국제공통평가기준 (Common Criteria, CC)

국가마다 서로 다른 정보 보호시스템 평가기준을 연동하고 평과결과를 상호인증하기 위해 제정된 국제표준 평가기준이다. 

ISO에서 국제표준(IEC 15408)으로 1999년 9월 승인되었다.

 

현존하는 평가기준과 조화를 통해 평가결과를 상호인정(CCRA)하는 구조로 정보보호시스템의 수출입에 소요되는 인증비용 절감으로 국제유통 촉진, 정보보호시스템 보안등급 평가에 신뢰성을 부여한다.

 

평가수행지침으로 CEM(Common Evaluation Methodology) 문서가 있으며, 인증서는 CCRA(CC Recognition Arrangement)에 가입되어야 효력을 발휘한다. 평가인증 결과를 국가 간 상호인증하도록 하는 협정(CCRA, Comon Criteria Recognition Arrangement)이 미국, 영국, 프랑스등을 중심으로 시작되었다.

TCSEC와 다르게 단일평가 기준으로 다양한 정보보호 제품을 평가한다.

소개 및 일반모델, 보안 기능 요구사항, 보증 요구사항 등으로 이루어지고 등급은 7개로 나뉜다.

 

Evaluation Assurance Level
EAL0등급(부적절-무등급 취급)

CC의 등급별 보안 수준- EAL1(기능시험) ~ EAL7급(정형적 보증) 7개

CC의 구성요소

출처: jjinfotech.tistory.com/79