導讀：近日,，歐盟網(wǎng)絡(luò)安全署（ENISA）發(fā)布了一項網(wǎng)絡(luò)安全評估方法,，用于行業(yè)ICT系統(tǒng)的網(wǎng)絡(luò)安全認證。

　　行業(yè)網(wǎng)絡(luò)安全,、評估方法（SCSA方法）

　　行業(yè)網(wǎng)絡(luò)安全評估方法（SCSA方法）的制定,，是為了針對行業(yè)ICT基礎(chǔ)設(shè)施和生態(tài)系統(tǒng)的歐盟網(wǎng)絡(luò)安全認證計劃。SCSA旨在市場接受網(wǎng)絡(luò)安全認證部署,，支持市場利益相關(guān)者和歐盟網(wǎng)絡(luò)安全法案（CSA）的要求,。具體而言，SCSA支持基于特定ICT產(chǎn)品,、服務(wù)和流程的“預期用途”相關(guān)風險確定安全和認證要求,。

　　SCSA方法為ENISA的利益相關(guān)者提供了一個全面的ICT安全評估工具，包括與行業(yè)ICT系統(tǒng)相關(guān)的所有方面,，并為ICT安全和網(wǎng)絡(luò)安全認證的實施提供了全面的內(nèi)容,。

　　雖然SCSA采用了廣泛接受的標準，特別是ISO/IEC 27000系列和ISO/IEC 15408系列,，但改進措施針對多方利益相關(guān)者系統(tǒng),，以及有關(guān)ICT產(chǎn)品、流程和網(wǎng)絡(luò)安全認證計劃的,，特定安全和保障水平要求,。

　　可引入以下內(nèi)容具體實現(xiàn)

　　業(yè)務(wù)流程、部門利益相關(guān)方的角色和業(yè)務(wù)目標在生態(tài)系統(tǒng)層面被記錄下來,，凌駕于各個利益相關(guān)方的ICT子系統(tǒng)之上,。邀請利益相關(guān)方積極參與識別和評估可能影響其業(yè)務(wù)目標的ICT安全風險。

　　具有針對性的方法將利益相關(guān)者的風險評級與行業(yè)ICT系統(tǒng)專用ICT子系統(tǒng),、組件或流程的安全和保障級別要求聯(lián)系起來,。

　　SCSA規(guī)定了在行業(yè)ICT系統(tǒng)的所有實施安全和保障級別的一致方法，并提供行業(yè)網(wǎng)絡(luò)安全認證計劃所需的所有信息,。

　　SCSA方法優(yōu)勢

　　部門網(wǎng)絡(luò)安全評估提供了一種綜合方法,，涵蓋了復雜的多利益相關(guān)方ICT系統(tǒng)所呈現(xiàn)的多方面問題，具有以下優(yōu)點：

　　部門系統(tǒng)的安全，要求所有參與的利益相關(guān)方保持同步,。SCSA引入了不同系統(tǒng)和系統(tǒng)組件之間的安全性和保證級別的可比性,。SCSA能夠在競爭對手之間建立開放的多利益相關(guān)者生態(tài)系統(tǒng)，使供應(yīng)商和客戶均受益,。

　　公開透明的方法,，可以減輕安全和認證上的成本，每個利益相關(guān)者與ICT安全相關(guān)的業(yè)務(wù)風險,，可以實現(xiàn)良好的平衡,。

　　安全措施可以集中在關(guān)鍵部件上，優(yōu)化部門系統(tǒng)的安全架構(gòu),，從而降低安全成本,。

　　SCSA為所有相關(guān)ICT子系統(tǒng)、組件或流程,，生成準確一致的安全和認證級別要求信息,。

　　供應(yīng)商可以將其產(chǎn)品準確匹配到客戶的要求。

　　SCSA支持整合現(xiàn)有的風險管理工具和信息安全管理系統(tǒng)（ISMS）,。

　　對保證級別的定義一致,，支持來自其他網(wǎng)絡(luò)安全認證計劃的證書。

　　受眾

　　SCSA的受眾是面向?qū)＜壹墑e的人,，特別是ICT專家,、ICT安全專家和負責部門多利益相關(guān)者系統(tǒng)的決策者，以及供應(yīng)商,。相關(guān)例子包括移動網(wǎng)絡(luò)/ 5G,、電子身份（eID）、電子健康,、支付,、移動即服務(wù)（MaaS）和汽車等。

　　下一步

　　在成功通過5G背景下的試點實施后,，SCSA將用于歐盟5G網(wǎng)絡(luò)安全候選認證計劃的開發(fā),。