二、本要點用詞定義如下:
(一)資通安全產品:指具備資通技術安全防護措施或功能之硬體、韌體
、軟體或三者之任一組合。
(二)保護剖繪(Protection Profile, PP):指為滿足資通安全產品評
估標的製作之安全基本需求文件。
(三)資訊技術安全評估共同準則(Common Criteria for Information
Technology Security Evaluation,CC ,以下簡稱共同準則):指
資通安全產品及保護剖繪之安全功能及安全保證之國際共同規範,
即國際標準組織之 ISO/IEC 15408 規範。
(四)資訊技術安全評估共同方法論(Common Methodology for Inform-
ation Technology Security Evaluation,CEM,以下簡稱共同方法
論):指依共同準則評估及驗證資通安全產品及保護剖繪之安全功
能及安全保證等級時,應遵循之方法及程序,即國際標準組織之 I
SO/IEC 18405 規範。
(五)申請者:指申請資通安全產品或保護剖繪之評估及驗證者。
(六)評估標的(Target of Evaluation, TOE) :指申請評估及驗證之
資通安全產品及其相關使用手冊。
(七)安全標的(Security Target, ST) :指為資通安全產品能符合保
護剖繪或特定安全需求製作之規格文件。
(八)評估保證等級(Evaluation Assurance Level, EAL) :指依共同
準則及共同方法論評估及驗證資通安全產品或保護剖繪,獲得之安
全保證等級。
(九)驗證機關(Certification Body, CB):指執行審驗之機關。
(十)評估實驗室(Evaluation Laboratory, EL) :指對資通安全產品
或保護剖繪具有評估資格及能力之實驗室。
(十一)審驗:指對資通安全產品或保護剖繪以符合特定安全需求,由驗
證機關出具書面證明之程序。
(十二)觀察報告(Observation Report, OR):指評估實驗室評估資通
安全產品或保護剖繪時,對待澄清事項或有爭議問題提出之觀察
文件。
(十三)評估技術報告(Evaluation Technical Report, ETR):指評估
實驗室為評估資通安全產品或保護剖繪撰寫之技術報告,提供驗
證機關作為驗證報告之依據。
(十四)驗證報告(Certification Report, CR):指驗證機關依評估實
驗室提供之評估技術報告,確認其遵循共同準則、共同方法論及
評估程序撰寫之報告。
(十五)驗證產品清單:指經審驗合格之資通安全產品或保護剖繪相關資
訊,包括申請者、產品或保護剖繪名稱、評估保證等級、審驗日
期等。