通用评估方法( CEM)

5)通用评估方法( CEM)

CEM是CC标准出版后，为了在评估中应用CC而提供的一种通用方法。是与CC配套的文档。

CEM分为两部分，第一部分主要包括CEM简介，CC评估中的通用原则和假设，以及评估的一般模型；第二部分主要讲述评估的一般任务、PP评估、ST评估以及EALl-EAL4级的评估。CEM没有提供EAL4级以上的评估方法。

CEM的评估过程主要分为三个阶段：准备阶段、实施阶段和总结阶段。准备阶段主要是准备各种评估证据，包括人员的培训。发起者向评估者提供PP或ST，评估者对其做可行性分析，并向发起者要求相关信息。发起者向评估者提供一系列评估证据。评估者复审PPa.kST并建议发起者做出修改以便建立良好的评估基础。如果达到评估机制要求，则进入下一阶段。 这一阶段产生的输出结果包括评估证据清单、评估活动和评估信息清单，所有参与者都必须对鉴定和保护专有信息负责，输出结果必须得到所有人的认同。执行阶段是评估的主要部分，评估者复审评估证据，并按照保证要求执行所规定的评估行为。这一过程中，评估者可以利用评估观察报告要求验证者澄清某个要求的应用，而验证者应对之做出解释。评估者也可利用观察报告指出潜在的弱点或缺陷，并从发起者或开发者那组要求更多信息。执行阶段的输出是评估技术报告( Evaluate Technical Reports，ETR)。结论阶段，评估者向验证者递交ETR，不同的评估机制觌楚了对持有ETR的限制，可能包括递交给发起者或开发者，ETR 可能包括一些敏感或私有信息，在递交给发起者之前要进行处理。验证者复审并分析ETR以确保与CC、CEM及评估机制的要求一致，并对ETR中的最终评判做出同意或不同意的决定。

验证者可以以ETR为主要参考准备一份评估总结报告(Evaluation Summary Report，ESR)并递交给评估权威机构。发起者、开发者、评估者有权复核ESR。

想了解更多IT资讯，请访问中培伟业官网：中培伟业