华为云马来西亚金融行业监管遵从性指南

华为云马来西亚金融行业监管遵从性指南 文档版本2.0 发布日期2023-02-21 华为云计算技术有限公司 版权所有©华为云计算技术有限公司2023。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/ 目录 1概述1 1.1背景与发布目的1 1.2适用的马来西亚金融监管要求简介1 1.3名词定义2 2华为云的认证情况4 3华为云安全责任共担模型7 4华为云全球基础设施8 5华为云如何遵从及协助客户满足BNM《科技风险管理》的要求9 5.1科技运营管理10 5.2网络安全管理25 5.3科技审计31 5.4内部意识和培训32 6华为云如何遵从及协助客户满足BNM《外包》的要求33 6.1外包流程与风险管理34 6.2马来西亚境外的外包39 6.3涉及云服务的外包40 7华为云如何遵从及协助客户满足BNM《客户信息管理与许可披露》的要求41 7.1控制环境42 7.2客户信息泄露49 7.3外包服务提供商51 8华为云如何遵从及协助客户满足BNM《发展金融机构的数据管理和管理信息系统框架指 引》的要求53 9华为云如何遵从及协助客户满足BNM《业务连续性管理》的要求55 10华为云如何遵从及协助客户满足BNM《云技术风险评估指南（CTRAG）-技术风险管理（RMIT）政策文件附录》（征求意见稿）的要求63 10.1云治理64 10.2云设计和控制70 11华为云如何遵从及协助客户满足SC《网络风险管理指引》的要求93 12华为云如何遵从及协助客户满足SC《业务连续性指导原则》的要求98 13结语101 14版本历史102 1概述 1.1背景与发布目的 随着在提供金融服务中更普遍地使用技术，金融机构有必要加强其应对业务中断的技术恢复能力，以保持对金融系统的信心。网络威胁日益复杂，这也要求金融机构提高警惕和应对新出现的威胁的能力。至关重要的是，金融机构应确保向客户持续提供必要的金融服务的同时，充分保障客户数据的安全。为了规范金融行业对于信息科技的运用，马来西亚国家银行（BNM）和马来西亚证券委员会（SC）发布了一系列监管要求，针对马来西亚金融机构科技风险管理、科技外包管理、客户信息保护、业务连续性管理、云技术风险评估等方面提出了相关监管要求。 华为云作为云服务供应商，致力于协助金融客户满足这些监管要求，持续为金融客户提供遵从金融行业标准要求的云服务及业务运行环境。本文将针对马来西亚金融机构在使用云服务时通常需遵循的监管要求，详细阐述华为云将如何协助其满足监管要求。 1.2适用的马来西亚金融监管要求简介 马来西亚国家银行（BNM） ●科技风险管理（RiskManagementinTechnology，简称RMiT）：该政策文件规定了马来西亚国家银行对金融机构科技风险管理的要求。在遵守这些要求时，金融机构应考虑其业务的规模和复杂性。此外，所有金融机构应遵守该文件规定 的最低标准，防止利用互联网络和系统中的薄弱环节，损害其他金融机构和更广泛的金融体系。 ●外包（Outsourcing）：该政策文件规定了与外包相关安排的范围，以及马来西亚国家银行对金融机构保持适当的内部治理和外包风险框架的要求和期望，包括与保护数据机密性有关的框架。这些要求也有助于确保金融机构具备持续能力对 外包活动进行有效的监督。 ●客户信息管理与许可披露（ManagementofCustomerInformationandPermittedDisclosures）：该政策文件规定了马来西亚国家银行对金融服务提供商在整个信息生命周期中处理客户信息的措施和控制的要求和期望，涵盖了客户 信息的收集、存储、使用、传输、共享、披露和处置。 ●发展金融机构的数据管理和管理信息系统框架指引（GuidelinesonDataManagementandManagementInformationSystemFrameworkfor DevelopmentFinancialInstitutions）:该政策文件规定了金融机构在发展内部数据管理能力时应遵循的合理数据管理和管理信息系统实践的高阶指导原则。金融机构应以与指引中规定的原则一致并且适合每个金融机构特定业务需求的方式 来构建和实施数据和管理信息系统。 ●业务连续性管理（BusinessContinuityManagement）：本政策文件旨在促进金融机构制定和实施与其总体风险偏好相结合的稳健的业务连续性管理框架、政策和流程，并加强健全的风险管理做法；加强金融机构应对业务中断并从中恢复 的能力和准备；和在运营中断的情况下，在指定的时间范围内保持关键业务功能和基本服务的连续性。 ●云技术风险评估指南（CTRAG）-技术风险管理（RMIT）政策文件附录（征求意见稿）（CloudTechnologyRiskAssessmentGuideline(CTRAG)-AppendixtoRiskManagementinTechnology(RMIT)PolicyDocument (ExposureDraft)）：本征求意见稿规定了评估金融机构采用云服务时常见关键风险和控制措施考虑因素的指南。拟议的预期作为技术风险管理（RMiT）政策文 件的补充指南，以加强金融机构的云风险管理能力。马来西亚证券委员会（SC） ●网络风险管理指引（GuidelinesonManagementofCyberRisk）：该政策文件规定了马来西亚证券委员会对金融机构网络风险管理的要求。这些要求有助于 金融机构提升网络风险管理能力，保障金融机构的网络安全。 ●业务连续性指导原则（GuidingPrinciplesonBusinessContinuity）：该政策文件旨在指导金融机构制定最低标准，并鼓励金融机构根据其业务运营的性质、规模和复杂性采用这些标准。原则的总体预期结果是确保在中断情况下关键服务 的及时持续提供以及业务义务的履行，最终目标是减轻或管理对马来西亚资本市场可能产生的更大范围的系统性风险。 *注：马来西亚国家银行发布的上述监管要求适用于银行、保险等金融机构，而马来西亚证券委员会发布的上述监管要求适用于马来西亚证券交易所、资本市场服务牌照持有者、注册人士以及马来西亚证券法规定的自我监管组织，具体的适用对象请参见监管要求原文。 1.3名词定义 ●华为云 华为云是华为的云服务品牌，致力于提供稳定可靠、安全可信、可持续创新的云服务。 ●服务提供商 根据外包安排向金融机构提供服务的实体，包括其分支机构。 ●网络弹性 指人员，流程，IT系统，应用程序，平台或基础架构承受不良网络事件的能力。 ●央行 指马来西亚国家银行（BankNegaraMalaysia,BNM）。 ●业务连续性 指金融机构在中断事件期间保持其业务和服务连续性的能力。 ●业务影响分析（BIA） 指在发生中断时衡量对金融机构运营和服务的定量和定性影响的过程。它用于确定对制定业务连续性计划至关重要的恢复优先级和恢复策略。 ●业务连续性计划（BCP） 指一项综合行动计划，该计划记录了在发生中断时恢复和恢复金融机构运营和服务所需的流程、程序、系统和资源。 ●危机管理计划 指一项综合行动计划，该计划记录了在危机发生时支持危机管理团队（CMT）决策的程序和流程。它包括启动BCP和灾难恢复计划（DRP）的标准。 ●灾难恢复计划（DRP） 指一项综合行动计划，其中记录了在发生中断时恢复和恢复金融机构的信息技术系统、应用程序和数据所需的程序和流程。 ●关键业务职能（CBF） 指金融机构承担的业务职能，此类业务职能的失败或中断可能会—— （a）严重影响金融机构的财务或非财务状况；和 （b）中断向客户提供基本服务。 ●最大可容忍停机时间（MTD） 指在中断危及金融机构关键业务功能之前允许恢复的时间段。 ●恢复时间目标（RTO） 指金融机构的系统和应用程序在中断后恢复并做好运行准备以支持其关键业务功能所需的时间框架。恢复时间目标包括以下两个部分： （a）BCP从中断到激活的持续时间；和 （b）从启动BCP到恢复业务运营的持续时间。 2华为云的认证情况 华为云继承了华为公司完备的管理体系以及IT系统的建设和运营经验，对华为云各项服务的集成、运营及维护进行主动管理，并持续改进。截至目前，华为云已获得众多国际和行业安全合规资质认证，全力保障客户部署业务的安全，主要包括： 全球性标准类认证 认证 描述 ISO20000-1:2011 ISO20000是针对信息技术服务管理领域的国际标准，提供设计、建立、实施、运行、监控、评审、维护和改进服务管理体系的模型以保证服务供应商可提供有效的IT服务来满足客户和业务的需求。 ISO27001:2013 ISO27001是目前国际上被广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心，通过定期评估风险和对应的控制措施来有效保证组织信息安全管理体系的持续运行。 ISO27017:2015 ISO27017是针对云计算信息安全的国际认证。ISO27017的通过，表明华为云在信息安全管理能力达到了国际公认的最佳实践。 ISO22301:2012 ISO22301是国际公认的业务连续性管理体系标准，通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生，并且制定完备的“业务连续性计划”，有效地应对中断发生后的快速恢复，保持核心功能正常运行，将损失和恢复成本降至最低。 SOC审计 SOC审计报告是由第三方审计机构根据美国注册会计师协会（AICPA）制定的相关准则，针对外包服务商的系统和内部控制情况出具的独立审计报告。 PCIDSS认证 支付卡行业数据安全标准（PCIDSS）是由JCB、美国运通、Discover、万事达和Visa等五家国际信用卡组织共同建立的一套支付卡行业数据安全标准，由支付卡行业安全标准委员会管理。它是世界上最权威、最严格的金融机构认证。 认证 描述 CSASTAR金牌认证 CSASTAR认证是由标准研发机构BSI（英国标准协会）和CSA（云安全联盟）合作推出的国际范围内的针对云安全水平的权威认证，旨在应对与云安全相关的特定问题，协助云计算服务商展现其服务成熟度的解决方案。 国际通用准则CCEAL3+ CC(CommonCriteria)认证是一种信息技术产品和系统安全性的评估标准，它提供了一组通用的安全功能要求和安全保证要求，并在这些保证要求的基础上提供衡量IT安全性的尺度（即评估保证级EAL），使得独立的安全评估结果可以互相比较。 ISO27018:2014 ISO27018是专注于云中个人数据保护的国际行为准则。ISO27018的通过，表明华为云已满足国际认可的公有云个人数据保护措施的要求，可保证客户个人数据安全。 ISO29151:2017 ISO29151是国际个人身份信息保护实践指南。ISO29151的通过，表明华为云实施国际认可的个人数据处理的全生命周期的管理措施。 ISO27701:2019 ISO27701规定了建立、实施、维护和持续改进隐私相关所特定的管理体系的要求。华为云通过ISO27701表明了其在个人