ISO/IEC 18045:2022 – Phương Pháp Đánh Giá An Toàn Công Nghệ Thông Tin (CEM)

ISO/IEC 18045:2022: Phương Pháp Đánh Giá An Toàn Công Nghệ Thông Tin – Common Evaluation Methodology (CEM) Cho Common Criteria

Giới thiệu

ISO/IEC 18045:2022 là tiêu chuẩn quốc tế cung cấp phương pháp đánh giá (Common Evaluation Methodology – CEM) dành cho các sản phẩm công nghệ thông tin theo bộ tiêu chí ISO/IEC 15408:2022 (Common Criteria).

Đây chính là “hướng dẫn thực hiện” chi tiết giúp các phòng thí nghiệm (evaluation laboratories) tiến hành đánh giá một cách nhất quán, khách quan và có thể lặp lại. Phiên bản 2022 được cập nhật đồng bộ hoàn toàn với ISO/IEC 15408:2022, hỗ trợ đánh giá các sản phẩm hiện đại như thiết bị IoT, OT/ICS, cloud services và hệ thống AI.

Hình 1: Quy trình đánh giá Common Criteria theo ISO/IEC 18045:2022

1. ISO/IEC 18045:2022 Là Gì?

ISO/IEC 18045:2022 là tiêu chuẩn phương pháp đánh giá (Methodology) cho ISO/IEC 15408 (Common Criteria). Nó quy định rõ ràng từng bước, kỹ thuật và yêu cầu mà evaluator phải tuân thủ khi kiểm tra và chứng nhận mức độ an toàn của sản phẩm CNTT.

Tiêu chuẩn không phải là tiêu chuẩn chứng nhận mà là tài liệu hướng dẫn kỹ thuật giúp quá trình đánh giá đạt độ chính xác cao, minh bạch và được công nhận bởi CCRA (Common Criteria Recognition Arrangement).

2. Những Điểm Mới Nổi Bật Trong Phiên Bản 2022

Phiên bản 2022 được tinh chỉnh để phù hợp với cấu trúc 5 phần mới của ISO 15408 và hỗ trợ các công nghệ mới.

Bảng so sánh nhanh ISO/IEC 18045:2008 vs 2022

Hình 2: So sánh ISO 18045:2022 và ISO 15408:2022 

3. Lợi Ích Khi Áp Dụng ISO/IEC 18045:2022

• Đánh giá sản phẩm nhanh chóng, nhất quán và được công nhận quốc tế
• Giảm thời gian và chi phí chứng nhận Common Criteria
• Tăng độ tin cậy của chứng chỉ CC trên thị trường toàn cầu
• Hỗ trợ doanh nghiệp Việt Nam xuất khẩu sản phẩm CNTT (firewall, IoT, thiết bị mạng…)
• Đảm bảo quy trình đánh giá minh bạch và có thể kiểm tra lại

4. Quy Trình Đánh Giá Theo ISO/IEC 18045:2022

1. Chuẩn bị (Preparation) – Xác định TOE và ST/PP
2. Thực hiện đánh giá (Conduct of Evaluation)
3. Kiểm tra tài liệu & kiểm thử
4. Báo cáo kết quả (Evaluation Technical Report)
5. Chứng nhận & giám sát sau chứng nhận

Hình 3: Các giai đoạn đánh giá CEM theo ISO 18045:2022

Kết Luận

ISO/IEC 18045:2022 chính là “bộ hướng dẫn vận hành” không thể thiếu để đưa sản phẩm CNTT của bạn đạt chứng nhận Common Criteria một cách chuyên nghiệp và hiệu quả. Khi kết hợp hoàn hảo với ISO/IEC 15408:2022, doanh nghiệp sẽ sở hữu chứng chỉ an toàn quốc tế uy tín nhất hiện nay.

Bạn đang phát triển sản phẩm CNTT và muốn chứng nhận an toàn theo Common Criteria?