ポカでした。Assurance Continuity: CCRA Requirements [bahialab.com] に書いてありますね。
影響が軽微ならSTに追加情報を記載、影響が大きければ再評価。
大枠は加盟国で共通。

ありがとうございます。
自分でも少し追加確認してみました。
「Windows プラットフォームの Common Criteria Certification」
http://www.microsoft.com/japan/technet/security/prodtech/windowsserver2003/ccc/default.mspx
を参照したところ、英語情報には必要なhotfix(TOE)が明記されているのに。現状の日本語情報には記載されていません。大した分量では無いのだから、TOEとして明記されている条件は日本語文書にも明記して欲しいものです。
http://www.microsoft.com/japan/technet/security/prodtech/windowsserver2003/ccc/default.mspx
#原文当たるのが当然というのはさて置いて

>STに対する認証は、対象のシステム･製品のセキュリティ機能の設計に関するものなので、
>影響が軽微ならSTに追加情報を記載、影響が大きければ再評価。

EAL*と評価されていても、セキュリティ要件に関わらない「はず」の機能修正により、各種脆弱性が結果的に追加実装されて配布される可能性は避けられないのでしょうかね。所詮はそのような余地を設計段階から減らす事の積み重ねしかできないかな。
評価項目はCEMで規定されているにせよ、人間の見落としは所詮避けられないものだし。

建設業界では構造設計の偽装や評価機関の問題が出てますが、イーホ^Hシーシーさんに評価依頼すると速くて安くCC認証取得できるから注文増えるとか、そんな事が無い様にお願いしたいものです。
#実際には利用検討するだろうが:-)

電子政府向け情報提供システムプロテクションプロファイル
http://www.ipa.go.jp/security/fy13/evalu/pp_st/e_publication_pp_v10.pdf
P11
>2.6.2. TOE に含まれない機能
>以下の機能は、本TOE に含まれない機能であるが、TOE である情報提供システムを利用するために、一般的に必要もしくは必要となる可能性のある機能である。
>