導讀：近日，歐盟網絡安全署（ENISA）發布了一項網絡安全評估方法，用于行業ICT系統的網絡安全認證。

　　行業網絡安全、評估方法（SCSA方法）

　　行業網絡安全評估方法（SCSA方法）的制定，是為了針對行業ICT基礎設施和生態系統的歐盟網絡安全認證計劃。SCSA旨在市場接受網絡安全認證部署，支持市場利益相關者和歐盟網絡安全法案（CSA）的要求。具體而言，SCSA支持基于特定ICT產品、服務和流程的“預期用途”相關風險確定安全和認證要求。

　　SCSA方法為ENISA的利益相關者提供了一個全面的ICT安全評估工具，包括與行業ICT系統相關的所有方面，并為ICT安全和網絡安全認證的實施提供了全面的內容。

　　雖然SCSA采用了廣泛接受的標準，特別是ISO/IEC 27000系列和ISO/IEC 15408系列，但改進措施針對多方利益相關者系統，以及有關ICT產品、流程和網絡安全認證計劃的，特定安全和保障水平要求。

　　可引入以下內容具體實現

　　業務流程、部門利益相關方的角色和業務目標在生態系統層面被記錄下來，凌駕于各個利益相關方的ICT子系統之上。邀請利益相關方積極參與識別和評估可能影響其業務目標的ICT安全風險。

　　具有針對性的方法將利益相關者的風險評級與行業ICT系統專用ICT子系統、組件或流程的安全和保障級別要求聯系起來。

　　SCSA規定了在行業ICT系統的所有實施安全和保障級別的一致方法，并提供行業網絡安全認證計劃所需的所有信息。

　　SCSA方法優勢

　　部門網絡安全評估提供了一種綜合方法，涵蓋了復雜的多利益相關方ICT系統所呈現的多方面問題，具有以下優點：

　　部門系統的安全，要求所有參與的利益相關方保持同步。SCSA引入了不同系統和系統組件之間的安全性和保證級別的可比性。SCSA能夠在競爭對手之間建立開放的多利益相關者生態系統，使供應商和客戶均受益。

　　公開透明的方法，可以減輕安全和認證上的成本，每個利益相關者與ICT安全相關的業務風險，可以實現良好的平衡。

　　安全措施可以集中在關鍵部件上，優化部門系統的安全架構，從而降低安全成本。

　　SCSA為所有相關ICT子系統、組件或流程，生成準確一致的安全和認證級別要求信息。

　　供應商可以將其產品準確匹配到客戶的要求。

　　SCSA支持整合現有的風險管理工具和信息安全管理系統（ISMS）。

　　對保證級別的定義一致，支持來自其他網絡安全認證計劃的證書。

　　受眾

　　SCSA的受眾是面向專家級別的人，特別是ICT專家、ICT安全專家和負責部門多利益相關者系統的決策者，以及供應商。相關例子包括移動網絡/ 5G、電子身份（eID）、電子健康、支付、移動即服務（MaaS）和汽車等。

　　下一步

　　在成功通過5G背景下的試點實施后，SCSA將用于歐盟5G網絡安全候選認證計劃的開發。