信息安全技术 信息技术安全评估准则 第2部分：安全功能组件-编制说明

一、工作简况

1.1任务来源

根据国家标准化管理委员会2021年下达的国家标准制修订计划，《信息安全

技术信息技术安全评估准则第2部分：安全功能组件》由中国信息安全测评中

心负责承办，计划号：XXXXXX。该标准由全国信息安全标准化技术委员会归口

管理。

1.2主要起草单位和工作组成员

中国信息安全测评中心负责起草，公安部第三研究所、上海赴源科技服务有

限公司、杭州金智塔科技有限公司等单位共同参与了该标准的起草工作。

1.3主要工作过程

1）2021年9月至10月，征集标准参编单位，成立标准编制组。

2）2021年11月-12月，召开项目启动会，确定各参与单位任务分工，根据

项目进度安排，完善标准草案，修订出标准草案第一稿。

3）2022年2月24日，召开项目推进会，确定核心标准编制组。

4）2022年2月-4月，对编制单位按五部分标准内容和修订难度进行分组，

在标准草案第一稿的基础上，先后完成两次标准内容的修订工作，包含草案标准

内容与ISO/IEC15408的FDIS版本的比较、按照GB1.1和GB1.2的要求对标准格

式和内容进行修改，准备草案转征求意见稿评审。

5）2022.4.19，召开WG5工作组线上会议，征集组内意见，并进行草案转征

求意见稿评审工作组投票。

6）2022.4.27，召开WG5工作组专家线上研讨会，征集组内专家意见。

7）2022.5月-6月，测评中心对标准文本进行第三轮修订工作。

8）2022.6月，标准试点验证工作正式启动。

9）2022年7月21日，召开线上会议反馈修订参与单位前期修订工作评价

推进会。

10）2022年7月-8月，组织部分参与单位针对术语部分与GB/T25069-2022

1

进行比对分析。

11）2022年8月9日，召开GB/T18336.2标准文本质量把关研讨会。

12）2022年8月10日-9月15日，根据质量把关会各专家意见进行文本修

改；根据ISO/IEC15408-2-2022发布版（2022年8月10日发布）对文本进行

校对。

13）2022年9月23日，通过安标委秘书处组织召开的标准转公开征求意见

稿评审会。

14）2022年9月23日-28日，项目组根据转公开征求意见稿评审会专家意

见，进行文本等的修改工作，最终形成标准征求意见稿。

二、标准编制原则和确定主要内容的论据及解决的主要问题

此标准使用等同采用的方式进行修订，等同采用IS0/IEC15408-2：202X

《Informationsecurity,cybersecurityandprivacyprotection—

EvaluationcriteriaforITsecurity—Part2:Securityfunctional

components》。ISO/IEC15408是目前国际上对信息安全测评认证最完善、最权

威、应用最广、最具普适性的技术标准，已在信息安全领域得到了广泛认可。国

际标准化组织几年前启动了ISO/IEC15408标准内容的修订工作，标准的内容发

生了较大变化，并将于今年内或明年初发布最终版。为了及时跟进国际信息安全

标准技术发展和最新动向，使其具有更好的时效性、连贯性和可操作性，使我国

在信息安全测评领域保持与国际同步的技术水平，同时为开发者、使用者、测评

者提供更为全面、科学、规范的标准指引。

三、主要试验[或验证]情况分析

本标准一方面为信息技术产品的安全测评工作提供依据，另一方面为信息技

术产业提升产品安全性提供重要的指引。同时，本标准承担单位长期从事基于

GB/T18336的测评工作，积累了大量经验，参编单位包括国内信息安全检测机

构、认证机构、信息技术产品及方案提供商等相关应用单位，对于标准的落地实

施可起到良好作用。

基于标准内容和适用范围，试点验证工作拟依据GB/T18336对手机终端、智

能家居产品等新型信息技术产品进行安全性分析。重点对手机终端产品分析模块

化评估的适用性和可操作性。对智能家居IoT相关产品，重点验证在GB/T18336

框架下，用户数据和隐私类相关安全功能要求的适用性，并结合相关的自测验证

2

产品安全功能对安全组件的满足性。

四、知识产权情况说明

本标准不涉及专利问题。

五、产业化情况、推广应用论证和预期达到的经济效果

依据此标准对信息技术产品测评的开展，为国家网络安全保驾护航，对国家

网络安全法律制度落地提供基础支撑；为我国建成全方位信息技术产品安全性评

估标准体系，起到基础框架作用，引领了我国网络安全评估技术的发展；提升了

我国基础软硬件安全可控水平，为我国ICT产业国际竞争力的增强起到了规范

性、指导性作用，凭借GB/T18336与国际标准体系的接轨优势，助力多家国内企

业走出国门。

六、采用国际标准和国外先进标准情况

本标准使用翻译法等同采用ISO/IEC15408-2：2022《信息安全网络安全

和隐私保护信息技术安全评估准则—第2部分：安全功能组件》编制。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。

八、重大分歧意见的处理经过和依据

无。

九、标准性质的建议

建议本标准为推荐性国家标准。

十、贯彻标准的要求和措施建议

无。

十一、替代或废止现行相关标准的建议

建议本标准为推荐性国家标准，替代GB/T18336.2-2015。

十二、其它应予说明的事项

无。

国家标准《信息安全技术信息技术安全评估准则

第2部分：安全功能组件》编制工作组

2022年9月28日

3

一、工作简况

1.1任务来源

根据国家标准化管理委员会2021年下达的国家标准制修订计划，《信息安全

技术信息技术安全评估准则第2部分：安全功能组件》由中国信息安全测评中

心负责承办，计划号：XXXXXX。该标准由全国信息安全标准化技术委员会归口

管理。

1.2主要起草单位和工作组成员

中国信息安全测评中心负责起草，公安部第三研究所、上海赴源科技服务有

限公司、杭州金智塔科技有限公司等单位共同参与了该标准的起草工作。

1.3主要工作过程

1）2021年9月至10月，征集标准参编单位，成立标准编制组。

2）2021年11月-12月，召开项目启动会，确定各参与单位任务分工，根据

项目进度安排，完善标准草案，修订出标准草案第一稿。

3）2022年2月24日，召开项目推进会，确定核心标准编制组。

4）2022年2月-4月，对编制单位按五部分标准内容和修订难度进行分组，

在标准草案第一稿的基础上，先后完成两次标准内容的修订工作，包含草案标准

内容与ISO/IEC15408的FDIS版本的比较、按照GB1.1和GB1.2的要求对标准格

式和内容进行修改，准备草案转征求意见稿评审。

5）2022.4.19，召开WG5工作组线上会议，征集组内意见，并进行草案转征

求意见稿评审工作组投票。

6）2022.4.27，召开WG5工作组专家线上研讨会，征集组内专家意见。

7）2022.5月-6月，测评中心对标准文本进行第三轮修订工作。

8）2022.6月，标准试点验证工作正式启动。

9）2022年7月21日，召开线上会议反馈修订参与单位前期修订工作评价

推进会。

10）2022年7月-8月，组织部分参与单位针对术语部分与GB/T25069-2022

1

进行比对分析。

11）2022年8月9日，召开GB/T18336.2标准文本质量把关研讨会。

12）2022年8月10日-9月15日，根据质量把关会各专家意见进行文本修

改；根据ISO/IEC15408-2-2022发布版（2022年8月10日发布）对文本进行

校对。

13）2022年9月23日，通过安标委秘书处组织召开的标准转公开征求意见

稿评审会。

14）2022年9月23日-28日，项目组根据转公开征求意见稿评审会专家意

见，进行文本等的修改工作，最终形成标准征求意见稿。

二、标准编制原则和确定主要内容的论据及解决的主要问题

此标准使用等同采用的方式进行修订，等同采用IS0/IEC15408-2：202X

《Informationsecurity,cybersecurityandprivacyprotection—

EvaluationcriteriaforITsecurity—Part2:Securityfunctional

components》。ISO/IEC15408是目前国际上对信息安全测评认证最完善、最权

威、应用最广、最具普适性的技术标准，已在信息安全领域得到了广泛认可。国

际标准化组织几年前启动了ISO/IEC15408标准内容的修订工作，标准的内容发

生了较大变化，并将于今年内或明年初发布最终版。为了及时跟进国际信息安全

标准技术发展和最新动向，使其具有更好的时效性、连贯性和可操作性，使我国

在信息安全测评领域保持与国际同步的技术水平，同时为开发者、使用者、测评

者提供更为全面、科学、规范的标准指引。

三、主要试验[或验证]情况分析

本标准一方面为信息技术产品的安全测评工作提供依据，另一方面为信息技

术产业提升产品安全性提供重要的指引。同时，本标准承担单位长期从事基于

GB/T18336的测评工作，积累了大量经验，参编单位包括国内信息安全检测机

构、认证机构、信息技术产品及方案提供商等相关应用单位