一、為辦理資通安全產品及保護剖繪審驗作業，並執行國家通訊傳播委員
    會（以下簡稱本會）組織法第三條第八款規定，訂定本要點。

二、本要點用詞定義如下：
  （一）資通安全產品：指具備資通技術安全防護措施或功能之硬體、韌
        體、軟體或三者之任一組合。
  （二）保護剖繪（ProtectionProfile,PP）：指為滿足資通安全產品評
        估標的製作之安全基本需求文件。
  （三）資訊技術安全評估共同準則（CommonCriteriaf  orInformation
        Technology Security Evaluation, CC，以下簡稱共同準則）：
        指資通安全產品及保護剖繪之安全功能及安全保證之國際共同規
        範，即國際標準組織之ISO/IEC15408規範。
  （四）資訊技術安全評估共同方法論（CommonMethodol ogyforInform-
        ationTechnology SecurityEvaluation,CEM，以下簡稱共同方法
        論）：指依共同準則評估及驗證資通安全產品及保護剖繪之安全
        功能及安全保證等級時，應遵循之方法及程式，即國際標準組織
        之ISO/IEC18405規範。
  （五）申請者：指申請資通安全產品或保護剖繪之評估及驗證者。
  （六）評估標的（TargetofEvaluation,TOE）：指申請評估及驗證之資
        通安全產品及其相關使用手冊。
  （七）安全標的（SecurityTarget,ST） ：指為資通安全產品能符合保
        護剖繪或特定安全需求製作之規格文件。
  （八）評估保證等級（EvaluationAssurance Level, EAL）：指依共同
        準則及共同方法論評估及驗證資通安全產品或保護剖繪，獲得之
        安全保證等級。
  （九）驗證機關（CertificationBody,CB）：指執行審驗之機關。
  （十）評估實驗室（EvaluationLaboratory, EL）：指對資通安全產品
        或保護剖繪具有評估資格及能力之實驗室。
  （十一）審驗：指對資通安全產品或保護剖繪以符合特定安全需求，由
          驗證機關出具書面證明之程式。
  （十二）觀察報告（ObservationReport,OR）：指評估實驗室評估資通
          安全產品或保護剖繪時，對待澄清事項或有爭議問題提出之觀
          察文件。
  （十三）評估技術報告（Evaluation Technical Report, ETR）：指評
          估實驗室為評估資通安全產品或保護剖繪撰寫之技術報告，提
          供驗證機關作為驗證報告之依據。
  （十四）驗證報告（CertificationReport,CR）：指驗證機關依評估實
          驗室提供之評估技術報告，確認其遵循共同準則、共同方法論
          及評估程式撰寫之報告。
  （十五）驗證產品清單：指經審驗合格之資通安全產品或保護剖繪相關
          資訊，包括申請者、產品或保護剖繪名稱、評估保證等級、審
          驗日期等。

三、資通安全產品及保護剖繪之評估及驗證，應依下列規定辦理：
  （一）共同準則。
  （二）共同方法論。
  （三）其他由本會訂定公告之技術規範。
    前項本會技術規範未訂定者，應依下列順序擇定適用之規定：
  （一）中華民國國家標準（ChineseNational Standards,CNS）。
  （二）國際標準組織所訂標準。
  （三）區域標準組織所訂標準。

四、資通安全產品或保護剖繪之評估及驗證類別：
  （一）存取控制裝置與系統（AccessControlDevic esandSystems）
  （二）界限保護裝置與系統（BoundaryProtection Devicesand System
        s）
  （三）資料庫（Databases）
  （四）資料保護（DataProtection）
  （五）偵測裝置與系統（DetectionDevicesand Systems）
  （六）數位簽章裝置與系統（Digital Signature Devicesand Systems
        ）
  （七）積體電路、智慧卡及智慧卡相關裝置與系統（Integrated Circu
        its, SmartCardsand SmartCardrelated Devicesand Systems）
  （八）金鑰管理系統（KeyManagementSystems）
  （九）網路及網路相關裝置與系統（Networkand Networkrelated Dev-
        icesand Systems）
  （十）作業系統（Operating Systems）
  （十一）其他裝置與系統（Other Devicesand Systems）

五、資通安全產品或保護剖繪之審驗作業程式（如附件一）如下：
  （一）初步評估：申請者申請驗證時，應先向評估實驗室申請評估，由
        評估實驗室就申請驗證之資通安全產品或保護剖繪進行初步評估
        ，經評估為可行案件時出具評估工作計畫（其項目及內容如附件
        二），作為申請驗證之依據。
  （二）正式評估及驗證之前置作業：驗證機關先行核對申請者檢附之文
        件，認已齊全者，應召開啟動會議，並通知申請者及評估實驗室
        參與說明，決定是否受理該驗證申請案。
  （三）正式評估作業：
        1.驗證機關判定得受理驗證後，由評估實驗室依第三點所定技術
          規範進行評估，驗證機關得視需要派員督導。
        2.評估實驗室發現待澄清事項，應向申請者提出觀察報告，並副
          知驗證機關，由申請者提出說明；遇有爭議問題時，評估實驗
          室應向驗證機關提出爭議問題提案處理單（如附件三）及檢附
          相關觀察報告並由驗證機關處理之。
  （四）驗證作業：
        1.評估實驗室完成評估後，應將資通安全產品或保護剖繪之評估
          結果，製作資通安全產品或保護剖繪評估技術報告（如附件四
          、附件五）並提報驗證機關。
        2.驗證機關依評估實驗室之評估技術報告及相關申請文件初步做
          成驗證報告後，應召開結案會議並通知評估實驗室及申請者參
          與。驗證報告經討論無誤，並經驗證機關審議核可後，由驗證
          機關核發共同準則審驗證明（如附件六、附件七）。該資通安
          全產品或保護剖繪之驗證產品清單應公佈於本會網站。申請者
          未取得共同準則審驗證明前，不得對媒體發表任何評估及驗證
          結果之不當聲明或促銷資訊。
        3.資通安全產品或保護剖繪之驗證報告，經驗證機關審議認未合
          格者，不予核發共同準則審驗證明，並列舉不符合事項，以書
          面通知申請者於三個月內改善；申請者得向驗證機關重新申請
          複審；申請複審仍未合格者，應將結果通知申請者。
          評估實驗室無法提供評估服務時，由申請者委由本會認可之他
          國評估實驗室出具符合本要點規定之資通安全產品或保護剖繪
          評估技術報告，向驗證機關申請驗證。

六、申請資通安全產品或保護剖繪之評估及驗證，應檢附下列文件，文件
    不完備者，經通知限期補正，逾期未補正或補正仍未完備者，不予受
    理：
  （一）申請資通安全產品評估所需文件：
        1.資通安全產品安全標的。
        2.其他經評估實驗室指定之文件。
  （二）申請保護剖繪評估所需文件：
        1.保護剖繪。
        2.其他經評估實驗室指定之文件。
  （三）申請資通安全產品驗證，應填具申請書（附件八）並檢附下列文
        件：
        1.申請者身份證明文件
        2.資通安全產品驗證同意書（附件九）
        3.評估工作計畫
        4.資通安全產品安全標的
        5.其他經驗證機關指定之資料
        6.儲存第一款至第五款文件電子檔之光碟片一份
  （四）申請保護剖繪驗證，應填具申請書（附件十）並檢附下列文件：
        1.申請者身份證明文件
        2.保護剖繪驗證同意書（附件十一）
        3.評估工作計畫
        4.保護剖繪
        5.其他經驗證機關指定之資料
        6.儲存第一款至第五款文件電子檔之光碟片一份

七、資通安全產品取得共同準則審驗證明後，其名稱、型號、版本或安全
    功能變更者，原申請者得就變更部分重新申請驗證。保護剖繪有相同
    情形者，亦同。

八、申請者取得共同準則審驗證明後，經發現其檢附資料偽造或虛偽不實
    者，該證明失其效力。
    共同準則審驗證明失其效力者，應由本會通知原申請者，自接獲通知
    之日起三個月內，不得就相同名稱、型號、版本或安全功能重新申請
    驗證。但情形特殊，且經本會核准者，不在此限。
    前項情形者，本會應將其事由公告於本會全球資訊網，並將其產品資
    料自驗證產品清單中移除。