随着信息技术的广泛应用,网络攻击事件频发,给社会稳定和经济发展带来了巨大挑战。为了应对这一问题,新加坡于2015年成立了网络安全局(Cyber Security Agency of Singapore, CSA),负责统筹协调全国范围内的网络安全事务。在此背景下,CSA逐步构建和完善了CCC体系,作为一项重要的制度安排,为各类组织提供了明确的指导方针和技术标准。新加坡作为一个高度信息化且经济发达的城市国家,早在多年前便意识到网络安全的重要性,并积极采取措施以确保其关键信息基础设施的安全。为此,新加坡推出了网络安全认证(Cybersecurity Certification Criteria, CCC)体系,旨在为本地企业和机构提供一套标准化的安全评估框架,促进网络安全水平的整体提升,增强公众对数字服务的信任。
新加坡通过建立双边或多边的合作关系,寻求与澳大利亚、法国、德国、卡塔尔、西班牙、挪威等32个国家和地区在网络安全认证方面的互认,CCC认证体系积极借鉴国际上先进的网络安全框架,如ISO 27001等国际标准。
在认证标准的制定上,吸收了国际标准中的合理成分,如信息安全管理体系的构建原则等,确保新加坡的网络安全标准与国际接轨,便于新加坡企业在国际市场上的竞争与合作,降低企业在跨国业务中的网络安全认证成本,同时也提升新加坡在国际网络安全领域的影响力。
CCC认证体系包括一系列标准计划和成认证程序,以下列举其中的几个主要重要内容:
1.2 网络安全标签计划(CLS):
CLS是新加坡网络安全局(CSA)推出的一项针对消费者智能设备的网络安全标签计划,旨在提高物联网设备的安全性,帮助消费者识别具有更好网络安全能力的产品,并做出购买决策。 CLS计划是亚太区首个安全标签计划项目,按照该计划要求,智能消费品级物联网设备将根据其网络安全规定的等级进行评级。此外,新加坡与芬兰在2021年签署互认备忘录(MOU),新加坡内通过CLS第3级以上的物联网设备即可与芬兰运输通信局(Traficom)的网络安全标签互认。同时2022年与德国联邦信息安全办BSI签署互认安排(MRA),只需要符合CLS2级以上即可互认。
评估等级:CLS计划对物联网设备安全形成4个不同等级,同时有4个不同的评估等级,每个评估等级按顺序完成,反映了产品对可能遭受的网络安全攻击抵抗力不断增强。这些评估等级包括安全基线要求、生命周期要求、软件二进制分析和渗透测试。
1.3 IT评估计划(NITES):NITES(National IT Evaluation Scheme)是新加坡的一个IT评估计划,旨在确保信息技术产品和系统的安全性和可靠性。NITES评估计划基于国际标准和最佳实践,为新加坡的企业和组织提供了一个统一的评估框架,以确保其IT系统和产品的安全性和合规性。
1.4 认证流程
申请阶段:企业或组织首先要向认证机构提交CCC认证申请,包括自身网络安全概况、相关技术和管理文档等资料。例如,提供网络拓扑结构、安全设备配置清单以及网络安全人员的资质证明等。
评估阶段:认证机构会对申请方进行全面的评估。这包括技术评估,如对网络安全防护设备的检测,检查防火墙规则设置是否合理、入侵检测系统是否有效等;同时也包括管理评估,审查网络安全政策是否得到有效执行,员工是否接受过相关的网络安全培训等。
决策阶段:根据评估结果,认证机构做出是否给予认证的决定。如果申请方通过认证,会颁发相应的CCC认证证书,并规定认证的有效期。在有效期内,认证机构还会进行定期或不定期的复查,以确保认证对象持续符合认证标准。
CCC体系的应用案例
1.1 政府部门
新加坡政府积极推行“智慧国”愿景,将CCC认证纳入到公共部门的信息安全管理流程中。所有涉及公民个人信息处理的政府部门都必须达到一定的CCC等级,以此确保数据的安全性和保密性。此外,政府采购也优先考虑已获得CCC认证的产品和服务供应商,从而推动整个行业向更高水平迈进。
1.2 金融机构
金融行业是新加坡经济的重要支柱之一,因此也是CCC体系重点关注的对象。银行、保险公司以及其他金融机构不仅需要遵守严格的安全规定,还需要定期接受外部审计,以验证其是否符合最新的CCC标准。这有助于维护金融市场稳定,防止潜在的经济损失。
1.3 科技公司
对于从事信息技术研发和服务提供的科技公司来说,取得CCC认证不仅是对其技术水平的认可,更是赢得客户信任的关键因素。许多跨国企业在选择合作伙伴时会优先考虑那些已经获得了CCC认证的企业,因为这意味着它们拥有可靠的安全保障措施。
信息提交成功