信息安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第4部分：評估方法和活動的規(guī)范框架

ICS35.030

CCSL80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T18336.4—202X

代替GB/T18336.3—2015

`

信息安全技術(shù)信息技術(shù)安全評估準(zhǔn)則

第4部分：評估方法和活動的規(guī)范框架

Informationsecuritytechnology,EvaluationcriteriaforITsecurity

Part4:Frameworkforspecificationofevaluationmethodsandactivities

(ISO/IEC15408-4:2022,Informationsecurity,cybersecurityandpricvacyprotection

EvaluationcriteriaforITsecurity

Part4:Frameworkforspecificationofevaluationmethodsandactivities,IDT)

（征求意見稿）

（本草案完成時間：2022-9-27

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/T18336.4—202X

引言

本標(biāo)準(zhǔn)的讀者對象主要是采用GB/T18336-202X的評估者和確認(rèn)評估者行為的認(rèn)證者，以及評估發(fā)

起者、開發(fā)者、PP/ST作者和其他對IT安全感興趣的團(tuán)體。

針對信息技術(shù)（IT）產(chǎn)品的安全評估，GB/T18336提供了一套通用的安全功能及其保障措施要求，

從而允許各個獨(dú)立的IT產(chǎn)品的評估結(jié)果之間具有可比性。GB/T30270為GB/T18336中規(guī)定的一些保障

要求提供了配套的方法。

基于GB/T18336的評估過程，可為IT產(chǎn)品的安全功能及應(yīng)用于IT產(chǎn)品的保障措施滿足這些要求建

立一個信任級別。評估結(jié)果可幫助消費(fèi)者確定他們采購的IT產(chǎn)品實(shí)現(xiàn)是否滿足他們的安全需求。

GB/T18336可為具有安全功能的IT產(chǎn)品的開發(fā)、評估以及采購過程提供指導(dǎo)。

GB/T18336有很大的靈活性，可將其評估方法應(yīng)用于范圍廣泛的一系列IT產(chǎn)品的眾多安全屬性。因

此，GB/T18336的使用者需理解其各部分之間的邏輯關(guān)系，按照推薦的評估方法使用標(biāo)準(zhǔn)的各部分，以

避免誤用該標(biāo)準(zhǔn)的靈活性。例如，若使用GB/T18336時采取了不合適的評估方法/活動、選擇了不相關(guān)

的安全屬性或針對的IT產(chǎn)品不恰當(dāng)，都將導(dǎo)致無意義的評估結(jié)果。

GB/T18336.1中的安全評估模型確定了在GB/T30270中定義的高級通用評估活動，但更具體的評

估活動（EA）可以定義為這些通用活動針對特定評估情景的特定技術(shù)變化，例如，適用于特定技術(shù)或評

估目標(biāo)（TOE）類型的安全功能要求（SFR）或安全保證要求（SARs）。這種評估活動的規(guī)范已經(jīng)在從業(yè)

者中出現(xiàn)，這就產(chǎn)生了對定義這種評估活動的規(guī)范需求。

本文件描述了一個框架，可用于從GB/T30270的工作單元派生評估活動，并將其分組為評估方法

(EMs）。評估活動或評估方法可以包含在PP和任何支持它們的文件中。當(dāng)PP,PP-配置,PP-模塊,包或安

全目標(biāo)(ST）確定要使用特定的評估方法/評估活動時，GB/T30270要求評估人員在確定評估者裁定時，

遵循并報(bào)告相關(guān)的評估方法/評估活動。如GB/T18336.1中所述，在某些情況下，評估方案可以決定不

批準(zhǔn)使用特定的評估方法/評估活動：在這種情況下，評估方案可以決定不按照ST所要求的評估方法/評

估活動進(jìn)行評估。

本文件還允許為擴(kuò)展SAR定義評估活動，在這種情況下，評估活動的派生與為擴(kuò)展SAR定義的等效行

為元素和工作單元相關(guān)。如果本文件中引用GB/T30270或GB/T18336.3對SAR的使用(如定義評估活動

的基本原理時)，那么在擴(kuò)展SAR的情況下，這種引用也將適用于為擴(kuò)展SAR定義的等效行為元素和工作

單元。

為簡明起見，本文件指定了如何定義評估方法和評估活動，但本身沒有指定評估方法或評估活動的

實(shí)例。

注釋：本文件在某些情況下使用粗體和斜體來區(qū)分術(shù)語和其余部分文本。族內(nèi)組件之間的關(guān)系約

定使用粗體突出顯示，對所有新的要求也約定使用粗體字。對于分層的組件，當(dāng)要求被增強(qiáng)或修改，

超出了前一個組件的要求時，要求以粗體顯示。此外，除了前面的組件之外，任何新的或增強(qiáng)的允許

的操作也會使用粗體突出顯示。

約定使用斜體來表示具有精確含義的文本。對于安全保障要求，該約定也適用于與評估相關(guān)的特殊

動詞。

II

GB/T18336.4—202X

信息安全技術(shù)信息技術(shù)安全評估準(zhǔn)則

第4部分：評估方法和活動的規(guī)范框架

1范圍

本文件提供了一個標(biāo)準(zhǔn)框架，用以規(guī)定客觀的、可重復(fù)的和可重現(xiàn)的評估方法和評估活動。

本文件未規(guī)定如何評估、采用或維持評估方法和評估活動。這些方面應(yīng)由那些在其感興趣的特定領(lǐng)

域內(nèi)提出評估方法和評估活動的相關(guān)方負(fù)責(zé)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T18336.1—202X信息安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第1部分：簡介和一般模型

GB/T18336.2—202X信息安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第2部分：安全功能組件

GB/T18336.3—202X信息安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第3部分：安全保障組件

GB/T30270—202X信息技術(shù)網(wǎng)絡(luò)安全和隱私保護(hù)信息技術(shù)安全評估準(zhǔn)則信息技術(shù)安全性評估

方法

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

在本文件中，GB/T18336.1、GB/T18336.3中給出的術(shù)語、定義和英文縮寫是適用的。

出于標(biāo)準(zhǔn)化的需求，ISO和IEC在以下網(wǎng)址建立了術(shù)語庫：

ISO在線瀏覽平臺：詳見/obp/。

IEC電子百科：詳見/。

4評估方法和評估活動的一般模型

概念和模型

GB/T30270定義了一組通用的工作單元，評估者通過執(zhí)行這些工作單元對GB/T18336.3中定義的

大多數(shù)保障類、族和組件做出判斷。GB/T18336.3的安全保障要求（SAR）的結(jié)構(gòu)與GB/T30270中的工

作單元之間的關(guān)系在GB/T30270中進(jìn)行了描述，并在圖1中進(jìn)行了總結(jié)。

1

GB/T18336.4—202X

類活動評估方法

組件子活動

評估者

行為

行為元素

開發(fā)者

行為元素

評估活動

內(nèi)容與工作單元

（派生工作單元）

形式元素

派生（n:m）

GB/T18336.3GB/T30270GB/T18336.4

圖1GB/T18336.3和GB/T30270結(jié)構(gòu)與本文檔結(jié)構(gòu)的對應(yīng)關(guān)系

為了定義新的評估方法和評估活動，需要注意的是每個行為（在GB/T18336.3中代表一個評估者

行為元素或隱含的評估者行為元素）在GB/T30270中表示為一組由評估者執(zhí)行的工作單元。

本文件規(guī)定了從GB/T30270的通用工作單元派生出新的評估活動的方式，并將其組合成一種評估

方法，用于特定的評估情景。這種評估情景的典型示例是特定TOE類型或特定技術(shù)類型。

示例1：

TOE類型：網(wǎng)絡(luò)設(shè)備

技術(shù)類型：特定密碼功能

如果要求評估方法和評估活動與特定的PP、PP-模塊、PP-配置一起使用，則PP或PP-模塊或PP-配置

應(yīng)在其符合性聲明中標(biāo)識該要求。如果要求評估方法和評估活動與特定的包一起使用，那么包應(yīng)在安全

要求部分中標(biāo)識該要求。如果ST聲明的評估方法和評估活動是因其聲稱對PP、PP-配置或包符合，則ST

應(yīng)識別其符合性要求中所使用的EM/EA。在這些情況下，沒有正式對GB/T18336.4（PP、PP-模塊、PP-

配置和包的內(nèi)容在GB/T18336.1中有更詳細(xì)的描述）的符合性提出要求。

PP、PP-配置、PP-模塊或包可以使用一種以上的評估方法或一系列獨(dú)立的評估活動。

示例2：

在為PP中使用的加密操作和安全信道協(xié)議分別定義了評估方法時，多種評估方法可被使用。

注：在完全符合的情況下，GB/T18336.1規(guī)定不允許在PP-配置中定義評估方法/評估活動（所使用的評估方法/評

估活動應(yīng)包含在PP和PP-模塊中，而不包含在PP-配置中）。

當(dāng)PP、PP-模塊、PP-配置或包確定了要使用的某些評估方法/評估活動時，則需要使用一種標(biāo)準(zhǔn)措

辭來說明要求并引用要使用的評估方法/評估活動的定義。ST應(yīng)僅標(biāo)識其聲明符合性的PP、PP-模塊、PP-

配置或包中所包含要求的評估方法和評估活動（即ST本身不應(yīng)增加、修改或刪除任何評估方法或評估活

動）。ST應(yīng)包括其要求的所有評估方法/評估活動的標(biāo)識（即包括任何ST聲明符合性的PP、PP-模塊、PP-

配置或包的需求），于是就形成了供ST的評估者和讀者檢查和參考的單一列表。

評估方法和評估活動可以在要求它們的文件中定義（例如，作為PP的一部分），也可以在外部的不

同文件中定義，或兩者的結(jié)合。雖然如上所述需要進(jìn)行標(biāo)識，但沒有必要在其他文件中復(fù)制評估方法/

評估活動的文本（例如，ST不必包括其聲明符合性的PP的評估方法/評估活動的全文）。

用派生方法制定評估方法和評估活動

2

GB/T18336.4—202X

一般來說，定義評估活動和評估方法可以從SAR開始，目的是使其工作單元的某些或所有部分更加

具體；也可以從SFR開始，目的是定義與SFR相關(guān)的工作單元的具體方面。

從SAR開始時，流程指導(dǎo)如下。

a)標(biāo)識GB/T30270相關(guān)的工作單元，從中派生出至少一個單獨(dú)的評估活動或一組評估活動。

b)對于派生評估活動的每個工作單元:

1)根據(jù)6.2中所述的具體執(zhí)行工作和評估標(biāo)準(zhǔn)定義新的評估活動（如有需要，包括6.2.8中

所述的通過/不通過標(biāo)準(zhǔn)）；

2)必要時將評估活動分組形成評估方法；

3)按照5.2.10和6.2.10所述，說明新的評估活動和評估方法的基本原理。

示例：基本原理可包括對開發(fā)者行為指南，以及派生它們的工作單元的內(nèi)容和形式元素。

從SFR開始時，流程指導(dǎo)如下。

a）標(biāo)識相關(guān)的SFR。

b）標(biāo)識針對特定SFR處理的SARs（來自GB/T18336.3或擴(kuò)展的系列SAR，或兩者），以及相應(yīng)

的GB/T30270工作單元。

c）根據(jù)6.2中所述的具體執(zhí)行工作和評估標(biāo)準(zhǔn)定義新的評估活動（如有需要，包括6.2.8中所

述的通過/不通過標(biāo)準(zhǔn)）。

示例：評估活動可定義為：檢查TOE概要規(guī)范（源自ASE）中特定SFR的表述，檢查指導(dǎo)性文件（源自AGD）中SFR

的表述情況，并對該SFR進(jìn)行特定測試（源自ATE）。

d）將受SAR影響的工作單元映射到新的評估活動。

e）按照5.2.10和6.2.10所述，說明新的評估活動和評估方法的基本原理。

盡管作者可以選擇從SAR或SFR開始，但需要注意的是，SAR最終涵蓋所有SFR。在闡明SAR如何應(yīng)用

于特定SFR的細(xì)節(jié)時，從上述SFR開始是非常有用的技術(shù)，并且在描述其評估活動的同時呈現(xiàn)SFR也很有

用。

不必在工作單元和新的評估活動之間進(jìn)行一對一映射，實(shí)際的對應(yīng)關(guān)系記錄在基本原理中（如

5.2.10中所述）。派生可以根據(jù)獨(dú)立的工作單元或整個工作單元組進(jìn)行，如圖2所示。在圖2的情況a）

中，作者將每個工作單元從GB/T30270映射到相應(yīng)的評估活動，而在情況b）中，作者對不同的工作單

元和評估活動進(jìn)行映射，但仍然處理一個活動的所有方面（即工作單元的集合）。

3

GB/T18336.4—202X

圖2將GB/T30270映射到派生評估活動的替代方法

根據(jù)具體的工作單元和評估活動的內(nèi)容，也可以使用其他方法：即使工作單元和評估活動的數(shù)量相

同，簡單的一對一映射有時也不可行，因此在活動級別上的映射可能更合適。下面的示例中描述了一些

更詳細(xì)的映射情況。

注：這些例子假設(shè)所描述的評估活動是由一個團(tuán)體定義的，它能夠判斷評估活動完整性基本原理的適用性。這些示

例只關(guān)注映射的形式和結(jié)構(gòu)，而不關(guān)注完整性基本原理的本質(zhì)或接受程度。

示例1：

對于既包括軟件又包括硬件的TOE類型，可以定義額外的評估活動來處理制造環(huán)境及其過程?？紤]到ALC_DVS族，一

種可以采用的方法是將已有的所有ALC_DVS工作單元應(yīng)用于軟件開發(fā)環(huán)境，為每個相關(guān)的硬件和制造環(huán)節(jié)定義額外的評

估活動。這些活動內(nèi)容可能包括將正常ALC_DVS范圍擴(kuò)展到其他過程，如對開發(fā)環(huán)境中的硬件設(shè)計(jì)保護(hù)、從開發(fā)環(huán)境到制

造環(huán)境的軟件安全傳輸、制造場所的安全、以及在等待交付時對成品的保護(hù)等。它們還可以包括僅在制造環(huán)境中出現(xiàn)的

與評估對象和過程相關(guān)的新的考慮，例如:

?確認(rèn)生產(chǎn)線上使用的固件是通過固件構(gòu)建系統(tǒng)創(chuàng)建的，并源自可靠授權(quán)的版本；

?檢查生產(chǎn)線TOE測試程序的配置管理；

?確認(rèn)在TOE上禁用測試或調(diào)試接口的進(jìn)程正確且運(yùn)行可靠；

?檢查在生產(chǎn)過程中用于向TOE輸入密鑰或證書的密鑰管理系統(tǒng)，確認(rèn)其物理和邏輯安全性。

在此示例中，原始ALC_DVS.1.1E操作被映射為包括所有新的評估活動，但另一種方法是為ALC_DVS.1E的每個獨(dú)立

工作單元定義額外的評估活動，識別附加活動以覆蓋該工作單元的制造環(huán)境。

示例2：

如果將AVA_VAN.1脆弱性分析應(yīng)用于特定類型的TOE，需要與使用的公共領(lǐng)域脆弱性源保持一致，那么一種可以采用

的方法是定義一個評估活動，該活動包括通過指定要使用的特定脆弱性源，搜索公共領(lǐng)域脆弱性源的AVA_VAN工作單元，

可能還需要進(jìn)行特定的搜索，以及針對分析和測試得出的潛在脆弱性結(jié)果列表，選擇決策準(zhǔn)則。在此示例中，原始

AVA_VAN.1-3的工作單元映射到新的評估活動。

示例3：

4

GB/T18336.4—202X

對于與集成電路等硬件一起使用的評估方法，可以定義評估活動以檢查電路的架構(gòu)，定義所需的輸入，為評估者提

供有關(guān)操作的特定詳細(xì)信息以及通過電路接口可用的信息。這些所需輸入的定義可以明確相關(guān)接口，包括電路的物理接

口、可執(zhí)行編程指令和通信接口。

評估方法中的進(jìn)一步評估活動，可以是檢查電路對物理探測的抵御，以防止操縱或破壞TSF特性。

對于測試活動，評估方法中的評估活動可以定義一個所需的輸入，該輸入將電路設(shè)計(jì)呈現(xiàn)為滲透到電路各子系統(tǒng)的

安全功能流程圖。然后，評估者可以使用該流程圖來創(chuàng)建測試用例，并確認(rèn)電路的測試覆蓋率。

示例4：

對于TOE類型，如提供加密驗(yàn)證固件更新的網(wǎng)絡(luò)設(shè)備，評估活動可以提供具體細(xì)節(jié)，說明如何要求評估者審查安全目

標(biāo)和指導(dǎo)性文檔，以確認(rèn)加密更新過程所需的特定特性。

其他評估活動可以定義特定的測試用例，包括當(dāng)前固件的驗(yàn)證、更新的可用性、獲取更新、使用加密簽名驗(yàn)證更新

的來源，以及使用特定類型的無效更新，以測試TOE的驗(yàn)證功能。

評估方法和評估活動描述中的動詞用法

如果一個動詞在GB/T18336.1中有定義，那么評估活動的描述只能根據(jù)定義使用這些動詞。備選動

詞可以在評估方法中用于評估活動，前提是備選動詞是在評估方法中定義的。任何此類動詞的定義都應(yīng)

明確評估者的判斷所涉及的程度（而不是簡單的檢查）。

示例：包含協(xié)議自動測試生成的評估方法可以定義一個動詞“覆蓋”，應(yīng)用于協(xié)議參數(shù)中的枚舉類

型，以表示在可用參數(shù)長度內(nèi)嘗試所有已定義和未定義值的參數(shù)。然后，評估活動可以寫成“評估者應(yīng)

覆蓋PaymentMode字段”這樣的形式。

本文件中使用的評估者行為動詞，如check（核查）、examination（檢查）、report（報(bào)告）和record

（記錄）等，其含義見GB/T18336.1。

評估方法和評估活動的描述公約

下面的段落描述了GB/T18336.3和GB/T30270中使用的支持評估方法和評估活動描述一致性的約

定。

所有的工作單元和子任務(wù)動詞前面都有助動詞“應(yīng)”，動詞和“應(yīng)”都用粗體斜體字體表示。只有

在所提供的文本有強(qiáng)制性時才使用助動詞“應(yīng)”，因此它只能在工作單元和子任務(wù)中使用。這些工作單

元和子任務(wù)包含了評估者為作出裁定而必須進(jìn)行的強(qiáng)制性活動。

工作單元和子任務(wù)的指導(dǎo)文本進(jìn)一步說明了如何在評估中應(yīng)用工作單元和子任務(wù)。

5評估方法的結(jié)構(gòu)

概述

定義了一種評估方法及其組成的評估活動，以便在特定的評估情景中使用。例如，可以為特定的技

術(shù)領(lǐng)域定義單獨(dú)的評估方法，從特定的功能到特定的產(chǎn)品類型，甚至在極端的情況下，對于一個特定的

產(chǎn)品，當(dāng)對產(chǎn)品的獨(dú)特特性進(jìn)行評估時，但又要求使用一個單獨(dú)定義的方法來評估產(chǎn)品，該方法支持評

估的可見性、可重復(fù)性和可再現(xiàn)性。

示例：可定義單獨(dú)評估方法的評估情景如下：

?特定產(chǎn)品類型，如網(wǎng)絡(luò)設(shè)備、智能卡、生物識別設(shè)備、移動設(shè)備；

?被多種產(chǎn)品類型重用的特定安全功能，如加密功能、加密協(xié)議、數(shù)字證書確認(rèn)、識別和身份驗(yàn)證方案。

一種評估方法包括一組單獨(dú)的評估活動，以及評估活動如何共同滿足與確定的評估情景相關(guān)目標(biāo)

的附加信息。

5

GB/T18336.4—202X

評估方法的描述包括：

a)確定負(fù)責(zé)定義和維護(hù)評估方法的實(shí)體；

b)評估方法的預(yù)期使用范圍、確定評估方法中產(chǎn)生評估活動的目標(biāo)、評估方法擬應(yīng)用的評估情景，

以及評估方法的任何已知限制或不打算涵蓋的方面；

c)執(zhí)行評估方法中所包含的評估活動所需的任何工具類型和/或評估者能力；

d)對報(bào)告應(yīng)用評估方法的結(jié)果的要求；

e)對GB/T30270(或等效的擴(kuò)展SAR)的評估方法中，評估活動所涉及的每個工作單元的識別；

f)識別任何可導(dǎo)出評估方法的擴(kuò)展SARs(如適用)，并據(jù)此制定評估方法；

g)任何在描述評估活動中代替GB/T18336.3定義的動詞使用的附加動詞。

對內(nèi)容的進(jìn)一步說明，包括確定哪些內(nèi)容元素是強(qiáng)制性的，以及如何在評估方法及其評估活動之間

分配內(nèi)容元素，詳見下文5.2和6.2，并在表1中總結(jié)。如果內(nèi)容元素是可選的（例如確定特定評估者的

能力，或所需的工具類型），那么可以簡單地從相關(guān)定義中刪除該部分，沒有必要包括空白部分。

評估方法的規(guī)范

5.2.1概述

評估方法根據(jù)5.2.2至5.2.12所確定的信息予以規(guī)定。除非5.2.2至5.2.12中對單個元素進(jìn)行了說明，

提供或呈現(xiàn)這些信息不需要特定的格式。在5.2.2至5.2.12中指定評估方法描述的目的是確保評估中使

用的保障技術(shù)能夠被明確識別，（在預(yù)期的情況下）評估方法的使用是恰當(dāng)?shù)?，并支持一致的評估結(jié)果

方式。

一般來說，評估方法的描述可以包括它所包含的個別評估活動的描述。這意味著評估方法描述的各

個方面可以從評估活動描述中推導(dǎo)出來。

圖3說明了本文件中描述的評估方法的內(nèi)容。它沒有定義描述評估方法的強(qiáng)制性結(jié)構(gòu)。

評估方法

評估方法標(biāo)識符

負(fù)責(zé)評估方法的主體

評估方法介紹評估方法范圍

評估方法概述

附加動詞定義

評估方法依賴關(guān)系

所需輸入

所需工具類型

所需評估者能力

報(bào)告要求

評估方法原理

評估活動

6

GB/T18336.4—202X

圖3評估方法的內(nèi)容

圖3所示的內(nèi)容在5.2和6.2中有更詳細(xì)的描述，表1給出了指定評估方法和評估活動的強(qiáng)制性和可

選要求的總結(jié)。

表1評估方法(EM)和評估活動(EA)之間的內(nèi)容對比

內(nèi)容元素評估方法評估活動

標(biāo)識符強(qiáng)制強(qiáng)制

責(zé)任主體強(qiáng)制不適用

范圍強(qiáng)制不適用

依賴關(guān)系在EM或EA級別上可進(jìn)行選擇

需要的輸入在EM或EA級別上強(qiáng)制執(zhí)行

所需的工具類型在EM或EA級別上可進(jìn)行選擇

需要的評估者能力在EM或EA級別上可進(jìn)行選擇

表1評估方法(EM)和評估活動(EA)之間的內(nèi)容對比（續(xù)）

內(nèi)容元素評估方法評估活動

報(bào)告要求在EM或EA級別上可進(jìn)行選擇

基本原理在EM或EA級別上的強(qiáng)制執(zhí)行

評估活動強(qiáng)制不適用

附加動詞的定義可選不適用

目標(biāo)不適用強(qiáng)制

評估活動與SFR、SAR和其他評估活動

不適用可選

相聯(lián)系

評估策略不適用強(qiáng)制

通過/不通過的標(biāo)準(zhǔn)不適用可選

5.2.2標(biāo)識評估方法

評估方法的定義應(yīng)包括唯一標(biāo)識符，以便明確地識別在任何給定評估中應(yīng)用的一組評估活動。應(yīng)在

評估方法層面（而不只是在其所包含的評估活動層面）指定一個標(biāo)識符，以反映評估方法是作為一個整

體應(yīng)用的事實(shí)，并受制于該層面的基本原理和定義的目的和目標(biāo)。如果一組評估活動被組合成一種評估

方法，那么只有當(dāng)使用該評估方法中的一整套評估活動時，該評估方法才被認(rèn)定為同一種評估方法，其

基本原理與原評估方法中包含的相同。如果有必要將評估方法劃分為評估活動的較小子集，則應(yīng)為每個

子集定義一個單獨(dú)的評估方法，并具有其自身的理論基礎(chǔ)。

示例1：由包含評估方法的支持文件或PP文件的標(biāo)題和版本號表示的唯一標(biāo)識符。

示例2：從注冊機(jī)構(gòu)獲得的標(biāo)識符。

7

GB/T18336.4—202X

如5.2.10所述，一種評估方法可能與另一種評估方法重疊（例如用于其他PP或PP-模塊）。在這種

情況下，如果原評估方法的基本原理仍然成立（如5.2.10所述），則應(yīng)使用原評估方法的標(biāo)識符。然而，

如果作為基本原理覆蓋的一部分發(fā)生了改變，那么應(yīng)使用在相關(guān)的PP-模塊、PP-配置或PP中定義的一個

單獨(dú)的標(biāo)識符。這里的目的是確保在基本原理發(fā)生重大變更時使用不同標(biāo)識符。

5.2.3負(fù)責(zé)評估方法的實(shí)體

評估方法的定義應(yīng)當(dāng)說明負(fù)責(zé)評估方法定義和維護(hù)的實(shí)體。

示例：負(fù)責(zé)實(shí)體的例子包括評估機(jī)構(gòu)、標(biāo)準(zhǔn)機(jī)構(gòu)、行業(yè)工作組或技術(shù)團(tuán)體。

5.2.4評估方法的范圍

評估方法的定義應(yīng)描述其范圍，包括:

a)評估方法的目標(biāo)，包括對保障目標(biāo)的簡要概述，以及評估方法內(nèi)的評估活動如何實(shí)施這些目標(biāo)

的高級陳述；

b)要應(yīng)用評估方法的評估背景。例如，可以描述一種TOE類型，如智能卡或網(wǎng)絡(luò)設(shè)備，或一種功

能，如使用特定算法和模式，應(yīng)用于特定類型的數(shù)據(jù)傳輸和數(shù)據(jù)存儲的加密功能；

c)任何已知的評估方法的局限性，或評估方法不打算涵蓋的方面。

評估活動可以被定義為專門適用于一個或多個SFR。當(dāng)評估方法包括此類SFR特定的評估活動時，應(yīng)

在范圍內(nèi)的一個子部分中，確定評估方法所定義的單個SFR以及定義SFR的位置（例如GB/T18336.2或保

護(hù)輪廓中定義的擴(kuò)展SFR）。對于GB/T18336.2中未定義的擴(kuò)展SFR，位置的標(biāo)識尤其重要,因?yàn)橄嗤?/p>

SFR名稱可以在不同的來源中使用，以引用具有不同內(nèi)容的SFR（如果評估方法不針對任何特定SFR，則

不需要本部分）。

同樣，評估活動可以被定義為專門適用于一個或多個擴(kuò)展的SAR（即在GB/T18336.3中未定義的SAR）。

當(dāng)評估方法包括此類評估活動時，應(yīng)在范圍內(nèi)的一個子部分中，確定相關(guān)的擴(kuò)展SAR及其定義的位置（如

在PP中）。與擴(kuò)展的SFR一樣，位置的標(biāo)識尤其重要，因?yàn)橄嗤腟AR名稱可以在不同的來源中使用，以

引用具有不同內(nèi)容的SAR（如果評估方法不適用于任何擴(kuò)展的SAR，則不需要本部分）。

注：評估方法完整性的基本原理（見5.2.10），為評估方法的范圍提供了進(jìn)一步的信息。

5.2.5依賴關(guān)系

評估方法的定義應(yīng)描述對其他評估方法、評估活動或GB/T30270中某些通用措施的依賴關(guān)系。

示例：一種評估方法，依賴于從GB/T18336.3或GB/T30270中某些其他開發(fā)者行為元素或從某些行為中獲得的信

息。

依賴關(guān)系可以在評估方法層面上進(jìn)行確定，或者在評估方法中包含的單個評估活動層面上進(jìn)行確

定。

5.2.6來自開發(fā)者或其他實(shí)體的必要輸入

評估方法的定義應(yīng)確定執(zhí)行評估活動所需的任何開發(fā)者輸入。這可以在評估方法層面上進(jìn)行，也可

以在評估方法中包含的單個評估活動層面上進(jìn)行。輸入的描述也可以參照GB/T18336.3中定義的用于

派生評估活動的通用SAR的定義（或處理擴(kuò)展SAR的等效通用定義）。

示例：處理媒介加密TOE的評估方法的輸入時，可以定義針對密鑰層次結(jié)構(gòu)的特定細(xì)節(jié)進(jìn)行描述的需求。

5.2.7所需工具類型

如果評估活動需要任何工具類型，那么這些工具類型應(yīng)被列為評估方法定義的一部分。工具類型可

以在評估方法層面上進(jìn)行確定，或者在評估方法中包含的單個評估活動層面上進(jìn)行確定。

8

GB/T18336.4—202X

5.2.8評估者需要的能力

評估方法可以確定評估活動所需的特定評估者能力（參見參考文獻(xiàn)條目[2]）。如果確定了具體的

評估者的能力，那么可以在評估方法層面進(jìn)行，也可以在評估方法中所包含的獨(dú)立評估活動層面（或兩

者的結(jié)合）進(jìn)行。

5.2.9報(bào)告要求

評估方法的描述可以包括報(bào)告要求的描述。此描述可以在評估方法層面、獨(dú)立評估活動層面或在這

兩者中進(jìn)行。

示例1：

評估方法層面可以給出一般的報(bào)告要求，但有些評估活動也需要特別的觀察、論證或?qū)唧w問題的回答。

任何所陳述的報(bào)告要求，應(yīng)保持與GB/T30270中對評估技術(shù)報(bào)告的要求，以及進(jìn)行評估所需的任何

其他標(biāo)準(zhǔn)相一致。

示例2：ISO/IEC17025是進(jìn)行評估所需的另一個標(biāo)準(zhǔn)的例子。

報(bào)告要求可以規(guī)定GB/T30270中所述的評估技術(shù)報(bào)告（ETR）中包含的報(bào)告，但也可規(guī)定其他輸出

報(bào)告的內(nèi)容。

示例3：可以為公共發(fā)布和限制范圍發(fā)布（如開發(fā)商、評估者和評估機(jī)構(gòu)）定義單獨(dú)的報(bào)告。

如果以這種方式定義了多個報(bào)告，那么評估方法的報(bào)告需求（包括個別評估活動的報(bào)告需求）就可

以在每個輸出報(bào)告中指定要報(bào)告的方面。

如果評估方法不需要報(bào)告或報(bào)告細(xì)節(jié)，而是需要在其派生的工作單元中給出（或者是評估活動中規(guī)

定了的所有額外的報(bào)告要求），則不需要本部分。

5.2.10評估方法的基本原理

應(yīng)在GB/T30270的原本工作單元中給出一個理由，表明評估方法中評估活動的推導(dǎo)是適當(dāng)?shù)?。（?/p>

擴(kuò)展SAR的情況下，則引用GB/T30270中的工作單元，而不是引用擴(kuò)展SAR的相關(guān)方法定義中的工作單

元）。這可以在評估方法層面或在獨(dú)立評估活動層面提出。如果評估方法中所包含的評估活動沒有按照

6.2.10所述的單獨(dú)基本原理，則評估方法應(yīng)包括GB/T30270中對工作單元進(jìn)行評估活動的推導(dǎo)基本原

理。這一基本原理可能包括解釋為什么要根據(jù)特定技術(shù)或TOE類型的評估范圍和深度，對工作單元進(jìn)行

重制?；驹響?yīng)進(jìn)一步說明，其所包含的評估活動如何涉及到GB/T18336.3所適用的行為元素的所有

方面。它還應(yīng)證明，就擬應(yīng)用評估方法的評估情景而言，處理行為元素或工作單元的方式是完備的。

如果評估活動是從擴(kuò)展的SAR中得到的，基本原理應(yīng)證明評估活動與擴(kuò)展SAR的工作單元描述相符

（GB/T30270中定義的用于評估擴(kuò)展組件定義的方法（GB/T18336.3中的APE_ECD,ACE_ECD和ASE_ECD

族）要求將工作單元作為擴(kuò)展SAR定義的一部分）。

基本原理可以在適當(dāng)?shù)那闆r下被認(rèn)定成為評估情景所作的具體假設(shè)。

當(dāng)不同的需求源被組合在一起時，例如PP-模塊與PP-配置中的基本PP一起使用時，每個來源的評

估活動（例如，每個基本PP/PP-模塊的評估活動和PP-配置的每個組成部分的評估活動）將被組合并應(yīng)

用于最終的TOE。作為組合的一部分，一種評估方法可能會被另一種評估方法所疊加，但必須對由該疊

加所作的任何更改進(jìn)行說明，以便仍然能夠給出所產(chǎn)生評估方法的基本原理。當(dāng)來自不同來源的多個

評估活動的范圍相同時，就存在疊加。疊加的原因是，當(dāng)兩個部件一起使用時，便于使最終的評估方

法可以更具體地針對TOE，如在本例中，部件是一個基本PP和一個PP-模塊，但也可能出現(xiàn)其他情況，

例如當(dāng)一個包在PP中使用時，為PP定義的更具體的評估方法疊加到為包定義的更通用的評估方法上。

注：雖然在默認(rèn)情況下，評估活動適用于生成的整個TOE，但評估方法或評估活動的定義可以定義其應(yīng)用的限度。例

如，可以專門為在某些安全通道協(xié)議的背景下使用的加密操作定義評估活動：當(dāng)在保護(hù)存儲數(shù)據(jù)的情景下使用

時，這些評估活動將不適用于相同的加密操作。

9

GB/T18336.4—202X

示例：可以在網(wǎng)絡(luò)設(shè)備TOE的基本PP中定義一種評估方法，包括TOE支持的通用安全通道的評估活動。PP-模塊可

以使用特定的安全通道類型（例如指定特定的操作或特定的協(xié)議），為網(wǎng)絡(luò)設(shè)備上的某些遠(yuǎn)程管理操作定義。然后，PP-

模塊的評估活動將會疊加基本PP的評估方法，這意味著PP-模塊的評估活動取代了PP-模塊中涉及的特定遠(yuǎn)程管理活動

的基本PP評估活動（其他安全通道的能力仍將受制于基本PP的評估方法中的評估活動）。

疊加效果是對底層評估方法做了以下一個或多個更改:

a)底層評估活動可以被刪除——通常這是因?yàn)樵撛u估活動不再相關(guān)（例如，一個PP-模塊刪除了

一個基本PPSFR中的一些可用選擇值）；

b)底層評估活動可以通過添加更多的具體細(xì)節(jié)（這可能使活動更嚴(yán)格）來細(xì)化——通常情況下，

這將反映評估情景中的額外細(xì)節(jié)（例如，細(xì)節(jié)是通過功能包添加到PP情景中的）；

c)定義附加評估活動——這將反映額外的評估情景（例如，由功能包添加到PP情景的附加細(xì)節(jié)，

或在PP-配置中添加的附加SAR）。

一個特殊的情況是，對一個底層評估活動進(jìn)行改變，以對應(yīng)一個相關(guān)的SAR的增強(qiáng)，通常情況下，

這種行為在PP-配置中的體現(xiàn)是使用層次更高的SAR替代現(xiàn)有的SAR。在這種情況下，根據(jù)層次結(jié)構(gòu)更高

的SAR中的新內(nèi)容，可以像b）中那樣添加細(xì)節(jié)，也可以像c）中那樣添加進(jìn)一步的評估活動。

由此產(chǎn)生的評估方法的基本原理可能基于在原始評估方法基本原理中已經(jīng)對疊加部分做了考慮（即，

在原始評估方法定義中已經(jīng)包括了疊加部分的基本原理），或者更具體的評估方法（例如PP-模塊）可

能包括單獨(dú)的基本原理，處理其對原始評估方法的影響（例如，基本PP）。如果疊加的評估方法（例如

PP-模塊）包含單獨(dú)的基本原理，則應(yīng)表明所產(chǎn)生的評估方法保留了疊加評估方法的相關(guān)方面，并考慮

到了組合部分的使用環(huán)境。對于組合使用PP的情況，同樣的原則適用:要么原始評估方法根據(jù)應(yīng)用它的

情景描述所允許的變化，要么由此產(chǎn)生的疊加評估方法處理對基本原始評估方法的影響。

如GB/T18336.1所述，疊加評估活動的基本原理可以是一個單獨(dú)的部分，也可以作為保障基本原

理或安全要求基本原理的一部分。

5.2.11附加動詞的定義

如上文4.3所述，可在評估活動規(guī)范中使用GB/T18336.1中定義的備選動詞，但任何此類備選動詞

應(yīng)定義為包含評估活動的評估方法的一部分。并應(yīng)明確評估者的判斷（相對于簡單的檢查）所涉及的程

度。

5.2.12評估活動集

評估方法中包含的評估活動應(yīng)使用第6節(jié)中定義的結(jié)構(gòu)來定義。

6評估活動的結(jié)構(gòu)

概述

在單個評估活動的層次上，規(guī)范的重點(diǎn)在于確保評估活動有一個明確的目標(biāo)，明確的通過/不通過

的標(biāo)準(zhǔn)（如果需要的話），以及確定對其他評估活動的任何依賴關(guān)系。這是為了支持對評估的理解，從

而保證在每次評估中一致地應(yīng)用該活動。

如5.2所述和表1所總結(jié)的，評估活動的一些具體細(xì)節(jié)可在評估方法層面或獨(dú)立評估活動層面列入。

評估的內(nèi)容可能以各種格式給出，包括僅由測試或分析活動的簡短敘述性描述組成的格式（例如，

確認(rèn)用戶文檔描述了用于協(xié)議的憑據(jù)的安全生成）。此外，一些評估活動可以分組在一起，并將內(nèi)容元

素作為一個整體進(jìn)行描述，而不是為每個獨(dú)立的評估活動重復(fù)描述。評估活動的每個內(nèi)容元素在6.2.1

到6.2.10中有更詳細(xì)的描述，表1中總結(jié)了每個元素的強(qiáng)制和可選狀態(tài)。

10

GB/T18336.4—202X

評估活動的說明

6.2.1評估活動的唯一標(biāo)識

評估活動應(yīng)在其源文件中進(jìn)行唯一標(biāo)識。源文件本身應(yīng)進(jìn)行唯一標(biāo)識。如果評估活動被分組到一個

評估方法中，那么除了整個評估方法的一個標(biāo)識符外，還定義了單個評估活動標(biāo)識符（見5.2.2）。

6.2.2評估活動的目標(biāo)

應(yīng)說明開展評估活動的目標(biāo)。這可以參照6.2.3中討論的SFR和SAR以及6.2.8中的通過/不通過的標(biāo)

準(zhǔn)來說明，然而，同樣重要的是，目標(biāo)陳述應(yīng)有助于評估者了解變更評估活動以適應(yīng)特定TOE的靈活性

和局限性。

6.2.3評估活動與SFR、SAR和其他評估活動有關(guān)

如果評估活動與特定SFR相關(guān)（還可能與另一個文檔中的SFR特定實(shí)例，例如包、PP或PP-模塊相關(guān)），

則應(yīng)將其標(biāo)識為評估活動定義的一部分。

示例：評估活動可以與特定PP中陳述的SFR相關(guān)，并部分完成賦值，以限制可用于符合性ST中的可接受值。

同樣，必須確定與特定SAR的關(guān)系[這可以通過從原始SAR的工作單元推導(dǎo)的基本原理來實(shí)現(xiàn)（見

5.2.10和6.2.10），除非需要提供關(guān)于該關(guān)系的附加信息]。

如果一項(xiàng)評估活動依賴于另一項(xiàng)評估活動的完成，則依賴性和其他評估活動應(yīng)作為依賴性評估活

動定義的一部分加以識別（依賴性可以在評估方法的層面上進(jìn)行識別，或在單個評估活動的層面上進(jìn)行

識別）。

6.2.4來自開發(fā)者或其他實(shí)體的必要輸入

如5.2.6所述，還可以規(guī)定評估活動所需輸入的格式和內(nèi)容的附加細(xì)節(jié)。這種附加的細(xì)節(jié)通常用于

支持評估活動及其通過/不通過標(biāo)準(zhǔn)的精確規(guī)范（這可以在評估方法層面上進(jìn)行，也可以在單個評估活

動的層面上進(jìn)行）。

如果評估活動除了派生它的工作單元中定義的輸入之外不需要其他輸入，那么這個部分是不需要

的。

6.2.5所需工具類型

如果執(zhí)行評估活動需要任何工具類型來完成該活動，那么這些工具類型應(yīng)被定義為評估活動定義

的一部分。工具類型的定義應(yīng)包括足夠的細(xì)節(jié)，從而能夠獲得工具或重新創(chuàng)建該類型的工具，以便能夠

根據(jù)評估活動描述及其通過/不通過標(biāo)準(zhǔn)進(jìn)行評估活動時，保持一致性（這可以在評估方法層面上進(jìn)行，

也可以在獨(dú)立評估活動層面上進(jìn)行）。

如果評估活動不需要特定的工具類型，除了那些在派生它的工作單元中給出的或隱含的工具類型，

那么這個部分是不需要的。

6.2.6評估者需要的能力

如5.2.8所述，評估方法可以確定其評估活動所需的具體評估者能力（見參考文獻(xiàn)條目[3]）。如果

確定了具體的評估者的能力，那么可以在評估方法層面進(jìn)行，也可以在評估方法中所包含的個別評估活

動層面進(jìn)行（或兩者結(jié)合）。

6.2.7評估策略

評估活動的這一部分應(yīng)提供如何執(zhí)行該活動的指導(dǎo)和細(xì)節(jié)。根據(jù)評估活動的內(nèi)容，它包括：

11

GB/T18336.4—202X

a)如何評估來自開發(fā)者或其他實(shí)體的關(guān)于評估活動完整性的輸入；

b)如何使用所需的所有工具類型（可能包括工具校準(zhǔn)或設(shè)置指南）；

c)執(zhí)行活動的步驟指導(dǎo)。

對大多數(shù)評估活動來說，為適應(yīng)特定技術(shù)留出一些空間是很重要的。在評估策略的精確說明和這

種適應(yīng)的允許空間之間找到正確的平衡，對于確保客觀和可重復(fù)的結(jié)果很重要，對于得到有意義的結(jié)

果也很重要。當(dāng)開發(fā)者在如何實(shí)現(xiàn)功能需求方面具有更大的靈活性時，評估活動定義需要留出更多空

間來使評估適應(yīng)不同的潛在實(shí)現(xiàn)。在這些情況下，評估策略應(yīng)該提供關(guān)于如何執(zhí)行特定于TOE的細(xì)化和

調(diào)整的一般指導(dǎo)，而不是詳細(xì)說明評估者必須執(zhí)行的行為的每個細(xì)節(jié)。一般來說，評估活動的偏差/改

進(jìn)（即忽略評估活動中要求的內(nèi)容）是不允許的。

評估策略可以由評估者必須執(zhí)行的幾個階段組成，在這種情況下，這些階段應(yīng)與每個階段的預(yù)期

結(jié)果一起進(jìn)行指定。有些階段可能取決于前幾個階段的結(jié)果，在這種情況下，評估策略還應(yīng)規(guī)定，如

果其中一個階段沒有產(chǎn)生預(yù)期的結(jié)果，評估者還需要做什么。這種情況的示例是返回到一個帶有修改

過的輸入的前一個階段，終止評估活動，指明該活動的結(jié)果是什么，或者繼續(xù)進(jìn)行另一個階段。

根據(jù)評估情景的需求和評估活動本身的性質(zhì)，評估策略可能是簡短的，并可能構(gòu)成評估活動一般

描述的一部分（例如，如何進(jìn)行特定測試或分析活動的描述）。

6.2.8通過/不通過標(biāo)準(zhǔn)

評估活動本身允許定義相關(guān)標(biāo)準(zhǔn)，評估者用其確定評估活動證明TOE是否滿足了相關(guān)要求。在某些

情況下，依賴于評估活動所產(chǎn)生的原始工作單元的描述可能是合適的，但在其他情況下，評估活動的

作者可能需陳述更具體的標(biāo)準(zhǔn)，這是必要或有益的。最終，通過/不通過的標(biāo)準(zhǔn)涉及確定是否滿足評估

活動（見6.2.2）的目標(biāo)陳述。如果評估活動規(guī)定了單獨(dú)的通過/不通過的標(biāo)準(zhǔn)，那么這些標(biāo)準(zhǔn)在不同的

評估中執(zhí)行評估活動，應(yīng)盡可能提高結(jié)果的一致性。以這種方式對特定的標(biāo)準(zhǔn)做出明確的陳述，可以

盡可能減少不同的評估者在給出相同證據(jù)的情況下，對評估活動得出不同結(jié)論的機(jī)會。因此，一般來

說，通過/不通過的標(biāo)準(zhǔn)應(yīng)該盡可能具體。

實(shí)現(xiàn)分析文檔的特定通過/不通過標(biāo)準(zhǔn)的方法，包括根據(jù)特定特征的存在或不存在來表達(dá)標(biāo)準(zhǔn)，例

如，通信堆棧的詳細(xì)配置或執(zhí)行環(huán)境的故障觸發(fā)器集的存在，對于特定的“關(guān)閉”問題的“是/否”答

案（可能會得到其他“開放”問題答案的支持）。

實(shí)現(xiàn)特定測試通過/不通過標(biāo)準(zhǔn)的方法是用特定的可見結(jié)果來表達(dá)標(biāo)準(zhǔn)，比如觀察信道上成功的通

信，或者接收到指示通道設(shè)置失敗的錯誤消息，或者觀察到內(nèi)存訪問/設(shè)置。像“TOE刪除數(shù)據(jù)”這樣

描述的短語通常不建議使用，因?yàn)椴磺宄@個刪除是如何由評估者決定的；更好的描述是“TOE返回到

'無法找到文件'的錯誤”或“評估者使用<命名接口調(diào)用>并確認(rèn)文件不在返回的文件列表中”。另一

種表達(dá)評估活動的特定通過/不通過標(biāo)準(zhǔn)的方法是確定是否符合已確定標(biāo)準(zhǔn)的特定條款，或與參考模型

或示例集進(jìn)行比較，如GB/T30270中的攻擊潛在模型或?yàn)槟承㊣T產(chǎn)品類型定義的特定攻擊潛在模型。

然而，人們也認(rèn)識到，標(biāo)準(zhǔn)通常需要考慮到不同TOE之間的實(shí)現(xiàn)細(xì)節(jié)的差異。因此，通過/不通過

的標(biāo)準(zhǔn)也可以根據(jù)評估活動的目標(biāo)來描述（見6.2.2）。

如果評估活動不需要得出通過/不通過的裁定，除了派生它的工作單元中給出的那些裁定，則這部

分是不需要的。

6.2.9報(bào)告要求

如5.2.9所述，可為評估活動指定報(bào)告的具體要求（在ETR中，也可能在其他產(chǎn)出物中）——這些要

求可在評估方法層面或獨(dú)立評估活動層面上說明。在這個層面上，報(bào)告的定義要求通常是通過記錄特

定問題的答案、結(jié)論的基本原理或?qū)μ囟y試結(jié)果的清晰描述，來支持通過/不通過判斷的可見性和可

12

GB/T18336.4—202X

重復(fù)性。需要特別注意的是，如果通過/不通過標(biāo)準(zhǔn)預(yù)期要求評估者做出判斷，那么報(bào)告的要求應(yīng)包括

對涉及作出判斷和得出通過/不通過結(jié)論的特定原因的記錄。

如果評估活動不需要報(bào)告或報(bào)告的詳細(xì)信息，只需要派生它的工作單元中給出的那些要求，那么這

個部分是不需要的。

6.2.10評估活動的基本原理

評估活動應(yīng)包括其從GB/T30270中的一個或多個工作單元（或擴(kuò)展SAR的等效工作單元定義）推導(dǎo)

的論證。該論證可能包含解釋為何必須針對特定技術(shù)或TOE類型評估的范圍和深度來評估工作單元。評

估方法（見5.2.10）和評估活動層面的基本原理相結(jié)合，應(yīng)證明評估方法涉及GB/T18336.3所適用的行

為元素的所有方面。此外，組合的基本原理應(yīng)描述如何從原始的行為元素或工作單元推導(dǎo)出的結(jié)論，以

確保相對于評估活動擬應(yīng)用的評估背景而言，評估活動是完整的。

注：基本原理可以識別并證明某些方面不適用于其特定的評估情景。

如果評估活動定義的通過/不通過標(biāo)準(zhǔn)與它所派生的工作單元不同，則論證時應(yīng)提供新標(biāo)準(zhǔn)的可行

性和有效性的理由。

基本原理可以在適當(dāng)?shù)那闆r下被認(rèn)定為評估環(huán)境所作的具體假設(shè)。

基本原理可以在評估方法層面或在獨(dú)立評估活動層面提出。

13

GB/T18336.4—202X

參考文獻(xiàn)

本參考包含對GB/T18336（所有部分）讀者可參考的進(jìn)一步材料和標(biāo)準(zhǔn)。對于沒有日期的參考文獻(xiàn)，

建議讀者閱讀參考文獻(xiàn)的最新版本。

[1]ISO/IEC15408-5:2022,Informationsecurity,cybersecurityandprivacyprotection

—EvaluationcriteriaforITsecurity—Part5:Pre-definedpackagesofsecurity

requirements

[2]ISO/IEC17025,Generalrequirementsforthecompetenceoftestingandcalibration

laboratories

[3]ISO/IEC19896-3,ITsecuritytechniques—Competencerequirementsforinformation

securitytestersandevaluators—Part3:Knowledge,skillsandeffectivenessrequirements

forISO/IEC15408

14

GB/T18336.4—202X

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》和GB/T

1.2—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第2部分：以ISO/IEC標(biāo)準(zhǔn)化文件為基礎(chǔ)的標(biāo)準(zhǔn)化文件起草規(guī)則》的

規(guī)定的規(guī)定起草。

GB/T18336.202X《信息安全技術(shù)信息技術(shù)安全評估準(zhǔn)則》由以下五部分組成：

——第1部分：簡介和一般模型

——第2部分：安全功能組件

——第3部分：安全保障組件

——第4部分：評估方法和活動的規(guī)范框架

——第5部分：預(yù)定義的安全要求包

本文件和GB/T18336.3-202X、GB/T18336.5—202X共同代替GB/T18336.3—2015《信息技術(shù)安

全技術(shù)信息技術(shù)安全評估準(zhǔn)則第3部分：安全保障組件》。

本文件與GB/T18336.3—2015的主要差異如下：

——對安全保障要求定義的評估者行為元素進(jìn)行細(xì)化說明；

——示例解釋評估者行為元素的內(nèi)容；

——以評估活動和方法的方式定義出評估者行為元素的框架內(nèi)容。

本文件等同采用國際標(biāo)準(zhǔn)ISO/IEC15408—4：2022《信息安全網(wǎng)絡(luò)安全和隱私保護(hù)信息

技術(shù)安全評估準(zhǔn)則第4部分：評估方法和活動的規(guī)范框架》。

本文件做了下列最小限度的編輯性改動：

——為與現(xiàn)有標(biāo)準(zhǔn)協(xié)調(diào)，將標(biāo)準(zhǔn)名稱改為《信息安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第4部分：評

估方法和活動的規(guī)范框架》

請注意本文件的某些內(nèi)容可能涉及專利，本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）提出并歸口。

本文件起草單位：中國信息安全測評中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國網(wǎng)絡(luò)安全審查技術(shù)與

認(rèn)證中心、北京郵電大學(xué)、北京奇虎科技有限公司、國網(wǎng)新疆電力有限公司電力科學(xué)研究院、啟明星辰

信息技術(shù)集團(tuán)股份有限公司、北京神州綠盟科技有限公司、新華三技術(shù)有限公司

本文件主要起草人：張寶峰、李鳳娟、楊永生、許源、石竑松、高金萍、王峰、王晨宇、張屹、李

明軒、張錦川、程潞樣、萬曉蘭、王書毅

本文件所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況：

——GB/T18336.3—2001

——GB/T18336.3—2008

——GB/T18336.3—2015

I

GB/T18336.4—202X

信息安全技術(shù)信息技術(shù)安全評估準(zhǔn)則

第4部分：評估方法和活動的規(guī)范框架

1范圍

本文件提供了一個標(biāo)準(zhǔn)框架，用以規(guī)定客觀的、可重復(fù)的和可重現(xiàn)的評估方法和評估活動。

本文件未規(guī)定如何評估、采用或維持評估方法和評估活動。這些方面應(yīng)由那些在其感興趣的特定領(lǐng)

域內(nèi)提出評估方法和評估活動的相關(guān)方負(fù)責(zé)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T18336.1—202X信息安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第1部分：簡介和一般模型

GB/T18336.2—202X信息安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第2部分：安全功能組件

GB/T18336.3—202X信息安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第3部分：安全保障組件

GB/T30270—202X信息技術(shù)網(wǎng)絡(luò)安全和隱私保護(hù)信息技術(shù)安全評估準(zhǔn)則信息技術(shù)安全性評估

方法

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

在本文件中，GB/T18336.1、GB/T18336.3中給出的術(shù)語、定義和英文縮寫是適用的。

出于標(biāo)準(zhǔn)化的需求，ISO和IEC在以下網(wǎng)址建立了術(shù)語庫：

ISO在線瀏覽平臺：詳見/obp/。

IEC電子百科：詳見/。

4評估方法和評估活動的一般模型

概念和模型

GB/T30270定義了一組通用的工作單元，評估者通過執(zhí)行這些工作單元對GB/T18336.3中定義的

大多數(shù)保障類、族和組件做出判斷。GB/T18336.3的安全保障要求（SAR）的結(jié)構(gòu)與GB/T30270中的工

作單元之間的關(guān)系在GB/T30270中進(jìn)行了描述，并在圖1中進(jìn)行了總結(jié)。

1

GB/T18336.4—202X

類活動評估方法

組件子活動

評估者

行為

行為元素

開發(fā)者

行為元素

評估活動

內(nèi)容與工作單元

（派生工作單元）

形式元素

派生（n:m）

GB/T18336.3GB/T30270