關於資訊產品資訊安全的評估,相關的評估要求準則包含在ISO/IEC 15408 “通用準則”第1 - 3部分,而”通用測試方法”則包含在ISO/IEC 18045中。
這些檔為IT產品的資訊安全評估提供了一個國際認可的框架,並詳細說明了從網路安全方面考慮,IT設備的設計、開發和評估普遍認可的標準。世界各地的政府機構和公司將視滿足這些檔所示的標準為採購IT設備的先決條件。
簡而言之,按照“通用標準”進行的評估包括兩個品質保證方面:
第一是資訊安全保證要求的評估(SARs=Security Assurance Requirements),它需要審查指定IT系統和設備的開發和評估全過程,以評估是否符合規定的安全功能。因此,評估情況將取決於產品的預期用途及其預期的風險條件。
第二是評價保證水準(EA= evaluation assurance level),即評價過程本身的深度和嚴謹性評估。EAL範圍從代表最基本的網路安全評估級別的EAL1到代表驗證所聲稱的網路安全級別的最嚴格的過程的EAL7,由於EAL只涉及評估過程本身,因此EAL值越高並不一定意味著設備越安全。
Nemko為客戶提供最常見的EAL 1-5的必要評估服務,同時可以指導客戶,説明客戶證明他們的產品符合“通用標準”。更多資訊,請聯繫我們。