网络安全保障法/海外网络安全与数据合规法律观察（一）：新加坡篇_0基础白帽子入门教程

网络安全保障法/海外网络安全与数据合规法律观察（一）：新加坡篇_0基础白帽子入门教程

01 前言

2016年10月10日，在为期3天的新加坡国际网络周（SICW）开幕式上，《网络安全战略》（ ）[1]正式发布。

《网络安全战略》提出了建立强健的关键信息基础设施网络、创造更加安全的网络空间、发展具有活力的网络安全生态系统、加强国际合作四个目标。

02《网络安全法》概述

为落实《网络安全战略》，新加坡议会于2018年2月5日通过了《网络安全法》（ Act）。

《网络安全法》的颁布为新加坡国家网络安全的监督和维护建立了法律框架[2]。

在《网络安全法》颁布之前，新加坡就已经制定了《计算机滥用和网络安全法》（ and Act，CMCA）《个人数据保护法》（ Data Act）《电信法》（ Act）等多部法律保障网络与数据的安全。

但在《网络安全法》颁布之前的法律皆为新加坡不同的部门所制定，法律与法律之间存在不协调，例如在《计算机滥用和网络安全法》中虽然规定允许政府采取紧急措施来应对对基本服务或国家安全的严重或迫在眉睫的威胁，但是并未要求关键信息基础设施（ ，CII）所有者应当采取预防措施来保护CII以确保持续提供服务。在《网络安全法》中则很好的解决了这个问题。

在《网络安全法》中确立了四个主要的目标：

(1）加强对CII的保护，防范网络攻击；

(2）授权新加坡网络安全局（Cyber of ，CSA）预防和应对网络安全威胁和事件，并且CSA可以根据网络安全威胁或事件的严重程度以及响应所需的措施来调整可行使的权力；

(3）建立共享网络安全信息的框架；

(4）为网络安全服务提供商设立许可证制度。

03 网络安全标准的制定

新加坡的政府和个人组织可以共同制定或采用新的网络安全标准，以此来缩小新加坡在网络安全标准方面与其他国家的差距。

例如在2013年，信息通信媒体发展管理局（ Media ，IMDA）、企业新加坡（ ，ESG）以及业界人士合作开发了世界上第一个多层云计算标准，以解决政府机构和社会私营组织提供的云服务的安全问题。

此云计算标准根据云服务提供商为用户提供的服务级别的不同，设立了不同等级的安全保护要求。

此外，新加坡标准委员会（ ）也在积极的制定目前国际上尚未提供的新标准。其中包括自动驾驶汽车的网络安全标准和新加坡智能国家项目的物联网安全的一般要求。

新加坡于2018年1月推出了工业控制系统（ ，ICS）《网络安全指南》（ ），ICS《网络安全指南》是由依赖ICS的不同部门的组织和监管机构共同开发的。《网络安全指南》的颁布为ICS运营商提供了改善其ICS环境中的网络安全流程和控制的推荐做法。

04 网络安全保障机构及措施

在机构设置方面，新加坡网络安全局（CSA）在《网络安全战略》颁布后，成为一个独立的国家机构，负责监督所有网络安全事务，包括网络安全战略、运营、教育、外展和生态系统发展。

如《国家网络安全战略》中所述，作为中央机构，CSA负责监督关键信息基础设施部门的保护、公共教育和外联、行业发展和国际合作。

CSA的设立不仅能够维持对国家网络安全的集中监督和维护，并能够通过其三层模式[3]保持对不同部门需求的灵活应对。

新加坡政府部门为了应对网络威胁也在积极的采取各种措施，例如政府在应对高级持续性威胁[APT（ ）]时，采取的是互联网基础设施与政府网络相分离的措施。

在2018年1月，新加坡国防部（ of ，）发起了一项名为Bug 的网络安全活动，该活动表明了社会公众可以通过部署管理型漏洞发现方法，对传统的漏洞发现方法作出完善。同时它也为网络安全从业者提供了一个帮助测试和验证政府网络安全状况的平台。

在国际上新加坡也通过与其他国家签订谅解备忘录（ of ，MoUs）的方式，建立了有关网络威胁和事件的信息交流渠道。

这为新加坡提供了有关世界各地真实网络威胁和事件的预警信息。

例如在2017年5月勒索软件爆发时，CSA就收到了来自英国GCHQ-NCSC的初步警报[4]。

05 网络安全与数据合规法律法规

战略（）

《新加坡网络安全战略》（ ）

法律（Act）

1.《网络安全法》（ Act）

2.《个人数据保护法》（ Data Act）

3.《信息通信媒体发展局法》（Info- Media Act）

4.《政府技术局法》（ Act）

5.《电子交易法》（ Act）

6.《电信法》（ Act）

7.《计算机滥用和网络安全法（修正案）》[ and Cyber () Act]

8.《计算机滥用法》（ Act）

条例（）

1.《网络安全（信息保密处理）条例》[ ( Of ) ]

2.《网络安全（关键信息基础设施）条例》[ ( ) ]

3.《个人数据保护（上诉）条例》[ Data () ]

4.《个人数据保护（违法构成）条例》[ Data ( Of ) ]

5.《个人数据保护（执行）条例》[ Data () ]

6.《个人数据保护（禁止调用注册表）条例》[ Data (Do Not Call ) ]

7.《个人数据保护条例》( Data )

06 参考文献

[1] www .csa .gov .sg/ news/ / - -

[2] sso .agc .gov .sg/ Acts -Supp/ 9 -2018/ / ? =

[3] 新加坡《国家网络安全战略》第16-17页

[4] www .csa .gov .sg/ news/ press -/ csa -inks - -with -local -and - - –

~

网络安全学习，我们一起交流

~