欧盟《国家网络安全能力评估框架》解析

2020 年 12 月 7 日，欧盟网络安全局（ENISA）发布了《国家网络安全能力评估框架（NCAF）》（以下简称“《框架》”）。《框架》设计了 4 大领域共计 17 个战略目标，并针对每个战略目标提出了具体的指标以及相对应的成熟度。欧盟成员国可对照该框架对其国家网络安全战略进行自我评估，了解自身网络安全能力成熟度水平，同时查缺点、找弱项，及时对国家网络安全战略目标作出调整，并有针对性增强网络安全能力。

一、工作背景

2016 年 8 月，欧盟《网络和信息安全指令（NIS 指令）》生效，要求各成员国制定网络安全国家战略。2019 年 3 月，《欧盟网络安全法案》出台，授权 ENISA 协助成员国落实 NIS 指令，针对网络安全国家战略的制定和落地实施分享最佳实践。

1. 前期工作基础

ENISA 持续关注欧盟各成员国的网络安全战略制定和实施。自 2012 年以来，ENISA 多次发布指导性文件和工具，促进欧盟成员国之间对网络安全战略的信息交流和最佳实践共享：

2012 年，发布《网络安全国家战略制定和实施过程实践指南》；

2012 年，发布《网络安全国家战略：为增强网络空间安全的国家努力明确方向》报告；

2014 年，发布第一版“成员国网络安全国家战略评估框架”；

2014 年，发布“网络安全国家战略线上交互式地图”；

2016 年，发布《网络安全国家战略最佳实践指南》；

2018 年，发布“网络安全国家战略评估工具”；

2019 年，发布《网络安全国家战略下网络安全创新最佳实践》。

NIS 指令发布以来，各欧盟成员国均已发布自己的网络安全国家战略。《欧盟网络安全法案》出台后，为帮助各成员国衡量其战略的成熟度、促进战略制定与落实相关最佳实践交流，ENISA 启动了《框架》的研究工作。

根据可查询到的资料，2020 年 1 月，ENISA 官网发布了一则公开招标通知，邀请有相关经验的机构协助 ENISA 开展《框架》制定工作，经费预算为 5 万欧元。由《框架》报告的作者署名可推断，该项目中标者是总部位于布鲁塞尔的 IT 咨询公司 Wavestone。经过近一年的文件资料研究、实地考察、专家论证，《框架》最终于 2020 年 12 月 7 日发布。

2. 网络安全国家战略评估工具

上述前期工作成果中，2018 年发布的“网络安全国家战略评估工具1”（1 网址：https://www.enisa.europa.eu/topics/national-cyber-security-strategies/national-cyber-securitystrategies-guidelines-tools/national-cyber-security-strategies-evaluation-tool ）构成了《框架》的主要基础。“网络安全国家战略评估工具”是2018年ENISA发布的一款线上评估工具。它的工作原理是，在收集欧盟各成员国发布的网络安全国家战略相关信息的基础上，归纳总结出 15 个共性战略目标以及细分目标，以“是/否”问题进行呈现，形成一个总体框架。成员国登录网页，根据实际情况回答相关问题，工具后台实时与总体框架进行比对，成员国答题结束时评估工具即可给出的改善建议。

图 1 ENISA“网络安全国家战略评估工具”界面

评估工具中的 15 个目标如下：

1. 制定国家网络安全应急计划；

2. 建立安全措施基线；

3. 组织网络安全演习；

4. 建立网络安全事件响应能力；

5. 提升用户安全意识；

6. 加强培训和宣传教育；

7. 加强研发；

8. 激励私营部门对安全措施进行投资；

9. 保护关键信息基础设施、原始设备供应商和数字服务提供者；

10. 应对网络犯罪；

11. 建立网络安全事件通报机制；

12. 巩固隐私和数据保护；

13. 建立政府和私营部门伙伴关系（PPP）；

14. 将政府部门间的合作制度化；

15. 参与国际合作（不仅限于欧盟成员国之间）。

使用者可选择上述 15 个战略目标的一个、多个或全部进行评估。评估结果界面如下：

图 2 评估结果示意

二、《框架》使用方法 ENISA

此次发布的《框架》中包含 17 个战略目标。除上述网络安全国家战略评估工具中的 15 个战略目标外，还新增了“改善供应链网络安全”和“保护数字身份安全、构建可信数字公共服务”两个战略目标。

针对每个目标，《框架》设置了 5 个成熟度等级。每个等级对应一定数量的问题。每一级别的问题均分为“通用性问题”和“非通用性问题”。“通用性问题”共 9 题，对每个战略目标都适用。“非通用性问题”根据战略目标不同而不同。此外，题目还有“必要”与“非必要”之分，“非必要”意味着不满足该题目要求不影响进入下一个成熟度等级。

本部分以第一个战略目标“制定国家网络安全应急预案” 为例，对《框架》评估表格及其使用方法进行说明。

1. 评估表格

《框架》给出的“制定国家网络安全应急预案”这一战略目标的评估表格如下：

上图中：

“#”栏为题目编号，其中以 a-c 编号的为通用性问题，针对每个战略目标重复出现；以 1-7 编号的为非通用性问题。

“R”栏用以区分题目是否为“必要”，值为“1”代表该题目为必要；值为“0”代表该题目为非必要。每个成熟度等级对应着不同数量的题目，满足某一成熟度等级栏所有必要题目的要求，才算达到该成熟度等级。

为使表格更为直观，我们对其呈现方式进行了优化（见下表）。灰色文本框表示非必要问题。

2. 得分计算：

为对得分计算过程进行说明，我们对上述问题进行模拟回答并标记，如下表所示，题号处标绿的表示“是”，标红的表示“否”。

1）计算针对该战略目标的成熟度

根据《框架》，成熟度体现的是一个国家现存网络安全能力和实践的整体成熟水平；一个国家在某一目标的成熟度，以该国对所有必要问题答案均为“是”的最高级别为准。

具体到上表，“成熟度等级 3”中有两个问题答案为“否”，但这两个问题都是非必要问题；“成熟度等级 4”中所有问题答案均为“是”；“成熟度等级 5”中有一道必要问题（问题 3）答案为“否”。因此，该国针对该目标的成熟度为 4 级。

2.）针对该战略目标的覆盖率计算

根据《框架》，覆盖率体现的是一个国家给出肯定回答的问题所占的比率，与成熟度无关。覆盖率的计算方法是一个目标中回答为“是”的题目的数量与该目标下题目总数之比。

具体到上表，总题目数为 32，其中回答为“是”的题目共 27 道，故该国针对该目标的覆盖率为 27÷32≈84%。

以此类推，可以计算出一个国家针对 17 个战略目标中每一项的成熟度和覆盖率。将这 17 个成熟度得分求平均数，得出该国的“总体成熟度水平”。

此外，《框架》还支持成员国针对 17 个战略目标中的某几项目标进行评估。这种情况下，将计算出成熟度得分求平均数，得出的是该国就这几项战略目标的“具体成熟度水平”。

三、评价和小结

《框架》在形式上是 ENISA“网络安全国家战略评估工具”后台数据库的外化，逻辑上仍是延续评估工具的对照补差，但在其基础上提供了一种成熟度的计算方法。这种定量的计算，一方面能够加深成员国家的认知，另一方面有助于进展比对。

欧盟授权专门机构对各成员国已发布的网络安全战略文件不断进行系统梳理、评估并提供优化建议，这种模式值得借鉴。目前我国已经正式发布《网络安全法》《国家网络空间安全战略》《网络空间国际合作战略》等顶层设计文件。这些文件的落实进展和效果如何，如何持续对其评估、改进， ENISA《框架》的量化评估方式是一个值得考虑的方向。（完）

全国信息安全标准化技术委员会（TC260）秘书处

     电子标准院     上官晓丽       刘畅