網安局原本也要求持照業者在委任關鍵人員時,須提前30天通知監管人員。不過一些業者反映,基于法律或保密限制,無法這麽做,他們希望能在委任相關人員後,才通知監管人員,因此當局修改條例,業者只須在委任關鍵人員後的14天內通知。
網安局去年9月就框架細節展開咨詢活動,期間共收到29份業者、協會和公衆提出的意見,制定新框架時也參考這些反饋。
其中一項反饋是關于持照者須向網安局提供的資料。當局在調查違例情況或評估執照資格時,有權要求對方提供資料協助調查。網安局強調,當局只會要求對方提交與調查有關的資料,例如確保業者遵守檔案記錄要求。
監管網絡安全服務業者的執照框架昨天(4月11日)起生效。在新框架下,爲客戶電腦系統進行入侵測試(penetration testing)或管理安全操作的公司、個人或第三方業者都須申請執照,才能在本地提供這些服務。
監管網絡安全服務業者的執照框架昨天起生效。在新框架下,爲客戶電腦系統進行入侵測試或管理安全操作的公司、個人或第三方業者都須申請執照,才能在本地提供這些服務。
根據網安局昨天發的文告,已經或有意提供上述服務的業者,必須在六個月內申請執照。10月11日以後未持照營業的話,屬于違法行爲。一旦罪成,可判坐牢最長兩年,罰款5萬元,或兩者兼施。已經提出申請,但未在限期前得到答複的業者,可繼續提供服務,直至當局作出決定。
當局已設立網安服務監管辦公室,負責所有與執照框架相關的事務,包括確保業者遵守執照條件、爲業者、企業和公衆解決有關執照框架的疑問,以及提供持照業者名單等資料。
至于提供其他網安服務的業者,網安局會繼續觀察情況和征詢業界的意見,再決定是否規定這些供應商也必須申請執照。
新加坡網絡安全局說,這會提升服務供應商的水准,也能更好地保護消費者的利益。
執照有效期爲兩年,個人和公司的執照費分別爲500元和1000元。考慮到疫情影響,網安局會爲所有在第一年提出申請的業者,豁免一半的執照費。
立傑律師事務所平時會請人爲電腦系統進行入侵測試,公司信息科技區域總監王木羽說,公司之前較難找到能夠信任的供應商。規定業者須申請執照後,可確保這些供應商具備基本服務素質,公司今後也能直接通過有關當局提供的名單,更放心地挑選較可靠的供應商。
他也說,一些公司之前對業者服務不滿,卻沒有提交反饋的渠道。今後他們能舉報業者不道德或不稱職的表現,促使持照服務供應商提升標准。不過他擔心,一些業者會在申請到執照後趁機大幅漲價,公司日後可選擇的供應商也可能較爲有限。
網安局目前只規定這兩個領域的業者必須申請執照,是因爲這些服務的供應商有機會接觸客戶的電腦系統和敏感資料,如果業者濫用權限,將擾亂客戶業務。此外,本地市場已廣泛采用這兩種服務,發生任何事都會對整個網安生態造成顯著影響。
公司:放心挑選可靠供應商
網絡威脅日益加劇,消費者日後可參考一份名單,選擇可以爲他們管理好這些風險的可靠服務供應商。