ICS 35.030 GB CCS L 80 中华人民共和国国家标准 GB/T30270—2024/ISO/IEC18045:2022 代替GB/T30270—2013 网络安全技术 信息技术安全评估方法 Cybersecurity technologyMethodology for IT security evaluation (ISO/IEC 18045:2022,Information security, cybersecurity and privacy protection Evaluation criteria for IT securityMethodology for IT security evaluation,IDT) 2024-04-25发布 2024-11-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T30270—2024/ISO/IEC18045:2022 目 次 前言 IX 引言 1 范围 2 规范性引用文件 3 术语和定义 4 缩略语 行文方式 6 动词用法 7 总体评估指南 ISO/IEC15408和本文件结构间的关系 9 评估过程与相关任务 9.1 概述 9.2 评估过程概述 9.2.1 目的 9.2.2 角色职责 9.2.3 角色关系 9.2.4 般评估模型 9.2.5 评估者裁定 9.3 评估输入任务 9.3.1 目的 9.3.2 应用注释 9.3.3 评估证据子任务的管理 9.4 评估子活动 10 9.5 评估输出任务 10 9.5.1 目的 10 9.5.2 评估输出管理 9.5.3 应用注释 9.5.4 编写OR子任务…· 9.5.5 编写ETR子任务 T 10 APE类：PP评估 18 10.1 概述 18 10.2 已认证PP评估结果的复用 18 10.3 PP引言(APE_INT) 18 10.3.1评估子活动（APE_INT.1) 18 10.4符合性声明（APE_CCL） 19 10.4.1 评估子活动（APE_CCL.1） 19 GB/T30270—2024/ISO/IEC18045:2022 10.5安全问题定义（APE_SPD） 27 10.5.1评估子活动（APE_SPD.1） 27 10.6安全目的（APE_OBJ） 28 10.6.1评估子活动（APE_OBJ.1） 28 10.6.2评估子活动（APE_OBJ.2） 29 10.7扩展组件定义（APE_ECD）….. 31 10.7.1评估子活动（APE_ECD.1） 31 10.8安全要求（APEREQ） 10.8.1 评估子活动（APE_REQ.1） 34 10.8.2 评估子活动（APE_REQ.2） 38 11 ACE类：PP配置评估 42 11.1 概述 42 11.2PP-模块引言（ACE_INT） 11.2.1评估子活动（ACE_INT.1） 43 11.3PP-模块符合性声明（ACE_CCL） 11.3.1 子活动评估（ACE_CCL.1） 45 11.4PP-模块安全问题定义（ACESPD) 11.4.1评估子活动（ACE_SPD.1） 11.5PP-模块安全目的（ACE_OBJ） 11.5.1评估子活动（ACE_OBJ.1） 49 11.5.2评估子活动（ACE_OBJ.2） 50 11.6PP-模块扩展组件定义（ACE_ECD) 52 11.6.1 评估子活动（ACE_ECD.1） 52 11.7PP-模块安全要求（ACE_REQ） 55 11.7.1 评估子活动（ACE_REQ.1） 55 11.7.2评估子活动（ACE_REQ.2） 59 11.8PP-模块的一致性（ACE_MCO） 63 11.8.1评估子活动（ACE_MCO.1） 63 11.9PP-配置的一致性(ACE_CCO) 11.9.1 评估子活动（ACE_CCO.1） 66 12ASE类：安全目标评估 73 12.1概述 12.2应用注释 73 12.2.1重用已认证PP的评估结果 73 12.3ST引言（ASE_INT) 73 12.3.1评估子活动（ASE_INT.1） 73 12.4符合性声明（ASE_CCL）….... 76 12.4.1评估子活动（ASE_CCL.1） 76 12.5安全问题定义（ASE_SPD）..… 86 12.5.1评估子活动（ASE_SPD.1） 12.6安全目的（ASE_OBJ） 87 12.6.1评估子活动（ASE_OBJ.1） 87 = GB/T30270—2024/ISO/IEC18045:2022 12.6.2评估子活动（ASE_OBJ.2) 88 12.7扩展组件定义（ASE_ECD）….… 90 12.7.1评估子活动（ASE_ECD.1) 90 12.8安全要求（ASE_REQ）... 93 12.8.1评估子活动（ASE_REQ.1） 93 12.8.2评估子活动（ASE_REQ.2） 97 12.9TOE概要规范（ASE_TSS）…. 102 12.9.1评估子活动（ASE_TSS.1） 102 12.9.2评估子活动（ASETSS.2） 102 12.10复合产品安全目标一致性（ASE_COMP） 103 12.10.1 概述 103 12.10.2 评估子活动（ASE_COMP.1） 104 13 ADV类.开发.. 107 13.1 概述 107 13.2 应用注释 107 13.3 安全架构（ADV_ARC) 108 13.3.1 评估子活动（ADV_ARC.1） 108 13.4功能规范（ADV_FSP） 111 13.4.1 评估子活动（ADV_FSP.1） 111 13.4.2 评估子活动（ADV_FSP.2）.. 114 13.4.3 评估子活动（ADV_FSP.3） 117 13.4.4 评估子活动（ADV_FSP.4）.... 121 13.4.5 评估子活动ADV_FSP..)....... 125 13.4.6 评估子活动（ADV_FSP.6）. 130 13.5实现表示（ADV_IMP） 130 13.5.1 评估子活动（ADV_IMP.1） 130 13.5.2 评估子活动（ADV_IMP.2） 132 13.6 TSF内部（ADV_INT） 134 13.6.1 评估子活动（ADV_INT.1).. 134 13.6.2 评估子活动（ADV_INT.2).. 136 13.6.3 评估子活动（ADV_INT.3）. 137 13.7安全策略模型（ADV_SPM）…. 139 13.7.1 评估子活动（ADV_SPM.1） 139 13.8TOE设计(ADV_TDS)... 144 13.8.1 评估子活动（ADV_TDS.1） 144 13.8.2 评估子活动（ADV_TDS.2） 147 13.8.3 评估子活动（ADV_TDS.3） 150 13.8.4 评估子活动（ADV_TDS.4） 157 13.8.5 评估子活动（ADV_TDS.5） 164 13.8.6 评估子活动（ADV_TDS.6） 170 13.9 复合设计符合性（ADV_COMP） 170 13.9.1 概述 170 13.9.2 评估子活动（ADV_COMP.1) 171 II GB/T30270—2024/ISO/IEC18045:2022 12.6.2评估子活动（ASE_OBJ.2) 88 12.7扩展组件定义（ASE_ECD）….… 90 12.7.1评估子活动（ASE_ECD.1) 90 12.8安全要求（ASE_REQ）... 93 12.8.1评估子活动（ASE_REQ.1） 93 12.8.2评估子活动（ASE_REQ.2） 97 12.9TOE概要规范（ASE_TSS）…. 102 12.9.1评估子活动（ASE_TSS.1） 102 12.9.2评估子活动（ASETSS.2） 102 12.10复合产品安全目标一致性（ASE_COMP） 103 12.10.1 概述 103 12.10.2 评估子活动（ASE_COMP.1） 104 13 ADV类.开发.. 107 13.1 概述 107 13.2 应用注释 107 13.3 安全架构（ADV_ARC) 108 13.3.1 评估子活动（ADV_ARC.1） 108 13.4功能规范（ADV_FSP） 111 13.4.1 评估子活动（ADV_FSP.1） 111 13.4.2 评估子活动（ADV_FSP.2）.. 114 13.4.3 评估子活动（ADV_FSP.3） 117 13.4.4 评估子活动（ADV_FSP.4）.... 121 13.4.5 评估子活动ADV_FSP..)....... 125 13.4.6 评估子活动（ADV_FSP.6）. 130 13.5实现表示（ADV_IMP） 130 13.5.1 评估子活动（ADV_IMP.1） 130 13.5.2 评估子活动（ADV_IMP.2） 132 13.6 TSF内部（ADV_INT） 134 13.6.1 评估子活动（ADV_INT.1).. 134 13.6.2 评估子活动（ADV_INT.2).. 136 13.6.3 评估子活动（ADV_INT.3）. 137 13.7安全策略模型（ADV_SPM）…. 139 13.7.1 评估子活动（ADV_SPM.1） 139 13.8TOE设计(ADV_TDS)... 144 13.8.1 评估子活动（ADV_TDS.1） 144 13.8.2 评估子活动（ADV_TDS.2