近日,欧洲网络与信息安全局(ENISA)发布《网络安全市场分析框架》(ECSMAF),《网络安全市场分析框架》是一份关于如何在网络安全领域开展市场分析(包括定期市场分析和持续市场监测)的指南。该新版(3.0版)吸取了以往应用中的经验教训,增强了该框架在应对当前政策需求和长期监测要求方面的能力。
1. 引言
1.1 本框架的目标
本框架旨在指导如何在网络安全领域开展市场分析,包括定期市场分析和持续市场监测。其目标在于:
提供一种分析和记录网络安全市场细分的方法论;
提高对(新型)网络安全产品、服务及流程在供需两端市场分析的严谨性和系统性;
促进对网络安全供需两端趋势的深入分析与理解;
通过提供基于证据且结构化的市场洞察,以可靠的市场数据为政策决策提供依据;
识别网络安全领域的新兴领域及投资机会;
通过评估认证、市场监督、依赖关系、优势与劣势等方面的需求,促进欧盟网络安全市场的发展;
基于可比数据和知识转移,促进决策制定。
1.2 目标受众
本框架的制定旨在满足欧洲联盟网络安全局(ENISA)及其利益相关方在网络安全市场分析方面的需求。
该框架适用于欧盟各机构、组织和部门、各国主管部门及行业协会的分析师,同时也适用于消费者组织、研究机构、网络安全领域供需双方的企业,以及希望了解市场机遇的风险投资家。
虽然该框架主要面向公共部门的利益相关方和战略分析师,但私营企业(无论处于供需哪一端)在进行市场范围界定、采购及投资规划时,亦可从中获益。
1.3 背景与政策环境
ENISA于2021年启动了网络安全市场分析工作,这是其履行《网络安全法》(CSA)第8条第7款规定及该法第42条序言所述任务的一部分,即“定期对网络安全市场供需两端的主要趋势进行分析并发布报告,以促进欧盟网络安全市场的发展”。
作为这项工作的一部分,ENISA 制定了《ENISA 网络安全市场分析框架》(ECSMAF),并以此为基础开展市场分析工作。该框架的首个版本 ECSMAF V1.0 于 2022 年发布,第二个版本 ECSMAF V2.0 则于 2023 年发布。
该框架迄今已应用于一系列市场分析研究,包括ENISA对云网络安全加密产品与服务以及托管安全服务的市场分析。框架的当前版本ECSMAF V3.0吸取了以往市场分析的经验教训,例如需要以更具响应性和及时性的方式开展市场分析,并确保其具备可扩展性。ECSMAF V2.0的应用凸显了更新该框架的必要性,重点需改进及时性、频率、数据收集以及适应持续和长期市场监测(而非一次性市场报告)等方面的内容,从而能够及时提供用于市场监测的定期和临时市场分析报告。
此外,ECSMAF 需要与近期立法举措保持一致,例如《网络弹性法案》(CRA)——该法案为数字产品制定了网络安全要求,以及《网络与信息系统(NIS)2 指令》——该指令旨在增强关键基础设施的弹性。
1.4 本版本框架的新内容
本版ECSMAF旨在更好地契合ENISA及其利益相关方的具体目标。
此外,ECSMAF V3.0在框架前几个版本的基础上,提供了更简化、更用户友好的方法(例如引入可重复使用的模板),并预计在未来更新中持续进行改进。
最后,ECSMAF V3.0支持周期性分析和持续监测(参见“一次性与周期性市场分析及持续市场监测”章节),既能实现定期更新,也能随着市场状况的变化对同一市场细分领域进行持续观察。
1.5 启动与持续时间:框架的两大核心支柱
ECSMAF V3.0 的两大重要支柱是:
分析的启动(无论是内部计划的,还是应临时请求而启动的);
分析的持续时间(即时间限制)(短期或长期)。
这两个支柱决定了分析的配置,并指导工作流每个步骤中方法、工具及参与策略的选择。这种双重结构确保了框架既灵活又切合实际,能够适应各种分析场景和资源条件。
启动分析有两个原因。
计划性分析。作为ENISA战略规划流程的一部分(例如在实施ENISA单一规划文件时),可启动全面的市场研究。此类分析支持前瞻性优先事项,并有助于实现ENISA的长期目标。根据探索深度和方法论要求,受时间限制影响,计划性分析的周期可能较短或较长。
应临时请求进行的分析(也称为“临时分析”)。可针对具体请求(例如来自欧盟委员会或欧盟成员国的请求,或由网络安全事件驱动,如特定市场细分领域中反复发生的事件)开展分析,此类请求通常源于迫切的政策需求、战略发展、态势感知等。分析范围和方法将根据请求的性质及可用资源确定。临时分析的持续时间可能较短,也可能较长。
分析周期可分为:
少于六个月(较短,且可能非常短),这意味着可用于进行分析的时间较为紧张,因此需要采用加速方法;
超过六个月(较长,且可能非常长)。
根据启动背景和周期长短的不同,将采用不同的分析路径。
2. 框架概述
该框架包括以下七个步骤:
步骤 1 – 启动分析;
步骤 2 – 确定待分析的市场细分;
步骤 3 – 分析市场细分;
步骤 4 – 描述“是什么”和“如何做”;
步骤 5 – 收集数据;
步骤 6 – 分析数据;
步骤 7 – 呈现并传播结果。
ECSMAF 的步骤如图 1 所示。图中展示了启动分析的可能情境及其持续时间,并附有相关选项的详细说明。关于按步骤配置分析的选项的详细描述,将在本文件的其余部分进行阐述,特别是“计划性分析(短期和长期)”以及“应临时请求进行的分析(短期和长期)”章节中。
图1:网络安全市场分析的步骤及配置选项概述
2.1 工作流程
如前所述(见图1),这些步骤中工作流程的具体应用取决于所选的配置。这主要取决于分析的启动以及在给定时间限制中体现的持续时间参数设置。
所采用路径的差异贯穿整个七步工作流程,尤其体现在步骤1(启动分析)中。
步骤1(启动分析)因分析是计划性开展还是应临时请求而开展,存在显著差异。在计划性分析中,启动工作基于ENISA的战略规划和前瞻性优先事项。
分析任务旨在根据该机构的授权确定分析目标,评估哪些领域或技术最为相关,定义验证标准,并通过书面依据选定目标领域。相比之下,临时分析的启动始于请求本身。分析师的首要职责是捕捉并厘清请求方的要求,随后必须根据现有资源和时间,将分析范围调整至可行的范围。
步骤 1(启动分析)和步骤 2(确定待分析的市场细分范围)为整个市场分析工作确立了参数。这些步骤确定了分析的主题、广度和深度,并明确了所需资源——即时间、预算、人力资源和工具。
步骤 3(分析市场细分)涉及对市场细分及其所有要素进行深入考察,包括供应链的基础设施或架构、价值栈(即所提供的服务)、资产、对这些资产的威胁以及保护资产的安全控制措施,并提供主要市场利益相关者的概况。
前三个步骤的综合成果通过界定分析范围,并涵盖市场细分要素以及在解决研究问题时可提供支持的利益相关方类型,从而影响步骤4(描述“什么”和“如何”)中问题的结构化制定。
第 5 步(收集数据)是实际的数据收集过程,不仅使用第 4 步(描述“什么”和“如何”)中制定的问题,还利用其他一手和二手研究。
数据收集完成后,第6步(分析数据)将开展数据分析工作,旨在按照预先确定的范围实现分析目标。此步骤包括识别有价值的发现,并对已确定的主题或分析结果进行结构化整理。第7步(呈现与传播结果)则需仔细考虑分析结果的呈现方式,包括潜在受众、时间安排及呈现形式。
2.2 行动措施
ECSMAF的每个步骤都包含一系列行动措施。这些行动措施是具体的任务,以系统且可复现的方式指导分析人员的流程。它们确保每个阶段具有可操作性、布局清晰,并符合该框架的方法论标准。标有“如适用”的行动措施为可选项——即它们不属于标准工作流程的一部分,但在分析需要时可予以纳入。
2.3 贯穿性活动
尽管ECSMAF流程被划分为七个线性分析步骤(每个步骤均通过具体行动来实施),但每个步骤都持续得到一系列贯穿性活动的支持,这些活动确保了在分析生命周期内方法论的一致性、对具体情境的敏感性以及实践相关性。具体而言,设想了以下贯穿性活动。
情境化分析,确保分析的每一步都基于对市场所处更广泛环境的深入理解。这包括监测宏观经济趋势、监管动态、地缘政治变化以及新兴技术的演进。此外,还需评估颠覆性事件对相关细分市场的潜在影响,并认识到针对关键基础设施组件的网络攻击与针对较小、非关键实体的攻击存在显著差异。在实施ECSMAF时,分析师应将适当的情境(政治、经济、社会、技术、法律和环境)融入其范围界定、优先级排序和解读决策中。
验证工作涉及系统性地与内部和外部利益相关方开展互动,以统一假设、优化范围界定参数并验证成果。从确保与优先事项保持一致(步骤1),到检验范围界定标准的相关性(步骤2),验证基础设施图(步骤3),优化利益相关方问题(步骤4),交叉核对初步发现(步骤5和6),以及审查可视化成果和结果(步骤7),这些验证循环确保分析结果始终具有公信力,符合其目标,并对受益方负责。验证工作由质量保证标准提供支持,这些标准确保框架产出的结果足够扎实,足以支撑可靠的市场分析。除了利益相关方共识和迭代审查外,还应建立最低质量门槛,例如包括收集的数据量、足以支持模式识别的数据来源多样性,以及针对分析时间窗口内数据随时间衰减的考量。
后续工作的准备工作需认识到,市场分析的价值往往超越了直接产出。通过记录方法、总结经验教训,并以可供未来研究重复使用或调整的方式整理结果,此项活动将分析嵌入到更长期的机构学习循环中。这同时确保了后续传播和知识共享所需的适当格式、模板及操作指南的可用性。
2.4 时间表
虽然每个步骤的实际耗时可能会因用例配置、时间限制和数据可用性而有所不同,但根据以往进行市场分析的经验,可以通过估算每个步骤所需的工作量来推算出一个暂定时间表。
总体而言,该流程中资源消耗最大的部分是步骤 4(描述“什么”和“如何”)和步骤 5(收集数据),这两者合计可能占每次分析总投入时间的一半左右。
这些步骤构成了市场分析的运营核心,因为它们将定义好的范围转化为具体行动点,并生成作为结论依据的证据基础。步骤6(分析数据)同样重要,尽管其耗时通常取决于所收集数据的质量和结构。参考步骤时长可作为宏观规划的辅助依据,并可根据所研究市场细分领域的具体要求和复杂程度进行调整。
2.5 参考时间分配
图2:各步骤的参考时长
各步骤在分析总时间内的时间分配(见图2)是基于ENISA在一系列市场分析项目中积累的经验得出的,仅供参考。例如,ENISA开展的计划性、长期网络安全市场分析所需的工作量约为15人月,周期约为10个月。迄今为止所进行的单次临时性、短期网络安全市场分析所需的工作量约为6人月,耗时4个月。
分析的持续时间在很大程度上取决于按人月分配的资源、可用的数据、服务采购(例如数据收集和分析的支持)、请求方的参与程度(在响应临时请求的分析中)、临时工作组的支持等因素。
各步骤的实际持续时间也可能因分析的配置和背景而异。例如,如果该工作是应临时请求而开展的,且初始请求未提供有效界定市场细分所需的所有必要信息,则启动阶段可能需要占用显著更长的时间。
除了为 ECSMAF 的七个步骤分配时间外,分析师还必须根据市场分析的具体范围/需求,考虑跨领域活动(情境化、验证和后续准备)所需的时间。
图3:各配置的时间分配示例
如图 3 所示,分配给某项分析的时间因配置而异,这取决于该分析是临时性还是计划性,以及其范围是短期的还是长期的。
临时性分析前期投入较多:启动和范围界定需要占用更大的工作量,尤其是在初始请求需要澄清的情况下。相比之下,成果传播工作量较小,因为输出结果是针对请求方量身定制的,而非与更广泛的利益相关者群体共享。
计划性分析得益于更明确的授权和预先设定的目标,这缩短了启动时间,并使各步骤的时间分配更加均衡。在长期配置中,会投入更多时间用于传播和后续活动,以最大限度地提高利益相关方的参与度。
短期配置压缩了数据收集和分析阶段,而长期配置则允许进行更深入的验证和报告。
2.6 一次性与周期性市场分析及持续市场监测
ECSMAF V3.0 支持一次性市场分析,同时也设想了随时间推移进行周期性市场分析以及持续市场监测的可能性,从而能够随着市场条件的变化,对同一市场细分领域进行定期更新和持续观察。本报告后面的专门章节对此进行了进一步说明(参见“迈向市场分析连续性:周期性分析与持续市场监测”一章)。
2.7 框架的定制
ECSMAF的制定参考了ENISA的职责范围及其利益相关方的需求。然而,该框架的结构和逻辑具有足够的通用性,使得除ENISA以外的其他组织只需进行有限的调整即可应用。国家主管部门、行业监管机构、研究机构和私营实体均可根据自身需求调整该框架,以指导其网络安全市场分析工作。
遵循 ECSMAF 具有多重优势。它确保了市场分析采用透明且结构化的方法;提高了不同研究和情境下数据的同质性,从而促进结论的可比性;并促进了数据的可复用性以及组织间知识的转移。这些优势有助于构建一个共享的证据基础,从而支持政策和运营层面的决策。
然而,为反映采用该框架的组织的具体需求、背景或限制,可能需要进行一定程度的调整。调整可能涉及分析范围、利益相关方参与的深度,或数据来源及方法的选择。此类调整应始终符合ECSMAF的总体原则,确保透明度、可比性和可转移性等优势得以保留。
鉴于欧盟数字市场的广度以及对可扩展方法的需求,ECSMAF 还旨在多层次实施。例如,欧洲网络与信息安全局(ENISA)可应用该框架在成员国层面开展能力建设,而成员国则可在本地进行自主分析。通过协同作用,随后可汇总并比较不同司法管辖区的分析结果,从而扩大参与范围、确保一致性,并强化支撑欧盟层面政策与战略的集体证据基础。
2.8 附件
ECSMAF V3.0包含若干附件,这些附件源自ECSMAF先前版本的应用实践。这些附件旨在支持ECSMAF的实施。附件的数量和内容基于以往市场分析中积累的经验。应将附件视为本文件的动态组成部分,部分附件及内容将在进一步应用 ECSMAF 并根据分析师和利益相关方的需求后予以补充。
3. 计划性分析(短期与长期)
计划性分析是由 ENISA 发起的市场研究,作为其战略规划的一部分,旨在预判需求并支持长期监测。分析师可在本节中查阅各步骤涉及的具体行动说明;本节之后将详细说明针对临时请求开展分析时应采取的行动,并特别关注不同配置之间的差异。
活动说明中可能提及位于文档末尾的附件。这些附件在适当情况下提供了有用的分类法或模板。图4展示了计划分析过程中需采取的步骤和行动概览。
图4:计划分析涉及的步骤和行动概览
根据时间限制、分析深度、资源可用性以及目标受众的不同,计划性分析的周期可长可短。短期计划性分析能在有限的时间内提供重点洞察,而长期计划性分析则对选定的市场细分领域进行全面、深入的探索。
计划性分析路径作为ENISA活动的一部分,支持对市场细分领域的探索。计划性分析旨在预判政策需求、支持长期监测,并与该机构的整体工作计划保持一致。
3.1 短期与长期计划性分析的区别
原则上,短期和长期计划性分析包含的行动数量相同。主要区别在于投入到这些活动中的工作量。
短期(持续时间少于六个月)的计划性分析通常旨在针对既定的战略优先领域提供及时的洞见。此类分析在有限的定制化范围内应用现有方法论和框架,聚焦于关键利益相关者群体,并产出简洁且有针对性的成果,以支持具体的政策讨论或满足内部需求。
相比之下,长期(持续时间超过六个月)的计划性分析则旨在对选定领域进行全面探索。其研究范围更深,利益相关方咨询更广泛,验证过程更多层次,并能整合多样化的数据来源。其产出是一份详尽且方法论严谨的成果,旨在不仅满足当前的政策需求,更能为中长期战略思考提供依据。短期与长期分析格式的区别在于利益相关方参与的广度、方法论适配的程度、收集数据的规模以及所生成洞察的细致程度,而非核心分析的严谨性。
“框架概述”一章中的图表展示了短期和长期分析中各步骤所分配时间的差异:图2提供了各步骤的参考时长,而图3则展示了短期和长期计划分析中各步骤所分配时间的差异。
3.2 计划性分析中的周期性与持续性市场监测
计划性分析可以是一次性的,也可以是周期性的。换言之,它可能随时间推移而重复进行。关于周期性分析与持续性市场监测的详细内容,请参见“实现市场分析的连续性:周期性分析与持续性市场监测”一章。
3.3 步骤1:启动分析(计划性)
计划分析流程第一步的目的是界定并构建市场研究的分析方向。该阶段确保分析符合ENISA的职责范围和战略优先事项,并为选定待研究的市场细分(指在更大市场中具有共同需求和行为特征的子集)提供明确的依据。每项行动都逐步细化分析重点,将其与组织优先事项、验证要求以及细分市场选择的书面依据紧密结合。
本步骤涉及的行动如下,后续章节将进行详细说明:
行动 1.1 – 确立市场分析的目标;
行动 1.2 – 评估优先级;
行动 1.3 – 制定并评估验证标准;
行动 1.4 – 选择目标细分市场。
3.3.1 行动 1.1:确立市场分析的目标
该流程首先需界定市场分析的总体目标,明确预期成果及其对ENISA使命的预期贡献。其目的是阐明一个清晰且与战略目标一致的目标,以指导后续的范围界定和分析工作。将进行条件性检查(以验证是否满足特定条件),以确保分析目标界定清晰且与ENISA的优先事项保持一致。只有当分析目标明确且与ENISA的优先事项保持一致时,我们才能进入下一步。如果目标过于宽泛或模糊,应缩小其范围并使其更加具体。如果存在多个相互冲突的目标,则根据ENISA的授权和优先事项对其进行排序。如果发现与以往研究存在重叠,则重新界定目标,以突出附加值维度,例如更新内容或新的分析角度。
在简短配置中,这一优化过程在预定义的边界内受到严格管控,依托内部现有文件和近期战略成果(例如 ENISA 的《单一规划文件》、《ENISA 战略》 等)来加快决策进程。
在长期配置中,该流程容纳探索性考量,包括通过外部资源(如灰色文献、雷达报告、白皮书)和内部研究(如 ENISA 的威胁态势报告、《ENISA 2030 年网络安全威胁前瞻——更新版》)进行前瞻性扫描,以迭代优化目标并确保与战略前瞻的一致性。
3.3.2 行动 1.2:评估优先级
一旦目标确定,下一步便是评估哪些市场细分领域或技术、产品、服务及流程在战略上最为重要,需要进行分析。此项评估基于 ENISA 当前的战略优先事项进行,这些优先事项可能与具体分析的目标有所偏差。此处的条件性核查可确保分析具有明确且无争议的优先级。若优先级出现冲突,该事项将上报至管理层进行内部审查。
在简要配置中,评估工作以预先确定的战略领域为指导。力求与欧盟网络与信息安全局(ENISA)的战略文件保持一致,例如《ENISA战略》、《ENISA国际战略》和《ENISA利益相关方战略》;《ENISA单一规划文件》;以及ENISA在技术和创新雷达以及前瞻性研究方面的工作。
在长期配置中,采用更具参与性的方法,除了与战略文件保持一致外,还可能涉及在ENISA各项活动中开展结构化磋商。其目的是在相互竞争的优先事项中进行权衡,并确保所作的选择能够平衡地反映更广泛的网络安全领域。
3.3.3 行动 1.3:制定并评估验证标准
在确定优先级之后,需制定验证标准,以确保计划中的分析在整个执行过程中保持质量。这些标准确立了在关键检查点评估分析范围、方法和输出结果的依据。此时,分析师需核查是否已制定出清晰且符合具体情境的验证标准。若尚未制定,则应基于以往周期的经验进行构建。若发现标准过多,可能导致分析重点分散,则需对最重要的标准进行优先排序。若标准依赖于无法获取的信息,应使用替代指标以确保假设的有效性。
在简短配置中,标准通常借鉴现有分析,以确保一致性并加快其制定与数量确定。
长配置支持更定制化的方法,引入量身定制的标准(例如,验证所收集数据或结论所需的特定利益相关者最低人数)。这些标准由目标群体的具体特征、政策相关性以及预期的分析深度决定。
3.3.4 行动 1.4:选择目标细分市场
在确立目标、优先事项和验证标准后,选定目标市场细分。该选择需通过一份书面说明予以论证,该说明应与战略优先事项及经验证的标准相衔接。将进行条件性核查,以评估所选细分市场是否清晰明确,且不存在重叠或结构性问题。若仍有多个细分市场在考虑范围内,则进行内部评分以确定其优先级。
若发现结构性问题(例如可行性风险或数据缺失),则需对照风险暴露趋势、技术成熟度或早期预警对选定结果进行验证。
若与其他欧盟倡议存在重叠,应启动与相关内部及外部方的协调,以明确协同效应或划定边界。
在简短配置中,通过加速评分和风险筛查来正式确定细分市场,确保流程在规定时限内完成。
在长期配置中,评估更为深入,可能涉及迭代专家评审和情景分析,以确认所选细分领域的稳健性及其与欧盟层面战略趋势的一致性。
3.3.5 验证
作为步骤1的收尾,需进行核查,以确保目标、优先事项、验证标准及细分领域选择之间相互一致,并与ENISA的总体战略方向保持一致。
在简短配置中,验证工作由内部完成,并依赖于分析团队根据预先商定的战略指标所做的评估。
在详细配置中,验证范围将扩展至包括战略咨询意见(例如来自ENISA咨询小组、ENISA国家联络官网络(23)或临时专题工作组)、ENISA内部跨部门反馈,以及在相关情况下与外部政策或行业专家的磋商。
3.3.6 准备后续行动
本步骤提出可能因优先事项演变、政策变化或遭遇不可预见的挑战而必要的后续措施。
在简短配置中,后续工作通常记录在内部文件中,并明确标注决策点和潜在应急方案。
在长篇配置中,将建立结构化的后续机制,可能包括预定的审查里程碑、利益相关方重新参与策略,以及对替代领域或新兴问题的正式追踪,以供未来的分析周期使用。
3.4 步骤 2:界定待分析的市场细分领域(计划中)
一旦市场细分领域的选择得到验证并符合 ENISA 的战略优先事项(参见步骤 1),便需界定所选市场细分领域的范围。鉴于现有资源和利益相关方的期望,此步骤旨在确保分析的重点既可行又具有分析上的可靠性。本步骤涉及的具体行动如下,并在后续章节中进行说明:
行动 2.1 – 考虑资源可用性;
行动 2.2 – 确定相关的范围划分类别和范围划分标准。
3.4.1 行动 2.1:考虑资源可用性
分析师首先评估分析工作的实际限制因素,包括可用时间、内部专业知识以及与相关利益相关方开展合作的能力。这些因素将用于确定研究的预期深度和广度,以确保研究范围在运营能力及ENISA优先事项的框架下具有现实可行性。随后进行条件性核查,以确定拟议的分析是否与以往的内部研究具有可比性。如果研究范围和分析背景与以往工作一致,则只需稍作调整即可沿用关于资源需求的既定假设。在这种情况下,流程将直接进入范围界定阶段。然而,如果分析围绕的是一个熟悉的主题,但利益相关方的期望已发生变化,则必须明确这些新的优先事项,并据此调整资源规划。若分析范围涉及全新领域或分析挑战,分析师应记录变更或障碍的性质,并制定修订后的资源计划以反映新需求,包括为覆盖分析范围而编制相关材料的努力。
一旦完成适当校准,流程将进入定义范围划分类别的阶段。在短配置和长配置中,对资源可用性的处理方式有所不同。
在短配置中,资源评估经过刻意简化,通常利用先前的分析或默认假设来加快范围划定决策。这可能涉及使用二手数据,或依赖易于获取的内部专业知识。
相比之下,长配置允许对资源进行更全面的评估,包括梳理可用的外部专业知识、识别潜在的数据缺口,以及与ENISA相关部门或合作伙伴进行正式磋商以获取专业意见。
3.4.2 行动2.2:确定相关范围界定类别及标准
在资源考量到位后,接下来的任务是确定市场分析的分析框架。这涉及选择适当的范围划分类别和标准,以构建后续分析的结构。类别通常界定了分析重点领域的边界和范围。随后,通过条件性核查来验证现有的ECSMAF范围划分类别是否足以满足分析目标。若足够,则直接应用现有框架,流程继续进行至市场细分分析(步骤3:分析市场细分)。若市场细分要求对分析框架进行微调——例如重新排序标准或引入新的主题重点——则在明确记录与标准配置的偏差的同时进行这些调整。一旦修订后的类别确定,分析师便进入下一阶段。
在简短配置中,范围界定类别的选择通常受限于预定义模板,仅进行最低限度的定制以保持进度。分析师依托以往应用ECSMAF所积累的知识,除非绝对必要,否则避免引入新类别。
相反,长配置允许采用更灵活、更迭代的方法,使分析师能够探索混合范围界定模型,整合新兴主题领域,并邀请利益相关方或领域专家参与验证所选类别。
3.4.3 验证
在步骤2结束时,将进行核查,以确认资源计划和选定的范围界定类别是否连贯、充分,并符合分析目标及ENISA的战略方向。
在简短配置中,此验证为内部快速流程,通常由核心分析团队进行最终合理性核查。如果现有的范围界定标准未能涵盖预期重点,则分析必须回溯至行动2.1(考虑资源可用性),正如跨领域活动“准备后续工作”中所述。
在长配置中,验证流程可能包括结构化的同行评审或由ENISA相关单位进行的正式核查,以确保在分析阶段开始前,资源分配和分析框架均符合目的。
3.4.4 准备后续工作
此步骤为与资源限制或范围界定决策相关的任何后续工作奠定基础。在短配置中,这可能仅涉及记录范围界定过程中做出的任何妥协或接受的限制。
在长周期配置中,将保留更正式的文档记录,包括资源依赖关系、未满足的数据需求,以及可在后续周期中探索的可选范围界定领域的明确记录。这确保了任何推迟的要素或残留的不确定性均被标记出来,以便在当前周期或未来的迭代中进行潜在的重新审视。
3.5 步骤 3:分析市场细分(计划)
在确定并验证了研究范围后,分析工作将转向对所选市场细分的特征描述。本步骤的目标是对该细分市场建立一种有依据且结构化的理解。该过程遵循一系列逻辑连贯的调查行动,每项行动均旨在构建一个连贯的市场画像。市场细分将基于现有数据进行分析,随后可根据第 5 步收集的补充数据进行适当调整。
本步骤涉及的具体行动如下,并在后续章节中进行详细说明:
行动 3.1 – 识别基础设施;
行动 3.2 – 识别资产;
行动 3.3 – 识别价值栈要素;
行动 3.4 – 识别相关威胁;
行动 3.5 – 识别安全需求;
行动 3.6 – 识别市场挑战;
行动 3.7 – 识别利益相关方。
3.5.1 行动 3.1:识别基础设施
首要的分析任务是绘制支撑所选市场细分领域的基础设施图谱。这包括定义该细分领域架构的技术组件、系统、平台和运行环境。如果所需信息可直接获取(无论是通过现有研究、利益相关方的反馈还是相关文档),则直接绘制基础设施图谱。若缺乏可靠数据,则需根据已定义的范围制定新的基础设施图谱。该图谱将作为后续资产识别工作的基础。鉴于本次分析侧重于网络安全,此项工作旨在识别那些处于暴露状态且需要保护的重要(即有价值)基础设施组件,为下文的行动3.2(识别资产)做好准备。
在简短配置中,映射主要依赖于现有数据源和先前经过验证的研究,除非发现关键缺口,否则仅投入有限精力构建新地图。相比之下,长配置允许开发详细的基础设施地图,确定需纳入原始数据收集、专家访谈以及采购数据或专利分析等间接指标中的网络安全要求,以解决潜在的保护限制。
3.5.2 行动 3.2:识别资产
在完成基础设施映射后,分析将识别出能够使该细分领域正常运转或支持其内部价值创造的关键资产。这些资产可能包括含有数字元素的产品、数字服务或人力资本。根据分析的时间表,所识别的资产可由相关利益相关方进行交叉验证。若未能达成一致,则在继续推进前,将采用专家三角验证法来完善资产清单。
在处理含数字元素的产品基础设施时和附件四(含数字元素的关键产品)将其归类为重要或关键产品),必须识别出可被视为资产的组成部分。
在短配置中,资产通常通过案头研究和内部验证进行识别,清单应保持简洁,并侧重于最关键的资产。
在长配置中,此步骤将扩展为采用结构化方法进行资产分类,例如开展更全面的案头研究,并咨询相关专家和利益相关方。
3.5.3 行动项 3.3:识别价值堆栈要素
价值堆栈分析概述了构成组织价值主张的一系列服务的分层结构。价值堆栈将产品、服务、流程或价值流整合在一起,以提升客户或用户对整体价值的感知。这种结构化的分解有助于突出相互依赖关系和增值领域。当价值链的结构已明确或被认可时,应直接进行记录。如果
在短配置中,价值堆栈基于现有模型或框架进行记录,仅作最小程度的修订,以确保快速推进后续行动。
长配置则允许对价值堆栈进行更深入的考察,包括各层的验证,以及整合可能影响该市场细分领域动态的非网络安全价值要素。
3.5.4 行动3.4:识别相关威胁
随后,将评估与所分析基础设施相关的威胁态势。若该细分市场与关键领域或监管指定(例如《NIS 2 指令》下的关键基础设施、《CRA》中视为关键的产品)相关,则威胁清单将扩展至
在长配置中,评估将通过直接的专家反馈和分析工具的应用得到充实,从而根据挑战的影响程度和可解决性对其进行分类和优先级排序。结构模糊或分散,则利用专家意见或替代指标来重建它。
3.5.7 行动 3.7:识别利益相关方
步骤 3 的最后一项行动是梳理参与该细分市场或受其影响的各方。这通常包括供需双方的利益相关方、监管机构以及研发机构。如果利益相关者的角色和关系已然明确,则直接进行绘制。若情况并非如此,则需借助权力-利益矩阵等结构化工具对利益相关者群体进行分类,确保充分捕捉其角色,以便后续开展互动。
在识别利益相关者时,应特别关注初创企业和成长型企业,因为它们在创新过程中发挥着重要作用。
在简短配置中,利益相关者映射较为简洁,侧重于关键机构行为体和主要市场参与者。
长配置则允许进行更广泛的映射,涵盖更广泛的利益相关者群体,包括新兴行为体和非传统参与者。必要时,可通过额外的网络分析对其进行分类。
3.5.8 验证
在步骤 3 结束时,将进行核查,以确保市场细分特征描述的完整性和准确性。
在简短配置中,验证工作由分析团队内部完成,可能辅以与少数领域专家的简短磋商,和/或来自相关临时工作组(例如 ENISA 的欧盟网络安全市场临时工作组)的反馈。
在长流程配置中,采用更正式的验证流程,包括与相关专家进行结构化的反馈会议,以及与外部数据源进行交叉验证。
3.5.9 准备后续工作
本步骤以准备后续措施为结尾,特别是针对已识别的数据缺口、存在争议的发现、需要进一步调查的领域,以及在适当情况下与其他利益相关方共同或由其他利益相关方继续进行的分析。
在简短配置中,后续措施通常以未来分析周期的建议形式记录。
在长配置中,将起草更详细的后续计划,其中可能包括有针对性的数据收集活动、建立持续的利益相关方对话,或安排更新周期以捕捉该细分市场随时间推移的变化。
3.6 第4步:描述“内容”与“方法”(计划)
在确定分析范围后,第4步涉及界定指导性问题、确定相关数据来源以及选择适当的数据收集方法。本步骤的目标是确保后续的数据收集及相关利益相关方参与工作具有针对性、相关性,并适应分析背景。
本步骤涉及的具体行动如下,并在后续章节中进行说明:
行动 4.1 – 确定问题;
行动 4.2 – 识别数据来源;
行动 4.3 – 确定数据收集方法并准备数据收集工具。
3.6.1 行动 4.1:确定问题
分析师首先需制定一套问题。这些问题应反映分析的具体范围要素,并根据相关利益相关者的类型进行调整。如果分析范围和利益相关者与ENISA先前某项市场分析具有可比性,则可沿用原有问题。如果分析范围不同,则应重新调整现有问题的优先级并加以修改。如果涉及新的利益相关者,则应纳入额外的针对性问题。当分析范围和利益相关者格局均发生显著变化时,则需要对问题集进行全面修订。
在简短配置中,问题集保持精简,通常仅限于预先定义或已验证的核心问题,以确保快速进入分析的下一阶段。仅当为应对范围变化至关重要时,才会调整问题。
扩展配置则支持更全面且定制化的方法,包括制定探索性提示,以捕捉新出现的问题或尚未充分探讨的维度。
3.6.2 行动 4.2:确定数据来源
一旦确定了问题,分析师需确定回答这些问题所需的数据来源,并编制一份数据来源清单(,以支持分析工作。这些来源可能包括 ENISA 以往的研究、学术文献、官方统计库、监管文件、专有数据集、专家联系人以及特定行业的见解。在此阶段梳理数据来源有助于构建利益相关方参与机制,并确保利益相关方的投入能补充而非重复现有证据。
在梳理数据来源时,分析师应考虑数据是基于自愿提供,还是作为结构化强制报告机制的一部分;以及数据是临时性提供,还是定期提供。
在短配置中,数据源的映射侧重于立即可用且预先定义的材料。
长配置则允许更广泛、更系统地识别数据源,包括探索灰色文献,并在必要时建立新的数据合作伙伴关系(例如与数据库提供商达成协议)
3.6.3 行动4.3:确定数据收集方法并准备相关工具
最后一项准备工作涉及选择数据收集方法,并设计适当的工具,用于从行动4.2(识别数据源)中确定的数据源中收集数据,同时基于行动4.1(定义问题)中制定的问题。
方法的选择取决于分析的时间表和目标,以及预期利益相关方的参与程度。如果能够进行广泛参与,则部署详细的调查。若时间较为紧张,则组织重点访谈或由主持人引导的研讨会。若预计参与度有限,则应采用更精简的方法,利用公开数据或来自其他来源的现有数据(包括ENISA收集的数据或来自其他外部来源的数据),并结合简短调查和专家验证环节。随后,将通过设计精良且符合先前定义的范围和问题的研究工具,将所选方法付诸实施。
在简短配置中,数据收集方法的选择侧重于速度和对利益相关者的负担最小化,通常依赖于公开数据、简短问卷或少量访谈。为避免延误,工具通常从现有模板中选取。
在长篇配置中,方法选择更为灵活,可能采用混合方法,结合问卷调查、访谈和焦点小组讨论。相关工具也会进行更广泛的定制,并可能进行试点测试,以确保方法的清晰度和相关性,并使其与所涉及的各类利益相关者特征保持一致。
3.6.4 验证
步骤4以一项检查作为收尾,旨在确保数据的一致性和质量,同时确保数据来源的充分代表性,并确认与数据来源互动的方法既可靠,又与分析范围及既定的分析目标保持一致。
在简短配置中,此验证由分析团队内部完成,重点关注一致性和可行性。
长配置包含额外的验证环节,例如在部署前向选定的利益相关方或内部评审人员征求反馈,以确认参与策略的适当性。
3.6.5 准备后续工作
此步骤还包括为潜在的后续工作做准备。
在简短配置中,后续工作的准备仅限于记录利益相关方参与过程中可能出现的任何预期的缺口或挑战,并制定应急预案,例如备用数据来源或简化的数据收集工具(如开源数据)。
在详细配置中,将制定更全面的后续计划,包括重新参与的策略、迭代的数据收集轮次,以及根据利益相关方的初步反馈或响应率调整工具和方法的机制。
3.7 第5步:收集数据(计划)
在确定了数据来源和数据收集方法,并准备好相关工具(例如EUSurvey工具)后,分析工作将进入数据收集阶段。此阶段可能需要直接与利益相关者沟通,以收集针对准备阶段所定义问题的反馈。其目的是收集可靠、准确且有针对性的信息,以丰富文献研究,并为制定扎实的市场分析提供支持。
市场分析师可以通过多种途径和来源收集分析所需的数据。他们可以开展一手研究或二手研究。
一手研究通过问卷调查、访谈、焦点小组和观察进行。这些活动由市场分析负责人直接执行,该负责人同时也是数据所有者。问卷调查、访谈和焦点小组都是一手(或实证)研究的例子。
二手研究是通过从现有来源收集数据进行的,例如在线社区、承包商以及自动化/手动开源搜索。市场分析的负责人并不拥有从二手研究中收集到的材料。文献综述是二手研究的一个例子。
本步骤涉及的行动是行动 5.1(收集对已定义问题的答复)。
3.7.1 行动 5.1:收集对已定义问题的答复
采用选定的方法开展利益相关方参与工作。无论采用何种方法,收集到的意见均应系统地记录并检查其一致性。
在此阶段,必须通过适当的文件记录来追踪数据收集方法。这包括记录所使用的工具、利益相关方选择标准、利益相关方参与的形式,以及任何偏离计划流程的情况。
与此同时,所有数据收集活动(无论采用短期还是长期方案)都必须符合相关法规,例如关于利益相关方参与、数据隐私和知识产权的法规。这包括获取知情同意、在适用情况下确保保密性,并使参与方式符合ENISA的道德标准和监管义务。
在短期配置中,数据收集通常在时长和范围上有所限制,重点针对被认定为对该细分市场至关重要的特定利益相关者群体。应优先使用现有数据(例如公开数据或ENISA内部数据,前提是这些数据可用于分析目的)。也可考虑开展利益相关者参与活动,并可通过简化形式(如简短调查或简短访谈)进行,此时应优先考虑速度和响应性,而非回答的深度。
在长流程配置中,该过程允许更广泛、更多样化的利益相关方参与,并在必要时采用多种参与形式,例如访谈和焦点小组。
3.7.2 验证
在数据收集过程结束时,将进行核查以验证所收集数据的完整性和一致性。
在简短配置中,此验证工作由分析团队进行内部审查,以确认数据是否充分涵盖了关键问题和利益相关方的观点。
在详细配置中,验证工作还可能包括对反馈进行初步汇总,并与选定的内部利益相关方以及必要时与外部专家分享。
3.7.3 准备后续工作
数据收集工作以准备潜在的后续措施为结尾。
在简短配置中,这可能仅涉及识别利益相关方反馈不完整或不明确的领域,并在时间允许的情况下寻求临时澄清。如果数据收集过程的验证(参见上文关于此跨领域活动的章节)表明数据质量或利益相关方参与度存在不足,则需采取措施减轻其影响。
在长周期配置中,需制定结构化的后续计划,可能包括安排额外的参与环节、提交补充数据请求,或设计有针对性的咨询活动,以解决初始数据收集阶段发现的剩余数据缺口。
3.8 第6步:分析数据(计划中)
数据收集完成后,分析工作将进入对所收集信息进行处理和解读的阶段。此步骤旨在确保数据能够被有效利用,在不同来源间进行交叉验证,并转化为有意义的洞见。
本步骤涉及的具体行动如下,并在后续章节中进行详细说明:
行动6.1 – 准备数据分析工具;
行动 6.2 – 处理收集到的数据;
行动 6.3 – 识别有价值的发现;
行动 6.4 – 比较观点(如适用)。
3.8.1 行动 6.1:准备数据分析工具
在开始分析之前,必须根据收集的数据类型、可用时间、期望的洞察深度以及分析结构,选择并准备适当的工具。这些工具可能包括结构化模板、定性编码方案(用于对文本或访谈数据进行分类和标注的系统)或定量处理工具(用于处理数值数据并进行统计分析的工具)。一旦工具准备就绪,即可进行分析。
在简易配置中,数据分析工具的选择以效率为依据,通常包含预定义模板和快速编码机制,无需大量定制即可同时处理定性与定量数据。
在扩展配置中,工具选择则针对支持多种数据类型的整合以及数据集内复杂相互依赖关系的探索而量身定制。
3.8.2 行动 6.2. 处理收集到的数据
随后对原始数据进行整理、清理和结构化处理,以利于解读。这包括去除冗余信息、统一格式,并以利于跨来源进行有意义比较的方式对信息进行聚类。
在简易配置中,数据处理优先考虑标准化和快速格式化,以便立即进行解读。处理步骤侧重于确保数据的完整性和一致性,不涉及大规模的重新分类或格式调整。
在长配置中,将开展更全面的数据清理和结构化工作,包括对定性数据应用编码方案、对定量输入进行统计标准化,以及创建用于支持多维分析的比较数据集。
3.8.3 行动 6.3:识别有价值的发现
下一步是提取有价值的发现,例如关于需求、供给、相关趋势、缺口、依赖关系的关键发现,以及某些含数字元素的产品类别(针对此类产品可组织专项排查)所带来的网络安全风险,或是可能揭示该细分市场关键动态的异常情况。这些洞见以及其他见解,可能源于利益相关方的共识、定量趋势,或是挑战传统假设的异见。
在简短配置中,发现的识别过程被简化,重点放在检测能够为初步市场特征描述提供依据的高层级趋势和反复出现的洞察上。
在长周期配置中,分析揭示了那些可能无法立即显现的细微趋势、复杂关联及新兴信号,并通过迭代审查周期和磋商来解读较为晦涩的发现。
3.8.4 行动 6.4:比较观点(如适用)
最后,通过与其他可用数据集进行交叉验证,审查数据在各利益相关方群体或证据基础之间的一致性。若发现显著分歧(例如因动机、技术假设或政策视角不同所致),则需突出显示、置于具体语境中并予以记录。若未观察到重大分歧,分析将直接进入结果整合阶段。观点比较主要在向多个利益相关方类别提出相同问题时进行。此类比较是突出类似议题上不同认知的极佳工具,从而确定行动要点,以建立对利益相关方观点的平衡看法。这对于提高产品和服务的市场接受度,以及促进其网络安全和市场成熟度至关重要。
在简短的配置中,观点比较通常仅限于识别并记录明显的共识或分歧,以确保不同视角得到标注。在详尽的配置中,则更侧重于理解分歧的根本原因,这可能涉及联系利益相关方以求澄清,或开展有针对性的二次研究,以便对立观点置于具体语境中加以理解。
3.8.5 验证
在数据分析阶段完成后,将进行核查,以确保处理后的数据、发现及解读具有连贯性、可靠性,并与分析目标保持一致。验证旨在确保数据的一致性及充分代表性。
在简短配置中,此验证在内部进行,重点在于确保在现有证据基础上,洞察具有实证依据且可付诸行动。
在长周期配置中,验证过程可能扩展至外部同行评审,以检验所产生洞察的可信度和适用性,特别是在分析揭示出有争议或出乎意料的发现时。
3.8.6 准备后续工作
本步骤的最后是准备因数据分析阶段可能产生的任何必要的后续措施。
在简短配置中,后续工作通常仅限于记录任何悬而未决的问题或数据中的不一致之处,这些内容可为未来的研究提供参考。
在详细配置中,则会建立更结构化的方法,可能包括规划额外的数据收集环节、安排与利益相关者的后续磋商以澄清具体见解,或设计补充分析练习以解决已识别的缺口或不确定性。
3.9 第7步:呈现与传播结果(计划)
最后一步涉及整合研究发现,并确保能将其有效传达给相关利益相关者。此步骤同时支持内部学习过程及数据的未来再利用,通过反思与战略性知识转移,完成市场分析周期。本步骤的具体行动如下,随后将进行说明:
行动7.1 – 编制分析报告;
行动 7.2 – 可视化关键结论(如适用);
行动 7.3 – 传播结果(如适用);
行动 7.4 – 评估传播活动的有效性(如适用);
行动 7.5 – 知识转移(如适用)。
3.9.1 行动7.1:编制分析报告
首要任务是起草主报告。该文件应阐述分析的目的和范围、采用的方法、得出的结论及其影响。如果分析结果通过了内部质量控制,则在报告中添加结论和技术附件。否则,在报告完成前需实施质量控制循环。
在简版配置中,报告通常简明扼要,附件仅限于提供必要的佐证材料。执行摘要旨在便于即时传播。
在详版配置中,报告更为全面,包括深入的方法论细节、对发现结果的扩展讨论,以及针对不同利益相关方关切而定制的章节。在最终定稿前,可能包含多次内部审查迭代,以确保内容的深度和精准度。
3.9.2 行动 7.2:可视化关键要点(如适用)
此步骤包括在必要时创建视觉元素(图表、图表、信息图),以帮助读者更好地理解主要信息。如果认为无需进行可视化处理,则分析将直接进入传播阶段。建议确保视觉元素在视觉风格上保持一致,以提高结果的可读性。
在简短配置中,可视化通常包含数量有限但影响深远的图表,以提炼核心发现。
在详细配置中,可视化工作更为精巧,会融入定制设计的信息图。
3.9.3 行动 7.3:发布结果(如适用)
在适当情况下,应将报告(包括以图表形式呈现的结果概述)分享给外部利益相关方。若需对外发布,应明确界定发布范围和渠道。若无需对外发布,则仅向内部利益相关方发布结果,并继续推进后续流程。
在简短配置中,发布通常直接且重点明确,仅通过简单直接的渠道进行。
在详细配置中,发布策略更为广泛和多样化,可能包括针对不同利益相关方群体量身定制的演示、网络研讨会或定向简报。
3.9.4 行动 7.4:评估传播活动的有效性(如适用)
随后,团队将评估研究成果是否已触达目标受众并产生了预期影响,例如通过关键绩效指标进行评估。如果认为有必要监测传播活动的有效性,则部署适当的反馈工具。
在简短配置中,通常基于密切相关利益相关者的即时反馈,以非正式方式评估传播效果。
在长期配置中,可能会进行更结构化的评估,包括开展评估调查、收集用户反馈,并在适用时测量点击量/下载量。
3.9.5 行动 7.5:知识转移(如适用)
如果内部利益相关者、合作伙伴或未来的分析可以从研究结果中受益,则应准备并分享结构化的模板和操作指南。这确保了机构记忆,并促进了知识的再利用。
在简短模式下,知识转移可包括简短的内部总结或附有注释的文档。
在长篇模式下,知识转移可以更加规范化,包括操作演示、针对相关部门的专项培训,以及制作可重复使用的模板或指南,以指导未来的分析工作。
3.9.6 行动 7.6:收集经验教训
最后,该流程以识别关键经验教训作为收尾,既包括行之有效的方法,也包括需要改进之处。
在简短模式下,经验教训通常以非正式方式收集,往往通过内部团队反思或流程结束后撰写的笔记来实现。
在长周期配置中,生成经验教训的正式工作可能包括举办结构化研讨会、收集利益相关者的反馈,以及编制专门报告以记录可用于完善 ECSMAF 方法论或其在后续周期中应用的见解。
3.9.7 验证
在成果传播和知识转移之后,将进行最终核查,以确保所有产出在质量、相关性和战略契合度方面均符合预期标准。
在短期配置中,此最终审查为内部审查,旨在确认交付成果已得到适当分享且文档完整。
在长期配置中,验证还可能涉及对产出的外部审查,或由ENISA相关治理机构进行正式签批,尤其当研究结果旨在为高风险政策或公共讨论提供依据时。
3.9.8 准备后续工作
分析结束后,团队将根据利益相关方的反馈或分析过程中发现的新趋势,为可能需要的后续措施做好准备。
在简短配置中,后续准备工作可能仅限于记录未来分析的建议。
在详细配置中,可能会制定一份结构化的后续路线图,明确需要深入调查的潜在领域、进一步与利益相关方互动的机会,以及随着新数据的出现或市场状况的变化而刷新或更新分析的机制。
4. 应临时请求开展的分析(短期与长期)
应临时请求开展的分析,也称为“临时分析”,是针对利益相关方提出的具体需求,或由网络安全事件和事故所凸显的问题而启动的。根据时间限制、紧急程度以及所需的范围和深度,此类分析的周期可长可短。
短期临时分析旨在利用现有数据提供快速、有针对性的洞察,且利益相关方参与度较低;而长期分析则允许进行更彻底的调查,包括更广泛的利益相关方咨询、更深入的验证以及更细致的发现。
本章描述了响应临时请求进行市场分析的步骤。为了提高框架的可读性和实用性,本章不再回溯前一章(关于计划性分析)的内容,而是对响应临时请求进行分析时应采取的每个步骤和行动进行了完整描述,即使这会导致内容重复。图5概述了临时分析的步骤和行动。
图5:响应临时请求的分析所涉及的步骤和行动概述
4.1 响应临时请求的短期与长期分析之区别
本路径适用于非计划性分析。响应临时请求的分析是为满足利益相关方提出的具体需求,或根据机构优先事项而开展的。根据所需工作量、时间限制及其预期产出,此类分析可分为短期或长期。
原则上,短期和长期临时分析包含的步骤数量相同。主要区别在于这些活动所投入的工作量。
简短的临时分析通常具有反应性且流程紧凑:它利用现有数据和预先定义的范围分类,避免耗时的利益相关方沟通,最终产出简洁的成果。相反,长期的临时分析则更深入、更广泛地关注诸如细分范围界定、利益相关方咨询、多方验证以及将结果整合为综合性交付成果等步骤。这种区别并不在于分析本身的严谨性或质量,而在于受时间限制,其迭代程度、利益相关方参与度以及所需数据可视化的复杂性存在差异。
“框架概述”一章中的图表展示了短期与长期分析各步骤所分配时间的差异:图2提供了各步骤的参考时长,而图3则展示了短期与长期临时分析在时间分配上的差异。
4.2 针对临时请求的分析中的周期性与持续性市场监测
针对临时请求进行的分析可能是单次性的,也可能是周期性的。换言之,如果收到请求,该分析可能会随时间推移而重复进行。此外,在针对临时请求的分析背景下,也可以考虑进行持续性市场监测。
关于周期性分析与持续监测的内容,详见“实现市场分析连续性:周期性分析与持续市场监测”一章。
4.3 步骤1:启动分析(临时请求)
基于临时请求的分析的第一步是启动分析,为此需从请求方收集尽可能多的必要信息(例如分析要求、利益相关方)。需评估该请求与 ENISA 战略优先事项的一致性。此阶段为确定分析范围奠定基础,并确保分析的相关性、可行性和连贯性。
本步骤涉及的行动如下,并在后续章节中进行说明:
行动 1.1 – 收集请求方的需求;
行动 1.2 – 确保与 ENISA 优先事项保持一致。
4.3.1 行动 1.1:收集提出者的需求
分析首先对提交的请求进行审查,审查时使用模板(参见附件 C“请求模板”)。需对请求进行审查以确定各项参数,例如目标市场细分、分析的预期重点、分析需解答的问题、相关背景要素(如法律和政策框架)、分析的预期时间跨度,以及关于数据收集方法的任何偏好。委托方关于分析预期用途的信息(例如用于确定资金优先级、评估监管措施/影响)具有参考价值。本阶段的目标是评估请求是否包含所有必要信息,且结构是否足够清晰,以确保分析过程可行且重点明确。
如果请求清晰且包含所有必要信息,则分析师可继续执行步骤 1.2(确保与 ENISA 的优先事项保持一致)。否则,将采取以下步骤:
若请求含糊不清或缺乏技术细节,将启动内部澄清流程,通过与请求方沟通以完善输入内容。随后对修订后的请求进行重新评估。
如果请求范围过于狭窄(例如仅针对某项小众技术或孤立的利益相关方群体),将进行范围界定工作,随后对请求进行重新评估。
若请求涉及多个领域或问题,则将其拆分为子请求。每个子请求将根据 ENISA 的内部分类进行分级处理,并配合请求方迭代优化分析范围。随后对请求进行重新评估。
一旦请求内容清晰且包含所有必要信息,分析师即可进入步骤 1.2:确保与 ENISA 的优先事项保持一致。
虽然这一步骤的原理相同,但简短配置与详细配置之间仍存在一些差异。
在简短配置中,对请求的评估以及任何必要的澄清通常通过与请求方的一次互动来完成,从而确保迭代次数最少,以加快流程。
相比之下,长流程配置允许与请求者进行多次沟通,并在必要时引入内部或外部领域专家,协助完善复杂或多维度的请求。
4.3.2 行动 1.2:确保与 ENISA 优先事项保持一致
一旦确认请求内容完整且结构合理,下一步便是评估该请求是否符合ENISA的战略目标及当前工作重点。这包括评估该请求是否符合该机构的使命,是否契合当前的重点主题领域,以及是否有助于为欧盟网络安全政策提供决策依据所需的证据基础。
随后将进行条件性核查,重点关注时间安排和资源可行性。如果请求的紧迫性与ENISA的规划周期和可用资源相兼容,分析将进入范围界定阶段(步骤2)。若出现冲突(例如:紧急程度极高但现有能力无法切实处理的请求),将与请求方及ENISA管理层协商,寻求满足该请求的可能方案(例如:调配额外资源、重新评估ENISA优先事项、调整规划)。达成一致后,在推进前将再次进行一致性核查。
这种对齐流程在简短配置和详细配置中也存在差异。
在简短配置中,对齐检查旨在在较短的时间内得出明确结论,以保持分析的可行性。
然而,详细配置则允许对对齐情况进行更彻底的核查,包括与ENISA的年度优先事项进行交叉核对、与相关内部部门进行协调,以及在涉及战略敏感性时通过专家咨询进行验证。
4.3.3 验证
在步骤1结束时,将进行核查以确保已充分验证了初始请求及其与ENISA优先事项的一致性。
在简短配置中,此验证通常在内部进行,由核心分析团队根据优先级标准进行快速交叉核对。
在长流程配置中,验证步骤可能包括与额外的内部及外部利益相关方或战略顾问进行磋商,以确认继续进行分析的一致性和战略价值。
4.3.4 准备后续工作
此步骤还为潜在的后续措施奠定基础:初始请求、所做的任何澄清以及对齐决策的依据均被系统地记录下来。
这确保了,即使在简短配置中,若未来出现新的优先事项或需在后续周期中重新审视分析结果,基础决策及依据也具有透明度和可追溯性。
在长配置中,可建立额外的跟进机制,包括与请求方或相关ENISA部门临时安排阶段性核查。
4.4 步骤 2:确定待分析的市场细分领域(临时请求)
在收集请求方的要求并将其与 ENISA 的优先事项对齐后,分析师将确定待分析的市场细分领域。此步骤确保在现有资源和利益相关方期望的条件下,分析的重点既可行又具有分析上的可靠性。本步骤涉及的行动如下,并在后续章节中进行说明:
行动 2.2 – 考虑资源可用性;
行动 2.3 – 确定相关的范围界定类别和范围界定标准。
4.4.1 行动 2.1:考虑资源可用性
分析人员首先评估分析工作的实际限制,包括可用时间、内部专业知识以及动员相关利益相关者的能力。这些因素将用于校准研究的预期深度和广度,确保研究范围在现有运营能力范围内具有现实可行性。需进行条件性核查,以确定拟议的分析是否与以往的分析具有可比性。如果研究范围和分析背景与以往工作一致,则关于资源需求的底层假设只需稍作调整即可沿用。在这种情况下,流程将直接进入范围界定阶段。然而,如果分析围绕一个熟悉的主题展开,但分析目标不同,则需相应调整资源规划。
资源评估严格聚焦于满足具体请求所需的内容,不涉及更广泛的战略考量。资源评估的深度取决于配置是简短型还是长篇型。
在简短型配置中,评估仅限于内部专业知识和现有数据源,避免任何新的能力建设或外部咨询。重要的是要与请求方确认,他们能否为分析提供有用的资源和数据源。
在长配置中,将进行更周密的评估以应对新颖或复杂的分析需求,包括在ENISA内部及/或与外部专家进行磋商,但始终应与请求所界定的范围及请求方的要求相称。
4.4.2 行动 2.2:确定相关的范围划分类别及标准
在资源考量到位后,接下来的任务是界定市场分析的分析框架。这涉及选择适当的范围划分类别和标准,以构建后续分析的结构。
所选的范围划分类别及其调整,取决于请求中突出的当务分析需求。
随后将进行条件性核查,以验证现有的ECSMAF范围划分类别是否足以满足临时请求中提出的分析目标。若足够,则分析进入下一步(步骤3:分析市场细分)。若市场细分需要对框架进行微调(例如重新排序标准或引入新的主题重点),则在明确记录与标准配置的偏差的同时进行这些调整。一旦修订后的类别确定,分析师便进入下一阶段。
在简短配置中,应尽可能少地调整标准ECSMAF范围界定标准,除非请求方明确要求使用可比材料。在详细配置中,分析师可调整分类体系以更好地契合请求的细微差别,但该过程仍基于请求由内部驱动,且无需经过多轮验证。
4.4.3 验证
在步骤 2 结束时,将进行核查,以确认资源计划和选定的范围界定类别是否连贯、充分,并符合临时请求所要求的分析目标以及 ENISA 的优先事项。
在临时分析中,验证工作仅在内部进行,但其规模会根据配置进行调整。
在简短配置中,验证仅限于核心团队进行的基本合理性核查。
在扩展配置中,验证可能涉及针对范围界定标准的额外内部审查或简要专家反馈,特别是当这些标准经过重大调整时。
4.4.4 准备后续工作
后续工作的准备程度与分析的深度成正比。在与请求方互动过程中获得的任何有价值的经验均应记录在案,以备将来使用。
在简短配置中,后续工作仅限于内部备忘录。
在详细配置中,将保留关于潜在数据缺口或未来范围界定选项的简要记录,并转交请求方供其日后参考。
4.5 步骤 3:分析市场细分(临时请求)
在确定并验证了分析范围后,分析工作将转向对所选市场细分的特征描述。步骤 3 的目标是建立对该细分市场的扎实且有条理的理解。该过程遵循一系列逻辑清晰的调查步骤,每一步都旨在为形成连贯的市场概况提供依据。市场细分的分析基于已有的数据进行。随后,可根据第 5 步收集的补充数据,酌情对该分析进行优化。
在针对临时请求进行的分析中,第 3 步遵循与计划分析路径相同的分析步骤序列。主要区别在于定制化和规范化的程度,这取决于具体请求以及分析的配置(简短或详尽)。
本步骤涉及的操作如下所列,并在后续章节中进行说明:
行动 3.1 – 识别基础设施;
行动 3.2 – 识别资产;
行动 3.3 – 识别价值栈要素;
行动 3.4 – 识别相关威胁;
行动 3.5 – 识别安全需求;
行动 3.6 – 识别市场挑战;
行动 3.7 – 识别利益相关方。
4.5.1 行动 3.1:识别基础设施
首要的分析任务是绘制支撑所选市场细分领域的基础设施图谱。这包括定义该细分领域架构的技术组件、系统、平台、所提供服务及运行环境。如果所需信息可直接获取(无论是通过现有研究、利益相关方的意见还是请求方提供的文档),则直接绘制基础设施图谱。若缺乏可靠数据,则需根据既定范围绘制新的基础设施图。该图将作为后续资产识别工作的基础。
在响应临时请求的分析中,基础设施绘制可予以简化,例如当分析重点较为狭窄或该细分市场已广为人知时。
在简短配置中,绘制工作基于现有研究、先前绘制的图或请求方提供的信息进行,除非绝对必要,否则不引入任何额外的基础设施细节。
在详细配置中,可深化基础设施测绘工作,包括在适当情况下进行原始数据采集或聘请专家。具体细节程度取决于请求中定义的特定分析需求。
4.5.2 行动3.2:识别资产
在完成基础设施映射后,分析将识别出能够使该细分领域正常运转或支持其内部价值创造的关键资产。这些资产可能包括含有数字元素的产品、数字服务或人力资本。根据分析的时间表,所识别的资产可由相关利益相关方进行交叉验证。若未能达成一致,则在继续推进前,将采用专家三角验证法来完善资产清单。
在处理含数字元素的产品基础设施时(根据《CRA》附件三(含数字元素的重要产品)和附件四(含数字元素的关键产品)将其归类为重要或关键产品),必须识别出可被视为资产的组成部分。
在响应临时请求进行的市场分析中,资产识别的细化程度取决于请求方的要求。
在短配置中,资产通过内部调研进行识别,重点关注对该细分市场运作最为关键的资产。
在详细配置中,该流程可包含结构化分类以及专家和/或利益相关方的意见,但其范围应与请求所要求的深度保持相称。
4.5.3 行动 3.3:识别价值堆栈要素
价值堆栈分析概述了构成组织价值主张的一系列服务的分层结构。价值堆栈将不同的产品、服务、流程或价值流整合在一起,以提升客户或用户所感知到的整体价值。
这种结构化的分解有助于突出相互依赖关系和增值领域。当价值链的结构已经定义或被认可时,应直接进行记录。如果结构模糊或分散,则使用专家意见或替代指标来重建它。对价值堆栈的分析程度,应以满足临时请求的目标为限。
在简易配置中,直接采用现有模型或先前的框架,避免重建价值堆栈。
在扩展配置中,可进行更深入的调查,例如通过专家咨询或使用代理指标来捕捉市场细分领域的分层结构。
4.5.4 行动 3.4:识别相关威胁
通过此项行动,对与所分析基础设施相关的威胁态势进行评估。若该部分涉及关键领域或受监管的指定对象(例如《网络与信息系统安全指令 2》(NIS 2 Directive)下的关键基础设施,或《关键基础设施法案》(CRA)中视为关键的产品),则应扩展威胁清单,将其范围涵盖高影响和低概率的两种情景。若无特定范围限定条件,则在评估框架中将威胁映射为涵盖网络威胁与非网络威胁。
威胁识别方法应与请求方的需求保持一致,并需考虑威胁暴露可能对所分析网络分段资产造成的影响。
在简短配置中,使用现有分类法描述威胁态势,重点关注已知威胁。
在扩展配置中,若符合请求方定义的目标,威胁建模可扩展至包含更多差异化场景或混合威胁视角。
4.5.5 行动 3.5:确定安全要求
本行动侧重于确立基础设施所要求的网络安全要求。
如果利益相关方已采用符合这些要求的公认基准,则应将其记录并纳入分析。此外,根据分析范围,还应考虑新兴的、由社区推动的标准以及标准化机构(例如开源管理机构)开发的合规工具包中所涉及的要求
若存在可比的过往分析,可复用类似领域中的要求和控制措施。网络安全要求的识别取决于临时请求的全面程度。
若请求方已确定要求及基准,则予以记录。若存在可比的过往要求分析,可予以复用。在新型案例中,利用二手数据推导出临时安全要求清单,随后通过专家参与或利益相关方咨询进行验证。
在简短配置中,安全要求基于现有标准或ENISA的先前成果进行确定。
在长配置中,必要时可确定定制化安全要求,并通过专家或利益相关方进行验证。
4.5.6 行动 3.6:识别市场挑战
随后对市场挑战进行评估,以识别影响该细分市场的系统性或运营性障碍。市场挑战将根据请求中规定的分析深度进行梳理。
影响该细分市场的系统性或运营性障碍可能涉及市场碎片化、激励机制缺失、市场准入壁垒、技能短缺、监管漏洞、行业成熟度(如适用)、技术不成熟(由技术与创新雷达确定)、网络安全风险(例如通过市场趋势或消费者投诉体现)、创新差距等。若存在已知挑战,则按类型和市场影响进行分类。若未发现明显挑战或相关信息不可用,分析将直接进入利益相关者映射阶段。
在简短配置中,挑战通过案头研究和现有数据识别。在详细配置中,可借助专家意见或简易分析框架对系统性障碍进行优先级排序或分类。
4.5.7 行动 3.7:识别利益相关方
步骤 3(分析市场细分)的最后一项行动是梳理参与该市场细分或受其影响的各方。
针对临时请求进行的分析中的利益相关方梳理,其范围应与委托方商定的分析范围相匹配。
此类梳理通常包括供给方和需求方的利益相关方、监管机构以及研发机构。
在识别利益相关方时,应特别关注初创企业和成长型企业,因为它们在创新中发挥着重要作用。
如果利益相关方的角色和关系已经明确,则直接进行绘制。如果不明确,则使用权力-利益矩阵等结构化工具对利益相关方群体进行分类,以确保充分捕捉其角色,从而促进后续的互动。
在简短配置中,绘制工作侧重于关键的机构和市场参与者。
在长配置中,映射范围可扩展至新兴参与者,并在必要时借助分类工具进行支持。
4.5.8 验证
在步骤3结束时,需进行核查以确保市场细分特征描述的完整性和准确性。
在临时分析中,验证工作将根据具体配置进行调整。
在短配置中,验证工作在内部进行,若相关数据可用或具备足够的专业知识,可选择性地进行专家核查。
在长配置中,验证包括来自相关专家或内部部门的结构化反馈,并确保与请求方明确达成的共识保持一致。
4.5.9 准备后续工作
本步骤以准备后续措施为结尾,特别是针对已识别的数据缺口、存在争议的结论、需要进一步调查的领域,以及在适当情况下与请求方共同继续进行分析。此外,新的威胁或要求以及任何其他相关信息将被添加到内部知识库中。
在简短配置中,后续措施将作为建议或供请求方未来探索的可选领域予以记录。
在详细配置中,将概述潜在后续措施的基本计划,涵盖任何数据缺口、新出现的问题或可在未来周期或相关研究中解决的额外分析维度。
4.6 第4步:描述“内容”与“方法”(临时请求)
在确定分析范围后,第4步涉及明确指导性问题、识别相关数据源并选择适当的数据收集方法。本步骤的目标是确保后续的数据收集及相关利益相关方参与工作具有针对性、相关性,并适应分析背景。
在响应临时请求的分析中,利益相关方参与的准备工作与计划性分析中的步骤顺序相同。
定制化和规范化的程度将根据请求的具体要求以及所选配置(简版或详版)进行调整。
本步骤涉及的操作如下,并在后续章节中进行详细说明:
操作 4.1 – 定义问题;
操作 4.2 – 确定数据来源;
操作 4.3 – 确定数据收集方法并准备数据收集工具。
4.6.1 行动 4.1:确定问题
分析师首先根据步骤 1 中从请求方收到的输入以及可用的资源,拟定一套问题。
在响应临时请求进行的分析中,指导性问题的拟定直接取决于请求方的优先事项、可用的资源以及前几个步骤中确定的分析范围。
问题应反映分析的具体范围,并根据所涉及的利益相关方类型进行调整。如果请求方的优先级、范围和利益相关方与ENISA先前某项市场分析相似,则可重复使用或调整相同的问题。如果范围不同,则应重新调整现有问题的优先级并加以修改。如果涉及新的利益相关方,则应纳入额外的问题。当范围和利益相关方格局均发生显著变化时,则需要对问题集进行全面修订。
在简短配置中,除非涉及新的利益相关方类型,否则将应用预定义或先前使用的问题集,仅进行最小程度的调整。
在详细配置中,问题集可进行定制以反映范围的新要素或利益相关方的视角,但重新设计的程度取决于请求的具体性,而非更广泛的探索性目标。
4.6.2 行动 4.2:确定数据来源
一旦确定了问题,分析师便需确定解答这些问题所需的数据来源,并编制一份数据来源清单以支持分析工作。在临时性分析中,数据来源的梳理应与分析范围及信息获取情况相适应。
数据来源可能包括ENISA以往的研究报告、学术文献、监管文件、官方统计数据库、专有数据集、专家联络渠道以及特定行业的洞察。在此阶段梳理数据来源有助于构建利益相关方参与机制,并确保利益相关方的输入能够补充现有证据,而非重复已有内容。
在梳理数据来源时,分析师应考虑数据是基于自愿提供,还是作为结构化强制报告机制的一部分;以及数据是临时性提供,还是定期提供。
在短配置中,分析师应侧重于立即可用、经过验证且可访问、且直接适用于请求的数据来源。
在长配置中,可绘制更广泛的数据来源,包括非正式或新兴的数据集;但绘制工作仍应聚焦于分析目标,除非明确要求,否则不包含全面数据
4.6.3 行动 4.3:确定数据收集方法并准备相关工具
最后一项准备工作涉及选择数据收集方法并设计相应的工具。在临时分析中,数据收集方法和工具的选择直接受到待产出成果、委托方设定的参与期望以及时间表的影响。
若需要且可行,将开展详细调查;若时间较为紧张,则组织重点访谈或主持研讨会;若预计参与度有限,则应采用更精简的方法,利用公开数据或来自其他来源的现有数据(包括ENISA收集的数据或来自其他外部来源的数据),并结合简短调查和专家验证环节。随后,通过设计精良且符合先前定义的范围和问题的研究工具,将所选方法付诸实施。
在确定数据收集方法并准备相关工具时,必须采取措施确保数据三角验证、偏见缓解及数据质量。
在简短配置中,分析师选择简便的方法,通常改编现有的调查或访谈模板,以最大限度地减少准备时间和复杂性。
在长篇配置中,方法选择更为灵活,流程可能包含多种数据收集技术的组合。
4.6.4 验证
步骤 4 以一项检查作为收尾,旨在确保数据的一致性和质量,同时也确保其具有充分的代表性。此外,该检查还确保分析设计的稳健性,并确保其既符合分析范围,又符合请求方的分析目标。针对让利益相关方参与临时分析的设计验证,其实施程度将根据具体配置进行调整。
在简短配置中,验证工作由内部完成,确保与范围和资源计划保持一致,无需正式征求利益相关方的意见。
在详细配置中,验证工作可能涉及选定专家或内部评审员的针对性反馈,特别是在方法或问题集已超出标准实践进行定制的情况下。
4.6.5 准备后续工作
此步骤包括为潜在的后续措施做准备。
在简短配置中,仅简要记录关于潜在参与缺口或预期局限性的备注,但不建立正式的结构化后续机制。
在详细配置中,可制定简单的后续计划,概述与利益相关方再次互动、进一步的数据收集或替代参与策略的可能性,特别是在分析预计利益相关方响应率存在差异或数据需求较为复杂的情况下。
4.7 第5步:收集数据(临时请求)
在确定了数据来源和数据收集方法,并准备好相关工具(例如欧盟调查工具)后,分析工作将进入数据收集阶段。此阶段可能需要直接与利益相关方沟通,以获取针对准备阶段所定义问题的反馈。其目的是收集可靠且有针对性的信息,以丰富文献研究,并为制定扎实的市场分析提供支持。
市场分析师可通过多种途径和来源收集分析所需的数据。他们可以开展一手研究或二手研究
一手研究通过问卷调查、访谈、焦点小组和观察等方式进行。这些活动由市场分析的发起人(即数据所有者)直接执行。问卷调查、访谈和焦点小组都是一手(或实证)研究的例子。
二手研究是通过从现有来源收集数据进行的,例如在线社区、承包商以及自动/手动开源搜索。市场分析负责人并不拥有通过二手研究收集到的材料。文献综述是二手研究的一个例子。
在响应临时请求进行的分析中,步骤5的整体结构与计划性分析路径中的步骤5相同。
数据收集方法需根据分析的类型(简短或详尽)以及请求的具体要求进行调整。本步骤的操作为操作5.1(收集针对已定义问题的答复)。
4.7.1 行动 5.1:收集针对已定义问题的答复
采用选定的方法开展利益相关方参与工作。在响应临时请求进行的分析中,利益相关方参与应直接与前期步骤中商定的分析范围和深度保持一致。
无论采用何种方法,收集到的输入信息均应进行系统记录,并检查其一致性。
在此阶段,必须通过适当的文件记录来追踪数据收集方法。这包括记录所使用的工具、利益相关方的遴选标准、利益相关方参与的形式,以及任何偏离计划流程的情况。
与此同时,所有数据收集活动必须符合相关法规要求,例如关于利益相关方参与、数据隐私及知识产权的规定。这包括获取知情同意、在适用情况下确保保密性,并使参与方式符合欧洲网络与信息安全局(ENISA)的道德标准和监管义务。
在简短配置中,数据收集主要基于次级数据的使用以及与特定利益相关方群体的互动,优先考虑对分析至关重要的群体。
在长周期配置中,可根据请求目标的适宜性,结合访谈和焦点小组等方法,与更广泛且更具多样性的利益相关者群体开展互动。相关方法论以及任何偏离原始计划的情况均需更全面地记录,但仍需根据所需的分析深度进行定制。
在两种配置中,数据隐私、知情同意、知识产权和保密性均持续适用,并符合ENISA的道德标准。
4.7.2 验证
针对临时请求进行的分析中,数据收集的验证工作将根据配置进行调整。
在简短配置中,验证仅限于分析团队的内部审查,以确保答复充分回应了指导性问题。
在长配置中,验证可包括向选定的内部利益相关方(及相关外部专家)分享答复摘要,以确认所收集数据的完整性和准确性。
4.7.3 准备后续工作
数据收集工作以准备潜在的后续措施为结尾。在此阶段,需记录工具使用情况及利益相关方的答复(包括质量和一致性)等经验。
在简短配置中,后续措施为非正式性质,侧重于澄清初步数据审查中发现的任何即时不一致或缺失。
在长配置中,将制定更结构化的后续计划,概述需要进行额外的参与轮次、有针对性的数据请求或进一步磋商,以解决数据集中的任何未决问题或缺失。
4.8 第6步:分析数据(临时请求)
数据收集完成后,分析工作将进入对所收集信息进行处理和解读的阶段。此步骤通过跨数据源的交叉验证、数据标准化以及将其转化为有意义的洞察,确保数据能够被有效利用。
在响应临时请求的分析中,数据分析的结构与计划分析路径相一致。
所使用的工具、解读的深度以及验证机制,均根据请求的具体目标和所选配置进行调整。
本步骤涉及的操作如下,并在后续章节中进行详细说明:
操作 6.1 – 准备数据分析工具;
操作 6.2 – 处理收集到的数据;
行动 6.3 – 识别有价值的发现;
行动 6.4 – 比较观点(如适用)。
4.8.1 行动 6.1:准备数据分析工具
在分析开始前,必须根据所收集数据的类型、可用时间、期望的洞察深度以及结果呈现方式,选择并准备适当的数据分析工具。这些工具可能包括结构化模板、定性编码方案(用于对文本或访谈数据进行分类和标记的系统)(或定量处理工具(用于处理数值数据并进行统计分析的工具)。
在简易配置中,工具选自现有模板或ENISA内部已使用的实用程序,重点选择那些无需大量定制即可实现高效处理和数据可视化的工具。
在高级配置中,分析师选择或调整能够处理多种数据类型并支持更复杂分析和可视化选项的工具。工具的功能应符合请求的具体要求,而非追求高级用途。
4.8.2 行动 6.2:处理收集到的数据
随后对原始数据进行整理、清理和结构化处理,以利于解读。这包括去除冗余信息、统一格式,并以能够实现跨来源有意义比较的方式对信息进行聚类。针对临时请求进行的分析中的数据处理,其范围仍与分析范围相称。
在简易配置中,数据经过标准化和格式化处理以便直接解读,优先考虑操作就绪性而非方法论深度。
在长周期配置中,数据处理包括更彻底的清理、编码和结构化,以支持多维度比较,但始终受限于最初确定的分析需求。
4.8.3 行动 6.3:识别有价值的发现
下一步是提取有价值的发现,例如关于需求、供给、相关趋势、差距、依赖关系、含数字元素的特定产品类别带来的网络安全风险(针对此类产品可组织专项排查)或可能揭示该细分市场关键动态的异常情况等关键发现。
这些洞见可能源于利益相关方的共识、定量趋势,或是挑战传统假设的异见。在临时分析中,发现的提取取决于配置模式。
在简短配置模式下,重点仍在于识别与市场特征直接相关的清晰、高层次的趋势和洞见。
在详细配置模式下,分析师将探索更细微的趋势和关联性,这可能涉及多轮内部审查或咨询(范围经过刻意限定,以避免超出请求方目标的不必要扩展)。
4.8.4 行动 6.4:比较观点 (如适用)
最后,需审查数据在各利益相关方群体或证据基础间的一致性(通过与其他可用数据集进行交叉验证)。若出现显著分歧(例如因动机、技术假设或政策视角不同所致),应予以突出标注、置于具体语境中并记录在案。若未观察到重大分歧,分析将直接进入结果整合阶段。
针对利益相关方反馈或数据源的发现进行比较的过程,将根据交付成果的预期深度进行调整。比较观点旨在识别并记录明确的一致性或不同意见,确保对不同的视角进行标注。
在简短配置中,会标注并记录分歧,但除非对分析至关重要,否则不会进行深入分析。
在详细配置中,将深入探讨利益相关方观点之间的显著分歧与一致性,这可能涉及重新与利益相关方沟通,或开展有针对性的二次研究以阐明对立观点的背景。
4.8.5 验证
在数据分析阶段完成后,将进行核查,以确保处理后的数据、研究结果和解释具有连贯性、可靠性,并符合分析目标。验证旨在确保数据的一致性和充分代表性。
在简短配置中,验证由核心团队内部进行,以确保研究结果合理且可直接用于交付成果。
在简短配置中,验证可能包括征求专家反馈或进行内部交叉审查。
4.8.6 准备后续工作
本步骤以准备数据分析阶段可能产生的任何必要后续措施为结尾。
在简短配置中,后续工作采取非正式形式,将任何未解决的问题或数据缺口作为观察结果记录下来,供未来可能的工作参考。
在长流程配置中,将起草更结构化的后续跟进框架,明确可能需要补充的数据、进一步的利益相关方咨询或分析,以便在未来分析轮次或相关请求中完善研究结果。
4.9 第7步:呈现与传播结果(临时请求)
这一最后步骤涉及整合分析结果,并确保能够有效地向相关利益相关者传达。此步骤同时支持内部学习及数据的未来再利用,通过反思和战略知识转移,完成市场分析周期。
在响应临时请求进行的分析中,结果传播的流程与计划性分析路径中的步骤顺序相同。
分析范围、规范化和产出将根据临时请求及分析配置进行调整。
本步骤涉及的行动如下,并在后续章节中进行说明:
行动 7.1 – 编制分析报告;
行动 7.2 – 可视化关键结论(如适用);
行动 7.3 – 传播结果(如适用);
行动 7.4 – 评估传播活动的有效性(如适用);
行动 7.5 – 知识转移(如适用);
行动 7.6 – 总结经验教训。
4.9.1 行动 7.1:编制分析报告
首要行动是起草主报告。该文件应阐述分析的目的和范围、所采用的方法,以及已识别的发现及其影响。如果发现结果已通过内部质量控制,则在报告中添加结论和技术附件。否则,在完成报告之前,需实施质量控制循环。
在临时分析中,报告格式由请求配置选项所要求的具体性和深度决定。
在简短配置下,报告保持简洁,侧重于关键发现,附录数量有限。
执行摘要旨在使请求方能够快速理解并立即使用。
在长配置中,报告内容可更为详尽,包含详细的方法论说明以及针对不同利益相关方的定制章节,但详细程度仍需与请求目标相称。
4.9.2 行动7.2:可视化关键要点(如适用)
此步骤包括在必要时创建视觉元素(图表、图表、信息图),以加深对主要信息的理解。如果认为无需可视化,则分析直接进入传播阶段。建议确保视觉元素的风格和外观保持一致,以提高结果的可读性。
在简短配置中,可视化元素仅限于能够简洁呈现核心洞察的核心图表,并尽可能采用现成的标准可视化模板。
在详细配置中,可视化设计更为定制化,可能包含量身定制的信息图,但通常仍专注于在具体请求的范围内提升利益相关方的理解。
4.9.3 行动 7.3:发布结果(如适用)
针对临时分析请求的结果发布流程,应直接与请求中指定的目标受众相匹配。
在简短配置中,发布方式直接,采用简明渠道,且仅限于请求方及任何直接相关的利益相关者。
在详细配置中,结果可能发布给更广泛的受众,但其分发仍需遵循请求方的预期。
4.9.4 行动 7.4:评估传播活动的有效性(如适用)
在响应临时请求进行的分析中,请求方通常会评估传播的有效性。
在简短配置中,传播的有效性通常通过请求方或直接参与分析的利益相关者的非正式反馈来衡量。
在长周期配置中,可实施更系统的评估,例如收集有针对性的反馈或简单的使用指标(点击量/下载量)。
4.9.5 行动 7.5:知识转移(如适用)
在简短配置中,内部知识转移是非正式的,通常仅限于内部备忘录、简报或存储在内部存储库中的成果。
在长篇配置中,可以进行更正式的知识共享,包括文档模板或为相关ENISA团队举办的专项会议,特别是当该主题可能反复出现或具有更广泛的战略意义时。
4.9.6 行动 7.6:收集经验教训
最后,该流程以识别关键经验教训为结尾,既包括行之有效的方法,也包括可改进之处。在短期配置中,经验教训以非正式方式记录,例如通过团队总结会或简短的分析后反思。
在长周期配置中,可从团队及选定利益相关方的结构化反馈中收集经验教训。根据分析的复杂程度,这些内容可纳入分析模板或方法的更新中。
4.9.7 验证
在成果发布和知识转移之后,将进行最终核查,以确保所有产出在质量、相关性和战略契合度方面均符合预期标准。在临时分析中,发布后的验证仍取决于具体配置。
在简短配置中,最终验证由分析团队进行内部质量检查,以确保产出符合委托方的预期。
在长配置中,可增加一个额外的审查步骤(涉及外部专家(如请求方同意)或内部利益相关方),特别是当交付成果涉及敏感内容或旨在为更广泛的机构优先事项提供依据时。
4.9.8 准备后续工作
分析结束后,团队应根据反馈(特别是来自请求方的反馈)或分析过程中识别出的新兴趋势,准备可能需要的后续措施。
在简短配置中,后续准备仅限于就潜在的进一步调查领域编写非正式备忘录
在长配置中,可制定更结构化的后续路线图,提供深入调查、潜在利益相关方重新参与,或在相关市场细分领域发生变化或收到新请求时更新分析的选项。
5. 实现市场分析的连续性:周期性分析与持续市场监测
在前几章中,介绍了单次市场分析(包括计划性分析和应临时请求进行的分析)。然而,在某些情况下,市场分析需要随时间推移反复进行(周期性分析),甚至需要持续进行以追踪特定时期内的市场动态(持续市场监测,也简称为“市场监测”)。
本框架(ECSMAF V3.0)所涵盖的网络安全市场分析,其核心在于评估各类网络安全市场特征:它提供了建立、界定和执行网络安全市场分析的手段,同时兼顾了各种灵活性要求(例如在时间线、深度、广度及市场利益相关方等方面)。作为一种工具,本框架本身并不涉及关于其使用频率的任何信息,例如在特定产品/服务细分市场中进行长期评估。对分析工具进行周期性或持续性使用的需求,源于必须监测在特定时间跨度内发生的与市场相关的现象。
存在多种类型的事件,这些事件预示着可能出现具有市场影响的现象。下文总结了可能产生市场影响的事件示例。这些事件涵盖了各类可能直接或间接影响特定网络安全产品或服务供需的事件类型。
涉及技术问题的事件。恶意攻击和产品技术故障是影响产品网络安全属性的主要事件。此类事件可能影响产品功能,进而影响产品在市场上的接受度和定位。以硬件为例,漏洞的存在甚至可能导致产品被召回。技术问题的其他例子包括:未满足网络安全要求、产品运行中的薄弱环节、因物理事件导致的故障,或是新技术(如量子计算或人工智能)或新威胁的出现。
鉴于(软件和硬件)产品及其供应链的复杂性,各种被广泛复用的模块发生技术故障可能会影响大量产品。以开源软件(OSS)为例:鉴于OSS的高复用性,漏洞可能影响使用存在漏洞的OSS模块的众多产品,并产生重大的市场影响。
当检测到安全事件时,后续分析应区分以下三类情况:(a) 非商业性、社区驱动型项目中的漏洞;(b) 由正式的“开源软件管理方”(例如基金会)管理且具备明确漏洞管理流程的项目中的漏洞;以及 (c) 符合CRA定义的“制造商”所提供的商业开源软件组件中的漏洞。这一区分对于正确评估市场风险并采取相称的应对措施至关重要。
与流程相关的问题事件。此类事件主要涉及所提供的服务。其中包括导致重大事件的服务缺陷。此类缺陷可能由人为错误、服务流程中的工作流错误、中间系统的技术故障等引起。值得一提的是,运营和维护流程中的缺陷可能会导致技术故障,例如访问权限违规、配置错误和更新失误。
在拥有成熟风险评估流程的组织中,内部活动会通过风险管理框架、风险登记册等手段进行持续监控。一旦发现事件,风险评估和风险管理程序便会启动,以衡量和缓解潜在风险,并采取纠正措施。
涉及财务问题的事件。财务资源的长期可用性是产品与服务开发、维护及改进的关键,进而关系到产品的市场定位。除偿付能力问题外,涉及组织财务的事件还可能包括风险投资的来源、利益相关方结构及其财务政策。利益相关方结构和资本流动可能反映公司控制权的来源(例如是否受欧盟控制)。
鉴于参与公司财务的实体可能对产品开发和维护产生重大影响,因此有必要关注拥有或运营战略性产品的公司的财务结构及财务交易。
涉及产品或公司相关战略问题的事件。许多与公司和/或产品相关的战略问题可能对市场定位和产品质量至关重要。部分示例(非穷举)包括:
o 有关产品供应链的设计决策;
o 人员招聘策略;
o 将产品开发或运营的部分环节分包或外包给其他组织;
o 产品被其他组织接管;
o 公司总部迁往其他国家;
o 公司管理结构及管理委员会的组成与变动。
值得一提的是,一个事件可能由上述多种类型组合而成。例如,与流程相关的事件可能导致技术问题。反之,技术问题也可能由与产品或公司相关的战略问题(如产品设计决策)、财务相关问题或流程相关问题引起。此外,需注意上述事件类型列表仅供参考,还存在其他与地缘政治问题、自然灾害及气候变化影响相关的事件类型。随着在市场分析领域,特别是持续市场监测方面的经验积累,该列表可能会不断增加更多类型的事件。
对这些事件的检测可能会促使开展持续的市场分析工作,以评估在一定时间范围内对产品/服务细分市场(例如关键行业(如能源、医疗))的市场影响。
5.1 定期市场分析
定期市场分析旨在针对特定产品/服务细分市场,在特定时间间隔(例如每月、每年)内生成市场特征的快照。
周期性市场分析是指针对特定行业或产品类别,反复或定期开展范围界定明确的市场分析活动。周期性市场分析既可以按计划进行,也可以根据需要临时开展。计划性周期性市场分析的启动,可能是为了跟进某个重要新兴技术领域(例如人工智能)的市场动态,该领域此前已通过计划性项目进行了初步分析。而临时性周期性分析则旨在评估特定领域内事件所引发的特定类型市场影响(因此其范围更为具体/狭窄)。
某些临时性请求可能会演变为周期性请求,原因可能是请求方意识到需要定期更新,也可能是因为相关主题发展迅速。在这种情况下,框架的应用将相应调整。周期性请求可以利用初始分析周期中建立的分析基础,从而更高效地复用范围划分类别、利益相关者图谱和数据收集工具。这种连续性使分析能够逐步从纯粹的被动响应模式转向半结构化的监测活动。随着时间的推移,可以重新校准迭代和验证的程度,以反映所分析领域日益成熟的状况、对利益相关者动态的日益熟悉,以及纵向数据日益丰富的可用性。因此,该方法论可能会演变为一种混合形式,既融合了临时响应的灵活性,又兼具计划性分析周期特有的连贯性。
周期性分析利用以往的范围界定、数据来源和利益相关方网络,以确保各轮分析的连续性和可比性。这使欧洲网络与信息安全局(ENISA)及其利益相关方能够监测市场趋势,评估威胁、技术及监管影响的变化,并根据经验教训完善分析方法。周期性分析既可以是预先规划的,也可以由与特定事件相关的请求触发,例如重大的政策变化、新兴风险或市场动态的转变。就此而言,周期性市场分析通常需先确定一个事件,并定期评估该事件对市场的影响。
因此,在周期性市场分析中,可采用与一次性分析完全相同的方式,进行范围界定明确的分析,从而定期生成单一市场细分领域的快照。最终,初始分析的范围可进行调整,以适应随时间变化的需求。图6展示了周期性市场分析的一种示意图。
图6和图7中所示的步骤与图1中的工作流程相同。
图6:周期性市场分析的参考时间表
5.2 持续市场监控
在探讨持续市场监控之前,让我们以系统运行监控为例进行类比。在系统运行中,与(通过反复/定期应用分析手段获得的)“快照”不同,持续监控是一种永久性的、(半)自动化的过程,用于追踪系统的状态(通常基于事件检测),其目的是评估系统在运行过程中是否遵守了一套定义好的性能规则。基于收集到的数据,持续监测会检查系统是否按照指定规则运行。一旦检测到表明违反这些规则的事件,持续监测系统将向操作员发出警报。持续监测能够对流程或系统进行永久性控制。一旦持续监测因规则违反而触发警报,就需要进行分析流程以查明根本原因,并确定恢复“正常状态”的应对措施。
在市场分析中,持续市场监测是一项用于观察某现象对相关市场细分领域影响的持续性活动,这是市场观察站内的一项典型任务
值得一提的是,持续市场监测是一项与市场分析相关、但独立、自成体系且永久性的活动:一旦持续市场监测检测到相关事件(即满足监测规则),即可启动市场分析活动,以分析该事件对相关市场产品的潜在影响。鉴于事件的不可预见性及其特定关注点,基于该事件检测结果开展的市场分析很可能是临时性的。
鉴于网络安全市场的日益复杂以及《网络安全法案》(CRA)带来的监管要求,持续的市场监测预计将变得尤为重要。例如,只有通过持续监测,才能在系统性风险升级之前及早发现,对产品、认证和漏洞的变化迅速作出反应,并随着各行业或产品类别的演变,及时发现能力缺口。此外,持续的市场监测还能支持战略前瞻,使欧洲网络安全局(ENISA)和利益相关方能够预判趋势变化,而非被动应对。
持续的网络安全市场监测可能是一项(半)自动化的活动,其中对某些市场事件进行监测(例如:产品的市场状态变化(如证书签发)、公司被收购、产品变更、已认证产品的漏洞等)。一般而言,在开展持续市场监测活动之前,必须制定监测规则——即评估根本原因的方法、针对监测到的事件应采取的市场应对措施等。一旦检测到事件,即可对相关市场启动市场分析。
随着CRA的实施,预计将逐步建立持续的市场监测机制:通过CRA的相关规定(例如要求、软件物料清单、安全控制措施),对重要/关键的产品类别将进行更严格的审查。通过这种方式,具有重大影响的技术性网络安全事件将更容易与产品组件建立关联。与此同时,随着CRA的实施,与产品相关的数据源将更加丰富,从而促进事件、产品组件、供应商和终端用户之间更高效的关联。
持续市场监测与现有网络安全监测系统存在接口,例如网络安全事件响应团队、安全运营中心、应急响应及网络外交。ENISA 后续工作将探讨与这些监测系统的互动关系。图 7 展示了持续市场监测的示意性流程。
图 7:持续市场监测的示意性时间线
5.3 总结
在信用评级机构(CRA)达到一定成熟度之前,预计最常见的市场分析类型仍将是单次(即计划性或临时性)分析,某些情况下也会进行周期性分析。当检测到某事件时,通常会向相关实体(例如 ENISA 或其他开展网络安全市场分析的组织)提出请求,以进行一次性(或在某些情况下为周期性)市场分析,从而评估该事件对市场的影响并确定可能的纠正措施。当相关利益相关方提出具体需求时,也可进行持续的市场监测。不过,预计当供应商通过采用CRA条款达到一定的CRA成熟度水平时,持续市场监测的需求将会出现。
ECSMAF能够满足各种市场分析需求,通过提供支持不同类型网络安全市场分析(包括周期性市场分析和持续市场监测)所需的所有组件,并提供不同详细程度的分析。
6.结论
ECSMAF V3.0 提供了一种实用、严谨且可配置的方法,用于在各种政策和运营背景下开展网络安全市场分析。与早期版本相比,本版具有更强的模块化和可扩展性。
该框架虽是根据 ENISA 的需求设计的,但其结构和逻辑具有普遍适用性,可供寻求提高市场分析透明度、可比性和可重复性的成员国、行业主管部门及其他公共或私营机构采用并加以调整。
在不同配置下应用 ECSMAF 将产生实证反馈,从而明确该框架在哪些方面最为高效、哪些方面需要改进,以及应在哪些方面补充指导、示例或决策规则。
负责开发并维护该框架的ENISA团队将收集相关经验教训。必要时,将发布ECSMAF的新版本,以反映用户反馈,同时兼顾法律和政策的发展以及新的分析技术。ECSMAF将在保持更新的同时,确保其连续性,从而使基于该框架进行的网络安全市场分析在长期内具有可比性和可操作性。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
