华为云新加坡金融行业监管要求遵从性指南

华为云新加坡金融行业监管要求遵从性指南 文档版本3.0 发布日期2024-01-26 华为云计算技术有限公司 版权所有©华为云计算技术有限公司2024。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/ 目录 1简介1 2华为云安全与隐私合规2 3华为云安全责任共担模型5 4华为云全球基础设施6 5华为云如何符合MAS《外包指南》的要求7 5.1与MAS在外包的合作7 5.2风险管理实践7 5.3云计算11 6华为云如何符合MAS《科技风险管理指南》的要求13 6.1科技风险治理和监督13 6.2科技风险管理框架15 6.3IT项目管理和设计安全16 6.4软件应用程序开发与管理19 6.5IT恢复能力21 6.6访问控制24 6.7数据和基础设施安全25 7华为云如何符合MAS《关于网络卫生的通知》的要求29 8华为云如何符合ABS《外包服务商控制目标和流程指南》的要求33 8.1审计和检查33 8.2实体级别控制35 8.3通用IT控制37 8.4服务控制42 9华为云如何符合ABS《ABS云计算实施指南》的要求44 9.1尽职调查建议的活动44 9.2进入云外包安排时建议的控制措施46 10华为云如何符合MAS《业务连续性管理指南》的要求56 10.1关键业务服务和职能56 10.2服务恢复时间目标57 10.3依赖映射关系58 10.4集中风险60 10.5持续审视与改进61 10.6测试63 10.7审计65 10.8事件与危机管理66 11华为云如何符合MAS《针对如何应对与采用公有云有关的技术和网络安全风险的咨询意见》的要求69 11.1共同承担网络安全责任69 11.2身份访问管理70 11.3保护公有云中的应用程序73 11.4数据安全和加密密钥管理76 11.5不可变工作负载和基础设施即代码77 11.6网络安全运营78 11.7云韧性风险管理79 11.8云服务提供商的外包尽职调查80 11.9供应商锁定和集中风险管理81 11.10技能82 12结语83 13版本历史84 1简介 在科技发展的浪潮中，越来越多的金融机构在逐渐寻求业务转型并希望借助先进的技术以降低成本、提升运营效率、实现业务模式的创新。为了规范金融行业对于信息科技的运用，新加坡金融监管局（MAS）以及新加坡银行协会（ABS）发布了一系列监管要求、指南和通知，针对新加坡金融机构科技风险管理、科技外包管理以及云计算实施等方面提出了相关监管要求。 华为云作为云服务供应商，致力于协助金融客户满足这些监管要求，持续为金融客户提供符合金融行业标准要求的云服务及业务运行环境。为此，华为云目前已建立起一套涵盖业界主流云安全标准以及华为云安全管理要求的方法体系，覆盖了网络安全与隐私保护领域中多个方面的要求，其实施有助于提升华为云自身合规水平，同时能够协助金融客户满足相关监管要求、指南和通知。 本文将针对新加坡金融机构在使用云服务时通常需遵循的以下监管要求和指南，详细阐述华为云将如何协助其满足监管要求： MAS外包指南：针对已经或计划将业务活动外包给服务供应商的金融机构，提出了希望金融机构能够遵守的外包管理相关要求，为金融机构外包活动的风险管理提供了良好实践指导。 MAS科技风险管理指南：规定了科技风险管理原则和最佳实践标准，指导金融机构建立健全、可靠的科技风险管理框架。 MAS关于网络卫生的通知：为新加坡金融机构提供了关于遵循相关法令的实践指导。 ABS外包服务商控制目标和流程指南：规定了为金融机构提供服务的外包服务供应商应具备的最低/基线控制措施。 ABS云计算实施指南：为金融机构提供了关于使用云服务的最佳实践和注意事项。 MAS业务连续性管理指南：为新加坡金融机构加强业务连续性管理提供指导，旨在帮助金融机构增强抵御服务中断的能力，同时最大限度地减少服务中断所造成的负面影响。 MAS针对如何应对与采用公有云有关的技术和网络安全风险的咨询意见：强调了金融机构在采用公有云服务前应考虑的一些常见的关键风险和控制措施。为金融机构更加安全地使用公有云服务，降低相关风险提供指导。 2华为云安全与隐私合规 华为云继承了华为公司完备的管理体系以及IT系统的建设和运营经验，对华为云各项服务的集成、运营及维护进行主动管理，并持续改进。截至目前，华为云已获得众多全球性、区域性和行业特定的安全合规的权威认证，全力保障客户部署业务的安全。 关于更多华为云的安全合规信息以及获取相关合规证书，可参见华为云官网“信任中心-合规中心”。 华为云部分标准类认证/鉴证示例： 认证 描述 ISO27001:2022 ISO27001是目前国际上被广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心，通过定期评估风险和对应的控制措施来有效保证组织信息安全管理体系的持续运行。 ISO27017:2015 ISO27017是针对云计算信息安全的国际认证。ISO27017的通过，表明华为云在信息安全管理能力达到了国际公认的最佳实践。 ISO27018:2019 ISO27018是专注于云中个人数据保护的国际行为准则。ISO27018的通过，表明华为云已满足国际认可的公有云个人数据保护措施的要求，可保证客户个人数据安全。7 TL9000&ISO9001 ISO9001是ISO9000族标准所包括的一组质量管理体系核心标准之一，用于证实组织具有提供满足顾客要求和适用法规要求的产品的能力。TL9000是一个建立在ISO9001基础上的，由全球电信业优质供应商联盟（QuESTForum）针对全球信息和通讯技术（ICT）行业特定设计的、为ICT产品和服务供方提供的一套通用的质量管理体系要求。它包括了ISO9001的所有要求，ISO9001将来的任何改动也会导致TL9000的改动。华为云取得了ISO9001/TL9000认证证书，表明华为云可以为您提供更快，更好和更具成本效益的服务。 ISO20000-1:2018 ISO20000是针对信息技术服务管理领域的国际标准，提供设计、建立、实施、运行、监控、评审、维护和改进服务管理体系的模型以保证服务供应商可提供有效的IT服务来满足客户和业务的需 认证 描述求。 ISO22301:2019 ISO22301是国际公认的业务连续性管理体系标准，通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生，并且制定完备的“业务连续性计划”，有效地应对中断发生后的快速恢复，保持核心功能正常运行，将损失和恢复成本降至最低。 CSASTAR认证 CSASTAR认证是由标准研发机构BSI（英国标准协会）和CSA （云安全联盟）合作推出的国际范围内的针对云安全水平的权威认证，旨在应对与云安全相关的特定问题，协助云计算服务商展现其服务成熟度的解决方案。 ISO27701:2019 ISO27701规定了建立、实施、维护和持续改进隐私相关所特定的管理体系的要求。华为云通过ISO27701表明了其在个人数据保护具有健全的体制。 BS10012:2017 BS10012是BSI发布的个人信息数据管理体系标准，BS10012认证的通过表明华为云在个人数据保护上拥有完整的体系以保证个人数据安全。 ISO29151:2017 ISO29151是国际个人身份信息保护实践指南。ISO29151的通过，表明华为云实施国际认可的个人数据处理的全生命周期的管理措施。 PCIDSS 支付卡行业数据安全标准（PCIDSS）是由JCB、美国运通、Discover、万事达和Visa等五家国际信用卡组织共同建立的一套支付卡行业数据安全标准，由支付卡行业安全标准委员会管理。它是世界上最权威、最严格的金融机构认证。 PCI3DS PCI3DS标准，旨在保护执行特定3DS功能或者存储3DS数据的3DS环境，支持3DS的实施。PCI3DS的评估对象为3D协议执行环境，包括访问控制服务器、目录服务器或3DS服务器功能；以及3D执行环境内和连接到环境所需要的系统组件，如防火墙、虚拟服务器、网络设备、应用等；除此之外，还会评估3D协议执行环境的过程、流程、人员管理等。 ISO27799:2016 ISO/IEC27799是专注于医疗行业的信息安全管理体系，为医疗行业和其相关机构提供了关于如何更好地保护个人健康信息的保密性、完整性、可审计性和可用性的指导。华为云是全球首个获得该认证的云服务商，表明华为云对医疗行业的理解和实践，对医疗行业信息安全的防护能力得到国际权威认可，能够更可靠的保障您的信息安全。 ISO27034 ISO/IEC27034是国际标准化组织ISO通过的第一个关注建立安全软件程序流程和框架的标准，它清晰地定义了实际应用中软件系统面临的风险，同时为不同类型的软件开发组织提供了一套可以灵活应用的方法。华为云是全球首家获得ISO/IEC27034认证的云服务提供商，表明华为云具备在云服务中保持持续安全和合规的能力。 认证 描述 SOC审计报告 SOC审计报告是由第三方审计机构根据美国注册会计师协会 （AICPA）制定的相关准则，针对外包服务商的系统和内部控制情况出具的独立审计报告。 3华为云安全责任共担模型 华为云的主要责任是研发并运维运营华为云数据中心的物理基础设施，华为云提供的各项基础服务、平台服务和应用服务，也包括各项服务内置的安全功能。同时，华为云还负责构建物理层、基础设施层、平台层、应用层、数据层和用户身份管理 （IAM）层的多维立体安全防护体系，并保障其运维运营安全。 租户的主要责任是在租用的华为云基础设施与服务之上定制配置并且运维运营其所需的虚拟网络、平台、应用、数据、管理、安全等各项服务，包括对华为云服务的定制配置和对租户自行部署的平台、应用、用户身份管理等服务的运维运营。同时，租户还负责其在虚拟网络层、平台层、应用层、数据层和IAM层的各项安全防护措施的定制配置、运维运营安全、以及用户身份的有效管理。 关于华为云与租户的安全责任详情，可参考华为云已发布的《华为云安全白皮书》。 4华为云全球基础设施 华为云目前已陆续在全球多个国家或地区开服。华为云的基础设施采用在全球部署多个地理区域（Region）和多可用区（AZ）的模式，华为云能够在多个地理区域内或同一地域内多个可用区之间灵活替换计算实例和存储数据，每个可用区都是一个独立故障维护域，也就是各可用区物理上是隔离的。用户可充分利用这些地理区域和可用区，规划应用系统在云上的部署和运行。基于多个可用区进行应用的分布式部署，可保证在大多故障情况下系统都能连续运行。关于更多关于华为云基础设施的信息，参见华为云官网“全球基础设施”。 文档版本3.0(2024-01-26)版权所有©华为云计算技术有限公司6 5华为云如何符合MAS《外包指南》的要求 《外包指南》从风险管理的角度阐述了金融机构在进行业务外包时需要考虑的事项及应遵守的要求。MAS外包指南涵盖与MAS在外包、风险管理实践和云计算方面的合作，表达了新加坡金融管理局对金融机构外包管理方面的期望。 以下内容将总结该指南中与云服务供应商相关的控制要求，并详细