CEM是CC标准出版后,为了在评估中应用CC而提供的一种通用方法。是与CC配套的文档。CEM分为两部分,第一部分主要包括CEM简介,CC评估中的通用原则和假设,以及评估的一般模型;第二部分主要讲述评估的一般任务、PP评估、ST评估以及EAL1-EAL4级的评估。CEM没有提供EAL4级以上的评估方法。
CEM的评估过程主要分为三个阶段:准备阶段、实施阶段和总结阶段。
准备阶段:这一阶段主要是准备各种评估证据,包括人员的培训。发起者向评估者提供PP或ST,评估者对其做可行性分析,并向发起者要求相关信息。发起者向评估者提供一系列评估证据。评估者复审PP或ST并建议发起者做出修改以便建立良好的评估基础。如果达到评估机制要求,则进入下一阶段。这一阶段产生的输出结果包括:评估证据清单、评估活动和评估信息清单,所有参与者都必须对鉴定和保护专有信息负责,输出结果必须得到所有人的认同。
执行阶段:是评估的主要部分,评估者复审评估证据,并按照保证要求执行所规定的评估行为。这一过程中,评估者可以利用评估观察报告要求验证者澄清某个要求的应用,而验证者应对之做出解释。评估者也可利用观察报告指出潜在的弱点或缺陷,并从发起者或开发者那组要求更多信息。执行阶段的输出是评估技术报告(ETR)。
结论阶段:评估者向验证者递交ETR,不同的评估机制规定了对持有ETR的限制,可能包括递交给发起者或开发者,ETR可能包括一些敏感或私有信息,在递交给发起者之前要进行处理。验证者复审并分析ETR以确保与CC、CEM及评估机制的要求一致,并对ETR中的最终评判做出同意或不同意的决定。验证者可以以ETR为主要参考准备份评估总结报告(ESR)并递交给评估权威机构。发起者、开发者、评估者有权复核ESR。