网络安全通用标准评估和认证

ISO/IEC 15408-1: 2009,“信息技术–安全技术– IT安全评估标准–第1部分:简介和通用模式”,提供了国际通认的信息技术设备 (ITE)安全评估的框架 该标准称为“通用标准”,详细介绍了IT设备设计、开发和评估时在网络安全方面需要考虑的通用标准。

简而言之, 依据ISO/IEC 15048 -1中详述的通用标准的评估包括两个质量保证方面。 首先是对安全保证要求(SAR)的评估,即审核在开发和评估特定IT系统或设备期间采取的程序,以评估是否符合规定的安全功能。 安全功能要求可能因设备而异,具体取决于设备的预期用途和预期的风险环境。

第二方面,评估保证级别(EAL)审核评估过程本身的深度和严谨性。 EAL分为从代表最基本网络安全评估级别的EAL 1到代表验证所声称的网络安全级别的最严格程序的EAL 7。 重要的是要注意,EAL只是对评估过程本身严格性的审核,而EAL较高的ITE不一定意味着设备更安全。

依据ISO/IEC 15408-1中详述的通用标准进行认证可以确保对ITE的网络安全性的特定主张进行全面而严格的评估。 因此,该通用标准已被世界各地的许多政府机构和公司采用,符合该标准被当做从第三方购买ITE的先决条件。

Nemko如何提供帮助

Nemko可以根据ISO/IEC 15408-1中详述的通用标准要求,为您的组织提供有关IT设备评估的全面指导, 指导内容包括:

  • 保护配置文件评估-保护配置文件(PP)是适用于特定类型的安全设备的一组安全要求。 采购组织可能会要求第三方供应商提供证据,证明其产品设计符合一个或多个PP的要求。 Nemko专家可以与您一起评估设备是否符合相关PP的规定,并提供证明支持您的诉求。
  • EAL /安全目标(ST)评估-PP评估的结果被用来作为定义指定设备必需的安全属性(也称为安全目标(ST))的基础,并建立推荐的EAL。 Nemko专家可以评估您的设备是否符合所要求的ST和必要的EAL。
  • 除了这些特定的服务之外,Nemko还可以在执行正式的安全分析之前进行初步的功能差距评估(FGA), 以帮助您识别需要进一步开发的安全问题。 我们还可以进行正式的认证评估,以确保您的ITE满足基本的通用标准要求。

与Nemko合作的好处

与Nemko建立合作伙伴关系, 可以使您的组织在应对当今网络安全形势的挑战时具备多个重要优势。 这些好处包括:

  • 认可的网络安全专业资源— Nemko 在2020年收购的Systemsikkerhet公司是挪威最早的信息安全咨询公司,也是挪威国家安全局认可的四个信息安全测试实验室之一。 
  • 积极参与标准的开发和实施-Nemko技术专业人员积极参与开发最新的网络安全标准和协议的工作,并且掌握丰富的有助于提高安全性的新要求的知识。
  • 一站式解决方案- Nemko具备在网络安全、产品安全、无线电/电信和电磁兼容性(EMC)方面综合的专业知识,可以为寻求其IT系统和设备提供全面测试和认证服务的制造商提供强大的一站式解决方案。 

全球支持-Nemko在全球六大洲拥有近30个服务地点,可以为您的产品提供支持,无论您身在何处,目标市场在哪,我们都能支持您的产品实现全球市场准入。

更多有关Nemko如何帮助您的组织应对当前和新兴的网络安全挑战的信息,请联系我们