信息安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第1部分：簡介和一般模型-編制說明

一、工作簡況

1.1任務(wù)來源

根據(jù)國家標(biāo)準(zhǔn)化管理委員會2021年下達(dá)的國家標(biāo)準(zhǔn)制修訂計(jì)劃，《信息安全

技術(shù)信息技術(shù)安全評估準(zhǔn)則第1部分：簡介和一般模型》由中國信息安全測評

中心負(fù)責(zé)承辦，計(jì)劃號：XXXXXX。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸

口管理。

1.2主要起草單位和工作組成員

中國信息安全測評中心（以下簡稱測評中心）負(fù)責(zé)起草，公安部第三研究所、

中國電子科技集團(tuán)公司第十五研究所、清華大學(xué)、吉林信息安全測評中心、華為

技術(shù)有限公司、北京快手科技有限公司、北京大學(xué)、紫光同芯微電子有限公司等

單位共同參與了該標(biāo)準(zhǔn)的起草工作。

1.3主要工作過程

1）2021年9月至10月，征集標(biāo)準(zhǔn)參編單位，成立標(biāo)準(zhǔn)編制組。

2）2021年11月-12月，召開項(xiàng)目啟動會，確定各參與單位任務(wù)分工，根據(jù)

項(xiàng)目進(jìn)度安排，完善標(biāo)準(zhǔn)草案，測評中心在ISO/IEC15408的DIS版本上，修訂出

標(biāo)準(zhǔn)草案第一稿，梳理出新修訂標(biāo)準(zhǔn)中模塊化、多重保障級等新增加內(nèi)容。

3）2022年2月24日，召開項(xiàng)目推進(jìn)會，按照標(biāo)準(zhǔn)文本編制組、試點(diǎn)驗(yàn)證

組和國際研究組，確定出各組核心成員單位。

4）2022年2月-4月，對編制單位按五部分標(biāo)準(zhǔn)內(nèi)容和修訂難度進(jìn)行分組，

在標(biāo)準(zhǔn)草案第一稿的基礎(chǔ)上，先后完成兩次標(biāo)準(zhǔn)內(nèi)容的修訂工作，包含草案標(biāo)準(zhǔn)

內(nèi)容與ISO/IEC15408的FDIS版本的比較、按照GB1.1和GB1.2的要求對標(biāo)準(zhǔn)格

式和內(nèi)容進(jìn)行修改，準(zhǔn)備草案轉(zhuǎn)征求意見稿評審。

5）2022.4.19，召開WG5工作組線上會議，征集組內(nèi)意見，并進(jìn)行草案轉(zhuǎn)征

求意見稿評審工作組投票。

6）2022.4.27，召開WG5工作組專家線上研討會，征集組內(nèi)專家意見。

7）2022.5月-6月，測評中心對標(biāo)準(zhǔn)文本進(jìn)行第三輪修訂工作，重點(diǎn)對標(biāo)準(zhǔn)

中的長難句進(jìn)行梳理。

1

8）2022.6月，標(biāo)準(zhǔn)試點(diǎn)驗(yàn)證工作正式啟動。

9）2022年7月21日，召開線上會議反饋修訂參與單位前期修訂工作評價(jià)

推進(jìn)會。

10）2022年7月-8月，組織部分參與單位針對術(shù)語部分與GB/T25069-2022

進(jìn)行比對分析。

11）2022年8月9日，召開GB/T18336.1標(biāo)準(zhǔn)文本質(zhì)量把關(guān)研討會，根據(jù)

專家意見對標(biāo)準(zhǔn)中的“組合評估”和“復(fù)合評估”進(jìn)行區(qū)分。

12）2022年8月10日-9月15日，根據(jù)質(zhì)量把關(guān)會各專家意見進(jìn)行文本修

改；根據(jù)ISO/IEC15408-1-2022發(fā)布版（2022年8月10日發(fā)布）對文本進(jìn)行

校對；編制組使用SET2020標(biāo)準(zhǔn)模板工具，將標(biāo)準(zhǔn)工作組討論稿進(jìn)行格式編排和

文本校對。

13）2022年9月23日，通過安標(biāo)委秘書處組織召開的標(biāo)準(zhǔn)轉(zhuǎn)公開征求意見

稿評審會。

14）2022年9月23日-28日，項(xiàng)目組根據(jù)轉(zhuǎn)公開征求意見稿評審會專家意

見，進(jìn)行文本等的修改工作，最終形成標(biāo)準(zhǔn)征求意見稿。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

此標(biāo)準(zhǔn)使用等同采用的方式進(jìn)行修訂，等同采用IS0/IEC15408-1：2022

《Informationsecurity,cybersecurityandprivacyprotection—

EvaluationcriteriaforITsecurity—Part1:Introductionandgeneral

model》。ISO/IEC15408是目前國際上對信息安全測評認(rèn)證最完善、最權(quán)威、應(yīng)

用最廣、最具普適性的技術(shù)標(biāo)準(zhǔn)，已在信息安全領(lǐng)域得到了廣泛認(rèn)可。國際標(biāo)準(zhǔn)

化組織幾年前啟動了ISO/IEC15408標(biāo)準(zhǔn)內(nèi)容的修訂工作，標(biāo)準(zhǔn)的內(nèi)容發(fā)生了較

大變化，并將于今年內(nèi)或明年初發(fā)布最終版。為了及時(shí)跟進(jìn)國際信息安全標(biāo)準(zhǔn)技

術(shù)發(fā)展和最新動向，使其具有更好的時(shí)效性、連貫性和可操作性，使我國在信息

安全測評領(lǐng)域保持與國際同步的技術(shù)水平，同時(shí)為開發(fā)者、使用者、測評者提供

更為全面、科學(xué)、規(guī)范的標(biāo)準(zhǔn)指引。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

本標(biāo)準(zhǔn)一方面為信息技術(shù)產(chǎn)品的安全測評工作提供依據(jù)，另一方面為信息技

術(shù)產(chǎn)業(yè)提升產(chǎn)品安全性提供重要的指引。同時(shí)，本標(biāo)準(zhǔn)承擔(dān)單位長期從事基于

GB/T18336的測評工作，積累了大量經(jīng)驗(yàn)，參編單位包括國內(nèi)信息安全檢測機(jī)

2

構(gòu)、認(rèn)證機(jī)構(gòu)、信息技術(shù)產(chǎn)品及方案提供商等相關(guān)應(yīng)用單位，對于標(biāo)準(zhǔn)的落地實(shí)

施可起到良好作用。

基于標(biāo)準(zhǔn)內(nèi)容和適用范圍，本試點(diǎn)工作選取了四個(gè)技術(shù)驗(yàn)證方向，涵蓋五類

信息技術(shù)產(chǎn)品，具體包括高保障級測評、網(wǎng)絡(luò)產(chǎn)品新變化、新技術(shù)新應(yīng)用、新法

律法規(guī)熱點(diǎn)等方向，覆蓋智能芯片、手機(jī)終端、智能家居產(chǎn)品、防火墻產(chǎn)品、數(shù)

據(jù)安全產(chǎn)品等。

1、高保障級測評方向

擬驗(yàn)證標(biāo)準(zhǔn)中的高保障級相關(guān)安全保障要求對國產(chǎn)智能芯片類產(chǎn)品的適用

性。在分析通過國際EAL6及以上測評基礎(chǔ)上，通過智能芯片類產(chǎn)品在結(jié)構(gòu)合理

性分析、代碼復(fù)雜度分析、完全形式化安全功能模型等方面的測評，來驗(yàn)證國產(chǎn)

芯片類產(chǎn)品高保障級相關(guān)安全保障要求的滿足性和自測的充分性。

2、網(wǎng)絡(luò)產(chǎn)品新變化方向

擬通過網(wǎng)絡(luò)產(chǎn)品（硬件和軟件）相關(guān)的Base-PP，防火墻PP-module，形成的

防火墻產(chǎn)品PP-configuration，來驗(yàn)證模塊化評估對我國網(wǎng)絡(luò)產(chǎn)品安全測評的適用

性和可操作性。

3、新技術(shù)新應(yīng)用方向

擬依據(jù)GB/T18336對手機(jī)終端、智能家居產(chǎn)品等新型信息技術(shù)產(chǎn)品進(jìn)行安

全性分析。重點(diǎn)對手機(jī)終端產(chǎn)品分析模塊化評估的適用性和可操作性。對智能家

居IoT相關(guān)產(chǎn)品，重點(diǎn)驗(yàn)證在GB/T18336框架下，用戶數(shù)據(jù)和隱私類相關(guān)安全功

能要求的適用性，并結(jié)合相關(guān)的自測驗(yàn)證產(chǎn)品安全功能對安全組件的滿足性。

4、新法律法規(guī)熱點(diǎn)方向

擬驗(yàn)證標(biāo)準(zhǔn)對數(shù)據(jù)安全產(chǎn)品中數(shù)據(jù)隱私保護(hù)等方面測評應(yīng)用的適用性和可

操作性，在GB/T18336框架下撰寫相關(guān)安全目標(biāo)（ST），并與我國現(xiàn)有法律法規(guī)、

標(biāo)準(zhǔn)要求進(jìn)行對比分析。

四、知識產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)不涉及專利問題。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

依據(jù)此標(biāo)準(zhǔn)對信息技術(shù)產(chǎn)品測評的開展，為國家網(wǎng)絡(luò)安全保駕護(hù)航，對國家

網(wǎng)絡(luò)安全法律制度落地提供基礎(chǔ)支撐；為我國建成全方位信息技術(shù)產(chǎn)品安全性評

估標(biāo)準(zhǔn)體系，起到基礎(chǔ)框架作用，引領(lǐng)了我國網(wǎng)絡(luò)安全評估技術(shù)的發(fā)展；提升了

3

我國基礎(chǔ)軟硬件安全可控水平，為我國ICT產(chǎn)業(yè)國際競爭力的增強(qiáng)起到了規(guī)范

性、指導(dǎo)性作用，憑借GB/T18336與國際標(biāo)準(zhǔn)體系的接軌優(yōu)勢，助力多家國內(nèi)企

業(yè)走出國門。

六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況

本標(biāo)準(zhǔn)使用翻譯法等同采用ISO/IEC15408-1：2022《信息安全網(wǎng)絡(luò)安全

和隱私保護(hù)信息技術(shù)安全評估準(zhǔn)則—第1部分：簡介和一般模型》編制。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國家標(biāo)準(zhǔn)沒有沖突與矛盾的地方。

八、重大分歧意見的處理經(jīng)過和依據(jù)

無。

九、標(biāo)準(zhǔn)性質(zhì)的建議

建議本標(biāo)準(zhǔn)為推薦性國家標(biāo)準(zhǔn)。

十、貫徹標(biāo)準(zhǔn)的要求和措施建議

無。

十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議

建議本標(biāo)準(zhǔn)為推薦性國家標(biāo)準(zhǔn)，替代GB/T18336.1-2015。

十二、其它應(yīng)予說明的事項(xiàng)

無。

國家標(biāo)準(zhǔn)《信息安全技術(shù)信息技術(shù)安全評估準(zhǔn)則

第1部分：簡介和一般模型》編制工作組

2022年9月28日

4

一、工作簡況

1.1任務(wù)來源

根據(jù)國家標(biāo)準(zhǔn)化管理委員會2021年下達(dá)的國家標(biāo)準(zhǔn)制修訂計(jì)劃，《信息安全

技術(shù)信息技術(shù)安全評估準(zhǔn)則第1部分：簡介和一般模型》由中國信息安全測評

中心負(fù)責(zé)承辦，計(jì)劃號：XXXXXX。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸

口管理。

1.2主要起草單位和工作組成員

中國信息安全測評中心（以下簡稱測評中心）負(fù)責(zé)起草，公安部第三研究所、

中國電子科技集團(tuán)公司第十五研究所、清華大學(xué)、吉林信息安全測評中心、華為

技術(shù)有限公司、北京快手科技有限公司、北京大學(xué)、紫光同芯微電子有限公司等

單位共同參與了該標(biāo)準(zhǔn)的起草工作。

1.3主要工作過程

1）2021年9月至10月，征集標(biāo)準(zhǔn)參編單位，成立標(biāo)準(zhǔn)編制組。

2）2021年11月-12月，召開項(xiàng)目啟動會，確定各參與單位任務(wù)分工，根據(jù)

項(xiàng)目進(jìn)度安排，完善標(biāo)準(zhǔn)草案，測評中心在ISO/IEC15408的DIS版本上，修訂出

標(biāo)準(zhǔn)草案第一稿，梳理出新修訂標(biāo)準(zhǔn)中模塊化、多重保障級等新增加內(nèi)容。

3）2022年2月24日，召開項(xiàng)目推進(jìn)會，按照標(biāo)準(zhǔn)文本編制組、試點(diǎn)驗(yàn)證

組和國際研究組，確定出各組核心成員單位。

4）2022年2月-4月，對編制單位按五部分標(biāo)準(zhǔn)內(nèi)容和修訂難度進(jìn)行分組，

在標(biāo)準(zhǔn)草案第一稿的基礎(chǔ)上，先后完成兩次標(biāo)準(zhǔn)內(nèi)容的修訂工作，包含草案標(biāo)準(zhǔn)

內(nèi)容與ISO/IEC15408的FDIS版本的比較、按照GB1.1和GB1.2的要求對標(biāo)準(zhǔn)格

式和內(nèi)容進(jìn)行修改，準(zhǔn)備草案轉(zhuǎn)征求意見稿評審。

5）2022.4.19，召開WG5工作組線上會議，征集組內(nèi)意見，并進(jìn)行草案轉(zhuǎn)征

求意見稿評審工作組投票。

6）2022.4.27，召開WG5工作組專家線上研討會，征集組內(nèi)專家意見。

7）2022.5月-6月，測評中心對標(biāo)準(zhǔn)文本進(jìn)行第三輪修訂工作，重點(diǎn)對標(biāo)準(zhǔn)

中的長難句進(jìn)行梳理。

1

8）2022.6月，標(biāo)準(zhǔn)試點(diǎn)驗(yàn)證工作正式啟動。

9）2022年7月21日，召開線上會議反饋修訂參與單位前期修訂工作評價(jià)

推進(jìn)會。

10）2022年7月-8月，組織部分參與單位針對術(shù)語部分與GB/T25069-2022

進(jìn)行比對分析。

11）2022年8月9日，召開GB/T18336.1標(biāo)準(zhǔn)文本質(zhì)量把關(guān)研討會，根據(jù)

專家意見對標(biāo)準(zhǔn)中的“組合評估”和“復(fù)合評估”進(jìn)行區(qū)分。

12）2022年8月10日-9月15日，根據(jù)質(zhì)量把關(guān)會各專家意見進(jìn)行文本修

改；根據(jù)ISO/IEC15408-1-2022發(fā)布版（2022年8月10日發(fā)布）對文本進(jìn)行

校對；編制組使用SET2020標(biāo)準(zhǔn)模板工具，將標(biāo)準(zhǔn)工作組討論稿進(jìn)行格式編排和

文本校對。

13）2022年9月23日，通過安標(biāo)委秘書處組織召開的標(biāo)準(zhǔn)轉(zhuǎn)公開征求意見

稿評審會。

14）2022年9月23日-28日，項(xiàng)目組根據(jù)轉(zhuǎn)公開征求意見稿評審會專家意

見，進(jìn)行文本等的修改工作，最終形成標(biāo)準(zhǔn)征求意見稿。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

此標(biāo)準(zhǔn)使用等同采用的方式進(jìn)行修訂，等同采用IS0/IEC15408-1：2022

《Informationsecurity,cybersecurityandprivacyprotection—

EvaluationcriteriaforITsecurity—Part1:Introductionandgeneral

model》。ISO/IEC15408是目前國際上對信息安全測評認(rèn)證最完善、最權(quán)威、應(yīng)

用最廣、最具普適性的技術(shù)標(biāo)準(zhǔn)，已在信息安全領(lǐng)域得到了廣泛認(rèn)可。國際標(biāo)準(zhǔn)

化組織幾年前啟動了ISO/IEC15408標(biāo)準(zhǔn)內(nèi)容的修訂工作，標(biāo)準(zhǔn)的內(nèi)容發(fā)生了較

大變化，并將于今年內(nèi)或明年初發(fā)布最終版。為了及時(shí)跟進(jìn)國際信息安全標(biāo)準(zhǔn)技

術(shù)發(fā)展和最新動向，使其具有更好的時(shí)效性、連貫性和可操作性，使我國在信息

安全測評領(lǐng)域保持與國際同步的技術(shù)水平，同時(shí)為開發(fā)者、使用者、測評者提供

更為全面、科學(xué)、規(guī)范的標(biāo)準(zhǔn)指引。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

本標(biāo)準(zhǔn)一方面為信息技術(shù)產(chǎn)品的安全測評工作提供依據(jù)，另一方面為信息技

術(shù)產(chǎn)業(yè)提升產(chǎn)品安全性提供重要的指引。同時(shí)，本標(biāo)準(zhǔn)承擔(dān)單位長期從事基于

GB/T18336的測評工作，積累了大量經(jīng)驗(yàn)，參編單位包括國內(nèi)信息安全檢測機(jī)

2

構(gòu)、認(rèn)證機(jī)構(gòu)、信息技術(shù)產(chǎn)品及方案提供商等相關(guān)應(yīng)用單位，對于標(biāo)準(zhǔn)的落地實(shí)

施可起到良好作用。

基于標(biāo)準(zhǔn)內(nèi)容和適用范圍，本試點(diǎn)工作選取了四個(gè)技術(shù)驗(yàn)證方向，涵蓋五類

信息技術(shù)產(chǎn)品，具體包括高保障級測評、網(wǎng)絡(luò)產(chǎn)品新變化、新技術(shù)新應(yīng)用、新法

律法規(guī)熱點(diǎn)等方向，覆蓋智能芯片、手機(jī)終端、智能家居產(chǎn)品、防火墻產(chǎn)品、數(shù)

據(jù)安全產(chǎn)品等。

1、高保障級測評方向

擬驗(yàn)證標(biāo)準(zhǔn)中的高保障級相關(guān)安全保障要求對國產(chǎn)智能芯片類產(chǎn)品的適用

性。在分析通過國際EAL6及以上測評基礎(chǔ)上，通過智能芯片類產(chǎn)品在結(jié)構(gòu)合理

性分析、代碼復(fù)雜度分析、完全形式化安