在國際採購與政府標案中, Common Criteria (CC) 是資安產品取得信任的通行證。它以 ISO/IEC 15408 為基礎,透過第三方實驗室對產品安全性進行客觀驗證,讓買賣雙方共同認可評估結果。 CC 三層核心架構:PP、ST 與 EAL CC 評估圍繞三個關鍵元素運作。 Protection Profile (PP) 是由需求方(如政府機關)定義的安全需求範本,描述某類產品「應該做到什麼」,與具體實作無關。 Security Target (ST) 則是廠商針對其特定產品(即 TOE,Target of Evaluation )所撰寫的安全聲明文件,說明產品實際實作哪些安全功能,並對應 PP 的要求。 EAL(Evaluation Assurance Level) 為 EAL1 至 EAL7 的七級保證等級,數字愈高代表驗證過程愈嚴謹,但並非代表功能愈強,而是對安全聲明的信心程度愈高。政府採購常見要求落在 EAL2 至 EAL4。 評估流程與國際互認機制 廠商委託經認可的 評估實驗室(CCTL) ,依據 ST 對 TOE 進行測試與分析,實驗室將結果提交至各國 認證機構(CB) (如美國 NIAP、德國 BSI、台灣 TWNCAF)審核核發憑證。CC 最重要的價值在於 CCRA(Common Criteria Recognition Arrangement) 互認協議:31 個成員國相互承認彼此頒發的 CC 憑證,產品無需在每個國家重複受評。廠商取得憑證後,產品會刊載於 NIAP 或 CC Portal 的公開清單,採購方可直接查驗,大幅降低供應鏈信任成本。 💡 重點整理 PP 定義「需求類型」, ST 描述「產品實作」,兩者對應是評估核心。 EAL 等級 衡量保證深度,非功能強弱;EAL4 是商業產品最常見上限。 CCRA 互認 讓單一憑證跨 31 國有效,節省重複評估成本。 憑證查驗可直接至 CC Portal(commoncriteriaportal.org) 搜尋產品清單。 Common Criteria 不是萬能的安全保證,而是一套 可重複、可比較的評估語言 。理解 PP、ST 與 EAL 的關係,是企業在國際市場中正確解讀資安憑證的第一步。 ...