E安全2月13日讯 新加坡国会2018年2月5日通过《网络安全法案》,这项法案旨在加强保护提供基本服务的计算机系统,防范网络攻击。该法案提出针对关键信息基础设施(CII)的监管框架,并明确了 CII 所有者确保网络安全的职责。此外,这项法案还授权新加坡网络安全局(简称CSA)管理和响应网络安全威胁和事件,并建立网络安全信息共享框架。该法案的另一个目标是为网络安全服务提供商建立“宽松”的许可框架。
关键信息基础设施(CII)所有者须通报网络安全事件
根据该法案,直接为国家安全、国防、外交关系、经济、公共卫生、公共安全或公共秩序提供基本服务的计算机系统所有者必须通报系统相关网络安全事件,并履行其它法定义务。CII所有者必须遵守行为准则,符合行业标准,进行网络安全审计和风险评估工作,并参与网络安全演习。
新加坡通讯及新闻部长雅国2018年2月5日在这项法案进行二读时表示,全球网络攻击不断发生,新加坡须强化安全保护工作,尤其确保一些必要的服务不会因为网络攻击而被迫中断。被点名须加强合作的关键网络安全信息基础设施领域包括能源、交通、医疗保健、银行与金融、航空等。如果 CII 所有者履行义务,将不会因网络安全事件面临惩罚,但违例者将面临最高10万新元的罚款,或两年监禁,亦或二者并罚。
CSA 的行政长官将被任命为网络安全专员实施这项法案。
部分网络安全服务企业须取得执照
该法案还提出一个许可框架,它将适用于提供以下两种网络安全服务的提供商:
渗透测试服务
管理网络安全营运中心
雅国表示,这些网络安全服务提供商可获取客户的敏感信息,它们提供的服务在市场上相对主流,因此会对整个网络安全格局产生重大影响。提供网络安全渗透测试服务或管理网络安全营运中心的企业必须申请执照。违例者将面临最高5万新元的罚款,或两年监禁,亦或二者并罚。雅国表示,该许可框架相对宽松,因为作为一项新举措,有必要在行业发展和网络安全需求之间保持良好的平衡。
关注隐私:赋予网络安全专员特殊权力
新加坡碧山大巴窑集选区国会议员 苏巴特 表示,有人持保守意见,称新加坡当局的调查会侵犯个人隐私,是否有相应措施确保调查权不被滥用。另外,新加坡国会议员 毕丹星 指出,这项法案赋予网络安全专员和任何授权官员获取、清除或复刻硬盘的权力。
面对几名国会议员提出的隐私问题,雅国表示,这项法案赋予的权力并不是有意侵犯隐私。相关措施和要求在本质上主要考虑的是技术性、操作性或程序性。例如,CII 所有者可能需要采用网络周边防御设备,例如防火墙,或定期对系统进行漏洞扫描,以发现潜在的漏洞。这些措施在个人隐私方面是非入侵性的。
有些议员提出,为了符合当局所制定的网络安全要求,合规成本将会升高,最终转嫁给消费者。
至于企业满足新规产生的费用,雅国表示,许多 CII 所有者已部署相关网络安全措施。对于某些必须增强网络安全态势满足法案要求的 CII 所有者而言,会存在费用问题。但新加坡政府将会与行业监管机构合作简化网络安全审计和事件报告流程,尽可能协调这项法案的网络安全要求,但不会提供资金支持。如果遵循良好的设计安全实践,从长远来看,新加坡的组织机构将以更少的支出解决网络安全问题。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/2123654929.shtml
领取专属 10元无门槛券
私享最新 技术干货