华为云秘鲁政府行业安全遵从性指南

华为云秘鲁政府行业安全遵从性指南 文档版本1.0 发布日期2024-07-23 华为云计算技术有限公司 版权所有©华为云计算技术有限公司2024。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/ 目录 1概述4 1.1背景和发布目的4 1.2适用的秘鲁政府实体的网络安全与隐私保护监管要求简介4 1.3名词定义5 2华为云安全合规6 3华为云安全责任共担9 4华为云全球基础设施10 5华为云如何遵从及协助客户满足秘鲁《数字信任框架》要求11 5.1法规责任遵从要求11 5.1.1数字服务提供者的义务11 5.1.2将数据作为战略资产14 5.2客户可选择的额外安全措施14 6华为云如何遵从及协助客户满足《数字政府法》和《数字政府法条例》要求16 6.1法规责任遵从要求16 6.1.1设计安全16 6.1.2数字服务系统安全要求17 6.1.3数字资产安全18 6.1.4个人数据保护20 6.1.5逻辑安全22 6.1.6意识培训23 6.1.7信息安全管理系统（SGSI）23 6.1.8风险管理25 6.1.9事件管理25 6.1.10信息安全审计26 6.2客户可选择的额外安全措施27 7结语30 8历史版本31 1概述 1.1背景和发布目的 随着数字化转型的加速，秘鲁政府正面临前所未有的信息化发展机遇。在这一进程中，云计算技术以其灵活性、可扩展性和成本效益，成为推动政府服务现代化的关键力量。然而，这也带来了新的挑战，尤其是在数据隐私和安全方面。为了应对这些挑战，秘鲁政府行业正在积极探索如何有效利用云服务，同时确保符合国家法规和国际标准。在此背景下，秘鲁共和国议会批准了《数字信任框架》，旨在建立一个全面的数字政府治理结构，涵盖数字身份、服务、架构、互操作性、安全和数据管理等关键领域。 华为云作为云服务供应商，致力于帮助秘鲁政府客户在确保网络安全与隐私保护的前提下，有效地利用云计算技术，推动政务云的建设和信息化政策的实施。通过本白皮书，华为云希望为秘鲁政府行业的数字化转型提供有力的支持和指导。 1.2适用的秘鲁政府实体的网络安全与隐私保护监管要求简介 数字信任框架 秘鲁的《数字信任框架》于2020年由秘鲁共和国议会批准，是该国为加强数字服务的信任度而制定的一项重要法规，它涵盖了数字安全、数据保护和风险管理等多个方面。该框架对公共实体提出了一系列具体要求，以确保其通信服务的安全性和可靠性。政府公共实体必须遵守《数字信任框架》，但并不直接适用于云服务提供商。 数字政府法与数字政府法条例 秘鲁共和国议会于2018年发布了《数字政府法》，为该国数字政府治理提供了全面的指导，涉及数字身份、服务、架构、互操作性、安全和数据管理等多个关键领域。 作为数字政府法的法规，2021年发布的《数字政府法条例》确立了在行政程序中使用技术和电子手段的条件、要求和使用规则，旨在通过促进数字身份、服务、架构、数据、安全和架构的规范化管理，提高公共服务的效率、透明度和可访问性。 《数字政府法》与《数字政府法条例》强调了公共实体在确保信息安全和数字安全方面的责任，但并不直接适用于云服务提供商。 个人数据保护法与个人数据保护法条例 2011年，秘鲁颁布了《个人数据保护法》（PDPL），建立起一套系统完善的个人数据保护机制。该 法是目前秘鲁在保护个人数据安全方面最重要的法律依据。此后在2013年颁布了《个人数据保护法条例》细化了PDPL的内容，使个人数据保护过程中所涉各方的责任更加明确，推动了PDPL的顺利实施。 信息安全指令 根据秘鲁《个人数据保护法》的规定，秘鲁发布了一份安全指令，为所有个人数据库的持有者提供了一份有利于遵守该法律的文书，就遵守个人数据保护安全措施的条件、要求和技术措施提供了指导。 公共实体在处理个人数据时，需要遵守PDPL中对于个人数据库控制者的要求，针对秘鲁《个人数据保护法》、《个人数据保护法条例》和《信息安全指令》的遵从，华为云已在官网发布了《华为云秘鲁共和国PDPL遵从性指南》，可参照其中对于个人数据库控制者的要求。 1.3名词定义 华为云 华为云是华为的云服务品牌，致力于提供稳定可靠、安全可信、可持续创新的云服务。 云计算或云 根据美国国家标准技术研究院（NIST）的定义，是指一种基于互联网，能够按需提供共享计算机处理资源和数据的计算模式。。 客户 与华为云达成商业关系的注册用户。 个人数据库的控制者 指决定个人数据库的目的和内容以及处理和安全措施的自然人、私法法人或公共实体。 数字服务 完全或部分通过互联网或其他同等网络提供的服务，其特点是自动化、非现场和大量使用数字技术，用于生产和获取能为公民和大众创造公共价值的数据和内容。 2华为云安全合规 华为云继承了华为公司完备的管理体系以及IT系统的建设和运营经验，对华为云各项服务的集成、运营及维护进行主动管理，并持续改进。截至目前，华为云已获得众多国际和行业安全合规资质认证，全力保障客户部署业务的安全，主要包括： 认证 描述 ISO27001:2022 ISO27001是目前国际上被广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心，通过定期评估风险和对应的控制措施来有效保证组织信息安全管理体系的持续运行。 ISO27017:2015 ISO27017是针对云计算信息安全的国际认证。ISO27017的通过，表明华为云在信息安全管理能力达到了国际公认的最佳实践。 ISO27018:2019 ISO27018是专注于云中个人数据保护的国际行为准则。ISO27018的通过，表明华为云已满足国际认可的公有云个人数据保护措施的要求，可保证客户个人数据安全。 TL9000&ISO9001 ISO9001是ISO9000族标准所包括的一组质量管理体系核心标准之一，用于证实组织具有提供满足顾客要求和适用法规要求的产品的能力。TL9000是一个建立在ISO9001基础上的，由全球电信业优质供应商联盟（QuESTForum）针对全球信息和通讯技术（ICT）行业特定设计的、为ICT产品和服务供方提供的一套通用的质量管理体系要求。它包括了ISO9001的所有要求，ISO9001将来的任何改动也会导致TL9000的改动。华为云取得了ISO9001/TL9000认证证书，表明华为云可以为您提供更快，更好和更具成本效益的服务。 ISO20000-1:2018 ISO20000是针对信息技术服务管理领域的国际标准，提供设计、建立、实施、运行、监控、评审、维护和改进服务管理体系的模型以保证服务供应商可提供有效的IT服务来满足客户和业务的需求。 ISO22301:2019 ISO22301是国际公认的业务连续性管理体系标准，通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生，并且制定完备的“业务连续性计划”，有效地应对中断发生后的快速恢复，保持核心功能正常运行，将损失和恢复成本降至最低。 认证 描述 CSASTAR认证 CSASTAR认证是由标准研发机构BSI（英国标准协会）和CSA（云安全联盟）合作推出的国际范围内的针对云安全水平的权威认证，旨在应对与云安全相关的特定问题，协助云计算服务商展现其服务成熟度的解决方案。 ISO27701:2019 ISO27701规定了建立、实施、维护和持续改进隐私相关所特定的管理体系的要求。华为云通过ISO27701表明了其在个人数据保护具有健全的体制。 BS10012:2017 BS10012是BSI发布的个人信息数据管理体系标准，BS10012认证的通过表明华为云在个人数据保护上拥有完整的体系以保证个人数据安全。 ISO29151:2017 ISO29151是国际个人身份信息保护实践指南。ISO29151的通过，表明华为云实施国际认可的个人数据处理的全生命周期的管理措施。 PCIDSS 支付卡行业数据安全标准（PCIDSS）是由JCB、美国运通、Discover、万事达和Visa等五家国际信用卡组织共同建立的一套支付卡行业数据安全标准，由支付卡行业安全标准委员会管理。它是世界上最权威、最严格的金融机构认证。 PCI3DS PCI3DS标准，旨在保护执行特定3DS功能或者存储3DS数据的3DS环境，支持3DS的实施。PCI3DS的评估对象为3D协议执行环境，包括访问控制服务器、目录服务器或3DS服务器功能；以及3D执行环境内和连接到环境所需要的系统组件，如防火墙、虚拟服务器、网络设备、应用等；除此之外，还会评估3D协议执行环境的过程、流程、人员管理等。 ISO27799:2016 ISO/IEC27799是专注于医疗行业的信息安全管理体系，为医疗行业和其相关机构提供了关于如何更好地保护个人健康信息的保密性、完整性、可审计性和可用性的指导。华为云是全球首个获得该认证的云服务商，表明华为云对医疗行业的理解和实践，对医疗行业信息安全的防护能力得到国际权威认可，能够更可靠的保障您的信息安全。 ISO27034 ISO/IEC27034是国际标准化组织ISO通过的第一个关注建立安全软件程序流程和框架的标准，它清晰地定义了实际应用中软件系统面临的风险，同时为不同类型的软件开发组织提供了一套可以灵活应用的方法。华为云是全球首家获得ISO/IEC27034认证的云服务提供商，表明华为云具备在云服务中保持持续安全和合规的能力。 认证 描述 SOC审计报告 SOC审计报告是由第三方审计机构根据美国注册会计师协会（AICPA）制定的相关准则，针对外包服务商的系统和内部控制情况出具的独立审计报告。 3华为云安全责任共担 在复杂的云服务业务模式中，云安全不再是某一方单一的责任，需要租户与华为云共同努力。基于此，华为云为帮助租户理解双方的安全责任边界、避免出现安全责任真空区而提出了责任共担模型。在模型中租户与华为云具体负责的区域可参见下图。 图3-1华为云安全责任共担模型 基于责任共担模型，华为云与租户主要承担如下责任： 华为云：主要责任是研发并运维运营华为云数据中心的物理基础设施，华为云提供的各项基础服务、平台服务和应用服务，也包括各项服务内置的安全功能。同时，华为云还负责构建物理层、基础设施层、平台层、应用层、数据层和租户身份管（IAM）层的多维立体安全防护体系，并保障其运维运营安全。 租户：主要责任是在租用的华为云基础设施与服务之上定制配置并且运维运营其所需的虚拟网络、平台、应用、数据、管理、安全等各项服务，包括对华为云服务的定制配置和对租户自行部署的平台、应用、用户身份管理等服务的运维运营。同时，租户还负责其在虚拟网络层、平台层、应用层、数据层和IAM层的各项安全防护措施的定制配置、运维运营安全、以及用户身份的有效管理。 关于华为云与租户的安全责任详情，可参考华为云已发布的《华为云安全白皮书》。 4华为云全球基础设施 华为云目前已陆续在全球多个国家或地区开服。华为云的基础设施采用在全球部署多个地理区域（Region）和多可用区（AZ）的模式，华为云客户能够根据实际需求决定在多个地理区域内或同一地域内多个可用区之间灵活替换计算实