현재 미국을 비롯한 선진 국가에서는 ISO 국제 표준인 국제 공통 평가 기준 ISO/IEC 15408(CC v2.1, Common Criteria for Information Technology Security Evaluation))과 공통평가방법론(CEM, Common Methodology for Information Technology Security Evaluation)에 근거하여 IT 제품 및 시스템에 대한 보안성 평가를 하고 있다. 그러나, 현재 CC 및 CEM은 주로 IT 제품의 보안성 평가를 위한 것이며, 실제 IT 환경에서 운용되는 시스템에서 이를 적용해 평가하는데는 많은 어려움이 있다. ISO를 중심으로 각 국에서도 이와 관련해 시스템 평가에 CC를 적용하기 위한 방법론이 검토 중에 있다. 그리고 현재 개발 진행중이거나 시장에 출시된 많은 제품이 여러 단일 제품이 합성된 통합제품 형태로 구성되고 있는 추세이며, 이는 시스템 평가 문제와 더불어 향후 CC 기반의 평가를 활성화시키기 위해 풀어야 할 문제로 제기되고 있다. 본고에서는 각 국에서 추진 중인 시스템 평가 동향을 살펴보고, 현재 ISO/IEC SC27/WG3에 표준화로 제안된 "Security Assessment of Operational System"에 대해 살펴보고자 한다.자 한다.