ISO/IEC 15408:2022 – Tiêu Chí Đánh Giá An Toàn Công Nghệ Thông Tin (Common Criteria)

Mkt1 08/06/2026

ISO/IEC 15408:2022 – Tiêu Chí Đánh Giá An Toàn Công Nghệ Thông Tin (Common Criteria): Bộ Tiêu Chuẩn Vàng Cho Sản Phẩm CNTT An Toàn

Giới thiệu

ISO/IEC 15408:2022 (hay còn gọi là Common Criteria – CC) là bộ tiêu chuẩn quốc tế về tiêu chí đánh giá an toàn công nghệ thông tin. Đây là phiên bản cập nhật lớn năm 2022, được chia thành 5 phần, giúp đánh giá và chứng nhận mức độ an toàn của sản phẩm CNTT (phần cứng, phần mềm, hệ thống nhúng, thiết bị mạng, firewall, thiết bị IoT…).

Bộ tiêu chuẩn này được công nhận toàn cầu bởi CCRA (Common Criteria Recognition Arrangement) với hơn 30 quốc gia thành viên, giúp sản phẩm Việt Nam dễ dàng xuất khẩu và được tin tưởng bởi khách hàng quốc tế.

Hình 1: Cấu trúc 5 phần ISO/IEC 15408:2022

1. ISO/IEC 15408:2022 Là Gì?

Bộ tiêu chuẩn ISO/IEC 15408:2022 gồm 5 phần riêng biệt:

Part 1: Giới thiệu và mô hình tổng quát
Part 2: Các thành phần chức năng bảo mật (Security Functional Components)
Part 3: Các thành phần đảm bảo bảo mật (Security Assurance Components)
Part 4: Khung quy định phương pháp và hoạt động đánh giá
Part 5: Các gói yêu cầu bảo mật định sẵn (Pre-defined packages)

Đây là công cụ để đánh giá độc lập mức độ an toàn của sản phẩm theo 7 cấp Evaluation Assurance Level (EAL1 đến EAL7).

2. Những Điểm Mới Nổi Bật Trong Phiên Bản 2022

Bảng so sánh nhanh ISO/IEC 15408:2009 vs 2022

Tiêu chí	Phiên bản 2009	Phiên bản 2022 (5 phần)	Lợi ích cho doanh nghiệp Việt Nam
Số phần	3 phần	5 phần (thêm Part 4 & Part 5)	Chi tiết hơn, dễ áp dụng cho sản phẩm phức tạp
Gói yêu cầu bảo mật	Không có Part 5	Có Part 5 (pre-defined packages)	Tiết kiệm thời gian chứng nhận
Hỗ trợ đa mô hình đánh giá	Hạn chế	Hỗ trợ multi-assurance & exact conformance	Phù hợp IoT, OT, thiết bị thông minh
Tích hợp công nghệ mới	Thấp	Cao (cloud, AI, IoT, IIoT)	Hỗ trợ xuất khẩu sản phẩm Việt Nam
Phương pháp đánh giá	CEM riêng	Kết nối chặt với ISO/IEC 18045:2022	Đánh giá nhanh, chi phí thấp hơn

Hình 2: 7 cấp EAL theo ISO/IEC 15408:2022

3. Lợi Ích Khi Áp Dụng ISO/IEC 15408:2022

Chứng nhận sản phẩm được công nhận quốc tế
Tăng khả năng xuất khẩu sang châu Âu, Mỹ, Nhật Bản, Hàn Quốc
Giảm rủi ro khi bán cho chính phủ và doanh nghiệp lớn
Xây dựng lòng tin với khách hàng cuối
Hỗ trợ doanh nghiệp Việt Nam tham gia chuỗi cung ứng toàn cầu

4. Quy Trình Đánh Giá Theo ISO/IEC 15408:2022

Xác định Target of Evaluation (TOE)
Xây dựng Security Target (ST) hoặc Protection Profile (PP)
Chọn cấp EAL phù hợp
Thực hiện đánh giá bởi phòng thí nghiệm được công nhận
Nhận chứng chỉ Common Criteria

Hình 3: Quy trình chứng nhận Common Criteria

Kết Luận

ISO/IEC 15408:2022 (Common Criteria) chính là “hộ chiếu an toàn” quốc tế cho mọi sản phẩm CNTT. Khi sản phẩm của bạn đạt chứng nhận CC, bạn không chỉ tuân thủ tiêu chuẩn toàn cầu mà còn mở rộng thị trường xuất khẩu và tăng giá trị thương hiệu mạnh mẽ.

Bạn đang phát triển sản phẩm CNTT và muốn chứng nhận an toàn theo Common Criteria?

Bài viết liên quan

ISO/IEC TR 22216:2022 – Các Khái Niệm Mới Và Thay Đổi Trong ISO/IEC 15408:2022 & ISO/IEC 18045:2022

ISO/IEC TR 22216:2022 là Technical Report tóm tắt tất cả khái niệm mới và thay đổi quan trọng trong ISO/IEC 15408:2022 (Common Criteria) và ISO/IEC 18045:2022 (CEM). Hướng dẫn chuyển tiếp nhanh cho doanh nghiệp Việt Nam.

ISO/IEC 18045:2022 – Phương Pháp Đánh Giá An Toàn Công Nghệ Thông Tin (CEM)

ISO/IEC 18045:2022 là Common Evaluation Methodology (CEM) – phương pháp đánh giá chi tiết cho ISO/IEC 15408:2022 (Common Criteria). Hướng dẫn evaluator thực hiện đánh giá sản phẩm CNTT theo chuẩn quốc tế.

Tin tức và Sự kiện liên quan

ISO/IEC 29100:2024 – Khung Bảo Vệ Quyền Riêng Tư Toàn Diện

ISO/IEC 29100:2024 là khung bảo vệ quyền riêng tư quốc tế, cung cấp nguyên tắc, thành phần và mô hình quản lý PII. Hướng dẫn doanh nghiệp Việt Nam xây dựng hệ thống bảo vệ dữ liệu cá nhân theo PDPL và GDPR.

ISO/IEC 27701:2025 – Hệ Thống Quản Lý Thông Tin Riêng Tư (PIMS)

ISO/IEC 27701:2025 là tiêu chuẩn quốc tế về Hệ thống Quản lý Thông tin Riêng tư (PIMS). Hướng dẫn mở rộng ISO 27001 để quản lý quyền riêng tư dữ liệu cá nhân theo luật PDPL Việt Nam và GDPR.

Bình luận

! Nhập đánh giá không được để trống

! Họ và tên không được để trống

! Email không được để trống