《5g網(wǎng)絡(luò)安全標(biāo)準(zhǔn)：網(wǎng)絡(luò)安全策略的標(biāo)準(zhǔn)化要求分析》

1、5G網(wǎng)絡(luò)平安標(biāo)準(zhǔn)：網(wǎng)絡(luò)平安策略的標(biāo)準(zhǔn)化要求分析【譯者按】2022年3月，歐盟網(wǎng)絡(luò)平安局發(fā)布5G網(wǎng)絡(luò)平安標(biāo)準(zhǔn)：網(wǎng) 絡(luò)平安策略的標(biāo)準(zhǔn)化要求分析報告。報告通過評估現(xiàn)有5G生態(tài)系統(tǒng)網(wǎng) 絡(luò)平安相關(guān)標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)那么（2021年9月前發(fā)布）對實現(xiàn)5G網(wǎng)絡(luò)平安 可靠性和彈性的作用，認(rèn)為現(xiàn)有5G平安標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)那么過于寬泛，適 用性有待提升，涵蓋范圍缺乏，建議循序漸進(jìn)地推動5G標(biāo)準(zhǔn)化，增加5G 標(biāo)準(zhǔn)制定的針對性以及各相關(guān)方行動一致性，注重提升標(biāo)準(zhǔn)化、彈性和信 任。賽迪智庫網(wǎng)絡(luò)平安研究所對該報告進(jìn)行了編譯，期望對我國主管部門、 研究機(jī)構(gòu)、相關(guān)企業(yè)等提供參考?！娟P(guān)鍵詞】5G網(wǎng)絡(luò)平安 標(biāo)準(zhǔn)化*注：對于研究和創(chuàng)新機(jī)

2、構(gòu)，差距指的是這些機(jī)構(gòu)需要進(jìn)一步完善的領(lǐng)域。*注：該領(lǐng)域可實施軟措施而非標(biāo)準(zhǔn)。上表（表5）中確定的平安領(lǐng)域差距總結(jié)如下:平安領(lǐng)域一定差距較大差距D1治理和 風(fēng)險管理特定行業(yè)治理和風(fēng)險管理特定行業(yè)風(fēng)險登記冊特定行業(yè)信息平安管理體系和隱私信息 管理體系的實施情況第三方5G風(fēng)險評估用于共享治理和風(fēng)險管理方面成熟做法 的跨境信息交流流程D2人力資 源平安特定垂直行業(yè)教育的平安內(nèi)容，指定認(rèn)知 計劃和培訓(xùn)內(nèi)容，例如慕課，嚴(yán)肅游戲服 務(wù)（注：該領(lǐng)域可實施軟措施而非標(biāo)準(zhǔn)）人力資源管理流程的評估方法用于人力資源平安信息交換（例如成熟做 法）的跨境流程D3系統(tǒng)和 設(shè)施平安5G垂直行業(yè)用例的可靠性配置和部署微服務(wù)和

3、自動化的可靠配置無線接入網(wǎng)、開放無線接入網(wǎng)、開放網(wǎng)絡(luò) 自動化平臺的平安性5G垂直行業(yè)平安性的評估方法5G微服務(wù)和自動化配置可靠性評估方法適用于5G解決方案采購合同 中的供應(yīng)商的信息平安要求可靠配置和部署的自動化編排和微服務(wù)的平安性審查 （注：該領(lǐng)域可實施軟措施而非標(biāo)準(zhǔn)）D4運營管 理關(guān)于5G特定云原生和邊緣部署的高要求固件、數(shù)據(jù)聚合和相關(guān)組件的操作和平安 工作5G運營第三方風(fēng)險評估 5G特定云原生和邊緣部署完整 生命周期的實施要求，例如：證 書集中管理、可互操作的自動化 和編排、無服務(wù)器環(huán)境工業(yè)物聯(lián)網(wǎng)自動化平安評估D5一事件管 理 5G特定端到端事件管理的場景類型，包 括5G環(huán)境中的事件嚴(yán)重程

4、度標(biāo)準(zhǔn)和閾值 5G環(huán)境中自動化事件響應(yīng)平安領(lǐng)域一定差距較大差距事件調(diào)查和證據(jù)監(jiān)管鏈的評估方法用于共享成熟做法的跨境信息交流流程自動化事件響應(yīng)性能的評估方 法D6業(yè)務(wù)連 續(xù)性管理5G特定業(yè)務(wù)影響分析信息與通信技術(shù)準(zhǔn)備情況的評估方法5G特定災(zāi)難恢復(fù)用于共享業(yè)務(wù)連續(xù)性方面成熟做法的跨 境信息交換流程 5G功能和編排的技術(shù)災(zāi)難恢復(fù) 計戈IJ業(yè)務(wù)連續(xù)性方面的信息與通信 技術(shù)準(zhǔn)備情況的評估方法D7一監(jiān)控、 審查和測試監(jiān)控能力的評估方法自動化測試平臺能力的評估方法用于共享監(jiān)測、審查和測試方面成熟做法 的跨行業(yè)信息交換流程5G特定日志源5G端到端服務(wù)和漫游方面的事 件關(guān)聯(lián)D8威脅意 識適用于無線接入網(wǎng)/開放無

5、線接入網(wǎng)、應(yīng) 用程序編程接口、開放網(wǎng)絡(luò)自動化平臺和 云原生技術(shù)的5G垂直行業(yè)威脅類型威脅情報有效性和威脅追蹤能力的評估 方法用于共享威脅情報的跨行業(yè)信息交換流 程自動修復(fù)手冊通過評估5G平安標(biāo)準(zhǔn)化水平，本報告得出如下主要結(jié)論：.治理和風(fēng)險管理領(lǐng)域、人力資源平安方面存在一定差距。.現(xiàn)有標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)那么都過于寬泛。經(jīng)過調(diào)整后，才能適 用于5G技術(shù)和功能領(lǐng)域及相關(guān)生命周期流程。. 5G特定標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)那么更適用于電信行業(yè)的各相關(guān)方 （例如，連接設(shè)備行業(yè)的審查機(jī)構(gòu)和各相關(guān)方）。. 5G特定標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)那么基本涵蓋了技術(shù)生命周期的“運行”階段，其他階段相關(guān)標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)那么需要調(diào)整。.網(wǎng)絡(luò)平安威脅

6、和IT平安準(zhǔn)那么方面現(xiàn)有知識庫可用于5G云 原生架構(gòu)和基于應(yīng)用程序編程接口（API）的架構(gòu)，電信行業(yè)已 開始利用這些軟件推動“云化”。五、有關(guān)建議（-）循序漸進(jìn)地推動5G標(biāo)準(zhǔn)化，首先需完善現(xiàn)有標(biāo)準(zhǔn)文 件。（二）制定新標(biāo)準(zhǔn)應(yīng)考慮實用性和必要性，及與戰(zhàn)略目標(biāo)間 的聯(lián)系。1.實用性和必要性?？紤]對于特定平安措施、特定5G領(lǐng)域、 生命周期特定階段的相關(guān)方而言，創(chuàng)立標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)那么是否必 要、實用。2與戰(zhàn)略目標(biāo)的聯(lián)系。確保所有新的參考標(biāo)準(zhǔn)文件與應(yīng)實現(xiàn) 的戰(zhàn)略目標(biāo)之間保持一致。假如新的參考標(biāo)準(zhǔn)文件旨在統(tǒng)一歐洲 各相關(guān)方的做法，那么應(yīng)當(dāng)考慮到當(dāng)?shù)胤ㄒ?guī)的適用性。.衡量有效性。有助于從端到端服務(wù)的角度持續(xù)衡量

7、平安措 施的有效性。.考慮新技術(shù)。例如，制定5G事件檢測策略時，不僅考慮 移動網(wǎng)絡(luò)運營商、托管服務(wù)提供商和B2B垂直行業(yè)，還應(yīng)考慮人工智能的開發(fā)和運營。.考慮標(biāo)準(zhǔn)實施的外部因素。在某些情況下，標(biāo)準(zhǔn)、規(guī)范準(zhǔn) 那么的有效性取決于外部因素。例如，免費開源軟件（FOSS）的開 發(fā)具有開放性，因此平安準(zhǔn)那么和建議中應(yīng)包含資源開發(fā)與審查方 面的規(guī)定，鼓勵依賴開源軟件的行業(yè)參與者和公共管理部門積極 行動，不斷提高和維護(hù)免費開源軟件解決方案的平安性。（三）提高風(fēng)險判斷與評估的成熟度和完整性本報告在標(biāo)準(zhǔn)化完整性局部指出了現(xiàn)有標(biāo)準(zhǔn)局部涵蓋、涵蓋 較少或沒有涵蓋的平安領(lǐng)域。其中風(fēng)險評估相關(guān)標(biāo)準(zhǔn)并非專門針 對5G,各

8、相關(guān)方?jīng)]有采取一致方法評估風(fēng)險，平安管理各自為政， 不利于保障5G整體平安。因此，5G生態(tài)系統(tǒng)中的所有相關(guān)方在 評估風(fēng)險的方法上協(xié)調(diào)一致，是提升風(fēng)險判斷與評估的成熟度和 完整性的關(guān)鍵所在。歐盟網(wǎng)絡(luò)平安局發(fā)布的行業(yè)網(wǎng)絡(luò)平安評估方法中概述了 網(wǎng)絡(luò)平安風(fēng)險判斷方法：歐洲網(wǎng)絡(luò)平安法案（CSA）要求針對預(yù) 期用途的相關(guān)風(fēng)險，制定信息與通信技術(shù)產(chǎn)品、服務(wù)和流程的安 全認(rèn)證方法。為此，歐盟網(wǎng)絡(luò)平安局提出了行業(yè)網(wǎng)絡(luò)平安評估（SCSA）方法，以判斷各種業(yè)務(wù)服務(wù)流程中，與系統(tǒng)預(yù)期用途 有關(guān)的網(wǎng)絡(luò)平安風(fēng)險，垂直行業(yè)用戶和網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供商等所 有相關(guān)方均可參與。行業(yè)網(wǎng)絡(luò)平安評估聚焦于行業(yè)業(yè)務(wù)層面，涵 蓋了 5G領(lǐng)域

9、各相關(guān)方、業(yè)務(wù)目標(biāo)以及信息與通信技術(shù)子系統(tǒng)和 流程。根據(jù)業(yè)務(wù)目標(biāo)判斷網(wǎng)絡(luò)平安風(fēng)險，提出特定信息與通信技 術(shù)產(chǎn)品、服務(wù)和流程平安、認(rèn)證和保障要求，有助于5G領(lǐng)域各 相關(guān)方權(quán)衡平安保障費用與業(yè)務(wù)目標(biāo)收益。一、概要本報告旨在闡述標(biāo)準(zhǔn)化在減少5G生態(tài)系統(tǒng)的技術(shù)風(fēng)險，提 升信任度和彈性方面的作用。概括分析了 2021年9月前發(fā)布的 5G生態(tài)系統(tǒng)網(wǎng)絡(luò)平安相關(guān)標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)那么，評估了上述標(biāo)準(zhǔn)文 件對5G平安環(huán)境所具有的價值以及標(biāo)準(zhǔn)的適用性，并針對提升 5G平安標(biāo)準(zhǔn)化水平提出建議。本報告建議要循序漸進(jìn)地推動5G標(biāo)準(zhǔn)化，考慮新標(biāo)準(zhǔn)的實 用性和必要性及與戰(zhàn)略目標(biāo)間的聯(lián)系，強(qiáng)調(diào)5G生態(tài)系統(tǒng)中的所 有相關(guān)方需要在評

10、估風(fēng)險方法上協(xié)調(diào)一致，以提高風(fēng)險判斷與評 估的成熟度和完整性。二、5G生態(tài)系統(tǒng)范圍5G生態(tài)系統(tǒng)包含以下幾個維度（表1）。表1 ： 5G生態(tài)系統(tǒng)的維度5G生態(tài)系統(tǒng)的組成局部定義5G技術(shù)和功能領(lǐng)域5G網(wǎng)絡(luò)的基本功能及相關(guān)的支持資產(chǎn)類別，代表5G技 術(shù)組件及其交互范圍。技術(shù)生命周期流程適用于5G服務(wù)和依賴5G垂直行業(yè)的生命周期流程。 包括：設(shè)計、構(gòu)建、測試、運行、更新、生命周期結(jié)束。5G各相關(guān)方5G平安領(lǐng)域、目標(biāo)和措施與5G網(wǎng)絡(luò)和垂直行業(yè)相關(guān)的（公共或私人）實體。包 括：5G服務(wù)客戶或消費者、電信行業(yè)（簡稱電信）、 數(shù)據(jù)中心服務(wù)提供商（DCSP）、連接設(shè)備行業(yè)、網(wǎng)絡(luò) 平安評估、網(wǎng)絡(luò)平安信息交換、標(biāo)準(zhǔn)

11、制定組織（SDO） 協(xié)會聯(lián)盟、研究和創(chuàng)新機(jī)構(gòu)。5G生態(tài)系統(tǒng)的平安維度，內(nèi)容包括歐盟網(wǎng)絡(luò)平安局在 歐洲電子通信規(guī)范平安措施準(zhǔn)那么及5G補充平安措 施中提出的平安領(lǐng)域、目標(biāo)和措施。包括：治理和風(fēng)險 管理、人力資源平安、系統(tǒng)和設(shè)施平安、運營管理、事 件管理、業(yè)務(wù)連續(xù)性管理、監(jiān)控、審查和測試、威脅意 識。三、5G生態(tài)系統(tǒng)標(biāo)準(zhǔn)文件的作用與評估本報告從現(xiàn)有標(biāo)準(zhǔn)中選出140多份文件和150多項平安措施, 詳細(xì)分析并評估其對5G生態(tài)系統(tǒng)平安的涵蓋程度，相關(guān)結(jié)果見 表2o表2：按平安領(lǐng)域劃分的現(xiàn)有標(biāo)準(zhǔn)文件涵蓋范圍匯總平安領(lǐng)域適用文 件分類5G生態(tài)系統(tǒng)維度涵蓋范圍術(shù)和技術(shù)生各相關(guān)方 鮑圾期領(lǐng)域流程,結(jié)果D1 一

12、治理 和風(fēng) 險管 理標(biāo)準(zhǔn)全部全部全部現(xiàn)有標(biāo)準(zhǔn)文件與5G生態(tài)系統(tǒng)各個 維度有一定關(guān)系,但并非專用于5G。 為充分利用這些文件，各相關(guān)方應(yīng) 根據(jù)相關(guān)的5G技術(shù)和功能領(lǐng)域及 技術(shù)生命周期流程，對其進(jìn)行大幅 調(diào)整。一力源 全D2人資安標(biāo)準(zhǔn)全部全部全部現(xiàn)有標(biāo)準(zhǔn)文件與5G生態(tài)系統(tǒng)各個 維度有一定關(guān)系,但并非專用于5Go 為充分利用這些文件，各相關(guān)方應(yīng) 根據(jù)相關(guān)的5G技術(shù)和功能領(lǐng)域以 及技術(shù)生命周期流程，對其進(jìn)行大平安 領(lǐng)域適用文 件分類5G生態(tài)系統(tǒng)維度涵蓋范圍|需技術(shù)生 各相矢方藉瞿期 領(lǐng)域和程結(jié)果幅調(diào)整。D3一 系統(tǒng) 和設(shè) 施安全準(zhǔn)范那么 標(biāo)規(guī)準(zhǔn)電信行業(yè) 數(shù)據(jù)中心 服務(wù)提供 商全部運行雖然這些標(biāo)準(zhǔn)文件是

13、通用的，但與 電信行業(yè)和數(shù)據(jù)中心服務(wù)提供商的 相關(guān)度較高。在5G環(huán)境中，“運行” 階段進(jìn)行調(diào)整較為容易，“設(shè)計” 和“構(gòu)建”階段進(jìn)行調(diào)整那么需要各 相關(guān)方付出很大努力。D4 運營 管理規(guī)范電信行業(yè)全部運行現(xiàn)有標(biāo)準(zhǔn)文件并非專用于5G,但與 電信行業(yè)的相關(guān)度較高。為充分利 用這些文件，各相關(guān)方應(yīng)在“設(shè)計” 和“構(gòu)建”階段，根據(jù)相關(guān)的5G技 術(shù)和功能領(lǐng)域以及技術(shù)生命周期流 程，對其進(jìn)行大幅調(diào)整?，F(xiàn)有標(biāo)準(zhǔn)文件并非專用于5G,但與 電信行業(yè)的相關(guān)度較高。為充分利 用這些文件，各相關(guān)方應(yīng)在“設(shè)計” 和“構(gòu)建”階段，根據(jù)相關(guān)的5G技 術(shù)和功能領(lǐng)域以及技術(shù)生命周期流 程，對其進(jìn)行大幅調(diào)整?，F(xiàn)有標(biāo)準(zhǔn)文件并非專用

14、于5G,但與 電信行業(yè)的相關(guān)度較高。為充分利 用這些文件，各相關(guān)方應(yīng)在“設(shè)計” 和“構(gòu)建”階段，根據(jù)相關(guān)的5G技 術(shù)和功能領(lǐng)域以及技術(shù)生命周期流 程，對其進(jìn)行大幅調(diào)整。D5 一 事件 管理標(biāo)準(zhǔn)電信行業(yè)全部運行一務(wù)續(xù)管D6業(yè)連性理標(biāo)準(zhǔn)電信行業(yè)全部運行D7 監(jiān)控、 審查 和測 試標(biāo)準(zhǔn)電信行業(yè)全部運行現(xiàn)有標(biāo)準(zhǔn)文件并非專用于5G,但與 電信行業(yè)的相關(guān)度較高。為充分利 用這些文件，各相關(guān)方應(yīng)在“設(shè)計” 和“構(gòu)建”階段，根據(jù)相關(guān)的5G技 術(shù)和功能領(lǐng)域以及技術(shù)生命周期流 程，對其進(jìn)行大幅調(diào)整。D8 威脅準(zhǔn)那么電信行業(yè)全部 運行現(xiàn)有標(biāo)準(zhǔn)文件并非專用于5G,但與 電信行業(yè)的相關(guān)度較高。為充分利 用這些文件，各相

15、關(guān)方應(yīng)在“設(shè)計”5G生態(tài)系統(tǒng)維度涵蓋范圍結(jié)果平安適用文技術(shù)生領(lǐng)域件分類各相關(guān)方O命周期 領(lǐng)域和程和“構(gòu)建”階段，根據(jù)相關(guān)的5G技 術(shù)和功能領(lǐng)域以及技術(shù)生命周期流 程，對其進(jìn)行大幅調(diào)整。四、5G平安標(biāo)準(zhǔn)化的缺乏和差距針對5G平安各領(lǐng)域現(xiàn)有標(biāo)準(zhǔn)文件，梳理現(xiàn)有標(biāo)準(zhǔn)文件中部 分涵蓋、涵蓋較少或沒有涵蓋的領(lǐng)域，評估現(xiàn)有標(biāo)準(zhǔn)文件實現(xiàn)“理 想情況”的程度，以及在實施中可用的標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)那么，減少 了 5G技術(shù)和機(jī)構(gòu)網(wǎng)絡(luò)平安風(fēng)險，并提供了充分的平安保障。專 家組以此作為參照，確定了標(biāo)準(zhǔn)化完整性水平，如表5所示。其 中顏色代碼規(guī)那么如表3所示。表3：標(biāo)準(zhǔn)化完整性的顏色代碼現(xiàn)有標(biāo)準(zhǔn)文件綠色單元格表示對所涉及的相

16、關(guān)方而言，現(xiàn)有標(biāo)準(zhǔn)文件涵蓋了所 有平安領(lǐng)域。一定差距黃色單元格表示這些領(lǐng)域存在一定的標(biāo)準(zhǔn)化差距。假設(shè)現(xiàn)有標(biāo)準(zhǔn)文件僅局部涵蓋該領(lǐng)域，那么存在“一定”差距，需要 一定努力以彌合差距。較大差距粉色單元格表示這些領(lǐng)域存在較大的標(biāo)準(zhǔn)化差距。假設(shè)現(xiàn)有標(biāo)準(zhǔn)文件沒有涵蓋該領(lǐng)域（或涵蓋較少），那么存在“較大” 差距，需要特別努力以彌合差距。定義定義顏色代碼沒有差距/不相關(guān)沒有顏色的單元格表示這些區(qū)域沒有差距，或者與相關(guān)方不相關(guān)。表5的括號內(nèi)標(biāo)明了各個領(lǐng)域的相關(guān)標(biāo)準(zhǔn)文件，并對現(xiàn)有標(biāo)準(zhǔn)文件參考的簡寫方式進(jìn)行了分組。如表4：表4：參考標(biāo)準(zhǔn)文件簡寫：簡寫表示所選文件的涵蓋領(lǐng)域簡寫所選文件涵蓋ISOIEC27KISO/I

17、EC 27000 系列ISOIEC20KIT服務(wù)流程圖SUPPLSEC供應(yīng)商平安POLTEMPLATES構(gòu)建平安策略RM網(wǎng)絡(luò)平安風(fēng)險管理ENISATL歐盟網(wǎng)絡(luò)平安局威脅工作SP800HR人力資源平安IAM身份和訪問管理DEVSECOPSIT生命周期平安3GPP-AII第三代合作伙伴計劃技術(shù)規(guī)范NFVSEC網(wǎng)絡(luò)功能虛擬化的平安性eUlCC嵌入式通用集成電路卡(eUlCC)領(lǐng)域的平安性CRYPTOTECH使用密碼技術(shù)PHYSEC物理和環(huán)境平安HARDEN技術(shù)可靠性VULN漏洞管理THREATMOD威脅建模和平安監(jiān)控SECASSUR平安保障和相關(guān)準(zhǔn)那么P 簡寫所選文件涵蓋AUDIT審查計劃和評估BC

18、M機(jī)構(gòu)和技術(shù)彈性表5：評估標(biāo)準(zhǔn)涵蓋范圍和差距缺乏各相關(guān)方5G服務(wù) 客戶或 消費者電信 行業(yè)數(shù)據(jù)中 心服務(wù) 提供商接備業(yè) 連設(shè)行網(wǎng)絡(luò)平安評 估各相關(guān)方網(wǎng)絡(luò)平安 信息交換 各相關(guān)方研究和創(chuàng)新 機(jī)構(gòu)在標(biāo)準(zhǔn)化中 的作用通過實施標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)那么，實現(xiàn)安 全使用、部署和運營5G網(wǎng)絡(luò)和/或服 務(wù)等平安目標(biāo)審查標(biāo)準(zhǔn)、 規(guī)范和準(zhǔn)那么 的實施情況通過實施 標(biāo)準(zhǔn)、規(guī)范 和準(zhǔn)那么，安 全交換網(wǎng) 絡(luò)情報通過制定新 的標(biāo)準(zhǔn)、規(guī)范 和準(zhǔn)那么，揭示 標(biāo)準(zhǔn)缺漏，并 利用創(chuàng)新推 動標(biāo)準(zhǔn)化D1 治 理 和 風(fēng) 險 管 理涵蓋該領(lǐng)域 的現(xiàn)有標(biāo)準(zhǔn) 文件ISOIEC27K. ISO20KB RM、SP800HR ENISATL、ISO

19、IECSUPPL、POLTEMPLATESSECASSURRMRM NFVSEC DEVSECOPS. HARDEN一定差距：現(xiàn)有標(biāo)準(zhǔn)文 件局部涵蓋 的領(lǐng)域特定行業(yè)的治理和風(fēng)險管理特定行業(yè)風(fēng)險登記冊特定行業(yè)信息平安管理體系（ISMS） 和隱私信息管理體系（PIMS）的實施 情況第三方5G 風(fēng)險評估享風(fēng)方做境流 共和理熟跨交 于理管成的息程 用治險面法信流D2人力資源平安涵蓋該領(lǐng)域 的現(xiàn)有標(biāo)準(zhǔn) 文件SP800HR, IAMSP800HRSP800HRISOIEC27K.SP800HRIAM一定差距：現(xiàn)有標(biāo)準(zhǔn)文 件局部涵蓋 的領(lǐng)域特定垂直行業(yè)教育平安內(nèi)容，指定認(rèn) 知計劃和培訓(xùn)內(nèi)容，例如慕課 （MO

20、OC）,嚴(yán)肅游戲服務(wù)（注：該領(lǐng)域可實施軟措施而非標(biāo)準(zhǔn)）人力資源管 理流程的評 估方法用于人力 資源平安 信息交換（例如成 熟做法）的 跨境流程特定垂直行 業(yè)教育的安 全內(nèi)容，指定 認(rèn)知計劃和 培訓(xùn)內(nèi)容，例 如慕課、嚴(yán)肅 游戲服務(wù)D3系統(tǒng)和設(shè)施安涵蓋該領(lǐng)域 的現(xiàn)有標(biāo)準(zhǔn) 文件PHYSEC、1AM、3GPP-AII.SECASSUR、CRYPTOTECH、NFVSEC、 eUlCCAUDIT,SECASSURDEVSCOPS、 eUlCC CRYPTOTECH一定差距：現(xiàn)有標(biāo)準(zhǔn)文 件局部涵蓋的領(lǐng)域5G垂直行業(yè)可靠配置和部署5G微服務(wù)和自動化的可靠配置無線接入網(wǎng)、開放無線接入網(wǎng)、開5G垂直行 業(yè)平安性

21、的 評估方法5G微服務(wù)測試平臺環(huán) 境和工具全放網(wǎng)絡(luò)自動化平臺（ONAP）的平安性和自動化配 置可靠性的 評估方法較大差距： 現(xiàn)有標(biāo)準(zhǔn)文 件沒有涵蓋 （或涵蓋較少）的領(lǐng)域適用于5G解決方案采購合同中的供 應(yīng)商的信息平安要求可靠配置和部署的自動化編排和微服 務(wù)的平安性 審查（注： 該領(lǐng)域可實 施軟措施而 非標(biāo)準(zhǔn)）M運營管理涵蓋該領(lǐng)域 的現(xiàn)有標(biāo)準(zhǔn) 文件ISO20K, RM NFVSECJ 標(biāo)準(zhǔn)ISO20K、 RM、AUDIT標(biāo)準(zhǔn)DEVSECOPS一定差距： 現(xiàn)有標(biāo)準(zhǔn)文 件局部涵蓋 的領(lǐng)域關(guān)于5G特定云原生和 邊緣部署的高要求固件、數(shù)據(jù) 聚合和相關(guān) 組件的操作 和平安工作5G運營第三 方風(fēng)險評估較大差

22、距： 現(xiàn)有標(biāo)準(zhǔn)文 件沒有涵蓋（或涵蓋較 少）的領(lǐng)域5G特定云原生和邊緣 部署完整生命周期的 實施要求，例如：證書 集中管理、可互操作的 自動化和編排、無服務(wù) 器環(huán)境工業(yè)物聯(lián)網(wǎng) 的自動化安 全評估測試平臺環(huán) 境和工具D5事件管理涵蓋該領(lǐng)域 的現(xiàn)有標(biāo)準(zhǔn) 文件ISOIEC20K. ISOIEC27K BCM。 AUDITTHREATMOD、NFVSECISOIEC20K,ISOIEC27K、 BCM、 AUDITISOIEC20K、 ISOIEC27K 、BCM、AUDITDEVSECOPS一定差距：現(xiàn)有標(biāo)準(zhǔn)文 件局部涵蓋 的領(lǐng)域5G特定端到端事件管理的場景類型， 包括5G環(huán)境中的事件嚴(yán)重程度標(biāo)準(zhǔn) 和閾值事件調(diào)查和 證據(jù)監(jiān)管鏈 的評估方法 5G特定 端到端事 件管理的 場景類型， 包括5G環(huán) 境中的事 件嚴(yán)重程 度標(biāo)準(zhǔn)和 閾值用于共享 事件響應(yīng) 方面成熟 做法的跨 境信息交 換流程較大差距： 現(xiàn)有標(biāo)準(zhǔn)文 件沒有涵蓋5G環(huán)境中的自動化事件響應(yīng)自動化事件 響應(yīng)性能的 評估方法（或涵蓋較 少）的領(lǐng)域D6業(yè)務(wù)連續(xù)性管理涵蓋