华为云肯尼亚金融行业监管要求遵从性指南

华为云肯尼亚金融行业监管要求遵从性指南 文档版本1.0 发布日期2023-02-09 华为云计算技术有限公司 版权所有©华为云计算技术有限公司2023。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/ 目录 1概述1 1.1背景与发布目的1 1.2适用肯尼亚的金融监管要求简介1 1.3名词定义2 2华为云安全合规3 3华为云安全责任共担6 4华为云全球基础设施7 5华为云如何遵从及协助客户遵从《风险管理指南》8 5.1政策和程序9 5.2衡量、监测和控制10 5.3风险评估、测量和监测11 6华为云如何遵从及协助客户遵从《IRA风险管理和内部控制准则》17 6.1风险管理制度18 6.2风险缓解和控制19 7华为云如何遵从及协助客户遵从《CBK审慎外包指引CBKPG16》21 8华为云如何遵从及协助客户遵从《网络安全指导说明》26 9华为云如何遵从及协助客户遵从《支付服务提供商网络安全指南》29 10结语32 11历史版本33 1概述 1.1背景与发布目的 随着技术的发展，对云计算技术及服务的使用已经成为肯尼亚金融机构的常态。云计算为金融机构的发展带来巨大的便利的同时，网络安全事件也随之出现。为规范金融行业对于信息科技的运用，肯尼亚中央银行（CBK）、保险监管局（IRA），针对肯尼亚金融机构的网络安全、信息技术风险管理等方面发布了一系列监管规定。 华为云作为云服务供应商，致力于协助金融客户满足这些监管要求，持续为金融客户提供遵从金融行业标准要求的云服务及业务运行环境。本文将针对肯尼亚金融机构在使用云服务时通常需遵循的监管要求，详细阐述华为云将如何协助其满足监管要求。 1.2适用肯尼亚的金融监管要求简介 肯尼亚中央银行（CBK）负责监督银行、信贷机构和支付运营商；保险监管局（IRA）负责管理和监督保险业。肯尼亚中央银行和保险监管局颁布了相关规定对金融机构提出要求。 ●《风险管理指南》（RISKMANAGEMENTGUIDELINES）：2013年1月，肯尼亚中央银行为所有机构提供关于风险管理体系和框架的最低要求指导方针。该指南覆盖风险管理框架、战略风险管理、信用风险管理、流动性风险管理、市场风 险管理、操作风险管理、信息与通信技术风险、合规风险等 ●《IRA风险管理和内部控制准则IRA/PG/11》（IRAGuidelinesonRiskManagementandInternalControlsIRA/PG/11）：2013年6月，保险监管局要求保险公司具备有效的风险管理和内部控制制度，作为整体公司管理框架的一 部分，包括有效的风险管理、合规、和内部审计等。 ●《CBK审慎外包指引CBK/PG/16》（CBKPrudentialGuidelinesonOutsourcingCBK/PG/16(OutsourcingGuidelines)whichisapplicabletobanks）：2013年1月，肯尼亚中央银行发布《审慎原则》，《审慎准则》中提供了金融机构必须实施的基本标准，其中包括《CBK审慎外包指引CBK/PG/16》。其第四部分具体要求约束了内部控制和谨慎标准、外包金融服务的风险管理实 践、监管和监督要求、金融服务的离岸外包等相关的安全要求。 –《网络安全指导说明》（GUIDANCENOTEONCYBERSECURITY）：2017 年8月，肯尼亚中央银行明确各机构在制定和实施旨在减轻网络风险的战略、 政策、程序和相关活动时应遵循的最低要求，主要覆盖风险管理、外包、信息通信技术、内部控制和公司治理等领域。 1.3名词定义 –《支付服务提供商网络安全指南》（CBKGuidelinesonCybersecurityforPaymentServiceProviders(PSPGuidelines)）：2019年11月，肯尼亚中央银行设定了支付服务提供商（PSP）应采用的最低标准，以制定有效的网络 安全治理和风险管理框架。 ●华为云 华为云是华为的云服务品牌，致力于提供稳定可靠、安全可信、可持续创新的云服务。 ●客户 指与华为云达成商业关系的注册用户。 ●云计算 根据美国国家标准技术研究院（NIST）的定义，是指一种基于互联网，能够按需提供共享计算机处理资源和数据的计算模式。 ●服务提供商 指使用第三方（公司集团内的关联实体或公司集团外的实体）持续开展现在或将来通常由该机构自己承担的活动。 ●业务连续性 指企业的持续和不间断的运作状态。 ●业务连续性管理 一种全面的业务方法，包括政策、标准、框架和程序，以确保在发生中断的情况下能够及时维持或恢复具体业务。它的目的是最大限度地减少业务、财务、法律、声誉和其他由中断引起的实质性后果。 2华为云安全合规 华为云继承了华为公司完备的管理体系以及IT系统的建设和运营经验，对华为云各项服务的集成、运营及维护进行主动管理，并持续改进。截至目前，华为云已获得众多国际和行业安全合规资质认证，全力保障客户部署业务的安全，主要包括： 全球性标准类认证 认证 描述 ISO20000-1:2011 ISO20000是针对信息技术服务管理领域的国际标准，提供设计、建立、实施、运行、监控、评审、维护和改进服务管理体系的模型以保证服务供应商可提供有效的IT服务来满足客户和业务的需求。 ISO27001:2013 ISO27001是目前国际上被广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心，通过定期评估风险和对应的控制措施来有效保证组织信息安全管理体系的持续运行。 ISO27017:2015 ISO27017是针对云计算信息安全的国际认证。ISO27017的通过，表明华为云在信息安全管理能力达到了国际公认的最佳实践。 ISO22301:2012 ISO22301是国际公认的业务连续性管理体系标准，通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生，并且制定完备的“业务连续性计划”，有效地应对中断发生后的快速恢复，保持核心功能正常运行，将损失和恢复成本降至最低。 SOC审计 SOC审计报告是由第三方审计机构根据美国注册会计师协会（AICPA）制定的相关准则，针对外包服务商的系统和内部控制情况出具的独立审计报告。华为云已获得SOC1TypeII,SOC2TypeII和SOC3鉴证审计报告三项权威认证，其中SOC2五大控制属性审计全部通过，为全球首家，表明华为云平台的信息安全管理能力已达到国际公认的最高标准，能够为您提供世界一流的安全隐私保障及服务。 认证 描述 PCIDSS认证 支付卡行业数据安全标准（PCIDSS）是由JCB、美国运通、Discover、万事达和Visa等五家国际信用卡组织共同建立的一套支付卡行业数据安全标准，由支付卡行业安全标准委员会管理。它是世界上最权威、最严格的金融机构认证。 CSASTAR金牌认证 CSASTAR认证是由标准研发机构BSI（英国标准协会）和CSA（云安全联盟）合作推出的国际范围内的针对云安全水平的权威认证，旨在应对与云安全相关的特定问题，协助云计算服务商展现其服务成熟度的解决方案。 国际通用准则CCEAL3+ CC(CommonCriteria)认证是一种信息技术产品和系统安全性的评估标准，它提供了一组通用的安全功能要求和安全保证要求，并在这些保证要求的基础上提供衡量IT安全性的尺度（即评估保证级EAL），使得独立的安全评估结果可以互相比较。 ISO27018:2014 ISO27018是专注于云中个人数据保护的国际行为准则。ISO27018的通过，表明华为云已满足国际认可的公有云个人数据保护措施的要求，可保证客户个人数据安全。 ISO29151:2017 ISO29151是国际个人身份信息保护实践指南。ISO29151的通过，表明华为云实施国际认可的个人数据处理的全生命周期的管理措施。 ISO27701:2019 ISO27701规定了建立、实施、维护和持续改进隐私相关所特定的管理体系的要求。华为云通过ISO27701表明了其在个人数据保护具有健全的体制。 BS10012:2017 BS10012是BSI发布的个人信息数据管理体系标准，BS10012认证的通过表明华为云在个人数据保护上拥有完整的体系以保证个人数据安全。 M&O认证 UptimeInstitute是目前全球公认的数据中心标准化组织和权威的专业认证机构。华为云数据中心已获得UptimeInstitute颁发的全球顶级数据中心基础设施运维认证(M&O认证)。获得M&O认证象征着华为云数据中心运维管理已处于国际领先水平。 NIST网络安全框架(CSF) NISTCSF由标准、指南和管理网络安全相关风险的最佳实践三部分组成，其核心内容可以概括为经典的IPDRR能力模型，即风险识别能力（Identify）、安全防御能力（Protect）、安全检测能力（Detect）、安全响应能力（Response）和安全恢复能力（Recovery）五大能力。 PCI3DS认证 PCI3DS标准，旨在保护执行特定3DS功能或者存储3DS数据的3DS环境，支持3DS的实施。PCI3DS的评估对象为3D协议执行环境，包括访问控制服务器、目录服务器或3DS服务器功能；以及3D执行环境内和连接到环境所需要的系统组件，如防火墙、虚拟服务器、网络设备、应用等；除此之外，还会评估3D协议执行环境的过程、流程、人员管理等。 地区性标准类认证 认证 描述 中国网络安全等级保护 网络安全等级保护是中华人民共和国公安部用于指导国内各组织单位进行网络安全建设的依据，目前已成为中国各行业广泛遵守的通用安全标准。华为云通过了网络安全等级保护三级，关键Region、节点通过了网络安全等级保护四级。 新加坡MTCSLevel3认证 MTCS多层云计算安全规范是由新加坡信息技术标准委员会制定的标准。该标准要求CSP在云计算中采用健全的风险管理和安全实践。目前华为云新加坡大区获得MTCS最高安全评级的Level3等级认证。 中国可信云金牌运维专项评估 金牌运维评估是面向已通过中国可信云服务认证的云服务供应商的运维能力专项评估。华为云通过“金牌运维”评估，体现了华为云服务具备完善、健全的运维管理体系，符合中国权威云服务运营和维护保障要求的认证标准。 中国云服务用户数据保护能力认证 云服务用户数据保护能力评估是针对云服务用户数据安全的评估机制，评测关键指标范围包括事前防范、事中保护、事后追溯三个层面。 中国工信部云计算服务能力评估 云计算服务能力评估是以《信息技术云计算云服务运营通用要求》等相关中国国家标准为依据的分级评估标准。 中国可信云评估 可信云评估是由数据中心联盟（DCA）组织、中国信息通信研究院（工信部电信研究院）测评的面向云计算服务和产品的权威评估。 中国网信办网络安全审查 网信办网络安全审查是中央网信办依据国家标准《云计算服务安全能力要求》进行的第三方安全审查。华为云服务政务云平台顺利通过该安全审查（增强级），表明华为政务云平台在安全性、可控性等方面获国家网络安全管理机构的认可。 关于更多华为云的安