| Common Criteria的7級安全評估等級 |
| 評估等級 | 審驗時間 | 內容 | 安全等級的說明 |
| EAL 1 | 3個月 | 功能檢測(Functionally Tested) | 只檢測一個產品最基礎的功能,不包含任何安全性的評估,不保證安全性。取得EAL1驗證等級,只表示這個產品能夠開機、執行,不涉及任何安全性議題。 |
| EAL 2 | 6個月 | 結構檢測(Structurally Tested) | EAL 2安全程度比EAL1高,EAL 2才開始會作安全上的檢測。會用寬鬆的標準作適當的原始碼檢查,但嚴謹程度低於EAL 3。 |
| EAL 3 | 9∼12個月 | 系統測試及檢查(Methodically Tested and Checked) | EAL 3更嚴格檢查程式碼,但不需要重新翻修程式,也不會打斷整個開發流程。EAL 3不像EAL 4必須評估漏洞修補的成本,所以EAL3還是採用比EAL 4寬鬆的安全檢測標準。 |
| EAL 4 | 12∼16個月 | 系統設計、測試及審查(Methodically Designed, Tested and Reviewed) | EAL 4是最常見的安全性驗證標準,例如Windows 2000、NetWare等都取得EAL 4以上的認證。只有到EAL 4時,大家才會接受這個驗 證,能有效確保系統的安全性,而供應商也會將漏洞修補包含在安全性檢測基本項目中。 |
| EAL 5 | 18∼24個月 | 半正規設計和測試(Semiformally Designed and Tested) | EAL 5是一個比EAL 4要求更周延的的安全驗證等級,必須經過非常嚴格的驗證流程,花費的時間、成本都比EAL 4還高。但不見得需要取得EAL 5驗證。 |
| EAL 6 | | 半正規查證設計和測試 (Semiformally Verified Design and Tested) | EAL 6驗證如同是針對客戶提出某些高風險、特殊的安全要求,不惜耗費時間、金錢,一定要達到客戶的安全性要求。要取得EAL6的驗證。安全是EAL 6的基本要求,這意味著,整個系統的開發都必須奠基在安全的要求上。 |
| EAL 7 | | 正規查證設計和測試 (Formally Verified Design and Tested) | EAL 7只有用於極度高度風險的系統,對系統的要求不只是能用而已,還必須具有極度高度的風險性要求。金錢和時間花費難以想像,只會用在具有特殊安全功能的特定系統中。 |
| 資料來源:IBMTUV、國家通訊傳播委員會(NCC)、電信技術中心資通安全實驗室、〈歐盟資訊安全技術與政策發展現況之研究〉中興大學資訊管理系林詠章教授,iThome整理,2008年3月 |
