信息安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第4部分：評估方法和活動的規(guī)范框架-編制說明

一、工作簡況

1.1任務(wù)來源

根據(jù)國家標(biāo)準(zhǔn)化管理委員會2021年下達(dá)的國家標(biāo)準(zhǔn)制修訂計(jì)劃，《信息安全

技術(shù)信息技術(shù)安全評估準(zhǔn)則第4部分：評估方法和活動的規(guī)范框架》由中國信

息安全測評中心負(fù)責(zé)承辦，計(jì)劃號：XXXXXX。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技

術(shù)委員會歸口管理。

1.2主要起草單位和工作組成員

中國信息安全測評中心負(fù)責(zé)起草，中國電子技術(shù)標(biāo)準(zhǔn)研究院、中國網(wǎng)絡(luò)安全

審查技術(shù)與認(rèn)證中心、北京郵電大學(xué)、北京奇虎科技有限公司、國網(wǎng)新疆電力有

限公司電力科學(xué)研究院、啟明星辰等單位共同參與了該標(biāo)準(zhǔn)的起草工作。

1.3主要工作過程

1）2021年9月至10月，征集標(biāo)準(zhǔn)參編單位，成立標(biāo)準(zhǔn)編制組。

2）2021年11月-12月，召開項(xiàng)目啟動會，確定各參與單位任務(wù)分工，根據(jù)

項(xiàng)目進(jìn)度安排，完善標(biāo)準(zhǔn)草案，修訂出標(biāo)準(zhǔn)草案第一稿。

3）2022年2月24日，召開項(xiàng)目推進(jìn)會，確定核心標(biāo)準(zhǔn)編制組。

4）2022年2月-4月，對編制單位按五部分標(biāo)準(zhǔn)內(nèi)容和修訂難度進(jìn)行分組，

在標(biāo)準(zhǔn)草案第一稿的基礎(chǔ)上，完成兩次內(nèi)容修訂工作，準(zhǔn)備草案轉(zhuǎn)征求意見稿評

審。

5）2022.4.19，召開WG5工作組線上會議，征集組內(nèi)意見，并進(jìn)行草案轉(zhuǎn)征

求意見稿評審工作組投票。

6）2022.4.27，召開WG5工作組專家線上研討會，征集組內(nèi)專家意見。

7）2022.5月-6月，測評中心對標(biāo)準(zhǔn)文本進(jìn)行第三輪修訂工作。

8）2022.6月，標(biāo)準(zhǔn)試點(diǎn)驗(yàn)證工作正式啟動。

9）2022年7月21日，召開線上會議反饋修訂參與單位前期修訂工作評價

推進(jìn)會。

10）2022年7月-8月，組織部分參與單位針對術(shù)語部分與GB/T25069-2022

1

進(jìn)行比對分析。

11）2022年8月9日，召開GB/T18336.4標(biāo)準(zhǔn)文本質(zhì)量把關(guān)研討會。

12）2022年8月10日-9月15日，根據(jù)質(zhì)量把關(guān)會各專家意見進(jìn)行文本修

改；根據(jù)ISO/IEC15408-4-2022發(fā)布版（2022年8月10日發(fā)布）對文本進(jìn)行

校對。

13）2022年9月16日-9月22日，組織標(biāo)準(zhǔn)編制組對校對后的本部分標(biāo)準(zhǔn)

進(jìn)行意見反饋，標(biāo)準(zhǔn)編制組對本標(biāo)準(zhǔn)的格式和相關(guān)術(shù)語提出了建議。

14）2022年9月23日召開GB/T18336.4專家審查會，會上專家提出“進(jìn)一

步完善文字表述，力求準(zhǔn)確、易懂”，會后本標(biāo)準(zhǔn)編制組根據(jù)專家意見對標(biāo)準(zhǔn)的

文字和格式進(jìn)行了修訂，并對參與單位提出的意見進(jìn)行了梳理和處理。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

此標(biāo)準(zhǔn)使用等同采用的方式進(jìn)行修訂，等同采用IS0/IEC15408-4：202X

《Informationsecurity,cybersecurityandprivacyprotection—

EvaluationcriteriaforITsecurity—Part4:Frameworkforthe

specificationofevaluationmethodsandactivities》。ISO/IEC15408是

目前國際上對信息安全測評認(rèn)證最完善、最權(quán)威、應(yīng)用最廣、最具普適性的技術(shù)

標(biāo)準(zhǔn)，已在信息安全領(lǐng)域得到了廣泛認(rèn)可。國際標(biāo)準(zhǔn)化組織幾年前啟動了

ISO/IEC15408標(biāo)準(zhǔn)內(nèi)容的修訂工作，標(biāo)準(zhǔn)的內(nèi)容發(fā)生了較大變化，尤其是第四

部分是原標(biāo)準(zhǔn)的新增內(nèi)容，本標(biāo)準(zhǔn)英文原版已在2022年8月發(fā)布了最終版。為

了及時跟進(jìn)國際信息安全標(biāo)準(zhǔn)技術(shù)發(fā)展和最新動向，使其具有更好的時效性、連

貫性和可操作性，使我國在信息安全測評領(lǐng)域保持與國際同步的技術(shù)水平，同時

為開發(fā)者、使用者、測評者提供更為全面、科學(xué)、規(guī)范的標(biāo)準(zhǔn)指引。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

本標(biāo)準(zhǔn)一方面為信息技術(shù)產(chǎn)品的安全測評工作提供依據(jù)，另一方面為信息技

術(shù)產(chǎn)業(yè)提升產(chǎn)品安全性提供重要的指引。同時，本標(biāo)準(zhǔn)承擔(dān)單位長期從事基于

GB/T18336的測評工作，積累了大量經(jīng)驗(yàn)，參編單位包括國內(nèi)信息安全檢測機(jī)

構(gòu)、認(rèn)證機(jī)構(gòu)、信息技術(shù)產(chǎn)品及方案提供商等相關(guān)應(yīng)用單位，對于標(biāo)準(zhǔn)的落地實(shí)

施可起到良好作用。

基于標(biāo)準(zhǔn)內(nèi)容和適用范圍，試點(diǎn)驗(yàn)證工作擬通過網(wǎng)絡(luò)產(chǎn)品（硬件和軟件）相

關(guān)的Base-PP，防火墻PP-module，形成的防火墻產(chǎn)品PP-configuration及相關(guān)評

2

估活動（EvaluationActivity），來驗(yàn)證新標(biāo)準(zhǔn)中評估活動對我國網(wǎng)絡(luò)產(chǎn)品安全測評

的適用性和可操作性。。

四、知識產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)不涉及專利問題。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

依據(jù)此標(biāo)準(zhǔn)對信息技術(shù)產(chǎn)品測評的開展，為國家網(wǎng)絡(luò)安全保駕護(hù)航，對國家

網(wǎng)絡(luò)安全法律制度落地提供基礎(chǔ)支撐；為我國建成全方位信息技術(shù)產(chǎn)品安全性評

估標(biāo)準(zhǔn)體系，起到基礎(chǔ)框架作用，引領(lǐng)了我國網(wǎng)絡(luò)安全評估技術(shù)的發(fā)展；提升了

我國基礎(chǔ)軟硬件安全可控水平，為我國ICT產(chǎn)業(yè)國際競爭力的增強(qiáng)起到了規(guī)范

性、指導(dǎo)性作用，憑借GB/T18336與國際標(biāo)準(zhǔn)體系的接軌優(yōu)勢，助力多家國內(nèi)企

業(yè)走出國門。

六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況

本標(biāo)準(zhǔn)使用翻譯法等同采用ISO/IEC15408-4：2022《信息安全網(wǎng)絡(luò)安全

和隱私保護(hù)信息技術(shù)安全評估準(zhǔn)則第4部分：評估方法和活動的規(guī)范框架》編

制。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國家標(biāo)準(zhǔn)沒有沖突與矛盾的地方。

八、重大分歧意見的處理經(jīng)過和依據(jù)

無。

九、標(biāo)準(zhǔn)性質(zhì)的建議

建議本標(biāo)準(zhǔn)為推薦性國家標(biāo)準(zhǔn)。

十、貫徹標(biāo)準(zhǔn)的要求和措施建議

無。

十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議

建議本標(biāo)準(zhǔn)為推薦性國家標(biāo)準(zhǔn)，本文件和GB/T18336.3-202X、GB/T

18336.5-202X共同替代GB/T18336.3-2015。

十二、其它應(yīng)予說明的事項(xiàng)

無。

3

國家標(biāo)準(zhǔn)《信息安全技術(shù)信息技術(shù)安全評估準(zhǔn)則

第4部分：評估方法和活動的規(guī)范框架》編制工作組

2022年9月28日

4

一、工作簡況

1.1任務(wù)來源

根據(jù)國家標(biāo)準(zhǔn)化管理委員會2021年下達(dá)的國家標(biāo)準(zhǔn)制修訂計(jì)劃，《信息安全

技術(shù)信息技術(shù)安全評估準(zhǔn)則第4部分：評估方法和活動的規(guī)范框架》由中國信

息安全測評中心負(fù)責(zé)承辦，計(jì)劃號：XXXXXX。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技

術(shù)委員會歸口管理。

1.2主要起草單位和工作組成員

中國信息安全測評中心負(fù)責(zé)起草，中國電子技術(shù)標(biāo)準(zhǔn)研究院、中國網(wǎng)絡(luò)安全

審查技術(shù)與認(rèn)證中心、北京郵電大學(xué)、北京奇虎科技有限公司、國網(wǎng)新疆電力有

限公司電力科學(xué)研究院、啟明星辰等單位共同參與了該標(biāo)準(zhǔn)的起草工作。

1.3主要工作過程

1）2021年9月至10月，征集標(biāo)準(zhǔn)參編單位，成立標(biāo)準(zhǔn)編制組。

2）2021年11月-12月，召開項(xiàng)目啟動會，確定各參與單位任務(wù)分工，根據(jù)

項(xiàng)目進(jìn)度安排，完善標(biāo)準(zhǔn)草案，修訂出標(biāo)準(zhǔn)草案第一稿。

3）2022年2月24日，召開項(xiàng)目推進(jìn)會，確定核心標(biāo)準(zhǔn)編制組。

4）2022年2月-4月，對編制單位按五部分標(biāo)準(zhǔn)內(nèi)容和修訂難度進(jìn)行分組，

在標(biāo)準(zhǔn)草案第一稿的基礎(chǔ)上，完成兩次內(nèi)容修訂工作，準(zhǔn)備草案轉(zhuǎn)征求意見稿評

審。

5）2022.4.19，召開WG5工作組線上會議，征集組內(nèi)意見，并進(jìn)行草案轉(zhuǎn)征

求意見稿評審工作組投票。

6）2022.4.27，召開WG5工作組專家線上研討會，征集組內(nèi)專家意見。

7）2022.5月-6月，測評中心對標(biāo)準(zhǔn)文本進(jìn)行第三輪修訂工作。

8）2022.6月，標(biāo)準(zhǔn)試點(diǎn)驗(yàn)證工作正式啟動。

9）2022年7月21日，召開線上會議反饋修訂參與單位前期修訂工作評價

推進(jìn)會。

10）2022年7月-8月，組織部分參與單位針對術(shù)語部分與GB/T25069-2022

1

進(jìn)行比對分析。

11）2022年8月9日，召開GB/T18336.4標(biāo)準(zhǔn)文本質(zhì)量把關(guān)研討會。

12）2022年8月10日-9月15日，根據(jù)質(zhì)量把關(guān)會各專家意見進(jìn)行文本修

改；根據(jù)ISO/IEC15408-4-2022發(fā)布版（2022年8月10日發(fā)布）對文本進(jìn)行

校對。

13）2022年9月16日-9月22日，組織標(biāo)準(zhǔn)編制組對校對后的本部分標(biāo)準(zhǔn)

進(jìn)行意見反饋，標(biāo)準(zhǔn)編制組對本標(biāo)準(zhǔn)的格式和相關(guān)術(shù)語提出了建議。

14）2022年9月23日召開GB/T18336.4專家審查會，會上專家提出“進(jìn)一

步完善文字表述，力求準(zhǔn)確、易懂”，會后本標(biāo)準(zhǔn)編制組根據(jù)專家意見對標(biāo)準(zhǔn)的

文字和格式進(jìn)行了修訂，并對參與單位提出的意見進(jìn)行了梳理和處理。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

此標(biāo)準(zhǔn)使用等同采用的方式進(jìn)行修訂，等同采用IS0/IEC15408-4：202X

《Informationsecurity,cybersecurityandprivacyprotection—

EvaluationcriteriaforITsecurity—Part4:Frameworkforthe

specificationofevaluationmethodsandactivities》。ISO/IEC15408是

目前國際上對信息安全測評認(rèn)證最完善、最權(quán)威、應(yīng)用最廣、最具普適性的技術(shù)

標(biāo)準(zhǔn)，已在信息安全領(lǐng)域得到了廣泛認(rèn)可。國際標(biāo)準(zhǔn)化組織幾年前啟動了

ISO/IEC15408標(biāo)準(zhǔn)內(nèi)容的修訂工作，標(biāo)準(zhǔn)的內(nèi)容發(fā)生了較大變化，尤其是第四

部分是原標(biāo)準(zhǔn)的新增內(nèi)容，本標(biāo)準(zhǔn)英文原版已在2022年8月發(fā)布了最終版。為

了及時跟進(jìn)國際信息安全標(biāo)準(zhǔn)技術(shù)發(fā)展和最新動向，使其具有更好的時效性、連

貫性和可操作性，使我國在信息安全測評領(lǐng)域保持與國際同步的技術(shù)水平，同時

為開發(fā)者、使用者、測評者提供更為全面、科學(xué)、規(guī)范的標(biāo)準(zhǔn)指引。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

本標(biāo)準(zhǔn)一方面為信息技術(shù)產(chǎn)品的安全測評工作提供依據(jù)，另一方面為信息技

術(shù)產(chǎn)業(yè)提升產(chǎn)品安全性提供重要的指引。同時，本標(biāo)準(zhǔn)承擔(dān)單位長期從事基于

GB/T18336的測評工作，積累了大量經(jīng)驗(yàn)，參編單位包括國內(nèi)信息安全檢測機(jī)

構(gòu)、認(rèn)證機(jī)構(gòu)、信息技術(shù)產(chǎn)品及方案提供商等相關(guān)應(yīng)用單位，對于標(biāo)準(zhǔn)的落地實(shí)

施可起到良好作用。

基于標(biāo)準(zhǔn)內(nèi)容和適用范圍，試點(diǎn)驗(yàn)證工作擬通過網(wǎng)絡(luò)產(chǎn)品（硬件和軟件）相

關(guān)的Base-PP，防火墻PP-module，形成的防火墻產(chǎn)品PP-configuration及相關(guān)評

2

估活動（EvaluationActivity），來驗(yàn)證新標(biāo)準(zhǔn)中評估活動對我國網(wǎng)絡(luò)產(chǎn)品安全測評

的適用性和可操作性。。

四、知識產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)不涉及專利問題。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

依據(jù)此標(biāo)準(zhǔn)對信息技術(shù)產(chǎn)品測評的開展，為國家網(wǎng)絡(luò)安全保駕護(hù)航，對國家

網(wǎng)絡(luò)安全法律制度落地提供基礎(chǔ)支撐；為我國建成全方位信息技術(shù)產(chǎn)品安全性評

估標(biāo)準(zhǔn)體系，起到基礎(chǔ)框架作用，引領(lǐng)了我國網(wǎng)絡(luò)安全評估技術(shù)的發(fā)