欧盟网络信息与安全局发布网络安全评估方法,为谁准备?

安全
近日,欧盟网络安全署(ENISA)发布了一项网络安全评估方法,用于行业ICT系统的网络安全认证。

近日,欧盟网络安全署(ENISA)发布了一项网络安全评估方法,用于行业ICT系统的网络安全认证。

行业网络安全

评估方法(SCSA方法)

行业网络安全评估方法(SCSA方法)的制定,是为了针对行业ICT基础设施和生态系统的欧盟网络安全认证计划。SCSA旨在市场接受网络安全认证部署,支持市场利益相关者和欧盟网络安全法案(CSA)的要求。具体而言,SCSA支持基于特定ICT产品、服务和流程的“预期用途”相关风险确定安全和认证要求。

SCSA方法为ENISA的利益相关者提供了一个全面的ICT安全评估工具,包括与行业ICT系统相关的所有方面,并为ICT安全和网络安全认证的实施提供了全面的内容。

虽然SCSA采用了广泛接受的标准,特别是ISO/IEC 27000系列和ISO/IEC 15408系列,但改进措施针对多方利益相关者系统,以及有关ICT产品、流程和网络安全认证计划的,特定安全和保障水平要求。

可引入以下内容具体实现

业务流程、部门利益相关方的角色和业务目标在生态系统层面被记录下来,凌驾于各个利益相关方的ICT子系统之上。邀请利益相关方积极参与识别和评估可能影响其业务目标的ICT安全风险。

具有针对性的方法将利益相关者的风险评级与行业ICT系统专用ICT子系统、组件或流程的安全和保障级别要求联系起来。

SCSA规定了在行业ICT系统的所有实施安全和保障级别的一致方法,并提供行业网络安全认证计划所需的所有信息。

SCSA方法优势

部门网络安全评估提供了一种综合方法,涵盖了复杂的多利益相关方ICT系统所呈现的多方面问题,具有以下优点:

  • 部门系统的安全,要求所有参与的利益相关方保持同步。SCSA引入了不同系统和系统组件之间的安全性和保证级别的可比性。SCSA能够在竞争对手之间建立开放的多利益相关者生态系统,使供应商和客户均受益。
  • 公开透明的方法,可以减轻安全和认证上的成本,每个利益相关者与ICT安全相关的业务风险,可以实现良好的平衡。
  • 安全措施可以集中在关键部件上,优化部门系统的安全架构,从而降低安全成本。
  • SCSA为所有相关ICT子系统、组件或流程,生成准确一致的安全和认证级别要求信息。
  • 供应商可以将其产品准确匹配到客户的要求。
  • SCSA支持整合现有的风险管理工具和信息安全管理系统(ISMS)。
  • 对保证级别的定义一致,支持来自其他网络安全认证计划的证书。

受众

SCSA的受众是面向专家级别的人,特别是ICT专家、ICT安全专家和负责部门多利益相关者系统的决策者,以及供应商。相关例子包括移动网络/ 5G、电子身份(eID)、电子健康、支付、移动即服务(MaaS)和汽车等。

下一步

在成功通过5G背景下的试点实施后,SCSA将用于欧盟5G网络安全候选认证计划的开发。

 

责任编辑:赵宁宁 来源: 新浪科技
相关推荐

2011-08-11 11:13:24

2023-10-27 11:27:28

2020-09-26 21:31:59

网络安全基础设施黑客

2011-09-20 09:54:00

2018-04-20 08:14:41

2017-08-03 12:02:20

2013-05-14 16:29:58

网络安全

2013-05-16 09:28:21

2013-07-30 09:09:46

网络安全虚拟化

2011-07-30 13:35:00

2022-10-21 15:59:27

物联网设备安全

2021-01-03 18:01:15

人工智能AI网络安全

2023-09-28 12:05:43

2022-11-10 15:26:21

2011-03-17 13:32:45

2021-07-06 05:13:25

勒索软件CISA安全审计工具

2013-05-02 09:49:54

2011-08-05 16:18:00

2022-02-09 00:16:13

信息安全指南

2021-07-02 15:58:41

勒索软件就绪评估RRA网络安全
点赞
收藏

51CTO技术栈公众号