Auf europäischer Ebene wurden die "Information Technology Security Evaluation Criteria – ITSEC" am 3. März 1998, im Rahmen des europäischen Abkommens zur gegenseitigen Anerkennung, der Zertifikate der ITSEC-Evaluation, in Kraft gesetzt.

Im Gegensatz zum Orange Book wird in den ITSEC zwischen Funktionalität und Vertrauenswürdigkeit unterschieden. Zur Definition geeigneter funktionaler Anforderungen bieten die ITSEC z. T. in Anlehnung an das Orange Book vordefinierte Beispielklassen (Funktionalitätsklassen) an.

Bei der Vertrauenswürdigkeit wird zwischen Korrektheit und Wirksamkeit unterschieden. Ein wichtiger Aspekt der Wirksamkeit ist die Bewertung der Stärke der Mechanismen nach niedrig, mittel und hoch. Zur Bewertung des Vertrauens in die Korrektheit werden sechs hierarchische Evaluationsstufen E1 bis E6 definiert. E1 bezeichnet die niedrigste, E6 die höchste Stufe. Die Stärke der Mechanismen und die Evaluationsstufen sind in dem Faltblatt bzw. den ITSEC genauer erläutert.

Die Evaluierung beinhaltet die Prüfung und Bewertung der Sicherheitseigenschaften eines IT-Produkts nach den festgelegten IT-Sicherheitskriterien angeleitet durch das Evaluationshandbuch "Information Technology Security Evaluation Methodology – ITSEM".

Die ITSEC unterliegen keinerlei Aktualisierung und Pflege mehr. Sie sind nur noch für spezifische Sonderfälle in Anwendung.

Weiterführende bzw. detailierte Informationen zum Thema IT-Sicherheitskriterien:

• Auflistung der auf Basis der ITSEC zertifizierten Produkte
• ITSEC Deutsch (PDF)
• ITSEC Englisch (PDF)
• ITSEM Deutsch (PDF)
• ITSEM Englisch (PDF)
• Archiv der Anwendungshinweise und Interpretationen zu ITSEC/CC
  (Liste der Übersetzungsfehler)