国外测评认证标准第一个有关信息技术安全性评价的标准于20世纪80年代诞生在美国,这就是著名的《可信计算机系统评价准则》,即TCSEC,又称桔皮书,由美国国防部制订。
该准则对计算机操作系统的安全性规定了不同的等级。随着网络与数据库的出现和应用,人们对安全性的要求不再局限于保密性,有时甚至主要要求完整性和可用性,从20世纪90年代初开始,一些国家和国际组织相继提出了新的安全评价准则。1991年,经法国、德国、挪威和英国联合努力,由欧共体发布了《信息技术安全性评价准则(ITSEC)》;1993年,加拿大发布《加拿大可信计算机产品评价准则(CTCPEC)》,该准则综合了前两个准则。同年,美国对TCSEC作了补充和修改,也吸纳了ITSEC的优点,发布了《信息技术安全性评价联邦准则(FC)》。1993年6月,上述有关国家经协商同意起草单一的通用准则(CC)并将其推进到国际标准。
1996年发表了CC的第一版本。1998年5月发表第二版,CC的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评价准则,国家与国家之间可以通过签订互认协议,决定相互接受的认可级别,这样能使大部分的基础性安全机制,在任何一个地方通过了CC准则评价并得到许可进入国际市场时,就不需要再作评价,使用国只需测试与国家主权和安全相关的安全功能,从而大幅节省评价支出并迅速推向市场。但是,由于信息安全产品和系统的安全性评价,事关国家安全利益,通常,任何国家不会轻易相信由别的国家所作的评价结果,为保险起见,总要通过自己的测试才认为可靠。因此没有一个国家会把事关国家安全利益的信息安全产品和系统的安全可信性建立在别人的评价基础上。而是在充分借鉴国际标准的前提下,制订自己的测评认证标准。
此外,国际标准化组织和国际电工委自20世纪90年代以来已制订上百项安全标准,其中还专门制订了银行操作和规程方面的信息安全标准。国际电信联盟和欧洲计算机制造商协会也推出了部分安全标准。
在信息安全标准的体系性、详尽性和先进性各方面都走在前面的是美国。美国国家安全局、美国国家标准技术局、美国联邦政府、美国国防部、美国商务部等,都不断推出自己的适用标准。这些标准,基本上左右了全球信息安全技术的走向。