2018年9月18日,欧盟发布国家网络安全战略评估工具。
2012年起,ENISA(European Union Agency for Network and Information Security,欧盟网络信息安全局)支持欧盟成员国开发、应用和评估其国家网络安全战略。为了满足这个目标,ENISA开发了许多工具、指南等。ENISA创建了国家网络安全战略评估工具来帮助欧盟成员国评估其战略优势和与国家网络安全战略相关的目标。该工具是问卷的形式,共15个目标,每个目标对应数量不同的问题,总计142个问题。填写问卷后,工具会根据选项给出建议。本文对这15个目标和对应142个问题进行分析。
15个目标分别是:
提出国家网络可持续性计划 Develop national cyber contingency plans
保护关键信息基础设施 Protect critical information infrastructure
组织进行网络安全演练 Organise cyber security exercises
建立基线安全措施 Establish baseline security measures
建立应急事件报告机制 Establish incident reporting mechanisms
提高用户意识 Raise user awareness
建立R&D Foster R&D
加强培训和教育项目 Strengthen training and educational programmes
构建应急响应能力 Establish an incident response capability
解决网络犯罪 Address cyber crime
参与国际合作 Engage in international cooperation (not only with EU MS)
建立公私合作 Establish a public-private partnership (PPPs)
平衡安全与隐私 Balance security with privacy
使与公共机构之间的合作制度化 Institutionalise cooperation between public agencies
鼓励私有企业投资安全措施 Provide incentives for the private sector to invest in security measures
目标1:提出国家网络应急计划
目标1共有17个问题,涉及:
是否有将网络安全作为关键因素的国家战略(蓝图、政策等等)
是否有成熟的模型来监控和改善网络应急计划
是否有国家级的网络危机管理计划和特定网络危机应对步骤
关键单位参与网络应急计划的数量和比例是否满足要求
国际合作与管理
是否存在与网络应急计划相关的活动
是否有测试的步骤
是否有学习融合过程
是否有危机管理设施
是否有信息管理和共享过程
是否有态势感知工具
是否有培训和人员储备
目标2:保护关键信息基础设施
目标2共11个问题,涉及:
是否有识别关键信息基础设施的方法
是否有识别基础(必要)服务的方法
是否有识别基础(必要)服务提供商(OES)的方法
是否对OES进行登记
是否有风险管理实践
是否有应对风险的国家级登记措施
是否有威胁图谱报告
是否有识别依赖关系的良好实践
目标3:组织进行网络安全演练
目标3共有9个问题,涉及:
组织网络安全演练
是否有融合过程的评估和经验
是否有私有企业参与
是否对方案和步骤测试
目标4:建立基线安全措施
目标4共有13个问题,涉及:
是否有安全措施指南或推荐
是否与国家/国际标准/认证方案需求一致
是否有安全措施的评估过程
是否监控安全措施的执行
如果发生应急事件是否有安全加固措施
目标5:建立应急事件报告机制
目标5共有8个问题,涉及:
是否有应急事件报告机制
是否有应急响应报告义务的合作机制
报告机制的成熟度
目标6:提高用户意识
目标6共有8个问题,涉及:
是否有增强识别目标区域意识的措施(比如ENISA威胁图谱、国家图景)
是否有用于增强意识的项目规划
是否对执行的项目进行评估
目标7:建立R&D(研发计划)
目标7共有16个问题,涉及:
R&D是否有优先型
是否有R&D活动相关的监管主体
创新评估
是否有合作协议
目标8:加强培训和教育项目
目标8共有9个问题,涉及:
是否有网络安全相关的教育和培训项目
是否组织年度网络安全相关活动(比如黑客马拉松)
组织内部是否有网络安全相关的教育和培训项目
目标9:构建应急响应能力
目标9共有5个问题,涉及:
是否有国家级的CSIRT(计算机应急响应组)
是否与NIS(网络与信息系统安全)组织相一致
是否与邻国建立应急响应合作机制
目标10:解决网络犯罪
目标10共有17个问题,涉及:
是否有专门的网络犯罪部门
是否为网络犯罪部门分配预算
欧盟理事会关于布达佩斯公约的签字和批准
是否与欧盟在应对网络犯罪的法律框架一致
机构间合作与协同
对网络攻击进行相应
与其他成员国和欧盟机构的合作
是否对网络犯罪数据进行统计
目标11:参与国际合作
目标11共有9个问题,涉及:
是否有国际参与战略
是否与其他国家签署合作协定
国家网络安全机构参与国际合作方案
信息交换
参与国际网络安全演练
参与国际合作的特定人群
目标12:建立公私合作
目标12共有8个问题,涉及:
是否存在PPP(政府和社会资本合作)
鼓励投资PPP
社会资本参与PPP情况
目标13:平衡安全与隐私
目标13共有4个问题,涉及:
是否推出隐私和数据保护领域的最佳实践
是否有隐私问题相关的增强意识和培训的项目
与DPA(数据保护局)相关的应急报告程序的协调
DPA在网络安全相关领域的参与情况
目标14:使与公共机构之间的合作制度化
目标14共有5个问题,涉及:
是否有制度化的合作形式(如委员会、工作组、论坛等)
政府机构参与合作的情况
是否有合作平台
是否组织定期会议
目标15:鼓励私有企业投资安全措施
目标15共有7个问题,涉及:
是否有政策和经济方面的鼓励措施
非公企业是否参与这种鼓励措施的设计
对SME(中小型企业)和startup(初创企业)的支持情况
预算可用性
非公企业对鼓励措施的响应
编译:张涛
来源:学术plus