4.3 評估上下文

為了使評估結果達到更好的可比性，應在權威的評估體制內執行評估，該體制規定了標準、監督評估質量并管理評估的工具，以及評估者必須遵守的規則。

本標準并不規定對評估體制的要求，但是，不同評估機構體制的一致性也是必要的，以方便評估結果的互認。圖1描述了形成評估上下文的主要部分。

使用通用評估方法學來提供結果的可重復性和客觀性，但僅靠方法學本身是不充分的。許多評估準則需要專業判斷和一定的背景知識，而這些是很難達到一致的。為了增強評估結果的一致性，最終的評估結果應進入認證過程，該過程是一個針對評估結果的獨立檢查，并生成最終的證書或正式批準文件。該證書通常是公開的。要說明的是，認證過程是使得信息系統安全保障評估框架的應用得到更好一致性的一種手段。

評估體制、方法學和認證過程是認證監督管理機構的責任，不屬于本標準的范圍。