ISO/IEC 19896-3:2025
(Main)Information security, cybersecurity and privacy protection — Requirements for the competence of IT security conformance assessment body personnel — Part 3: Knowledge and skills requirements for evaluators and reviewers according to the ISO/IEC 15408 series and ISO/IEC 18045
Information security, cybersecurity and privacy protection — Requirements for the competence of IT security conformance assessment body personnel — Part 3: Knowledge and skills requirements for evaluators and reviewers according to the ISO/IEC 15408 series and ISO/IEC 18045
This document provides the specialized requirements for individuals to demonstrate competence in performing IT product security evaluations and reviews according to the ISO/IEC 15408 series and ISO/IEC 18045. NOTE It is possible that evaluators and testers belong to bodies operating under ISO/IEC 17025 and reviewers belong to bodies operating under ISO/IEC 17065.
Sécurité de l'information, cybersécurité et protection de la vie privée ― Exigences relatives aux compétences du personnel des organismes d'évaluation de la conformité de la sécurité TI — Partie 3: Exigences en matière de connaissances et de compétences pour les évaluateurs et les examinateurs conformément à la série ISO/IEC 15408 et à l'ISO/IEC 18045
Le présent document fournit les exigences spécialisées permettant aux personnes de démontrer leur compétence dans la réalisation d'évaluations et d'examens de la sécurité des produits TI conformément à la série ISO/IEC 15408 et à l'ISO/IEC 18045. NOTE Il est possible que les évaluateurs et les testeurs appartiennent à des organismes opérant sous l'ISO/IEC 17025 et que les examinateurs appartiennent à des organismes opérant sous l'ISO/IEC 17065.
General Information
Relations
Standards Content (Sample)
International
Standard
ISO/IEC 19896-3
Second edition
Information security, cybersecurity
2025-11
and privacy protection —
Requirements for the competence
of IT security conformance
assessment body personnel —
Part 3:
Knowledge and skills requirements
for evaluators and reviewers
according to the ISO/IEC 15408
series and ISO/IEC 18045
Sécurité de l'information, cybersécurité et protection de la vie
privée ― Exigences relatives aux compétences du personnel des
organismes d'évaluation de la conformité de la sécurité TI —
Partie 3: Exigences en matière de connaissances et de
compétences pour les évaluateurs et les examinateurs
conformément à la série ISO/IEC 15408 et à l'ISO/IEC 18045
Reference number
© ISO/IEC 2025
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO/IEC 2025 – All rights reserved
ii
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviated terms . 2
3.1 Terms and definitions .2
3.2 Abbreviated terms .2
4 Knowledge . 2
4.1 Knowledge required for evaluators .2
4.1.1 General .2
4.1.2 Knowledge of the ISO/IEC 15408 series and ISO/IEC 18045 .3
4.1.3 Knowledge of the assurance paradigm .5
4.1.4 Knowledge of information security.6
4.1.5 Knowledge of the technology .7
4.2 Knowledge required for reviewers .8
4.2.1 General .8
4.2.2 Knowledge of the ISO/IEC 15408 series and ISO/IEC 18045 .9
4.2.3 Knowledge of the assurance paradigm .10
4.2.4 Knowledge of information security. 12
4.2.5 Knowledge of technology. 13
5 Skills . 14
5.1 Skills required for evaluators .14
5.1.1 General .14
5.1.2 Basic evaluation skills .14
5.1.3 Core evaluation skills regarding ISO/IEC 15408-3 and ISO/IEC 18045 . 15
5.1.4 Skills required for specific security assurance classes .16
5.1.5 Skills required for specific security functional requirement classes .17
5.1.6 Skills required for specific technology .17
5.2 Skill required for reviewers .17
5.2.1 Basic review skills .17
5.2.2 Core review skills regarding ISO/IEC 15408-3 and ISO/IEC 18045 .18
5.2.3 Skills required for specific security assurance classes .18
5.2.4 Skills required for specific security functional requirement classes .19
5.2.5 Skills required for specific technology .19
Annex A (informative) Technology types: knowledge and skills.20
Annex B (informative) Examples of knowledge and skills required for evaluating security
assurance requirement classes .27
Annex C (informative) Examples of knowledge required for evaluating security functional
requirement classes .40
Bibliography .44
© ISO/IEC 2025 – All rights reserved
iii
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical activity.
ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations,
governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/
IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the
use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any
claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not
received notice of (a) patent(s) which may be required to implement this document. However, implementers
are cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents and https://patents.iec.ch. ISO and IEC shall not be held
responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html.
In the IEC, see www.iec.ch/understanding-standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection, in collaboration with the
European Committee for Standardization (CEN) Technical Committee CEN/CLC/JTC 13, Cybersecurity and
data protection, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
This second edition cancels and replaces the first edition (ISO/IEC 19896-2:2018), which has been technically
revised.
The main changes are as follows:
— completely reworked the requirements for evaluators, including restructuring of the content;
— added requirements for personnel reviewing IT security conformance assessment activities.
A list of all parts in the ISO/IEC 19896 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.
© ISO/IEC 2025 – All rights reserved
iv
Introduction
The ISO/IEC 15408 series permits comparability between the results of independent security evaluations. It
does so by providing a common set of requirements for the security functionality of information technology
(IT) products and for assurance measures applied to these IT products during a security evaluation. Many
review and evaluation schemes as well as review bodies have been developed using the ISO/IEC 15408 series
and ISO/IEC 18045 as a basis, which permits comparability between the results of evaluation projects.
The evaluation process usually relies on both pre-defined tests/methods for a type of TOE, and TOE-
specific tests/methods that are defined for a given implementation of the TOE. Hence, the competence of
the individual evaluators, who are expected not only to apply pre-defined tests/methods but to define and
run TOE-specific tests/methods, is key to ensuring the comparability and repeatability of evaluation results
which is the foundation for mutual recognition.
This document establishes a baseline for the minimum competence of ISO/IEC 15408 series evaluators and
reviewers to ensure harmonized requirements for training ISO/IEC 15408 evaluators and reviewers. It
provides specialized requirements for individuals performing IT product security evaluations and reviews
to demonstrate their competence according to the ISO/IEC 15408 series and ISO/IEC 18045. ISO/IEC 15408-1
describes the general framework for competences including the various elements thereof: knowledge, skills,
experience and education. This document covers knowledge and skills, especially in the following areas.
— Information security
— Knowledge: information security principles, information security properties, information security
threats and vulnerabilities.
— Skills: understanding information security requirements, the context and the scope of evaluation.
— Information security evaluation
— Knowledge: knowledge of the ISO/IEC 15408 series and ISO/IEC 18045, laboratory management system.
— Skills: Basic evaluation skills, core evaluation skills, skills required when evaluating specific security
assurance classes, skills required when evaluating specific security functional requirements classes.
— Information systems architecture
— Knowledge: technology being evaluated.
— Skills: understanding the interaction of security components and information.
— Information security testing
— Knowledge: information security testing techniques, information security testing tools, product
development lifecycle, test types.
— Skills: creating and managin
...
Norme
internationale
ISO/IEC 19896-3
Deuxième édition
Sécurité de l'information,
2025-11
cybersécurité et protection de la
vie privée ― Exigences relatives
aux compétences du personnel
des organismes d'évaluation de la
conformité de la sécurité TI —
Partie 3:
Exigences en matière de
connaissances et de compétences
pour les évaluateurs et les
examinateurs conformément à la
série ISO/IEC 15408 et à l'ISO/
IEC 18045
Information security, cybersecurity and privacy protection —
Requirements for the competence of IT security conformance
assessment body personnel —
Part 3: Knowledge and skills requirements for evaluators and
reviewers according to the ISO/IEC 15408 series and ISO/IEC 18045
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2025
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2025 – Tous droits réservés
ii
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes, définitions et abréviations . 2
3.1 Termes et définitions .2
3.2 Abréviations.2
4 Connaissances . . 3
4.1 Connaissances requises pour les évaluateurs .3
4.1.1 Généralités .3
4.1.2 Connaissance de la série ISO/IEC 15408 et de l'ISO/IEC 18045 .3
4.1.3 Connaissance du paradigme de l'assurance .5
4.1.4 Connaissance de la sécurité de l'information .7
4.1.5 Connaissance de la technologie .7
4.2 Connaissances requises pour les examinateurs .9
4.2.1 Généralités .9
4.2.2 Connaissance de la série ISO/IEC 15408 et de l'ISO/IEC 18045 .9
4.2.3 Connaissance du paradigme de l'assurance .11
4.2.4 Connaissance de la sécurité de l'information . 13
4.2.5 Connaissance de la technologie . 13
5 Savoir-faire .15
5.1 Savoir-faire requis pour les évaluateurs . 15
5.1.1 Généralités . 15
5.1.2 Savoir-faire d'évaluation de base . 15
5.1.3 Savoir-faire d'examen de base conformément à l'ISO/IEC 15408-3 et l'ISO/
IEC 18045 .16
5.1.4 Savoir-faire requis pour des classes d'assurance de sécurité spécifiques .17
5.1.5 Savoir-faire requis pour les classes d'exigences fonctionnelles de sécurité
spécifiques .18
5.1.6 Savoir-faire requis pour une technologie spécifique .18
5.2 Savoir-faire requis pour les examinateurs .18
5.2.1 Savoir-faire d'examen de base .18
5.2.2 Savoir-faire d'examen de base conformément à l'ISO/IEC 15408-3 et l'ISO/
IEC 18045 .19
5.2.3 Savoir-faire requis pour des classes d'assurance de sécurité spécifiques .19
5.2.4 Savoir-faire requis pour les classes d'exigences fonctionnelles de sécurité
spécifiques . 20
5.2.5 Savoir-faire requis pour une technologie spécifique . 20
Annexe A (informative) Types de technologies: connaissances et savoir-faire .21
Annexe B (informative) Exemples de connaissances et savoir-faire requis pour l'évaluation des
classes d'exigences d'assurance de la sécurité .28
Annexe C (informative) Exemples de connaissances requises pour l'évaluation des classes
d'exigences fonctionnelles de sécurité .42
Bibliographie .46
© ISO/IEC 2025 – Tous droits réservés
iii
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de l’IEC participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique.
Les comités techniques de l'ISO et de l’IEC collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et l’IEC,
participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères
d'approbation requis pour les différents types de documents. Le présent document a été rédigé conformément
aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.iso.org/directives ou
www.iec.ch/members_experts/refdocs).
L’ISO et l’IEC attirent l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO et l’IEC ne prennent pas position quant à la preuve, à la
validité et à l’applicabilité de tout droit de brevet revendiqué à cet égard. À la date de publication du présent
document, L’ISO et l’IEC n'avaient pas reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires
à sa mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch. L’ISO et l’IEC ne sauraient être
tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux
principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce
(OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée, en collaboration
avec le comité technique CEN/CLC/JTC 13, Cybersécurité et protection des données, du Comité européen de
normalisation (CEN), conformément à l'Accord de coopération technique entre l'ISO et le CEN (Accord de
Vienne).
Cette deuxième édition annule et remplace la première édition (ISO/IEC 19896-2:2018), qui fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes:
— les exigences pour les évaluateurs ont été entièrement retravaillées, y compris la restructuration du
contenu;
— des exigences ont été ajoutées pour le personnel chargé d'examiner les activités d'évaluation de la
conformité de la sécurité TI.
Une liste de toutes les parties de la série ISO/IEC 19896 se trouve sur les sites Web de l’ISO et de l'IEC.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/members.html et www.iec.ch/national-committees.
© ISO/IEC 2025 – Tous droits réservés
iv
Introduction
La série ISO/IEC 15408 permet la comparaison entre des résultats d'évaluations de sécurité indépendantes.
À cet effet, elle propose un ensemble commun d'exigences applicables aux fonctionnalités de sécurité des
produits de technologies de l'information (TI) et aux mesures d'assurance appliquées à ces produits TI au
cours d'une évaluation de sécurité. De nombreux schémas d'examen et d'évaluation ainsi que des organismes
d'examen ont été élaborés en utilisant la série ISO/IEC 15408 et l'ISO/IEC 18045 comme base, ce qui permet
de comparer les résultats des projets d'évaluation.
Le processus d'évaluation repose généralement à la fois sur des tests/méthodes prédéfinis pour un type de
TOE et sur des tests/méthodes spécifiques à la TOE qui sont définis pour une implémentation donnée de
la TOE. Par conséquent, la compétence des différents évaluateurs, dont il est attendu non seulement qu'ils
appliquent les tests/méthodes prédéfinis, mais également qu'ils définissent et exécutent des tests/méthodes
spécifiques à la TOE, est essentielle pour assurer la comparabilité et la répétabilité des résultats d'évaluation
qui constituent le fondement de la reconnaissance mutuelle.
Le présent document établit une base de référence pour les compétences minimales des évaluateurs et
examinateurs de la série ISO/IEC 15408 afin d'assurer l'harmonisation des exigences de formation des
évaluateurs et examinateurs de l'ISO/IEC 15408. Il fournit des exigences spécialisées permettant aux
personnes effectuant des évaluations et des examens de la sécurité des produits TI de démontrer leur
compétence conformément
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.