正式名は、ISO/IEC15408『情報技術セキュリティ評価基準』。情報システムや製品に組み込まれているセキュリティを客観的に評価するために必要な各種事項を定めた規格。1999年6月に国際標準規格となり、翌2000年7月にはJIS規格（JIS X 5070）として認定された。
金融システムや医療情報システムなど、個人情報や企業情報を取り扱う情報システムを運営する場合、その安全性の確保は、運営者にとって避けることのできない責務になっており、セキュリティに対する顧客や利用者の要望に応えるひとつの手段としてISO15408が提示されている。
規格に従って、セキュリティ基本設計書、プログラム設計書、マニュアルなどの検査を独立した第三者機関が行い、認定することによって、システムのセキュリティ要件が満たされていることを保証する。