歐盟網絡資訊與安全局釋出網絡安全評估方法

歐盟網絡安全局 (ENISA) 推出了一種網絡安全評估方法，用于 ICT(資訊與通信技術） 系統的網絡安全認證。

網絡安全評估方法（SCSA——Methodology for a Sectoral Cybersecurity Assessment ）

網絡安全評估的開發是為了ICT基礎設施和生态系統的準備計劃。SCSA 旨在讓市場接受網絡安全認證部署，并支援市場利益相關者和歐盟網絡安全法案 (CSA) 的要求。特别是，SCSA 支援與特定 ICT 産品、服務和流程的“預期用途”相關的風險來确定安全和認證要求。

SCSA 方法為 ENISA 的利益相關者提供了一個綜合的 ICT 安全評估工具，其中包括與ICT 系統相關的所有方面，并為實施 ICT 安全和網絡安全認證提供全面的内容。

雖然 SCSA 借鑒了廣泛的标準，尤其是 ISO/IEC 27000 系列和 ISO/IEC 15408 系列的标準，但是提議的增強功能，解決了多利益相關方系統以及有關 ICT 産品、流程和網絡安全認證計劃的特定安全和保證級别的要求。

這是通過引入以下特性和功能來實作的：

業務流程、利益相關者的作用和業務目标在生态系統級别中進行記錄，涵蓋各個利益相關者的 ICT 子系統。鼓勵利益相關者為可能影響其業務目标的 ICT 安全風險的識别和評級努力工作。

專用方法将利益相關者的風險評級與安全和保證級别要求的專用 ICT 子系統、元件或流程相關聯。

SCSA 指定了在行業 ICT 系統的所有部分實施安全和保證級别的方法，并提供行業網絡安全認證計劃所需的全部資訊。

SCSA 方法對利益相關者的好處

網絡安全評估提供了ICT系統呈現的多方面問題的綜合解決方法，具有以下優勢：

SCSA 可以在競争對手之間建立開放的多利益相關者生态系統，造福供應商和客戶。

支援透明度和安全認證成本、減輕每個利益相關者與 ICT 安全相關業務風險收益之間的良好平衡。

安全措施可以集中在關鍵元件上，優化系統的安全架構，進而最大限度地降低安全成本。

SCSA 為所有相關的 ICT 子系統、元件或流程生成了關于安全和認證級别要求的準确一緻的資訊。在此基礎上，供應商可以将他們的産品與客戶的要求相比對。

SCSA 是支援現有風險管理工具和資訊安全管理系統 (ISMS) 的內建。

目标閱聽人 —— 它是為誰準備的？

SCSA 面向專家級閱聽人，尤其是 ICT 專家、ICT 安全專家和負責多利益相關方系統的決策者以及供應商。

在成功通過 5G 背景下的試點實施後，SCSA 将用于制定歐盟 5G 候選網絡安全認證計劃。（本文出自SCA安全通信聯盟，轉載請注明出處。）