Leverandører af it-systemer kan bruge Common Criteria til at desig­ne sikkerhedsfunktionalitet. CC angiver en systematisk metode til design af sikkerhedsfunktioner og tvinger leverandøren igennem en række overvejelser, som er nødvendige for at sikre kvaliteten i implementeringen og den løbende udbedring af fejl.

For en forbruger af it-produkter er der to anvendelser af Common Criteria:

• Man kan anvende Common Criteria til at specificere, hvilke sikkerhedskrav et ønsket system skal opfylde. Det vil generelt være en stor opgave og derfor som udgangspunkt kun være relevant for særligt kritiske systemer og/eller store udbud.
• Man kan undersøge, om der findes produkter, der er certificeret efter Common Criteria. Der findes en lang række standard sikkerhedsprofiler for gængse it-produkter. Derfor kan det være relevant ved anskaffelsen af et af disse produkter at overveje at stille krav om certificering.

Det er vigtigt at påpege, at en Common Criteria certificering ikke beviser at et produkt er sikkert/giver sikkerhed, og at evalueringsniveauet ikke er et mål for, hvor sikkert et produkt er. Evalueringen giver en grad af vished for at sikkerhedsfunktionaliteten svarer til det miljø, produktet skal anvendes i, er veldokumenteret og implementeret korrekt.

Det internationale samarbejde om Common Criteria-certificeringer sker via Common Criteria Recognition Arrangement (CCRA). Medlemmer i CCRA er enten certifikatforbrugende eller certifikatudstedende. Certifikatudstedende lande fører tilsyn med sit eget lands evalueringslaboratorier, mens certifikatforbrugende lande ikke selv har et certificeringssystem. 24 lande har formelt anerkendt standarden ved at deltage i CCRA. Videreudviklingen af CC sker også i regi af CCRA.

Danmark er medlem af CCRA som certifikatforbrugende medlem. Hvis jeres produkt skal certificeres indebærer dette dermed, at evalueringen skal foretages af et evalueringslaboratorium fra et andet land.