信息技术安全评估通用准则(Common Criteria for Information Technology Security Evaluation,简称 CC)是目前产品安全认证行业内,国际领域最具权威、认可度最高、应用范围最广泛的标准。通过统一的安全评估框架,规范了对软件、硬件、固件及系统集成方案的安全能力评估,旨在为产品开发者、采购方、评估机构提供一套 “通用语言”,确保安全评估结果的一致性、互认性和可靠性。
各企业在开展产品安全认证时,经常面临国际CC与中国CC(IT产品信息安全认证评估保障级)的选择困惑。二者既有共性也有差异,明确其核心关联与关键差异,是高效推进认证工作的基础。
(1)核心关联
国际CC即ISO/IEC 15408《信息安全 网络安全 隐私保护 信息技术安全评估准则》,是全球通用的信息技术产品安全评估框架,全球18个国家具备发证能力,36个国家间互认;中国CC以GB/T 18336《网络安全技术 信息技术安全评估准则》为技术依据,本标准等同采用ISO/IEC 15408,是中国自成体系的本土化认证体系,不与国际CC互认,其标准在技术内容、安全等级划分及评估要求与国际ISO/IEC15408基本一致,同时更贴合国内实际应用场景,具备较好扩展性。
二者均遵循“安全目标确定—保护轮廓(PP)对照—产品符合性测试”的评估逻辑:先明确产品需满足的安全需求(安全目标,ST),参照行业通用安全基准(保护轮廓,PP),再通过第三方检测验证产品安全功能与安全保证措施是否达成预设安全目标。
(2)关键差异
互认范围不同:国际CC证书在CCRA互认成员国(如美国、欧盟成员国、日本等)具备相同效力,适用于产品出海场景;中国CC证书主要在国内市场被认可,国际市场需补充目标国指定机构的评估验证。
认证与检测机构不同:国际CC认证需由CCRA认可的国外机构执行,如美国(NIAP)、欧盟(CCEVS)等;中国CC认证与检测由国内机构执行,中国网络安全审查认证中心与市场监管大数据中心(简称CCRC)作为认证机构,承担IT产品信息安全评估保障级(EAL)认证工作,其中检测工作由授权的相关实验室开展。
(3)认证路径选择建议
如果产品仅面向国内市场,可聚焦中国CC认证,严格依据GB/T 18336开展,选择CCRC等国内指定机构,确保符合国内政务、金融等领域的合规要求;如果产品涉及出海,需先确认目标国家是否属于CCRA互认范围,从而选择国际CC或中国CC开展认证。
扫一扫
9577
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
