华为云新加坡政府行业安全合规解决方案

华为云新加坡政府行业安全合规解决方案 文档版本1.0 发布日期2024-07-11 华为云计算技术有限公司 版权所有©华为云计算技术有限公司2023。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/ 目录 1概述5 1.1发布背景和目的5 1.2华为云全球基础设施6 1.3华为云认证情况6 2信息通信技术和智慧系统（ICT&SS）管理指导手册介绍11 2.1发布背景11 2.2目标12 2.3内容12 2.4目标受众13 3华为云云服务网络安全与合规标准（“3CS”）介绍14 3.1发布背景与目的14 3.23CS总体框架14 3.33CS核心控制要求概述16 3.43CS参考标准介绍19 4华为云网络安全与隐私保护实践与安全能力23 4.1访问控制24 4.2安全事件管理25 4.3日志管理25 4.4威胁与漏洞管理26 4.5业务连续性管理与灾难恢复27 4.6网络安全28 4.7数据安全29 4.8数据泄露32 4.9密钥管理33 5华为云协助客户提升网络安全与隐私保护能力36 5.1访问控制37 5.2安全事件管理38 5.3日志管理39 5.4威胁与漏洞管理40 5.5业务连续性管理与灾难恢复40 5.6网络安全41 5.7数据安全42 5.8数据泄露42 6结语44 7版本历史45 8附录1-华为云3CS与CISControls映射46 9附录2-华为云产品和服务所支持的加密标准或协议49 1概述 1.1发布背景和目的 随着技术发展进步，对云计算的使用已经成为世界多国政府机构的常态。云计算为各国政府机构的信息化发展带来极大的便利的同时，也为其创造了一个复杂的环境。面对外部环境的变化，新加坡政府在多个方面采取了积极的举措进行有效应对。 2021年10月5日，新加坡发布了《2021年新加坡网络安全战略》，旨在通过提升该国网络安全水平从而维护国家安全，同时推动数字化的发展。该战略明确了三个战略性支柱（建设负有韧性的基础设施、促成更安全的网络空间、加强国际网络合作）和两个基础性的因素（建立一个充满活力的网络安全生态系统、发展强大的人才通道）。其中，围绕着“建设负有韧性的基础设施”，新加坡政府着重强调了要确保所有的政府系统的安全性和韧性。为此，新加坡政府明确要求所有政府实体需要遵从InstructionalManual8(简称IM8，本文第二章将详细介绍）的要求并定期进行审查。IM8是新加坡政府机构用于保护其信息通信技术和智慧系统（ICT&SS）资产的管理工具。根据系统的分类和重要性，IM8为新加坡政府机构系统制定了有针对性的安全卫生实践要求。对于CSP而言，IM8对其在安全合规方面的能力以及其能够为新加坡政府机构客户提供的支持提出了更高的要求。 除提出新的国家战略外，为规范本国政府机构对于云计算的使用，新加坡政府还建立了政府商业云 （GovernmentonCommercialCloud，简称GCC）平台，统一管理新加坡政府机构对于CSP所提供的各种解决方案的采购。新加坡政府技术局（GovernmentTechnologyAgency，简称GovTech）负责管理GCC平台相关事务。CSP仅在通过GovTech的评估，进入GCC的资源池后，才能够为新加坡政府机构提供产品和服务。GovTech对于CSP的评估将考虑多种因素，例如市场占有率、在新加坡的投资规模等，CSP在网络安全与隐私保护方面的能力则是评估要素之一。此外，值得注意的是，在进入GCC资源池后，CSP将会面临来自其他已经进入GCC资源池的友商的竞争。对此，CSP必须通过展现自身安全合规能力，吸引新加坡政府机构选择其产品和服务。 华为云作为CSP，始终致力于协助政府机构客户实现安全合规，持续为政府机构客户提供遵从网络安全与隐私保护监管要求与行业标准要求的云服务及业务运行环境。本解决方案通过对网络安全与隐私保护监管要求和行业标准的识别与解读，总结了新加坡政府机构在使用云计算时需考虑的关键领域，并就这些关键领域阐述了华为云的安全合规能力与实践，从而为华为云通过GovTech的评估并成为新加坡政府所认可的CSP提供助力。此外，本解决方案还就新加坡政府机构客户需遵从的包括IM8在内的监管要求，向其提供了可帮助其提升安全能力的华为云产品和服务，以协助新加坡政府机构客户满足安全合规方面的需求。 1.2华为云全球基础设施 华为云的基础设施采用在全球部署多个地理区域（Region）和多个可用区（AZ）的模式。目前，华为云已布局全球30个地理区域、84个可用区，覆盖170多个国家和地区，遍布亚太、拉美、非洲、欧洲和中东等地域。其中，新加坡作为华为云开展国际业务的中心，在华为云向全球客户提供安全稳定的云服务的过程中发挥着重要的作用。 华为云能够在多个地理区域内或同一地域内多个可用区之间灵活替换计算实例和存储数据，每个可用区都是一个独立故障维护域，也就是各可用区物理上是隔离的。用户可充分利用这些地理区域和可用区，规划应用系统在云上的部署和运行。基于多个可用区进行应用的分布式部署，可保证在大多故障情况下系统都能连续运行。 关于更多关于华为云基础设施的信息，参见华为云官网“全球基础设施”。 图1华为云全球布局 1.3华为云认证情况 华为云继承了华为公司完备的管理体系以及IT系统的建设和运营经验，对华为云各项服务的集成、运营及维护进行主动管理，并持续改进。截至目前，华为云已获得众多国际和行业安全合规资质认证，全力保障客户部署业务的安全，主要包括： 全球性标准类认证 认证 产品介绍 ISO20000-1:2018 ISO20000是针对信息技术服务管理领域的国际标准，提供设计、建立、实施、运行、监控、评审、维护和改进服务管理体系的模型以保证服务供应商可提供有效的IT服务来满足客户和业务的需求。 ISO27001:2022 ISO27001是目前国际上被广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心，通过定期评估风险和对应的控制措施来有效保证组织信息安全管理体系的持续运行。 ISO27017:2015 ISO27017是针对云计算信息安全的国际认证。ISO27017的通过，表明华为云在信息安全管理能力达到了国际公认的最佳实践。 ISO22301:2019 ISO22301是国际公认的业务连续性管理体系标准，通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生，并且制定完备的“业务连续性计划”，有效地应对中断发生后的快速恢复，保持核心功能正常运行，将损失和恢复成本降至最低。 SOC审计(SOC1TypeII,SOC2TypeII,SOC3) SOC审计报告是由第三方审计机构根据美国注册会计师协会（AICPA）制定的相关准则，针对外包服务商的系统和内部控制情况出具的独立审计报告。华为云已获得SOC1TypeII，SOC2TypeII和SOC3鉴证审计报告三项权威认证，其中SOC2五大控制属性审计全部通过，为全球首家，表明华为云平台的信息安全管理能力已达到国际公认的最高标准，能够为您提供世界一流的安全隐私保障及服务。 PCIDSS认证 支付卡行业数据安全标准（PCIDSS）是由JCB、美国运通、Discovers万事达和Visa等五家国际信用卡组织共同建立的一套支付卡行业数据安全标准，由支付卡行业安全标准委员会管理。它是世界上最权威、最严格的金融机构认证。 CSASTAR金牌认证 CSASTAR认证是由标准研发机构BSI（英国标准协会）和CSA（云安全联盟）合作推出的国际范围内的针对云安全水平的权威认证，旨在应对与云安全相关的特定问题，协助云计算服务商展现其服务成熟度的解决方案。 国际通用准则CCEAL3+ CC（CommonCriteria）认证是一种信息技术产品和系统安全性的评估标准，它提供了一组通用的安全功能要求和安全保证要求，并在这些保证要求的基础上提供衡量IT安全性的尺度（即评估保证级EAL），使得独立的安全评估结果可以互相比较。 ISO27018:2019 ISO27018是专注于云中个人数据保护的国际行为准则。ISO27018的通过，表明华为云已满足国际认可的公有云个人数据保护措施的要求，可保证客户个人数据安全。 ISO29151:2017 ISO29151是国际个人身份信息保护实践指南。ISO29151的通过，表明华为云实施国际认可的个人数据处理的全生命周期的管理措施。 ISO27701:2019 ISO27701规定了建立、实施、维护和持续改进隐私相关所特定的管理体系的要求。华为云通过ISO27701表明了其在个人数据保护具有健全的体制。 BS10012:2017 BS10012是BSI发布的个人信息数据管理体系标准，BS10012认证的通过表明华为云在个人数据保护上拥有完整的体系以保证个人数据安全。 PCI3DS PCI3DS标准旨在保护执行特定3DS功能或者存储3DS数据的3DS环境，支持3DS的实施。PCI3DS认证的通过表明华为云在3D协议执行环境的过程、流程、人员管理等方面符合安全标准。 地区性标准类认证 认证 产品介绍 TISAX认证（德国） TISAX（TrustedInformationSecurityAssessmentExchange，可信信息安全评估交换）是德国汽车工业联合会（VDA）联合欧洲汽车工业安全数据交换协会（ENX）推出的汽车行业信息安全评估和数据交换安全标准。TISAX认证的通过，表明华为云已满足欧洲认可的汽车行业信息安全标准。 MTCSLevel3认证（新加坡） MTCS多层云计算安全规范是由新加坡信息技术标准委员会制定的标准。该标准要求CSP在云计算中采用健全的风险管理和安全实践。目前华为云新加坡大区获得MTCS最高安全评级的Level3等级认证。 OSPAR认证（新加坡） OSPAR是新加坡银行业协会（ABS）对外包服务提供商出具的审计报告。华为云通过了新加坡银行协会（ABS）关于控制外包服务提供商的目标和流程的指南（ABS指南），证明了华为云是符合ABS指南中规定的控制措施的外包服务提供商。 CyberTrustMarkTier5认证（新加坡） CyberTrustMark是新加坡网络安全局SGCSA发布的组织网络安全认证计划（CyberSafeProgramme）的认证标准之一。该认证提供了不同网络安全准备等级应实施的安全控制、要求或最佳实践。目前华为云获得了CyberTrustMark最高等级的Tier5Advocate等级认证。 网络安全等级保护（中国） 网络安全等级保护是中国公安部用于指导国内各组织单位进行网络安全建设的依据，目前已成为各行业广泛遵守的通用安全标准。华为云通过了网络安全等级保护三级，关键Region、节点通过了网络安全等级保护四级。 可信云金牌运维专项评估（中国） 金牌运维评估是面向已通过可信云服务认证的云服务供应商的运维能力专项评估。华为云通过“金牌运维”评估，体现了华为云服务具备完善、健全的运维管理体系，符合国内权威云服务运营和维护保障要求的认证标准。 云服务用户数据保护能力认证（中国） 云