資訊技術安全評估共同準則 Common Criteria for IT Security Evaluation (CC, ISO/IEC 15408) 基礎課程


 (課程編號: CC-GM-1)

資訊技術安全評估共同準則

資訊技術安全評估共同準則 (Common Criteria for IT Security Evaluation, ISO/IEC 15408),簡稱共同準則 (Common Criteria) 或 CC,是一系列對於實現資通訊產品所使用資訊技術的安全性進行評估與認證方案的標準。 

課程介紹 

本基礎課程從發起/倡議方 (Sponsor), 開發商 (Developer), 認證/發證機構 (Certifier), 評估檢測實驗室 (Evaluator) 及 生產/製造商 (Manufacture) 等不同角色,探討 CC 評估與認證方案的意義。

本課程是組織正確、快速的了解 CC 評估與認證方案的最佳途徑之一。

參加本課程的學員,必須具備下列課前知識

a) 產品開發、製造過程

  • 產品生命週期管理流程,包含需求管理、設計、開發、測試、生產、交付、不良品處理與回收、售後管理等過程。

b) 資訊安全技術與管理

  • 資訊安全技術
  • 資訊安全管理概念:
    • 對資訊安全需求的認知;
    • 資訊安全的責任配置;
    • 納入管理階層承諾和關注方的利益;
    • 提升社會價值;
    • 使用風險評估的結果,來確定適當的控制措施以達到可接受的風險水平;
    • 將資訊安全納入網絡和系統的基本要素;
    • 積極預防與偵測資訊安全事件;
    • 確保採用全面的資訊安全管理方法;
    • 持續重新評估資訊安全並視需要進行修改.

課程對象

  • 發起/倡議方 (Sponsor), 例如,政府採購單位、監管機構與產業協會、供應商、系統整合商、採購經理人
  • 開發商 (Developer), 例如,產品安全功能開發人員、安全部件/模組開發商
  • 生產/製造商 (Manufacture), 例如,安全產品生產廠/線/環境管理人員

課程目標 

本課程結合課堂簡報、小組討論、經驗交流等,透過參與式 (participated learning) 學習,協助客戶了解:

  1. 組織在CC 評估與認證方案中角色?
  2. CC 對於各個不同角色的意義
  3. 各個不同角色如何使用 CC?
  4. 什麼是評估與認證標的 (TOE, Target of Evaluation) 及相關內部與外部議題
  5. 如何進行認證方案可行性評估及應該考慮的事項

課程效益

  • 對於組織
    • 快速釐清組織評估與認證方案中的角色,滿足發起/倡議方要求。
    • 了解目標市場的 CC 認證安全需求與期望,符合客戶期望與滿意。
    • 了解如何找到合適的評估檢測實驗室與認證/發證機構,強化安全技術應用。
  • 對於個人
    • 協助開發商了解適用的 CC 安全功能要求與準則。
    • 協助釐清評估與認證標的 (TOE, Target of Evaluation) 範圍,建立適切的專案範圍。

課程大綱 

第一天, 確定角色、評估與認證標的 (TOE, Target of Evaluation) 要求與範圍

  • 資訊技術安全評估共同準則 (CC) 重要觀念與相關名詞
    • CC, ISO/IEC 15408 標準
    • 評估與認證標的 (TOE, Target of Evaluation)
    • 安全目標 (ST, Security TargeT) 
    • 保護剖繪 (PP, Protection Profile)
    • 評估確保等級 (EAL, Evaluation Assurance Level) 
  • CC 評估檢測與認證方案角色
    • 發起/倡議方 (Sponsor) 與目標市場的需求與期望
    • 開發商 (Developer) 如何開發符合 CC 的產品
    • 如何找到適切地認證/發證機構 (Certifier)
    • 如何選擇信安全、可以信賴的 CC 評估檢測實驗室 (Evaluator)
    • 生產/製造商 (Manufacture) 如何滿足客戶對於 CC 認證的安全產品生產要求
  • 課程總結
  • 課程考試

課程包含 

  • 授權課程媒體、講義 
  • 課程考試
  • 課程證書

課程事項

  • 語言:
    • 本課程可用中文授課、但僅提供英文教材。
    • 學員必須具備良好英語閱讀、開發技術文件編撰及溝通能力。
  • 資訊安全營業秘密要求:本課程由於課程討論內容可能涉及產品安全功能設計、工具、授權、安全開發環境、安全測試、生產商與製造商安全認證、安全運送與交付方式、市場計畫等過程敏感資料,接受客戶專班課程
  • 課程方式:遠距課程,其他注意事項請參考 [ 遠距課程 (VILT) 參加指引 ]

課程講師


   Philip KU

   philip.ku@tksg.global  PGP Public Key ]

   (PGP Fingerprint: BE11 C1CC BFE2 A3A9 4929  3D1C 10FF C3BE A51C 92F7)

Last modified: Tuesday, 13 July 2021, 4:15 PM