战略与政策

欧盟网络安全局发布网络安全风险管理标准

日期:2022-04-29

|  来源:【字号:

2022316日,欧盟网络安全局ENISA)发布了一份关于网络安全风险管理标准的报告,对涉及风险管理各个方面已发布的标准进行概述,并列出符合标准或有助于实施标准的方法和工具。此外,报告提出系列关于符合风险管理标准的建议,供各利益相关者(决策者、团体和企业组织)参考,并概述该领域可能存在的差距,使各利益相关者能够采取相应的措施以弥补差距。这些建议具体包括:

政策制定者:应使用在监管机构的出版物中已经采用的风险管理标准;在必要时对特定部门强制使用特定的风险评估方法或工具;当没有适合特定行业的风险管理标准或风险评估方法或工具时,政策制定者可以请求特定行业的相关机构制定适用于该行业的风险管理标准或风险评估方法或工具;核验是否有适用于ICT设备、ICT服务和ICT流程的风险管理的欧洲标准;将网络安全教育和实践技能整合和嵌入到从幼儿期到终身学习的所有教育阶段,以及整个职业生涯;建立一个特设工作组以确定一些标准来定义相关立法中提到的风险水平。该特设工作组应提供必要的风险工具来评估风险,并根据所确定的级别对结果进行分类。

标准开发组织:鼓励标准开发组织使用统一的概念、术语和定义,避免不同风险评估标准在同一安全概念、术语、定义之间产生偏差;解决当前欧洲层面没有评估信息与通信技术(ICT)安全的标准方法问题;欧洲标准开发组织应采用ISO/IEC31000ISO/IEC27005作为欧洲规范,这将有助于协调欧洲的风险管理方法;欧洲电信标准化协会(ETSI)应制定既适用于通用标准系统,也适用于信息安全管理系统范围内的风险管理(基于资产的方法)的,涵盖ICT系统风险管理的标准。

欧盟网络安全局:应定期发布涵盖不同领域和部门的已批准风险管理标准的概述;应发布涵盖不同领域和部门的认可方法和工具的概述;应鼓励和支持不同学科和部门开发或推进有关部门特定风险评估以及处理风险的方法和工具的工作,以加强利益相关者之间的合作;应继续与欧洲标准开发组织密切合作,以满足欧盟在风险管理方面可能提出的标准化要求;应建立一个机制,在风险管理的各个方面协助其他利益相关者。

信息来源:

file:///C:/Users/Dell/Downloads/O.7.2-T2-Risk_Management_standards.pdf

赛博研究院.https://mp.weixin.qq.com/s/AR9LCvu5J-RH94J3LUyyUQ

附件: