Die Sicherheit von IT-Produkten oder IT-Systemen kann nach Common Criteria zertifiziert werden. Für den Nutzer von solch einem zertifiziertem Produkt/System stellt sich die Fragen, ob das Produkt/System die Sicherheitsfunktionalität hat, die der Nutzer zurzeit benötigt. Durch die Definition von Schutzprofilen (auch Protection Profile genannt) kann der Nutzer die benötigen Sicherheitseigenschaften (Funktionalität, Vertrauenswürdigkeit) festlegen. Das heißt der Nutzer erstellt ein Sicherheitskonzept für das Produkt/System, das auch Erläuterungen beinhaltet. Die Korrektheit von Schutzprofilen (vollständig, konsistent und technisch stimmig) wird ein einem eigenen Evaluierungsprozess nachgewiesen und zertifiziert.