Evvo Labs | 2026年5月19日
2026年3月2日,新加坡网络安全局(CSA)正式将以自愿性认证项目起步的网络信任标志(Cyber Trust Mark,简称CTM)转变为面向特定经济领域企业的强制性法律要求。
网络信任标志于2022年3月启动,2025年进行全面升级,将人工智能安全、云安全及运营技术(OT)安全纳入认证范畴。2026年3月的立法修订,则正式将三级关键信息基础设施(CII)所有者、CII审计机构及持牌网络安全服务提供商纳入强制认证体系。
若您的业务涉及或服务于新加坡认定的关键基础设施领域——金融服务、医疗、能源、交通、供水、政府、信息通信及航空——合规截止日期绝非可选项,而是法律义务。
2026年3月2日究竟发生了什么
CSA正式通过以下三类实体的强制性义务:
- CII所有者——根据新加坡《网络安全法》被认定为关键信息基础设施的机构。这些实体须为其支撑CII业务的非CII系统取得CTM五级认证。
- CII审计机构——负责对CII系统进行网络安全审计的机构。若您从事CII审计,须在2026年12月31日前取得CTM五级认证。
- 持牌网络安全服务提供商(CSP)——具体涵盖提供渗透测试及托管安全运营中心(SOC)服务的机构。CSA同时正在就要求所有持牌CSP最低满足CTM三级标准进行咨询。
2025年增强版网络信任标志(已发布为新加坡标准SS 712:2025)在传统网络安全基础上新增三大支柱:
– 云安全——覆盖多云配置、数据主权及第三方供应商风险
– 运营技术安全——面向工业及关键基础设施环境中的运营技术系统
– 人工智能安全——应对提示词注入攻击、模型篡改及AI供应链风险
这使CTM 2025成为全球首批在国家标准层面明确将AI安全控制编纂成文的国家级认证框架之一。
合规截止日期一览
| 实体类型 | 截止日期 | 认证级别 |
|---|---|---|
| CII审计机构 | 2026年12月31日 | CTM五级 |
| 持牌CSP(渗透测试、托管SOC) | 2026年12月31日 | CTM五级 |
| CII所有者——CII系统 | 根据《网络安全法》已强制要求 | CTM五级 |
| CII所有者——支撑性非CII系统 | 2027年12月31日 | CTM五级 |
在住宅路由器方面,到2027年,在新加坡销售的路由器须满足网络安全标签计划(CLS)二级要求——相比现行的基础级一级要求(唯一默认密码、软件更新)将有显著提升。
对企业的三大战略影响
1. 供应链已纳入监管范围
陈杰能政务部长(SMS Tan Kiat How)在2026年3月MDDI委员会供应辩论中宣布,管理关键系统及敏感政府数据的政府供应商须满足CTM要求。这意味着合规不仅关乎您自身的系统。若您向政府或CII运营商供货,客户将把您的CTM认证作为合作的前提条件。
2. AI安全已成必选项
2025年CTM增强版并非形式化的更新。随着大型语言模型提示词注入攻击持续增加,以及《新加坡网络景观2024》报告将AI赋能攻击面列为日益突出的威胁——CSA将AI安全纳入核心支柱这一决定,释放了明确信号:监管机构期望部署AI的企业配备与风险相称的安全控制。若您正在构建、集成或运营相关AI系统,五级认证要求您在模型访问控制、训练数据保护和输出验证方面具备可验证的能力。
3. 三级认证可能成为CSP行业事实标准
虽然目前仅渗透测试和托管SOC提供商面临2026年12月的五级截止日期,但CSA就所有持牌CSP最低三级要求展开的咨询表明,CTM认证正在成为新加坡整个网络安全行业专业能力的基准。提前布局可使您的机构在市场重新认证过程中占据有利地位。
现有资助与支持措施
新加坡并未让企业独自承担合规成本。关键支持机制包括:
- 资金补贴:在新加坡注册成立的中小企业及非营利组织,根据终端数量,可获得最高2,250新元(传统网络安全)及450新元(云/OT/AI安全附加模块)的认证费用直接减免
- CISO即服务:更新后的计划帮助中小企业无需全职雇用即可获得高级网络安全专业支持
- 网络弹性中心:由新加坡工商联合总会(SBF)联合新加坡中华总商会(SCCCI)和SGTech等创始成员成立,将于2026年开始运营——提供与网络弹性基本要求对齐的协调事件响应及网络安全研讨会
- Google网络安全证书奖学金:通过指定认证机构向新获认证企业提供
企业当下应采取的行动
若您是CII所有者或运营商:
– 立即对照CTM五级22个领域评估当前认证状态
– 尽早与指定认证机构接洽——审计准备周期通常需3至6个月
– 梳理支撑CII的非CII系统,将其纳入认证范围
若您是CII审计机构或持牌CSP:
– 距2026年12月仅剩7个月。优先开展差距评估,对照22个领域识别不足
– 提前取得CTM五级认证,可在CII审计市场收缩过程中赢得竞争优势
若您向CII运营商或政府供货:
– 预计CTM要求将在12至18个月内向下游供应链传导
– 主动获取认证,将在竞争性招标中形成差异化优势
参考来源
- Cyber Security Agency of Singapore. (2025). Certification for the Cyber Trust Mark. CSA. 检索自 https://www.csa.gov.sg/our-programmes/support-for-enterprises/sg-cyber-safe-programme/cybersecurity-certification-for-organisations/cyber-trust/certification-for-the-cyber-trust-mark
- Digital Policy Alert. (2026). Cyber Trust Mark requirements in critical information infrastructure and cybersecurity industries. 检索自 https://digitalpolicyalert.org/change/18573-cyber-trust-mark-requirements-in-critical-information-infrastructure-and-cybersecurity-industries
- Baker McKenzie. (2026). Singapore: Cybersecurity Regulatory Developments Ahead. 检索自 https://www.bakermckenzie.com/en/insight/publications/2026/04/singapore-cybersecurity-regulatory-developments-ahead
- Ministry of Digital Development and Information. (2026). Opening Remarks by SMS Tan Kiat How for SG Cyber Safe for Enterprises. MDDI. 检索自 https://www.mddi.gov.sg/newsroom/opening-remarks-by-sms-tan-kiat-how-for-sg-cyber-safe-for-enterprises/
- The Straits Times. (2026). Singapore develops its own threat detection tool on the heels of UNC3886 attacks. 检索自 https://www.straitstimes.com/singapore/politics/singapore-develops-its-own-threat-detection-tool-on-the-heels-of-unc3886-attacks
Evvo Labs是获得CREST认证的网络安全咨询机构,专注于渗透测试、AI安全及新加坡和东南亚地区企业合规咨询。联系方式:security@evvolabs.vn