4)使用CC進(jìn)行評(píng)估的基本過程

為了使評(píng)估結(jié)果具有更好的可比性，評(píng)估宜在一個(gè)權(quán)威的評(píng)估體制框架內(nèi)執(zhí)行，該體制框架負(fù)責(zé)設(shè)定標(biāo)準(zhǔn)、監(jiān)控評(píng)估質(zhì)量、掌管評(píng)估機(jī)構(gòu)和評(píng)估者必須遵守的規(guī)章制度。

CC不對(duì)監(jiān)管框架提出要求。但是，要達(dá)到評(píng)估結(jié)果相互認(rèn)可的目標(biāo)，不同評(píng)估管理機(jī)構(gòu)的監(jiān)管框架必須是一致的。下圖描述了構(gòu)成評(píng)估相關(guān)要素的主要因素。

　　使用通用的評(píng)估方法學(xué)主要是確保評(píng)估結(jié)果的可重復(fù)性和客觀性，但僅靠方法學(xué)本身不夠充分。許多評(píng)估準(zhǔn)則需要使用專家判斷和一定的背景知識(shí)，而這些更難達(dá)到一致。為了提高評(píng)估所見的一致性，最終的評(píng)估結(jié)果應(yīng)提交給一個(gè)認(rèn)l過程+。該認(rèn)證過程是對(duì)評(píng)估結(jié)果的獨(dú)立審查，并產(chǎn)生最終的證書或正式批文。該證書通常是公開的。認(rèn)證過程是使得IT安全準(zhǔn)則應(yīng)用得到更好一致性的一種手段。

評(píng)估體制、評(píng)估方法學(xué)和認(rèn)證過程由運(yùn)行評(píng)估體制的評(píng)估管理機(jī)構(gòu)負(fù)責(zé)，不屬于CC的范圍。