Sponsor: Finansierer sertifiseringen, er ansvarlig for at kravene til sertifisering er oppfylt og er SERTITs kunde

Utvikler: Utvikler produktet og implementerer sertifiseringskravene

Evalueringslaboratoriet: Gjennomfører evalueringen ved gransking og testing og rapporterer til SERTIT

SERTIT: Fører tilsyn med evalueringen, og utsteder sertifikat

 

Trinn 1

Utvikler og sponsor gjør en avtale om evaluering.

Foruten utformingen av produktet med tilhørende dokumentasjon, må implementeringen av gjeldende sikkerhets- og tillitskrav i produktet være fremstilt i et dokument, kalt Security Target (ST). Dokumentet Protection Profile (PP eller cPP) beskriver sikkerhets- og tillitskrav for eksempelvis et teknologiområde, noe som kan tjene som en guide for utviklere eller satt som krav fra anskaffende myndigheter.

Trinn 2

Sponsor/ oppdragsgiver innhenter tilbud på evaluering fra de lisensierte evalueringslaboratoriene i ordningen og inngår avtale om evaluering hos et evalueringslaboratorium

Trinn 3

Evalueringslaboratoriet varsler SERTIT i henhold til etablerte prosedyrer om en forestående sikkerhetsevaluering som ønskes iverksatt.

Trinn 4

Sponsor sender en søknad om sertifisering til SERTIT.

Trinn 5

Sponsor og utvikler gjør nødvendige avtaler om tilgang til informasjon. Utvikler gjør i henhold til dette produkt og underlag tilgjengelig for evalueringslaboratoriet.

Trinn 6

Evalueringen starter formelt så snart SERTIT har godkjent prosjektet. Det er viktig å sikre at partene kjenner de gjeldende rammene for evaluering og sertifisering. Oppdragsgiver og sertifiseringsmyndigheten forsynes løpende med observasjonsrapporter fra evalueringen. SERTIT fører løpende tilsyn med arbeidet underveis. Når alle trinn i evalueringen er gjennomført og alle utestående aksjoner er løst, mottar SERTIT en teknisk evalueringsrapport.

Trinn 7

Den tekniske evalueringsrapporten og øvrige dokumenter og observasjoner danner grunnlaget for siste trinn i prosessen; sertifiseringsfasen. SERTIT vurderer evalueringsrapporten og undersøker om bevisene for konklusjonene er tilstrekkelige og konsistente. Dersom alt blir funnet i orden, gir det grunnlag for å utgi sertifikat og sertifiseringsrapport.