2.1　CC的适用性

CC标准的设计目标就是为IT产品开发者、评估者、监管者、消费者（客户）、评估机构等用户提供一种设计和评估IT产品安全的通用方法，形成一个世界各国都能接受的IT产品安全评估准则。换句话说CC标准适用于所有类型IT产品的安全评估，但标准正文也明确指出了一些例外情况，即不在CC标准适用范围之内的评估内容，主要包括以下方面。

（1）与IT产品安全功能非直接相关的行政管理措施的安全评估，如组织、人员、物理或规程上的措施或支持的安全评估。

（2）IT安全性的物理方面、IT产品运行支撑环境（包括技术支撑环境）等的安全评估。

（3）IT产品需求定义、安全方案设计及TOE实现中相关人员的安全评估。

（4）评估机构在IT产品安全评估中如何使用CC的管理模式或法律框架。

（5）CCTL评估结果用于IT产品安全认证的过程。

（6）IT产品相关的密码算法固有的质量评估准则等。

下面对CC未能覆盖的安全评估内容做更详细的讨论。

首先，安全管理措施和过程控制规程与机制一般与组织的操作安全相关，这方面内容属于IT产品在消费者运行环境中的安全保障范畴，CC并没有考虑如何对IT产品运行环境控制及行政管理措施进行描述和评估。同样地，即使安全评估机构将描述用户需求的PP作为风险评估的输入，CC也不会论述应该如何对行政性安全管理措施进行安全风险评估。

其次，CC仅在一个非常有限的上下文中考虑IT产品的物理安全，维护TOE安全运行的组织应提供与TOE及其所包含数据的价值相一致的物理安全环境描述，实现PP/ST中定义的各种物理假设。例如，控制对安全设备的非授权物理访问，阻止和抵抗对这些设备的非授权物理篡改和替换。CC/CEM从版本3.1起就不再给出对应性的物理安全要求，以及相关人员安全假设等TOE假设方面的评估方法。

第三，人员安全问题也没有被CC/CEM完全覆盖，只在生命周期保障（ALC）类组件中部分体现了开发过程相关研发人员的安全保障能力要求，其他人员的安全要求是通过PP/ST安全问题定义部分的人员安全假定描述的，如TOE预期的用户权限类型，他们的一般责任以及假设给予这些用户的信任度等。

第四，CC项目组织在制定CC标准时并没有考虑CC测试实验室的TOE评估结果的认证和认可（C&A）相关规程及其规则。IT产品的安全认证和认可的管理模式或法律框架将由具体国家或政府机构的安全评估体制建设，基于CC/CEM的IT产品评估结果只被用作各个国家TOE认证和认可的输入。

第五，IT产品中使用的加密算法安全性或哪些算法被认可也不在CC/CEM的论述范围中。事实上，CC仅定义了IT产品密钥管理和加解密接口的合规性需求。CC认为IT产品的密码算法及其密码体系评估应该由国家和国际相关的其他加密安全评估标准所覆盖，如我国密码模块相关的安全要求可参照GM/T 0028《密码模块安全要求》、GM/T 0039《密码模块安全检测要求》或ISO/IEC 19790《信息技术　安全技术　密码模块安全要求》、ISO/IEC 24759《信息技术　安全技术　密码模块测试要求》等标准进行安全评估。

最后需要注意的是，IT产品的安全评估应在专门的CC测试实验室进行。所有CC测试实验室必须符合国际标准化组织/合格评定委员会（ISO/CASCO）制定的实验室管理标准ISO/IEC 17025《检验和校准实验室能力的通用要求》，而认证机构通常需符合ISO/IEC 17065《产品、过程和服务认证机构要求》。其中，ISO/IEC 17065为认证机构如何建立和操作产品认证制度、如何规范和评价产品认证活动，以及如何更好地提高自身能力与管理等提供了有效方法。ISO/IEC 17025主要包括：定义、组织和管理、质量体系、审核和评审、人员、设施和环境、设备和标准物质、量值溯源和校准、校准和检测方法、样品管理、记录、证书和报告、校准或检测的分包、外部协助和供给、投诉等内容。该标准中的核心内容为设备和标准物质、量值溯源和校准、校准和检测方法、样品管理等内容，用于评价实验室校准或检测能力是否达到预期要求。