第二类“基于规范”的评估方法，通过“精确符合性”“直接基本原理”等新概念，及 GB/T18336.4 对评估方法和活动的规范框架，使得“基于规范”的评估方法更加完备。与“基于攻击”的评估方法相比，“基于规范”的评估前提是必须具有产业各方一致认可的产品安全 PP 规范。同时，PP 配套有相关的支持文档，按照 GB/T 18336.4 的框架要求，规定出如何对 PP 中的各安全功能要求和保障要求开展评估活动，形成统一的评估方法和测试深度。

     这两类评估方法进一步增加了 GB/T 18336 标准的易用性、普适性和应用的一致性。同时标准中以威胁分析为基础的“基于攻击”的评估方法，满足消费者对 IT 产品从低到高安全级别的需要，适用于所有信息技术产品，特别针对暂无 PP 的新型 IT 产品，提供了科学适用的安全评估方法。

     与此同时此次新版本较之前标准结构发生了较大变化，由三部分变化为五部分。

新版 GB/T 18336 结构变化情况

2.模块化、复合评估等新理念，适应现代信息技术产业细化分工和结构复杂 IT 产品测评的需要

     随着 IT 产品功能和构成复杂度的增加，通过模块化（Modularity）分解、分层以达到设计和实现过程中的简化已成为主流做法。模块化设计除了体现在单一产品按功能模块分解，使基本功能模块最大程度的可复用，从而达到产品结构清晰、层次分明，更加易于管理和维护之外，还体现在复杂产品中不同产品部件由多个开发者实体分工协作，以达到进一步明确产业链分工，提高专业化程度的目的。

     为此，新版 GB/T18336 通过模块化描述方法，扩展现有的 PP 概念，提出 PP 配置、PP 模块等新概念，以适用于“底座+模块”产品构成范式、多部件复杂 IT 产品等应用场景。以移动设备类产品为例，国际 CC 评估已按照 PP 配置方式进行，以“移动设备基础保护轮廓”（PP_MDF_V3.3）为基础PP，配合无线通信（MOD_WLANC_V1.0）、蓝牙（MOD_BT_V1.0）、生物特征识别（MOD_CPP_BIO_V1.1）等功能 PP 模块，通过“PP 配置=基础 PP+”的方式，形成符合实际产品应用的安全需求。

     为了解决多部件复杂IT产品的不同部件产品在不同评估认证机构通过了测评产生的安全评估问题，新版标准提出了“复合评估（Composite Evaluation）”的概念，通过知识转移和证据重用的方法，很好地解决了多部件复杂 IT 产品的安全评估问题，即减少了重复测评、适用的范围更广，又给出了消费者比较接受的测评结论。