Die »Common Criteria for Information Technology Security Evaluation« (CC, ISO/IEC 15408) ist ein international anerkanntes Prüfkriterienwerk zur Bewertung von IT-Sicherheitsprodukten. Die CC geben Hinweise und stellen Anforderungen auf für eine geeignete Darstellung der IT-Sicherheitsleistung (Security Target) des Produktes, geben Funktionsblöcke (SFRs, Security Functional Components) zur Formulierung der Sicherheitsfunktionen vor und beschreiben Vertrauenswürdigkeits-familien und -klassen zur Darstellung der Prüfanforderungen und Prüftiefe.

Das BSI erteilt Sicherheitszertifikate für informationstechnische Produkte wie Smart Cards, Smart Meters, Betriebssysteme, Datenbanken und Firewalls. Die Erteilung eines solchen Zertifikates erfolgt nach erfolgreicher Prüfung und Bewertung des IT-Produktes im sogenannten Zertifizierungsverfahren. Der Hersteller stellt einen Antrag auf Zertifizierung seines Produktes und beauftragt eine vom BSI anerkannte, externe Prüfstelle mit der Evaluierung, ob das Produkt den in den CC festgelegten Sicherheitskriterien entspricht.