華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南

目 簡介 1華為云安全與隱私合規(guī) 2華為云安全責任共擔模型 5華為云全球基礎(chǔ)設(shè)施 6華為云如何符合MAS《外包指南》的要求 7與MAS在外包的合作 7風險管理實踐 7云計算 華為云如何符合MAS《科技風險管理指南》的要求 13科技風險治理和監(jiān)督 13科技風險管理框架 15IT項目管理和設(shè)計安全 16軟件應用程序開發(fā)與管理 19IT恢復能力 21訪問控制 24數(shù)據(jù)和基礎(chǔ)設(shè)施安全 25華為云如何符合MAS《關(guān)于網(wǎng)絡衛(wèi)生的通知》的要求 29華為云如何符合ABS《外包服務商控制目標和流程指南》的要求 33審計和檢查 33實體級別控制 35通用IT控制 37服務控制 42華為云如何符合ABS《ABS云計算實施指南》的要求 44盡職調(diào)查建議的活動 44進入云外包安排時建議的控制措施 46華為云如何符合MAS《業(yè)務連續(xù)性管理指南》的要求 56關(guān)鍵業(yè)務服務和職能 56服務恢復時間目標 57依賴映射關(guān)系 58集中風險 60持續(xù)審視與改進 6110.6測試 6310.7審計 6510.8事件與危機管理 66華為云如何符合MAS《針對如何應對與采用公有云有關(guān)的技術(shù)和網(wǎng)絡安全風險的咨詢意見》的要求 共同承擔網(wǎng)絡安全責任 69身份訪問管理 70保護公有云中的應用程序 73數(shù)據(jù)安全和加密密鑰管理 76不可變工作負載和基礎(chǔ)設(shè)施即代碼 77網(wǎng)絡安全運營 78云韌性風險管理 79云服務提供商的外包盡職調(diào)查 80供應商鎖定和集中風險管理 8111.10技能 8212結(jié)語 8313版本歷史 84 1 簡介在科技發(fā)展的浪潮中，越來越多的金融機構(gòu)在逐漸尋求業(yè)務轉(zhuǎn)型并希望借助先進的技術(shù)以降低成本、提升運營效率、實現(xiàn)業(yè)務模式的創(chuàng)新。為了規(guī)范金融行業(yè)對于信息科技的運用，新加坡金融監(jiān)管局（MAS）以及新加坡銀行協(xié)會（ABS）發(fā)布了一系列監(jiān)管要求、指南和通知，針對新加坡金融機構(gòu)科技風險管理、科技外包管理以及云計算實施等方面提出了相關(guān)監(jiān)管要求。華為云作為云服務供應商，致力于協(xié)助金融客戶滿足這些監(jiān)管要求，持續(xù)為金融客戶提供符合金融行業(yè)標準要求的云服務及業(yè)務運行環(huán)境。為此，華為云目前已建立起一套涵蓋業(yè)界主流云安全標準以及華為云安全管理要求的方法體系，覆蓋了網(wǎng)絡安全與隱私保護領(lǐng)域中多個方面的要求，其實施有助于提升華為云自身合規(guī)水平，同時能夠協(xié)助金融客戶滿足相關(guān)監(jiān)管要求、指南和通知。本文將針對新加坡金融機構(gòu)在使用云服務時通常需遵循的以下監(jiān)管要求和指南，詳細闡述華為云將如何協(xié)助其滿足監(jiān)管要求：MAS外包指南：MASMASABS/ABS云計算實施指南：MASMAS 2華為云安全與隱私合規(guī)IT關(guān)于更多華為云的安全合規(guī)信息以及獲取相關(guān)合規(guī)證書，可參見華為云官網(wǎng)“信任中心-合規(guī)中心”。華為云部分標準類認證/鑒證示例：認證描述ISO27001:2022ISO27001是目前國際上被廣泛接受和應用的信息安全管理體系認證標準。該標準以風險管理為核心，通過定期評估風險和對應的控制措施來有效保證組織信息安全管理體系的持續(xù)運行。ISO27017:2015ISO27017是針對云計算信息安全的國際認證。ISO27017的通過，表明華為云在信息安全管理能力達到了國際公認的最佳實踐。ISO27018:2019ISO27018是專注于云中個人數(shù)據(jù)保護的國際行為準則。ISO27018的通過，表明華為云已滿足國際認可的公有云個人數(shù)據(jù)保護措施的要求，可保證客戶個人數(shù)據(jù)安全。7TL9000&ISO9001ISO9001是ISO9000族標準所包括的一組質(zhì)量管理體系核心標準之一，用于證實組織具有提供滿足顧客要求和適用法規(guī)要求的產(chǎn)品的能力。TL9000是一個建立在ISO9001基礎(chǔ)上的，由全球電信業(yè)優(yōu)質(zhì)供應商聯(lián)盟（QuESTForum）針對全球信息和通訊技術(shù)（ICT）行業(yè)特定設(shè)計的、為ICT產(chǎn)品和服務供方提供的一套通用的質(zhì)量管理體系要求。它包括了ISO9001的所有要求，ISO9001將來的任何改動也會導致TL9000的改動。華為云取得了ISO9001/TL9000認證證書，表明華為云可以為您提供更快，更好和更具成本效益的服務。ISO20000-1:2018ISO20000是針對信息技術(shù)服務管理領(lǐng)域的國際標準，提供設(shè)計、建立、實施、運行、監(jiān)控、評審、維護和改進服務管理體系的模型以保證服務供應商可提供有效的IT服務來滿足客戶和業(yè)務的需認證描述求。ISO22301:2019ISO22301是國際公認的業(yè)務連續(xù)性管理體系標準，通過對風險的識別、分析和預警來幫助組織規(guī)避潛在事件的發(fā)生，并且制定完備的“業(yè)務連續(xù)性計劃”，有效地應對中斷發(fā)生后的快速恢復，保持核心功能正常運行，將損失和恢復成本降至最低。CSASTAR認證CSASTAR認證是由標準研發(fā)機構(gòu)BSI（和CSA（云安全聯(lián)盟）合作推出的國際范圍內(nèi)的針對云安全水平的權(quán)威認證，旨在應對與云安全相關(guān)的特定問題，協(xié)助云計算服務商展現(xiàn)其服務成熟度的解決方案。ISO27701:2019ISO27701ISO27701BS10012:2017BS10012是BSI發(fā)布的個人信息數(shù)據(jù)管理體系標準，BS10012認證的通過表明華為云在個人數(shù)據(jù)保護上擁有完整的體系以保證個人數(shù)據(jù)安全。ISO29151:2017ISO29151是國際個人身份信息保護實踐指南。ISO29151的通過，表明華為云實施國際認可的個人數(shù)據(jù)處理的全生命周期的管理措施。PCIDSS支付卡行業(yè)數(shù)據(jù)安全標準（PCIDSS）是由JCB、美國運通、Discover、萬事達和Visa等五家國際信用卡組織共同建立的一套支付卡行業(yè)數(shù)據(jù)安全標準，由支付卡行業(yè)安全標準委員會管理。它是世界上最權(quán)威、最嚴格的金融機構(gòu)認證。PCI3DSPCI3DS3DS3DS3DSPCI3DS3D3DS3D墻、虛擬服務器、網(wǎng)絡設(shè)備、應用等；除此之外，還會評估3D協(xié)議執(zhí)行環(huán)境的過程、流程、人員管理等。ISO27799:2016ISO/IEC27799是專注于醫(yī)療行業(yè)的信息安全管理體系，為醫(yī)療行業(yè)和其相關(guān)機構(gòu)提供了關(guān)于如何更好地保護個人健康信息的保密性、完整性、可審計性和可用性的指導。華為云是全球首個獲得該認證的云服務商，表明華為云對醫(yī)療行業(yè)的理解和實踐，對醫(yī)療行業(yè)信息安全的防護能力得到國際權(quán)威認可，能夠更可靠的保障您的信息安全。ISO27034ISO/IEC27034是國際標準化組織ISO通過的第一個關(guān)注建立安全軟件程序流程和框架的標準，它清晰地定義了實際應用中軟件系統(tǒng)面臨的風險，同時為不同類型的軟件開發(fā)組織提供了一套可以靈活應用的方法。華為云是全球首家獲得ISO/IEC27034認證的云服務提供商，表明華為云具備在云服務中保持持續(xù)安全和合規(guī)的能力。認證描述SOC審計報告SOC審計報告是由第三方審計機構(gòu)根據(jù)美國注冊會計師協(xié)會（AICPA）制定的相關(guān)準則，針對外包服務商的系統(tǒng)和內(nèi)部控制情況出具的獨立審計報告。 3華為云安全責任共擔模型華為云的主要責任是研發(fā)并運維運營華為云數(shù)據(jù)中心的物理基礎(chǔ)設(shè)施，華為云提供的各項基礎(chǔ)服務、平臺服務和應用服務，也包括各項服務內(nèi)置的安全功能。同時，華為云還負責構(gòu)建物理層、基礎(chǔ)設(shè)施層、平臺層、應用層、數(shù)據(jù)層和用戶身份管理（IAM）層的多維立體安全防護體系，并保障其運維運營安全。租戶的主要責任是在租用的華為云基礎(chǔ)設(shè)施與服務之上定制配置并且運維運營其所需的虛擬網(wǎng)絡、平臺、應用、數(shù)據(jù)、管理、安全等各項服務，包括對華為云服務的定制配置和對租戶自行部署的平臺、應用、用戶身份管理等服務的運維運營。同時，租戶還負責其在虛擬網(wǎng)絡層、平臺層、應用層、數(shù)據(jù)層和IAM層的各項安全防護措施的定制配置、運維運營安全、以及用戶身份的有效管理。關(guān)于華為云與租戶的安全責任詳情，可參考華為云已發(fā)布的《華為云安全白皮書》。 4華為云全球基礎(chǔ)設(shè)施（Region）（AZ）文檔版本3.0(2024-01-26) 版權(quán)所有?華為云計算技術(shù)有限公司 65華為云如何符合MAS《外包指南》的要求MASMASMAS《外包指南》第四章要求金融機構(gòu)持續(xù)向MAS證明其遵守這些準則，覆蓋遵守指南和不良發(fā)展通知。相關(guān)控制要求及華為云應答如下：編號控制域具體控制要求華為云的應答4.1遵守準則一個機構(gòu)應準備好向MAS證明其遵守這些準則。MAS可直接與該機構(gòu)的所在地或東道監(jiān)管機構(gòu)以及該機構(gòu)的服務提供商溝通，說明它們是否有能力和意愿與MAS合作監(jiān)督該機構(gòu)的外包風險?？蛻魬ㄆ趯ζ渫獍仗峁┥踢M行審計或評估，確保服務提供商提供的云服務不低于自身安全管理要求。如果金融機構(gòu)向華為云發(fā)起審計請求，華為云將安排人員積極配合審計。4.2不良發(fā)展通知風險管理實踐編號控制域具體控制要求華為云的應答5.3風險評估為了確保外包安排不會導致機構(gòu)的風險管理、內(nèi)部控制、商業(yè)行為或機構(gòu)聲譽受到損害或削弱，客戶應建立風險評估框架，定期評估外包安排的風險。華為云可配合并積極響應客戶需求。此外，華為云內(nèi)部也制定了完善的信息安全風險管理機制，定期進行風險評估和合規(guī)審查，以實現(xiàn)華為云云環(huán)境的安全、穩(wěn)定運行。內(nèi)部控制審查的一部分。5.4服務供應商評估在考慮重新談判或更新外包安排時，機構(gòu)應對服務供應商進行適客戶應對其服務供應商進行盡職調(diào)查，以識別其外包安排的風險。以滿足機構(gòu)自身的聘用標準。構(gòu)建了完備的安全體系，并獲得了國內(nèi)外眾多安全認證。華為在公司內(nèi)部倡導“人人懂安全”的理念和實踐，創(chuàng)造了一個無時不在，無處不在，充滿活力和競爭力的安全文化。并貫穿在華為云招聘選才、員工入職、上崗培訓、持續(xù)培訓、內(nèi)部調(diào)動和離職等各個環(huán)節(jié)。5.5外包協(xié)議顧問客戶與外包服務供應商應簽訂外包協(xié)議，并保證協(xié)議的合法性和適宜性。更多詳細信息請參見《華為云用戶協(xié)議》。編號控制域具體控制要求華為云的應答障礙。5.6保密和安全金融機構(gòu)必須確保服務供應商的安全政策、程序和控制措施將使機構(gòu)能夠保護其客戶信息的保密客戶可以采取協(xié)議約束、審查監(jiān)督等方式確保服務供應商的安全政策、程序和控制措施將性和安全性。使機構(gòu)能夠保護其客戶信息的保密性和安全性。華為云業(yè)務的開展遵循華為公司“一國一策，一客一策”的戰(zhàn)略，在遵從客戶所在國家或地區(qū)的安全法規(guī)以及行業(yè)監(jiān)管要求的基礎(chǔ)上，參考業(yè)界最佳實踐從組織、流程、規(guī)范、技術(shù)、合規(guī)、生態(tài)和等方面建立并管理完善、高可信、可持續(xù)的安全保障體系，并與有關(guān)政府、客戶及行業(yè)伙伴以開放透明的方式，共同應對云安全挑戰(zhàn)，全面滿足客戶的安全需求。同時，華為云目前獲得了國際上多項權(quán)威的安全與隱私保護認證，第三方測評公司也會定期對華為云展開保密性、安全充分性和合規(guī)性的審核并出具專家報告。更多詳細信息請參見《華為云安全白皮書》。5.7業(yè)務連續(xù)性管理金融機構(gòu)應確保其業(yè)務連續(xù)性不會因外包安排而受損，以便在服務中斷或失敗、外包安排意外終止或服務供應商清算的情況下，機構(gòu)仍能夠以誠信的方式有能力開展業(yè)務。客戶應制定業(yè)務連續(xù)性計劃，并考慮其外包安排對其業(yè)務連續(xù)性的影響。如果金融機構(gòu)在運行其組織內(nèi)部的業(yè)務連續(xù)性計劃的過程中需要華為云的參與，華為云會積極配合。編號控制域具體控制要求華為云的應答5.8外包安排的監(jiān)控（CloudEye）可實現(xiàn)對客戶自身云資源的使用情況和績效的和實施后審查。如果外包安排有重大修改，還應對外包安排進行全面的盡職調(diào)查。監(jiān)控。華為云可以根據(jù)客戶的需求按照SLA向客戶提供服務報告，華為云也會安排專人負責客戶方發(fā)起的盡職調(diào)查。5.9審計和檢查金融機構(gòu)的外包安排不應干擾其自身管理能力和金融監(jiān)管局的監(jiān)督能力，也不應妨礙金融監(jiān)管局客戶應定期對其外包服務供應商執(zhí)行獨立審計或?qū)＜以u估，并將識別的問題知會服務供應履行其監(jiān)督職能和目標。機構(gòu)應確保對其所有外包安排進行獨立審計和/或?qū)＜以u估。外包協(xié)議還應包括要求服務供應商盡快滿足金融監(jiān)管局或機構(gòu)向的安全承諾。華為云會安排專人積極配合客服務供應商及其分包商提出的任戶發(fā)起的審計要求?？蛻魧θA何要求的條款，以提交與外包安為云的審計和監(jiān)督權(quán)益會根據(jù)（實際情況在與客戶簽訂的協(xié)議中進行承諾。華為云已通過ISO27001、ISO27017、ISO27018、SOC、CSASTAR等多項國際安全與隱私保護認的風險不再在機構(gòu)的風險承受能力范圍內(nèi)，機構(gòu)應采取行動審查證，并且每年會接受第三方的審計。此外，華為云制定了完外包安排。善的供應商管理機制，定期對供應商（包括外包人員）的表現(xiàn)進行考核，考核結(jié)果作為下次采購的關(guān)鍵參考。華為云也會與供應商（包括外包人員個人）簽訂安全合規(guī)和保密協(xié)議。5.10新加坡境外外包金融機構(gòu)在外國聘用外包服務供應商可能會面臨國家風險，因此在外包安排的風險管理中，盡職調(diào)查應包括政府政策、政經(jīng)狀況、外國的法律監(jiān)管發(fā)展以及機構(gòu)有效監(jiān)測供應商的能力。機構(gòu)還應了解外包供應商的恢復安排和地點并考慮傳輸媒介的相關(guān)風險。機構(gòu)應僅與處于能夠遵守保密條款的司法管轄區(qū)內(nèi)以及法律和行政限制不會妨礙機構(gòu)獲取信編號控制域具體控制要求華為云的應答息的服務供應商簽訂協(xié)議。安全法規(guī)以及行業(yè)監(jiān)管要求的基礎(chǔ)上，參考業(yè)界最佳實踐從組織、流程、規(guī)范、技術(shù)、合規(guī)、生態(tài)和等方面建立并管理完善、高可信、可持續(xù)的安全保障體系，并與有關(guān)政府、客戶及行業(yè)伙伴以開放透明的方式，共同應對云安全挑戰(zhàn)，全面滿足客戶的安全需求。（DCIDataCenterInterconnect），滿5.11集團內(nèi)外包對集團內(nèi)部服務提供者的盡職調(diào)查可以采取評估服務提供者應對客戶在選擇服務提供商之前，應對其進行盡職調(diào)查?？蛻魧徳摍C構(gòu)特有風險能力的定性方面查服務提供商的業(yè)務連續(xù)性機的形式，特別是與業(yè)務連續(xù)性管制是否滿足業(yè)務要求?？蛻襞c理、監(jiān)測和控制、審計和檢查有服務提供商洽談，最終與供應關(guān)的風險，包括確認向MAS提商就合同內(nèi)容達成一致。供的訪問權(quán)，保留對該機構(gòu)的有效監(jiān)督，以及遵守當?shù)乇O(jiān)管標華為云將安排人員積極配合客戶的檢查和盡職調(diào)查。華為云準。每年都會聘請專業(yè)的外部資源進行SOC2認證。如果客戶對用戶協(xié)議提出更多要求，華為云將嘗試與其達成協(xié)議。華為云將積極配合MAS和金融機構(gòu)對華為云及其供應商的審計。云計算《外包指南》第六章提出了金融機構(gòu)使用云服務時需要考慮的注意事項及應遵守的相關(guān)要求。相關(guān)控制要求及華為云的應答如下：編號控制域具體控制要求華為云的應答6云計算金融機構(gòu)在訂購云服務時，機構(gòu)應執(zhí)行必要的盡職調(diào)客戶在訂購云服務前，應對云服務供應商進行盡職調(diào)查，特查，機構(gòu)應采取積極措施應對與數(shù)據(jù)訪問、保密性、完別是了解云服務在實現(xiàn)數(shù)據(jù)訪問、保密性、主權(quán)、可恢復整性、主權(quán)、可恢復性、合規(guī)性和審計相關(guān)的風險。機性、合規(guī)性方面的控制措施，以及多租戶場景下如何實現(xiàn)客構(gòu)應確保服務供應商擁有使用強有力的物理或邏輯控制戶數(shù)據(jù)隔離的解決方案。華為云高度重視用戶的數(shù)據(jù)信服務合同有效期內(nèi)存續(xù)。證與訪問控制、權(quán)限管理、數(shù)據(jù)隔離、傳輸安全、存儲安全、數(shù)據(jù)刪除、物理銷毀、數(shù)據(jù)備份恢復等方面，采用優(yōu)秀技術(shù)、實踐和流程，保證用戶對其數(shù)據(jù)的隱私權(quán)、所有權(quán)和控制權(quán)不受侵犯，為用戶提供最切實有效的數(shù)據(jù)保護。更多詳細信息請參見《華為云數(shù)據(jù)安全白皮書》第4部分。6MAS《科技風險管理指南》的要求（MAS）20212021ITITIT以下內(nèi)容總結(jié)了《2021科技風險管理指南》中與云服務供應商相關(guān)的合規(guī)要求條款，并闡述華為云是如何幫助金融機構(gòu)滿足其要求?？萍硷L險治理和監(jiān)督IT2021IT編號控制域具體控制要求華為云的應答3.2政策、標準和程序應基于行業(yè)標準和最佳做法，制定政策、客戶應建立并定期審查正式的信息安全政策和流程。ISO27001全、運營安全、通信安全、系統(tǒng)開標準和程序，并以此來管理科技風險和保護信息資產(chǎn)。應定期審查和更新政策、標準和程序，以確保其仍然與不斷變化的科技和網(wǎng)絡威脅格局相關(guān)。3.3信息資產(chǎn)管理為了準確、完整地了解其IT運營環(huán)境，金融機構(gòu)應建立信息資儲的物理位置（國家或地區(qū)），并產(chǎn)管理實踐。應維識別相應國家或地區(qū)發(fā)布的數(shù)據(jù)保護、定期審查所有信留和信息安全要求。息資產(chǎn)的清單，并在發(fā)生更改時更新清單。華為云資源?？蛻暨€可以使用華為云主機安全服務（HSS）的資產(chǎn)管理功能，對其資產(chǎn)進行統(tǒng)一管理。3.4第三方服務管理在簽訂合同協(xié)議或伙伴關(guān)系之前，金融機客戶在選擇服務提供商之前應進行盡職調(diào)查，特別是在治理、風險和構(gòu)應評估和管理其面合規(guī)管理方面的機制?？蛻魬贫ㄅR的技術(shù)風險，這些一份信譽良好的服務提供商列表，風險可能影響第三方并能夠確定是否有任何可行的替代IT系統(tǒng)和數(shù)據(jù)的機密首選服務提供商。性、完整性和可用華為云提供在線版本的《華為云服性。務等級協(xié)議》，明確了提供的服務的內(nèi)容和級別，以及華為云的職責。華為云會安排專人積極配合金融機構(gòu)的盡職調(diào)查?？蛻粢约捌浔O(jiān)管機構(gòu)對華為云的審計和監(jiān)督權(quán)益，會根據(jù)實際情況在與客戶簽訂的協(xié)議中進行約定。華為云已獲得ISO27001、ISO27017、ISO27018、SOC、CSASTAR等國際安全和隱私保護認證，并每年接受第三方審計。3.5能力與背景審查由于人們在IT環(huán)境中管理系統(tǒng)和流程中發(fā)客戶應制定和實施人員篩選策略和程序。揮著重要作用，金融華為云在招聘員工前進行了充分的機構(gòu)應實施全面有效背景調(diào)查，包括犯罪記錄、財務違的篩選流程。規(guī)、不誠實記錄、政府背景、制裁國家經(jīng)驗、是否制裁國家公民。同時，為了有序管理，降低人員管理風險對業(yè)務連續(xù)性和安全的潛在影響，華為云針對運維工程師等關(guān)鍵崗位實施了專門的人員管理計劃，包括入職安全審查、在職安全培訓與賦能、入職資格管理、離職安全審查。3.6安全意識和培訓所有能訪問金融機構(gòu)IT資源和IT系統(tǒng)的為了提升全員的網(wǎng)絡安全意識，規(guī)避網(wǎng)絡安全違規(guī)風險，保證業(yè)務的承包商和供應商應制正常運營，華為云從意識教育普定安全意識培訓計劃及、宣傳活動開展、華為員工商業(yè)并至少每年執(zhí)行或更行為準則（BCG）及承諾書簽署三新一次。個方面開展安全意識教育，并每年至少執(zhí)行一次針對全員的安全意識培訓?？萍硷L險管理框架《20214編號控制域具體控制要求華為云的應答4.1風險管理框架客戶應建立風險評估框架，定期評估外包安排的風險。4.2風險識別金融機構(gòu)應識別其IT環(huán)境的威脅和漏洞應用程序，包括由第三方服務提供商維護客戶應對其外包業(yè)務和首選服務提供商進行風險評估，以識別潛在風險。或支持的信息資產(chǎn)。對金融此外，華為云至少每月組織一次會議，討論網(wǎng)絡安全和隱私保護風險評估。華為云采取并記錄相應的后續(xù)行動，以確保風險按照華為風險管理要求得到適當管理。內(nèi)部破壞、惡意軟件和數(shù)據(jù)盜竊。4.3風險評估金融機構(gòu)應分析威脅和漏洞對整體業(yè)務和運營的潛在影運營、法律、聲譽和監(jiān)管因素。4.4風險處置金融機構(gòu)應制定和實施與信息資產(chǎn)的重要性和風險承受能力水平一致的風險緩解和控制措施。應定期審查和更新IT控制和風險緩解方的變化。4.5風險監(jiān)控、審查和報告金融機構(gòu)應建立一個評估和監(jiān)控IT控制的設(shè)計和運營有效性的流程，以應對已確定的風險。IT《20215理。相關(guān)控制要求及華為云應答如下：編號控制域具體控制要求華為云的應答5.1項目管理框架應建立項目管理框架，以確保項目管理做法的一致性，并提供符合項目目標和要求的成果。應為所有IT項目制定詳細的IT項目計劃，其中包括項目范圍、活動、里程碑和項目每個階段要實現(xiàn)的可交付成果?？蛻魬㈨椖抗芾砜蚣埽_保外包項目的交付和實踐流程滿足其項目目標和要求。對于每個IT項目計劃，客戶應考慮項目范圍、活動、里程碑以及每個階段應交付的內(nèi)容。華為云制定了完整的項目管理方法，實施基于CCM5/CMMI、ISO9001:2000和PMI的項目管理專業(yè)人員在全球成功實施項目。5.3系統(tǒng)獲取金融機構(gòu)應制定供應商評估和選擇的標準和程序，以確保選定的供應商是合格的，并能夠滿足其項目要求和交付成果。所執(zhí)行面?？蛻魬贫ㄒ环菪抛u良好的服務提供商列表，并能夠確的評估和盡職調(diào)查水平應與項目交付成果對FI的重要性相稱。定是否有任何可行的替代首選服務提供商。華為云提供在線版本的《華為云服務等級協(xié)議》，明確了提供的服務的內(nèi)容和級別，以及華為云的職責。華為云將派專人積極配合FI的盡職調(diào)查?？蛻粼谌A為云的審計和監(jiān)督權(quán)將根據(jù)情況在與客戶簽署的協(xié)議中承諾。華為云已獲得ISO27001、ISO27017、ISO27018、SOC、CSASTAR審計。30多ICT術(shù)優(yōu)勢。比如，在AIAI300+云打造了基于X86++各種應用跑在最合適的算力之上，實現(xiàn)客戶價值最大化。財務狀況：華為云是華為的云服務品牌，自2017年正式上線以來,華為云一直處于快速發(fā)展中，收入保持強勁增長態(tài)勢。商業(yè)聲譽：華為云一如既往堅持“以客戶為中心”，讓越來越多的客戶選擇了華為云。在中國多個行業(yè)，例如互聯(lián)網(wǎng)、點播直播、視頻監(jiān)控、基因、5.4系統(tǒng)開發(fā)生命周期和設(shè)計安全金融機構(gòu)應建立一個框架來管理其系統(tǒng)開發(fā)生命周期(SDLC)?？蚣軕鞔_定義生命周期每個階段的流程、程序和控制，如啟動/規(guī)劃、需求分析、設(shè)計、實施、測試和驗收?？蛻魬鶕?jù)要求建立一個框架來管理其系統(tǒng)開發(fā)生命周期（SDLC）。DevOps流程(SDL)5.5系統(tǒng)需求分析金融機構(gòu)應確定、定義和記錄IT系統(tǒng)的功能要求。除了功能要求外，還應建立和記錄系統(tǒng)性能、復原力和安全控制等關(guān)鍵要求。IT華為云根據(jù)內(nèi)部業(yè)務連續(xù)性管理體系的要求，制定了完善的恢復策略，以支撐云服務持續(xù)運營的關(guān)鍵業(yè)務?？蛻艨梢砸蕾嚾A為云數(shù)據(jù)中心集群的區(qū)域和可用區(qū)架構(gòu)，實現(xiàn)業(yè)務系統(tǒng)的容災和備份。按規(guī)則在全球部署數(shù)據(jù)中心。用可以在數(shù)據(jù)中心實現(xiàn)N+1目前，華為云已獲得ISO27001、ISO27017、ISO27018、SOC、CSASTAR等國際安全和隱私保護認證，并每年接受第三方審計。5.7系統(tǒng)測試與驗收客戶應定期對關(guān)鍵業(yè)務進行系統(tǒng)測試和修復，并分析結(jié)果。此外，華為云基于漏洞管理系統(tǒng)進行漏洞管理，確保自研和第三方基礎(chǔ)設(shè)施、平臺、應用層、云服務和運維工具的漏洞在SLA規(guī)定的時間內(nèi)被發(fā)現(xiàn)和修復。這降低了惡意利用漏洞帶來的風險和對金融機構(gòu)業(yè)務產(chǎn)生不利影響。對于涉及云平臺和金融機構(gòu)業(yè)務的漏洞，華為云將及時向最終用戶和金融機構(gòu)推送漏洞緩解和恢復建議和解決方案，確保主動披露不會造成高攻擊風險。華為云將與金融機構(gòu)一起面臨安全漏洞帶來的挑戰(zhàn)。5.8質(zhì)量管理質(zhì)量保證應由獨立的質(zhì)量保證職能執(zhí)行，以確保項目活動和交付成果符合金融機構(gòu)的政策、程序和標準?？蛻魬凑找筮M行質(zhì)量保證?；贑CM5/CMMI、ISO9001:2000和PMI框架的實踐，華為云制定了完整的項目管理方法，使用合格的項目管理和專業(yè)人員在全球成功實施項目。軟件應用程序開發(fā)與管理《2021科技風險管理指南》第6章要求金融機構(gòu)確保軟件應用程序開發(fā)和管理的安全，涵蓋安全編碼、源代碼審查和應用程序安全測試、敏捷軟件開發(fā)、DevSecOps管理、應用程序編程接口開發(fā)、最終用戶計算和應用程序的管理。相關(guān)控制要求及華為云應答如下：編號控制域具體控制要求華為云的應答6.1安全編碼、源代碼審查和應用程為了最大限度地減少其軟件中的錯誤和漏洞，金融客戶應建立源代碼安全管理機制。為滿足客戶合規(guī)要求，華為云嚴格遵守華為發(fā)布的安全編碼規(guī)范。此外，我們還引入了靜態(tài)代碼掃描工具的每日檢查，生成的數(shù)據(jù)將輸入云服務持續(xù)集成/持續(xù)部署（CI/CD）序安全測試機構(gòu)應采用安全編碼、源代碼審查和應用程序安全測試的標準。安全編碼和源代碼審查標準應涵蓋安全編程實踐、輸入驗證、輸出編碼、訪問控制、身份驗證、密碼實踐以及錯誤和異常處理等領(lǐng)域。6.2敏捷軟件開發(fā)在采用敏捷軟件開發(fā)方法時，金融機構(gòu)應繼續(xù)在其客戶應建立敏捷軟件開發(fā)方法的機制。敏捷過程中納入必要的軟件開發(fā)生命周期和設(shè)計安華為云制定了一套完整的軟件開發(fā)和隱私活動指南。本全原則。指南的目標是指導和標準化安全活動融入研發(fā)流程。它提供了產(chǎn)品安全和隱私要求的具體定義和活動指南。華為云要求在早期規(guī)劃階段集成安全規(guī)劃和安全需求分析，確保安全可靠的高效開發(fā)云服務。在設(shè)計階段，將進行隱私風險評估和安全隱私設(shè)計。華為云還要求云服務產(chǎn)品團隊成員通過參加培訓課程，主動學習安全和隱私的基礎(chǔ)知識。6.3DevSecOps管理金融機構(gòu)應實施適當?shù)陌踩胧?，并對其客戶應建立DevSecOps管理機制。DevSecOps流程中的軟件開發(fā)、測試和發(fā)布職能實客戶可以通過華為云IAM管理使用云資源的用戶帳戶，施職責分離。以滿足職責分離的要求。6.4應用編程接口開發(fā)應采用強大的加密標準和密鑰管理控制，以確保通客戶應采用強大的加密標準和密鑰管理控制，以確保通過API傳輸敏感數(shù)據(jù)的安過API傳輸敏感數(shù)據(jù)的安全。全。華為云在信息傳輸過程中使用安全的加密通道（如HTTPS），對存儲的靜態(tài)數(shù)據(jù)使用安全的加密算法，確保不同狀態(tài)下的數(shù)據(jù)機密性。通過數(shù)字簽名、時間戳等控制機制，防止數(shù)據(jù)傳輸過程中的篡改，保證信息的完整性，以及防止重放攻擊。記錄應用服務中的操作日志，以此來支持審計。對接口進行身份認證、傳輸和邊界保護，確保API應用的安全。IT恢復能力《20218編號控制域具體控制要求華為云的應答8.1系統(tǒng)可用性IT系統(tǒng)的設(shè)計和實施應達到與其業(yè)務需求相稱的系客戶可以依托華為云數(shù)據(jù)中心集群多區(qū)域（Region）和多統(tǒng)可用性水平。對于系統(tǒng)可用區(qū)（AZ）架構(gòu)，實現(xiàn)業(yè)可用性要求高的IT系統(tǒng)，務系統(tǒng)的容災和備份。數(shù)據(jù)應實施冗余或容錯解決方中心部署在世界各地，因此案。客戶將在災難發(fā)生時擁有相互的災難數(shù)據(jù)備份中心。當一個區(qū)域發(fā)生一次故障時，系統(tǒng)會自動將客戶應用程序和數(shù)據(jù)從受影響區(qū)域轉(zhuǎn)移到數(shù)據(jù)備份中心，在滿足合規(guī)策略的同時，確保受影響客戶的業(yè)務連續(xù)性。華為云還部署了全球負載均衡管理中心，客戶的應用在數(shù)據(jù)中心內(nèi)實現(xiàn)N+1部署規(guī)模，同時將流量負載均衡到其他中心，即使數(shù)據(jù)中心故障也是如此。8.2系統(tǒng)可恢復性金融機構(gòu)的災難恢復計劃應包括從各種災難情景中華為云擁有豐富的業(yè)務連續(xù)性管理和災難恢復策略和流恢復系統(tǒng)的程序，以及相程。業(yè)務連續(xù)性計劃每年由關(guān)人員在恢復過程中的角業(yè)務連續(xù)性管理團隊制定和色和責任。災難恢復計劃審查，并根據(jù)審查結(jié)果更新應至少每年審查一次，并計劃。業(yè)務連續(xù)性管理團隊在業(yè)務運營、信息資產(chǎn)或每年執(zhí)行業(yè)務影響分析和風環(huán)境因素發(fā)生重大變化時險評估，包括確定關(guān)鍵業(yè)務更新。流程、最大可容忍停機時間、恢復時間目標、最低服務級別和恢復服務所需的時間。報告中識別并記錄了可能導致華為云業(yè)務和資源中斷的威脅，并針對華為云產(chǎn)品的不同服務中斷場景設(shè)計了相應的策略。業(yè)務影響分析和風險評估的結(jié)果記錄在風險評估報告中。華為云根據(jù)計劃，至少每年對所有范圍內(nèi)產(chǎn)品進行業(yè)務連續(xù)性演練測試。記錄和審查業(yè)務連續(xù)性演練測試的結(jié)果。8.3災難恢復計劃測試金融機構(gòu)應測試系統(tǒng)之間恢復的依賴性。如果網(wǎng)絡客戶應對其關(guān)鍵系統(tǒng)建立災難恢復計劃，并考慮是否涉和系統(tǒng)與特定服務供應商及外包供應商的配合工作，相關(guān)聯(lián)，則應進行雙邊或并定期測試該計劃。多邊恢復測試。金融機構(gòu)應該讓用戶參與完整的測試用例設(shè)計和執(zhí)行過程，以驗證恢復的系統(tǒng)是否能正常運行。金融機構(gòu)還應參與由其服務供應商（包括位于海外的系統(tǒng)）進行的災難恢復測試。如果需要華為云協(xié)助執(zhí)行客戶的災難恢復計劃，華為會積極配合。同時，華為云在提供高可用基礎(chǔ)設(shè)施、冗余數(shù)據(jù)備份、可用區(qū)災備等服務外，還制定了自身的業(yè)務連續(xù)性計劃。該計劃主要針對重大災難，如地震或公共健康危機等，讓云服務能夠持續(xù)運行，保障客戶的業(yè)務和數(shù)據(jù)安全。如果華為云的災難測試過程中需要客戶的參與，華為會提前通知。8.4系統(tǒng)備份與恢復（Region）的應用在該中心實現(xiàn)了N1部署規(guī)模華為云建立了可指導人員的管理備份流程。8.5數(shù)據(jù)中心恢復能力金融機構(gòu)應對其數(shù)據(jù)中心（DC）進行威脅和漏洞風險評估（TVRA），以確定潛在的漏洞和弱點，以及為保護數(shù)據(jù)中心免受物理和環(huán)境威脅而應建立的保護。（TVRA）報告，并確保TVRA報告是最新的，并且數(shù)據(jù)中心提供商致力于解決已發(fā)現(xiàn)的任何重大漏洞。華為云制定了全面的物理安全和環(huán)境安全防護措施、策略和程序，符合GB50174類標準和TIA-942訪問控制《2021科技風險管理指南》第9章要求金融機構(gòu)采取適當?shù)目刂拼胧?。要求包括用戶訪問管理、特權(quán)訪問管理和遠程訪問管理。相關(guān)控制要求及華為云應答如下：編號控制域具體控制要求華為云的應答9.1用戶訪問服務供應商或服務供應商的員工，如果被客戶應建立信息系統(tǒng)的身份認證與訪問控制管理機制，對訪問系統(tǒng)的行為進行權(quán)限限制和監(jiān)督?？蛻艨赏ㄟ^華為云的統(tǒng)一身份認證服務（IdentityandAccessManagement，簡稱IAM）因子認證，客戶可自主選擇是否啟用。如果租戶有安全可靠的外部身份認證服務商，可以將IAM服務的聯(lián)邦認證外部用戶映射成華為云的臨時用戶，并訪問租戶的華為云資源。IAM可以按層次和細粒度授權(quán)，管理員可以基于用戶的工作職責規(guī)劃使用云資源的權(quán)限，還可以通過設(shè)置用戶訪問云服務系統(tǒng)的安全策略，例如設(shè)置訪問控制列表來限制未信任網(wǎng)絡的惡意接入。此外，華為云的云審計服務（CloudTraceService，簡稱CTS），可提供對各種云資源操作記錄的收集、存儲和查詢功能，可用于支撐安全分管理控和訪問限制。編號控制域具體控制要求華為云的應答析、合規(guī)審計、資源跟蹤和問題定位等常見應用場景。為配合客戶滿足合規(guī)要求，華為云內(nèi)部建立了完善的運維和運營賬號管理機制。運維人員接入華為云管理網(wǎng)絡對系統(tǒng)進行集中管理時，需使用員工身份賬號，且要求使用雙因子認證。所有運維賬號由LDAP集中管理，通過統(tǒng)一運維審計平臺集中監(jiān)控并進行自動審計。以確保實現(xiàn)從創(chuàng)建用戶、授權(quán)、鑒權(quán)到權(quán)限回收的全流程管理。并根據(jù)不同業(yè)務維度和相同業(yè)務不同職責，實行RBAC權(quán)限管理。保證不同崗位不同職責人員限定只能訪問本角色所管轄的設(shè)備。9.2特權(quán)訪問管理金融機構(gòu)應密切監(jiān)督具有較高系統(tǒng)訪問權(quán)限的員工，并記錄和審查他們的系統(tǒng)活客戶應建立特權(quán)賬號的管理機制，密切監(jiān)督特權(quán)賬號的使用。為配合客戶滿足合規(guī)要求，華為云相關(guān)系統(tǒng)的管理員登錄系統(tǒng)時必須先經(jīng)過雙因子認證動。后，才能通過跳板機接入管理平面。所有操作都會記錄日志并及時傳送到集中日志審計系統(tǒng)。該審計系統(tǒng)有強大的數(shù)據(jù)保存及查詢能力，確保所有日志保存時間超過180天，90天內(nèi)可以實時查詢。而且華為云有專門的內(nèi)審部門，會定期對運維流程各項活動進行審計。9.3遠程訪問管理金融機構(gòu)應確保僅允許符合金融機構(gòu)安全標準受保護的設(shè)備遠程訪問金融機構(gòu)的信息資產(chǎn)?？蛻魬⑦h程訪問管理機制。IAM權(quán)限外，華為云還提供VPNHTTPSSVN員能夠在目標主機上的行為可以定位到個人。數(shù)據(jù)和基礎(chǔ)設(shè)施安全《科技風險管理指南》第11章要求金融機構(gòu)確保其數(shù)據(jù)中心的安全，覆蓋數(shù)據(jù)安全、網(wǎng)絡安全、系統(tǒng)安全和虛擬化安全。相關(guān)控制要求及華為云應答如下：編控制域具體控制要求華為云的應答號11.1數(shù)據(jù)安全金融機構(gòu)應制定全面的數(shù)據(jù)丟失預防策略，并采取措施檢測和防止未經(jīng)授權(quán)的訪問、修改、復制或傳輸其機密數(shù)據(jù)。11.2網(wǎng)絡安全為了將橫向移動和內(nèi)部威脅等網(wǎng)絡威脅的風險降至針對常見CVE漏洞，華為云將立即分析和更新規(guī)則，提供快最低，金融機構(gòu)應部署有速、專業(yè)的CVE漏洞掃描?？托У陌踩珯C制來保護信息戶可以部署WAF(Web資產(chǎn)。金融機構(gòu)應安裝防ApplicationFirewall)，從多維火墻等網(wǎng)絡安全設(shè)備，以度檢測和保護網(wǎng)站業(yè)務流量。保護金融機構(gòu)和互聯(lián)網(wǎng)以華為云嚴格執(zhí)行相應的控制措及與第三方的連接。應在施，確保華為云在架構(gòu)設(shè)計、金融機構(gòu)的網(wǎng)絡中部署網(wǎng)設(shè)備選型、主機網(wǎng)絡（多種多絡入侵防御系統(tǒng)，以檢測層物理和虛擬網(wǎng)絡安全隔離方和阻止惡意網(wǎng)絡流量。法）、訪問控制、邊界防護技術(shù)、配置等方面的安全。為了檢測和攔截來自Internet的攻擊以及租戶虛擬網(wǎng)絡之間的東西向攻擊，華為云的網(wǎng)絡中部署了網(wǎng)絡IPS設(shè)備，包括但不限于面向公眾的網(wǎng)絡邊界、安全區(qū)域信任邊界、租戶空間邊界。華為云的IPS可以實時分析網(wǎng)絡流量，觸發(fā)對協(xié)議攻擊、暴力破解、端口和漏洞掃描、病毒和木馬攻擊、針對特定漏洞的攻擊等各種入侵的攔截。此外，華為云還配置了防火墻設(shè)備，以此限制對華為生產(chǎn)網(wǎng)絡的訪問。應在機器上配置防火墻策略的配置，并每月進行一次審查，以確保防火墻規(guī)則基于標準配置。因改變防火墻規(guī)則而產(chǎn)生的偏差都將被跟蹤和補救。華為云通過配置防火墻策略，限制高危端口的訪問和高危協(xié)議的使用。11.3系統(tǒng)安全金融機構(gòu)硬件和軟件（例如操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)客戶需要為每個系統(tǒng)制定安全配置基線，并定期檢查基線。絡設(shè)備和終端設(shè)備）的安對于配置不符合安全配置基線全標準應概述配置，將網(wǎng)的情況，客戶需要評估風險，絡威脅降到最低。應定期制定規(guī)避措施。審查標準的相關(guān)性和有效華為云為客戶提供主機安全服性。務（HSS），可以識別不安全項目，防范安全風險。HSS支持主機基線檢查，包括檢查系統(tǒng)密碼復雜度策略、常見弱密碼、風險帳戶、常見系統(tǒng)和中間件配置。華為云制定了虛擬化操作系統(tǒng)的安全配置基線，以保證客戶使用云服務時的安全性。11.4虛擬化安全應實施強訪問控制，以限制對虛擬機管理程序和主應制定并記錄正式的邏輯安全的政策和程序。及時批準、添機操作系統(tǒng)的管理訪問，加、修改或禁用，并定期審查因為這兩者都控制虛擬環(huán)華為員工和承包商的用戶帳境中的來賓操作系統(tǒng)和其戶。他組件。華為建立了一系列分層認證體系要求，包括對內(nèi)部IT環(huán)境、系統(tǒng)平臺、中間件、網(wǎng)絡設(shè)備、應用系統(tǒng)以及相關(guān)的技術(shù)要求。所有訪問都是基于最小權(quán)限概念遵循和授予的。堡壘主機提供基于密碼和郵箱驗證碼的雙因素身份驗證功能，以驗證用戶的身份。用戶通過互聯(lián)網(wǎng)訪問華為云辦公子網(wǎng)，需要根據(jù)注冊設(shè)備及其賬號和密碼進行雙因素認證。華為云員工可以在CloudScope中進行邏輯訪問管理，CloudScope涵蓋CloudMNetSystem、CBC帳戶中心、堡壘機、FUXI和SVN等多種支撐工具。支持工具涵蓋本報告范圍內(nèi)所有產(chǎn)品的操作系統(tǒng)，包括但不限于虛擬服務器和基礎(chǔ)設(shè)施設(shè)備的支持工具。在所有相關(guān)層的支持工具中的訪問授權(quán)基于最小權(quán)限強制實施。高于最低權(quán)限的訪問需要獲得指定人的批準。7MAS《關(guān)于網(wǎng)絡衛(wèi)生的通知》的要求（MAS）20198620195份針對以下內(nèi)容總結(jié)了《關(guān)于網(wǎng)絡衛(wèi)生的通知》中與云服務提供商相關(guān)的控制要求，并闡述華為云會如何幫助客戶滿足這些控制要求。編號控制域具體控制要求華為云的應答4.1特權(quán)賬號客戶應建立特權(quán)賬號的管理機制，密切監(jiān)督特權(quán)賬號的使用。關(guān)的每個管理帳戶都受到保護，以防止未經(jīng)授權(quán)訪問或使用此類帳戶。IAM服務及PAMServiceCTS）務資源的操作記錄，供用戶查詢、審計和回溯使用。華為云對于運維人員實行基于角色的訪問控制，限定不同崗位不同職責的人員只能對所授權(quán)的運維目標進行特定操作，僅在員工職責所需時，對其授予特權(quán)或應急賬號。所有特權(quán)或應急賬號的申請需要經(jīng)過多級的評審和實例協(xié)助客戶進行維護。編號控制域具體控制要求華為云的應答4.2安全補丁風險?？蛻粜杞⒙┒垂芾砹鞒?，并針對不能通過補丁修復的漏洞制定補償措施。SLA4.3安全標準準。風險。企業(yè)主機安全（HSS–HostService）4.4網(wǎng)絡邊界防御相關(guān)實體必須在其網(wǎng)絡周邊實施控制，以限制所有未經(jīng)授權(quán)的網(wǎng)絡流量。客戶需對其網(wǎng)絡進行安全區(qū)域劃分和隔離，針對不同安全域之間的訪問進行嚴格的管控。編號控制域具體控制要求華為云的應答IPS等。IPS/為。4.5惡意軟件防護相關(guān)實體必須確保在每個系統(tǒng)上實施一項或多項惡意軟件保護措施，以降低惡意軟件感染的風險。相關(guān)實體可以實施可用的惡意軟件保護客戶需在所有系統(tǒng)上部署防病毒軟件。措施。包括：漏洞分析和處理，日志監(jiān)控和事件響應、云產(chǎn)品默認安全配置優(yōu)化、安全補丁部署、防病毒軟件部署以及定期備份系統(tǒng)和設(shè)備配置文件并測試其有效性。4.6多因素認證相關(guān)實體必須確保對以下賬戶實施多因素身份驗證：如果相關(guān)實體在2020年86202125日客戶需對關(guān)鍵系統(tǒng)的特權(quán)賬戶和可以訪問最終客戶信息的賬戶進行多因素認證。在施以降低風險。（IAM）自主選擇是否啟用。為配合客戶滿足要求，華為云內(nèi)部建立了完善的運維和統(tǒng)進行集中管理時，需使用員工身份賬號，且要求使用編號控制域具體控制要求華為云的應答ABS《外包服務商控制目標和流程指南》的要求（ABS）（OSP）/IT控制報告A以下內(nèi)容將總結(jié)《外包服務商控制目標和流程指南》中與云服務供應商相關(guān)的控制要求，并闡述華為云會如何幫助其滿足這些控制要求。審計和檢查《外包服務商控制目標和流程指南》明確要求為金融機構(gòu)提供服務的外包服務供應商需要定期聘請外部審計方進行審計，并根據(jù)《外包服務商控制目標和流程指南》的要求提供OSPAR審計報告。相關(guān)控制要求及華為云的應答如下：編號控制域具體控制要求華為云的應答I外部審計外包服務供應商應聘請合格的審計者根據(jù)本指南對提供給金融機構(gòu)的服務進行審計。如果外包服務供應商決定更換外部審計者或決定指定另一不同的外部審計來驗證整改情況，外包服務供應商必須確保新舊審計者之間有適當?shù)墓ぷ鹘唤?，以確保金融機構(gòu)的利益得到保護。5年25年內(nèi)2華為云目前已獲得多項國際上權(quán)威的安全與合規(guī)認證。華為云每方參與II外部審計方資質(zhì)的標準審計機構(gòu)進行充分的工作交接。編號控制域具體控制要求華為云的應答商業(yè)銀行進行過審計。III審計的頻率1266中說明期限較短的原因。IV審計報告（OSPAR）模云將根據(jù)內(nèi)部流程向金融行業(yè)客戶發(fā)布審計報告的副本。外包服務供應商必須向其金融機構(gòu)客戶提供其審計報告的副本。V匯報和處如果審計者發(fā)現(xiàn)與控制目標有關(guān)的控制活動的設(shè)計和/或操作有效性的不足，審計者應評估失敗對提供給金融機構(gòu)的服務的潛在影響。相關(guān)的審計標準規(guī)定了控制目標的鑒定程序，審計者應當遵循。外包服務供應商應在不遲于外包服務供應商審計報告（OSPAR）發(fā)布日期之前通知金融機構(gòu)重大問題和關(guān)注點以及補救計劃。但是，如果問題可能導致外包安排中長期服務失敗或中斷，或違反金融機構(gòu)客戶信息的安全性和保密性，外包服務供應商應在出現(xiàn)問題后立即通知金融機構(gòu)。華為云會根據(jù)外部審計機構(gòu)的要求，提供用于驗證華為云安全和理控制缺制目標的足要求，華為云將配合審計機構(gòu)質(zhì)量在審計報告中注明原因。/題進行整改，整改完成后審計機構(gòu)會進行再評估。VI金融機構(gòu)新加坡金融監(jiān)管局（MAS）和金融機構(gòu)有權(quán)對外包服務供應商客戶應建立正式的審計程序，定期對其外包供應商進行審計。和MAS的權(quán)力以及外包服務供應商的分包商進行審計。實體級別控制編號控制域具體控制要求華為云的應答I.（a）控制環(huán)境構(gòu)。I.（b）風險評估外包服務供應商的風險評估過程可能會對提供給金融機構(gòu)服務造成影響。以下是風險評估因素列表：新員工統(tǒng)新技術(shù)或活動華為云遵從華為公司的信息安全風險管理框架，對風險管理范圍、風險管理組織以及風險管理過程中的標準進行了嚴格定義。華為云每年進行一次風險評估，并且在信息系統(tǒng)發(fā)生重大變更、公司業(yè)務發(fā)生重大變化或法律法規(guī)、標準發(fā)生重大變化時，華為云會增加風險評估的次數(shù)。I.（c）信息和溝外包服務供應商的內(nèi)部控制信息和溝通部分應包客戶可通過華為云官網(wǎng)來了解華為云提供的云服務的相關(guān)信息。華為云對外提編號控制域具體控制要求華為云的應答通云也會建立與相關(guān)監(jiān)管機構(gòu)的聯(lián)系，以便必要的溝通。構(gòu)的服務相關(guān)的重要事項。I.（d）監(jiān)控外包服務供應商可以雇用內(nèi)部審計員或其他人員，華為建立了專門的安全審計團隊，審查全球安全法律法規(guī)及公司內(nèi)部安全要求通過持續(xù)活動、定期評估或兩者結(jié)合的方式來評估的遵從情況。華為內(nèi)部審計團隊直接向董事會和公司高層管理者匯報，保證發(fā)控制的有效性。外包服務供應商應制定流程，將此類評估確定的重大問題和現(xiàn)的問題得到解決并最終閉環(huán)。嚴格的審計活動在推動網(wǎng)絡安全流程和標準落地，保障結(jié)果交付上起著關(guān)鍵的作用。需要關(guān)注的事項上報給外包服務供應商的高級管理此外，華為云建立了完備的供應商選擇機制和管理機制，除了對供應商的績效層，此外，如果影響到所提供的服務，也需要告知進行日常監(jiān)督和管理之外，也會定期對供應商進行風險評估。針對審計發(fā)現(xiàn)的金融機構(gòu)。對于其分包商活動中會影響提供給金融問題，組織內(nèi)會進行再評估，如果問題對金融機構(gòu)的業(yè)務會造成重大影響，華為云會告知金融機構(gòu)。華為云對外提供了統(tǒng)一的溝通接口，負責收集并處理客戶側(cè)的投訴，以及向金融客戶同步監(jiān)管機構(gòu)發(fā)布的通告。金融機構(gòu)。I.（e）信息安全政策將信息安全政策和流程形成文檔，至少每12個月和在有變化發(fā)生時對其進行審查。信息安全政策和流程應指明負責信息安全客戶應建立正式的信息安全政策和流程，并定期對其進行審查。華為云參照ISO27001構(gòu)建了完善的信息安全管理體系，制定了華為云整體的信息安全策略，其中明確了信息安全管管理的人員。這些文件由管理層審查和理組織的架構(gòu)與職責，信息安全體系文件的管理辦法，以及信息安全的重點關(guān)批準。明確系統(tǒng)和網(wǎng)絡的特定安全控制以保護系統(tǒng)注方向和目標，包括：資產(chǎn)安全、訪問控制、密碼學、物理安全、操作安全、和數(shù)據(jù)的保密性、完整性和可用性。記錄、跟蹤和性。全方位保護客戶系統(tǒng)和數(shù)據(jù)的保密性、完整性和可用性。此外，華為云重務的差距，應立即告知金點關(guān)注員工以及外包人員的安全意識培融機構(gòu)。養(yǎng)，制定了可落地的安全意識培訓計劃應建立信息安全意識培訓并定期執(zhí)行。編號控制域具體控制要求華為云的應答計劃。為可以訪問IT資源和系統(tǒng)的外包服務供應商工作人員、分包商和供應商定期開展培訓計劃。I.（f）政策HR和流其經(jīng)驗、專業(yè)能力、誠實云業(yè)務的需要。員工行為符合所有法程選。使其能夠滿足ABSMAS南相關(guān)的要求。安全檢查、在崗安全培訓賦能、上崗資格管理、離崗安全審查。I.（g）與分包相關(guān)的金融機構(gòu)希望對外包服務供應商的分包商進行和對外包服務供應商本身同樣華為云制定了自身的供應商管理機制，從供應商的產(chǎn)品和供應商本身的內(nèi)部管理都提出了安全需求。此外，華為云會實踐嚴格的管理。因此，外包對供應商進行定期的稽核，對有風險的服務供應商應要求并確保供應商會到現(xiàn)場進行審核。此外會與涉其分包商遵守本指南質(zhì)量并對供應商進行績效評分，對安全績效差的供應商進行合作降級處理。IT控制IT編號控制域具體控制要求華為云的應答II.（a）邏輯安全6.7/訪問權(quán)限賬號的使用。編號控制域具體控制要求華為云的應答II.(a)邏輯安全金融機構(gòu)應建立相關(guān)的數(shù)據(jù)刪除流程，以在每當客戶主動進行數(shù)據(jù)刪除操作或因服務期滿需要對數(shù)據(jù)進行刪除時，華為構(gòu)的數(shù)據(jù)。這一要求也適用于備份數(shù)據(jù)。據(jù)進行清除。關(guān)于數(shù)據(jù)刪除的詳細信息請參見《華為云數(shù)據(jù)安全白皮書》4.8永久銷毀II.(a)邏輯安全MAS（TRM）（保護金融機構(gòu)客戶信息密）功能，采用高強度的算法對存儲和其他敏感數(shù)據(jù)。的數(shù)據(jù)進行加密。數(shù)據(jù)加密服務（DataEncryptionWorkshopDEW）功能，由DEW戶外的任何人無法獲取密鑰對數(shù)據(jù)進DEWDEWAPIDEW（HSM）HSM根密鑰。II.（b）物理安全數(shù)據(jù)中心/控制區(qū)域應受到物理保護以保護其不受內(nèi)部和外部威脅。主要包括：限制對數(shù)據(jù)中心/控制區(qū)域的訪問、所有入口安裝入侵警報、對安全區(qū)域的出入進行跟蹤審計、定期審查對數(shù)據(jù)中心的訪問、管理物理訪問憑證、執(zhí)行威脅和脆弱性風險評估（TVRA）。數(shù)據(jù)中心/控制區(qū)域的安華為云已制定并實施了完善的物理和環(huán)境安全防護策略、規(guī)程和措施，滿足GB50174《電子信息機房設(shè)計規(guī)范》A類和TIA942《數(shù)據(jù)中心機房通信基礎(chǔ)設(shè)施標準》中的T3+標準。更多詳細信息請參見《華為云安全白皮書》的“物理與環(huán)境安全”。編號控制域具體控制要求華為云的應答ITII.（c）變更管理金融機構(gòu)應以受控方式評估、批準、測試、實客戶應建立正式的變更管理程序，并定期對變更的執(zhí)行進行審查，特別是施和審查應用程序、系源代碼的審查?？蛻魬摫ＷC其開統(tǒng)軟件和網(wǎng)絡組件的變發(fā)、測試和生產(chǎn)環(huán)境相互隔離，并嚴更。格管控不同環(huán)境的使用。保證開發(fā)、測試、分級為配合客戶滿足合規(guī)要求，華為云也，如果UAT適當?shù)纳a(chǎn)級別的控制。審后方可按計劃對現(xiàn)網(wǎng)實施變更。所有的變更在申請前，都需通過類生產(chǎn)環(huán)境測試、灰色發(fā)布、藍綠部署等方式進行充分驗證，確保變更委員會清晰地了解變更動作、時長、變更失敗之前識別安全漏洞和缺陷、代碼錯誤、缺陷和惡意代碼。的回退動作以及所有可能的影響。華為云開發(fā)、測試和生產(chǎn)環(huán)境都進行了隔離，并且嚴格控制未脫敏的數(shù)據(jù)零，有效降低上線時編碼相關(guān)的安全問題。II.（d）事件管理金融機構(gòu)應保證系統(tǒng)和網(wǎng)絡的運行問題得到及客戶應建立正式的事件管理程序，及時解決系統(tǒng)和網(wǎng)絡故障。（）本原因，防止事故再次發(fā)生。編號控制域具體控制要求華為云的應答記錄和跟蹤事件從發(fā)現(xiàn)到閉環(huán)的整個過程。定期會對歷史事件進行趨勢分析并識別類似事件，以便找到根本原因徹底解決。II.（e）備份和災難恢復同時，客戶可依賴華為云數(shù)據(jù)中心集群的多地域（Region）和多可用區(qū)（AZ）架構(gòu)實現(xiàn)其業(yè)務系統(tǒng)的容災和備份，數(shù)據(jù)中心按規(guī)則部署在全球各地，客戶可通過兩地互為災備中心，如一地出現(xiàn)故障，系統(tǒng)在滿足合規(guī)政策前提下自動將客戶應用和數(shù)據(jù)轉(zhuǎn)離受影響區(qū)域，保證業(yè)務的連續(xù)性。華為云還部署了全局負載均衡調(diào)度中心，客戶的應用在數(shù)據(jù)中心實現(xiàn)N+1部署，即便在一個數(shù)據(jù)中心故障的情況下，也可以將流量負載均衡到其他中心。試和維護業(yè)務和信息系統(tǒng)恢復和連續(xù)性計劃。II.（f）網(wǎng)絡和安全管理客戶應建立正式的系統(tǒng)以及網(wǎng)絡管理程序。CSPIaaSPaaS和SaaS各類層安全隔離，接入控制和邊界防護技術(shù)，同時嚴格執(zhí)行相應的管控措施，確保華為云安全。此外為了保證華為云平臺以及網(wǎng)絡的安全、穩(wěn)定運行，華為云采取了一系列管理措施，包括：漏洞分析和處理，日志監(jiān)控和事統(tǒng)的事件。件響應、云產(chǎn)品默認安全配置優(yōu)化、安全補丁部署、防病毒軟件部署以及定期備份系統(tǒng)和設(shè)備配置文件并測試其有效性。編號控制域具體控制要求華為云的應答II.（g）安全事件響應應確保在安全事件發(fā)生時能夠聯(lián)系適當?shù)娜巳A為云內(nèi)部制定了完善的安全事件管理機制，并持續(xù)優(yōu)化該機制。安全事員，并針對安全事件立即采取措施。7*24分析系統(tǒng)，關(guān)聯(lián)各種安全設(shè)備的告警并啟動客戶通知流程，將事件通知客戶。在事件解決后，會根據(jù)具體情況向客戶提供事件報告。II.（h）系統(tǒng)脆弱性評估IT華為PSIRT脅。脆弱性評估的頻率透測試和安全評估，以保證華為云云應根據(jù)金融機構(gòu)的風險環(huán)境的安全性。12系統(tǒng)的滲透測試。通過脆弱性評估和滲透測試確定的問題得到及時修復和并重新對其進行驗證，以確保已確定的差距已經(jīng)完全解決。II.（i）技術(shù)更新管理金融機構(gòu)應實施合理的控制措施保證在生產(chǎn)和災難恢復環(huán)境中使用的客戶可依賴華為云數(shù)據(jù)中心集群的多地域（Region）和多可用區(qū)（AZ）架構(gòu)實現(xiàn)其業(yè)務系統(tǒng)的容災和備份，數(shù)12域，保證業(yè)務的連續(xù)性。同時，華為云還部署了全局負載均衡調(diào)度中心，客戶的應用在數(shù)據(jù)中心實現(xiàn)N+1部署，即便在一個數(shù)據(jù)中心故障的情況硬件組件的最新庫存，以便于跟蹤IT資源；外包服務供應商積極管理其支持金融機構(gòu)的IT系外，還制定了業(yè)務連續(xù)性計劃和災難編號控制域具體控制要求華為云的應答統(tǒng)和軟件；外包服務供恢復計劃，并定期對其進行測試。以保證應急預案符合當前的組織環(huán)境和IT環(huán)境。IT軟繼續(xù)使用可能會導致的風險，并在必要時建立有效的風險緩解控制措施。刪除、加密數(shù)據(jù)防泄漏、物理磁盤報廢，更多詳細信息請參見《華為云安全白皮書》4.6.4數(shù)據(jù)刪除與銷毀。服務控制/編號控制域具體控制要求華為云的應答III.（a）建立新的客戶/流程應制定并監(jiān)控外包服務供應商合同流程。并且外包服務供應商的流程應按照金融機客戶應建立正式的外包合同管理程序。構(gòu)的協(xié)議和指示建立和管理。分，華為云《云服務等級協(xié)議》規(guī)定了華為云提供的服務水平。同時，華為云也制定了線下合同模板，可根據(jù)客戶的要求，在其中與客戶共同約定相應要求。如有必要，華為云會積極配合客戶方發(fā)起的盡職調(diào)查。同時，華為云制定了自身的供應商管理機制，對供應商的產(chǎn)品和供應商本身的內(nèi)部管理都提出了安全需求。華為云會對供應商進行定期的稽核，對有風險的供應商會到現(xiàn)場進行審核。此外，華為云會與涉及網(wǎng)絡安全的供應商簽署網(wǎng)絡安全協(xié)議，在服務過程中會持續(xù)監(jiān)控其服務質(zhì)量并對供應商進行績效評分，對安全績效差的供應編號控制域具體控制要求華為云的應答商進行合作降級處理。III.（b）授權(quán)和處理交易客戶應管理外包服務供應商的服務。為配合客戶滿足合規(guī)要求，華為云制定了完善的服務管理體系，且通過了ISO20000的認證，保證提供有效的IT服務來滿足客戶的需求由獨立方分階段處理，從開始到完成都應有職責分離。III.（c）維護記錄應根據(jù)敏感度對數(shù)據(jù)進行分類，敏感度決定數(shù)據(jù)保護要求、訪問權(quán)限和限制以及保留和銷毀要求。命周期的各階段進行層層防護，并通過友好的操作界面和接口，方便客戶使用與集據(jù)安全白皮書》III.（d）保護資產(chǎn)應保護實物資產(chǎn)不受損失、濫用和未經(jīng)授權(quán)的使用。華為云已制定并實施了完善的物理和環(huán)境安全防護策略、規(guī)程和措施，滿足GB50174《電子信息機房設(shè)計規(guī)范》A類和TIA942《數(shù)據(jù)中心機房通信基礎(chǔ)設(shè)施標準》中的T3+標準。更多詳細信息請參考《華為云安全白皮書》物理與環(huán)境安全部分。III.（e）服務報告和監(jiān)測外包活動應得到妥善管理和監(jiān)控?？蛻魬芾砗捅O(jiān)控外包活動?？蛻艨赏ㄟ^華為云的云監(jiān)控服務，監(jiān)控自身云資源的使用情況和績效。華為云也可以根據(jù)客戶的需求按照SLA提供服務報告。ABS《ABS云計算實施指南》的要求（ABS）20198ABS2.0以下內(nèi)容將總結(jié)《ABS云計算實施指南2.0》中與云服務供應商相關(guān)的控制要求，并詳細闡述了華為云作為金融機構(gòu)的云服務供應商如何幫助金融機構(gòu)滿足這些控制要求。盡職調(diào)查建議的活動《ABS2.0原文編號控制域具體控制要求華為云的應答第1條治理金融機構(gòu)應確保與云服務供應商在書面協(xié)議中充分規(guī)定了關(guān)于為配合客戶行使對科技外包的監(jiān)管，華為云線上的《華為云用戶協(xié)議》對客戶和華為云的安全職責進行劃分，華為云《云服所有締約方的角色、關(guān)系、義務和責任的務等級協(xié)議》規(guī)定了華為云提供的服務水平。同時，華為云也制定了線下合同模合同條款和條件，以及所購買云服務的KPI、關(guān)鍵活動、投入和產(chǎn)出以及一旦出現(xiàn)違背協(xié)議情況的問責制。板，可根據(jù)客戶的要求，在其中規(guī)定華為云若聘用分包商，需通知客戶，并對分包的服務負責。華為云明確定義了與客戶之間的安全責任共擔模型，客戶可在華為云官網(wǎng)上查閱《華為云安全白皮書》中關(guān)于責任共擔模型金融機構(gòu)應該進行盡的具體內(nèi)容。華為云制定了完善的信息安職調(diào)查，了解其正在全風險管理框架，也會對外包商以及外包采用的服務以及金融機構(gòu)和云服務供應商人員進行嚴格的安全管理，并會定期對其供應商進行審計和安全評估。原文編號控制域具體控制要求華為云的應答的職責。云服務供應商應該能夠證明它實施并維護了一個強大的風險管理和治理框架，該框架可有效管理云服務安排，包括任何分包安排。ISO27001SOC2介紹。第2條對云服務供應商的評估財務狀況：2017,IDC2019Q1IaaS+PaaSPaaS700%，在Top5廠商增速排名第一，位居中國公有云服務商第一陣營。公司治理和實體控制：華為云秉承“將公司對網(wǎng)絡和業(yè)務安全性保障的責任置于公司的商業(yè)利益之上”的原則，網(wǎng)絡安全已經(jīng)成為了華為公司的發(fā)展戰(zhàn)略。在培養(yǎng)員工安全意識方面，華為云對員工的安全意識教育在員工在職期間持續(xù)進行，有專門的信息安全意識培訓計劃，意識教育的形式包括但不限于現(xiàn)場演講、視頻網(wǎng)課等。數(shù)據(jù)中心地理位置：客戶購買云服務時可自行選擇數(shù)據(jù)中心，華為云遵循客戶的選擇。華為云不會在未經(jīng)客戶同意的情況下將客戶內(nèi)容從選擇的區(qū)域中遷移，除非（a）必須遷移以遵守適用的法律法規(guī)或者政府機關(guān)的約束性命令;（b）為了提供賬單、管理、技術(shù)服務或者出于調(diào)查安全事件或調(diào)查違反合同規(guī)定的行為。物理安全風險評估：盡職調(diào)查流程：華為云會安排專人配合金融機構(gòu)協(xié)助其盡職調(diào)查。為了便于金融機構(gòu)了解華為云符合金融機構(gòu)盡職調(diào)查涵蓋的要求，華為云也主動聘請專業(yè)的第三方審計機構(gòu)對華為云提供的云計算產(chǎn)品和服務進行審計，并且會按照外包服務供應商審計報告（OSPAR）模板中規(guī)定的格式發(fā)原文編號控制域具體控制要求華為云的應答布審計報告。在報告形成后，華為云將根據(jù)內(nèi)部流程向金融行業(yè)客戶發(fā)布審計報告的副本。分包：華為集團有完善的供應商和外包管理規(guī)范，華為云遵循華為集團的外包管理規(guī)定。第3條合同考慮金融機構(gòu)應確保與云服務供應商的合同協(xié)議中包括關(guān)于以下內(nèi)容的條款：數(shù)據(jù)機密性和控制權(quán)、數(shù)據(jù)傳輸和數(shù)據(jù)所在位置、審計和檢查、業(yè)務連續(xù)性管理、服務級別協(xié)議、數(shù)據(jù)保留、違約終止、退出計劃。為配合客戶行使對云服務供應商的監(jiān)管，華為云線上的《華為云用戶協(xié)議》對客戶和華為的安全職責進行劃分，華為云《云服務等級協(xié)議》規(guī)定了華為云提供的服務水平。同時，華為云也制定了線下合同模板，可根據(jù)客戶的要求，在其中與客戶共同約定相應要求。進入云外包安排時建議的控制措施《ABS2.0原文編號控制域具體控制要求華為云的應答治理云第1條對云服務商管金融機構(gòu)應對與云外包安排相關(guān)的風險進行有力和及時為滿足客戶對云外包安排監(jiān)督的要求，華為云對外提供了統(tǒng)一的電話熱線、郵箱地址以及工單系統(tǒng)處理客戶的服務請求。若客戶需理的組織的監(jiān)督，包括對云服務供應商進行盡要對華為云發(fā)起盡職調(diào)查，華為云將有專人負責對接；華為云向客戶提供云監(jiān)控服務，上的考慮供客戶監(jiān)控自身云資源的使用情況和績效，并且可以根據(jù)客戶的需求按照SLA提供定制化服務報告，但此服務可能會涉及費用。的業(yè)務部門和運營部門與云服務供應商之間應有相應的溝通渠道。原文編號控制域具體控制要求華為云的應答第3條計費模型金融機構(gòu)應對其云資源和云成本進行管理。保證基于服務級別協(xié)議的關(guān)鍵服務監(jiān)控到位，并與CSP建立協(xié)議，防止基于配額的服務停止。云監(jiān)控服務（CloudEye）化監(jiān)控平臺。云監(jiān)控服務提供實時監(jiān)控告警、通知以及個性化報表視圖，精準掌握業(yè)務資源狀態(tài)。設(shè)計和保護云第1條云架構(gòu)參金融機構(gòu)應創(chuàng)建符合金融機構(gòu)內(nèi)部政華為云為金融客戶提供專門的金融行業(yè)解決方案，幫助金融客戶快速實現(xiàn)業(yè)務云化部考解決方署。案及計和實施優(yōu)化的云實踐服務。第2虛擬管理與數(shù)據(jù)混合或客戶應考慮建立標準化的發(fā)布流程管理容器和鏡像。同時，華為云針對彈性云服務器（ElasticCloudServerECS）（Console）的管理，可以方便地進行版本管理和發(fā)布管理。另外，華為云從網(wǎng)絡隔離、數(shù)據(jù)隔離、外部威脅防御以及身份認證與訪問控制等多方面保證在多租戶場景下客戶信息的安全性。更多詳細資料請參見《華為云安全白皮書》。當發(fā)生軟硬件故障后，如果相應的資源被釋放掉后，客戶內(nèi)容會自動進行銷毀，華為云會通過刪除客戶與數(shù)據(jù)之間的索引關(guān)系，并在將內(nèi)存、塊存儲等存儲空間進行重新分配前進行清零操作，確保相關(guān)的數(shù)據(jù)和信息不可恢復。條化、共享租賃環(huán)境相關(guān)容器的機密性和完整性化及風險。如果軟件或DevOps硬件出現(xiàn)故障，請確保信息資產(chǎn)保持安全或被安全移除。定義一套標準的工具和流程來管理容器、鏡像和發(fā)布管理。第3條云架構(gòu)韌性金融機構(gòu)需要仔細考慮和規(guī)劃其云的應用，以確保云服客戶可依賴華為云數(shù)據(jù)中心集群的多地域（AZ）務的彈性和可用性與其需求相稱。原文編號控制域具體控制要求華為云的應答中心實現(xiàn)N+1部署，即便在一個數(shù)據(jù)中心故障的情況下，也可以將流量負載均衡到其他中心。第4條網(wǎng)絡架構(gòu)Anti-DDoS（VPC-VirtualPrivateCloud）Web應用防火墻（WebApplicationFirewall，簡WAF）應對WebWeb同時，為保證租戶業(yè)務不影響管理操作，確保設(shè)備、資源和流量不會脫離有效監(jiān)管，華為云將其網(wǎng)絡的通信平面基于不同業(yè)務職BMC（BaseboardManagement且安全的分流，便于實現(xiàn)職責分離。第5條密鑰管理金融機構(gòu)應管理加密材料，使金融機構(gòu)數(shù)據(jù)的機密性和（DEW）DEW（HSM）HSMDEW完整性不會受到損害。管理措施包括：定期輪換密鑰、制定詳細的政策和程序管理加密材料的生命周期以及加密材料的備份等。第6條加密金融機構(gòu)應確保只有授權(quán)方才可以訪問傳輸中的和靜態(tài)客戶應制定數(shù)據(jù)管理機制，保證數(shù)據(jù)的機密性、完整性?？蛻艨赏ㄟ^華為云的數(shù)據(jù)存儲加密服務實現(xiàn)對數(shù)據(jù)的加密，華為云將復雜的數(shù)據(jù)。/或加密原文編號控制域具體控制要求華為云的應答及消息的不可抵賴。（DEW）（HSM）提供WebWeb的可信身份認證以及基于加密協(xié)議的安全傳虛擬專用網(wǎng)絡（VirtualPrivateNetworkVPN）、云專線（DirectConnectDC）云連接（CloudConnectCC）安全。第8條用戶訪問管理和認證（IAM）IAMIAM責分離。戶的安全。通過以上方式，實現(xiàn)對特權(quán)和緊急賬號的有效管控?？蛻粢部赏ㄟ^云審計服務（CTS）作為輔助，為租戶提供云服務資源的操作記錄，供用戶查詢、審計和回溯使用。同時，華為云的運維人員接入華為云管理網(wǎng)絡對系統(tǒng)進行集中管理時，需使用唯一可辨識的員工身份賬號，用戶賬號均配置了強密USBkey、SmartVPN第9條特權(quán)用戶金融機構(gòu)應適當管理特權(quán)用戶訪問，客戶可通過華為云的IAM服務及PAM功能可以更有效地細化管理特權(quán)賬戶。訪問并確保第三方服務為配合客戶滿足合規(guī)要求，華為云對于運維管理人員實行基于角色的訪問控制，限定不同崗原文編號控制域具體控制要求華為云的應答其信息資產(chǎn)。位不同職責的人員只能對所授權(quán)的運維目標進行特定操作，僅在員工職責所需時，對其授予特權(quán)或應急賬號。所有特權(quán)或應急賬號的申請需要經(jīng)過多級的評審和批準。華為云僅會在得到客戶授權(quán)后（提供賬號/密碼）登陸租戶的控制臺或者資源實例協(xié)助客戶進行維護。第10條遠程訪問金融機構(gòu)應管理對其云環(huán)境中的平臺和系統(tǒng)進行的各種客戶應建立遠程訪問管理機制。客戶除了通過統(tǒng)一身份認證服務（IAM），對遠程接入人員的身份和權(quán)限進行管理外，華為云還提供了加密傳輸?shù)姆绞焦┛蛻糇孕羞x擇，比如VPN、HTTPS等。以通過堡壘機和SVNSVN進行身份認證，并且堡壘機上支持強日志審計，確保運維人員在目標主機上的操作行為都可以定位到個人。第11條數(shù)據(jù)防丟金融機構(gòu)應制定全面的數(shù)據(jù)丟失防護客戶應建立正式的數(shù)據(jù)保護機制。失以及對云服務的訪問。第12條源代碼審金融機構(gòu)應確保源代碼及其他代碼工客戶應建立源代碼的安全管理機制。為配合客戶滿足合規(guī)要求，華為云嚴格遵從查件（例如編譯和非編譯代碼、庫、運行時模塊）的機密性和完整性，在發(fā)布管理過程中進行源代碼審查。產(chǎn)環(huán)境隔離，并避免生產(chǎn)數(shù)據(jù)或未脫敏的生產(chǎn)數(shù)據(jù)用于測試，使用完成后需要進行數(shù)據(jù)清理。第13滲透云服務供應商的滲透測試報告可用于客戶應該對CSP的環(huán)境進行滲透測試。原文編號控制域具體控制要求華為云的應答條測試為配合客戶滿足合規(guī)要求，華為云定期會開展內(nèi)部和第三方滲透測試和安全評估，監(jiān)蓋服務提供中涉及的所有系統(tǒng)，對所控、排查并解決安全威脅，保障云服務的安全性。有漏洞進行風險評估、跟蹤和適當管理/處理。測、Web金融機構(gòu)應該考慮云的安全檢測、感知及防御能力。環(huán)境。第14條監(jiān)控金融機構(gòu)應建立適當?shù)募惺较到y(tǒng)，以便對來自各種監(jiān)客戶應建立集中的監(jiān)控平臺對各個系統(tǒng)的安全日志進行自動分析，及時檢測和響應安全事態(tài)和事件。ELK志，并統(tǒng)一進行分析，快速全面識別已經(jīng)發(fā)生的攻擊，并預判尚未發(fā)生的威脅。華為云提供關(guān)系型數(shù)據(jù)庫服務，是一款允許租戶快速發(fā)放不同類型數(shù)據(jù)庫，并可根據(jù)業(yè)務需要對計算資源和存儲資源進行彈性擴容的數(shù)據(jù)庫服務。其提供自動備份、數(shù)據(jù)庫快照、數(shù)據(jù)庫恢復等功能，以防止數(shù)據(jù)丟失。用性。以便及時檢測和響應云環(huán)境中的安全事態(tài)和事件。金融機構(gòu)應確保云服務供應商的關(guān)鍵實現(xiàn)災難恢復和業(yè)務連續(xù)性。第15條保護日志金融機構(gòu)和云服務供應商應該對系統(tǒng)華為云的云審計服務（CTS）為租戶提供云服務資源的操作記錄，供用戶查詢、審計和回及備份據(jù)不包含敏感信APICTS息。驗、白名單校驗以及單向接收機制等手段，確保日志信息傳輸和保存的準確、全面；在保存階段，采取多重備份，并根據(jù)華為網(wǎng)絡CTSOBS同時，華為云針對所有物理設(shè)備、網(wǎng)絡、平原文編號控制域具體控制要求華為云的應答臺、應用、數(shù)據(jù)庫和安全系統(tǒng)的管理行為日志也會進行管理，確保所有日志保存時間超過180天，90天內(nèi)可以實時查詢。運行云第1條變更管理IaaS、PaaSSaaS性和/客戶應建立正式的變更管理程序。華為云提供的云審計服務（CTS）可以為客戶提供云服務資源的操作記錄，供用戶查詢、審計和回溯使用?？蓪崟r、系統(tǒng)地記錄所有人員的操作，以便客戶對各項變更執(zhí)行事后審計。同時，華為云作為CSPIaaSPaaS和SaaS權(quán)或錯誤的變更。級別判斷后提交給華為云變更委員會，通過評審后方可按計劃對現(xiàn)網(wǎng)實施變更。所有的變更在申請前，都需通過類生產(chǎn)壞境測試、灰色發(fā)布、藍綠部署等方式進行充分驗證，響。第2條配置管理客戶應對其變更進行監(jiān)控，以檢測未授權(quán)的變更。華為云提供的云審計服務（CTS）可以記錄操作人員對華為云上的資源和系統(tǒng)配置的變更，供用戶查詢、審計和回溯使用。融機構(gòu)應實施自動恢復，以減輕高風險變更。同時，華為云作為CSPIaaSPaaS和SaaS配（CMDB–ConfigurationManagementDatabase）第3條管理應定義和監(jiān)控關(guān)鍵事件，以確保云環(huán)境的機密性、可用客戶應該制定重大事件管理程序，確保重大事件及時發(fā)現(xiàn)、快速解決，以保證云環(huán)境的安全、穩(wěn)定運行。華為云的云監(jiān)控服務為用性和完整性不受損戶提供一個針對彈性云服務器、帶寬等資源害。提供對信息技的立體化監(jiān)控平臺。云監(jiān)控服務提供實時監(jiān)術(shù)環(huán)境中網(wǎng)絡和系統(tǒng)異常的早期檢控告警、通知以及個性化報表視圖，精準掌握業(yè)務資源狀態(tài)。用戶可以自主設(shè)置告警規(guī)原文編號控制域具體控制要求華為云的應答則和通知策略，以便用戶及時檢測云資源的異常并采取應對措施。事故，并根據(jù)事件的關(guān)鍵程度和分配的所有權(quán)，適當?shù)赝瑫r，華為云作為CSP設(shè)施和IaaSPaaS和SaaS管理和上報事件。日志審計系統(tǒng)。并利用大數(shù)據(jù)安全分析系統(tǒng)，關(guān)聯(lián)各種安全設(shè)備的告警日志，并統(tǒng)一進行分析，快速全面識別已經(jīng)發(fā)生的攻擊，并預判尚未發(fā)生的威脅。華為云擁有7*24的專業(yè)安全事件響應團隊負責實時監(jiān)控告速隔離與快速恢復的重大事件。并根據(jù)事件的實時狀態(tài)進行事件升級和通報。第4條事件和問當新的威脅情報可用時，在信息技術(shù)客戶應建立正式的事件和問題管理程序。華為云的云監(jiān)控服務為用戶提供一個針對彈性題管理相應的應對措施。同時華為云還可提供Anti-DDoSWeb數(shù)據(jù)庫安全服務（DatabaseSecurityServiceDBSS）（CTS）當審查，并糾正已發(fā)現(xiàn)的差距，以防止再次發(fā)生。對安全事件進行追溯和審計的功能。同時，華為云作為CSP設(shè)施和IaaSPaaS和SaaS云擁有7*24速定界、快速隔離與快速恢復的事件。并根據(jù)事件的實時狀態(tài)進行事件升級和通報。且華為云會定期對事件進行統(tǒng)計和趨勢分析，針對類似事件，問題處理小組會找到根本原因，并制定解決方案從根源上杜絕該類事件的發(fā)生。第5條容量管理金融機構(gòu)應清楚地了解其業(yè)務運營對資源的要求，以確客戶應建立正式的容量管理程序，對其云資源進行監(jiān)控，確保云資源能夠滿足業(yè)務增長的需要?？蛻艨赏ㄟ^華為云的云監(jiān)控服務對保業(yè)務職能能夠不受任何干擾地繼續(xù)彈性云服務器、帶寬等資源進行的立體化監(jiān)控。云監(jiān)控服務的監(jiān)控對象是基礎(chǔ)設(shè)施、平進行。對資源進行臺及應用服務的資源使用數(shù)據(jù)，不監(jiān)控或觸原文編號控制域具體控制要求華為云的應答碰租戶數(shù)據(jù)。云監(jiān)控服務目前可以監(jiān)控下列云服務的相關(guān)指標：彈性計算服務（ECS）、云硬盤服務（EVS）、虛擬私有云服務（VPC）、關(guān)系型數(shù)據(jù)庫服務（RDS））、分布式緩存服務（DCS）、分布式消息服務（ELB）、主（HVD）（MLS）（WTP）（DWS）、人工智能服務（AIS）等。用戶可以通過這些指標，設(shè)置告警規(guī)則和通知策略，以便及時了解各服務的實例資源運行狀況和性能。同時，華為云內(nèi)部也制定了完善的性能與容量管理流程，通過提前識別資源需求以及對最終保證云資源滿足用戶的業(yè)務正常需求。第6條補丁和漏洞管確保云環(huán)境中所有資產(chǎn)都有明確的所有權(quán)，并對其重要客戶應建立正式的資產(chǎn)管理程序，對其資產(chǎn)進行分類，并定義資產(chǎn)所有者，以便快速識別資產(chǎn)的漏洞并進行修復。同時，華為云也理性進行評級?？焖僮R別潛在的漏洞和建立了完善的漏洞感知、處置和對外披露的機制。華為云依托其建立的漏洞管理體系進系統(tǒng)不穩(wěn)定性并快速安全地部署安全和操作系統(tǒng)補丁。SLA臺、租戶服務等的