瑞士金融行业监管要求遵从性指南

瑞士金融行业监管要求遵从性指南 文档版本1.1 发布日期2023-12-20 HUAWEICLOUD 版权所有©华为云计算技术有限公司2023。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 SparkooTechnologiesIrelandCo.,Ltd. 地址：2ndFloor,MespilCourt,MespilRoad, Ballsbridge,Dublin4,Dublin, D04E516,Ireland 网址：https://www.huaweicloud.com/eu/（具体请参见欧洲站华为云官网） 目录 1概述3 1.1背景与发布目的3 1.2适用的金融监管要求简介3 1.3名词定义4 2华为云安全合规5 3华为云安全责任共担8 4华为云全球基础设施9 5华为云如何遵从及协助客户满足瑞士《第2018/3号通告外包》10 5.1选择、指导和监督服务提供商10 5.2安全性13 5.3审计和监督14 5.4外包到国外15 5.5协议15 6华为云如何遵从及协助客户满足瑞士《第2023/1号通告操作风险和弹性--银行》17 6.1ICT风险管理17 6.2网络风险管理20 6.3关键数据风险管理24 6.4业务连续性管理29 7华为云如何遵从及协助客户满足瑞士《云指南》32 7.1责任和作用32 7.2选择和变更服务提供商与重要分包商33 7.3数据中心和运营中心36 7.4存储地点、数据流和访问概念37 7.5关于数据安全的一般技术和组织措施39 7.6银行保密和安全措施41 7.7权限和程序41 7.8对所使用的云服务和手段进行审计43 8华为云如何遵从及协助客户满足瑞士《第05/2020号指南》44 9结语46 10历史版本47 1概述 1.1背景与发布目的 随着技术的发展，对云计算技术及服务的使用已经成为瑞士金融机构的常态。云计算为金融机构的发展带来巨大的便利的同时，也为金融机构创造了更为复杂的业务运营环境。为规范金融行业对于信息科技的运用，瑞士金融市场监管局、瑞士银行家协会针对瑞士金融机构的网络安全、信息技术风险管理等方面发布了一系列监管规定。 华为云作为云服务供应商，致力于协助金融客户满足这些监管要求，持续为金融客户提供遵从金融行业标准要求的云服务及业务运行环境。本文将针对瑞士融机构在使用云服务时通常需遵循的监管要求，详细阐述华为云将如何协助其满足监管要求。 1.2适用的金融监管要求简介 瑞士金融市场监管局（FinancialMarketSupervisoryAuthority，以下简称“FINMA”）是瑞士金融行业的监管机构，负责确保瑞士金融市场的有效运转；瑞士银行家协会（SwissBankersAssociation，以下简称“SBA”）是全球最大的银行业行业公会，其会员涵盖了瑞士的银行、审计机构和券商等，在瑞士以及国际金融界都有着重大影响。 《第2018/3号通告外包》（Circular2018/3Outsourcing）：FINMA于2017年9月21日发布了该通告，其规定了银行、券商和保险公司在开展重要功能外包活动时必须遵守的要求。 《第2023/1号通告操作风险和弹性--银行》（Circular2023/1Operationalrisksandresilience--banks）：FINMA于2022年12月7日发布了该通告，对《第2008/21号通告操作风险--银行》进行了全面修订，完善了与操作风险管理相关的监管实践，在其基础上新增操作弹性的原则。监管领域包括总体操作风险管理、ICT风险管理、网络风险管理、关键风险管理、业务连续性管理、跨境事务风险管理以及保证操作弹性等。 《云指南》（CloudGuidelines）：SBA于2020年6月1日发布了该指南，确定了与通过云技术提供银行和金融服务相关的四个关键领域，包括治理、数据和数据安全、权限和程序、对所使用的云服务和手段的审计。指南中就如何管理这些领域提出了建议。这些建议不具有法律约束力。银行可在考虑到其规模和业务模式的复杂性的情况下，将该指南作为最佳实践加以应用。 《第05/2020号指南》（Guidance05/2020）：FINMA于2020年5月7日发布了该指南，对所有FINMA所监管的机构提出了在发生具有重大影响的网络攻击事件时向监管机构报告的要求，并且明确了履行报告义务的细节规定。 1.3名词定义 华为云 华为云是华为的云服务品牌，致力于提供稳定可靠、安全可信、可持续创新的云服务。 客户 指与华为云达成商业关系的注册用户。 外包 指金融机构授权服务提供商独立地、持续地履行对其业务活动有重要意义的全部或部分职能。 重要职能 指对遵守金融市场立法的目的和规定有重大影响的职能。 关键数据 指基于金融机构的规模、复杂性、结构、风险状况和业务模式，具有重要意义的，需要加强对其实施的安全措施的数据。这些数据对于金融机构提供服务或监管至关重要。 关键流程 指那些发生重大破坏时，将会危及重要职能的提供的流程。 ICT 指IT和通信系统的物理和逻辑（电子）架构、各个硬件和软件资产、网络、数据和操作环境。 客户识别数据 指那些能够反映个人数据，并识别所涉及客户的客户数据。 受保护信息 指客户识别数据、个人数据以及金融机构所指定的需要保密处理的其他信息和数据。 重要分包商 指履行重要职能的分包商，以及金融机构视为重要的分包商。 2华为云安全合规 华为云继承了华为公司完备的管理体系以及IT系统的建设和运营经验，对华为云各项服务的集成、运营及维护进行主动管理，并持续改进。截至目前，华为云已获得众多全球性、区域性和行业特定的安全合规的权威认证，全力保障客户部署业务的安全。 关于更多华为云的安全合规信息以及获取相关合规证书，可参见华为云官网“信任中心-合规中心” 华为云部分标准类认证/鉴证示例： 认证 描述 ISO27001:2022 ISO27001是目前国际上被广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心，通过定期评估风险和对应的控制措施来有效保证组织信息安全管理体系的持续运行。 ISO27017:2015 ISO27017是针对云计算信息安全的国际认证。ISO27017的通过，表明华为云在信息安全管理能力达到了国际公认的最佳实践。 ISO27018:2019 ISO27018是专注于云中个人数据保护的国际行为准则。ISO27018的通过，表明华为云已满足国际认可的公有云个人数据保护措施的要求，可保证客户个人数据安全。 TL9000&ISO9001 ISO9001是ISO9000族标准所包括的一组质量管理体系核心标准之一，用于证实组织具有提供满足顾客要求和适用法规要求的产品的能力。TL9000是一个建立在ISO9001基础上的，由全球电信业优质供应商联盟（QuESTForum）针对全球信息和通讯技术（ICT）行业特定设计的、为ICT产品和服务供方提供的一套通用的质量管理体系要求。它包括了ISO9001的所有要求，ISO9001将来的任何改动也会导致TL9000的改动。华为云取得了ISO9001/TL9000认证证书，表明华为云可以为您提供更快，更好和更具成本效益的服务。 ISO20000-1:2018 ISO20000是针对信息技术服务管理领域的国际标准，提 认证 描述供设计、建立、实施、运行、监控、评审、维护和改进服务管理体系的模型以保证服务供应商可提供有效的IT服务来满足客户和业务的需求。 ISO22301:2019 ISO22301是国际公认的业务连续性管理体系标准，通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生，并且制定完备的“业务连续性计划”，有效地应对中断发生后的快速恢复，保持核心功能正常运行，将损失和恢复成本降至最低。 CSASTAR认证 CSASTAR认证是由标准研发机构BSI（英国标准协会）和CSA（云安全联盟）合作推出的国际范围内的针对云安全水平的权威认证，旨在应对与云安全相关的特定问题，协助云计算服务商展现其服务成熟度的解决方案。 ISO27701:2019 ISO27701规定了建立、实施、维护和持续改进隐私相关所特定的管理体系的要求。华为云通过ISO27701表明了其在个人数据保护具有健全的体制。 BS10012:2017 BS10012是BSI发布的个人信息数据管理体系标准，BS10012认证的通过表明华为云在个人数据保护上拥有完整的体系以保证个人数据安全。 ISO29151:2017 ISO29151是国际个人身份信息保护实践指南。ISO29151的通过，表明华为云实施国际认可的个人数据处理的全生命周期的管理措施。 PCIDSS 支付卡行业数据安全标准（PCIDSS）是由JCB、美国运通、Discover、万事达和Visa等五家国际信用卡组织共同建立的一套支付卡行业数据安全标准，由支付卡行业安全标准委员会管理。它是世界上最权威、最严格的金融机构认证。 PCI3DS PCI3DS标准，旨在保护执行特定3DS功能或者存储3DS数据的3DS环境，支持3DS的实施。PCI3DS的评估对象为3D协议执行环境，包括访问控制服务器、目录服务器或3DS服务器功能；以及3D执行环境内和连接到环境所需要的系统组件，如防火墙、虚拟服务器、网络设备、应用等；除此之外，还会评估3D协议执行环境的过程、流程、人员管理等。 ISO27799:2016 ISO/IEC27799是专注于医疗行业的信息安全管理体系， 认证 描述为医疗行业和其相关机构提供了关于如何更好地保护个人健康信息的保密性、完整性、可审计性和可用性的指导。华为云是全球首个获得该认证的云服务商，表明华为云对医疗行业的理解和实践，对医疗行业信息安全的防护能力得到国际权威认可，能够更可靠的保障您的信息安全。 ISO27034 ISO/IEC27034是国际标准化组织ISO通过的第一个关注建立安全软件程序流程和框架的标准，它清晰地定义了实际应用中软件系统面临的风险，同时为不同类型的软件开发组织提供了一套可以灵活应用的方法。华为云是全球首家获得ISO/IEC27034认证的云服务提供商，表明华为云具备在云服务中保持持续安全和合规的能力。 SOC审计报告 SOC审计报告是由第三方审计机构根据美国注册会计师协会（AICPA）制定的相关准则，针对外包服务商的系统和内部控制情况出具的独立审计报告。 3华为云安全责任共担 在复杂的云服务业务模式中，云安全不再是某一方单一的责任，需要租户与华为云共同努力。基于此，华为云为帮助租户理解双方的安全责任边界、避免出现安全责任真空区而提出了责任共担模型。在模型中租户与华为云具体负责的区域可参见下图。 图3-1责任共担模型 基于责任共担模型，华为云与租户主要承担如下责任： 华为云：主要责任是研发并运维运营华为云数据中心的物理基础设施，华为云提供的各项基础服务、平台服务和应用服务，也包括各项服务内置的安全功能。同时，华为云还负责构建物理层、基础设施层、平台层、应用层、数据层和用户身份管理 （IAM）层的多维立体安全防护体系，并保障其运维运营安全。 租户：主要责任是在租用的华为云基础设施与服务之上定制配置并且运维运营