欧盟网络信息与安全局发布网络安全评估方法

Posted 2021-10-12 宛如清风

欧盟网络安全局 (ENISA) 推出了一种网络安全评估方法，用于 ICT(信息与通信技术） 系统的网络安全认证。

网络安全评估方法（SCSA——Methodology for a Sectoral Cybersecurity Assessment ）

网络安全评估的开发是为了ICT基础设施和生态系统的准备计划。SCSA 旨在让市场接受网络安全认证部署，并支持市场利益相关者和欧盟网络安全法案 (CSA) 的要求。特别是，SCSA 支持与特定 ICT 产品、服务和流程的“预期用途”相关的风险来确定安全和认证要求。

SCSA 方法为 ENISA 的利益相关者提供了一个综合的 ICT 安全评估工具，其中包括与ICT 系统相关的所有方面，并为实施 ICT 安全和网络安全认证提供全面的内容。

虽然 SCSA 借鉴了广泛的标准，尤其是 ISO/IEC 27000 系列和 ISO/IEC 15408 系列的标准，但是提议的增强功能，解决了多利益相关方系统以及有关 ICT 产品、流程和网络安全认证计划的特定安全和保证级别的要求。

这是通过引入以下特性和功能来实现的：

业务流程、利益相关者的作用和业务目标在生态系统级别中进行记录，涵盖各个利益相关者的 ICT 子系统。鼓励利益相关者为可能影响其业务目标的 ICT 安全风险的识别和评级努力工作。

专用方法将利益相关者的风险评级与安全和保证级别要求的专用 ICT 子系统、组件或流程相关联。

SCSA 指定了在行业 ICT 系统的所有部分实施安全和保证级别的方法，并提供行业网络安全认证计划所需的全部信息。

SCSA 方法对利益相关者的好处

网络安全评估提供了ICT系统呈现的多方面问题的综合解决方法，具有以下优势：

SCSA 可以在竞争对手之间建立开放的多利益相关者生态系统，造福供应商和客户。

支持透明度和安全认证成本、减轻每个利益相关者与 ICT 安全相关业务风险收益之间的良好平衡。

安全措施可以集中在关键组件上，优化系统的安全架构，从而最大限度地降低安全成本。

SCSA 为所有相关的 ICT 子系统、组件或流程生成了关于安全和认证级别要求的准确一致的信息。在此基础上，供应商可以将他们的产品与客户的要求相匹配。

SCSA 是支持现有风险管理工具和信息安全管理系统 (ISMS) 的集成。

目标受众 —— 它是为谁准备的？

SCSA 面向专家级受众，尤其是 ICT 专家、ICT 安全专家和负责多利益相关方系统的决策者以及供应商。

在成功通过 5G 背景下的试点实施后，SCSA 将用于制定欧盟 5G 候选网络安全认证计划。（本文出自SCA安全通信联盟，转载请注明出处。）