歐盟網路安全局發表5G資安矩陣以落實電子通訊網路安全

歐盟網路安全局（European Union Agency for Cybersecurity, ENISA）發表「5G資安控制措施矩陣（5G Security Controls Matrix）」，協助會員國落實歐洲電子通訊法典（European Electronic Communications Code, EECC）第40、41條有關電子通訊網路安全之要求。

EECC第40條明定ENISA及歐盟會員國需負起確保電子通訊網路及服務安全之權責；第41條則要求會員國主管機關須對「公眾電子通訊網路」及「公開可用之電子通訊服務」服務提供者（providers of public electronic communications networks or publicly available electronic communication services）提出相應的資安指示與應變措施。

ENISA於2021年12月開始進行「5G資安控制措施矩陣」的前導研究，主要目標是將眾多國際標準機構制訂之各種5G資安控制措施，統整到單一的資料庫（Repository）中，希望透過5G資安矩陣之建立，讓會員國法規制定機構（National regulatory authorities, NRA）重新檢視與更新國家規範，並為電子通訊網路及服務業者提供更詳盡的技術指南。

矩陣架構與內容

5G資安矩陣為電子表單（spreadsheet）形式，依據資安管理與技術需求劃分為多個索引頁籤，並提供基礎（Basic）、產業標準（Industry standard）、頂尖（State-of-the-art）的分級指引；對於安全目標的複雜度可對照不同等級之控制措施、所需提供之佐證與參考之國際標準，便於使用需求單位可依循其安全目標或檢核項目做交互檢索。

5G、RAN、海纜、低軌衛星等新興或關鍵電子通訊網路不斷受到資通安全的威脅挑戰，ENISA除發布5G資安矩陣，並藉由年度電信及數位基礎設施安全論壇，與業界進行政策與產業實務的意見交流。

由於該資安矩陣後續將以網頁工具（web tool）提供，ENISA正準備進行Beta測試，預計2023年底進行第二輪諮詢。透過5G資安矩陣資料庫之建立與發布，ENISA提供細緻的控制措施與佐證資料說明，增加與其他標準的對應關係，以降低會員國主管機關的監理難度，並能凝聚產業共識，強化歐盟資安政策法制之推廣，保障歐盟電子通訊網路之安全。

本文轉載自 財團法人電信技術中心 網站。