“ACE类：PP-配置评估”、“ADV类：开发”、“AGD类：指导性

文档”、“ALC类：生命周期支持”、“ATE类：测试”、“AVA类：脆弱性评

估”、“ACO类：组合”（见第11章、第13章、第14章、第15章、第16章、

第17章和第18章），其中增加了用于模块化评估的PP-模块、PP-配置相关内

容，以及复合评估相关内容；

9）增加了“脆弱性评定”（见附录B）、“评估技术和工具”（见附录C）。

三、主要试验[或验证]情况分析

本标准可配合国家标准GB/T18336《信息安全技术信息技术安全评估准则》

的使用，为信息技术产品的安全测试评估工作提供依据，可为信息技术产业提升

产品安全性提供指引和参考。同时，本标准承担单位长期从事基于GB/T18336

的测评工作，积累了大量经验，参编单位包括国内信息安全检测机构、认证机构、

信息技术产品及方案提供商等相关应用单位，对于标准的落地实施可起到良好作

用。

在标准修订过程中，结合标准中的技术变化内容，在试点验证工作中与GB/T

18336配合使用，主要选取了高保障级测评、网络产品新变化等技术方向，重点

验证国际标准中新增加和修订的概念、评估理念的适用性和科学性。

1）拟验证标准中的高保障级相关安全保障要求及评估方法对国产智能芯片

类产品的适用性。在分析通过国际EAL6及以上测评基础上，通过智能芯片类产

品在结构合理性分析、代码复杂度分析、完全形式化安全功能模型等方面的测评，

验证本标准在国产芯片类产品高保障级测评工作中的适用性。

国家标准报批资料

2）拟通过网络产品（硬件和软件）相关的Base-PP，防火墙PP-module，形

成的防火墙产品PP-configuration，来验证模块化评估对我国网络产品安全测

评的适用性和可操作性。

四、知识产权情况说明

本标准不涉及专利问题。

五、产业化情况、推广应用论证和预期达到的经济效果

本标准作为GB/T18336的配套标准，是GB/T18336在实际测评应用中的评

估方法说明，其可有效推广GB/T18336标准的应用，促进业界更好地开展安全

测评活动，进而排除产品隐患，提高产业的整体安全水平，保障国家的网络安全。

六、采用国际标准和国外先进标准情况

本标准使用翻译法等同采用ISO/IEC18045：2022《信息安全网络安全和隐

私保护信息技术安全评估准则-信息技术安全评估方法》编制。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。

八、重大分歧意见的处理经过和依据

无。

九、标准性质的建议

建议本标准为推荐性国家标准。

十、贯彻标准的要求和措施建议

鉴于本标准是国家标准GB/T18336的配套标准，用于指导信息技术安全评估

工作，建议本标准在发布后尽快实施，以保持标准之间的一致性。

十一、替代或废止现行相关标准的建议

建议本标准为推荐性国家标准，替代GB/T30270-2013。

十二、其它应予说明的事项

无。

国家标准《信息技术安全技术信息技术安全性评估方法》编制工作组

2022.9.28

国家标准报批资料

一、工作简况

1.1任务来源

根据国家标准化管理委员会2020年下达的国家标准制修订计划，《信息技术

安全技术信息技术安全性评估方法》由中国信息安全测评中心负责承办，计划

号：20210976-T-469。该标准由全国信息安全标准化技术委员会归口管理。

1.2主要起草单位和工作组成员

中国信息安全测评中心联合吉林信息安全测评中心、清华大学共同申报了此

标准的修订工作，在标准编制过程中，又先后吸纳了中国电子科技集团公司第十

五研究所、中国网络安全审查技术与认证中心、北京信息安全测评中心、华为技

术有限公司、北京天融信网络安全技术有限公司等15家企事业单位加入工作组。

目前工作组共18家单位。

1.3主要工作过程

1）2020年9月，征集标准参编单位，成立标准编制组。

2）2020年9月，召开项目启动会，确定各参与单位任务分工，根据项目进度

安排，完善标准草案，测评中心基于ISO/IEC18045:2008，修订出标准草案第一

稿，梳理出新旧版本的差异。

3）2020年10月，编制组范围内征求意见，讨论完善标准草案，形成标准草

案第二稿。

4）2020年10月至11月，召开标准研讨会，根据专家意见完善标准草案，形

成标准草案第三稿。

5）2020年11月，在WG5工作组全会上推进标准，根据专家意见完善标准草案，

形成标准草案第四稿。

6）2020年12月，召开标准研讨会，根据专家意见，后续应基于ISO/IEC18045

的最新版本对本标准进行修订后再继续推进。

7）2021年1月至3月，编制组基于ISO/IEC18045的DIS版更新标准内容。

8）2021年3月，参加标准阶段性检查评审会，继续根据专家意见完善标准内

容。

国家标准报批资料

9）2021年3月至10月，编制组内部对ISO/IEC18045新版标准中的技术变化

“ACE类：PP配置评估”、“组合评估”等内容进行研讨，并完善标准文本。

10）2021年11月，在WG5工作组全会上汇报标准，根据专家意见继续完善征

求意见稿。

11）2021年12月至2022年3月，编制组基于ISO/IEC18045的FDIS版本内容更

新标准文本，解决了ISO/IEC18045的FDIS版本与DIS版本差异化问题，并继续对

文本内容进行修改完善。

9）2022年4月，召开WG5工作组专家线上研讨会，征集组内专家意见。

10）2022年5月至8月，根据专家意见，并基于ISO/IEC18045:2022的IS版本

完善标准的征求意见稿，解决了ISO/IEC18045的IS版本与FDI