TOE认证基本流程有哪些 TOE认证审核的范围包括哪些

TOE（Target of Evaluation）认证的基本流程通常包括以下几个步骤：

1. 准备阶段：创建TOE（IT硬件、软件，包括固件、IT系统）并创建其文档。文档应具有特殊的形式，由安全评估报告（SAR）的内容产生声明的EAL（Evaluation Assurance Level）包中包含的要求。

2. 文档编写：编写安全任务、开发环境、IT产品等相关文档，作为评估的证据。这些文档包括安全功能规范、产品设计、实现表示、安全架构等。

3. 评估过程：在获得认可的实验室进行评估，基于评估方案进行。使用CEM安全评估方法，通过评估单位的三值逻辑进行评估：通过、失败、无定论。

4. 测试与评估：进行功能测试和脆弱性评定，确保TOE的功能与其文档一致，并且没有潜在的安全脆弱性。

5. 评估报告：评估结束后，评估者会编写评估报告，总结评估结果和发现的问题。

6. 认证决定：根据评估报告，认证机构决定是否颁发TOE认证证书。

7. 持续监督：获得认证后，需要定期接受监督审核，以确保持续符合认证要求。

TOE认证审核的范围通常包括：

1. 开发环境：使用的生命周期模型、配置管理系统及其范围、开发环境安全措施等。

2. IT产品：安全功能规范、产品设计、实现表示、安全架构、产品实用程序和安装文档、功能测试等。

3. 生命周期支持：配置管理能力、配置管理范围、交付程序、开发安全等。

4. 测试：包括测试范围分析、功能测试、脆弱性分析等。

5. 安全问题定义：描述TOE及其运行环境要解决的安全问题，包括威胁、组织安全策略和假设。

6. 安全要求：将TOE安全目的转化为具体的安全功能要求和安全保障要求。

7. TOE概要规范：描述TOE实现的安全功能及其如何实现相关安全要求。

8. 物理和逻辑范围：描述TOE的物理范围和逻辑范围，包括构成TOE的所有部分和TOE提供的安全能力。

9. 符合性声明：描述ST和TOE对GB/T 18336的符合情况，以及ST对安全技术要求（STR）和评估保障级（EAL）的符合情况。

在准备TOE认证时，需要确保所有相关的文件和记录都符合标准，并且员工必须了解并遵守所有操作程序和规定。此外，还需要建立一个有效的管理系统，以确保持续的质量和合规性。