ISO/IEC 15408,通稱「Common Criteria(通用準則)」是一套針對IT 產品與系統資安性進行規格化描述與第三方測評的國際標準。它提供一種共同的語言與方法,讓供應商能清楚描述產品的安全功能與開發保障、讓實驗室可依一致方法評估、也讓採購方(政府與企業)能比較不同產品的安全保證等級。
典型評估對象(TOE, Target of Evaluation)包含:作業系統、加解密模組、身分與存取管理(IAM)、資料保護元件、安全網路設備、工控與 IoT 安全元件、應用與中介軟體等。
TOE(Target of Evaluation):要被評估的產品/系統範圍。
ST(Security Target):安全目標書,描述 TOE 的安全功能與要達成的安全目標、威脅假設、環境條件等。
PP(Protection Profile)/ cPP(collaborative PP):由產業/社群/政府制定的通用需求檔,定義特定類型產品應具備的安全需求(好比「路由器的最低安全線」)。若產品「對齊某個 PP/cPP」來做 ST,會更容易被市場理解與採用。
SFR(Security Functional Requirements):安全功能需求,例如存取控制、審計、密鑰管理、通訊保護等。
SAR(Security Assurance Requirements):安全保證需求,著重於開發與測試流程、原始碼與文件品質、弱點分析、滲透測試、配置/變更/供應鏈控管等。
EAL(Evaluation Assurance Level):保證活動深度與嚴謹度。實務上,許多方案會依特定 PP/cPP 的要求選擇對應的保證組合。
ISO/IEC 15408 主要分三部分(常以 CC v3.1 家族文件呈現):
Part 1:導論與總則(概念、流程、角色分工與詞彙)
Part 2:SFR 族群(可選安全功能需求的完整彙編)
Part 3:SAR 族群與 EAL(保證活動、評估作法與等級)
另有 ISO/IEC 18045(Common Evaluation Methodology, CEM)詳細說明實驗室如何執行各項評估活動。
範圍定義:界定 TOE、版本、平台依賴、邊界與可信計算基。
對齊 PP/cPP(可選但建議):選擇適用的 PP/cPP,作為 ST 撰寫與實作對齊的準則。
撰寫 ST:威脅模型、假設、組態、SFR/SAR 選取、證據清單。
開發者證據準備:設計/原始碼/測試規劃與報告、弱點與修補紀錄、組態與供應鏈控管文件。
實驗室評估(CCTL):文件審閱、功能測試、弱點掃描與滲測、重現開發者測試、樣本抽查等。
認證機構審查:國家/地區認證單位核閱實驗室報告,通過後核發證書與公開摘要(CR/CTR)。
維護與保固:版本升級可走「保證延續/維護(Assurance Continuity)」程序,避免每次重來。
對採購者(政府/企業)
以國際一致的方法比較不同供應商的產品安全保證。
降低供應鏈風險:要求供應商出具 CC 證書或對齊指定 cPP。
透過第三方評估與認證報告,縮短導入決策時間。
對供應商(產品團隊)
將「安全」內嵌於產品生命週期:設計→實作→測試→維護都需留存可稽核的證據。
在政府標案或高安全產業投標上加分,拓展國際市場。
透過 cPP 對齊,減少客製化安全需求的溝通成本。
ISO/IEC 27001:是資訊安全管理系統(ISMS);著重組織層級管理與風險治理。
Common Criteria:聚焦產品/系統的技術安全功能與保證。兩者相輔相成:一個治流程、一個治產品。
FIPS、PCI、NIST SP 系列、BSI/EN、工控標準:常在特定領域與 CC 並行或互補。
資料抹除(例如 NIST 800-88):屬特定主題的作法/流程標準;若抹除軟體或裝置要走 CC,會以「資料保護功能」作為 TOE 的 SFR/SAR 依據。
政府採購或關鍵產業:優先尋找「已有 CC 證書/對齊 cPP」的產品,或在 RFP 中指明對齊的 PP/cPP 與保證組合。
產品走向海外:確認目標市場採購慣例與**CCRA(Common Criteria Recognition Arrangement)**成員與認可範圍,並選擇合適的認證管道與實驗室。
風險與成本平衡:不是越高等級越好;需評估上市時程、研發成本、目標客群與競品定位。
維護策略:規劃版本更新與「保證延續」機制,避免每次大改版都完全重來。
0–1 個月:
盤點 TOE 邊界、資安功能現況、開發文件成熟度。
選定對齊的 PP/cPP,做**差距分析(Gap Assessment)**與時程/成本預估。
2–4 個月:
彙整/補強文件:威脅模型、設計規格、測試計畫、組態與供應鏈控制、弱點處置流程。
早期與評測實驗室(CCTL)溝通測試策略與樣本抽查方式。
5–8 個月:
實驗室正式評估:文件審閱、功能測試、弱點分析與滲透測試。
根據實驗室意見修補與補件。
結案與維護:
取得證書與公開摘要;制定版本更新時的保證延續流程與變更影響評估。
實際時程依產品複雜度、PP/cPP 要求、文件成熟度與實驗室資源而異。
指定對齊之 PP/cPP 名稱與版本(若有)。。
要求提供:ST 摘要、證書與公開認證報告連結、版本維護策略(Assurance Continuity)。
若為關鍵基礎設施,追加:弱點回報 SLA、供應鏈與韌體更新政策、密鑰管理作法。
以 PP/cPP 「反推」產品需求:先選 PP/cPP,再設計功能與文件框架,降低返工。
建立 可稽核證據庫:需求→設計→原始碼→測試→缺陷→修補有完整追溯。
自動化測試與 SCA/SAST/DAST:把安全測試融入 CI/CD,評估前先自我把關。
弱點管理與公開程序:含 CVE/CVSS 作法、客戶公告與更新機制。
供應鏈安全:第三方元件清單(SBOM)、簽章與完整性驗證、韌體/驅動更新流程。
Q1:ISO 15408 與 ISO 27001 差在哪?
A:27001 管理系統(組織面),15408 評估產品/系統(技術面);兩者互補。
Q2:一定要對齊 PP/cPP 嗎?
A:不是強制,但強烈建議。對齊可提升採購可比性並縮短審視時間。
Q3:軟體每次更新都要重評估嗎?
A:不一定。可透過保證延續/維護程序處理小改版;重大變更需與實驗室與認證機構確認。
Q4:CC 證書是否全球互認?
A:多國在 CCRA 下相互承認一定範圍與類型的證書;實務仍需確認目標市場與採購規範。
