信息技术安全 Common Criteria 认证

The EUCC scheme is a unified approach to testing ICT products and services. It is the first certification scheme developed under the Cybersecurity Act (CSA) and marks a significant evolution in how CC evaluations are conducted within the EU. While still based on CC and Common Methodology for Information Technology Security Evaluation (CEM) standards, EUCC now places more emphasis on vulnerability assessments and patch management. Products are now classified by vulnerability levels rather than traditional EALs. 

As of Feb. 27, 2026, vendors targeting the EU market must align with the EUCC requirements.  

在美国，国家安全系统委员会 (CNSS) 发布了对所有美国政府部门和机构有约束力的政策。Policy 11 要求，所有涉及信息安全保障能力（information assurance）的 IT 产品，均需要从通过NIAP（美国 CC 机构）认证的产品列表（PCL）中选择。IA 和启用 IA 的产品是存在任何机制以保证系统可用性、确保信息完整和机密性或确保电子交易双方的身份验证和不可否认性的产品。NIAP FAQ 中也阐述了该要求。值得注意的是，承包商、集成商、采购部门等并不能总是理解或完全执行该要求。例如，需要加入 NIAP PCL，而不是仅仅拥有来自任何 CC 国家/体系的通用标准证书。

UL Solutions 验证包括协助编写安全目标，以确保评估正确开始。UL Solutions 还拥有非常强大的熵评估团队，可提供全面的熵分析。UL Solutions 是获得 FIPS 140 认证的测试实验室，可提供 NIAP 需要的 NIST CAVP 算法认证。

UL Solutions 在开始评估时，会召开一场广泛的研讨会，以审核 PP 要求和评估目标 (TOE) 设计，这有助于突出合规问题并启动 ST 文件编写。评估流程需要 100% 符合 Protection Profile 的要求，因此评估流程最终是一个迭代的过程。

所有文件都经过评估且基本符合要求后，UL Solutions 将接受产品交付并执行功能测试。该测试通常在 UL Solutions 的设施进行，根据所需测试，可能会利用一些供应商特定的测试工具。这是一个协作过程，UL Solutions 可能联系供应商解决功能问题，通常这些问题与产品的配置有关。所有测试都通过后，测试即完成，项目可进行至最后一个阶段。

最后阶段需要在特定格式的评估技术报告中向 NIAP 提交项目的所有评估结果。这将包括评估活动的简短摘要，称为保证活动报告。UL Solutions 对 NIAP 的评估协调审查做出响应。正式验证后，ST、AAR 和验证报告将成为公共记录，并连同验证证书一起发布在 NIAP 网站上。