La norma è un documento complementare ai criteri di valutazione della sicurezza IT definiti nella ISO/IEC 15408. Definisce le azioni minime che un valutatore deve eseguire per condurre una valutazione ISO/IEC 15408, utilizzando i criteri e le evidenze di valutazione definite nella ISO/IEC 15408.
La norma non definisce le azioni del valutatore per determinati componenti ISO/IEC 15408 ad alta garanzia, dove non esiste ancora una guida generalmente concordata.