近日，歐盟網(wǎng)絡(luò)安全署(ENISA)發(fā)布了一項網(wǎng)絡(luò)安全評估方法，用于行業(yè)ICT系統(tǒng)的網(wǎng)絡(luò)安全認(rèn)證。

行業(yè)網(wǎng)絡(luò)安全

評估方法(SCSA方法)

行業(yè)網(wǎng)絡(luò)安全評估方法(SCSA方法)的制定，是為了針對行業(yè)ICT基礎(chǔ)設(shè)施和生態(tài)系統(tǒng)的歐盟網(wǎng)絡(luò)安全認(rèn)證計劃。SCSA旨在市場接受網(wǎng)絡(luò)安全認(rèn)證部署，支持市場利益相關(guān)者和歐盟網(wǎng)絡(luò)安全法案(CSA)的要求。具體而言，SCSA支持基于特定ICT產(chǎn)品、服務(wù)和流程的“預(yù)期用途”相關(guān)風(fēng)險確定安全和認(rèn)證要求。

SCSA方法為ENISA的利益相關(guān)者提供了一個全面的ICT安全評估工具，包括與行業(yè)ICT系統(tǒng)相關(guān)的所有方面，并為ICT安全和網(wǎng)絡(luò)安全認(rèn)證的實施提供了全面的內(nèi)容。

雖然SCSA采用了廣泛接受的標(biāo)準(zhǔn)，特別是ISO/IEC 27000系列和ISO/IEC 15408系列，但改進措施針對多方利益相關(guān)者系統(tǒng)，以及有關(guān)ICT產(chǎn)品、流程和網(wǎng)絡(luò)安全認(rèn)證計劃的，特定安全和保障水平要求。

可引入以下內(nèi)容具體實現(xiàn)

業(yè)務(wù)流程、部門利益相關(guān)方的角色和業(yè)務(wù)目標(biāo)在生態(tài)系統(tǒng)層面被記錄下來，凌駕于各個利益相關(guān)方的ICT子系統(tǒng)之上。邀請利益相關(guān)方積極參與識別和評估可能影響其業(yè)務(wù)目標(biāo)的ICT安全風(fēng)險。

具有針對性的方法將利益相關(guān)者的風(fēng)險評級與行業(yè)ICT系統(tǒng)專用ICT子系統(tǒng)、組件或流程的安全和保障級別要求聯(lián)系起來。

SCSA規(guī)定了在行業(yè)ICT系統(tǒng)的所有實施安全和保障級別的一致方法，并提供行業(yè)網(wǎng)絡(luò)安全認(rèn)證計劃所需的所有信息。

SCSA方法優(yōu)勢

部門網(wǎng)絡(luò)安全評估提供了一種綜合方法，涵蓋了復(fù)雜的多利益相關(guān)方ICT系統(tǒng)所呈現(xiàn)的多方面問題，具有以下優(yōu)點：

• 部門系統(tǒng)的安全，要求所有參與的利益相關(guān)方保持同步。SCSA引入了不同系統(tǒng)和系統(tǒng)組件之間的安全性和保證級別的可比性。SCSA能夠在競爭對手之間建立開放的多利益相關(guān)者生態(tài)系統(tǒng)，使供應(yīng)商和客戶均受益。
• 公開透明的方法，可以減輕安全和認(rèn)證上的成本，每個利益相關(guān)者與ICT安全相關(guān)的業(yè)務(wù)風(fēng)險，可以實現(xiàn)良好的平衡。
• 安全措施可以集中在關(guān)鍵部件上，優(yōu)化部門系統(tǒng)的安全架構(gòu)，從而降低安全成本。
• SCSA為所有相關(guān)ICT子系統(tǒng)、組件或流程，生成準(zhǔn)確一致的安全和認(rèn)證級別要求信息。
• 供應(yīng)商可以將其產(chǎn)品準(zhǔn)確匹配到客戶的要求。
• SCSA支持整合現(xiàn)有的風(fēng)險管理工具和信息安全管理系統(tǒng)(ISMS)。
• 對保證級別的定義一致，支持來自其他網(wǎng)絡(luò)安全認(rèn)證計劃的證書。

受眾

SCSA的受眾是面向?qū)＜壹墑e的人，特別是ICT專家、ICT安全專家和負(fù)責(zé)部門多利益相關(guān)者系統(tǒng)的決策者，以及供應(yīng)商。相關(guān)例子包括移動網(wǎng)絡(luò)/ 5G、電子身份(eID)、電子健康、支付、移動即服務(wù)(MaaS)和汽車等。

下一步

在成功通過5G背景下的試點實施后，SCSA將用于歐盟5G網(wǎng)絡(luò)安全候選認(rèn)證計劃的開發(fā)。