ISO/IEC 19896-3:2025
(Main)Information security, cybersecurity and privacy protection — Requirements for the competence of IT security conformance assessment body personnel — Part 3: Knowledge and skills requirements for evaluators and reviewers according to the ISO/IEC 15408 series and ISO/IEC 18045
Information security, cybersecurity and privacy protection — Requirements for the competence of IT security conformance assessment body personnel — Part 3: Knowledge and skills requirements for evaluators and reviewers according to the ISO/IEC 15408 series and ISO/IEC 18045
This document provides the specialized requirements for individuals to demonstrate competence in performing IT product security evaluations and reviews according to the ISO/IEC 15408 series and ISO/IEC 18045. NOTE It is possible that evaluators and testers belong to bodies operating under ISO/IEC 17025 and reviewers belong to bodies operating under ISO/IEC 17065.
Sécurité de l'information, cybersécurité et protection de la vie privée ― Exigences relatives aux compétences du personnel des organismes d'évaluation de la conformité de la sécurité TI — Partie 3: Exigences en matière de connaissances et de compétences pour les évaluateurs et les examinateurs conformément à la série ISO/IEC 15408 et à l'ISO/IEC 18045
Le présent document fournit les exigences spécialisées permettant aux personnes de démontrer leur compétence dans la réalisation d'évaluations et d'examens de la sécurité des produits TI conformément à la série ISO/IEC 15408 et à l'ISO/IEC 18045. NOTE Il est possible que les évaluateurs et les testeurs appartiennent à des organismes opérant sous l'ISO/IEC 17025 et que les examinateurs appartiennent à des organismes opérant sous l'ISO/IEC 17065.
General Information
Relations
Standards Content (Sample)
International
Standard
ISO/IEC 19896-3
Second edition
Information security, cybersecurity
2025-11
and privacy protection —
Requirements for the competence
of IT security conformance
assessment body personnel —
Part 3:
Knowledge and skills requirements
for evaluators and reviewers
according to the ISO/IEC 15408
series and ISO/IEC 18045
Sécurité de l'information, cybersécurité et protection de la vie
privée ― Exigences relatives aux compétences du personnel des
organismes d'évaluation de la conformité de la sécurité TI —
Partie 3: Exigences en matière de connaissances et de
compétences pour les évaluateurs et les examinateurs
conformément à la série ISO/IEC 15408 et à l'ISO/IEC 18045
Reference number
© ISO/IEC 2025
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO/IEC 2025 – All rights reserved
ii
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviated terms . 2
3.1 Terms and definitions .2
3.2 Abbreviated terms .2
4 Knowledge . 2
4.1 Knowledge required for evaluators .2
4.1.1 General .2
4.1.2 Knowledge of the ISO/IEC 15408 series and ISO/IEC 18045 .3
4.1.3 Knowledge of the assurance paradigm .5
4.1.4 Knowledge of information security.6
4.1.5 Knowledge of the technology .7
4.2 Knowledge required for reviewers .8
4.2.1 General .8
4.2.2 Knowledge of the ISO/IEC 15408 series and ISO/IEC 18045 .9
4.2.3 Knowledge of the assurance paradigm .10
4.2.4 Knowledge of information security. 12
4.2.5 Knowledge of technology. 13
5 Skills . 14
5.1 Skills required for evaluators .14
5.1.1 General .14
5.1.2 Basic evaluation skills .14
5.1.3 Core evaluation skills regarding ISO/IEC 15408-3 and ISO/IEC 18045 . 15
5.1.4 Skills required for specific security assurance classes .16
5.1.5 Skills required for specific security functional requirement classes .17
5.1.6 Skills required for specific technology .17
5.2 Skill required for reviewers .17
5.2.1 Basic review skills .17
5.2.2 Core review skills regarding ISO/IEC 15408-3 and ISO/IEC 18045 .18
5.2.3 Skills required for specific security assurance classes .18
5.2.4 Skills required for specific security functional requirement classes .19
5.2.5 Skills required for specific technology .19
Annex A (informative) Technology types: knowledge and skills.20
Annex B (informative) Examples of knowledge and skills required for evaluating security
assurance requirement classes .27
Annex C (informative) Examples of knowledge required for evaluating security functional
requirement classes .40
Bibliography .44
© ISO/IEC 2025 – All rights reserved
iii
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical activity.
ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations,
governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/
IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the
use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any
claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not
received notice of (a) patent(s) which may be required to implement this document. However, implementers
are cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents and https://patents.iec.ch. ISO and IEC shall not be held
responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html.
In the IEC, see www.iec.ch/understanding-standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection, in collaboration with the
European Committee for Standardization (CEN) Technical Committee CEN/CLC/JTC 13, Cybersecurity and
data protection, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
This second edition cancels and replaces the first edition (ISO/IEC 19896-2:2018), which has been technically
revised.
The main changes are as follows:
— completely reworked the requirements for evaluators, including restructuring of the content;
— added requirements for personnel reviewing IT security conformance assessment activities.
A list of all parts in the ISO/IEC 19896 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.
© ISO/IEC 2025 – All rights reserved
iv
Introduction
The ISO/IEC 15408 series permits comparability between the results of independent security evaluations. It
does so by providing a common set of requirements for the security functionality of information technology
(IT) products and for assurance measures applied to these IT products during a security evaluation. Many
review and evaluation schemes as well as review bodies have been developed using the ISO/IEC 15408 series
and ISO/IEC 18045 as a basis, which permits comparability between the results of evaluation projects.
The evaluation process usually relies on both pre-defined tests/methods for a type of TOE, and TOE-
specific tests/methods that are defined for a given implementation of the TOE. Hence, the competence of
the individual evaluators, who are expected not only to apply pre-defined tests/methods but to define and
run TOE-specific tests/methods, is key to ensuring the comparability and repeatability of evaluation results
which is the foundation for mutual recognition.
This document establishes a baseline for the minimum competence of ISO/IEC 15408 series evaluators and
reviewers to ensure harmonized requirements for training ISO/IEC 15408 evaluators and reviewers. It
provides specialized requirements for individuals performing IT product security evaluations and reviews
to demonstrate their competence according to the ISO/IEC 15408 series and ISO/IEC 18045. ISO/IEC 15408-1
describes the general framework for competences including the various elements thereof: knowledge, skills,
experience and education. This document covers knowledge and skills, especially in the following areas.
— Information security
— Knowledge: information security principles, information security properties, information security
threats and vulnerabilities.
— Skills: understanding information security requirements, the context and the scope of evaluation.
— Information security evaluation
— Knowledge: knowledge of the ISO/IEC 15408 series and ISO/IEC 18045, laboratory management system.
— Skills: Basic evaluation skills, core evaluation skills, skills required when evaluating specific security
assurance classes, skills required when evaluating specific security functional requirements classes.
— Information systems architecture
— Knowledge: technology being evaluated.
— Skills: understanding the interaction of security components and information.
— Information security testing
— Knowledge: information security testing techniques, information security testing tools, product
development lifecycle, test types.
— Skills: creating and managing an information security test plan, designing information security
tests, preparing and conducting information security tests.
The audience for this document includes testing laboratory accreditation bodies, organizations implementing
evaluation schemes, laboratories, evaluators and organizations offering professional credentialing.
© ISO/IEC 2025 – All rights reserved
v
International Standard ISO/IEC 19896-3:2025(en)
Information security, cybersecurity and privacy protection —
Requirements for the competence of IT security conformance
assessment body personnel —
Part 3:
Knowledge and skills requirements for evaluators and
reviewers according to the ISO/IEC 15408 series and ISO/
IEC 18045
1 Scope
This document provides the specialized requirements for individuals to demonstrate competence in
performing IT product security evaluations and reviews according to the ISO/IEC 15408 series and
ISO/IEC 18045.
NOTE It is possible that evaluators and testers belong to bodies operating under ISO/IEC 17025 and reviewers
belong to bodies operating under ISO/IEC 17065.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes
requirements of this document. For dated references, only the edition cited applies. For undated references,
the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 19896-1, Information security, cybersecurity and privacy protection — Requirements for the
competence of IT security conformance assessment body personnel — Part 1: Introduction and concepts
1)
ISO/IEC 15408-1:— , Information security, cybersecurity and privacy protection — Evaluation criteria for IT
security — Part 1: Introduction and general model
2)
ISO/IEC 15408-2:— , Information security, cybersecurity and privacy protection — Evaluation criteria for IT
security— Part 2: Security functional components
3)
ISO/IEC 15408-3:— , Information security, cybersecurity and privacy protection — Evaluation criteria for IT
security— Part 3: Security assurance components
ISO/IEC 15408-4, Information security, cybersecurity and privacy protection — Evaluation criteria for IT
security — Part 4: Framework for the specification of evaluation methods and activities
ISO/IEC 15408-5, Information security, cybersecurity and privacy protection — Evaluation criteria for IT
security— Part 5: Pre-defined packages of security requirements
4)
ISO/IEC 18045:— , Information security, cybersecurity and privacy protection — Evaluation criteria for IT
security — Methodology for IT security evaluation
1) Under preparation. Stage at the time of publication: ISO/IEC FDIS 15408-1:2025.
2) Under preparation. Stage at the time of publication: ISO/IEC DIS 15408-2:2025.
3) Under preparation. Stage at the time of publication: ISO/IEC DIS 15408-3:2025.
4) Under preparation. Stage at the time of publication: ISO/IEC FDIS 18045:2025.
© ISO/IEC 2025 – All rights reserved
3 Terms, definitions and abbreviated terms
For the purposes of this document, the terms and definitions given in ISO/IEC 19896-1, ISO/IEC 15408-1,
ISO/IEC 15408-2, ISO/IEC 15408-3, ISO/IEC 18045 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1 Terms and definitions
3.1.1
supporting document
document that specifies the use of the Common Criteria (CC) or common methodology for information
technology security evaluation (CEM) in a particular field or domain of technology
Note 1 to entry: Such a document can be either required or recommended, and generally specifies harmonized
interpretations of the CC and CEM where deemed necessary and/or useful.
3.1.2
technical domain
family of information technology (IT) products that require specific technical competencies, especially
with regard to the vulnerability analysis, requiring a common understanding of the attack potential for
performing the evaluation
3.2 Abbreviated terms
CC Common Criteria
CEM common evaluation methodology
cPP collaborative protection profile
ETR evaluation technical report
IC integrated circuit
IT information technology
PP protection profile
ST security target
TSF TOE security functionality
TSFI TOE security functionality interface
TOE target of evaluation
4 Knowledge
4.1 Knowledge required for evaluators
4.1.1 General
4.1.2 to 4.1.5 address the knowledge that is required to evaluate according to the ISO/IEC 15408 series and
ISO/IEC 18045.
© ISO/IEC 2025 – All rights reserved
Some knowledge is required for every evaluator independent of their specific task, while other knowledge
is required only depending on the specific evaluation task and the TOE to which the evaluator is assigned.
NOTE Previous experience in tasks related to the use of the ISO/IEC 15408 series and its related documents
including, but not limited to, performing related work such as review, consultancy, product development, research and
specification of requirements, can contribute to the elements of knowledge that are required for competence.
4.1.2 Knowledge of the ISO/IEC 15408 series and ISO/IEC 18045
4.1.2.1 Generic knowledge of the ISO/IEC 15408 series and ISO/IEC 15408 18045
Every evaluator’s knowledge shall include:
5) 6)
a) the terms and definitions defined in ISO/IEC 15408-1:— , Clause 3; ISO/IEC 15408-2:— , Clause 3; and
7)
ISO/IEC 15408-3:— , Clause 3;
8)
b) the terms and definitions defined in ISO/IEC 18045:—, Clause 3; and
c) the context for evaluations according to the ISO/IEC 15408 series.
4.1.2.2 Knowledge of ISO/IEC 15408-1
Every evaluator shall be able to demonstrate knowledge about the topics required to fulfil their role
according to their competence level and on which the person is authorized to work.
Every evaluator’s knowledge shall include:
a) the general model for the ISO/IEC 15408 series given in ISO/IEC 15408-1.
When the evaluator’s role and competency level demand it, their knowledge shall include the following
relevant items:
b) tailoring security requirements: operations, dependencies between components and extended
components;
c) specification of protection profiles, modules, configurations and packages;
d) handling of evaluation results;
e) specification of security targets;
f) composition models;
g) multi-assurance approach; and
h) modularization concepts.
4.1.2.3 Knowledge of ISO/IEC 15408-2
Every evaluator shall be able to demonstrate knowledge about the security functional requirements (SFRs)
of ISO/IEC 15408-2 required to fulfil their role according to their competence level and the technology types
on which the evaluator is authorized to work, as well as any dependent SFRs. Examples of the knowledge
required by ISO/IEC 15408-2 are given in Annex C.
If the evaluator is required to demonstrate competence in ISO/IEC 15408-2, then knowledge of the respective
security functional requirements shall be demonstrated.
5) Under preparation. Stage at the time of publication: ISO/IEC FDIS 15408-1:2025.
6) Under preparation. Stage at the time of publication: ISO/IEC DIS 15408-2:2025.
7) Under preparation. Stage at the time of publication: ISO/IEC DIS 15408-3:2025.
8) Under preparation. Stage at the time of publication: ISO/IEC FDIS 18045:2025.
© ISO/IEC 2025 – All rights reserved
4.1.2.4 Knowledge of ISO/IEC 15408-3
Every evaluator shall be able to demonstrate knowledge about the security assurance requirements
(SARs) given in ISO/IEC 15408-3 required to fulfil their role according to their competence level and that
are specified by Security Targets (ST) on which the evaluator is authorized to work. The knowledge of
particular SAR components shall include those on which the evaluator is authorized to work. Examples of
the knowledge required by ISO/IEC 15408-3 are given in Annex B.
If the evaluator is required to demonstrate competence in ISO/IEC 15408-3, then knowledge of the respective
security assurance requirements shall be demonstrated.
4.1.2.5 Knowledge of ISO/IEC 15408-4
If the evaluator is required to demonstrate competence in ISO/IEC 15408-4, then the following shall be
demonstrated:
a) the framework used for deriving evaluation activities from work units in ISO/IEC 18045;
b) the general model of evaluation methods and evaluation activities; and
c) defining evaluation activities for extended SARs.
4.1.2.6 Knowledge of ISO/IEC 15408-5
If the evaluator is required to demonstrate competence in ISO/IEC 15408-5, then knowledge about the
packages specified in ISO/IEC 15408-5 shall be demonstrated.
4.1.2.7 Knowledge of ISO/IEC 18045
Every evaluator shall demonstrate:
a) the evaluation process, as described in ISO/IEC 18045:—, Clause 8; and
b) security evaluation method and activities given in ISO/IEC 18045.
Additionally, every evaluator shall have the necessary knowledge required by the evaluation methods and
activities specified for the assurance classes on which the person is authorized to work. Examples of the
knowledge required by ISO/IEC 18045 are given in Annex B.
Every evaluator working in the ALC class shall additionally have the following knowledge:
c) site security (including physical, technical, organisational and personnel security requirements and
measures, IT logical security/network security);
d) site audits;
e) secure development processes;
f) software/hardware bill of materials;
g) configuration management and development practices;
h) information security standards; and
i) methods for product development and its life cycle.
NOTE The class ALC is defined in ISO/IEC 15408-3.
© ISO/IEC 2025 – All rights reserved
4.1.3 Knowledge of the assurance paradigm
4.1.3.1 Knowledge of the evaluation scheme and overall evaluation framework
Evaluation schemes usually specify an overall evaluation framework with scheme-specific scope, regulations
and application rules. Organizations implementing such an evaluation scheme as well as review bodies
working within such an evaluation scheme typically define specifications based on the scheme. Within the
predefined limits they also define their operational framework such as policies and procedures that are
specific to the evaluation scheme.
Every evaluator shall be able to demonstrate knowledge of the evaluation schemes as required to fulfil their
role according to their competence level. Applicable evaluation schemes are those in which the person is
authorized to work.
Every evaluator shall have the necessary knowledge of the following items that are of relevance to the
evaluation-related work on which the evaluator is authorized to work:
a) scope of the evaluation scheme;
b) any (sector-specific) regulations, legislation, policies, and further specifics;
c) different types of evaluation/review procedures (e.g. initial review, assurance continuity as re-review,
re-assessment, maintenance);
d) guidance for organizations implementing evaluation schemes and to their evaluators;
e) recognition arrangements;
f) vulnerability disclosure and handling;
g) scope of the implementing organization;
h) policies regarding evaluation projects including entry criteria, time limits and site visit requirements;
i) specific supporting documents;
j) specific interpretations;
k) specific guidance for evaluators;
l) approved protection profiles and their supporting documents;
m) specific assurance methods;
n) reporting requirements;
o) quality; and
p) laboratory approval requirements.
NOTE See ISO/IEC 18045:—, A.5 for guidance on evaluation schemes on this topic.
4.1.3.2 Knowledge of the review body
Every evaluator shall be able to demonstrate knowledge of the review bodies, in order to fulfil their
role according to their competence level. The applicable review bodies are those for which the person is
authorized to work.
NOTE A review body is called an "evaluation authority” in ISO/IEC 15408-1.
EXAMPLE The Common Criteria Recognition Arrangement (CCRA) and the Senior Officials Group Information
Systems Security (SOG-IS) are mutual recognition arrangements under which several evaluation schemes with their
certification bodies for Common Criteria certification work. The European Union Common Criteria Scheme (EUCC) is
an evaluation scheme itself with several assigned certification bodies.
© ISO/IEC 2025 – All rights reserved
Every evaluator shall have the necessary knowledge of the following items that are of relevance to the
evaluation-related work on which the evaluator is authorized to work:
a) scope of the review body;
b) different types of evaluation/review procedures (e.g. initial review, assurance continuity as re-review,
re-assessment, maintenance);
c) review body policies;
d) policies regarding to evaluation projects including entry criteria, time limits and site visit requirements;
e) specific interpretations;
f) specific supporting documents;
g) specific guidance;
h) specific assurance methods;
i) reporting requirements;
j) vulnerability disclosure and handling; and
k) quality.
4.1.3.3 Knowledge of the laboratory and its management system
Every evaluator shall have the necessary knowledge of the following items in order to fulfil their role and in
accordance with the requirements of the evaluation scheme:
a) the laboratory’s management system, including policies, processes and procedures that are applicable
to evaluators;
b) laboratory approved methods; and
c) laboratory competence requirements.
NOTE Management systems vary greatly in their implementations. However, items such as document control,
record control, control of nonconforming testing and calibration work, handling of technical records, and conflict of
interest are often the direct responsibility of every evaluator. Most laboratory management systems are based on
ISO/IEC 17025.
4.1.4 Knowledge of information security
Every evaluator shall have the necessary knowledge of the following concepts in order to fulfil their role and
in accordance with the requirements of the evaluation scheme:
a) security principles;
b) security properties;
c) mechanisms of attack;
d) attack potential;
e) cryptography;
f) secure development lifecycles;
g) security testing;
h) vulnerabilities and weaknesses; and
© ISO/IEC 2025 – All rights reserved
i) information security state-of-the-art concepts and technologies.
See 4.1.5 for further details on the information security topics outlined in a) to i) above, with which
evaluators are expected to be familiar.
4.1.5 Knowledge of the technology
4.1.5.1 Knowledge of technology types
The ISO/IEC 15408 series and ISO/IEC 18045 can be used in the evaluation of a wide variety of information
technologies. These technologies are often classified into various technology types by organizations
implementing evaluation schemes, review bodies or others.
Every evaluator shall have the necessary knowledge of the information technology types on which
the evaluators are authorized to work, including the common security architectures deployed for that
technology type.
NOTE Annex A provides an informative list of knowledge topics presented by commonly identified technology types.
EXAMPLE Commonly identified technology types include:
— authenticator devices, access control devices and systems;
— encryption, key management and public key infrastructures (PKI) systems, products for digital signatures;
— databases;
— operating systems;
— network and network-related devices and systems;
— mobile devices and systems;
— multi-function devices;
— ICs, smart-cards and smart-card related devices and systems;
— hardware devices;
— detection devices and systems; and
— data protection, biometric systems and devices, trusted computing.
4.1.5.2 Knowledge of protection profiles, packages and supporting documents
Every evaluator shall have the necessary knowledge of the following, where applicable for the information
technology on which the evaluator is authorized to work:
a) protection profiles, functional packages, assurance packages, PP-Modules, PP-Configurations and any
related supporting documents specified in connection with the evaluator's work;
b) any additional evaluation methods and assurance activities specified as applicable to an evaluation; and
c) how to determine if any interpretations or guidance in regard to protection profiles, packages and
related supporting documents have been issued and whether they are applicable to a particular
evaluation project.
Additionally, they may have knowledge of:
d) documents that are specific to certain schemes; and
EXAMPLE 1 The EUCC documents for “IC, smartcards and similar devices” and “hardware devices with
security boxes” technical domains.
e) the cPP concept and specific cPPs.
© ISO/IEC 2025 – All rights reserved
EXAMPLE 2 cPPs for network security and operation system security.
4.1.5.3 Knowledge of specific technology
Since technology can vary and are continually evolving, it is not possible to identify all the knowledge
required. Annex A provides a list of examples of both knowledge and skills for many technologies. Additional
general guidance is provided in References [23] and [46], and examples for sector-specific guidance can be
found in References [1],[5],[6] and [13].
Guidance on how to gain, maintain and update technology-related knowledge is provided in A.3.
4.1.5.4 Knowledge for the evaluation of protection profiles, PP-Modules and PP-Configurations
(classes APE and ACE)
Every evaluator evaluating protection profiles (PP) shall have additional knowledge, including the following:
a) knowledge of the TOE’s intended usage, surrounding system and processes, threat model, security
objectives and provided security functionality;
b) extensive knowledge of the relevant product type;
c) specific knowledge of the technology used in the product type used in the PP, including the possibilities
(and limitations) of this technology;
d) knowledge on the operating environment of the product type;
e) knowledge of the lifecycle of the product type;
f) knowledge about modularization concepts like packages, modular PPs, conformance claims on other
PPs, multi-assurance;
g) knowledge of other PPs from the same domain;
h) in depth knowledge of ISO/IEC 15408-2;
i) knowledge of relevant cryptographic catalogues and standards; and
j) modelling of algorithms, protocols and management functionality.
4.2 Knowledge required for reviewers
4.2.1 General
4.2.2 to 4.2.5 address the knowledge that is required to review according to the ISO/IEC 15408 series and
ISO/IEC 18045.
Some knowledge is required for every reviewer independent of their specific task, while other knowledge is
required only depending on the specific review task and the TOE to which the reviewer is assigned.
NOTE The elements of knowledge that are required for competence can be enhanced by the previous experience
gained through tasks related to the use of the ISO/IEC 15408 series and related documents. These tasks can include
performing related work such as evaluation, consultancy, product development, research and specification of
requirements.
© ISO/IEC 2025 – All rights reserved
4.2.2 Knowledge of the ISO/IEC 15408 series and ISO/IEC 18045
4.2.2.1 Generic knowledge of the ISO/IEC 15408 series and ISO/IEC 18045
Every reviewer’s knowledge shall include:
a) the terms and definitions defined in ISO/IEC 15408-1:—, Clause 3, ISO/IEC 15408-2:—, Clause 3 and
ISO/IEC 15408-3:—, Clause 3 ;
b) the terms and definitions defined in ISO/IEC 18045:—, Clause 3; and
c) the context for evaluations of the ISO/IEC 15408 series.
4.2.2.2 Knowledge of ISO/IEC 15408-1
Every reviewer shall be able to demonstrate knowledge about the topics required to fulfil their role
according to their competence level.
Every reviewer’s knowledge shall include:
a) the general model for the ISO/IEC 15408 series given in ISO/IEC 15408-1;
b) tailoring security requirements: operations, dependencies between components and extended
components;
c) handling of review results;
d) the specification of security targets;
When the reviewer’s role and competency level demand it, their knowledge shall include some of the
following:
e) specification of protection profiles, modules, configurations and packages;
f) composition models;
g) multi-assurance-approach; and
h) modularization concepts.
4.2.2.3 Knowledge of ISO/IEC 15408-2
Every reviewer shall be able to demonstrate knowledge about the security functional requirements (SFRs)
of ISO/IEC 15408-2 required to fulfil their role according to their competence level and the technology types
on which the reviewer is authorized to work, as well as any dependent SFRs. Examples of the knowledge
required by ISO/IEC 15408-2 are given in Annex C.
If the reviewer is required to demonstrate competence in ISO/IEC 15408-2, then knowledge of the respective
security functional requirements shall be demonstrated.
4.2.2.4 Knowledge of ISO/IEC 15408-3
Every reviewer shall be able to demonstrate knowledge about the security assurance requirements (SARs)
given in ISO/IEC 15408-3 required to fulfil their role according to their competence level and as specified by
Security Targets (ST) on which the reviewer is authorized to work. Examples of the knowledge required by
ISO/IEC 15408-3 are given in Annex B.
If the reviewer is required to demonstrate competence in ISO/IEC 15408-3, then knowledge of the respective
security assurance requirements shall be demonstrated.
© ISO/IEC 2025 – All rights reserved
4.2.2.5 Knowledge of ISO/IEC 15408-4
If the reviewer is required to demonstrate competence in ISO/IEC 15408-4, then knowledge of the following
shall be demonstrated:
a) the framework used for deriving evaluation activities from work units in ISO/IEC 18045;
b) the general model of evaluation methods and evaluation activities; and
c) the capability to define evaluation activities for extended SARs.
4.2.2.6 Knowledge of ISO/IEC 15408-5
If the reviewer is required to demonstrate competence in ISO/IEC 15408-5, then knowledge about the
packages specified in ISO/IEC 15408-5 shall be demonstrated.
4.2.2.7 Knowledge of ISO/IEC 18045
Every reviewer shall demonstrate knowledge about the evaluation process described in ISO/IEC 18045: —,
Clause 8.
Additionally, every reviewer shall have the necessary knowledge required by the evaluation methods and
activities specified for the assurance classes on which the person is authorized to work. Examples of the
knowledge required by ISO/IEC 18045 are given in Annex B.
Every reviewer authorized to work in the ALC class shall additionally have knowledge of the following:
a) site security (including physical, technical, organizational and personnel security requirements and
measures, IT logical security/network security);
b) site audits;
c) secure development processes;
d) software/hardware bill of materials;
e) configuration management and development practices;
f) information security standards; and
g) methods for product development and its lifecycle.
4.2.3 Knowledge of the assurance paradigm
4.2.3.1 Knowledge of the evaluation scheme and overall evaluation framework
Evaluation schemes usually specify an overall evaluation framework with a scheme-specific scope,
regulations and application rules. Organizations implementing such an evaluation scheme as well as review
bodies working within such evaluation scheme typically define specifications based on that scheme. Within
the predefined limits, they also define their operational framework such as policies and procedures that are
specific to the evaluation scheme and the review body.
Every reviewer shall be able to demonstrate knowledge about the evaluation schemes required to fulfil their
role according to their competence level. The applicable evaluation schemes are those to which their review
body is assigned.
Every reviewer shall have the necessary knowledge of the following items that are of relevance to the
review-related work on which the reviewers are authorized to work:
a) scope of the evaluation scheme;
b) any (sector-specific) regulations, legislation, policies, and further specifics;
© ISO/IEC 2025 – All rights reserved
c) different types of evaluation/review procedures (e.g. initial review, assurance continuity as re-review,
re-assessment, maintenance);
d) guidance for review bodies working within the evaluation schemes and their reviewers;
e) recognition arrangements;
f) vulnerability disclosure and handling;
g) scope of the implementing organization;
h) policies regarding evaluation projects including entry criteria, time limits and site visit requirements;
i) specific supporting documents;
j) specific interpretations;
k) specific guidance for reviewers;
l) approved protection profiles and their supporting documents;
m) specific assurance methods;
n) reporting requirements; and
o) quality.
NOTE See ISO/IEC 18045:—, A.5 for guidance on evaluation schemes on this topic.
4.2.3.2 Knowledge of the review body
Every reviewer shall be able to demonstrate knowledge about the review bodies, in order to fulfil their
role according to their competence level. The applicable review bodies are those for which the person is
authorized to work.
NOTE A review body is called an “evaluation authority” in ISO/IEC 15408-1.
EXAMPLE The “Common Criteria Recognition Arrangement (CCRA)” and the “Senior Officials Group Information
Systems Security (SOG-IS)” are mutual recognition arrangements under which several evaluation schemes with
their certification bodies for Common Criteria certification work. The “EU Common Criteria Scheme (EUCC)” is an
evaluation scheme itself with several assigned certification bodies.
Every reviewer shall have the necessary knowledge of the following items that are of relevance to the
review-related work on which the reviewer is authorized to work:
a) scope of the review body;
b) different types of evaluation/review procedures (e.g. initial review, assurance continuity as re-review,
re-assessment, maintenance);
c) review body policies;
d) policies regarding evaluation projects including entry criteria, time limits and site visit requirements;
e) specific interpretations;
f) specific supporting documents;
g) specific guidance;
h) specific assurance methods;
i) reporting requirements;
j) vulnerability disclosure and handling; and
© ISO/IEC 2025 – All rights reserved
k) quality.
4.2.3.3 Knowledge of the review body and its management system
Every reviewer of the review body shall have knowledge of:
a) the review body’s management system, including policies, processes and procedures that are applicable
to reviewers and their review activities;
b) the review body competence requirements;
c) structure and relevance of review criteria and evaluation methodology applied;
d) structure and relevance of technical and organizational aspects of the evaluation and review process; and
e) role and placement of the review body within the evaluation scheme and overall evaluation framework.
EXAMPLE The following are examples of a) to e) above:
— any sector-specific policies, regulations and legislation;
— the review body's approval requirements for the organization implementing the evaluation scheme;
— policies of organizations implementing the evaluation scheme in regard to evaluation projects including entry
criteria, time limits, report requirements and site visit requirements;
— guidance for evaluators;
— specific interpretations of the organizations implementing the evaluation scheme;
— specific guidance of the organizations implementing the evaluation scheme;
— approved protection profiles and their supporting documents;
— assurance methods and activities specific to the organizations implementing the evaluation scheme; and
— reporting requirements.
NOTE 1 See ISO/IEC 18045:—, A.5 for guidance on evaluation schemes on this topic.
NOTE 2 Management systems vary greatly in their implementations. However, items such as document control,
record control, handling of technical records, and conflict of interest are often the direct responsibility of every
reviewer. Most review body management systems are based on ISO/IEC 17065.
4.2.4 Knowledge of information security
Every reviewer shall have general knowledge of:
a) security principles;
EXAMPLE 1 Confidentiality, integrity and availability.
b) security properties;
EXAMPLE 2 Security by design, security by default and data minimization.
c) mechanisms of attack;
d) attack potential;
e) cryptography;
f) secure development lifecycles;
g) security testing;
© ISO/IEC 2025 – All rights reserved
h) vulnerabilities and weaknesses; and
i) information-security state-of-the-art concepts and technologies.
See 4.2.5 for further specific details on information security topics outlined in a) to i), with which reviewers
are expected to be familiar.
...
Norme
internationale
ISO/IEC 19896-3
Deuxième édition
Sécurité de l'information,
2025-11
cybersécurité et protection de la
vie privée ― Exigences relatives
aux compétences du personnel
des organismes d'évaluation de la
conformité de la sécurité TI —
Partie 3:
Exigences en matière de
connaissances et de compétences
pour les évaluateurs et les
examinateurs conformément à la
série ISO/IEC 15408 et à l'ISO/
IEC 18045
Information security, cybersecurity and privacy protection —
Requirements for the competence of IT security conformance
assessment body personnel —
Part 3: Knowledge and skills requirements for evaluators and
reviewers according to the ISO/IEC 15408 series and ISO/IEC 18045
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2025
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2025 – Tous droits réservés
ii
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes, définitions et abréviations . 2
3.1 Termes et définitions .2
3.2 Abréviations.2
4 Connaissances . . 3
4.1 Connaissances requises pour les évaluateurs .3
4.1.1 Généralités .3
4.1.2 Connaissance de la série ISO/IEC 15408 et de l'ISO/IEC 18045 .3
4.1.3 Connaissance du paradigme de l'assurance .5
4.1.4 Connaissance de la sécurité de l'information .7
4.1.5 Connaissance de la technologie .7
4.2 Connaissances requises pour les examinateurs .9
4.2.1 Généralités .9
4.2.2 Connaissance de la série ISO/IEC 15408 et de l'ISO/IEC 18045 .9
4.2.3 Connaissance du paradigme de l'assurance .11
4.2.4 Connaissance de la sécurité de l'information . 13
4.2.5 Connaissance de la technologie . 13
5 Savoir-faire .15
5.1 Savoir-faire requis pour les évaluateurs . 15
5.1.1 Généralités . 15
5.1.2 Savoir-faire d'évaluation de base . 15
5.1.3 Savoir-faire d'examen de base conformément à l'ISO/IEC 15408-3 et l'ISO/
IEC 18045 .16
5.1.4 Savoir-faire requis pour des classes d'assurance de sécurité spécifiques .17
5.1.5 Savoir-faire requis pour les classes d'exigences fonctionnelles de sécurité
spécifiques .18
5.1.6 Savoir-faire requis pour une technologie spécifique .18
5.2 Savoir-faire requis pour les examinateurs .18
5.2.1 Savoir-faire d'examen de base .18
5.2.2 Savoir-faire d'examen de base conformément à l'ISO/IEC 15408-3 et l'ISO/
IEC 18045 .19
5.2.3 Savoir-faire requis pour des classes d'assurance de sécurité spécifiques .19
5.2.4 Savoir-faire requis pour les classes d'exigences fonctionnelles de sécurité
spécifiques . 20
5.2.5 Savoir-faire requis pour une technologie spécifique . 20
Annexe A (informative) Types de technologies: connaissances et savoir-faire .21
Annexe B (informative) Exemples de connaissances et savoir-faire requis pour l'évaluation des
classes d'exigences d'assurance de la sécurité .28
Annexe C (informative) Exemples de connaissances requises pour l'évaluation des classes
d'exigences fonctionnelles de sécurité .42
Bibliographie .46
© ISO/IEC 2025 – Tous droits réservés
iii
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de l’IEC participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique.
Les comités techniques de l'ISO et de l’IEC collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et l’IEC,
participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères
d'approbation requis pour les différents types de documents. Le présent document a été rédigé conformément
aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.iso.org/directives ou
www.iec.ch/members_experts/refdocs).
L’ISO et l’IEC attirent l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO et l’IEC ne prennent pas position quant à la preuve, à la
validité et à l’applicabilité de tout droit de brevet revendiqué à cet égard. À la date de publication du présent
document, L’ISO et l’IEC n'avaient pas reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires
à sa mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch. L’ISO et l’IEC ne sauraient être
tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux
principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce
(OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée, en collaboration
avec le comité technique CEN/CLC/JTC 13, Cybersécurité et protection des données, du Comité européen de
normalisation (CEN), conformément à l'Accord de coopération technique entre l'ISO et le CEN (Accord de
Vienne).
Cette deuxième édition annule et remplace la première édition (ISO/IEC 19896-2:2018), qui fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes:
— les exigences pour les évaluateurs ont été entièrement retravaillées, y compris la restructuration du
contenu;
— des exigences ont été ajoutées pour le personnel chargé d'examiner les activités d'évaluation de la
conformité de la sécurité TI.
Une liste de toutes les parties de la série ISO/IEC 19896 se trouve sur les sites Web de l’ISO et de l'IEC.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/members.html et www.iec.ch/national-committees.
© ISO/IEC 2025 – Tous droits réservés
iv
Introduction
La série ISO/IEC 15408 permet la comparaison entre des résultats d'évaluations de sécurité indépendantes.
À cet effet, elle propose un ensemble commun d'exigences applicables aux fonctionnalités de sécurité des
produits de technologies de l'information (TI) et aux mesures d'assurance appliquées à ces produits TI au
cours d'une évaluation de sécurité. De nombreux schémas d'examen et d'évaluation ainsi que des organismes
d'examen ont été élaborés en utilisant la série ISO/IEC 15408 et l'ISO/IEC 18045 comme base, ce qui permet
de comparer les résultats des projets d'évaluation.
Le processus d'évaluation repose généralement à la fois sur des tests/méthodes prédéfinis pour un type de
TOE et sur des tests/méthodes spécifiques à la TOE qui sont définis pour une implémentation donnée de
la TOE. Par conséquent, la compétence des différents évaluateurs, dont il est attendu non seulement qu'ils
appliquent les tests/méthodes prédéfinis, mais également qu'ils définissent et exécutent des tests/méthodes
spécifiques à la TOE, est essentielle pour assurer la comparabilité et la répétabilité des résultats d'évaluation
qui constituent le fondement de la reconnaissance mutuelle.
Le présent document établit une base de référence pour les compétences minimales des évaluateurs et
examinateurs de la série ISO/IEC 15408 afin d'assurer l'harmonisation des exigences de formation des
évaluateurs et examinateurs de l'ISO/IEC 15408. Il fournit des exigences spécialisées permettant aux
personnes effectuant des évaluations et des examens de la sécurité des produits TI de démontrer leur
compétence conformément à la série ISO/IEC 15408 et à l'ISO/IEC 18045. L'ISO/IEC 15408-1 décrit le cadre
général des compétences, y compris les différents éléments de la compétence: connaissances, savoir-faire,
expérience et instruction. Le présent document couvre notamment les connaissances et les savoir-faire dans
les domaines suivants.
— Sécurité de l'information
— Connaissances: principes de sécurité de l'information, propriétés de sécurité de l'information,
menace et vulnérabilités en matière de sécurité de l'information.
— Savoir-faire: compréhension des exigences en matière de sécurité de l'information, du contexte et du
domaine d'application de l'évaluation.
— Évaluation de la sécurité de l'information
— Connaissances: connaissance de la série ISO/IEC 15408 et de l'ISO/IEC 18045, système de management
de laboratoire.
— Savoir-faire: Savoir-faire de base en matière d'évaluation, savoir-faire essentiels en matière
d'évaluation, savoir-faire requis lors de l'évaluation de classes d'assurance de la sécurité spécifiques,
savoir-faire requis lors de l'évaluation de classes d'exigences fonctionnelles de sécurité spécifiques
— Architecture des systèmes d'information
— Connaissances: technologie évaluée.
— Savoir-faire: compréhension de l'interaction entre les composants de sécurité et les informations.
— Tests de sécurité de l'information
— Connaissances: techniques de test de la sécurité de l'information, outils de test de la sécurité de
l'information, cycle de vie du développement des produits, types de tests.
— Savoir-faire: création et gestion d'un plan de test de sécurité de l'information, conception des tests
de sécurité de l'information, préparation et réalisation des tests de sécurité de l'information.
Le public visé par le présent document comprend les organismes de certification des laboratoires de test,
les organismes implémentant les schémas d'évaluation, les laboratoires, les évaluateurs et les organismes
proposant des certifications professionnelles.
© ISO/IEC 2025 – Tous droits réservés
v
Norme internationale ISO/IEC 19896-3:2025(fr)
Sécurité de l'information, cybersécurité et protection de la vie
privée ― Exigences relatives aux compétences du personnel des
organismes d'évaluation de la conformité de la sécurité TI —
Partie 3:
Exigences en matière de connaissances et de compétences
pour les évaluateurs et les examinateurs conformément à la
série ISO/IEC 15408 et à l'ISO/IEC 18045
1 Domaine d'application
Le présent document fournit les exigences spécialisées permettant aux personnes de démontrer leur
compétence dans la réalisation d'évaluations et d'examens de la sécurité des produits TI conformément à la
série ISO/IEC 15408 et à l'ISO/IEC 18045.
NOTE Il est possible que les évaluateurs et les testeurs appartiennent à des organismes opérant sous
l'ISO/IEC 17025 et que les examinateurs appartiennent à des organismes opérant sous l'ISO/IEC 17065.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique. Pour
les références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO/IEC 19896-1, Sécurité de l'information, cybersécurité et protection de la vie privée ― Exigences relatives
aux compétences du personnel des organismes d'évaluation de la conformité de la sécurité TI — Partie 1: Vue
d'ensemble et concepts
1)
ISO/IEC 15408-1:— , Sécurité de l'information, cybersécurité et protection de la vie privée — Critères
d'évaluation pour la sécurité des technologies de l'information — Partie 1: Introduction et modèle général
2)
ISO/IEC 15408-2:— , Sécurité de l'information, cybersécurité et protection de la vie privée — Critères
d'évaluation pour la sécurité des technologies de l'information — Partie 2: Composants fonctionnels de sécurité
3)
ISO/IEC 15408-3:— , Sécurité de l'information, cybersécurité et protection de la vie privée — Critères
d'évaluation pour la sécurité des technologies de l'information — Partie 3: Composants d'assurance de sécurité
ISO/IEC 15408-4, Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation
pour la sécurité des technologies de l'information — Partie 4: Cadre prévu pour la spécification des méthodes
d'évaluation et des activités connexes
ISO/IEC 15408-5, Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation
pour la sécurité des technologies de l'information — Partie 5: Paquets prédéfinis d'exigences de sécurité
1) En cours d'élaboration. Stade à la date de publication: ISO/IEC FDIS 15408-1:2025.
2) En cours d'élaboration. Stade à la date de publication: ISO/IEC DIS 15408-2:2025.
3) En cours d'élaboration. Stade à la date de publication: ISO/IEC DIS 15408-3:2025.
© ISO/IEC 2025 – Tous droits réservés
4)
ISO/IEC 18045:— , Sécurité de l’information, cybersécurité et protection de la vie privée — Critères d’évaluation
pour la sécurité des technologies de l’information — Méthodologie pour l’évaluation de sécurité
3 Termes, définitions et abréviations
Pour les besoins du présent document, les termes et les définitions de l'ISO/IEC 19896-1, l'ISO/IEC 15408-1,
l'ISO/IEC 15408-2, l'ISO/IEC 15408-3, ISO/IEC 18045 ainsi que les suivants s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l'adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l'adresse https:// www .electropedia .org/
3.1 Termes et définitions
3.1.1
document connexe
document qui spécifie l'utilisation des Critères Communs (CC) ou de la méthodologie commune pour
l'évaluation de la sécurité des technologies de l'information (CEM) dans un secteur ou un domaine
technologique particulier
Note 1 à l'article: Un tel document peut être exigé ou recommandé, et spécifie généralement des interprétations
harmonisées des CC et de la CEM lorsque cela est jugé nécessaire et/ou utile.
3.1.2
domaine technique
famille de produits de technologies de l'information (TI) qui nécessitent des compétences techniques
spécifiques, notamment en ce qui concerne l'analyse de vulnérabilité, nécessitant une compréhension
commune du potentiel d'attaque pour réaliser l'évaluation
3.2 Abréviations
CC Critères Communs
CEM méthodologie d'évaluation commune
CI circuit intégré
cPP profil de protection collaboratif
ETR rapport technique d'évaluation
PP profil de protection
ST cible de sécurité
TI technologies de l'information
TOE cible d'évaluation
TSF fonctionnalité de sécurité de la TOE
TSFI interface de la fonctionnalité de sécurité de la TOE
4) En cours d'élaboration. Stade à la date de publication: ISO/IEC FDIS 18045:2025.
© ISO/IEC 2025 – Tous droits réservés
4 Connaissances
4.1 Connaissances requises pour les évaluateurs
4.1.1 Généralités
Les 4.1.2 à 4.1.5 traitent des connaissances nécessaires pour l'évaluation conformément à la série
ISO/IEC 15408 et à l'ISO/IEC 18045.
Certaines connaissances sont requises pour chaque évaluateur indépendamment de sa tâche spécifique,
tandis que d'autres connaissances ne sont attendues que selon la tâche d'évaluation spécifique et la TOE à
laquelle l'évaluateur est affecté.
NOTE Une expérience préalable dans des tâches liées à l'utilisation de la série ISO/IEC 15408 et de ses
documents connexes, y compris, mais sans s'y limiter, la réalisation de travaux connexes tels que l'examen, le
conseil, le développement de produits, la recherche et la spécification des exigences, peut contribuer aux éléments de
connaissance requis pour la compétence.
4.1.2 Connaissance de la série ISO/IEC 15408 et de l'ISO/IEC 18045
4.1.2.1 Connaissance générique de la série ISO/IEC 15408 et de l'ISO/IEC 15408 18045
Les connaissances de chaque évaluateur doivent inclure:
5) 6)
a) les termes et définitions définis dans l'ISO/IEC 15408-1:— , Article 3; l'ISO/IEC 15408-2:— , Article 3;
7)
et l'ISO/IEC 15408-3:— , Article 3;
8)
b) les termes et définitions définis dans l'ISO/IEC 18045:— , Article 3; et
c) le contexte pour les évaluations selon la série ISO/IEC 15408.
4.1.2.2 Connaissance de l'ISO/IEC 15408-1
Chaque évaluateur doit être en mesure de démontrer sa connaissance des sujets qui sont nécessaires
pour remplir son rôle en fonction de son niveau de compétence et sur lesquels la personne est autorisée à
travailler.
Les connaissances de chaque évaluateur doivent inclure:
a) le modèle général de la série ISO/IEC 15408 donné dans l'ISO/IEC 15408-1.
Lorsque son rôle et son niveau de compétence l'exigent, les connaissances de l'évaluateur doivent inclure les
éléments pertinents suivants:
b) la personnalisation des exigences de sécurité: opérations, dépendances entre composants et composants
étendus;
c) la spécification des profils de protection, des modules, des configurations et des paquets;
d) le traitement des résultats d'évaluation;
e) la spécification des cibles de sécurité;
f) les modèles de composition;
5) En cours d'élaboration. Stade à la date de publication: ISO/IEC FDIS 15408-1:2025.
6) En cours d'élaboration. Stade à la date de publication: ISO/IEC DIS 15408-2:2025.
7) En cours d'élaboration. Stade à la date de publication: ISO/IEC DIS 15408-3:2025.
8) En cours d'élaboration. Stade à la date de publication: ISO/IEC FDIS 18045:2025.
© ISO/IEC 2025 – Tous droits réservés
g) l'approche multi-assurance; et
h) les concepts de modularisation.
4.1.2.3 Connaissance de l'ISO/IEC 15408-2
Chaque évaluateur doit être en mesure de démontrer sa connaissance des exigences fonctionnelles de
sécurité (SFR) de l'ISO/IEC 15408-2 qui sont nécessaires pour remplir son rôle en fonction de son niveau de
compétence et des types de technologie sur lesquels l'évaluateur est autorisé à travailler, ainsi que de toute
SFR dépendante. Des exemples de connaissances requises par l'ISO/IEC 15408-2 sont donnés à l'Annexe C.
S'il est exigé que l'évaluateur démontre sa compétence conformément à l'ISO/IEC 15408-2, il doit alors
démontrer sa connaissance des exigences fonctionnelles de sécurité correspondantes.
4.1.2.4 Connaissance de l'ISO/IEC 15408-3
Chaque évaluateur doit être en mesure de démontrer sa connaissance des exigences d'assurance de sécurité
(SAR) données dans l'ISO/IEC 15408-3 qui sont nécessaires pour remplir son rôle en fonction de son
niveau de compétence et qui sont spécifiées par les cibles de sécurité (ST) sur lesquelles l'évaluateur est
autorisé à travailler. La connaissance de composants particuliers des SAR doit comprendre ceux sur lesquels
l'évaluateur est autorisé à travailler. Des exemples de connaissances requises par l'ISO/IEC 15408-3 sont
donnés à l'Annexe B.
S'il est exigé que l'évaluateur démontre sa compétence conformément à l'ISO/IEC 15408-3, il doit alors
démontrer sa connaissance des exigences d'assurance de sécurité correspondantes.
4.1.2.5 Connaissance de l'ISO/IEC 15408-4
S'il est exigé que l'évaluateur démontre sa compétence conformément à l'ISO/IEC 15408-4, il doit alors
démontrer:
a) le cadre utilisé pour déterminer les activités d'évaluation à partir des unités de travail de l'ISO/IEC 18045;
b) le modèle général des méthodes d'évaluation et des activités d'évaluation; et
c) la définition des activités d'évaluation pour les SAR étendues.
4.1.2.6 Connaissance de l'ISO/IEC 15408-5
S'il est exigé que l'évaluateur démontre sa compétence conformément à l'ISO/IEC 15408-5, il doit alors
démontrer sa connaissance relative aux paquets spécifiés dans l'ISO/IEC 15408-5.
4.1.2.7 Connaissance de l'ISO/IEC 18045
Chaque évaluateur doit démontrer:
a) le processus d'évaluation: tel que décrit dans l'ISO/IEC 18045:—, Article 8; et
b) la méthode et les activités d'évaluation de la sécurité sont données dans l'ISO/IEC 18045.
En outre, chaque évaluateur doit avoir les connaissances requises par les méthodes et activités d'évaluation
spécifiées pour les classes d'assurance sur lesquelles la personne est autorisée à travailler. Des exemples de
connaissances requises par l'ISO/IEC 18045 sont donnés à l'Annexe B.
Chaque évaluateur travaillant dans la classe ALC doit également justifier des connaissances suivantes:
c) sécurité du site (y compris les exigences et mesures de sécurité physique, technique, organisationnelle
et du personnel, la sécurité logique des TI/la sécurité du réseau);
d) audits de site;
© ISO/IEC 2025 – Tous droits réservés
e) processus de développement sécurisé;
f) nomenclature logicielle/matérielle;
g) pratiques de gestion et de développement de la configuration;
h) normes de sécurité de l'information; et
i) méthodes pour le développement du produit et son cycle de vie.
NOTE La classe ALC est définie dans l'ISO/IEC 15408-3.
4.1.3 Connaissance du paradigme de l'assurance
4.1.3.1 Connaissance du schéma d'évaluation et du cadre d'évaluation global
Les schémas d'évaluation spécifient généralement un cadre d'évaluation global avec un domaine
d'application, des réglementations et des règles d'application spécifiques au schéma. Les organismes
implémentant un tel schéma d'évaluation ainsi que les organismes d'examen travaillant dans le cadre d'un
tel schéma d'évaluation définissent généralement des spécifications fondées sur le schéma. Dans les limites
prédéfinies, ils définissent également leur cadre opérationnel, tel que les politiques et les modes opératoires
qui sont spécifiques au schéma d'évaluation.
Chaque évaluateur doit être en mesure de démontrer sa connaissance des schémas d'évaluation selon ce
qui est nécessaire pour remplir son rôle en fonction de son niveau de compétence. Les schémas d'évaluation
pertinents sont ceux sur lesquels la personne est autorisée à travailler.
Chaque évaluateur doit justifier des connaissances nécessaires des éléments suivants qui sont pertinents
pour les tâches liées à l'évaluation sur lesquelles il est autorisé à travailler:
a) le domaine d'application du schéma d'évaluation;
b) toute réglementation, législation, politique et autre particularité (spécifique au secteur);
c) les différents types de procédures d'évaluation/d'examen (par exemple, examen initial, continuité
d'assurance sous la forme d'un réexamen, d'une réévaluation ou d'une mise à niveau);
d) les recommandations à l'intention des organismes implémentant les schémas d'évaluation et de leurs
évaluateurs;
e) les dispositions en matière de reconnaissance;
f) la divulgation et le traitement des vulnérabilités;
g) le domaine d'application de l'organisme chargé de l'implémentation;
h) les politiques en ce qui concerne les projets d'évaluation, y compris les critères d'entrée, les limites de
durée, et les exigences en matière de visites sur site;
i) les documents connexes spécifiques;
j) les interprétations spécifiques;
k) les recommandations spécifiques à l'attention des évaluateurs;
l) les profils de protection approuvés et leurs documents connexes;
m) les méthodes d'assurance spécifiques;
n) les exigences d'établissement de rapports;
o) la qualité; et
p) les exigences relatives à l'approbation en laboratoire.
© ISO/IEC 2025 – Tous droits réservés
NOTE À ce sujet, voir l'ISO/IEC 18045:—, A.5 pour des recommandations concernant les schémas d'évaluation.
4.1.3.2 Connaissance de l'organisme d'examen
Chaque évaluateur doit être en mesure de démontrer sa connaissance des organismes d'examen afin de
remplir son rôle en fonction de son niveau de compétence. Les organismes d'examen pertinents sont ceux
pour lesquels la personne est autorisée à travailler.
NOTE Un organisme d'examen est appelé «autorité d'évaluation» dans l'ISO/IEC 15408-1.
EXEMPLE L'accord de reconnaissance mutuelle selon les Critères Communs (CCRA) et le Senior Officials Group
Information Systems Security (SOG-IS) sont des accords de reconnaissance mutuelle qui régissent plusieurs schémas
d'évaluation et dans le cadre desquels travaillent les organismes de certification pour la certification Critères
Communs. Le schéma européen sur les Critères Communs (EUCC) est lui-même un schéma d'évaluation auquel sont
attribués plusieurs organismes de certification.
Chaque évaluateur doit justifier des connaissances nécessaires des éléments suivants qui sont pertinents
pour les tâches liées à l'évaluation sur lesquelles il est autorisé à travailler:
a) le domaine d'application de l'organisme d'examen;
b) les différents types de procédures d'évaluation/d'examen (par exemple, examen initial, continuité
d'assurance sous la forme d'un réexamen, d'une réévaluation ou d'une mise à niveau);
c) les politiques de l'organisme d'examen;
d) les politiques en ce qui concerne les projets d'évaluation, y compris les critères d'entrée, les limites de
durée et les exigences en matière de visites sur site;
e) les interprétations spécifiques;
f) les documents connexes spécifiques;
g) les recommandations spécifiques;
h) les méthodes d'assurance spécifiques;
i) les exigences d'établissement de rapports;
j) la divulgation et le traitement des vulnérabilités; et
k) la qualité.
4.1.3.3 Connaissance du laboratoire et de son système de management
Chaque évaluateur doit avoir la connaissance nécessaire des éléments suivants afin de remplir son rôle,
conformément aux exigences du schéma d'évaluation:
a) le système de management du laboratoire, y compris les politiques, processus et modes opératoires qui
sont applicables aux évaluateurs;
b) les méthodes approuvées par le laboratoire; et
c) les exigences du laboratoire en matière de compétences.
NOTE L'implémentation des systèmes de gestion est très variable. Toutefois, il est fréquent que des éléments tels
que le contrôle des documents, des enregistrements, des travaux de test et d'étalonnage en cas de non-conformité, le
traitement des dossiers techniques et les conflits d'intérêts relèvent de la responsabilité directe de chaque évaluateur.
La plupart des systèmes de management de laboratoire sont fondés sur l'ISO/IEC 17025.
© ISO/IEC 2025 – Tous droits réservés
4.1.4 Connaissance de la sécurité de l'information
Chaque évaluateur doit avoir la connaissance nécessaire des concepts suivants afin de remplir son rôle,
conformément aux exigences du schéma d'évaluation:
a) principes de sécurité;
b) propriétés de sécurité;
c) mécanismes d'attaque;
d) potentiel d'attaque;
e) cryptographie;
f) cycles de vie de développement sécurisé;
g) tests de sécurité;
h) vulnérabilités et faiblesses; et
i) concepts et technologies de sécurité de l'information à l'état de la technique.
Voir 4.1.5 pour plus de détails sur les sujets de la sécurité de l'information décrits aux en a) à i) ci-dessus,
avec lesquels les évaluateurs sont censés être familiers.
4.1.5 Connaissance de la technologie
4.1.5.1 Connaissance des types de technologies
La série ISO/IEC 15408 et l'ISO/IEC 18045 peuvent être utilisées pour l'évaluation d'une grande variété de
technologies de l'information. Ces technologies sont souvent classées en différents types de technologies par
les organismes implémentant les schémas d'évaluation, les organismes d'examen ou d'autres entités.
Chaque évaluateur doit avoir la connaissance nécessaire des types de technologies de l'information sur
lesquels il est autorisé à travailler, y compris les architectures de sécurité communes déployées pour ce type
de technologie.
NOTE L'Annexe A fournit une liste informative de sujets de connaissance présentés par des types de technologie
couramment identifiés.
EXEMPLE Les types de technologie couramment identifiés comprennent notamment:
— les dispositifs d'authentification, et les dispositifs et systèmes de contrôle d'accès;
— le chiffrement, les systèmes de gestion de clés et d'infrastructure de clé publique (PKI), les produits pour signatures
numériques;
— les bases de données;
— les systèmes d'exploitation;
— les réseaux et les équipements et systèmes liés au réseau;
— les dispositifs et systèmes mobiles;
— les dispositifs multifonctions;
— les circuits intégrés, les cartes à puce et les dispositifs et systèmes liés aux cartes à puce;
— les dispositifs matériels;
— les dispositifs et systèmes de détection; et
— la protection des données, les dispositifs et systèmes biométriques, l'informatique de confiance.
© ISO/IEC 2025 – Tous droits réservés
4.1.5.2 Connaissance des profils de protection, paquets et documents connexes
Chaque évaluateur doit avoir la connaissance nécessaire des éléments suivants, lorsqu'ils sont applicables à
la technologie de l'information sur laquelle l'évaluateur est autorisé à travailler:
a) les profils de protection, les paquets fonctionnels, les paquets d'assurance, les modules PP, les
configurations PP et tout document connexe spécifié dans le cadre du travail de l'évaluateur;
b) toute méthode d'évaluation et activité d'assurance supplémentaire spécifiée comme étant applicable à
une évaluation; et
c) la manière de déterminer si des interprétations ou des recommandations concernant les profils
de protection, les paquets et les documents de justification connexes ont été publiées et si elles sont
applicables à un projet d'évaluation particulier.
Les évaluateurs peuvent également avoir une connaissance:
d) les documents spécifiques à certains schémas; et
EXEMPLE 1 Les documents de l'EUCC pour les domaines techniques «CI, cartes à puce et dispositifs similaires»
et «dispositifs matériels avec coffrets de sécurité».
e) le concept de cPP et les cPP spécifiques.
EXEMPLE 2 Les cPP pour la sécurité du réseau et du système d'exploitation.
4.1.5.3 Connaissance de la technologie spécifique
Dans la mesure où les technologies peuvent varier et sont en constante évolution, il n'est pas possible
d'identifier l'ensemble des connaissances requises. L'Annexe A fournit une liste d'exemples de connaissances
et de savoir-faire requis pour de nombreuses technologies. Des recommandations générales supplémentaires
sont fournies dans les Références [23] et [46], et des exemples de recommandations spécifiques à des
secteurs sont disponibles dans les Références [1], [5], [6] et [13].
Des recommandations relatives à la manière d'acquérir, de maintenir et de mettre à jour les connaissances
technologiques sont données dans l'Annexe A.3.
4.1.5.4 Connaissances pour l'évaluation des profils de protection, des modules de PP et des
configurations de PP (classes APE et ACE)
Chaque évaluateur qui évalue des profils de protection (PP) doit disposer de connaissances supplémentaires,
y compris les suivantes:
a) une connaissance de l'usage prévu de la TOE, du système et des processus environnants, du modèle de
menace, des objectifs de sécurité et de la fonctionnalité de sécurité fournie;
b) une connaissance approfondie du type de produit concerné;
c) une connaissance spécifique de la technologie employée dans le type de produit utilisé dans le PP, y
compris les possibilités (et limites) de cette technologie;
d) une connaissance de l'environnement d'exploitation du type de produit;
e) une connaissance du cycle de vie du type de produit;
f) une connaissance des concepts de modularisation, tels que les paquets, les PP modulaires, les
revendications de conformité sur d'autres PP, l'approche multi-assurance;
g) une connaissance des autres PP du même domaine;
h) une connaissance approfondie de l'ISO/IEC 15408-2;
i) une connaissance des catalogues et normes cryptographiques pertinents; et
© ISO/IEC 2025 – Tous droits réservés
j) une modélisation des algorithmes, des protocoles et des fonctionnalités de gestion.
4.2 Connaissances requises pour les examinateurs
4.2.1 Généralités
Les 4.2.2 à 4.2.5 traitent des connaissances nécessaires pour l'examen conformément à la série ISO/IEC 15408
et à l'ISO/IEC 18045.
Certaines connaissances sont requises pour chaque examinateur indépendamment de sa tâche spécifique,
tandis que d'autres connaissances ne sont attendues que selon la tâche d'examen spécifique et la TOE à
laquelle l'examinateur est affecté.
NOTE Les éléments de connaissance requis pour la compétence peuvent être renforcés par l'expérience antérieure
acquise dans le cadre de tâches liées à l'utilisation de la série ISO/IEC 15408 et de ses documents connexes. Ces tâches
peuvent inclure la réalisation de travaux connexes tels que l'évaluation, le conseil, le développement de produits, la
recherche et la spécification des exigences.
4.2.2 Connaissance de la série ISO/IEC 15408 et de l'ISO/IEC 18045
4.2.2.1 Connaissance générique de la série ISO/IEC 15408 et de l'ISO/IEC 18045
Les connaissances de chaque examinateur doivent inclure:
a) les termes et définitions définis dans l'ISO/IEC 15408-1:—, Article 3, l'ISO/IEC 15408-2:—, Article 3 et
l'ISO/IEC 15408-3:—, Article 3;
b) les termes et définitions définis dans l'ISO/IEC 18045:—, Article 3; et
c) le contexte pour les évaluations de la série ISO/IEC 15408.
4.2.2.2 Connaissance de l'ISO/IEC 15408-1
Chaque examinateur doit être en mesure de démontrer sa connaissance des sujets qui sont nécessaires pour
remplir son rôle en fonction de son niveau de compétence.
Les connaissances de chaque examinateur doivent inclure:
a) le modèle général de la série ISO/IEC 15408 donné dans l'ISO/IEC 15408-1;
b) la personnalisation des exigences de sécurité: opérations, dépendances entre composants et composants
étendus;
c) le traitement des résultats d'examen;
d) la spécification des cibles de sécurité.
Lorsque son rôle et son niveau de compétence l'exigent, les connaissances de l'examinateur doivent inclure
certains des aspects suivants:
e) la spécification des profils de protection, des modules, des configurations et des paquets;
f) les modèles de composition;
g) l'approche multi-assurance; et
h) les concepts de modularisation.
4.2.2.3 Connaissance de l'ISO/IEC 15408-2
Chaque examinateur doit être en mesure de démontrer sa connaissance des exigences fonctionnelles de
sécurité (SFR) de l'ISO/IEC 15408-2 qui sont nécessaires pour remplir son rôle en fonction de son niveau de
© ISO/IEC 2025 – Tous droits réservés
compétence et des types de technologie sur lesquels l'examinateur est autorisé à travailler, ainsi que de toute
SFR dépendante. Des exemples de connaissances requises par l'ISO/IEC 15408-2 sont donnés à l'Annexe C.
S'il est nécessaire que l'examinateur démontre sa compétence conformément à l'ISO/IEC 15408-2, il doit
alors démontrer sa connaissance des exigences fonctionnelles de sécurité correspondantes.
4.2.2.4 Connaissance de l'ISO/IEC 15408-3
Chaque examinateur doit être en mesure de démontrer sa connaissance des exigences d'assurance de
sécurité (SAR) données dans l'ISO/IEC 15408-3 qui sont nécessaires pour remplir son rôle en fonction de
son niveau de compétence et telles que spécifiées par les cibles de sécurité (ST) sur lesquelles l'examinateur
est autorisé à travailler. Des exemples de connaissances requises par l'ISO/IEC 15408-3 sont donnés à
l'Annexe B.
S'il est exigé que l'examinateur démontre sa compétence conformément à l'ISO/IEC 15408-3, il doit alors
démontrer sa connaissance des exigences d'assurance de sécurité correspondantes.
4.2.2.5 Connaissance de l'ISO/IEC 15408-4
S'il est exigé que l'examinateur démontre sa compétence conformément à l'ISO/IEC 15408-4, la connaissance
des éléments suivants doit être démontrée:
a) le cadre utilisé pour déterminer les activités d'évaluation à partir des unités de travail de l'ISO/IEC 18045;
b) le modèle général des méthodes d'évaluation et des activités d'évaluation; et
c) la capacité de définir des activités d'évaluation pour les SAR étendues.
4.2.2.6 Connaissance de l'ISO/IEC 15408-5
S'il est exigé que l'examinateur démontre sa compétence conformément à l'ISO/IEC 15408-5, il doit alors
démontrer sa connaissance relative aux paquets spécifiés dans l'ISO/IEC 15408-5.
4.2.2.7 Connaissance de l'ISO/IEC 18045
Chaque examinateur doit démontrer sa connaissance du processus d'évaluation décrit dans
l'ISO/IEC 18045:—, Article 8.
En outre, chaque examinateur doit avoir les connaissances requises par les méthodes et activités d'évaluation
spécifiées pour les classes d'assurance sur lesquelles la personne est autorisée à travailler. Des exemples de
connaissances requises par l'ISO/IEC 18045 sont donnés à l'Annexe B.
Chaque examinateur autorisé à travailler dans la classe ALC doit également avoir connaissance des éléments
suivants:
a) sécurité du site (y compris les exigences et mesures de sécurité physique, technique, organisationnelle
et du personnel, la sécurité logique des TI/la sécurité du réseau);
b) audits de site;
c) processus de développement sécurisé;
d) nomenclature logicielle/matérielle;
e) pratiques de gestion et de développement de la configuration;
f) normes de sécurité de l'information; et
g) méthodes pour le développement du produit et son cycle de vie.
© ISO/IEC 2025 – Tous droits réservés
4.2.3 Connaissance du paradigme de l'assurance
4.2.3.1 Connaissance du schéma d'évaluation et du cadre d'évaluation global
Les schémas d'évaluation spécifient généralement un cadre d
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...