新加坡针对网络安全服务商实施严格许可证制度

4月11日，新加坡网络安全局 (CSA) 宣布根据网络安全法 (CS Act) 第5部分启动网络安全服务提供商的许可框架。许可框架已于2022年4月11日生效。CS法案第5部分和CS法案第二附表将在同一天生效。据此，在该国提供两类网络安全服务的供应商必须申请许可证才能继续提供此类服务。如果他们不希望面临入狱或罚款的可能性，他们最多有六个月的宽限时间。即提供渗透测试和托管安全运营中心 (SOC) 监控服务的公司需要获得许可证才能在新加坡提供这些服务。新加坡网络安全局 (CSA) 称，其中包括直接从事此类服务的公司和个人、支持这些公司的第三方供应商以及可许可网络安全服务的经销商。

目前从事其中一种或两种服务类别的现有供应商必须在2022年10月11日之前申请许可证。未能按时取得许可证者将不得不停止提供服务，直到获得许可证为止。

许可证制度的背景

该框架旨在更好地维护消费者利益，解决消费者与网络安全服务提供商之间的信息不对称问题。同时，监管制度也有望提高服务提供商的标准和地位。首先，CSA将许可两类网络安全服务提供商，即提供渗透测试和托管安全运营中心监控服务的提供商。这两项服务被优先考虑是因为执行此类服务的服务提供商可以大量访问其客户的计算机系统和敏感信息。如果访问被滥用，客户的操作可能会中断。此外，这些服务已经在市场上广泛使用和采用，因此有可能对整体网络安全格局产生重大影响。

CSA通过2021年9月20日至10月18日为期4周的咨询过程，就拟议的许可条件和附属立法草案征求行业反馈。共收到来自本地和外国行业参与者、行业协会、以及公众成员。在最终确定许可框架时考虑并考虑了反馈。

在六个月内提交许可申请的服务提供商将被允许继续提供可许可服务，直到对申请做出决定为止。

任何在2022年10月11日之后未经许可提供许可服务的人，将面临不超过 50,000新加坡元（36,673美元）的罚款或最高两年的监禁，或两者兼施。

个人必须支付500新元才能获得执照，而企业则必须支付1,000新元。每个许可证有效期为两年。 CSA表示，对于在2023 年4月11日之前的第一年内提交的申请，将一次性免收50%的费用。

已经成立了网络安全服务监管办公室 (CSRO)，以管理许可框架并促进行业与更广泛的公众之间就所有与许可相关的问题进行沟通。其职责包括执行和管理许可流程，以及与公众共享可许可网络安全服务的资源，例如提供被许可人名单。

在评论未来可能获得许可的其他网络安全服务时，CSA表示，它将“继续监控国际和行业趋势”，并在必要时让该行业参与评估是否应包括新的服务类别。

CSA 表示，它已收到了来自本地和国际市场参与者以及行业协会和公众的29份回复。

漏洞赏金计划是否受影响？

ZDNet询问参与漏洞赏金的全球社区的个人是否需要在新加坡获得许可证。CSA 发言人表示，这些白帽黑客或道德黑客旨在发现系统漏洞，这些漏洞是漏洞赏金计划的一部分。然后将这些情况报告给组织进行补救。 发言人说，组织漏洞赏金计划的企业和参与此类计划的个人白帽黑客被排除在许可框架之外，除非他们还从事提供渗透测试或托管SOC服务的业务。

CSA告诉ZDNet：“漏洞赏金计划补充了传统的漏洞评估和渗透测试方法，使参与该计划的参与者能够针对全球和当地的研究人员和白帽社区对其防御进行基准测试。”

申请者需要提供的信息

其中一项反馈涉及应要求提供的信息，以促进监管机构对诸如被许可人的违规行为或与被许可人的持续资格相关的事项进行调查。有人建议收紧提议的许可条件的语言，因此请求不会过于笼统，并且对可能请求的信息类型更加清晰。

CSA表示，它已经修改了许可条件的语言，以减少被许可人的不确定性，并且对此类信息的请求将仅限于调查所需的信息。

当被要求提供许可证申请人的信息示例时，CSA发言人告诉ZDNet，其中包括申请人的资格和经验。

此外，还需要提供“相关”信息以供发牌官员考虑申请人是否“合适和适当”，例如申请人是否在新加坡或其他地方被定罪涉及欺诈、不诚实或道德败坏的罪行，发言人解释道。

关于是否会询问申请人的国籍或与目前受到相关制裁的国家的业务联系，CSA发言人表示，作为许可证申请流程的一部分，申请人将被要求提供其国籍。不过，同样的要求将适用于所有服务提供商，只要他们在渗透测试或托管 SOC监控服务中向新加坡客户提供许可服务。

发言人说：“可能还需要许可官员评估申请人是否合适和适当所需的其他信息。”

参考资源

1、https://www.csa.gov.sg/News/Press-Releases/csa-kicks-off-licensing-framework-for-cybersecurity-service-providers

2、https://www.zdnet.com/article/singapore-begins-licensing-cybersecurity-vendors/

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。