2025 年 9 月 30 日,歐盟首份聚焦行業(yè)網(wǎng)絡(luò)安全的權(quán)威指南 ——EN 18037:2025《行業(yè)網(wǎng)絡(luò)安全評(píng)估指南》 將正式生效。作為歐盟統(tǒng)一網(wǎng)絡(luò)安全戰(zhàn)略的關(guān)鍵舉措,該標(biāo)準(zhǔn)以基于風(fēng)險(xiǎn)的標(biāo)準(zhǔn)化評(píng)估框架為核心,旨在解決多行業(yè) ICT 系統(tǒng)(信息與通信技術(shù)系統(tǒng))的安全合規(guī)碎片化問(wèn)題,推動(dòng)移動(dòng)網(wǎng)絡(luò)、電子醫(yī)療、公共交通等領(lǐng)域?qū)崿F(xiàn)安全等級(jí)統(tǒng)一對(duì)齊,最終降低跨組織協(xié)作成本,強(qiáng)化數(shù)字生態(tài)信任基石。
EN 18037:2025 的推出并非孤立舉措,而是深度銜接歐盟《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)彈性法案》等頂層法規(guī)的實(shí)操性工具。其核心目的可概括為三大維度:
合規(guī)統(tǒng)一性:為復(fù)雜行業(yè) ICT 系統(tǒng)提供標(biāo)準(zhǔn)化評(píng)估方法,消除不同組織、不同領(lǐng)域間的安全認(rèn)證壁壘,確保滿足歐盟法規(guī)的強(qiáng)制性要求;
成本最優(yōu)化:通過(guò)可復(fù)用的評(píng)估框架,減少跨組織協(xié)作中的重復(fù)評(píng)估工作,降低企業(yè)合規(guī)投入與溝通成本;
信任增強(qiáng)化:建立統(tǒng)一的風(fēng)險(xiǎn)語(yǔ)言與安全基準(zhǔn),讓移動(dòng)運(yùn)營(yíng)商、醫(yī)療服務(wù)商、交通企業(yè)等多方利益相關(guān)者在安全標(biāo)準(zhǔn)上 “同頻共振”,提升數(shù)字生態(tài)整體韌性。
該標(biāo)準(zhǔn)適用于所有存在多方利益相關(guān)者的行業(yè) ICT 系統(tǒng),即涵蓋 “采集、存儲(chǔ)、處理、傳輸、呈現(xiàn)信息” 的全鏈條軟硬件組合。從基礎(chǔ)設(shè)施到核心系統(tǒng),具體包括:
EN 18037:2025 的應(yīng)用場(chǎng)景幾乎覆蓋所有依賴 ICT 技術(shù)的關(guān)鍵行業(yè),以下為重點(diǎn)領(lǐng)域示例:
EN 18037:2025 通過(guò)五大核心條款,搭建從風(fēng)險(xiǎn)識(shí)別到需求落地的全流程框架:
從行業(yè) ICT 系統(tǒng)支撐的核心業(yè)務(wù)流程切入,梳理各利益相關(guān)者的業(yè)務(wù)目標(biāo),精準(zhǔn)識(shí)別對(duì)安全至關(guān)重要的 “核心資產(chǎn)”(如醫(yī)療數(shù)據(jù)、金融交易記錄)和 “支撐資產(chǎn)”(如服務(wù)器、通信鏈路),確保安全評(píng)估與業(yè)務(wù)價(jià)值深度綁定。
將核心資產(chǎn)與利益相關(guān)者控制范圍內(nèi)的 ICT 系統(tǒng)、產(chǎn)品、流程進(jìn)行精準(zhǔn)映射(例如:電子病歷數(shù)據(jù)對(duì)應(yīng)醫(yī)院服務(wù)器 + 云存儲(chǔ) + 傳輸網(wǎng)絡(luò)),結(jié)合系統(tǒng)架構(gòu)細(xì)節(jié)明確各環(huán)節(jié)的安全責(zé)任主體,避免責(zé)任模糊導(dǎo)致的防護(hù)漏洞。
通過(guò) CTI 工具收集攻擊者畫像(類型、動(dòng)機(jī)、技術(shù)能力),例如針對(duì)金融系統(tǒng)的有組織黑客、針對(duì)醫(yī)療設(shè)備的勒索軟件團(tuán)伙等,優(yōu)先評(píng)估高概率、高影響的風(fēng)險(xiǎn)場(chǎng)景,優(yōu)化資源投入方向。
基于業(yè)務(wù)目標(biāo)受影響程度(如數(shù)據(jù)泄露對(duì)醫(yī)院聲譽(yù)的損害)和威脅發(fā)生概率(結(jié)合攻擊者能力與動(dòng)機(jī)),進(jìn)行風(fēng)險(xiǎn)量化評(píng)估,為后續(xù)安全措施優(yōu)先級(jí)排序提供數(shù)據(jù)支撐。
引入 “內(nèi)部風(fēng)險(xiǎn)、安全能力、保障水平、攻擊潛力” 四大參考級(jí)別,實(shí)現(xiàn)與國(guó)際標(biāo)準(zhǔn)的兼容 —— 既符合 ISO/IEC 27005 的風(fēng)險(xiǎn)評(píng)估框架,又可將數(shù)據(jù)無(wú)縫遷移至 ISO/IEC 15408(通用標(biāo)準(zhǔn) CC),為安全需求定義和認(rèn)證提供統(tǒng)一基準(zhǔn)。
信息提交成功