信息安全技術 (CC, ISO/IEC 15408) 評估、檢測與認證服務


信息技術安全評估準則 (Common Criteria for IT Security Evaluation, ISO/IEC 15408) 一般業界簡稱 "CC" 標準,可以應用在下列幾方面的認證:

  1. 安全規格認證:
    • 保護描繪 (PP, Protection Profile) 認證:針對某ㄧ類型 (例如,防火牆、晶片...等) 產品所以用的安全技術要求進行認證,規範這一類的產品,“必須” 使用或者提供某些安全機制 (例如,加/解密演算法),來符合客戶的要求。通常是由協會、團體、主管機關 (尤其是涉及敏感資料的政府單位制定,用來作為資訊處理設備採購的安全規範)或者軍方來發起。
    • 安全目標 (ST, Security Target) 認證:開發商針對單一或特定產品的安全技術要求進行認證; 通常由產品或安全技術開發商來發起,或者,客戶要求 (例如,金融機構 )
  2. 評估標的 (TOE, Target of Evaluation)認證:通常由單一 (或結合已經認證過的) 產品或技術來取得 TOE 認證。這類的認證通常會由產品開發商提出,或者客戶要求。目的是為了證明產品符合安全規格 (特別在資訊加解密演算法與金鑰保護技術),並且滿足 CC 預先定義的安全技術評估等級 (EAL, evaluation assurace level 1 ~ 7) 的要求。
  3. 開發商環境現場驗證 (Site Security Certification):TOE 認證過程當中,開發商必須確保 TOE 的生命週期符合 CC 的安全要求,發證機構都常會安排開發商現場安全審核 (Site audit)
  4. 生產製造商環境現場認證 (Site Security Certification):是針對生產製造作業廠址,確保生產製造過程的安全性,符合產品認證等級的要求,該認證屬於作業廠址所屬公司所擁有。通過現場驗證表示該廠已達一定的安全標準,在認證效期 2 年內生產的所有安全產品,可無須重複認證。


鼎智國際技術服務集團自 2017 年起參與 IoT PP 開發工作小組,並於 2020 年,完成下列 PP 認證:


適用對象

  1. 資訊安全技術開發商
  2. 資訊安全產品生產、製造商


評估檢測實驗室與認證機構

CC 認證,採全產品生命週期認證的方式,包含設計、開發、生產、交付等階段,所以,當您的產品還在設計階段時,是您規劃 CC 認證的最佳時機。

由於產品 CC 認證,只能經由 CC 認可實驗室進行評估與檢測,根據實驗室所產生的評估技術報告 (ETR, Evaluation Technical Report) 向發證機構申請取得認證,所以安全產品開發商所面對的第一個問題,就是如何選擇一個可信任的評估檢測機構。

另外一個在選擇實驗室時,要注意的事項就是如何選擇 CC 發證機構 (在 CCRA 交互承認機制中,稱為授權發證國家, Certificate Authorizing Members),目前全球只有這些國家可以發給 CC 證書。

關於 CC 證書的效期,在產品沒有進行任何變動的情況下,一般為 3~ 5 年,但會因為選擇發證機構的不同,而有所差異。

評估與驗證流程



評估保障級別要求

信息技術安全評估準則 ISO/IEC 15408,集合歐、美信息安全技術準則 (最開始源自於軍方),逐漸發展成為全球信息安全技術國際標準。

CC 是全球最新也最嚴謹的信息技術安全評估準則之一,正逐步取代各區域性之安全評估準則,在許多的產業、國家,信息處理產品必需通過 CC 認證後,才能進入到特定市場 (例如,金融、交通、通信、保安、國防等)。


目前透過 CC 交互承認機制 (CCRA, Common Criteria Recognition Arrangement),各會員國間互相承認實驗室能力、評估結果與認證之安全保障等級 (目前交互承認至 EAL 5 等級)。


我們提供哪些服務

CC 評估檢測與認證過程中,我們可以提供下列服務:

  1. CC 標準相關培訓
  2. 協助開發商 TOE 相關技術文件準備
  3. 協助製造商環境安全認可準備
  4. CC 認可實驗室評估與檢測輔導

為了協助您儘快釐清 CC 認證的可行性,請預先準備下列資料,便於討論:

  1. 安全產品目標市場、客戶特定要求 (例如 PP, EAL)
  2. 產品服務說明、架構、使用手冊
  3. 安全功能、架構、規格說明書
  4. 產品安全技術說明書 (安全硬件、軟件、韌體),特別說明產品用的哪些 "加密技術” (例如演算法、加解密模組 (FIPS-140-2/3 認證))
聯絡資料:philip.ku@tksg.global  

(PGP Fingerprint: BE11 C1CC BFE2 A3A9 4929  3D1C 10FF C3BE A51C 92F7)

Last modified: Thursday, 15 October 2020, 12:01 AM