1、1 印月956月 本標準非經本局同意得翻印 中華民國國家標準 CNS 總號 號 ICS 35.040 X604814993經濟部標準檢驗局印 公布日期 修訂公布日期 956月1日 月日 (共13頁)資訊技術安全技術保護剖繪註冊程序 Information technology Security techniques Protection profile registration procedures 目錄 節次 頁次 1.適用範圍. 2 2.參考標準. 2 3.用語釋義. 2 4.縮寫 3 5.技術規格. 3 5.1 登錄項標號. 3 5.2 技術定義(註冊登錄項中) . 3 6.保護剖繪與套
2、件的註冊機構 4 6.1 任命. 4 6.2 資格. 4 6.3 合約. 4 6.4 義務. 4 7.註冊申請者的資格準則. 5 8.註冊申請包含的資訊 5 9.申請的審查與回覆步驟. 6 9.1 初始處理 6 9.2 驗核. 6 10.註冊申請的拒絕準則 7 11.註冊的作業 7 11.1 廢棄登錄項的通知. 7 11.2 草稿技術規格的更新. 7 11.3 登錄項的例行審查. 7 11.4 缺陷通知 7 11.5 登錄項更新的其他要求 8 11.6 註冊登錄項的刪除. 8 12.註冊的維護 9 13.註冊中資訊的機密性 9 14.註冊的公布 9 2 CNS 14993, X 6048 15
3、.申訴程序10 附件A註冊的效益(參考) .11 附件B註冊登錄項的生命週期(參考) 12 英中名詞對照表13 1. 適用範圍 本標準定義適用於註冊機構(registration authority)的程序,為了資訊技術安全評估的目的,維護一份保護剖繪(protection profile, PP)與套件(package)的註冊(register),而註冊機構是由主管機關所任命的。依照CNS 15408-1的準則詳載這些保護剖繪與套件。 2. 參考標準 CNS 15408-1 資訊技術安全技術資訊技術安全評估準則第1部:簡介及一般模型 CNS 15408-2 資訊技術安全技術資訊技術安全評估準
4、則第2部:安全功能需求 CNS 15408-3 資訊技術安全技術資訊技術安全評估準則第3部:安全保證需求 3. 用語釋義 本標準使用下列的用語釋義。 3.1 申請者(applicant) 要求註冊登錄項(register entry)與登錄項標號(entry label)之指定的個體(組織或個人等)。 3.2 證書(certificate) 符合CNS13041與校正與測試實驗室認證系統(運作與承認的一般需求)運作之獨立機構發出的宣告,此宣告確認一份評估通過聲明(evaluation pass statement)是有效的。 3.3 登錄項標號(entry label) 可唯一地識別已註冊之P
5、P或套件的命名資訊。 3.4 評估通過聲明(evaluation pass statement) 對照CNS 15408履行評估的組織,在確認PP已經成功地通過該系列標準第3部第4節之評估準則的評鑑後,所發出的一項聲明。 3.5 註冊機構(registration authority) 主管機關任命的組織,負責符合程序標準之物件的註冊。 3.6 套件(package) 功能或保證組件組合而成之可重複使用的集合,該集合滿足CNS 15408-1所確認之一組已識別安全目標。 3.7 保護剖繪(protection profile) 符合特定消費者所需要之IT產品或系統的種類,以及安全需求實作獨立的
6、集合(CNS 15408-1所採用的)。 3 CNS 14993, X 6048 3.8 註冊(register) 一份包含登錄項標號與相聯定義與相關資訊的一組檔案(電子或電子與紙本的組合)。 3.9 註冊登錄項(register entry) 註冊中關於某一特定之PP或套件的資訊。 3.10 註冊(registration) 指定註冊登錄項的過程。 3.11 安全標的(security target) 一組安全需求與規格作為識別之IT產品或系統的評估基礎(CNS 15408-1所採用的)。 3.12 出資者(sponsor) 負責註冊登錄項內容的個體(組織或個人等)。 4. 縮寫 ITTF
7、(Information Technology Task Force)資訊技術任務編組 PP (Protection Profile)保護剖繪 RA (Registration Authority)註冊機構 ST (Security Target)安全標的 5. 技術規格 5.1 登錄項標號 每個符合本標準且註冊的PP或套件,應有一RA所指定的登錄項標號,此登錄項標號唯一地識別註冊中的PP或套件。此登錄項標號應由下列三個元件所組成: (1) 登錄項型式。 (2) 註冊年份。 (3) 註冊號碼。 登錄項型式應是保護剖繪的PP、保證套件的AP或功能套件的FP。 註冊年份應以登錄項註冊時的年份並以四
8、位數表示。 而註冊號碼應是四位數,循序指定識別號碼,每年從0001開始。 例如:PP-2001-0001。 5.2 技術定義(註冊登錄項中) 5.2.1 保護剖繪 每個符合本標準而提出註冊之PP的註冊申請,應包括該PP的技術定義,此技術定義應遵照CNS 15408-1附錄B中所有PP的內容需求,而且應遵照CNS 15408-1圖B.1中所描繪的結構大綱。 5.2.2 套件 每個符合本標準而提出註冊之功能或保證套件的註冊申請,應包括套件的技術定義,此技術定義應包括: (1) 套件概觀,以敘述性的形式概述套件。 (2) 一組功能組件或保證組件的規格。 4 CNS 14993, X 6048 套件概
9、觀對潛在的使用者而言宜足夠詳細,使得使用者能決定對套件是否有興趣,且無須再參考組件規格即能明瞭。 功能套件的組件應選自CNS 15408-2,或是由符合CNS 15408-2第2節功能組件的規格需求所建構而成。 保證套件之組件應選自CNS 15408-3或是由符合CNS 15408-3第2.1節保證組件的規格需求所建構而成。 一套件之技術定義可包含其他的描述資訊,有可能是關於PP或ST的擬訂者希望使用或引用套件的資訊,此資訊應以一個或多個CNS 15408-1附錄B與附錄C所定義之PP或ST章節名稱的形式呈現。該資訊宜適用於PP之間或ST之間的直接結合,有助於套件的使用。 6. 保護剖繪與套件
10、的註冊機構 6.1 任命 應由主管機關任命PP與套件的RA,任命需符合註冊機構的任命程序,該程序可參考ISO/IEC JTC1指令。 6.2 資格 任何尋求成為PP與套件之RA的組織,應證明符合該指令中所定義之RA要求的資格,並有以下的修正: (1) 該組織必須確認最少5年RA職務的協議。 (2) 該組織必須確認有足夠的設備資源與通信設施,以建置網際網路網站,支援本標準。 (3) 該組織必須確認當終止任命時,他將無償轉移其註冊與所有支援文件製作至其他主管機關所指定的組織。 6.3 合約 PP與套件之RA應依主管機關的合約運作,RA或主管機關可在通知12個月後終止合約。 備考: 合約並無固定期限
11、的限制,雖然被任命為RA之組織須承諾自首次任命起最少5年的RA職務,但是此情況是能夠改變的。本節允許RA於任何時候去職,包括未滿五年,僅須於12個月以前通知。 6.4 義務 PP與套件的註冊機構應該: (1) 接受PP與套件的註冊申請。 (2) 審查PP與套件的註冊申請。 (3) 指定PP與套件的唯一登錄項標號並加在註冊中。 (4) 通知申請者其申請的註冊結果。 (5) 通知出資者關於註冊登錄項動作的結果。 (6) 維護一份正確的註冊。 (7) 藉由WWW(全球資訊網),使得所有的註冊登錄項可以無償公用存取,並依需求提供註冊登錄項的紙本細節,並視需求要求付費。 5 CNS 14993, X 6
12、048 (8) 如有上述項目的作業,公布費用結構的細節。 (9) 管理註冊程序之所有方面以符合良好的營運實務。 (10) 提供活動的年度總結報告給負責本標準之主管機關。 (11) 忠於本標準第15節的上訴程序。 (12) 維護一份註冊複本。 (13) 製作可用的指引、實務及指導的網頁與文件。 (14) (在網頁與文書上)指出已經被指派為RA並符合本標準。 7. 註冊申請者的資格準則 任何組織或個人皆可向PP與套件之RA提出PP或套件的註冊申請。 8. 註冊申請包含的資訊 PP或套件的註冊申請應該包含: (1) 申請者之姓名與詳細的聯繫資料,聯繫資料必須包含郵寄地址或電子郵件位址與電話或傳真號碼
13、,如果申請者是組織,則聯繫資料應能識別組織中聯繫人的姓名與職稱,並且提供與該聯繫人聯繫的充分資訊。 (2) 提出註冊的物件型式,應該是PP、功能套件或保證套件。 (3) 提出註冊之PP或套件是新登錄項或替換登錄項的聲明,如果提出的PP或套件是替換登錄項,則應識別將被取代之現存註冊登錄項的登錄項標號。申請應包括這些登錄項出資者的聲明,以確認如果接受替換登錄項,出資者會同意將現存登錄項置為被替換登錄項的鏈結。 (4) 被提出之PP或套件是要註冊成草稿或定稿的聲明。 (5) 新PP或套件之技術定義須符合本標準第5.2節的結構。 (6) 執行彙總,以敘述的形式摘要說明PP或套件。 (7) 宣告,申請者
14、將資助註冊登錄項直到第一次的例行審查。 (8) 宣告,提出註冊之PP或套件的技術定義不含有秘密、專屬或不可公開的資訊。 (9) 宣告,提出註冊之PP或套件的技術定義要符合本標準第5.2節需求。 (10) RA會列入申請考量之所需初始費用。 PP的註冊申請也可能包括: (1) 該PP的評估通過聲明或證書,並附上發出聲明或證書之組織名稱與詳細的聯繫資料。 備考:註冊申請中之大部分元件提供登錄項的狀態與屬性資訊,此資訊是技術定義,實際上規定要註冊的PP或套件。 提出註冊之PP或套件的技術定義,應涵蓋本標準第5.2節要求之所有強制結構的元件,並且這些結構元件應是定義之本文中已可容易識別的元件。如果登錄
15、項是草稿,可以標示元件為日後定義,或可標示為不一致或未完整。 無論其他的PP或套件規格是否註冊,技術定義不應該因為定義用途而引用這些PP或套件的規格。 申請時應該提供一份技術定義的電子副本,此電子副本應使用一檔案格式與傳送機制,該檔案格式與傳送機制是由ISO/IEC/ITU發展與標準遞送的資訊技術使用導引6 CNS 14993, X 6048 中電子文件交換所建議。 9. 申請的審查與回覆步驟 9.1 初始處理 所有符合本標準之PP或套件的註冊申請應遵從RA初始處理。 此處理應檢查是否所有申請所需的元件皆已具備,並根據RA的意見適當做後續處理。 RA應該拒絕申請,或指定登錄項標號給PP或套件且
16、在註冊中給予PP或套件“驗核中”的狀態。應該適時地通知申請者。如果拒絕申請,RA應在回應中確認拒絕的原因。 此處理應於申請收件的14天內完成。 9.2 驗核 RA應對於註冊申請中所提供之技術定義履行結構的檢查,如果RA確認有遺漏的章節,或是資訊呈現之方式與本標準的現行版本或CNS 15408不相容,包括ITTF所公布相關的技術勘誤表或修正,則RA必須將議題交付申請者予以澄清或改正。如果申請者無法在議題通知收件的14天內解決遺漏或不一致性,則PP或套件將會驗核失敗。 如果有附上一份評估通過聲明或證書,則RA應聯繫發出該聲明或證書的組織,並且提供申請的副本給該組織。必須要求評估或驗證的組織,於一個
17、月內確認被評估之PP技術定義與提出註冊的技術定義是相同,並且確認已授予該PP一份通過聲明。如果評估或驗證的組織無法取得聯繫、未答覆或無法提供要求的確認,則RA應宣布不能接受該聲明或證書,並適時地通知申請者。 如果註冊申請確認要替換一個或多個現存的註冊登錄項,則RA應聯繫現行出資這些登錄項的組織,並且提供一份申請之副本與一份同意將他們的登錄項置為替換登錄項鏈結的聲明。必須要求出資組織於一個月內確認這些聲明的有效性,如果任何組織無法取得聯繫、未答覆或無法提供要求的確認,則RA應宣布不能接受替換鏈結,並據此通知申請者。 RA應於申請收件的三個月內完成驗核,包括任何必要的引用文件。如果申請者已經無法解
18、決議題,則註冊登錄項會是“驗核失敗”(“failed validation”)的狀態;否則狀態會變為“已註冊”(“registered”),或在附有評估通過聲明或證書的情況下則該定稿PP會適當地變為“已評估”(“evaluated”)或“已驗證”(“certified”)狀態。例行審查日期應設定為自註冊的初始登錄項起36個月。應記錄申請者於註冊登錄項中當作註冊之原始申請者及登錄項的現行出資者。 備考: RA之驗核工作僅限於上述結構與一致性的驗核,並不包含CNS 15408所使用之技術定義的評估,RA將不會履行任何PP或套件定義的技術檢查,因此註冊有可能會接受未完整或不一致的PP或套件定義。只有
19、登錄項為“已評估”或“已驗證”狀態之任何判定關係著註冊中技術定義的技術準確度。 7 CNS 14993, X 6048 10. 註冊申請的拒絕準則 如果有以下情形應拒絕PP或套件的註冊申請: (1) 申請者未支付RA所要求的任何費用。 (2) 遺漏申請所要求的元件。 (3) 包含遺漏或未完整的資訊(本標準明確允許的資訊除外)之申請。 (4) 包含指定為秘密、專屬或不可公開的資訊之申請。 (5) 包含無法理解的資訊之申請。 (6) 要註冊之PP或套件的技術定義未符合本標準之需求。 11. 註冊的作業 11.1 廢棄登錄項的通知 “已註冊”、“已評估”或“已驗證”狀態之註冊登錄項的出資者可在任何時
20、候通知RA,基於荒廢的理由該登錄項已被認為不適合未來繼續使用。註冊登錄項狀態應更新為“廢棄的”(“obsolescent”),並且例行審查日期應設定為自通知收件之日起的18個月。 11.2 草稿技術規格的更新 草稿註冊登錄項的出資者可以在任何時候要求RA,替換全部或部分已註冊之技術定義或已修訂規格的執行彙總。RA應對已修訂的技術定義履行結構檢查,如果RA識別出有遺漏的章節,或是資訊呈現之方式與本標準的現行版本或CNS 15408不相容,包括ITTF所公布相關的技術勘誤表或修正,則RA必須將議題交付申請者予以澄清或改正。否則在要求收件的14天內應更新登錄項。 RA可對草稿登錄項的更新收費。 11
21、.3 登錄項的例行審查 狀態為“已評估”或“已驗證”登錄項之例行審查日期前的一個月,RA應聯繫發出評估通過聲明或證書的組織,提供一份現行註冊登錄項的副本,包括任何缺陷報告與缺陷解決須知,應要求評估或驗證的組織在一個月內確認通過聲明或證書仍為有效。如果組織無法取得聯繫、未答覆或無法提供要求的確認,則RA應將登錄項降為“已註冊”狀態,並據此通知登錄項的出資者。 狀態為“已註冊的”、“已評估”或“已驗證”登錄項之例行審查日期前的一個月,為了檢查出資者希望持續的註冊,RA應聯繫登錄項的出資者,RA可能會要求持續註冊的額外收費。如果登錄項的出資者通知不希望持續註冊、一個月內未答覆再驗核的要求,或未支付任
22、何要求的費用,則註冊登錄項的狀態會變為“廢棄的”。 登錄項被標示“廢棄的”後,應將例行審查日期更新為自審查日起的18個月,而其他情況則更新為自審查日起的36個月。 在“廢棄的”登錄項的例行審查日,其狀態應變為“已汰除”(“retired”)狀態。 11.4 缺陷通知 宣稱註冊登錄項有錯誤、缺陷、不一致或歧義的任何人,可於任何時候通知RA,當收到如此的報告,RA應將宣稱之缺陷通知註冊登錄項的出資者。 8 CNS 14993, X 6048 如是在草稿登錄項的情況下,該出資者不需要回應此缺陷報告,但可以提出更新後之PP或套件的技術定義,以解決此議題。 在定稿登錄項的情況下,如果宣稱缺陷的報告者於一
23、個月內撤回其通知,則註冊登錄項不會有所變動,否則登錄項之出資者就應於期限內提供描述問題與提供回應的缺陷解決須知。也有可能記錄登錄項出資者的意見:不存在缺陷。RA應在註冊登錄項中附加缺陷報告與解決須知,RA也應送一份解決須知之副本給報告此缺陷的人。 備考: 為了達成彼此同意的回應,鼓勵註冊登錄項之出資者聯繫報告缺陷的人,但不要求一定要如此做。有某些缺陷的型式是無法藉由缺陷解決方案通知來解決,在這樣的情況下,將需要註冊替換登錄項,而標示現存登錄項為“廢棄的”。 當要求一份缺陷解決須知,但出資者無法在要求的期限內提供時,應將註冊登錄項變為“廢棄的”狀態。缺陷報告應附加於註冊登錄項中,下次例行審查之日
24、期設定為自狀態變更日期起的18個月。 如果CNS 15408系列標準被修訂,或發現有缺陷,則當比較對照修正後的準則,註冊登錄項會變為不一致或有缺陷的,如有報告應記錄這些缺陷。 11.5 登錄項更新的其他要求 註冊登錄項的出資者可在任何時候通知RA,變更出資者聯繫的細節,在收件的一週內,RA應據此更新註冊登錄項。 註冊登錄項之出資者在任何時候可以要求將登錄項的出資關係轉移給另一個人或組織,此要求應包括提出之新出資者接受出資關係轉移與提供他聯繫細節的聲明,在收件的一週內,RA應適當地更新註冊登錄項,並通知新與舊的出資者已經完成變更。 在任何時候RA可能會從“註冊的”定稿PP註冊登錄項的出資者收到一
25、份評估通過聲明或證書,當收件時,應要求評估與驗證之組織在一個月內確認授予PP一份評估通過聲明與被評估PP的技術定義與註冊時是相同。如果組織無法取得聯繫、未答覆或無法提供要求的確認,則RA應宣布不可接受聲明或證書,並通知申請者“已註冊”的狀態仍未變更;否則應適當地更新登錄項的狀態為“已評估”或“已驗證”。 發出評估通過聲明或證書之組織,在任何時候可能會通知RA撤回“已評估”或“已驗證”註冊登錄項的聲明或證書,當收到此通知,應將註冊登錄項的狀態降為“已註冊”。 在此節允許變更的註冊登錄項,不應變更登錄項之下次例行審查的日期。 11.6 註冊登錄項的刪除 一旦配置註冊登錄項一個登錄項標號,就絕不會從
26、註冊中刪除。 備考:不再使用的登錄項能以“已汰除”狀態區分。 12. 註冊的維護 RA應採取適當的方法,以確保註冊中資訊的準確度得以維護、公用存取註冊中資9 CNS 14993, X 6048 訊不會不合理的延遲,以及存在適當的備份與復原方法以保護註冊,在RA與主管機關的合約當中應規定這些方法。 13. 註冊中資訊的機密性 註冊登錄項不應含有秘密、專屬或不可公開的內容,RA應該能公用存取可用註冊登錄項中的資訊。 14. 註冊的公布 依本標準之條件所指派之RA機構應維護所有PP註冊與已被接受作為註冊用的套件。 每個PP或套件之註冊登錄項至少應包含以下的資訊: (1) 登錄項的登錄項標號。 (2)
27、 註冊物件的型式,“PP”、“功能套件”(“functional package”)或“保證套件” (“assurance package”)。 (3) 登錄項是新的或替換登錄項。 (4) 登錄項是草稿或定稿。 (5) 登錄項的狀態為“驗核中”(“in validation”)、“驗核失敗”(“failed validation”)、 “已註冊”、“已評估”、“已驗證”、“廢棄的”或“已汰除”其中之一。 (6) 登錄項的原始接受日期。 (7) 登錄項最後變更的日期。 (8) 登錄項下次例行審查的日期。 (9) 登錄項現行出資者的名稱與聯繫細節。 (10) 註冊時原始申請者的名稱與聯繫細節。 (
28、11) 當登錄項為“已評估”或“已驗證”狀態,發出評估通過聲明或證書之組織的名稱與聯繫細節。 (12) PP或套件的執行彙總。 (13) PP或套件之技術定義須符合本標準第5.2節的結構。 (14) 在定稿登錄項的情況下,任何可用的缺陷報告與缺陷解決須知。 (15) RA對照CNS 15408版本驗核登錄項,包括任何主管機關所公布之相關技術勘誤表或修正的記載。 (16) 任何被登錄項替換之登錄項的登錄項標號。 (17) 任何替換此登錄項之登錄項的登錄項標號。 備考: 註冊登錄項中大部分之欄位提供關於登錄項的狀態與屬性資訊,此資訊是技術定義,實際上規定該PP或套件。 RA應藉由WWW (全球資訊
29、網),免費提供全部註冊登錄項之所有上述可識別的資訊。 RA應提供包含所有上述資訊之一個或多個註冊登錄項的紙本細節,當收到要求與費用的付款時。 RA應提供一份完整的註冊紙本複本,當收到要求與費用的付款時。 完整的註冊之註冊擷取與複製應有一顯著的告示,顯示RA對註冊登錄項的內容沒有責任,由登錄項出資者負責。告示應陳述RA對註冊登錄項之驗核僅限於結構與一致性的檢查,並且不包含使用CNS 15408之技術定義的評估,僅具有“已評估”10 CNS 14993, X 6048 或“已驗證”狀態之登錄項為註冊中與技術定義的技術準確度所為之判定有關。 15. 申訴程序 當註冊申請者或註冊登錄項之出資者與RA間
30、有紛爭的事件時,申請者或出資者應以書面方式聯繫RA的執行長,陳述不同意之根據與請求RA採取之動作。 RA之執行長應考量該事宜,並於一個月內發出書面之決定給申訴者與RA的作業人員。 如果申訴者不滿意執行長所做的決定,申訴者應於一個月內以書面向執行長正式申訴,陳述無法接受決定的根據。 執行長應考量申訴的意見,並於一個月內以書面確認或修改他先前的決定。 如果申訴者不滿意執行長的申訴決定,申訴者應於一個月內寫信給負責本標準之主管機關,陳述紛爭的根據、RA執行長之決定及不接受該決定的根據。 該主管機關應要求負責本標準的機構重新考量此事宜,收到此請求的15個月內,相關的機構應做出決議,提供有疑義事宜的決定
31、,此決定應對申訴者與RA兩造此後具有約束作用。 11 CNS 14993, X 6048 附錄A 註冊的效益 (參考) PP與套件之註冊的優點有: (1) 作為速記方法以公開共同安全需求,協助使用者比較競爭產品或系統間的安全宣稱。 (2) 作為產業界或產品供應商協會能夠規定安全功能或保證的最低標準的方法,作為日後產品製造者發展新商品的公開導引。 (3) 作為購買者之公開領域的基礎,以規定在多個獲取規格中結合的安全需求。 (4) 當PP已評估過,因為不需要重複PP這部分的工作,所以評估標的(TOE)的發展者結合此PP將得到降低成本、風險及評估複雜度的效益。 指定為草稿的登錄項,可用以刺激合意之安
32、全特徵的討論、用以公布工作進展,或用以指示共同需求規格中存在技術問題的區域。隨著發展之進行及問題的被識別與解決,登錄項出資者能夠於任何時候更新登錄項以反應進展。 指定為定稿的登錄項將不再變更,發現的任何錯誤會以附加缺陷解決須知處置。因此其他各方使用這些登錄項時,能夠有信心,此規格將會保持穩定。經過評估或驗證後的定稿PP,因保證已經成功地完成PP的正式評估,所以能信賴PP規格的正確性,驗證之PP情況是與評估過程無關的獨立第三者已經驗核過評估。在日後發現登錄項有重大缺點的事件時,在登錄項從使用中完全汰除前,會有廢棄的保證變遷時期。 12 CNS 14993, X 6048 附件B 註冊登錄項的生命
33、週期 (參考) 當接受申請者的註冊請求後,RA履行初始核對是否所有要求資訊(與任何初始的費用) 皆具備。若是如此,則指定一個唯一的註冊識別符給PP或套件(登錄項標號),並且將其加入註冊中加註,使用“驗核中”的初始狀態。RA接著聯繫涉及註冊過程中之其他各方,例如相關登錄項之出資者或任何的評估者或驗證者。 RA也對PP或套件做結構檢查,以確保沒有明顯之遺漏或與CNS 15408不相符合的地方,任何查詢要與申請者共同解決。一旦完成,登錄項的狀態變為“已註冊的”,或如果確認評估通過聲明或證書為有效,登錄項的狀態各別變為“已評估的”或“已驗證”。 如果在三個月內RA無法解決所有查詢且無法取得必要的確認,
34、則終止驗核程序並將登錄項視為“驗核失敗”。 現行註冊登錄項的正常狀態為“已註冊”、“已評估”或“已驗證”,如果RA收到註冊之PP的成功評估或驗證有效通知,則更新登錄項狀態為“已評估”或“已驗證”。同樣地,如果撤回一份評估通過聲明或證書,則將登錄項降為“已註冊”。 要求註冊、評估或驗證之註冊登錄項的出資者每三年要確認登錄項仍有需要(與可能需支付額外的費用以持續註冊),並且也要檢查任何評估通過聲明或證書仍為有效,如果出資者不答覆、無法支付任何要求的費用,或不希望持續註冊,則登錄項狀態變為“已廢棄”。 已經撤回或出資者放棄之已廢棄登錄項,仍保持在註冊中,但是有登錄項無效的狀態警示。出資者能在任何時候
35、註銷已註冊、已評估、或已驗證登錄項,如果一份定稿之PP或套件報告有缺陷,而出資者又無法回應報告的錯誤,則也會變更狀態為已廢棄,且有出資者不再支持登錄項的警示。 登錄項持續處於已廢棄的狀態,18個月後,將自動降為“已汰除”,意指不再使用該登錄項,已汰除的登錄項仍保持在註冊中,使能夠因歷史目的被引用。 13 CNS 14993, X 6048 英中名詞對照表 A applicant 申請者 C certificate 證書 E evaluation pass statement 評估通過聲明 I Information Technology Task Force, ITTF 資訊技術任務編組 P package 套件 protection profile, PP 保護剖繪 R register 註冊 register entry 註冊登錄項 registration 註冊 registration authority 註冊機構 S security target 安全標的 sponsor 出資者