ISO/IEC 15408-1:2009 - IT安全评估标准

"ISO/IEC 15408-1:2009是国际标准化组织（ISO）和国际电工委员会（IEC）联合发布的一份关于信息安全技术评价标准的文档，通常被称为信息技术安全评估通用标准（Common Criteria，简称CC）。这份标准的第三版发布于2009年12月15日，并在2014年1月15日进行了修正。它的主要目标是提供一个通用模型和框架，用于评估信息技术产品的安全性。 文档的核心内容包括介绍和一般模型，它定义了IT安全评估的基础和方法。该标准旨在帮助购买者、开发者以及第三方评估机构理解和比较不同IT产品或系统的安全特性，确保它们满足预设的安全需求。这些需求涵盖了从基本的数据保护到高级的系统安全功能。 ISO/IEC 15408分为多个部分，其中第一部分（Part 1）是基础和通用模型，它阐述了评估过程的基本概念和术语，如保护轮廓（Protection Profile，PP）和安全目标（Security Target，ST）。保护轮廓描述了一类系统或产品的理想安全特性，而安全目标则针对特定产品或环境详细定义了需要实现的安全特性。 该标准采用了一个层次结构的方法，包括评估保证级别（Evaluation Assurance Level，EAL）和功能安全要求（Functional Requirements）。EAL是一个从1到7的等级系统，表示了评估深度和广度的递增，反映了产品开发过程中的安全控制强度。功能安全要求则详细列出了系统必须实现的安全功能。 ISO/IEC 15408-1还讨论了评估流程，包括预先定义的评估任务、测试和验证方法，以及评估结果的表述。这个流程确保了公正性和一致性，使得不同的评估结果可以进行有效的比较。 此文档强调了知识产权保护，未经ISO或其成员国书面许可，任何部分都不得复制或以任何形式使用，包括电子和机械方式，如影印和缩微胶片。 ISO/IEC 15408-1:2009是全球范围内广泛接受的信息技术产品安全评估的标准，对于保障信息安全和建立信任具有重要意义。"