信息安全技术 信息技术安全评估准则 第1部分：简介和一般模型-编制说明

一、工作简况

1.1任务来源

根据国家标准化管理委员会2021年下达的国家标准制修订计划，《信息安全

技术信息技术安全评估准则第1部分：简介和一般模型》由中国信息安全测评

中心负责承办，计划号：XXXXXX。该标准由全国信息安全标准化技术委员会归

口管理。

1.2主要起草单位和工作组成员

中国信息安全测评中心（以下简称测评中心）负责起草，公安部第三研究所、

中国电子科技集团公司第十五研究所、清华大学、吉林信息安全测评中心、华为

技术有限公司、北京快手科技有限公司、北京大学、紫光同芯微电子有限公司等

单位共同参与了该标准的起草工作。

1.3主要工作过程

1）2021年9月至10月，征集标准参编单位，成立标准编制组。

2）2021年11月-12月，召开项目启动会，确定各参与单位任务分工，根据

项目进度安排，完善标准草案，测评中心在ISO/IEC15408的DIS版本上，修订出

标准草案第一稿，梳理出新修订标准中模块化、多重保障级等新增加内容。

3）2022年2月24日，召开项目推进会，按照标准文本编制组、试点验证

组和国际研究组，确定出各组核心成员单位。

4）2022年2月-4月，对编制单位按五部分标准内容和修订难度进行分组，

在标准草案第一稿的基础上，先后完成两次标准内容的修订工作，包含草案标准

内容与ISO/IEC15408的FDIS版本的比较、按照GB1.1和GB1.2的要求对标准格

式和内容进行修改，准备草案转征求意见稿评审。

5）2022.4.19，召开WG5工作组线上会议，征集组内意见，并进行草案转征

求意见稿评审工作组投票。

6）2022.4.27，召开WG5工作组专家线上研讨会，征集组内专家意见。

7）2022.5月-6月，测评中心对标准文本进行第三轮修订工作，重点对标准

中的长难句进行梳理。

1

8）2022.6月，标准试点验证工作正式启动。

9）2022年7月21日，召开线上会议反馈修订参与单位前期修订工作评价

推进会。

10）2022年7月-8月，组织部分参与单位针对术语部分与GB/T25069-2022

进行比对分析。

11）2022年8月9日，召开GB/T18336.1标准文本质量把关研讨会，根据

专家意见对标准中的“组合评估”和“复合评估”进行区分。

12）2022年8月10日-9月15日，根据质量把关会各专家意见进行文本修

改；根据ISO/IEC15408-1-2022发布版（2022年8月10日发布）对文本进行

校对；编制组使用SET2020标准模板工具，将标准工作组讨论稿进行格式编排和

文本校对。

13）2022年9月23日，通过安标委秘书处组织召开的标准转公开征求意见

稿评审会。

14）2022年9月23日-28日，项目组根据转公开征求意见稿评审会专家意

见，进行文本等的修改工作，最终形成标准征求意见稿。

二、标准编制原则和确定主要内容的论据及解决的主要问题

此标准使用等同采用的方式进行修订，等同采用IS0/IEC15408-1：2022

《Informationsecurity,cybersecurityandprivacyprotection—

EvaluationcriteriaforITsecurity—Part1:Introductionandgeneral

model》。ISO/IEC15408是目前国际上对信息安全测评认证最完善、最权威、应

用最广、最具普适性的技术标准，已在信息安全领域得到了广泛认可。国际标准

化组织几年前启动了ISO/IEC15408标准内容的修订工作，标准的内容发生了较

大变化，并将于今年内或明年初发布最终版。为了及时跟进国际信息安全标准技

术发展和最新动向，使其具有更好的时效性、连贯性和可操作性，使我国在信息

安全测评领域保持与国际同步的技术水平，同时为开发者、使用者、测评者提供

更为全面、科学、规范的标准指引。

三、主要试验[或验证]情况分析

本标准一方面为信息技术产品的安全测评工作提供依据，另一方面为信息技

术产业提升产品安全性提供重要的指引。同时，本标准承担单位长期从事基于

GB/T18336的测评工作，积累了大量经验，参编单位包括国内信息安全检测机

2

构、认证机构、信息技术产品及方案提供商等相关应用单位，对于标准的落地实

施可起到良好作用。

基于标准内容和适用范围，本试点工作选取了四个技术验证方向，涵盖五类

信息技术产品，具体包括高保障级测评、网络产品新变化、新技术新应用、新法

律法规热点等方向，覆盖智能芯片、手机终端、智能家居产品、防火墙产品、数

据安全产品等。

1、高保障级测评方向

拟验证标准中的高保障级相关安全保障要求对国产智能芯片类产品的适用

性。在分析通过国际EAL6及以上测评基础上，通过智能芯片类产品在结构合理

性分析、代码复杂度分析、完全形式化安全功能模型等方面的测评，来验证国产

芯片类产品高保障级相关安全保障要求的满足性和自测的充分性。

2、网络产品新变化方向

拟通过网络产品（硬件和软件）相关的Base-PP，防火墙PP-module，形成的

防火墙产品PP-configuration，来验证模块化评估对我国网络产品安全测评的适用

性和可操作性。

3、新技术新应用方向

拟依据GB/T18336对手机终端、智能家居产品等新型信息技术产品进行安

全性分析。重点对手机终端产品分析模块化评估的适用性和可操作性。对智能家

居IoT相关产品，重点验证在GB/T18336框架下，用户数据和隐私类相关安全功

能要求的适用性，并结合相关的自测验证产品安全功能对安全组件的满足性。

4、新法律法规热点方向

拟验证标准对数据安全产品中数据隐私保护等方面测评应用的适用性和可

操作性，在GB/T18336框架下撰写相关安全目标（ST），并与我国现有法律法规、

标准要求进行对比分析。

四、知识产权情况说明

本标准不涉及专利问题。

五、产业化情况、推广应用论证和预期达到的经济效果

依据此标准对信息技术产品测评的开展，为国家网络安全保驾护航，对国家

网络安全法律制度落地提供基础支撑；为我国建成全方位信息技术产品安全性评

估标准体系，起到基础框架作用，引领了我国网络安全评估技术的发展；提升了

3

我国基础软硬件安全可控水平，为我国ICT产业国际竞争力的增强起到了规范

性、指导性作用，凭借GB/T18336与国际标准体系的接轨优势，助力多家国内企

业走出国门。

六、采用国际标准和国外先进标准情况

本标准使用翻译法等同采用ISO/IEC15408-1：2022《信息安全网络安全

和隐私保护信息技术安全评估准则—第1部分：简介和一般模型》编制。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。

八、重大分歧意见的处理经过和依据

无。

九、标准性质的建议

建议本标准为推荐性国家标准。

十、贯彻标准的要求和措施建议

无。

十一、替代或废止现行相关标准的建议

建议本标准为推荐性国家标准，替代GB/T18336.1-2015。

十二、其它应予说明的事项

无。

国家标准《信息安全技术信息技术安全评估准则

第1部分：简介和一般模型》编制工作组

2022年9月28日

4

一、工作简况

1.1任务来源

根据国家标准化管理委员会2021年下达的国家标准制修订计划，《信息安全

技术信息技术安全评估准则第1部分：简介和一般模型》由中国信息安全测评

中心负责承办，计划号：XXXXXX。该标准由全国信息安全标准化技术委员会归

口管理。

1.2主要起草单位和工作组成员

中国信息安全测评中心（以下简称测评中心）负责起草，公安部第三研究所、

中国电子科技集团公司第十五研究所、清华大学、吉林信息安全测评中心、华为

技术有限公司、北京快手科技有限公司、北京大学、紫光同芯微电子有限公司等

单位共同参与了该标准的起草工作。

1.3主要工作过程

1）2021年9月至10月，征集标准参编单位，成立标准编制组。

2）2021年11月-12月，召开项目启动会，确定各参与单位任务分工，根据

项目进度安排，完善标准草案，测评中心在ISO/IEC15408的DIS版本上，修订出

标准草案第一稿，梳理出新修订标准中模块化、多重保障级等新增加内容。

3）2022年2月24日，召开项目推进会，按照标准文本编制组、试点验证

组和国际研究组，确定出各组核心成员单位。

4）2022年2月-4月，对编制单位按五部分标准内容和修订难度进行分组，

在标准草案第一稿的基础上，先后完成两次标准内容的修订工作，包含草案标准

内容与ISO/IEC15408的FDIS版本的比较、按照GB1.1和GB1.2的要求对标准格

式和内容进行修改，准备草案转征求意见稿评审。

5）2022.4.19，召开WG5工作组线上会议，征集组内意见，并进行草案转征

求意见稿评审工作组投票。

6）2022.4.27，召开WG5工作组专家线上研讨会，征集组内专家意见。

7）2022.5月-6月，测评中心对标准文本进行第三轮修订工作，重点对标准

中的长难句进行梳理。

1

8）2022.6月，标准试点验证工作正式启动。

9）2022年7月21日，召开线上会议反馈修订参与单位前期修订工作评价

推进会。

10）2022年7月-8月，组织部分参与单位针对术语部分与GB/T25069-2022

进行比对分析。

11）2022年8月9日，召开GB/T18336.1标准文本质量把关研讨会，根据

专家意见对标准中的“组合评估”和“复合评估”进行区分。

12）2022年8月10日-9月15日，根据质量把关会各专家意见进行文本修

改；根据ISO/IEC15408-1-2022发布版（2022年8月10日发布）对文本进行

校对；编制组使用SET2020标准模板工具，将标准工作组讨论稿进行格式编排和

文本校对。

13）2022年9月23日，通过安标委秘书处组织召开的标准转公开征求意见

稿评审会。

14）2022年9月23日-28日，项目组根据转公开征求意见稿评审会专家意

见，进行文本等的修改工作，最终形成标准征求意见稿。

二、标准编制原则和确定主要内容的论据及解决的主要问题

此标准使用等同采用的方式进行修订，等同采用IS0/IEC15408-1：2022

《Informationsecurity,cybersecurityandprivacyprotection—

EvaluationcriteriaforITsecurity—Part1:Introductionandgeneral

model》。ISO/IEC15408是目前国际上对信息安全测评认证最完善、最权威、应

用最广、最具普适性的技术标准，已在信息安全领域得到了广泛认可。国际标准

化组织几年前启动了ISO/IEC15408标准内容的修订工作，标准的内容发生了较

大变化，并将于今年内或明年初发布最终版。为了及时跟进国际信息安全标准技

术发展和最新动向，使其具有更好的时效性、连贯性和可操作性，使我国在信息

安全测评领域保持与国际同步的技术水平，同时为开发者、使用者、测评者提供

更为全面、科学、规范的标准指引。

三、主要试验[或验证]情况分析

本标准一方面为信息技术产品的安全测评工作提供依据，另一方面为信息技

术产业提升产品安全性提供重要的指引。同时，本标准承担单位长期从事基于

GB/T18336的测评工作，积累了大量经验，参编单位包括国内信息安全检测机

2

构、认证机构、信息技术产品及方案提供商等相关应用单位，对于标准的落地实

施可起到良好作用。

基于标准内容和适用范围，本试点工作选取了四个技术验证方向，涵盖五类

信息技术产品，具体包括高保障级测评、网络产品新变化、新技术新应用、新法

律法规热点等方向，覆盖智能芯片、手机终端、智能家居产品、防火墙产品、数

据安全产品等。

1、高保障级测评方向

拟验证标准中的高保障级相关安全保障要求对国产智能芯片类产品的适用

性。在分析通过国际EAL6及以上测评基础上，通过智能芯片类产品在结构合理

性分析、代码复杂度分析、完全形式化安