4.4 評估流程

4.4　評估流程

根據GB/T 30270-2013的安全評估過程包括評估準備、評估實施、評估結果等階段，具體如下：

a) 評估準備階段：評估發起者應按照GB/T 30270-2013給評估者提供安全目標，評估者分析其可行性。評估者可能會需要發起者提供其它評估相關的輔助信息。評估發起者或者ST開發者會給評估者提供一部分待評估物。評估者審查安全目標，然后告知發起者對某些內容進行必要的補充完善，以方便未來評估過程的實施。當評估者認為評估發起者對評估所需要的資料都準備齊全了，則評估過程進入下一階段。

b) 評估實施階段：評估者生成包括待評估產品列表，評估活動，以及基于GB/T 30270-2013評估方法的抽樣要求等文檔的可行性研究報告。發起者和評估者在評估準備階段簽署一項協議，該協議包含評估的基本框架，同時要考慮到評估體制的局限性以及國家法律和法規的任何要求。協議簽訂后，評估者即可進入評估實施階段。在此階段包含的主要活動內容有：

1) 評估者檢查發起者或者開發者應交付的評估物，然后按照GB/T 30270-2013進行必要的評估活動。

2) 在評估階段，評估者可能會撰寫觀察報告（ORs）。該報告里，評估者會向監管者（評審機構）詢問如何滿足其監管的要求。

3) 監管者對評估者的解釋請求進行回應，然后允許進行下一步評估。

4) 監管者同樣可能確認和指出一些潛在的缺陷或者威脅，然后要求發起者或者開發者提供額外的信息資料。

c) 評估最終結果階段：評估者根據文檔審核、測試情況、現場檢查結果，對TOE進行綜合評判，并撰寫評估技術報告。