近日,欧盟网络安全局(ENISA)发布了针对工业ICT系统网络安全认证的网络安全评估方法。行业网络安全评估方法(SCSAMethodology)行业网络安全评估方法(SCSAMethodology)是为针对行业ICT基础设施和生态系统的欧盟网络安全认证计划而开发的。SCSA旨在让市场接受网络安全认证部署,支持市场利益相关者和欧盟网络安全法案(CSA)的要求。具体而言,SCSA支持根据与特定ICT产品、服务和流程的“预期用途”相关的风险来确定安全和身份验证要求。SCSA方法论为ENISA利益相关者提供了一个全面的ICT安全评估工具,包括与行业ICT系统相关的方方面面,为ICT安全和网络安全认证的实施提供了全面的内容。虽然SCSA采用广泛接受的标准,特别是ISO/IEC27000系列和ISO/IEC15408系列,但改进的目的是针对多方利益相关者系统,以及ICT产品、流程和网络安全认证计划级别要求的特定安全和保障。可以引入以下内容来具体实现业务流程,部门利益相关者的角色和业务目标在生态系统级别记录,覆盖每个利益相关者的ICT子系统。邀请利益攸关方积极参与识别和评估可能影响其业务目标的ICT安全风险。一种有针对性的方法将利益相关者的风险评级与特定行业的ICT子系统、组件或流程所需的安全和安保级别联系起来。SCSA为行业ICT系统中所有安全和保障级别的实施指定了一致的方法,并提供了行业网络安全认证计划所需的所有信息。SCSA方法的优势部门网络安全评估提供了一种综合方法,涵盖复杂的多利益相关者ICT系统提出的多方面问题,具有以下优势:保护部门系统需要所有相关利益相关者同步。SCSA在不同系统和系统组件之间引入了安全性和保证级别的可比性。SCSA能够在竞争对手之间创建一个开放的多方利益相关者生态系统,使供应商和客户都受益。公开透明的方法可以降低安全和认证成本,并且可以很好地平衡每个利益相关者与ICT安全相关的业务风险。安全措施可以集中在关键组件上,优化部门系统的安全架构,从而降低安全成本。SCSA为所有相关的ICT子系统、组件或流程生成准确一致的安全和身份验证级别要求信息。供应商可以将他们的产品精确地匹配到客户的要求。SCSA支持现有风险管理工具和信息安全管理系统(ISMS)的集成。保证级别的一致定义支持来自其他网络安全认证计划的证书。受众SCSA的受众是专家级别的人员,尤其是ICT专家、ICT安全专家和负责部门多利益相关方系统的决策者,以及供应商。相关示例包括移动网络/5G、电子身份(eID)、电子医疗、支付、移动即服务(MaaS)和汽车等。下一步在5G背景下成功实施试点后,SCSA将用于制定欧盟5G网络安全候选人认证计划。
