Tiêu chuẩn EN 18037:2025 của EU , hướng dẫn đánh giá an ninh mạng ngành đầu tiên do Liên minh Châu Âu phát triển , sẽ có hiệu lực vào ngày 30 tháng 9 năm 2025. Tiêu chuẩn này sử dụng phương pháp tiếp cận dựa trên rủi ro thống nhất để cho phép nhiều hệ thống, chẳng hạn như mạng di động, giao thông công cộng và y tế điện tử, nhanh chóng điều chỉnh các cấp độ và chứng chỉ bảo mật CNTT, giảm chi phí tuân thủ và tăng cường niềm tin giữa các tổ chức.

Các mục tiêu cốt lõi của EN 18037:2025 là:

Cung cấp khuôn khổ đánh giá an ninh mạng thống nhất, có thể tái sử dụng và dựa trên rủi ro cho các hệ thống CNTT phức tạp, đa ngành của nhiều bên, do đó đáp ứng các yêu cầu tuân thủ của các quy định như Đạo luật An ninh mạng của EU và Đạo luật Khả năng phục hồi mạng , đồng thời giảm chi phí hợp tác giữa các tổ chức và tăng cường sự tin cậy chung của hệ sinh thái kỹ thuật số.

Liên kết trang web chính thức cho E N 18037:2025 :

https://www.cencenelec.eu/news-events/news/2025/eninthespotlight/2025-04-16-en-18037-2025-on-sectoral-cybersecurity-assessment/

https://standards.cencenelec.eu/dyn/www/f?p=CEN:110:0::::FSP_PROJECT,FSP_ORG_ID:75985,2307986&cs=1EB3AD5F9FF144953C9490E5BB3FAAEC3

Phạm vi áp dụng của EN 18037:2025 :

Công nghệ Thông tin và Truyền thông (CNTT-TT) trong ngành với nhiều bên liên quan. Tiêu chuẩn này bao gồm tất cả các kết hợp phần cứng và phần mềm "máy tính + truyền thông" được sử dụng để thu thập, lưu trữ, xử lý, truyền tải và trình bày thông tin, chẳng hạn như mạng di động, nhận dạng kỹ thuật số, y tế điện tử, hệ thống giao thông công cộng và thanh toán, máy chủ, điện thoại di động, trạm gốc, thiết bị đầu cuối thanh toán, nền tảng điện toán đám mây , thiết bị Internet vạn vật (IoT), v.v.

Các tình huống ứng dụng điển hình của EN 18037:2025 :

▶ Truyền thông di động và Internet

• Mạng di động 5G/4G, băng thông rộng cáp quang, truyền thông vệ tinh, điểm truy cập Wi-Fi

• Hỗ trợ truy cập Internet di động, cuộc gọi video, tin nhắn OTT và chơi game trên nền tảng đám mây

▶ Nhận dạng số và quản trị công

• Thẻ căn cước điện tử ( eID ), hộ chiếu kỹ thuật số, dịch vụ hành chính một cửa, bỏ phiếu điện tử

▶ Dịch vụ tài chính và thanh toán

• Ngân hàng trực tuyến, thanh toán di động (Alipay/Apple Pay), thiết bị đầu cuối POS, ví tiền kỹ thuật số, hệ thống giao dịch chứng khoán

▶ Chăm sóc sức khỏe

• Hồ sơ sức khỏe điện tử (EHR), chẩn đoán và điều trị từ xa, theo dõi sức khỏe đeo được, chẩn đoán hình ảnh AI và nền tảng thanh toán bảo hiểm y tế

▶ Vận tải và Logistics

• Hệ thống quẹt thẻ AFC tàu điện ngầm/xe buýt, xe đạp dùng chung, kết nối xe với mọi thứ (V2X), theo dõi hàng hóa tại cảng/hàng không, đèn giao thông thông minh

Năng lượng và Tiện ích

• Lưới điện thông minh, đọc đồng hồ từ xa, quản lý năng lượng phân tán, mạng lưới trạm sạc xe điện

▶ Công nghiệp và Sản xuất

• Internet vạn vật công nghiệp ( IIoT ), nhà máy song sinh kỹ thuật số, hệ thống MES/ERP, điều khiển cụm robot công nghiệp

▶ Thành phố thông minh và Nhà ở

• Bộ não thành phố (giao thông, dữ liệu lớn về an ninh), tòa nhà thông minh, nhà thông minh (trợ lý giọng nói, thiết bị gia dụng kết nối)

Các điều khoản chính của EN 18037:2025:

1. Bối cảnh hóa quy trình kinh doanh: Bắt đầu bằng việc phân tích các quy trình kinh doanh được hỗ trợ bởi hệ thống CNTT của ngành và các mục tiêu kinh doanh tương ứng của từng bên liên quan, đồng thời xác định các tài sản chính và hỗ trợ quan trọng đối với việc triển khai bảo mật.

2. Lập bản đồ tài sản và hệ thống: Lập bản đồ các hệ thống, sản phẩm và quy trình CNTT liên quan đến việc bảo vệ các tài sản quan trọng trong tầm kiểm soát của các bên liên quan và đi sâu vào kiến trúc hệ thống của ngành để hiểu chi tiết mục đích sử dụng của nó.

3. Cyber Threat Intelligence (CTI): Tận dụng CTI để thu thập thông tin chi tiết về các loại kẻ tấn công có liên quan, động cơ và khả năng của chúng nhằm ưu tiên các kịch bản rủi ro đáng được phân tích sâu hơn, tối ưu hóa việc sử dụng các nguồn lực phân tích và hỗ trợ phân bổ các yêu cầu bảo mật mạng và đảm bảo tùy chỉnh.

4. Đánh giá rủi ro: Thực hiện đánh giá rủi ro dựa trên tác động của sự cố an ninh mạng đến mục tiêu kinh doanh và khả năng xảy ra sự cố đó, dựa trên động cơ và năng lực của kẻ tấn công được xác định thông qua CTI.

5. Mức tham chiếu: Một hệ thống mức tham chiếu cho rủi ro nội bộ, an toàn, bảo mật và khả năng tấn công đã được giới thiệu. Các mức này cùng nhau hỗ trợ tính nhất quán của các định nghĩa rủi ro an ninh mạng, và dữ liệu rủi ro tuân thủ ISO/IEC 27005 có thể được chuyển sang khuôn khổ ISO/IEC 15408 để xác định các yêu cầu bảo mật. Sự kết hợp của hai tiêu chuẩn này cho phép xác định các yêu cầu an ninh mạng và bảo mật dựa trên rủi ro một cách mạnh mẽ.

Nếu bạn muốn tìm hiểu thêm về các yêu cầu chi tiết của EN 18037:2025, vui lòng cho chúng tôi biết các tình huống cụ thể mà bạn quan tâm (ví dụ: mạng di động, y tế điện tử, giao thông công cộng, v.v.) và vai trò của bạn (nhà điều hành, nhà sản xuất, cơ quan quản lý, đơn vị tích hợp, v.v.). Chúng tôi sẽ giải thích các yêu cầu quy định một cách chuyên nghiệp cho bạn!

Khả năng kiểm tra và chứng nhận bảo mật mạng BACL:

Tiêu chí chung (CC)

ISO/IEC 15408 là tiêu chuẩn cấp cao được công nhận quốc tế về chứng nhận an ninh mạng, được thiết kế để đảm bảo các hệ thống thông tin, sản phẩm và dịch vụ đáp ứng các tiêu chuẩn bảo mật được công nhận quốc tế. BACL, với tư cách là cơ quan đánh giá CC, có hơn 10 năm kinh nghiệm.

Tiêu chuẩn bảo mật cho Internet vạn vật ( IoT )

• EN 18031/EN 301 549

• ETSI/EN 303 645

• Chứng nhận IECEE CB

• Chứng chỉ Đạo luật An ninh mạng PSTI của Vương quốc Anh

• Chứng chỉ đánh giá an ninh mạng của NIST Hoa Kỳ

• ISO 27001/27701/GDPR

Ưu điểm của dịch vụ bảo mật mạng BACL

• Tư vấn và đánh giá an ninh thông tin mạng trong giai đoạn R&D

• Tham vấn và đánh giá dự luật PSTI của Anh

• Tư vấn và đánh giá an ninh mạng theo chỉ thị CE RED

• Tham vấn và Đánh giá SB-327 của California

• Tư vấn và đánh giá chứng nhận an ninh mạng tự nguyện của FCC Hoa Kỳ

• Tư vấn và đánh giá an ninh mạng tại Brazil, Singapore và các quốc gia và khu vực khác trên thế giới