新加坡发布《网络安全法案》,保障关键信息基础设施安全——RSAC 2017 APJ会议报告分析

来源:信息与网络安全部   作者:国信安全研究院 徐云   时间:2017-08-30

近年来,全球范围内针对关键信息基础设施的网络攻击屡见不鲜且愈演愈烈,新加坡也不例外,2014年初期,新加坡外交部的IT系统被攻破;2014年中期,1560个新加坡市民登录政府服务的用户名及密码被盗用;2016年10月,两个网络攻击扰乱了当地一家电信运营商的宽带服务,导致普通公众每次中断网络约两个小时;2017年初期,国防部的军事系统被攻击,导致大约850名国家军人和民防人员的个人资料被盗;2017年中期,两所当地大学的网络被黑客窃取,企图窃取掩盖和研究数据。新加坡总理李显龙对此高度重视,曾公开表示“新加坡希望成为一个智慧的国家。但是成为一个智慧国家,我们首先要成为一个安全的网络国家”。

在2017年7月26日-28日召开的RSA Conference亚太及日本大会上,新加坡最大的律师事务所Drew & Napier公司做了关于新加坡网络安全立法方面的介绍,介绍了新加坡网络安全方面的法律框架、网络安全法案的介绍和适用性、法案的主要特点。

2017年7月10日新加坡发布了网络安全法案,规范了4个主要的监管领域,分别是:关键信息基础设施(critical information infrastructure,CII)的监管;CSA管理和应对网络安全威胁和事件的权力;CSA共享网络安全信息的框架,以及对这些信息的保护;网络安全服务提供商的监管和许可。

新加坡的“关键信息基础设施”指新加坡所依赖的基本服务的持续交付所必需的计算机或计算机系统,其损失或妥协将对国家安全、国防、外交关系、经济、公共卫生、公共安全或新加坡公共秩序造成破坏性影响。其中,“基本服务”包括能源、医疗、政府职能、水、媒体、信息通讯、安全与应急服务、航空、陆地运输、海上、银行和金融共11个方面。

具有对关键信息基础设施的运营控制权,有能力和权利对关键信息基础设施进行变更,负责确保关键信息基础设施持续运转的组织被称为“关键信息基础设施的所有者”,网络安全法案规定了所有者的义务,包括提供关键信息基础设施的技术架构信息、每三年进行一次审计和风险评估、向CSA报告网络安全事件、参与网络安全演习等多种义务。

网络安全法案授权CSA官员对网络安全威胁和事件进行调查,并且定义了网络安全威胁和事件的严重程度。民众不配合调查或者不遵守调查要求是犯法的,可能处以罚款或者监禁。

对于网络安全服务提供商,提供渗透测试(调查)和受管理的安全运营中心监控(非调查性)服务的提供商需要获得许可证,提供调查性网络安全服务的员工也需要从业人员的执照。

新加坡的网络安全法案出台后,对于网络安全相关公司或者人员将具有很大影响,并且具有法律层面的约束,例如:对于一个基本服务的运营商,其信息系统可能被指定为关键信息基础设施,并且有相应义务要履行;对于一个网络安全服务提供商,其可能需要获得许可;对于公众的一般成员,其可能会被要求协助进行网络安全调查,对于一个处理关键信息基础设施或参与网络安全服务提供商的企业,其可能需要考虑合同安排,并创建新的内部治理/报告结构、网络安全事件管理计划和通知流程。

从以上内容可以看出,新加坡的网络安全法案较为具体细致、可操作性较强,尽管仍有一些难以精确定义的地方,仍不失为一个对于实际工作具有较强参考性和指导性的法规。



主办单位:国家信息中心 京ICP备05063309号 技术支持:中国经济信息网

地址:北京市西城区三里河路58号 邮政编码:100045 电话:010-68557000 传真:010-68533919