網絡安全局昨天(11日)推出網絡安全服務供應商執照框架,網絡安全服務供應商將需要申請執照,才能提供網絡安全服務。
網絡安全局發表文告表示,為網絡安全服務供應商推出執照框架,旨在更好地維護消費者利益和解決消費者與網絡安全服務供應商之間的信息不對稱的問題,並逐漸提高供應商的標準。
在新執照框架下,最先需要申請執照的兩種服務供應商分別是提供滲透測試(penetration testing)和管理安全運營中心監測服務(security operations centre monitoring)的公司或個人、第三方供應商以及授權提供網絡安全服務的經銷商。
這兩項服務被優先考慮,是因為服務供應商可以接觸到客戶電腦系統里的大量且敏感的信息。如果被濫用,可能打亂客戶的運作。
違例者將可被判刑
提供這兩項網絡安全服務的商家必須最遲在10月11日申請執照。未及時申請執照的服務供應商將必須停止提供這些要獲得許可的服務,直到獲得執照才能繼續。
違例者將可被判罰款最多5萬元,或最長兩年監禁,或兩者兼施。
執照的有效期為兩年。個人和公司的執照費分別為500元和1000元。為了援助受2019冠狀病毒疫情影響的商家,所有在明年4月11日之前申請執照的服務供應商,將可享有一次性豁免50%的執照費。
當局估計,有大約200家供應商將需在新框架下申請執照。
當局也設立了網絡安全服務監管辦公室 (Cybersecurity Services Regulation Office),以管理執照框架,以及促進網絡安全業與公眾就執照相關細節的聯繫工作。
使用網絡服務供應商服務的公司Rajah & Tann Technologies的首席技術官王木羽認為,新框架能讓公司更放心地選擇經過認證的網絡安全服務供應商,也為想要投訴不道德服務供應商的客戶提供了一項渠道。但他也擔心,有服務供應商會趁機調高服務價格。
