关于资讯产品信息安全的评估,相关的评估要求准则包含在ISO/IEC 15408 “通用准则”第1 - 3部分,而”通用测试方法”则包含在ISO/IEC 18045中。
这些文件为IT产品的信息安全评估提供了一个国际认可的框架,并详细说明了从网络安全方面考虑,IT设备的设计、开发和评估普遍认可的标准。世界各地的政府机构和公司将视满足这些文件所示的标准为采购IT设备的先决条件。
简而言之,按照“通用标准”进行的评估包括两个品质保证方面:
第一是资讯安全保证要求的评估(SARs=Security Assurance Requirements),它需要审查指定IT系统和设备的开发和评估全过程,以评估是否符合规定的安全功能。 因此,评估情况将取决于产品的预期用途及其预期的风险条件。
第二是评价保证水平(EA= evaluation assurance level),即评价过程本身的深度和严谨性评估。EAL范围从代表最基本的网络安全评估级别的EAL1到代表验证所声称的网络安全级别的最严格的过程的EAL7,由于EAL只涉及评估过程本身,因此EAL值越高并不一定意味着设备越安全。
Nemko为客户提供最常见的EAL 1-5的必要评估服务,同时可以指导客户,帮助客户证明他们的产品符合“通用标准”。更多信息,请联系我们。