ICS 35.040 L 80 GB 中华人民共和国国家标准 GB/T 30270--2013/IS0/IEC18045:2005 信息技术 安全技术 信息技术安全性评估方法 Information technologySecurity technology- Methodology for IT security evaluation (ISO/IEC 18045:2005,IDT) 2013-12-31发布 2014-07-15实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T30270—2013/ISO/IEC18045:2005 目 次 前言 引言 范围 2 规范性引用文件 3 术语和定义 缩略语 5 概述 6 文档约定 6.1 行文方式 6.2 动词用法 6.3 通川评估指南 6.1 IS()/IEC15408和本标准结构间的关系 6.5 评估者裁定 通用评估任务 7.1 简介 7.2 评估输入任务 7.3 评估输出任务 8 保护轮哪评估· 8.1 简介 8.2 PP评估相互.关系 1_ 8.3 PP评估活动 12 ASE类：安全目标评估· 9.1 简介 28 9.2 ST评估相h.关系 28 9.3 ST评估活动 10 EAI.1评估 10.1 简介 10.2 日的 10.3 EALI评估相T.关系 10.4 配置管理活动 5() 10.5 交付和运行活动 10.6 开发活动 10.7 指导性文档活动 56 10.8 测试活动 64) EAI.2评估 63 GB/T30270—2013/ISO/IEC18045:2005 11. 1 简介 11.2 日的 6-1 11.3 EAL2评估相互关系 11.1 配置管理活动 6·1 11.5 交付和运行活动 66 11.6 开发活动 68 11.7 指导性文档活动 11.8 测试活动 78 11.9 脆弱性评定活动 12EAL3评估 12.1 简介 t6 12.2 日的 94 12.3 EAL3评估相关系 12. 1 配置管理活动 f6 12.5 交付和运行活动 98 12.6 开发活动 100 12.7 指导性文档活动 107 12.8 生命周期支持活动 112 12.9 测试活动…· 111 12.10 脆弱性评定活动 126 13 EAL4评估 13↓ 13.1 简介 134 13.2 日的 134 13.3 EAL4评估相互关系 135 13.1 配置管理活动· 135 13.5 交付和运行活动 13.6 开发活动 141 13.7 指导性文档活动…· 159 13.8 生命周期支持活动· 163 13.9 测试活动 167 13.10 脆弱性评定活动 179 1+ 缺陷纠正子活动· 193 11.1缺陷纠正评估（AIC_FIR.1) 193 1.1.2 缺陷纠正评估（ALC_FI.R.2） 194 1-1.3 缺陷纠正评估（ALC_FLR.3） 197 附录A（规范性附录） 通用评估指南 202 GB/T30270—2013/IS0/IEC 18045:2005 前言 本标准按照（BT1.12009给出的规则起草 本标准采用翻译法等同采用[国际标准IS）IE18015：2005/信息技术 安全技术 交信息技术安企 性评估方法》。 与本标准中规范性引用的国际文件有·致性对应关系的我文件如下： GB/T18336-2008信息技术 安全技术信息技术安全性评估准则（IS0）IEC15108： 2005.IDT) 本标准由全国信息安全标准化技术委员会（S.ACTC260)提出并明11 本标准主要起草单位：中国信息安全测评中心、吉林信息安全测评中心、华中信息安全测评中心 本标准主要起草人：李守鹏、吴世忠、黄儿飞、李斌、刘晖、刘春明、郭颖、付敏、谭运猛、徐长醒 宋小龙、简余良、郭涛、甘杰夫、张宝峰、法松、杨永生、毕海英、高金萍、王峰、李凤娟、唐喜庆、曾华春 GB/T30270—2013/IS0/IEC18045:2005 引 本标准提出的信息技术（IT）安全性评估方法仪限于对ISO）IEC15108中定义的EAL1～EAL+评 估.不提供EAIL5～EAL7及其他保证包的评估指南 本标准的读者对象主要是采用1S(),IE（15108的评估者和确认评估者行为的认证者.以及评估发 起者、开发者、PPST作者和其他对IT安全感兴趣的闭体 本标准并不能解决所有有关IT安企评估的问题.有些问题还需要进·步的解释：这些解释将由 各评估体制决定如何处理.即使它们要遵从多方互认协议：可以出各体制处理的评估方法相关活动列 表见附录A 本标准提出了依据IS().IEC15108《信息技术 安全技术 信息技术安全性评估准则》进行信息技 术安全评估时的评估方法.是IS）IE°15108的配套标准 GB/T30270—2013/IS0/IEC18045:2005 引 本标准提出的信息技术（IT）安全性评估方法仪限于对ISO）IEC15108中定义的EAL1～EAL+评 估.不提供EAIL5～EAL7及其他保证包的评估指南 本标准的读者对象主要是采用1S(),IE（15108的评估者和确认评估者行为的认证者.以及评估发 起者、开发者、PPST作者和其他对IT安全感兴趣的闭体 本标准并不能解决所有有关IT安企评估的问题.有些问题还需要进·步的解释：这些解释将由 各评估体制决定如何处理.即使它们要遵从多方互认协议：可以出各体制处理的评估方法相关活动列 表见附录A 本标准提出了依据IS().IEC15108《信息技术 安全技术 信息技术安全性评估准则》进行信息技 术安全评估时的评估方法.是IS）IE°15108的配套标准 GB/T30270—2013/IS0/IEC18045:2005 引 本标准提出的信息技术（IT）安全性评估方法仪限于对ISO）IEC15108中定义的EAL1～EAL+评 估.不提供EAIL5～EAL7及其他保证包的评估指南 本标准的读者对象主要是采用1S(),IE（15108的评估者和确认评估者行为的认证者.以及评估发 起者、开发者、PPST作者和其他对IT安全感兴趣的闭体 本标准并不能解决所有有关IT安企评估的问题.有些问题还需要进·步的解释：这些解释将由 各评估体制决定如何处理.即使它们要遵从多方互认协议：可以出各体制处理的评估方法相关活动列 表见附录A 本标准提出了依据IS().IEC15108《信息技术 安全技术 信息技术安全性评估准则》进行信息技 术安全评估时的评估方法.是IS）IE°15108的配套标准