隨著信息技術(shù)的廣泛應(yīng)用,網(wǎng)絡(luò)攻擊事件頻發(fā),給社會(huì)穩(wěn)定和經(jīng)濟(jì)發(fā)展帶來(lái)了巨大挑戰(zhàn)。為了應(yīng)對(duì)這一問(wèn)題,新加坡于2015年成立了網(wǎng)絡(luò)安全局(Cyber Security Agency of Singapore, CSA),負(fù)責(zé)統(tǒng)籌協(xié)調(diào)全國(guó)范圍內(nèi)的網(wǎng)絡(luò)安全事務(wù)。在此背景下,CSA逐步構(gòu)建和完善了CCC體系,作為一項(xiàng)重要的制度安排,為各類組織提供了明確的指導(dǎo)方針和技術(shù)標(biāo)準(zhǔn)。新加坡作為一個(gè)高度信息化且經(jīng)濟(jì)發(fā)達(dá)的城市國(guó)家,早在多年前便意識(shí)到網(wǎng)絡(luò)安全的重要性,并積極采取措施以確保其關(guān)鍵信息基礎(chǔ)設(shè)施的安全。為此,新加坡推出了網(wǎng)絡(luò)安全認(rèn)證(Cybersecurity Certification Criteria, CCC)體系,旨在為本地企業(yè)和機(jī)構(gòu)提供一套標(biāo)準(zhǔn)化的安全評(píng)估框架,促進(jìn)網(wǎng)絡(luò)安全水平的整體提升,增強(qiáng)公眾對(duì)數(shù)字服務(wù)的信任。
新加坡通過(guò)建立雙邊或多邊的合作關(guān)系,尋求與澳大利亞、法國(guó)、德國(guó)、卡塔爾、西班牙、挪威等32個(gè)國(guó)家和地區(qū)在網(wǎng)絡(luò)安全認(rèn)證方面的互認(rèn),CCC認(rèn)證體系積極借鑒國(guó)際上先進(jìn)的網(wǎng)絡(luò)安全框架,如ISO 27001等國(guó)際標(biāo)準(zhǔn)。
在認(rèn)證標(biāo)準(zhǔn)的制定上,吸收了國(guó)際標(biāo)準(zhǔn)中的合理成分,如信息安全管理體系的構(gòu)建原則等,確保新加坡的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與國(guó)際接軌,便于新加坡企業(yè)在國(guó)際市場(chǎng)上的競(jìng)爭(zhēng)與合作,降低企業(yè)在跨國(guó)業(yè)務(wù)中的網(wǎng)絡(luò)安全認(rèn)證成本,同時(shí)也提升新加坡在國(guó)際網(wǎng)絡(luò)安全領(lǐng)域的影響力。
CCC認(rèn)證體系包括一系列標(biāo)準(zhǔn)計(jì)劃和成認(rèn)證程序,以下列舉其中的幾個(gè)主要重要內(nèi)容:
1.2 網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃(CLS):
CLS是新加坡網(wǎng)絡(luò)安全局(CSA)推出的一項(xiàng)針對(duì)消費(fèi)者智能設(shè)備的網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃,旨在提高物聯(lián)網(wǎng)設(shè)備的安全性,幫助消費(fèi)者識(shí)別具有更好網(wǎng)絡(luò)安全能力的產(chǎn)品,并做出購(gòu)買決策。 CLS計(jì)劃是亞太區(qū)首個(gè)安全標(biāo)簽計(jì)劃項(xiàng)目,按照該計(jì)劃要求,智能消費(fèi)品級(jí)物聯(lián)網(wǎng)設(shè)備將根據(jù)其網(wǎng)絡(luò)安全規(guī)定的等級(jí)進(jìn)行評(píng)級(jí)。此外,新加坡與芬蘭在2021年簽署互認(rèn)備忘錄(MOU),新加坡內(nèi)通過(guò)CLS第3級(jí)以上的物聯(lián)網(wǎng)設(shè)備即可與芬蘭運(yùn)輸通信局(Traficom)的網(wǎng)絡(luò)安全標(biāo)簽互認(rèn)。同時(shí)2022年與德國(guó)聯(lián)邦信息安全辦BSI簽署互認(rèn)安排(MRA),只需要符合CLS2級(jí)以上即可互認(rèn)。
評(píng)估等級(jí):CLS計(jì)劃對(duì)物聯(lián)網(wǎng)設(shè)備安全形成4個(gè)不同等級(jí),同時(shí)有4個(gè)不同的評(píng)估等級(jí),每個(gè)評(píng)估等級(jí)按順序完成,反映了產(chǎn)品對(duì)可能遭受的網(wǎng)絡(luò)安全攻擊抵抗力不斷增強(qiáng)。這些評(píng)估等級(jí)包括安全基線要求、生命周期要求、軟件二進(jìn)制分析和滲透測(cè)試。
1.3 IT評(píng)估計(jì)劃(NITES):NITES(National IT Evaluation Scheme)是新加坡的一個(gè)IT評(píng)估計(jì)劃,旨在確保信息技術(shù)產(chǎn)品和系統(tǒng)的安全性和可靠性。NITES評(píng)估計(jì)劃基于國(guó)際標(biāo)準(zhǔn)和最佳實(shí)踐,為新加坡的企業(yè)和組織提供了一個(gè)統(tǒng)一的評(píng)估框架,以確保其IT系統(tǒng)和產(chǎn)品的安全性和合規(guī)性。
評(píng)估標(biāo)準(zhǔn):NITES評(píng)估計(jì)劃基于國(guó)際標(biāo)準(zhǔn)和最佳實(shí)踐,如ISO 27001、ISO 27002等,同時(shí)也考慮了新加坡本地的網(wǎng)絡(luò)安全法規(guī)和政策。
評(píng)估范圍:NITES評(píng)估計(jì)劃涵蓋了各種類型的IT產(chǎn)品和系統(tǒng),包括硬件、軟件、網(wǎng)絡(luò)設(shè)備等。
1.4 認(rèn)證流程
申請(qǐng)階段:企業(yè)或組織首先要向認(rèn)證機(jī)構(gòu)提交CCC認(rèn)證申請(qǐng),包括自身網(wǎng)絡(luò)安全概況、相關(guān)技術(shù)和管理文檔等資料。例如,提供網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、安全設(shè)備配置清單以及網(wǎng)絡(luò)安全人員的資質(zhì)證明等。
評(píng)估階段:認(rèn)證機(jī)構(gòu)會(huì)對(duì)申請(qǐng)方進(jìn)行全面的評(píng)估。這包括技術(shù)評(píng)估,如對(duì)網(wǎng)絡(luò)安全防護(hù)設(shè)備的檢測(cè),檢查防火墻規(guī)則設(shè)置是否合理、入侵檢測(cè)系統(tǒng)是否有效等;同時(shí)也包括管理評(píng)估,審查網(wǎng)絡(luò)安全政策是否得到有效執(zhí)行,員工是否接受過(guò)相關(guān)的網(wǎng)絡(luò)安全培訓(xùn)等。
決策階段:根據(jù)評(píng)估結(jié)果,認(rèn)證機(jī)構(gòu)做出是否給予認(rèn)證的決定。如果申請(qǐng)方通過(guò)認(rèn)證,會(huì)頒發(fā)相應(yīng)的CCC認(rèn)證證書,并規(guī)定認(rèn)證的有效期。在有效期內(nèi),認(rèn)證機(jī)構(gòu)還會(huì)進(jìn)行定期或不定期的復(fù)查,以確保認(rèn)證對(duì)象持續(xù)符合認(rèn)證標(biāo)準(zhǔn)。
CCC體系的應(yīng)用案例
1.1 政府部門
新加坡政府積極推行“智慧國(guó)”愿景,將CCC認(rèn)證納入到公共部門的信息安全管理流程中。所有涉及公民個(gè)人信息處理的政府部門都必須達(dá)到一定的CCC等級(jí),以此確保數(shù)據(jù)的安全性和保密性。此外,政府采購(gòu)也優(yōu)先考慮已獲得CCC認(rèn)證的產(chǎn)品和服務(wù)供應(yīng)商,從而推動(dòng)整個(gè)行業(yè)向更高水平邁進(jìn)。
1.2 金融機(jī)構(gòu)
金融行業(yè)是新加坡經(jīng)濟(jì)的重要支柱之一,因此也是CCC體系重點(diǎn)關(guān)注的對(duì)象。銀行、保險(xiǎn)公司以及其他金融機(jī)構(gòu)不僅需要遵守嚴(yán)格的安全規(guī)定,還需要定期接受外部審計(jì),以驗(yàn)證其是否符合最新的CCC標(biāo)準(zhǔn)。這有助于維護(hù)金融市場(chǎng)穩(wěn)定,防止?jié)撛诘慕?jīng)濟(jì)損失。
1.3 科技公司
對(duì)于從事信息技術(shù)研發(fā)和服務(wù)提供的科技公司來(lái)說(shuō),取得CCC認(rèn)證不僅是對(duì)其技術(shù)水平的認(rèn)可,更是贏得客戶信任的關(guān)鍵因素。許多跨國(guó)企業(yè)在選擇合作伙伴時(shí)會(huì)優(yōu)先考慮那些已經(jīng)獲得了CCC認(rèn)證的企業(yè),因?yàn)檫@意味著它們擁有可靠的安全保障措施。
信息提交成功