(課程編號： CC-GM-1)

資訊技術安全評估共同準則

資訊技術安全評估共同準則 (Common Criteria for IT Security Evaluation, ISO/IEC 15408)，簡稱共同準則 (Common Criteria) 或 CC，是一系列對於實現資通訊產品所使用“資訊技術的安全性“ 進行評估與認證方案的標準。 

課程介紹 

本基礎課程從發起/倡議方 (Sponsor), 開發商 (Developer), 認證/發證機構 (Certifier), 評估檢測實驗室 (Evaluator) 及 生產/製造商 (Manufacture) 等不同角色，探討 CC 評估與認證方案的意義。

本課程是組織正確、快速的了解 CC 評估與認證方案的最佳途徑之一。

參加本課程的學員，必須具備下列課前知識：

a) 產品開發、製造過程

• 產品生命週期管理流程，包含需求管理、設計、開發、測試、生產、交付、不良品處理與回收、售後管理等過程。

b) 資訊安全技術與管理

• 資訊安全技術
• 身份識別、認證;
• 存取控制;
• 密碼學 (cryptography) 與加密技術 (cryptographic technology);
• 資訊安全管理概念：
• 對資訊安全需求的認知;
• 資訊安全的責任配置;
• 納入管理階層承諾和關注方的利益;
• 提升社會價值;
• 使用風險評估的結果，來確定適當的控制措施以達到可接受的風險水平;
• 將資訊安全納入網絡和系統的基本要素;
• 積極預防與偵測資訊安全事件;
• 確保採用全面的資訊安全管理方法;
• 持續重新評估資訊安全並視需要進行修改.

課程對象

• 發起/倡議方 (Sponsor), 例如，政府採購單位、監管機構與產業協會、供應商、系統整合商、採購經理人
• 開發商 (Developer), 例如，產品安全功能開發人員、安全部件/模組開發商
• 生產/製造商 (Manufacture), 例如，安全產品生產廠/線/環境管理人員

課程目標 

本課程結合課堂簡報、小組討論、經驗交流等，透過參與式 (participated learning) 學習，協助客戶了解：

1. 組織在CC 評估與認證方案中角色？
   
2. CC 對於各個不同角色的意義
3. 各個不同角色如何使用 CC?
4. 什麼是評估與認證標的 (TOE, Target of Evaluation) 及相關內部與外部議題
5. 如何進行認證方案可行性評估及應該考慮的事項

課程效益

• 對於組織
• 快速釐清組織評估與認證方案中的角色，滿足發起/倡議方要求。
  
• 了解目標市場的 CC 認證安全需求與期望，符合客戶期望與滿意。
• 了解如何找到合適的評估檢測實驗室與認證/發證機構，強化安全技術應用。
• 對於個人
• 協助開發商了解適用的 CC 安全功能要求與準則。
• 協助釐清評估與認證標的 (TOE, Target of Evaluation) 範圍，建立適切的專案範圍。

課程大綱 

第一天, 確定角色、評估與認證標的 (TOE, Target of Evaluation) 要求與範圍

課程包含 

• 授權課程媒體、講義 
• 課程考試
• 課程證書

課程事項

• 語言：
• 本課程可用中文授課、但僅提供英文教材。
• 學員必須具備良好英語閱讀、開發技術文件編撰及溝通能力。
• 資訊安全與營業秘密要求：本課程由於課程討論內容可能涉及產品安全功能設計、工具、授權、安全開發環境、安全測試、生產商與製造商安全認證、安全運送與交付方式、市場計畫等過程敏感資料，僅接受客戶專班課程。
• 課程方式：線上課程，其他注意事項請參考 [ 遠距課程 (VILT) 參加指引 ]。

課程講師

   Philip KU

   philip.ku@tksg.global  [ PGP Public Key ]

   (PGP Fingerprint: BE11 C1CC BFE2 A3A9 4929  3D1C 10FF C3BE A51C 92F7)