Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Requirements and methodology for IT security evaluation

This document specifies requirements and the minimum actions performed by an evaluator in order to conduct an evaluation using the criteria and evaluation evidence defined in the ISO/IEC 15408 series evaluation.

Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation pour la sécurité des technologies de l'information — Exigences et méthodologie pour l'évaluation de sécurité

Le présent document spécifie les exigences et les actions minimales réalisées par un évaluateur pour mener une évaluation en utilisant les critères et les preuves d'évaluation définis dans l’évaluation de la série de normes ISO/IEC 15408.

General Information

Status
Published
Publication Date
18-May-2026
ICS
35.030 - IT Security
Technical Committee
ISO/IEC JTC 1/SC 27 - Information security, cybersecurity and privacy protection
Drafting Committee
ISO/IEC JTC 1/SC 27/WG 3 - Security evaluation, testing and specification
Current Stage
6060 - International Standard published
Start Date
19-May-2026
Due Date
27-Oct-2026
Completion Date
19-May-2026

Buy Documents

ISO/IEC 18045:2026 - Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Requirements and methodology for IT security evaluation - Page 1 previewISO/IEC 18045:2026 - Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Requirements and methodology for IT security evaluation - Page 2 previewISO/IEC 18045:2026 - Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Requirements and methodology for IT security evaluation - Page 3 previewISO/IEC 18045:2026 - Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Requirements and methodology for IT security evaluation - Page 4 preview
PreviousNext
Standard

ISO/IEC 18045:2026 - Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Requirements and methodology for IT security evaluation

Release Date:19-May-2026
English language (447 pages)
sale 15% off
Preview
sale 15% off
Preview
ISO/IEC 18045:2026 - Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation pour la sécurité des technologies de l'information — Exigences et méthodologie pour l'évaluation de sécurité - Page 1 previewISO/IEC 18045:2026 - Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation pour la sécurité des technologies de l'information — Exigences et méthodologie pour l'évaluation de sécurité - Page 2 previewISO/IEC 18045:2026 - Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation pour la sécurité des technologies de l'information — Exigences et méthodologie pour l'évaluation de sécurité - Page 3 previewISO/IEC 18045:2026 - Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation pour la sécurité des technologies de l'information — Exigences et méthodologie pour l'évaluation de sécurité - Page 4 preview
PreviousNext
Standard

ISO/IEC 18045:2026 - Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation pour la sécurité des technologies de l'information — Exigences et méthodologie pour l'évaluation de sécurité

Release Date:19-May-2026
French language (479 pages)
sale 15% off
Preview
sale 15% off
Preview

Relations

Referred By
EN ISO/IEC 19896-3:2025 - Information security, cybersecurity and privacy protection - Requirements for the competence of IT security conformance assessment body personnel - Part 3: Knowledge and skills requirements for evaluators and reviewers according to the ISO/IEC 15408 series and ISO/IEC 18045 (ISO/IEC 19896-3:2025)
Effective Date
09-Feb-2026
Consolidates
FprEN ISO/IEC 18045 - Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Requirements and methodology for IT security evaluation (ISO/IEC FDIS 18045:2025)
Effective Date
12-Feb-2026
Consolidates
ISO 18113-4:2022 - In vitro diagnostic medical devices — Information supplied by the manufacturer (labelling) — Part 4: In vitro diagnostic reagents for self-testing
Effective Date
27-Apr-2024
Revises
ISO/IEC 18045:2022 - Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Methodology for IT security evaluation
Effective Date
28-Oct-2023

Overview

ISO/IEC 18045:2025 is an international standard that defines the requirements and methodology for evaluating IT security according to the criteria established within the ISO/IEC 15408 series (commonly known as the Common Criteria). Developed by ISO, this standard outlines the minimum set of actions an evaluator should perform to conduct a consistent and repeatable IT security evaluation. ISO/IEC 18045 is essential for organizations involved in information security, cybersecurity, and privacy protection, ensuring robust assessment processes for IT products and systems.

The guidance in ISO/IEC 18045 helps stakeholders follow a recognized framework when evaluating the effectiveness of security controls and the assurance provided by the technology under review. It facilitates consistency, reliability, and objectivity throughout the evaluation process.

Key Topics

ISO/IEC 18045 addresses several crucial areas in the security evaluation process, including:

  • Evaluation Process and Tasks: Detailed steps for conducting an IT security evaluation, from input and planning to output and documentation.
  • Protection Profile (PP) Evaluation: Methods for evaluating protection profiles, which define requirements for categories of products or systems.
  • Security Target (ST) Evaluation: Guidance on evaluating security targets, which specify the security requirements for a particular product or system.
  • Development and Guidance Documents: Evaluation of documentation from developers, such as functional specifications and security architecture, as well as user guidance and operational procedures.
  • Life Cycle Support and Testing: Criteria for evaluating life cycle processes-such as configuration management, delivery, flaw remediation-and a comprehensive approach to testing and vulnerability assessment.
  • Composition and Modular Evaluation: Processes for evaluating composite products assembled from previously evaluated components, supporting re-use and modular evaluation approaches.
  • Reporting and Verdicts: Structure for recording evaluation activities and issuing objective verdicts based on evidence.

Applications

ISO/IEC 18045 is widely used across multiple sectors to assess the security posture of IT solutions, including:

  • Certification of IT Products: Ensures IT products meet internationally recognized information security, cybersecurity, and privacy protection requirements before entering the market.
  • Compliance and Procurement: Assists organizations and government agencies in procuring secure IT solutions by verifying compliance with the Common Criteria via standardized evaluation methods.
  • Development and Testing: Provides developers and evaluation laboratories with clear guidance on the evidence and documentation required to support a successful evaluation.
  • Risk Management: Helps organizations identify weaknesses in their IT products and systems, contributing to an overall stronger cybersecurity posture.
  • International Trade: Facilitates mutual recognition of IT security evaluations among countries that follow the ISO/IEC 15408 series, streamlining global acceptance of certified solutions.

Related Standards

ISO/IEC 18045 is part of a broader ecosystem of standards for information security evaluation. Key related standards include:

  • ISO/IEC 15408 series (Common Criteria): The foundational criteria for IT security evaluation, referenced throughout ISO/IEC 18045.
  • ISO/IEC 19790: Focuses on security requirements for cryptographic modules, often evaluated under Common Criteria.
  • ISO/IEC 27001: Specifies requirements for information security management systems (ISMS), complementing the outcomes of product evaluations.
  • ISO/IEC 27005: Provides guidelines for information security risk management, which can inform the focus of security evaluations.

By adopting ISO/IEC 18045, organizations ensure a systematic, repeatable, and internationally recognized approach to IT security evaluation, strengthening trust in their products and services while supporting regulatory compliance and global competitiveness.

Buy Documents

ISO/IEC 18045:2026 - Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Requirements and methodology for IT security evaluation - Page 1 previewISO/IEC 18045:2026 - Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Requirements and methodology for IT security evaluation - Page 2 previewISO/IEC 18045:2026 - Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Requirements and methodology for IT security evaluation - Page 3 previewISO/IEC 18045:2026 - Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Requirements and methodology for IT security evaluation - Page 4 preview
PreviousNext
Standard

ISO/IEC 18045:2026 - Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Requirements and methodology for IT security evaluation

Release Date:19-May-2026
English language (447 pages)
sale 15% off
Preview
sale 15% off
Preview
ISO/IEC 18045:2026 - Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation pour la sécurité des technologies de l'information — Exigences et méthodologie pour l'évaluation de sécurité - Page 1 previewISO/IEC 18045:2026 - Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation pour la sécurité des technologies de l'information — Exigences et méthodologie pour l'évaluation de sécurité - Page 2 previewISO/IEC 18045:2026 - Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation pour la sécurité des technologies de l'information — Exigences et méthodologie pour l'évaluation de sécurité - Page 3 previewISO/IEC 18045:2026 - Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation pour la sécurité des technologies de l'information — Exigences et méthodologie pour l'évaluation de sécurité - Page 4 preview
PreviousNext
Standard

ISO/IEC 18045:2026 - Sécurité de l'information, cybersécurité et protection de la vie privée — Critères d'évaluation pour la sécurité des technologies de l'information — Exigences et méthodologie pour l'évaluation de sécurité

Release Date:19-May-2026
French language (479 pages)
sale 15% off
Preview
sale 15% off
Preview

Get Certified

Connect with accredited certification bodies for this standard

BSI Group

BSI (British Standards Institution) is the business standards company that helps organizations make excellence a habit.

UKAS United Kingdom Verified
Visit Website

Bureau Veritas

Bureau Veritas is a world leader in laboratory testing, inspection and certification services.

COFRAC France Verified
Visit Website

DNV

DNV is an independent assurance and risk management provider.

NA Norway Verified
Visit Website

Sponsored listings

Frequently Asked Questions

ISO/IEC 18045:2026 is a standard published by the International Organization for Standardization (ISO). Its full title is "Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Requirements and methodology for IT security evaluation". This standard covers: This document specifies requirements and the minimum actions performed by an evaluator in order to conduct an evaluation using the criteria and evaluation evidence defined in the ISO/IEC 15408 series evaluation.

This document specifies requirements and the minimum actions performed by an evaluator in order to conduct an evaluation using the criteria and evaluation evidence defined in the ISO/IEC 15408 series evaluation.

ISO/IEC 18045:2026 is classified under the following ICS (International Classification for Standards) categories: 35.030 - IT Security. The ICS classification helps identify the subject area and facilitates finding related standards.

ISO/IEC 18045:2026 has the following relationships with other standards: It is inter standard links to EN ISO/IEC 19896-3:2025, FprEN ISO/IEC 18045, ISO 18113-4:2022, ISO/IEC 18045:2022. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.

ISO/IEC 18045:2026 is available in PDF format for immediate download after purchase. The document can be added to your cart and obtained through the secure checkout process. Digital delivery ensures instant access to the complete standard document.

Standards Content (Sample)


International
Standard
ISO/IEC 18045
Fourth edition
Information security, cybersecurity
2026-05
and privacy protection —
Evaluation criteria for IT security —
Requirements and methodology for
IT security evaluation
Sécurité de l'information, cybersécurité et protection de la vie
privée — Critères d'évaluation pour la sécurité des technologies
de l'information — Exigences et méthodologie pour l'évaluation
de sécurité
Reference number
© ISO/IEC 2026
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO/IEC 2026 – All rights reserved
ii
Contents Page
Foreword .viii
Introduction .ix
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Terminology . . 4
5 Verb usage . 5
6 General evaluation guidance . 5
7 Relationship between structures within the CC and the structure of this document . 5
8 Evaluation process and related tasks . 6
8.1 General .6
8.2 Evaluation process overview . .6
8.2.1 Objectives .6
8.2.2 Responsibilities of the roles .6
8.2.3 Relationship of roles .7
8.2.4 General evaluation model .7
8.2.5 Evaluator verdicts .8
8.3 Evaluation input task .9
8.3.1 Objectives .9
8.3.2 Application notes .9
8.3.3 Management of evaluation evidence task .10
8.4 Evaluation sub-activities .11
8.5 Evaluation output task .11
8.5.1 Objectives .11
8.5.2 Management of evaluation outputs .11
8.5.3 Application notes .11
8.5.4 Write OR task .11
8.5.5 Write ETR task . 12
9 Protection Profile (PP) evaluation . 19
9.1 Introduction .19
9.2 Application notes .19
9.2.1 Re-using the evaluation results of certified PPs .19
9.3 PP introduction (APE_INT) . 20
9.3.1 Evaluation of sub-activity (APE_INT.1) . 20
9.4 Conformance claims (APE_CCL) .21
9.4.1 Evaluation of sub-activity (APE_CCL.1) .21
9.5 Security problem definition (APE_SPD) .32
9.5.1 Evaluation of sub-activity (APE_SPD.1) .32
9.6 Security objectives (APE_OBJ) . 33
9.6.1 Evaluation of sub-activity (APE_OBJ.1) . 33
9.6.2 Evaluation of sub-activity (APE_OBJ.2) . 35
9.7 Extended components definition (APE_ECD) .37
9.7.1 Evaluation of sub-activity (APE_ECD.1) .37
9.8 Security requirements (APE_REQ) .41
9.8.1 Evaluation of sub-activity (APE_REQ.1) .41
9.8.2 Evaluation of sub-activity (APE_REQ.2).47
10 Protection Profile Configuration evaluation . 51
10.1 Introduction .51
10.2 PP-Module introduction (ACE_INT) .52
10.2.1 Evaluation of sub-activity (ACE_INT.1) .52
10.3 PP-Module conformance claims (ACE_CCL) . 55

© ISO/IEC 2026 – All rights reserved
iii
10.3.1 Evaluation of sub-activity (ACE_CCL.1) . 55
10.4 PP-Module security problem definition (ACE_SPD) .61
10.4.1 Evaluation of sub-activity (ACE_SPD.1) .61
10.5 PP-Module security objectives (ACE_OBJ) .62
10.5.1 Evaluation of sub-activity (ACE_OBJ.1) .62
10.5.2 Evaluation of sub-activity (ACE_OBJ.2) . 64
10.6 PP-Module extended components definition (ACE_ECD). 66
10.6.1 Evaluation of sub-activity (ACE_ECD.1) . 66
10.7 PP-Module security requirements (ACE_REQ) .70
10.7.1 Evaluation of sub-activity (ACE_REQ.1) .70
10.7.2 Evaluation of sub-activity (ACE_REQ.2) .76
10.8 PP-Module consistency (ACE_MCO) . 81
10.8.1 Evaluation of sub-activity (ACE_MCO.1) . 81
10.9 PP-Configuration consistency (ACE_CCO) . 84
10.9.1 Evaluation of sub-activity (ACE_CCO.1) . 84
11 Security Target (ST) evaluation .93
11.1 Introduction . 93
11.2 Application notes . 93
11.2.1 Re-using the evaluation results of certified PPs . 93
11.2.2 Composition . 94
11.3 ST introduction (ASE_INT) . 94
11.3.1 Evaluation of sub-activity (ASE_INT.1) . 94
11.4 Conformance claims (ASE_CCL) . 98
11.4.1 Evaluation of sub-activity (ASE_CCL.1) . 98
11.5 Security problem definition (ASE_SPD) . 112
11.5.1 Evaluation of sub-activity (ASE_SPD.1) . 112
11.6 Security objectives (ASE_OBJ) . 113
11.6.1 Evaluation of sub-activity (ASE_OBJ.1) . 113
11.6.2 Evaluation of sub-activity (ASE_OBJ.2) . 115
11.7 Extended components definition (ASE_ECD) .117
11.7.1 Evaluation of sub-activity (ASE_ECD.1) .117
11.8 Security requirements (ASE_REQ). 121
11.8.1 Evaluation of sub-activity (ASE_REQ.1) . 121
11.8.2 Evaluation of sub-activity (ASE_REQ.2) .128
11.9 TOE summary specification (ASE_TSS) .134
11.9.1 Evaluation of sub-activity (ASE_TSS.1) .134
11.9.2 Evaluation of sub-activity (ASE_TSS.2) . 135
11.10 Consistency of composite product Security Target (ASE_COMP) . 136
11.10.1 Evaluation of sub-activity (ASE_COMP.1) . 136
12 Development .141
12.1 Introduction .141
12.2 Application notes .141
12.2.1 General .141
12.2.2 Composition .142
12.3 Security architecture (ADV_ARC) .142
12.3.1 Evaluation of sub-activity (ADV_ARC.1) .142
12.4 Functional specification (ADV_FSP) .147
12.4.1 Evaluation of sub-activity (ADV_FSP.1) .147
12.4.2 Evaluation of sub-activity (ADV_FSP.2) . 150
12.4.3 Evaluation of sub-activity (ADV_FSP.3) . 155
12.4.4 Evaluation of sub-activity (ADV_FSP.4) . 160
12.4.5 Evaluation of sub-activity (ADV_FSP.5) . 166
12.5 Implementation representation (ADV_IMP) . 172
12.5.1 Evaluation of sub-activity (ADV_IMP.1) . 172
12.5.2 Evaluation of sub-activity (ADV_IMP.2) .174
12.6 TSF internals (ADV_INT) . 177
12.6.1 Evaluation of sub-activity (ADV_INT.1) . 177
12.6.2 Evaluation of sub-activity (ADV_INT.2) . 180

© ISO/IEC 2026 – All rights reserved
iv
12.6.3 Evaluation of sub-activity (ADV_INT.3) . 182
12.7 Formal TSF model (ADV_SPM). 185
12.7.1 Evaluation of sub-activity (ADV_SPM.1) . 185
12.8 TOE design (ADV_TDS) .191
12.8.1 Evaluation of sub-activity (ADV_TDS.1) .191
12.8.2 Evaluation of sub-activity (ADV_TDS.2) . 195
12.8.3 Evaluation of sub-activity (ADV_TDS.3) .200
12.8.4 Evaluation of sub-activity (ADV_TDS.4).209
12.8.5 Evaluation of sub-activity (ADV_TDS.5) .219
12.9 Composite design compliance (ADV_COMP) . 227
12.9.1 Evaluation of sub-activity (ADV_COMP.1) . 227
13 Guidance documents .229
13.1 Introduction . 229
13.2 Application notes . 229
13.3 Operational user guidance (AGD_OPE) . 230
13.3.1 Evaluation of sub-activity (AGD_OPE.1) . 230
13.4 Preparative procedures (AGD_PRE) . 233
13.4.1 Evaluation of sub-activity (AGD_PRE.1) . 233
14 life cycle support .235
14.1 Introduction . 235
14.2 Application notes . 235
14.2.1 Composition . 235
14.3 CM capabilities (ALC_CMC) . 236
14.3.1 Evaluation of sub-activity (ALC_CMC.1). 236
14.3.2 Evaluation of sub-activity (ALC_CMC.2) . 237
14.3.3 Evaluation of sub-activity (ALC_CMC.3) . 239
14.3.4 Evaluation of sub-activity (ALC_CMC.4) . 243
14.3.5 Evaluation of sub-activity (ALC_CMC.5) .248
14.4 CM scope (ALC_CMS) . 256
14.4.1 Evaluation of sub-activity (ALC_CMS.1) . 256
14.4.2 Evaluation of sub-activity (ALC_CMS.2) . 257
14.4.3 Evaluation of sub-activity (ALC_CMS.3) . 258
14.4.4 Evaluation of sub-activity (ALC_CMS.4) . 259
14.4.5 Evaluation of sub-activity (ALC_CMS.5) .260
14.5 Delivery (ALC_DEL) . 262
14.5.1 Evaluation of sub-activity (ALC_DEL.1) . 262
14.6 Developer environment security (ALC_DVS) . 263
14.6.1 Evaluation of sub-activity (ALC_DVS.1) .263
14.6.2 Evaluation of sub-activity (ALC_DVS.2) . 265
14.7 Flaw remediation (ALC_FLR) .268
14.7.1 Evaluation of sub-activity (ALC_FLR.1) .268
14.7.2 Evaluation of sub-activity (ALC_FLR.2) . 271
14.7.3 Evaluation of sub-activity (ALC_FLR.3) .274
14.8 Development life cycle definition (ALC_LCD) .280
14.8.1 Evaluation of sub-activity (ALC_LCD.1) .280
14.8.2 Evaluation of sub-activity (ALC_LCD.2) . 281
14.9 TOE development artefacts (ALC_TDA) .284
14.9.1 Evaluation of sub-activity (ALC_TDA.1) .284
14.9.2 Evaluation of sub-activity (ALC_TDA.2) .287
14.9.3 Evaluation of sub-activity (ALC_TDA.3) . 291
14.10 Tools and techniques (ALC_TAT) . 296
14.10.1 Evaluation of sub-activity (ALC_TAT.1).296
14.10.2 Evaluation of sub-activity (ALC_TAT.2) .298
14.10.3 Evaluation of sub-activity (ALC_TAT.3) . 301
14.11 Integration of composition parts and consistency check of delivery procedures (ALC_
COMP) .304
14.11.1 Evaluation of sub-activity (ALC_COMP.1) .304

© ISO/IEC 2026 – All rights reserved
v
15 Tests . 306
15.1 Introduction . 306
15.2 Application notes . 307
15.2.1 General . 307
15.2.2 Understanding the expected behaviour of the TOE . 307
15.2.3 Testing vs. alternate approaches to verify the expected behaviour of
functionality . 307
15.2.4 Verifying the adequacy of tests .308
15.2.5 Composition .308
15.3 Coverage (ATE_COV) .309
15.3.1 Evaluation of sub-activity (ATE_COV.1) .309
15.3.2 Evaluation of sub-activity (ATE_COV.2) .309
15.3.3 Evaluation of sub-activity (ATE_COV.3) . 311
15.4 Depth (ATE_DPT) . 313
15.4.1 Evaluation of sub-activity (ATE_DPT.1) . . 313
15.4.2 Evaluation of sub-activity (ATE_DPT.2) . 315
15.4.3 Evaluation of sub-activity (ATE_DPT.3) . 318
15.5 Functional tests (ATE_FUN) . 321
15.5.1 Evaluation of sub-activity (ATE_FUN.1) . 321
15.5.2 Evaluation of sub-activity (ATE_FUN.2) . 324
15.6 Independent testing (ATE_IND) . 328
15.6.1 Evaluation of sub-activity (ATE_IND.1) . 328
15.6.2 Evaluation of sub-activity (ATE_IND.2) . 331
15.7 Composite functional testing (ATE_COMP) . 336
15.7.1 Evaluation of sub-activity (ATE_COMP.1) . 336
16 Vulnerability assessment .338
16.1 Introduction . 338
16.2 Application notes . 338
16.2.1 Composition . 338
16.3 Vulnerability analysis (AVA_VAN) .338
16.3.1 Evaluation of sub-activity (AVA_VAN.1). 338
16.3.2 Evaluation of sub-activity (AVA_VAN.2) .344
16.3.3 Evaluation of sub-activity (AVA_VAN.3) . 351
16.3.4 Evaluation of sub-activity (AVA_VAN.4) . 359
16.3.5 Evaluation of sub-activity (AVA_VAN.5) . 367
16.4 Composite vulnerability assessment (AVA_COMP) . 375
16.4.1 Evaluation of sub-activity (AVA_COMP.1). 375
17 Composition .378
17.1 Introduction . 378
17.2 Application notes . 378
17.3 Composition rationale (ACO_COR) . 379
17.3.1 Evaluation of sub-activity (ACO_COR.1) . 379
17.4 Development evidence (ACO_DEV) . .385
17.4.1 Evaluation of sub-activity (ACO_DEV.1) .385
17.4.2 Evaluation of sub-activity (ACO_DEV.2) .387
17.4.3 Evaluation of sub-activity (ACO_DEV.3) .389
17.5 Reliance of dependent component (ACO_REL) . 391
17.5.1 Evaluation of sub-activity (ACO_REL.1) . 391
17.5.2 Evaluation of sub-activity (ACO_REL.2) .394
17.6 Composed TOE testing (ACO_CTT) . 396
17.6.1 Evaluation of sub-activity (ACO_CTT.1) . 396
17.6.2 Evaluation of sub-activity (ACO_CTT.2) .399
17.7 Composition vulnerability analysis (ACO_VUL) .403
17.7.1 Evaluation of sub-activity (ACO_VUL.1) .403
17.7.2 Evaluation of sub-activity (ACO_VUL.2) .406
17.7.3 Evaluation of sub-activity (ACO_VUL.3) .410
Annex A (informative) General evaluation guidance and requirements .415

© ISO/IEC 2026 – All rights reserved
vi
Annex B (normative) Vulnerability assessment (AVA) .423
Annex C (informative) Evaluation techniques and tools - Semi-formal and formal methods . 443
Bibliography .447

© ISO/IEC 2026 – All rights reserved
vii
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical activity.
ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations,
governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/
IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the
use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any
claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not
received notice of (a) patent(s) which may be required to implement this document. However, implementers
are cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents and https://patents.iec.ch. ISO and IEC shall not be held
responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html.
In the IEC, see www.iec.ch/understanding-standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection, in collaboration with the
European Committee for Standardization (CEN) Technical Committee CEN/CLC/JTC 13, Cybersecurity and
data protection, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
This fourth edition cancels and repla
...


Norme
internationale
ISO/IEC 18045
Quatrième édition
Sécurité de l'information,
2026-05
cybersécurité et protection de la
vie privée — Critères d'évaluation
pour la sécurité des technologies
de l'information — Exigences et
méthodologie pour l'évaluation de
sécurité
Information security, cybersecurity and privacy protection —
Evaluation criteria for IT security — Requirements and
methodology for IT security evaluation
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2026
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2026 – Tous droits réservés
ii
Sommaire Page
Avant-propos .viii
Introduction .ix
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Terminologie . 5
5 Utilisation des verbes . 5
6 Recommandations générales d'évaluation . 5
7 Relation entre les structures au sein de la CC et la structure du présent document . 5
8 Processus d'évaluation et tâches associées . 6
8.1 Généralités .6
8.2 Présentation générale du processus d'évaluation.7
8.2.1 Objectifs .7
8.2.2 Responsabilités des rôles.7
8.2.3 Relations entre les rôles . .7
8.2.4 Modèle général d'évaluation .8
8.2.5 Verdicts de l'évaluateur .8
8.3 Tâche d'entrée de l'évaluation.10
8.3.1 Objectifs .10
8.3.2 Notes d'application .10
8.3.3 Tâche de gestion des preuves d'évaluation .11
8.4 Sous-activités d'évaluation . 12
8.5 Tâche de sortie de l'évaluation . 12
8.5.1 Objectifs . 12
8.5.2 Gestion des données de sortie de l'évaluation . 12
8.5.3 Notes d'application . 13
8.5.4 Rédaction de la tâche OR . 13
8.5.5 Rédaction de la tâche ETR. 13
9 Évaluation du profil de protection (PP) .20
9.1 Introduction . 20
9.2 Notes d'application . . .21
9.2.1 Réutilisation des résultats d'évaluation des PP certifiés .21
9.3 Introduction du PP (APE_INT) .21
9.3.1 Évaluation de la sous-activité (APE_INT.1) . .21
9.4 Revendications de conformité (APE_CCL) . 23
9.4.1 Évaluation de la sous-activité (APE_CCL.1) . 23
9.5 Définition du problème de sécurité (APE_SPD) . 33
9.5.1 Évaluation de la sous-activité (APE_SPD.1) . 33
9.6 Objectifs de sécurité (APE_OBJ) . 35
9.6.1 Évaluation de la sous-activité (APE_OBJ.1) . 35
9.6.2 Évaluation de la sous-activité (APE_OBJ.2) .37
9.7 Définition des composants étendus (APE_ECD) . 39
9.7.1 Évaluation de la sous-activité (APE_ECD.1) . 39
9.8 Exigences de sécurité (APE_REQ) . 44
9.8.1 Évaluation de la sous-activité (APE_REQ.1) . 44
9.8.2 Évaluation de la sous-activité (APE_REQ.2) . 49
10 Évaluation de la configuration du profil de protection .54
10.1 Introduction . 54
10.2 Introduction du module de PP (APE_INT) . 55
10.2.1 Évaluation de la sous-activité (ACE_INT.1) . 55
10.3 Revendications de conformité du module de PP (ACE_CCL) . 58

© ISO/IEC 2026 – Tous droits réservés
iii
10.3.1 Évaluation de la sous-activité (ACE_CCL.1) . 58
10.4 Définition du problème de sécurité du module de PP (ACE_SPD) . 64
10.4.1 Évaluation de la sous-activité (ACE_SPD.1) . 64
10.5 Objectifs de sécurité du module de PP (ACE_OBJ) . 66
10.5.1 Évaluation de la sous-activité (ACE_OBJ.1) . 66
10.5.2 Évaluation de la sous-activité (ACE_OBJ.2) .67
10.6 Définitions des composants étendus du module de PP (ASE_ECD) .70
10.6.1 Évaluation de la sous-activité (ACE_ECD.1) .70
10.7 Exigences en matière de sécurité d'un module de PP (ACE_REQ) .74
10.7.1 Évaluation de la sous-activité (ACE_REQ.1) .74
10.7.2 Évaluation de la sous-activité (ACE_REQ.2) . 80
10.8 Cohérence du module de PP (ACE_MCO) . 85
10.8.1 Évaluation de la sous-activité (ACE_MCO.1) . 85
10.9 Cohérence de la configuration de PP (ACE_CCO). 89
10.9.1 Évaluation de la sous-activité (ACE_CCO.1) . 89
11 Évaluation de la cible de sécurité (ST) .99
11.1 Introduction . 99
11.2 Notes d'application . . . 99
11.2.1 Réutilisation des résultats d'évaluation des PP certifiés . 99
11.2.2 Composition . 99
11.3 Introduction de la ST (ASE_INT) . 100
11.3.1 Évaluation de la sous-activité (ASE_INT.1) . 100
11.4 Revendications de conformité (ASE_CCL) . 104
11.4.1 Évaluation de la sous-activité (ASE_CCL.1) . 104
11.5 Définition du problème de sécurité (ASE_SPD) .119
11.5.1 Évaluation de la sous-activité (ASE_SPD.1) .119
11.6 Objectifs de sécurité (ASE_OBJ) . 120
11.6.1 Évaluation de la sous-activité (ASE_OBJ.1) . 120
11.6.2 Évaluation de la sous-activité (ASE_OBJ.2) . . 122
11.7 Définitions des composants étendus (ASE_ECD) . 124
11.7.1 Évaluation de la sous-activité (ASE_ECD.1). 124
11.8 Exigences de sécurité (ASE_REQ) . 129
11.8.1 Évaluation de la sous-activité (ASE_REQ.1) . 129
11.8.2 Évaluation de la sous-activité (ASE_REQ.2) . 135
11.9 Spécification récapitulative de la TOE (ASE_TSS) .142
11.9.1 Évaluation de la sous-activité (ASE_TSS.1) .142
11.9.2 Évaluation de la sous-activité (ASE_TSS.2) .143
11.10 Cohérence de la cible de sécurité d'un produit composite (ASE_COMP) . 144
11.10.1 Évaluation de la sous-activité (ASE_COMP.1) . 144
12 Développement .149
12.1 Introduction . 149
12.2 Notes d'application . . . 150
12.2.1 Généralités . 150
12.2.2 Composition . 150
12.3 Architecture de sécurité (ADV_ARC) . 151
12.3.1 Évaluation de la sous-activité (ADV_ARC.1) . 151
12.4 Spécifications fonctionnelles (ADV_FSP) . 156
12.4.1 Évaluation de la sous-activité (ADV_FSP.1) . 156
12.4.2 Évaluation de la sous-activité (ADV_FSP.2) . 160
12.4.3 Évaluation de la sous-activité (ADV_FSP.3) . 165
12.4.4 Évaluation de la sous-activité (ADV_FSP.4) .170
12.4.5 Évaluation de la sous-activité (ADV_FSP.5) .176
12.5 Représentation de l'implémentation (ADV_IMP). 182
12.5.1 Évaluation de la sous-activité (ADV_IMP.1) . 182
12.5.2 Évaluation de la sous-activité (ADV_IMP.2) . 185
12.6 Éléments internes de la TSF (ADV_INT) . 188
12.6.1 Évaluation de la sous-activité (ADV_INT.1) . 188
12.6.2 Évaluation de la sous-activité (ADV_INT.2) .191

© ISO/IEC 2026 – Tous droits réservés
iv
12.6.3 Évaluation de la sous-activité (ADV_INT.3) . 193
12.7 Modélisation de TSF formelle (ADV_SPM) . 196
12.7.1 Évaluation de la sous-activité (ADV_SPM.1) . 196
12.8 Conception de la TOE (ADV_TDS) . 203
12.8.1 Évaluation de la sous-activité (ADV_TDS.1). 203
12.8.2 Évaluation de la sous-activité (ADV_TDS.2) . 207
12.8.3 Évaluation de la sous-activité (ADV_TDS.3) . 212
12.8.4 Évaluation de la sous-activité (ADV_TDS.4) . 223
12.8.5 Évaluation de la sous-activité (ADV_TDS.5) . 233
12.9 Conformité de conception composite (ADV_COMP) . 242
12.9.1 Évaluation de la sous-activité (ADV_COMP.1) . 242
13 Guides (d'orientation) . 244
13.1 Introduction .244
13.2 Notes d'application . . .244
13.3 Guide opérationnel de l'utilisateur (AGD_OPE) . 245
13.3.1 Évaluation de la sous-activité (AGD_OPE.1) . 245
13.4 Guide préparatoire (AGD_PRE) .248
13.4.1 Évaluation de la sous-activité (AGD_PRE.1) .248
14 Support au cycle de vie .250
14.1 Introduction . 250
14.2 Notes d'application . . . 251
14.2.1 Composition . 251
14.3 Capacités CM (ALC_CMC) . 251
14.3.1 Évaluation de la sous-activité (ALC_CMC.1) . 251
14.3.2 Évaluation de la sous-activité (ALC_CMC.2) . 252
14.3.3 Évaluation de la sous-activité (ALC_CMC.3) .254
14.3.4 Évaluation de la sous-activité (ALC_CMC.4) . 258
14.3.5 Évaluation de la sous-activité (ALC_CMC.5) .264
14.4 Périmètre de la CM (ALC_CMS) . 272
14.4.1 Évaluation de la sous-activité (ALC_CMS.1) . 272
14.4.2 Évaluation de la sous-activité (ALC_CMS.2) . 273
14.4.3 Évaluation de la sous-activité (ALC_CMS.3) .274
14.4.4 Évaluation de la sous-activité (ALC_CMS.4) .276
14.4.5 Évaluation de la sous-activité (ALC_CMS.5) . 277
14.5 Livraison (ALC_DEL) . 279
14.5.1 Évaluation de la sous-activité (ALC_DEL.1) . 279
14.6 Sécurité de l’environnement de développement (ALC_DVS) .280
14.6.1 Évaluation de la sous-activité (ALC_DVS.1) .280
14.6.2 Évaluation de la sous-activité (ALC_DVS.2) .282
14.7 Correction des anomalies (ALC_FLR) .286
14.7.1 Évaluation de la sous-activité (ALC_FLR.1) .286
14.7.2 Évaluation de la sous-activité (ALC_FLR.2) .288
14.7.3 Évaluation de la sous-activité (ALC_FLR.3) . 292
14.8 Définition du cycle de vie de développement (ALC_LCD) .298
14.8.1 Évaluation de la sous-activité (ALC_LCD.1) .298
14.8.2 Évaluation de la sous-activité (ALC_LCD.2) .299
14.9 Artefacts de développement de la TOE (ALC_TDA) . 302
14.9.1 Évaluation de la sous-activité (ALC_TDA.1) . 302
14.9.2 Évaluation de la sous-activité (ALC_TDA.2) . .306
14.9.3 Évaluation de la sous-activité (ALC_TDA.3).310
14.10 Outils et techniques (ALC_TAT) . 315
14.10.1 Évaluation de la sous-activité (ALC_TAT.1) . 315
14.10.2 Évaluation de la sous-activité (ALC_TAT.2) . 318
14.10.3 Évaluation de la sous-activité (ALC_TAT.3) . 321
14.11 Intégration des pièces de composition et de la vérification de cohérence des procédures
de livraison (ALC_COMP) . 324
14.11.1 Évaluation de la sous-activité (ALC_COMP.1) . 324

© ISO/IEC 2026 – Tous droits réservés
v
15 Essais .327
15.1 Introduction . 327
15.2 Notes d'application . . . 327
15.2.1 Généralités . 327
15.2.2 Compréhension du comportement attendu de la TOE . 327
15.2.3 Réalisation d'essais par rapport à d'autres approches visant à contrôler le
comportement attendu des fonctionnalités . 328
15.2.4 Contrôle de l'adéquation des essais . 328
15.2.5 Composition . 329
15.3 Couverture (ATE_COV). 329
15.3.1 Évaluation de la sous-activité (ATE_COV.1) . 329
15.3.2 Évaluation de la sous-activité (ATE_COV.2) . 330
15.3.3 Évaluation de la sous-activité (ATE_COV.3) . 331
15.4 Profondeur (ATE_DPT) . 333
15.4.1 Évaluation de la sous-activité (ATE_DPT.1) . 333
15.4.2 Évaluation de la sous-activité (ATE_DPT.2) . 336
15.4.3 Évaluation de la sous-activité (ATE_DPT.3) . 339
15.5 Essais fonctionnels (ATE_FUN) . 342
15.5.1 Évaluation de la sous-activité (ATE_FUN.1) . . 342
15.5.2 Évaluation de la sous-activité (ATE_FUN.2) .345
15.6 Essais indépendants (ATE_IND) .349
15.6.1 Évaluation de la sous-activité (ATE_IND.1) .349
15.6.2 Évaluation de la sous-activité (ATE_IND.2).354
15.7 Essais fonctionnels composites (ATE_COMP) .360
15.7.1 Évaluation de la sous-activité (ATE_COMP.1) .360
16 Estimation des vulnérabilités .361
16.1 Introduction . 361
16.2 Notes d'application . . . 361
16.2.1 Composition . 361
16.3 Analyse des vulnérabilités (AVA_VAN) . 362
16.3.1 Évaluation de la sous-activité (AVA_VAN.1) . 362
16.3.2 Évaluation de la sous-activité (AVA_VAN.2) . 367
16.3.3 Évaluation de la sous-activité (AVA_VAN.3) .374
16.3.4 Évaluation de la sous-activité (AVA_VAN.4) .384
16.3.5 Évaluation de la sous-activité (AVA_VAN.5) . 392
16.4 Évaluation de vulnérabilité composite (AVA_COMP) .401
16.4.1 Évaluation de la sous-activité (AVA_COMP.1) .401
17 Composition . 404
17.1 Introduction .404
17.2 Notes d'application . . .404
17.3 Argumentaire relatif à la composition (ACO_COR).405
17.3.1 Évaluation de la sous-activité (ACO_COR.1) .405
17.4 Preuve de développement (ACO_DEV) . 412
17.4.1 Évaluation de la sous-activité (ACO_DEV.1) . 412
17.4.2 Évaluation de la sous-activité (ACO_DEV.2) . 413
17.4.3 Évaluation de la sous-activité (ACO_DEV.3) . 415
17.5 Confiance dans les composants dépendants (ACO_REL) .418
17.5.1 Évaluation de la sous-activité (ACO_REL.1) .418
17.5.2 Évaluation de la sous-activité (ACO_REL.2) . 421
17.6 Test de TOE composée (ACO_CTT) . 423
17.6.1 Évaluation de la sous-activité (ACO_CTT.1) . 423
17.6.2 Évaluation de la sous-activité (ACO_CTT.2) . 427
17.7 Analyse de vulnérabilité de composition (ACO_VUL) . 430
17.7.1 Évaluation de la sous-activité (ACO_VUL.1) . 430
17.7.2 Évaluation de la sous-activité (ACO_VUL.2) . 434
17.7.3 Évaluation de la sous-activité (ACO_VUL.3) . 438
Annexe A (informative) Recommandations et exigences générales d'évaluation . 443

© ISO/IEC 2026 – Tous droits réservés
vi
Annexe B (normative) Évaluation de la vulnérabilité (AVA) .452
Annexe C (informative) Techniques et outils d'évaluation — Méthodes semi-formelles et
formelles .474
Bibliographie .479

© ISO/IEC 2026 – Tous droits réservés
vii
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de l’IEC participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique.
Les comités techniques de l'ISO et de l’IEC collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et l’IEC,
participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères
d'approbation requis pour les différents types de documents. Le présent document a été rédigé conformément
aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.iso.org/directives ou
www.iec.ch/members_experts/refdocs).
L’ISO et l’IEC attirent l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO et l’IEC ne prennent pas position quant à la preuve, à la
validité et à l’applicabilité de tout droit de brevet revendiqué à cet égard. À la date de publication du présent
document, L’ISO et l’IEC n'avaient pas reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires
à sa mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch. L’ISO et l’IEC ne sauraient être
tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux
principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce
(OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée, en collaboration
avec le comité technique CEN/CLC/JTC 13, Cybersécurité et protection des données, du Comité européen de
normalisation (CEN), conformément à l'Accord de coopération technique entre l'ISO et le CEN (Accord de
Vienne).
Cette quatrième édition annule et remplace la troisième édition (ISO/IEC 18045:2022), qui a fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes:
— le document a été aligné sur les modifications apportées à la série de normes ISO/IEC 15408;
— des changements techniques ont été introduits:
— la terminologie a été revue et mise à jour;
— les unités de travail de chaque composant ont été revues et mises à jour.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/members.html et www.iec.ch/nat
...