新加坡云服务安全合规概览
一、法律法规及监管要求
PDPA:个人数据保护法
PDPA:个人数据保护法。为新加坡的个人数据提供了数据保护的基线标准,整体规范了组织对个人数据的收集、使用和披露,保障个人数据保护的权利,既承认个人数据保护的权力,也承认数据控制者出于合理目的收集、适用和披露个人数据的必要性。
- https://sso.agc.gov.sg/Act/PDPA2012
- 基本义务主要包括:通知及同意、目的限制、访问及更正、准确性、保护、保留限制、转移限制、泄露通知、问责义务。
CSA:新加坡网络安全局《网络安全法》
CSA:新加坡网络安全局《网络安全法》。此法案于2018年5月生效,旨在保护新加坡的基础设施和关键信息通信技术安全。它要求组织实施必要的安全措施以防范网络攻击,并要求组织及时报告与网络安全相关的事件。
- https://posts.careerengine.us/p/5dc8359be51e7863363f201c
- 主要内容:加强对关键基础设施的保护,防范网络攻击;授权新加坡网络安全局预防和应对网络安全威胁和事件;建立共享网络安全信息的框架;为网络安全服务提供商设立许可证制度。
CMCA:《计算机滥用与网络安全法》
CMCA: 《计算机滥用与网络安全法》。该法案于1993年颁布,针对的是计算机犯罪行为,包括未经授权访问计算机、破坏计算机系统或数据等。2013年修订后,该法案还覆盖了涉及到网络安全方面。
- http://images.policy.mofcom.gov.cn/article/201601/1452235217511.pdf
- 主要内容:为非法攻击计算的行为和相应的惩罚罚款监禁。4.未经授权访问计算机材料 5.实施或协助实施犯罪 6.未经授权修改电脑资料 7.未经授权使⽤或截取计算机服务 8.未经授权妨碍使⽤计算机。9.未经授权泄露访问代码 10.加强对涉及受保护计算机的犯罪的惩罚 11. 教唆和未遂可作为犯罪处罚。
二、云服务安全合规认证
ISO/IEC 27001 认证
ISO/IEC 27001是目前国际上被广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心,通过定期评估风险和对应的控制措施来有效保障组织信息安全管理体系的持续运行。获得ISO/IEC 27001认证证书,表明云服务商能够提供一个符合国际公认信息安全标准的云环境。
CSA STAR 认证
CSA STAR认证是由英国标准协会(BSI)和云安全联盟(CSA)联合推出国际范围内的针对云安全水平的权威认证,旨在应对与云安全相关的特定问题。CSA STAR以ISO/IEC 27001认证为基础,结合云端安全控制矩阵CCM的要求,运用BSI提供的成熟度模型和评估方法,综合评估组织云端安全管理和技术能力。
新加坡多层云端安全性 (MTCS) 标准
新加坡多层云安全 (MTCS) 标准是在新加坡资讯通信发展管理局 (IDA) 信息技术标准委员会 (ITSC) 的指导下拟定的。MTCS 旨在提供:常用标准,云服务提供商 (CSP) 可采用该标准来解决客户对云端数据的安全性和机密性以及使用云服务对业务的影响的顾虑。可验证的操作透明度,以及对客户在使用云服务时所面临的风险的洞察。
三、云服务合规保护措施
- 云服务提供商应定期进行合规性检查和重新评估其对安全基线要求的遵守情况。
- 云服务提供商应定期进行安全测试、安全漏洞评估,安装最新可用的安全相关补丁。
- 通过身份认证和访问控制技术,实施基于角色所需最小权限的策略,防止未授权处理个人数据的行为;
- 广泛采用加密技术对客户个人数据进行加密存储和传输,确保个人数据存储和传输中的安全,防⽌数据泄露;
- 通过日志记录和审计技术,及时发现潜在的安全隐患以便及时迅速的做出反馈,解决问题。
主要的安全防护技术方法:
- 统一身份认证,提供身份认证和权限管理功能,可以管理用户(比如员工、系统或应用程序)帐号,并且可以控制这些用户对其名下资源的操作权限。可通过IAM采取适合的用户管理、身份认证和细粒度的云上资源访问控制等措施,防止对内容数据进行的未授权修改。
- 操作日志审计,提供云帐户下资源的操作记录,实现安全分析、合规审计、问题定位等场景。
- 数据加密服务,提供专属加密、密钥管理、密钥对管理等功能,进行密钥全生命周期集中管理,保障数据存储过程中的安全性。
- 数据传输加密,在内外网均采用HTTPS、WSS进行加密传输,保证传输过程安全,保证信息不会被中间人篡改、窃取。
- 漏洞扫描器,可自动识别网站或服务器暴露在网络中的安全威胁,从而保护数据的完整性。
- 应用防火墙,保护其网站或服务器免受外部攻击,避免这些攻击影响Web应用程序的可用性、安全性或过度消耗资源,降低数据被篡改、失窃的风险。
- 堡垒机系统,对云主机进行远程运维,提 高客户的访问控制安全能力,保护资源运维 和系统管理的安全性,降低系统和运维资源 被非法入侵的风险。
参考资料
- 海外网络安全与数据合规法律观察:新加坡篇 https://www.sohu.com/a/352260767_120304891
- 新加坡合规常见问题:https://www.huaweicloud.com/securecenter/compliance/compliance-center/sg.html
- 解读:2021新加坡网络安全战略 https://www.secrss.com/articles/36020