แบบจำลอง Common Criteriaกำหนดให้มีการแยกบทบาทของผู้ประเมินและผู้รับรอง ใบรับรองผลิตภัณฑ์จะออกโดยโครงการระดับชาติโดยอิงจากการประเมินที่ดำเนินการโดยห้องปฏิบัติการทดสอบอิสระ

ห้องปฏิบัติการทดสอบ Common Criteria คือหน่วยงาน ทดสอบความปลอดภัยเชิงพาณิชย์ที่เป็นบุคคลที่สามซึ่งได้รับการรับรองให้ดำเนินการประเมินความปลอดภัยเพื่อให้เป็นไปตาม มาตรฐานสากล Common Criteriaหน่วยงานดังกล่าวต้องได้รับการรับรองตามมาตรฐานISO/IEC 17025จากหน่วยงานรับรองระดับชาติของตน

รายชื่อการกำหนดสถานะห้องปฏิบัติการแยกตามประเทศ:

• ในสหรัฐอเมริกา ห้องปฏิบัติการเหล่านี้เรียกว่า Common Criteria Testing Laboratory (CCTL)
• ในแคนาดาเรียกว่า Common Criteria Evaluation Facility (CCEF)
• ในสหราชอาณาจักร หน่วยงานเหล่านี้เรียกว่า Commercial Evaluation Facilities (CLEF)
• ในฝรั่งเศส เรียกว่า Centres d'Evalueing de la Sécurité des Technologies de l'Information (CESTI)
• ในประเทศเยอรมนี หน่วยงานเหล่านี้เรียกว่า IT Security Evaluation Facility (ITSEF)

ข้อตกลงการยอมรับเกณฑ์ทั่วไป (CCRA) หรือข้อตกลงการยอมรับเกณฑ์ทั่วไปร่วมกัน (MRA) ^{[ 1 ]}เป็นข้อตกลงระหว่างประเทศที่ยอมรับการประเมินตามมาตรฐานเกณฑ์ทั่วไปที่ดำเนินการในทุกประเทศที่เข้าร่วม

เป็นที่เข้าใจร่วมกันว่า ในส่วนของผลิตภัณฑ์ไอทีและโปรไฟล์การป้องกัน ผู้เข้าร่วมโครงการวางแผนที่จะยอมรับใบรับรอง Common Criteria ที่ได้รับอนุญาตจากผู้เข้าร่วมโครงการรายอื่น ๆ ตามข้อกำหนดของข้อตกลงนี้ และตามกฎหมายและข้อบังคับที่เกี่ยวข้องของผู้เข้าร่วมโครงการแต่ละราย

ข้อตกลงนี้มีข้อจำกัดบางประการ และในอดีต การประเมินที่ยอมรับได้มีเพียงระดับ EAL4+ เท่านั้น แต่เนื่องจากการเปลี่ยนผ่านจากระดับ EAL ไปสู่ระดับ NDPP กำลังดำเนินอยู่ และการประเมินที่ "สอดคล้อง" กับองค์ประกอบการรับรองระดับ EAL4 จึงยังคงได้รับการยอมรับต่อไป

ในสหรัฐอเมริกาสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ผ่านโครงการรับรองห้องปฏิบัติการโดยสมัครใจแห่งชาติ (NVLAP) จะให้การรับรอง CCTL เพื่อให้เป็นไปตาม ข้อกำหนดของโครงการประเมินและตรวจสอบความถูกต้องตามเกณฑ์ทั่วไป ของความร่วมมือด้านการประกันความปลอดภัยของข้อมูลแห่งชาติ (NIAP) และดำเนินการประเมินความปลอดภัยด้านไอทีเพื่อให้สอดคล้องกับเกณฑ์ทั่วไปดังกล่าว

ห้องปฏิบัติการเหล่านี้ต้องเป็นไปตามข้อกำหนดต่อไปนี้:

• คู่มือ NIST ฉบับที่ 150 ขั้นตอนและข้อกำหนดทั่วไปของ NVLAP
• คู่มือ NIST 150-20, การทดสอบความปลอดภัยด้านเทคโนโลยีสารสนเทศ NVLAP — เกณฑ์ทั่วไป
• เกณฑ์เฉพาะของ NIAP สำหรับการประเมินความปลอดภัยด้านไอที และข้อกำหนดอื่นๆ ที่ NIAP กำหนดไว้

CCTL จะทำสัญญาความร่วมมือกับผู้สนับสนุนเพื่อดำเนินการประเมินความปลอดภัยของผลิตภัณฑ์ไอทีและโปรไฟล์การป้องกันโดยใช้ CCEVS วิธีการทดสอบอื่นๆ ที่ได้รับการอนุมัติจาก NIAP ซึ่งได้มาจาก Common Criteria, Common Methodology และแหล่งข้อมูลอื่นๆ ที่อิงตามเทคโนโลยี CCTL ต้องปฏิบัติตามมาตรฐานสูงสุดของความเป็นกลาง ความซื่อสัตย์ และการรักษาความลับทางการค้า CCTL ต้องดำเนินการภายใต้แนวทางที่กำหนดโดย CCEVS

เพื่อให้ได้รับการรับรองเป็น CCTL ห้องปฏิบัติการทดสอบต้องผ่านขั้นตอนต่างๆ ที่เกี่ยวข้องกับทั้งหน่วยงานรับรองของ NIAP และ NVLAP การรับรองจาก NVLAP เป็นข้อกำหนดหลักในการได้รับสถานะ CCTL ข้อกำหนดบางประการของโครงการที่ไม่สามารถดำเนินการได้โดยการรับรองจาก NVLAP จะได้รับการแก้ไขโดยหน่วยงานรับรองของ NIAP ปัจจุบัน มีข้อกำหนดเฉพาะโครงการเพียงสามข้อที่กำหนดโดยหน่วยงานรับรอง

ศูนย์ CCTL ที่ได้รับการอนุมัติจาก NIAP ต้องยอมรับข้อต่อไปนี้:

• ตั้งอยู่ในสหรัฐอเมริกาและเป็นนิติบุคคลที่จัดตั้งและจดทะเบียนอย่างถูกต้อง มีอยู่จริงและอยู่ในสถานะที่ดีตามกฎหมายของรัฐที่ห้องปฏิบัติการตั้งใจจะดำเนินธุรกิจ
• ยอมรับการกำกับดูแลทางเทคนิคและการตรวจสอบความถูกต้องของรัฐบาลสหรัฐฯ สำหรับกิจกรรมที่เกี่ยวข้องกับการประเมินผล โดยเป็นไปตามนโยบายและขั้นตอนที่กำหนดโดย CCEVS
• ยอมรับผู้เข้าร่วมจากรัฐบาลสหรัฐฯ ในการประเมินตามเกณฑ์ Common Criteria ที่กำหนดไว้

ห้องปฏิบัติการทดสอบจะกลายเป็น CCTL เมื่อห้องปฏิบัติการนั้นได้รับการอนุมัติจากหน่วยงานตรวจสอบความถูกต้องของ NIAP และมีรายชื่ออยู่ในรายชื่อห้องปฏิบัติการที่ได้รับการอนุมัติ

เพื่อหลีกเลี่ยงค่าใช้จ่ายที่ไม่จำเป็นและความล่าช้าในการได้รับการรับรองเป็นห้องปฏิบัติการทดสอบจาก NIAP ขอแนะนำอย่างยิ่งให้ CCTL ที่ประสงค์จะขอรับการรับรองตรวจสอบให้แน่ใจว่าสามารถปฏิบัติตามข้อกำหนดเฉพาะของโครงการได้ก่อนที่จะขอรับการรับรองจาก NVLAP ซึ่งสามารถทำได้โดยการส่งหนังสือแสดงเจตจำนงไปยัง NIAP ก่อนที่จะเข้าสู่กระบวนการของ NVLAP

ข้อมูลเพิ่มเติมที่เกี่ยวข้องกับห้องปฏิบัติการสามารถดูได้จากเอกสารเผยแพร่ของ CCEVS:

• #1 เกณฑ์ทั่วไปในการประเมินและตรวจสอบความปลอดภัยของเทคโนโลยีสารสนเทศ — การจัดองค์กร การจัดการ แนวคิดการดำเนินงาน และการเผยแพร่แผนงาน
• #4 หลักเกณฑ์การประเมินและรับรองมาตรฐานความปลอดภัยด้านเทคโนโลยีสารสนเทศ (Common Criteria Evaluation and Validation Scheme for Information Technology Security) — คำแนะนำสำหรับห้องปฏิบัติการทดสอบตามมาตรฐาน Common Criteria

ในประเทศแคนาดาหน่วยงานความมั่นคงด้านการสื่อสารแห่งแคนาดา (CSEC) ภายใต้โครงการมาตรฐานทั่วไปของแคนาดา (CCCS) กำกับดูแลศูนย์ประเมินมาตรฐานทั่วไป (CCEF) การรับรองมาตรฐานดำเนินการโดยสภามาตรฐานแห่งแคนาดา (SCC) ภายใต้โครงการรับรองห้องปฏิบัติการ – แคนาดา (PALCAN) ตามมาตรฐาน CAN-P-1591 ซึ่งเป็นการปรับใช้มาตรฐาน ISO/IEC 17025-2005 ของ SCC สำหรับห้องปฏิบัติการ ITSET การอนุมัติดำเนินการโดยหน่วยงานรับรองของ CCS ซึ่งเป็นหน่วยงานภายใน CSEC และเป็นการตรวจสอบความสามารถของผู้สมัครในการดำเนินการประเมินมาตรฐานทั่วไปอย่างมีประสิทธิภาพ

• สหรัฐอเมริกา: โครงการประเมินและตรวจสอบความถูกต้องตามเกณฑ์ทั่วไป (Common Criteria Evaluation and Validation Scheme)
• สหรัฐอเมริกา: ห้องปฏิบัติการทดสอบเกณฑ์ทั่วไป
• แคนาดา: โครงการเกณฑ์ทั่วไป
• แคนาดา: สิ่งอำนวยความสะดวกสำหรับการประเมินตามเกณฑ์ทั่วไป
• ข้อตกลงการยอมรับตามเกณฑ์ทั่วไป
• รายชื่อผลิตภัณฑ์ที่ได้รับการประเมินตามเกณฑ์ Common Criteria
• ISO/IEC 15408 — สามารถดาวน์โหลดได้ฟรีในฐานะมาตรฐานสาธารณะ