5)通用評估方法( CEM)

CEM是CC標準出版后，為了在評估中應用CC而提供的一種通用方法。是與CC配套的文檔。

CEM分為兩部分，第一部分主要包括CEM簡介，CC評估中的通用原則和假設，以及評估的一般模型；第二部分主要講述評估的一般任務、PP評估、ST評估以及EALl-EAL4級的評估。CEM沒有提供EAL4級以上的評估方法。

CEM的評估過程主要分為三個階段：準備階段、實施階段和總結階段。準備階段主要是準備各種評估證據，包括人員的培訓。發起者向評估者提供PP或ST，評估者對其做可行性分析，并向發起者要求相關信息。發起者向評估者提供一系列評估證據。評估者復審PPa.kST并建議發起者做出修改以便建立良好的評估基礎。如果達到評估機制要求，則進入下一階段。 這一階段產生的輸出結果包括評估證據清單、評估活動和評估信息清單，所有參與者都必須對鑒定和保護專有信息負責，輸出結果必須得到所有人的認同。執行階段是評估的主要部分，評估者復審評估證據，并按照保證要求執行所規定的評估行為。這一過程中，評估者可以利用評估觀察報告要求驗證者澄清某個要求的應用，而驗證者應對之做出解釋。評估者也可利用觀察報告指出潛在的弱點或缺陷，并從發起者或開發者那組要求更多信息。執行階段的輸出是評估技術報告( Evaluate Technical Reports，ETR)。結論階段，評估者向驗證者遞交ETR，不同的評估機制覿楚了對持有ETR的限制，可能包括遞交給發起者或開發者，ETR 可能包括一些敏感或私有信息，在遞交給發起者之前要進行處理。驗證者復審并分析ETR以確保與CC、CEM及評估機制的要求一致，并對ETR中的最終評判做出同意或不同意的決定。

驗證者可以以ETR為主要參考準備一份評估總結報告(Evaluation Summary Report，ESR)并遞交給評估權威機構。發起者、開發者、評估者有權復核ESR。

想了解更多IT資訊，請訪問中培偉業官網：中培偉業