提供入侵测试或管理安全操作 网安服务供应商六个月内须申请执照

监管网络安全服务业者的执照框架昨天起生效。在新框架下，为客户电脑系统进行入侵测试或管理安全操作的公司、个人或第三方业者都须申请执照，才能在本地提供这些服务。

网络威胁日益加剧，消费者日后可参考一份名单，选择可以为他们管理好这些风险的可靠服务供应商。

监管网络安全服务业者的执照框架昨天（4月11日）起生效。在新框架下，为客户电脑系统进行入侵测试（penetration testing）或管理安全操作的公司、个人或第三方业者都须申请执照，才能在本地提供这些服务。

新加坡网络安全局说，这会提升服务供应商的水准，也能更好地保护消费者的利益。

网安局目前只规定这两个领域的业者必须申请执照，是因为这些服务的供应商有机会接触客户的电脑系统和敏感资料，如果业者滥用权限，将扰乱客户业务。此外，本地市场已广泛采用这两种服务，发生任何事都会对整个网安生态造成显著影响。

根据网安局昨天发的文告，已经或有意提供上述服务的业者，必须在六个月内申请执照。10月11日以后未持照营业的话，属于违法行为。一旦罪成，可判坐牢最长两年，罚款5万元，或两者兼施。已经提出申请，但未在限期前得到答复的业者，可继续提供服务，直至当局作出决定。

执照有效期为两年，个人和公司的执照费分别为500元和1000元。考虑到疫情影响，网安局会为所有在第一年提出申请的业者，豁免一半的执照费。

当局已设立网安服务监管办公室，负责所有与执照框架相关的事务，包括确保业者遵守执照条件、为业者、企业和公众解决有关执照框架的疑问，以及提供持照业者名单等资料。

网安局去年9月就框架细节展开咨询活动，期间共收到29份业者、协会和公众提出的意见，制定新框架时也参考这些反馈。

其中一项反馈是关于持照者须向网安局提供的资料。当局在调查违例情况或评估执照资格时，有权要求对方提供资料协助调查。网安局强调，当局只会要求对方提交与调查有关的资料，例如确保业者遵守档案记录要求。

网安局原本也要求持照业者在委任关键人员时，须提前30天通知监管人员。不过一些业者反映，基于法律或保密限制，无法这么做，他们希望能在委任相关人员后，才通知监管人员，因此当局修改条例，业者只须在委任关键人员后的14天内通知。

立杰律师事务所平时会请人为电脑系统进行入侵测试，公司信息科技区域总监王木羽说，公司之前较难找到能够信任的供应商。规定业者须申请执照后，可确保这些供应商具备基本服务素质，公司今后也能直接通过有关当局提供的名单，更放心地挑选较可靠的供应商。

他也说，一些公司之前对业者服务不满，却没有提交反馈的渠道。今后他们能举报业者不道德或不称职的表现，促使持照服务供应商提升标准。不过他担心，一些业者会在申请到执照后趁机大幅涨价，公司日后可选择的供应商也可能较为有限。

至于提供其他网安服务的业者，网安局会继续观察情况和征询业界的意见，再决定是否规定这些供应商也必须申请执照。