目前世界上共有50多个国家和地区出台了网络安全战略，但如何评估网络安全战略的实施效果，如何更有效地对战略进行优化调整，尚缺乏相关指导标准。为此，欧盟网络与信息安全局（ENISA）在研究当前网络安全战略内容基础上，通过逻辑建模开发出一套评估框架及业绩指标（PKI），并发布了欧盟《国家网络安全战略评估框架》（以下简称《评估框架》），以满足欧盟成员国进行网络安全战略评估的需求。《评估框架》对欧盟及其成员国、其他国家网络安全政策制定者具有极大参考价值，对我国网络安全战略的实施、评估、调整亦有诸多启示。
 
    一、出台背景
 
    （一）网络安全战略评估“审时度势”之策
 
    随着信息技术的快速发展，网络的影响逐渐从经济社会领域扩展至政治、外交、安全等领域，网络安全在国家安全中的地位不断上升。近年来，世界各国对网络安全的重视程度不断增强，一些重点国家和地区纷纷出台网络安全战略。美国于2011年颁布了《网络空间国际战略》和《网络空间行动战略》，英国先后于2009年6月和2011年11月发布两份《英国网络安全战略》，欧盟于2013年2月出台《欧盟网络安全战略》，日本于2013年6月出台了《日本网络安全战略》，意大利于2014年2月发布了《意大利网络空间安全国家战略框架》。目前全有已经有50多个国家发布了网络安全战略，我国也即将出台国家网络安全战略。随着各国网络安全战略的出台，如何评估网络安全战略的效果是当前迫切需要解决的问题，《评估框架》应运而生。
 
    （二）欧盟网络安全战略“按部就班”之举
 
    欧盟将网络安全战略生命周期分为网络安全战略制定、战略实施、战略评估和战略调整四个阶段，出台《评估框架》是欧盟落实网络安全战略四部曲之三。在战略制定阶段，欧盟早在2010年出台的“欧盟数字纲领”中已经开始对网络安全问题进行关注，并于2012年发布了《国家网络安全战略实践指导白皮书》，对各国网络安全战略制定提供指导。在战略实施阶段，欧盟鼓励成员国陆续出台并实施国家网络安全战略，当前28个欧盟成员国中已有18个国家发布了国家网络安全战略，欧盟委员会也出台了第一份联盟层面的网络安全战略。目前，诸多欧盟国家已经进入网络安全战略的评估优化阶段，《评估框架》的出台是欧盟网络安全战略制定、战略实施的政策延续，是欧盟网络安全战略生命周期的“按部就班”之举，是全面推动欧盟网络安全战略评估的开始。
 
    （三）网络安全战略实效检验“迫在眉睫”之需
 
    网络安全战略是提高国家网络安全意识，提升国家网络安全风险应对能力，增强国家网络安全恢复力的纲领性文件，对国家网络安全工作具有整体指导作用。如何检验网络安全战略的作用和效果是欧盟当前落实网络安全战略迫切需要解决的问题，一是需要对网络安全战略内容的全面性、战略目标的合理性、战略任务的针对性、行动方案的可行性进行验证；二是需要对网络安全战略落实过程中实施措施的正确性，各组织之间的协调度，资源投入的有效性进行评估；三是需要对网络安全战略实施进度以及整体实施效果进行掌握。出台《评估框架》正是迎合了当前各国检验网络安全战略实效的需要。
 
    二、主要内容解析
 
    （一）明确了《评估框架》的出发点及目标
 
    《评估框架》的战略出发点主要基于两个方面，一是ENISA认为欧盟范围内已经实施网络安全战略的国家在网络安全事故的跨行业和跨部门协调方面尚存在不足，因此有必要制定评估框架，以提高欧盟整体网络安全意识。二是欧盟委员会要求ENISA对欧盟成员国网络安全战略进行评估，对网络安全战略中的良好经验进行推广，通过重点加强工业控制系统、运输及能源等关键基础设施的网络安全能力，增强成员国国家网络安全防御能力。
 
    《评估框架》的目标是，对各国网络安全战略评估工作提供指导，最终帮助成员国开发网络防御政策和能力，获得网络恢复力，减少网络犯罪，保护重要信息基础设施，支持网络安全产业发展，形成健康安全的网络环境以推动数字经济的全面发展。
 
    （二）盘点了现有网络安全战略的主要举措
 
    ENISA在汇总、分析各国战略的基础上，提出了一套网络安全战略指标全集，指标全集涵盖了网络安全战略目标、行动方向、投出、活动、产出、影响、评估过程七个方面，共有97个指标项。在此基础上，ENISA对18个欧盟国家和8个非欧盟国家的战略中的举措进行符合性验证，试图找出影响战略实施及评估的关键指标。
 
    经分析发现，欧盟成员国由于制度和文化差异，对战略的理解不尽相同，在上述七个方面的指标中侧重点各有不同，但在一些指标有上具有一定的相似度。例如，在战略目标19个指标中，欧盟18个成员国中的13个将“国家具有应对网络安全威胁能力，以保护网络关键职能发挥”作为网络安全战略目标。在行动方向10个指标中，相似度较高的前四个指标是“参与国际合作”、“建议一种网络安全文化”、“保护关键基础设施”、“制定网络安全立法及标准规范”，超过12个国家将其作为国家网络安全战略的行动方向。ENISA对相似度较高的关键指标进行提炼，作为设计评估框架和确定PKI指标的重要参考。
 
    （三）提出了基于实证的战略评估框架
 
    基于对现有网络安全战略的分析，ENISA采用一种基于实证的风险评估方法，建立了一个能容纳欧盟各国制度差异的灵活的评估框架，主要包括对网络安全战略评估的两种逻辑模型和一套PKI指标。两种逻辑模型均是从投入、活动、产出、影响四个阶段进行建模对网络安全战略进行分析，其中影响又分为短期、中期、长期三个阶段。
 
    逻辑模型一是完全基于政策驱动角度对网络安全战略按照各阶段进展进行分析。逻辑模型二是基于对18国网络安全战略分析基础上结合《欧盟国家网络安全战略》的五大战略任务提出的，在具体评估内容上，主要从开发网络防御政策和能力，通过加强公私合作提高网络安全防御能力，减少网络犯罪，开发网络安全的行业资源和技术资源，保护重要网络安全基础设施五个方面按照上述四个工作阶段进行评估。
 
    （四）确定了战略评估KPI指标
 
    KPI指标是衡量国家网络安全战略等国家政策实施进展和实施效能的重要标准。KPI指标一般是可以量化的，但是ENSIA认为网络安全战略评估应更多的关注于战略实施的长期影响，因此应当从定性角度制定KPI指标。在国家网络安全战略设计阶段对KPI指标进行界定，能够使决策者在实施阶段跟踪战略走向和进展情况。《评估框架》根据逻辑模型二中的五项评估内容制定了相应的KPI指标，最后在此基础上提出了针对国家网络安全战略实施的高级指标，共分6个方面。
 
    开发网络防御政策和能力方面确定了包括组建计算机应急响应小组在内的6个指标，通过加强公私合作获得网络恢复力方面确定了“设立国家网络安全部门”等9个指标，减少网络犯罪方面确定了“建立减少网络犯罪的国家制度”等6个指标，开发网络安全的行业资源和技术资源确定了“支持信用标志和安全标签的标准化发展”等5个指标，保护重要信息基础设施确定了“划分重要基础设施”等8个指标，战略实施评估指标方面确定了“评估国家网络安全战略”等5个指标。通过这些KPI指标，能够实现对国家网络安全战略各方面有效评估。
 
    三、对我国的启示
 
    （一）加大重视程度，尽快明确战略全生命周期的顶层规划
 
    目前我国国家网络安全战略即将出台，但还缺乏战略实施、评估及优化调整等方面的后续顶层规划。为此，一方面应充分借鉴欧盟经验，在重视网络安全战略内容的同时，加大对战略实施、评估、调整的重视成度，结合我国网络安全工作实际，制定完善的、围绕网络安全战略全生命周期顶层规划，为我国网络安全战略的实施、评估、优化提供指导；另一方面应绘制网络安全战略实施、评估、调整路线图，明确战略评估时间表及评估周期，以实事求是的态度对战略进行评估，增强我国网络安全战略的实际效果。
 
    （二）梳理网络安全战略主要内容，尽快出台战略实施方略
 
    网络安全战略事关一国网络安全整体布局和具体实施，为此，一是应参考欧盟做法，梳理国外主要国家和地区网络安全战略要点，分析我国网络安全保障工作实际，确保我国网络安全战略内容应符合安全保障工作自身规律和国情需要；二是应充分参考国外战略实施过程中的得失，制定与网络安全战略配套的实施方略，规划网络安全战略实施的时间表、路线图，明确重点任务实施计划以及各参与方的责任和义务。
 
    （三）开展网络安全战略评估标准研究，明确战略评估关键指标
 
    开展网络安全战略评估需要以科学、合理的标准化指标为指导，应尽快开展战略评估标准研究。一是要梳理包括欧盟《评估框架》在内的国内外网络安全战略评估相关做法，明确制定我国网络安全评估标准思路和方法，尽快启动标准制定工作；二是根据我国网络安全工作的实际情况，提炼战略评估标准的核心指标；三是明确评估机制和评估流程，确保战略评估工作的客观性、公正性、有效性。

责任编辑：Lily