网络安全技术 信息技术安全评估准则 第5部分：预定义的安全要求包 GBT 18336.5-2024

摘要：本文件规定了信息技术安全评估准则中预定义的安全要求包，包括安全功能和保证要求的详细描述。本文件适用于信息安全产品和服务的开发者、评估者以及需要选择合适安全产品的组织。
Title：Information technology - Security techniques - Evaluation criteria for IT security - Part 5: Predefined profiles and packages of security requirements
中国标准分类号：L80
国际标准分类号：35.030

网络安全技术 信息技术安全评估准则 第5部分：预定义的安全要求包 GBT 18336.5-2024 常见问题解答

GBT 18336.5-2024 是什么？

GBT 18336.5-2024 是中国国家标准化管理委员会发布的关于信息技术安全评估准则的国家标准，属于《信息技术安全性评估准则》（简称ITSEC）的一部分。它规定了预定义的安全要求包，用于指导信息安全产品的开发、测试和评估。

为什么需要预定义的安全要求包？

预定义的安全要求包是为了简化信息安全产品评估流程，提高评估效率和一致性。通过提供标准化的安全要求模板，可以减少重复性工作，确保不同产品在相同安全级别下的评估结果具有可比性。

GBT 18336.5-2024 的适用范围是什么？

该标准适用于信息技术产品和服务的安全评估，包括但不限于操作系统、网络设备、应用软件等。任何需要进行信息安全评估的产品或服务都可以参考此标准。

如何选择合适的安全要求包？

选择安全要求包时，需根据产品的功能、用途及预期应用场景确定其安全目标（ST）。然后根据安全目标匹配相应的预定义安全要求包，确保覆盖所有必要的安全需求。

GBT 18336.5-2024 中的安全要求包是否固定不变？

不是的。安全要求包会根据技术发展和实际需求定期更新和扩展，以适应新的安全威胁和技术变化。因此，在使用前需确认所选版本的有效性和适用性。

预定义的安全要求包与具体评估有何关系？

预定义的安全要求包为评估提供了基础框架，但具体的评估过程仍需结合产品的实际情况进行调整和补充。评估机构需根据安全要求包制定详细的评估计划，并验证其在产品中的实现情况。

如何确保预定义安全要求包的实施效果？

为确保实施效果，需对产品进行全面的功能测试和安全性测试，验证其是否满足安全要求包中列出的各项指标。此外，还需进行文档审查，确保相关设计、实现和测试记录完整准确。

GBT 18336.5-2024 是否强制执行？

该标准为推荐性国家标准，不具有强制执行力。但在某些行业或领域，可能作为强制性要求被引用。因此，在具体应用时需结合相关法律法规和行业规范。

如何获取 GBT 18336.5-2024 的最新版本？

可通过中国国家标准化管理委员会官方网站或其他授权渠道查询和下载最新版本的标准文件。同时，建议关注官方发布的信息，及时了解标准的修订动态。

GBT 18336.5-2024 对企业有哪些实际意义？

• 帮助企业建立统一的信息安全管理体系，提升产品竞争力。
• 降低因不符合安全要求而导致的法律风险。
• 增强客户信任度，扩大市场份额。

如果产品未达到预定义的安全要求包，该怎么办？

首先分析未达标的原因，可能是安全目标设定不合理或实际实现不足。针对问题点进行改进后，重新提交评估。必要时可咨询专业机构寻求技术支持。