GB/T 18336.4-2024網絡安全技術信息技術安全評估準則第4部分：評估方法和活動的規(guī)范框架

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T183364—2024/ISO/IEC15408-42022

.:

部分代替GB/T183363—2015

.

網絡安全技術信息技術安全評估準則

第4部分評估方法和活動的規(guī)范框架

:

Cybersecuritytechnology—EvaluationcriteriaforITsecurity—

Part4Frameworkforsecificationofevaluationmethodsandactivities

:p

ISO/IEC15408-42022Informationsecuritcbersecuritandricvac

(:,y,yypy

rotectionEvaluationcriteriaforITsecurit—Part4Frameworkfor

py:

secificationofevaluationmethodsandactivitiesIDT

p,)

2024-04-25發(fā)布2024-11-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T183364—2024/ISO/IEC15408-42022

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

評估方法和評估活動的一般模型

4………………………2

概念和模型

4.1…………………………2

用派生方法制定評估方法和評估活動

4.2……………3

評估方法和評估活動描述中的動詞用法

4.3…………5

評估方法和評估活動的描述公約

4.4…………………5

評估方法的結構

5…………………………5

概述

5.1…………………5

評估方法的規(guī)范

5.2……………………6

評估活動的結構

6…………………………10

概述

6.1…………………10

評估活動的說明

6.2……………………11

附錄資料性縮略語

NA()………………14

參考文獻

……………………15

Ⅰ

GB/T183364—2024/ISO/IEC15408-42022

.:

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件是網絡安全技術信息技術安全評估準則的第部分已經

GB/T18336《》4。GB/T18336

發(fā)布以下部分

:

第部分簡介和一般模型

———1:;

第部分安全功能組件

———2:;

第部分安全保障組件

———3:;

第部分評估方法和活動的規(guī)范框架

———4:;

第部分預定義的安全要求包

———5:。

本文件和網絡安全技術信息技術安全評估準則第部分安全保障組

GB/T18336.3—2024《3:

件信息安全技術網絡技術安全評估準則第部分預定義的安全要求包

》、GB/T18336.5—2024《5:》

共同代替信息技術安全技術信息技術安全評估準則第部分安全保障

GB/T18336.3—2015《3:

組件

》。

本文件部分代替網絡技術安全技術信息技術安全評估準則第部

GB/T18336.3—2015《3

分安全保障組件與相比除結構調整和編輯性改動外主要技術變化如下

:》。GB/T18336.3—2015,,:

增加了評估方法和評估活動的一般模型見第章

———(4);

刪除了保障范型見年版的第章

———(GB/T18336.3—20155);

刪除了安全保障組件見年版的第章

———(GB/T18336.3—20156);

增加了評估方法的結構見第章

———(5);

增加了評估活動的結構見第章

———(6);

刪除了評估保障級見年版的第章

———(GB/T18336.3—20157);

刪除了組合保障包見年版的第章

———(GB/T18336.3—20158);

刪除了類保障輪廓評估見年版的第章

———APE:(GB/T18336.3—20159);

刪除了類安全目標評估見年版的第章

———ASE:(GB/T18336.3—201510);

刪除了類開發(fā)見年版的第章

———ADV:(GB/T18336.3—201511);

刪除了類指導性文檔見年版的第章

———AGD:(GB/T18336.3—201512);

刪除了類生命周期支持見年版的第章

———ALC:(GB/T18336.3—201513);

刪除了類測試見年版的第章

———ATE:(GB/T18336.3—201514);

刪除了類脆弱性評定見年版的第章

———AVA:(GB/T18336.3—201515);

刪除了類組合見年版的第章

———ACO:(GB/T18336.3—201516)。

本文件等同采用信息安全網絡安全和隱私保護信息技術安全評估準

ISO/IEC15408-4:2022《、

則第部分評估方法和活動的規(guī)范框架

4:》。

本文件做了下列最小限度的編輯性改動

:

為與現有標準協(xié)調將標準名稱改為網絡安全技術信息技術安全評估準則第部分評

———,《4:

估方法和活動的規(guī)范框架

》;

增加資料性附錄縮略語

———NA“”。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別專利的責任

。。

本文件由全國網絡安全標準化技術委員會提出并歸口

(SAC/TC260)。

Ⅲ

GB/T183364—2024/ISO/IEC15408-42022

.:

本文件起草單位中國信息安全測評中心中國合格評定國家認可中心中國電子技術標準化研究

:、、

院中國網絡安全審查技術與認證中心中國電子科技集團公司第十五研究所中貿促信息技術有限責

、、、

任公司北京郵電大學中國航天系統(tǒng)科學與工程研究院國家廣播電視總局廣播電視科學研究院北京

、、、、

奇虎科技有限公司國網新疆電力有限公司電力科學研究院啟明星辰信息技術集團股份有限公司

、、、

北京神州綠盟科技有限公司新華三技術有限公司遠江盛邦北京網絡科技股份有限公司

、、()。

本文件主要起草人石竑松張寶峰李鳳娟楊永生許源高金萍劉昱函林陽薈晨王晨宇陶小峰

:、、、、、、、、、、

王志遠劉佳王峰申永波張屹李明軒張錦川霍珊珊孫俊丁峰吳大鵬劉健張益權曉文葉建偉

、、、、、、、、、、、、、、、

解偉萬曉蘭謝仕華畢海英賈煒鄧輝王書毅劉宏偉

、、、、、、、。

本文件于年首次發(fā)布為年第一次修訂年第二次修訂本次

2001GB/T18336.3—2001,2008,2015,

為第三次修訂部分代替編號為

,GB/T18336.3—2015,GB/T18336.4。

Ⅳ

GB/T183364—2024/ISO/IEC15408-42022

.:

引言

本文件的讀者對象主要是采用的評估者和確認評估者行為的認證者以及評

GB/T18336—2024,

估發(fā)起者開發(fā)者作者和其他對安全感興趣的團體

、、PP/STIT。

擬由五個部分構成

GB/T18336。

第部分簡介和一般模型旨在對進行整體概述定義信息技術安全評估的一

———1:。GB/T18336,

般概念和原則并給出了評估的一般模型

,。

第部分安全功能組件旨在建立一套可用于描述安全功能要求的功能組件標準化模板

———2:。。

這些功能組件按類和族的方式進行結構化組織通過組件選擇細化裁剪等方式構造出具體

,、、

的安全功能要求

。

第部分安全保障組件旨在建立一套可用于描述安全保障要求的保障組件標準化模板

———3:。。

這些安全保障組件按類和族的方式進行結構化組織定義針對和進行評估的準

,PP、STTOE

則通過組件選擇細化裁剪等方式構造出具體的安全保障要求

,、、。

第部分評估方法和活動的規(guī)范框架旨在為規(guī)范評估方法和活動提供一個標準化框架

———4:。。

這些評估方法和活動包含在及任意支持這些方法和活動的文檔中供評估者基于

PP、ST,

的其他部分中描述的模型開展評估工作

GB/T18336。

第部分預定義的安全要求包旨在提供利益相關者通常使用的安全保障要求和安全功能

———5:。

要求的包提供的包示例包括評估保障級和組合保障包

,(EAL)(CAP)。

針對信息技術產品的安全評估提供了一套通用的安全功能及其保障措施要

(IT),GB/T18336

求從而允許各個獨立的產品的評估結果之間具有可比性為中規(guī)定

,IT。ISO/IEC18045GB/T18336

的一些保障要求提供了配套的方法

。

本文件描述了一個框架可用于從的工作單元派生評估活動并將其分組為評估

,ISO/IEC18045,

方法評估活動或評估方法可能包含在和任何支持它們的文件中當配置模

(EM)。PP。PP、PP-、PP-

塊包或安全目標確定要使用特定的評估方法評估活動時要求評估人員在確定

、(ST)/,ISO/IEC18045

評估者裁定時遵循并報告相關的評估方法評估活動如中所述在某些情況下評估

,/。GB/T18336.1,,

授權機構能決定不批準使用特定的評估方法評估活動在這種情況下評估授權機構能決定不按照

/:,

所要求的評估方法評估活動進行評估

ST/。

本文件還允許為擴展定義評估活動在這種情況下評估活動的派生與為擴展定義的等

SAR,,SAR

效行為元素和工作單元相關如果本文件中引用或對的使用

。ISO/IEC18045ISO/IEC15408-3SAR

如定義評估活動的基本原理時那么在擴展的情況下這種引用也將適用于為擴展定義的

(),SAR,SAR

等效行為元素和工作單元

。

為簡明起見本文件指定了如何定義評估方法和評估活動但本身沒有規(guī)定評估方法或評估活動的

,,

實例

。

在的其他部分和中出現的下述注描述了在那些文件中關于粗體

GB/T18336GB/T30270—2024

字和斜體字的使用本文件沒有使用那些慣例但這里注仍被保留以與其他標準一致

。,。

注本文件在某些情況下使用粗體字和斜體字來區(qū)分術語和其余部分文本族內組件之間的關系約定使用粗體突

:。

出顯示對所有新的要求也約定使用粗體字對于分層的組件當其要求被增強或修改且超出了前一個組件

,。,,

的要求時以粗體顯示此外除了前面的組件之外任何新的或增強的允許的操作使用粗體突出顯示

,。,,。

約定使用斜體來表示具有精確含義的文本對于安全保障要求該約定也適用于與評估相關的特殊動詞

。,。

Ⅴ

GB/T183364—2024/ISO/IEC15408-42022

.:

網絡安全技術信息技術安全評估準則

第4部分評估方法和活動的規(guī)范框架

:

1范圍

本文件提供了一個標準化框架用以規(guī)定客觀的可重復的和可重現的評估方法和評估活動

,、。

本文件未規(guī)定如何評估采用或維持評估方法和評估活動這方面的內容由那些在其感興趣的特

、。

定領域內提出評估方法和評估活動的相關方負責

。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全網絡安全和隱私保護信息技術安全評估準則第部分簡介和

ISO/IEC15408-1、1:

一般模型

(Informationsecurity,cybersecurityandprivacyprotection—EvaluationcriteriaforITsecu-

rity—Part1:Introductionandgeneralmodel)

注網絡安全技術信息技術安全評估準則