信息安全、网络安全和隐私保护 - IT安全评估准则 - 第4部分:评估方法和活动规范的框架 (ISO/IEC 15408-4:2022) Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 4: Framework for the specification of evaluation methods and activities 标准发布组织为ISO/IEC,国际组织机构所属ISO/IEC JTC 1/SC 27。
ISO/IEC15408-4:2022是信息技术安全评估通用准则(CommonCriteria)的第四部分,主要规定了安全评估过程中评估者(即测试实验室)的行为准则和要求。它详细描述了评估方法学、评估者需遵循的流程、评估证据的生成和记录要求,以及评估报告的编制规范。该标准适用于指导评估机构对IT产品的安全功能进行独立、客观的验证和确认,确保评估过程的一致性、可重复性和公正性,为安全评估结果的可信度提供技术保障。其适用范围涵盖所有依据CC标准进行安全认证的IT产品或保护轮廓(PP)的评估活动。