国际互认：新加坡网络安全CCC认证体系

引言

在数字化转型日益加速的今天，网络安全已成为各国政府和企业关注的核心议题之一。新加坡作为一个高度信息化且经济发达的城市国家，早在多年前便意识到网络安全的重要性，并积极采取措施以确保其关键信息基础设施的安全。为此，新加坡推出了网络安全认证（Cybersecurity Certification Criteria, CCC）体系，旨在为本地企业和机构提供一套标准化的安全评估框架，促进网络安全水平的整体提升，增强公众对数字服务的信任。

一、CCC体系的成立背景与国际互认

成立背景

随着信息技术的广泛应用，网络攻击事件频发，给社会稳定和经济发展带来了巨大挑战。为了应对这一问题，新加坡于2015年成立了网络安全局（Cyber Security Agency of Singapore, CSA），负责统筹协调全国范围内的网络安全事务。在此背景下，CSA逐步构建和完善了CCC体系，作为一项重要的制度安排，为各类组织提供了明确的指导方针和技术标准。

国际合作与互认 

新加坡通过建立双边或多边的合作关系，寻求与澳大利亚、法国、德国、卡塔尔、西班牙、挪威等32个国家和地区在网络安全认证方面的互认，CCC认证体系积极借鉴国际上先进的网络安全框架，如ISO 27001等国际标准。

在认证标准的制定上，吸收了国际标准中的合理成分，如信息安全管理体系的构建原则等，确保新加坡的网络安全标准与国际接轨，便于新加坡企业在国际市场上的竞争与合作，降低企业在跨国业务中的网络安全认证成本，同时也提升新加坡在国际网络安全领域的影响力。

二、CCC体系认证框架

      CCC认证体系包括一系列标准计划和成认证程序，以下列举其中的几个主要重要内容：

• 1.1  共同标准计划SCCS：   

• 共同标准计划（SCCS）是一个国际认可的网络安全认证体系，旨在确保信息技术产品和系统的安全性。SCCS基于共同标准（Common Criteria），这是一组国际标准，用于评估和认证信息技术产品的安全性。共同标准由多个国家共同制定，包括美国、加拿大、英国、法国、德国等。                                                                                                                                      新加坡CCC认证体系寻求与SCCS的互认，以便新加坡认证的产品在国际市场上更容易被接受。此外，新加坡网络安全局通过参与SCCS相关的国际合作项目，提升其在国际网络安全领域的影响力，并促进新加坡CCC认证体系的国际化发展。

• 

• 1.2   网络安全标签计划（CLS）：

  • CLS是新加坡网络安全局（CSA）推出的一项针对消费者智能设备的网络安全标签计划，旨在提高物联网设备的安全性，帮助消费者识别具有更好网络安全能力的产品，并做出购买决策。                                                                                                                         CLS计划是亚太区首个安全标签计划项目，按照该计划要求，智能消费品级物联网设备将根据其网络安全规定的等级进行评级。此外，新加坡与芬兰在2021年签署互认备忘录（MOU），新加坡内通过CLS第3级以上的物联网设备即可与芬兰运输通信局（Traficom）的网络安全标签互认。同时2022年与德国联邦信息安全办BSI签署互认安排（MRA），只需要符合CLS2级以上即可互认。                         

  • 评估等级：CLS计划对物联网设备安全形成4个不同等级，同时有4个不同的评估等级，每个评估等级按顺序完成，反映了产品对可能遭受的网络安全攻击抵抗力不断增强。这些评估等级包括安全基线要求、生命周期要求、软件二进制分析和渗透测试。    

  •  适用范围： CLS计划最初是为WiFi路由器和智能家居中控设备而推出的，由于这些产品作为消费物联网的枢纽使用范围更广，而且这些产品安全隐患可能对用户产生的影响更大，因此作为优先认证对象纳入该计划中。此后，CLS计划扩展到包括所有类别的消费物联网设备，如IP摄像头、智能门锁、智能灯和智能打印机等。                                                                                                                                               

• 1.3   IT评估计划（NITES）： 

• NITES（National IT Evaluation Scheme）是新加坡的一个IT评估计划，旨在确保信息技术产品和系统的安全性和可靠性。NITES评估计划基于国际标准和最佳实践，为新加坡的企业和组织提供了一个统一的评估框架，以确保其IT系统和产品的安全性和合规性。    

  • 评估标准：NITES评估计划基于国际标准和最佳实践，如ISO 27001、ISO 27002等，同时也考虑了新加坡本地的网络安全法规和政策。      

  • 评估范围：NITES评估计划涵盖了各种类型的IT产品和系统，包括硬件、软件、网络设备等。                                                                   

          

• 1.4    认证流程 

  •      申请阶段：

  • 企业或组织首先要向认证机构提交CCC认证申请，包括自身网络安全概况、相关技术和管理文档等资料。例如，提供网络拓扑结构、安全设备配置清单以及网络安全人员的资质证明等。      

  •      评估阶段：

  • 认证机构会对申请方进行全面的评估。这包括技术评估，如对网络安全防护设备的检测，检查防火墙规则设置是否合理、入侵检测系统是否有效等；同时也包括管理评估，审查网络安全政策是否得到有效执行，员工是否接受过相关的网络安全培训等。          

  •      决策阶段：

  • 根据评估结果，认证机构做出是否给予认证的决定。如果申请方通过认证，会颁发相应的CCC认证证书，并规定认证的有效期。在有效期内，认证机构还会进行定期或不定期的复查，以确保认证对象持续符合认证标准。                                                                

新加坡CSA在官网公布了认证机构名单，关注“小猪妈咪爱学法”进入PGM空间可直接查看名单信息

三、CCC体系的应用案例

1.1  政府部门

新加坡政府积极推行“智慧国”愿景，将CCC认证纳入到公共部门的信息安全管理流程中。所有涉及公民个人信息处理的政府部门都必须达到一定的CCC等级，以此确保数据的安全性和保密性。此外，政府采购也优先考虑已获得CCC认证的产品和服务供应商，从而推动整个行业向更高水平迈进。

1.2  金融机构

金融行业是新加坡经济的重要支柱之一，因此也是CCC体系重点关注的对象。银行、保险公司以及其他金融机构不仅需要遵守严格的安全规定，还需要定期接受外部审计，以验证其是否符合最新的CCC标准。这有助于维护金融市场稳定，防止潜在的经济损失。

1.3  科技公司

对于从事信息技术研发和服务提供的科技公司来说，取得CCC认证不仅是对其技术水平的认可，更是赢得客户信任的关键因素。许多跨国企业在选择合作伙伴时会优先考虑那些已经获得了CCC认证的企业，因为这意味着它们拥有可靠的安全保障措施。