TTC-電信技術中心全球資訊網

歐盟網路安全局（European Union Agency for Cybersecurity, ENISA）於2023年5月24日在第三屆電信及數位基礎設施安全論壇（3^rd Telecom & Digital Infrastructure Security Forum）中發表「5G資安控制措施矩陣（5G Security Controls Matrix）」，協助會員國落實歐洲電子通訊法典（European Electronic Communications Code, EECC）第40、41條有關電子通訊網路安全之要求。

一、制定背景

EECC第40條明定ENISA及歐盟會員國需負起確保電子通訊網路及服務安全之權責；第41條則要求會員國主管機關須對「公眾電子通訊網路」及「公開可用之電子通訊服務」服務提供者（providers of public electronic communications networks or publicly available electronic communication services）提出相應的資安指示與應變措施；相關業者需依據主管機關資安管理之需求，提交其系統安全政策文件或資安稽核結果等文件。其後，2021年7月ENISA發布「EECC法制架構下之安全措施指引」（Guideline on Security Measures under EECC，下稱安全指引），提供歐盟會員國實施EECC第40、41條規範的技術性細節。

ENISA於2021年12月開始進行「5G資安控制措施矩陣」（下稱5G資安矩陣）的前導研究，主要目標是將眾多國際標準機構制訂之各種5G資安控制措施，統整到單一的資料庫（Repository）中，希望透過5G資安矩陣之建立，讓會員國法規制定機構（National regulatory authorities, NRA）重新檢視與更新國家規範，並為電子通訊網路及服務業者提供更詳盡的技術指南。

二、矩陣架構與內容

ENISA以上述安全指引之內容為基礎，並整合EECC之5G資安措施補充文件（5G Supplement to the Guideline on Security measures under the EECC）內容，同時並將第三代合作夥伴計畫（3rd Generation Partnership Project, 3GPP）的5G資安技術標準文件（Technical Specification, TS）、國際標準化組織（International Standard Organization, ISO）最新版的ISO27002:2022等內容納入對應（mapping）的項目；其他並將歐洲電信標準協會（European Telecommunication Standards Institute, ETSI）、網際網路工程小組（Internet Engineering Task Force, IETF）、美國國家標準暨技術研究院（National Institute of Science and Technology, NIST）等具代表性的155個技術安全規範、框架或標準文件也一併納入對應範圍。

5G資安矩陣為電子表單（spreadsheet）形式，依據資安管理與技術需求劃分為多個索引頁籤，並提供基礎（Basic）、產業標準（Industry standard）、頂尖（State-of-the-art）的分級指引；對於安全目標的複雜度可對照不同等級之控制措施、所需提供之佐證與參考之國際標準，便於使用需求單位可依循其安全目標或檢核項目做交互檢索。

三、發表後之未來展望

5G、RAN、海纜、低軌衛星等新興或關鍵電子通訊網路不斷受到資通安全的威脅挑戰，ENISA除發布5G資安矩陣，並藉由年度電信及數位基礎設施安全論壇，與業界進行政策與產業實務的意見交流。由於該資安矩陣後續將以網頁工具（web tool）提供，ENISA正準備進行Beta測試，預計2023年底進行第二輪諮詢。透過5G資安矩陣資料庫之建立與發布，ENISA提供細緻的控制措施與佐證資料說明，增加與其他標準的對應關係，以降低會員國主管機關的監理難度，並能凝聚產業共識，強化歐盟資安政策法制之推廣，保障歐盟電子通訊網路之安全。