通用标准是国防部和其他政府部门采购流程的复选框。您可能知道，CC 从美国的 TCSEC 演变而来，并结合了 ITSEC（欧洲）和 CTCPEC（加拿大）。因此，有些人认为，通用标准为通过其流程的任何产品制定了安全意识的标准模型。

话虽如此，作为加拿大通用标准评估员，我可以告诉您，CC 行业内部对于该流程是否有助于提供任何保证，或者它是否仅仅是一个不令人满意的复选框存在分歧。

最终，大型终端供应商——你的微软、惠普、甲骨文——都想卖给政府。如果没有 CC 证书，他们就无法做到这一点，因此他们同意对他们的系统进行评估。他们对最终证书感兴趣（从技术上讲，只要他们处于“评估中”，这可能就是他们需要出售的全部内容）。

保证是CC中的二维野兽。一方面，您拥有产品声称提供的安全功能（例如，工作站的智能卡识别和身份验证）。另一方面，您在测试这些声明有效并安全实施时投入了一定程度的严格性和努力。

CC 行业已决定强制降低评估的严格性（您只能提升到评估保证级别 2 而不是 4 [更高的数字，更严格的应用]）。这样做的目的是加快评估速度，使它们更便宜，并允许更多供应商寻求它们。

CC 中经常出现的问题是：流程是否有所作为？它有，也没有。CC主要是分析架构的安全性和端到端的开发过程。总体保证中只有很小的一部分与测试和漏洞分析有关。许多人（包括我自己）认为缺乏测试是 CC 中的一个问题。现在正在发生一些变化，旨在增加对测试的关注，同时减少分析文档所花费的精力。这是一件好事。

对其他行业有帮助吗？它可以，但它肯定不是强制性的。许多行业都有自己的认证流程。CC 已尝试应用于医疗保健（BITS 框架）以及工业控制和分析系统（例如 SCADA 系统）。