华为云中华人民共和国香港特别行政区金融行业监管要求遵从性指南

华为云中华人民共和国香港特别行政区金融行业监管要求遵从性指南 文档版本1.3 发布日期2023-12-20 华为云计算技术有限公司 版权所有©华为云计算技术有限公司2023。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/ 目录 1简介1 2华为云的认证情况2 3华为云安全责任共担模型5 4华为云全球基础设施6 5华为云如何遵从及协助客户满足《TM-G-1科技风险管理的一般原则监管政策手册》的要 求7 5.1安全管理7 5.2系统开发及变更管理12 5.3信息处理13 5.4通信网络15 5.5技术服务供应商管理16 6华为云如何遵从及协助客户满足《SA-2外包监管政策手册》的要求18 6.1服务供应商的能力18 6.2外包协议19 6.3客户数据机密性20 6.4外包活动的管控21 6.5应急计划21 6.6外包数据访问21 7华为云如何遵从及协助客户满足《TM-G-2持续业务运作规划监管政策手册》的要求23 7.1业务影响分析和恢复策略23 7.2业务连续性计划的开发24 7.3业务和技术恢复的备用场地26 7.4业务连续性计划的实施27 8华为云如何遵从及协助客户满足《虚拟银行的认可指引》的要求29 9华为云如何遵从及协助客户满足《客户数据保护通告》的要求31 10华为云如何遵从及协助客户满足《事件响应与管理程序通告》的要求34 11华为云如何遵从及协助客户满足《云计算指南》的要求36 12华为云如何遵从及协助客户满足《TM-E-1电子银行风险管理》的要求42 12.1电子银行风险治理42 12.2互联网银行的系统及网络安全43 12.3欺诈和事件管理46 12.4系统可用性和业务连续性管理47 13结语51 14版本历史52 1简介 香港金融管理局（金管局）发布了一系列指引及通告，为香港金融机构进行信息科技风险管理提供了实用指南。随着金融机构在业务转型过程中逐渐引入先进技术，如将业务部署在云环境中运行，金管局期望其建立有效的科技风险管理框架，在实现其自身商业目标的同时，也最大限度地降低风险，并满足监管要求。 华为云持续关注金管局发布的监管指引及通告，并致力于协助金融客户满足这些监管指引及通告的要求。本文将针对金融机构通常需遵循的以下监管指引及通告，详细阐述华为云将如何协助其满足监管要求。 监管指引： TM-G-1科技风险管理的一般原则监管政策手册：就管理科技有关风险时应考虑的一般原则向认可机构提供建议。 SA-2外包监管政策手册：列出金管局对外包活动的监管方式及建议认可机构在外包业务时需处理的主要事项。 TM-G-2持续业务运作规划监管政策手册：说明金管局对持续业务运作规划的监管方式，以及金管局期望认可机构在持续业务运作规划时会考虑的稳健做法。 虚拟银行的认可指引：列出了金管局在决定是否认可虚拟银行在港开展银行业务时所考虑的原则。 云计算指南：说明金管局期望认可机构在采用云计算时需考虑实施的风险管理举措。 TM-E-1电子银行风险管理：金管局就认可机构管控与电子银行业务相关的风险提出了指导。 注：认可机构：金管局负责监管并认可的香港持牌银行、有限制牌照的银行及接受存款的公司。上述三类机构被统称为认可机构。 监管通告： 客户数据保护通告：提醒认可机构保护客户数据机密性的重要性，以及保护客户数据的一些关键控制措施。 事件响应与管理程序通告：提醒认可机构，必须具备有效的事件响应和管理能力及程序以处理重大事件，并列出认可机构就此类事件进行任何公众沟通时应遵循的原则。 2华为云的认证情况 华为云继承了华为公司完备的管理体系以及IT系统的建设和运营经验，对华为云各项服务的集成、运营及维护进行主动管理，并持续改进。截至目前，华为云已获得众多全球性、区域性和行业特定的安全合规的权威认证，全力保障客户部署业务的安全。 关于更多华为云的安全合规信息以及获取相关合规证书，可参见华为云官网“信任中心-合规中心” 华为云部分标准类认证/鉴证示例： 认证 描述 ISO27001:2022 ISO27001是目前国际上被广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心，通过定期评估风险和对应的控制措施来有效保证组织信息安全管理体系的持续运行。 ISO27017:2015 ISO27017是针对云计算信息安全的国际认证。ISO27017的通过，表明华为云在信息安全管理能力达到了国际公认的最佳实践。 ISO27018:2019 ISO27018是专注于云中个人数据保护的国际行为准则。ISO27018的通过，表明华为云已满足国际认可的公有云个人数据保护措施的要求，可保证客户个人数据安全。 TL9000&ISO9001 ISO9001是ISO9000族标准所包括的一组质量管理体系核心标准之一，用于证实组织具有提供满足顾客要求和适用法规要求的产品的能力。TL9000是一个建立在ISO9001基础上的，由全球电信业优质供应商联盟（QuESTForum）针对全球信息和通讯技术（ICT）行业特定设计的、为ICT产品和服务供方提供的一套通用的质量管理体系要求。它包括了ISO9001的所有要求，ISO9001将来的任何改动也会导致TL9000 认证 描述的改动。华为云取得了ISO9001/TL9000认证证书，表明华为云可以为您提供更快，更好和更具成本效益的服务。 ISO20000-1:2018 ISO20000是针对信息技术服务管理领域的国际标准，提供设计、建立、实施、运行、监控、评审、维护和改进服务管理体系的模型以保证服务供应商可提供有效的IT服务来满足客户和业务的需求。 ISO22301:2019 ISO22301是国际公认的业务连续性管理体系标准，通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生，并且制定完备的“业务连续性计划”，有效地应对中断发生后的快速恢复，保持核心功能正常运行，将损失和恢复成本降至最低。 CSASTAR认证 CSASTAR认证是由标准研发机构BSI（英国标准协会）和CSA（云安全联盟）合作推出的国际范围内的针对云安全水平的权威认证，旨在应对与云安全相关的特定问题，协助云计算服务商展现其服务成熟度的解决方案。 ISO27701:2019 ISO27701规定了建立、实施、维护和持续改进隐私相关所特定的管理体系的要求。华为云通过ISO27701表明了其在个人数据保护具有健全的体制。 BS10012:2017 BS10012是BSI发布的个人信息数据管理体系标准，BS10012认证的通过表明华为云在个人数据保护上拥有完整的体系以保证个人数据安全。 ISO29151:2017 ISO29151是国际个人身份信息保护实践指南。ISO29151的通过，表明华为云实施国际认可的个人数据处理的全生命周期的管理措施。 PCIDSS 支付卡行业数据安全标准（PCIDSS）是由JCB、美国运通、Discover、万事达和Visa等五家国际信用卡组织共同建立的一套支付卡行业数据安全标准，由支付卡行业安全标准委员会管理。它是世界上最权威、最严格的金融机构认证。 PCI3DS PCI3DS标准，旨在保护执行特定3DS功能或者存储3DS数据的3DS环境，支持3DS的实施。PCI3DS的评估对象为3D协议执行环境，包括访问控制服务器、目录服务器或3DS服务器功能；以及3D执行环境内和连接到 认证 描述环境所需要的系统组件，如防火墙、虚拟服务器、网络设备、应用等；除此之外，还会评估3D协议执行环境的过程、流程、人员管理等。 ISO27799:2016 ISO/IEC27799是专注于医疗行业的信息安全管理体系，为医疗行业和其相关机构提供了关于如何更好地保护个人健康信息的保密性、完整性、可审计性和可用性的指导。华为云是全球首个获得该认证的云服务商，表明华为云对医疗行业的理解和实践，对医疗行业信息安全的防护能力得到国际权威认可，能够更可靠的保障您的信息安全。 ISO27034 ISO/IEC27034是国际标准化组织ISO通过的第一个关注建立安全软件程序流程和框架的标准，它清晰地定义了实际应用中软件系统面临的风险，同时为不同类型的软件开发组织提供了一套可以灵活应用的方法。华为云是全球首家获得ISO/IEC27034认证的云服务提供商，表明华为云具备在云服务中保持持续安全和合规的能力。 SOC审计报告 SOC审计报告是由第三方审计机构根据美国注册会计师协会（AICPA）制定的相关准则，针对外包服务商的系统和内部控制情况出具的独立审计报告。 3华为云安全责任共担模型 华为云的主要责任是研发并运维运营华为云数据中心的物理基础设施，华为云提供的各项基础服务、平台服务和应用服务，也包括各项服务内置的安全功能。同时，华为云还负责构建物理层、基础设施层、平台层、应用层、数据层和用户身份管理 （IAM）层的多维立体安全防护体系，并保障其运维运营安全。 租户的主要责任是在租用的华为云基础设施与服务之上定制配置并且运维运营其所需的虚拟网络、平台、应用、数据、管理、安全等各项服务，包括对华为云服务的定制配置和对租户自行部署的平台、应用、用户身份管理等服务的运维运营。同时，租户还负责其在虚拟网络层、平台层、应用层、数据层和IAM层的各项安全防护措施的定制配置、运维运营安全、以及用户身份的有效管理。 关于华为云与租户的安全责任详情，可参考华为云已发布的《华为云安全白皮书》。 4华为云全球基础设施 华为云目前已陆续在全球多个国家或地区开服。华为云的基础设施采用在全球部署多个地理区域（Region）和多可用区（AZ）的模式，华为云能够在多个地理区域内或同一地域内多个可用区之间灵活替换计算实例和存储数据，每个可用区都是一个独立故障维护域，也就是各可用区物理上是隔离的。用户可充分利用这些地理区域和可用区，规划应用系统在云上的部署和运行。基于多个可用区进行应用的分布式部署，可保证在大多故障情况下系统都能连续运行。关于更多华为云基础设施的信息，可参见华为云官网“全球基础设施”。 5华为云如何遵从及协助客户满足《TM-G-1科技风险管理的一般原则监管政策手册》的要求 《TM-G-1科技风险管理的一般原则监管政策手册》为认可机构进行科技风险管理提供了通用原则和最佳实践指引，指引涵盖了信息科技治理、安全管理、系统开发及变更管理、信息处理、通信网络、技术服务供应商管理六大领域。 以下内容将总结TM-G-1中与云服务供应商相关的控制要求，并详细阐述华为云作为认可机构的云服务供应商时，会如何帮助认可机构满足这些控制要求。 5.1安全管理 TM-G-1第三章“安全管理”要求认可机构建立适当的安全管理机制，涵盖信息分类及保障、身份认证及访问控制、安全管理及监控、系统安全、物理和人员安全等安全领域。相关控制要求及华为云的应答如下： 编号 控制域 具体控制要求 华为云的应答 3.1 信息分类及保障 认可机构应保护存储信息的所有纸质或电子媒介，并建立稳妥的流程，以弃置及销毁存放在媒介上的敏感信息。 客户应考虑对所有存储信息的介质（包括纸质和电子）进