隨著信息技術的廣泛應用,網絡攻擊事件頻發,給社會穩定和經濟發展帶來了巨大挑戰。為了應對這一問題,新加坡于2015年成立了網絡安全局(Cyber Security Agency of Singapore, CSA),負責統籌協調全國范圍內的網絡安全事務。在此背景下,CSA逐步構建和完善了CCC體系,作為一項重要的制度安排,為各類組織提供了明確的指導方針和技術標準。新加坡作為一個高度信息化且經濟發達的城市國家,早在多年前便意識到網絡安全的重要性,并積極采取措施以確保其關鍵信息基礎設施的安全。為此,新加坡推出了網絡安全認證(Cybersecurity Certification Criteria, CCC)體系,旨在為本地企業和機構提供一套標準化的安全評估框架,促進網絡安全水平的整體提升,增強公眾對數字服務的信任。
新加坡通過建立雙邊或多邊的合作關系,尋求與澳大利亞、法國、德國、卡塔爾、西班牙、挪威等32個國家和地區在網絡安全認證方面的互認,CCC認證體系積極借鑒國際上先進的網絡安全框架,如ISO 27001等國際標準。
在認證標準的制定上,吸收了國際標準中的合理成分,如信息安全管理體系的構建原則等,確保新加坡的網絡安全標準與國際接軌,便于新加坡企業在國際市場上的競爭與合作,降低企業在跨國業務中的網絡安全認證成本,同時也提升新加坡在國際網絡安全領域的影響力。
CCC認證體系包括一系列標準計劃和成認證程序,以下列舉其中的幾個主要重要內容:
1.2 網絡安全標簽計劃(CLS):
CLS是新加坡網絡安全局(CSA)推出的一項針對消費者智能設備的網絡安全標簽計劃,旨在提高物聯網設備的安全性,幫助消費者識別具有更好網絡安全能力的產品,并做出購買決策。 CLS計劃是亞太區首個安全標簽計劃項目,按照該計劃要求,智能消費品級物聯網設備將根據其網絡安全規定的等級進行評級。此外,新加坡與芬蘭在2021年簽署互認備忘錄(MOU),新加坡內通過CLS第3級以上的物聯網設備即可與芬蘭運輸通信局(Traficom)的網絡安全標簽互認。同時2022年與德國聯邦信息安全辦BSI簽署互認安排(MRA),只需要符合CLS2級以上即可互認。
評估等級:CLS計劃對物聯網設備安全形成4個不同等級,同時有4個不同的評估等級,每個評估等級按順序完成,反映了產品對可能遭受的網絡安全攻擊抵抗力不斷增強。這些評估等級包括安全基線要求、生命周期要求、軟件二進制分析和滲透測試。
1.3 IT評估計劃(NITES):NITES(National IT Evaluation Scheme)是新加坡的一個IT評估計劃,旨在確保信息技術產品和系統的安全性和可靠性。NITES評估計劃基于國際標準和最佳實踐,為新加坡的企業和組織提供了一個統一的評估框架,以確保其IT系統和產品的安全性和合規性。
1.4 認證流程
申請階段:企業或組織首先要向認證機構提交CCC認證申請,包括自身網絡安全概況、相關技術和管理文檔等資料。例如,提供網絡拓撲結構、安全設備配置清單以及網絡安全人員的資質證明等。
評估階段:認證機構會對申請方進行全面的評估。這包括技術評估,如對網絡安全防護設備的檢測,檢查防火墻規則設置是否合理、入侵檢測系統是否有效等;同時也包括管理評估,審查網絡安全政策是否得到有效執行,員工是否接受過相關的網絡安全培訓等。
決策階段:根據評估結果,認證機構做出是否給予認證的決定。如果申請方通過認證,會頒發相應的CCC認證證書,并規定認證的有效期。在有效期內,認證機構還會進行定期或不定期的復查,以確保認證對象持續符合認證標準。
CCC體系的應用案例
1.1 政府部門
新加坡政府積極推行“智慧國”愿景,將CCC認證納入到公共部門的信息安全管理流程中。所有涉及公民個人信息處理的政府部門都必須達到一定的CCC等級,以此確保數據的安全性和保密性。此外,政府采購也優先考慮已獲得CCC認證的產品和服務供應商,從而推動整個行業向更高水平邁進。
1.2 金融機構
金融行業是新加坡經濟的重要支柱之一,因此也是CCC體系重點關注的對象。銀行、保險公司以及其他金融機構不僅需要遵守嚴格的安全規定,還需要定期接受外部審計,以驗證其是否符合最新的CCC標準。這有助于維護金融市場穩定,防止潛在的經濟損失。
1.3 科技公司
對于從事信息技術研發和服務提供的科技公司來說,取得CCC認證不僅是對其技術水平的認可,更是贏得客戶信任的關鍵因素。許多跨國企業在選擇合作伙伴時會優先考慮那些已經獲得了CCC認證的企業,因為這意味著它們擁有可靠的安全保障措施。
信息提交成功