4)使用CC進行評估的基本過程

為了使評估結(jié)果具有更好的可比性，評估宜在一個權(quán)威的評估體制框架內(nèi)執(zhí)行，該體制框架負(fù)責(zé)設(shè)定標(biāo)準(zhǔn)、監(jiān)控評估質(zhì)量、掌管評估機構(gòu)和評估者必須遵守的規(guī)章制度。

CC不對監(jiān)管框架提出要求。但是，要達到評估結(jié)果相互認(rèn)可的目標(biāo)，不同評估管理機構(gòu)的監(jiān)管框架必須是一致的。下圖描述了構(gòu)成評估相關(guān)要素的主要因素。

　　使用通用的評估方法學(xué)主要是確保評估結(jié)果的可重復(fù)性和客觀性，但僅靠方法學(xué)本身不夠充分。許多評估準(zhǔn)則需要使用專家判斷和一定的背景知識，而這些更難達到一致。為了提高評估所見的一致性，最終的評估結(jié)果應(yīng)提交給一個認(rèn)l過程+。該認(rèn)證過程是對評估結(jié)果的獨立審查，并產(chǎn)生最終的證書或正式批文。該證書通常是公開的。認(rèn)證過程是使得IT安全準(zhǔn)則應(yīng)用得到更好一致性的一種手段。

評估體制、評估方法學(xué)和認(rèn)證過程由運行評估體制的評估管理機構(gòu)負(fù)責(zé)，不屬于CC的范圍。