一、引言
在數字時代,現代社會在全球范圍內相互聯系,越來越依賴通信技術和數字基礎設施。然而,這種互聯性也造成了相互依賴和對新出現威脅的脆弱性,需要在國家、區域和國際各級進行管理。加強網絡安全和保護關鍵信息基礎設施對每個國家的安全和經濟福祉至關重要,特別是在全球走向數字經濟和信息社會的過程中。
在國家層面,網絡安全是一項共同責任,需要政府當局、私營部門和民間社會在預防、準備、響應和事件恢復方面采取協調行動。為了使其順利運行,并確保一個安全、有保障和有彈性的數字領域,一個全面的框架或戰略是必要的,必須以多方利益相關者的方式來制定、實施和執行。這一框架通常被稱為國家網絡安全戰略(NCS,National Cybersecurity Strategy),是任何國家社會經濟安全的關鍵要素。為此,國際電信聯盟(ITU)組織相關單位編制,在2018年向成員國提供了一份參考指南,即《國家網絡安全戰略制定指南》(下述簡稱“指南”),以幫助各國建立有效的國家網絡安全框架。該指南是國際電信聯盟(ITU)、世界銀行、英聯邦秘書處(Comsec)、英聯邦電信組織(CTO)和北約合作網絡防御英才中心(NATO CCD COE)聯合編寫的出版物。
在《指南》中,“網絡安全”的概念是指:用于描述用以保護涉及政府、私營組織和公民聯網基礎設施中資產的可用性、完整性和保密性的各種工具、政策、指導原則、風險管理方式、行動、培訓、最佳做法、保證和技術;這些資產包括聯網的計算設備、人員、基礎設施、應用、服務、電信系統以及在網絡環境中的信息。
欲更多了解我國《網絡安全法》的請進入。
二、《指南》的目的
《指南》的編寫是為了指導各國領導人和決策機構如何制定國家網絡安全戰略并從戰略角度思考網絡安全、網絡防備和恢復能力。旨在提供一個有用、靈活和用戶友好的框架,以確定一個國家的社會經濟愿景和當前安全態勢的背景,并協助決策機構制定一項考慮到一個國家具體國情、文化和社會價值觀的戰略。該戰略鼓勵人們建設安全、恢復能力強、在信息通信技術(ICT)方面得到加強且互聯互通的社會。
《指南》是一種獨特的資源,因為它提供了一個框架,該框架已由在該主題領域具有豐富經驗的組織達成一致,并以此前在該領域開展的工作為基礎。因此,它最全面地概述了迄今為止各國成功的國家網絡安全戰略。《指南》為各國提供了全面的一站式資源,幫助各國明確國家網絡安全戰略的目的和內容,并為如何制定本國的網絡安全戰略提供了可操作的指導。參考指南進一步列出了現有的做法、相關的模式和資源,并概述了其它組織提供的可用援助。
三、《指南》的范圍
網絡安全是一項復雜的挑戰,包括多種不同的治理、政策、運營、技術和法律問題。該《指南》試圖基于現有的和公認的模型、框架和其它參考資料來解決、組織和優先考慮這些領域中的許多問題。
《指南》側重于保護網絡空間的民用方面,因此,它強調了在起草、制定和管理“國家網絡安全戰略”過程中需要考慮的總體原則和優秀做法。為此,《指南》明確區分了各國在國家網絡安全戰略周期中采用的“過程”(啟動、清點和分析、生產、實施、審查)和“內容”(實際將出現在國家網絡安全戰略文件中的文本)。該指南不涉及一個國家的軍隊、防衛力量或情報機構發展防御性或攻擊性網絡能力等方面,盡管一些國家已在開發這種能力。
為了提供有關“什么”應納入國家網絡安全戰略的指導和優秀做法,以及“如何”建立、實施和審查它,是該《指南》涉及這兩項要素。《指南》還概述了一個國家在網絡方面進行防備所需的核心組件,強調了政府在制定國家戰略和實施計劃時應考慮的關鍵問題。最后,該《指南》為決策機構提供了對現有方法和應用全面且高屋建瓴的概述,并提及了可為特定國家網絡安全工作提供信息的其它補充資源。
四、《指南》的主要內容
《指南》主要是作為一種資源,幫助政府利益攸關方準備、起草和管理其國家網絡安全戰略。因此,內容的組織遵循戰略發展的過程和順序:
1、引言
概述了該《指南》的主題及相關定義。
2、戰略制定周期
詳細說明戰略制定步驟及其在整個周期中的管理。周期分為五個階段:第一階段“啟動”;第二階段“清點和分析”;第三階段“形成國家網絡安全戰略”;第四階段“實施”;第五階段“監督和評估”。
3、戰略的總體原則
概述在制定戰略期間需要考慮的貫穿各領域的基本考慮因素;特別涉及與制定國家網絡安全戰略相關的過程和問題(如準備、起草、實施和長期可持續性)。總體原則包括:愿景;全面的方法和定制的工作重點;包容性;經濟與社會繁榮;基本人權;風險管理與復原力;適當的政策工具;明確領導權、職責和資源的分配;值得信任的環境;等九個方面。
4、重點領域和優秀做法
確定戰略制定過程中應考慮的關鍵要素和問題。共分為7個重點領域:治理;國家網絡安全的風險管理;就緒程度和復原力;關鍵基礎設施業務和基本業務;能力與能力建設及提高認識;立法和監管;國際合作。
5、支撐性參考資料
提供相關文獻的進一步說明,利益攸關方可以在其起草工作中進行研究。
若要詳細了解該《指南》具體內容的請查閱下附件。
附件:《國家網絡安全戰略制定指南》(2018年)
欲進一步了解我國電信網和互聯網安全防護體系的請進入。
