華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南-88正式版-WN8

華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南文檔版本發(fā)布日期3.02024-01-26華為云計算技術(shù)有限公司版權(quán)所有

?華為云計算技術(shù)有限公司

2024。

保留一切權(quán)利。非經(jīng)本公司書面許可，任何單位和個人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或全部，并不得以任何形式傳播。商標(biāo)聲明和其他華為商標(biāo)均為華為技術(shù)有限公司的商標(biāo)。本文檔提及的其他所有商標(biāo)或注冊商標(biāo)，由各自的所有人擁有。注意您購買的產(chǎn)品、服務(wù)或特性等應(yīng)受華為云計算技術(shù)有限公司商業(yè)合同和條款的約束，本文檔中描述的全部或部分產(chǎn)品、服務(wù)或特性可能不在您的購買或使用范圍之內(nèi)。除非合同另有約定，華為云計算技術(shù)有限公司對本文檔內(nèi)容不做任何明示或暗示的聲明或保證。由于產(chǎn)品版本升級或其他原因，本文檔內(nèi)容會不定期進(jìn)行更新。除非另有約定，本文檔僅作為使用指導(dǎo)，本文檔中的所有陳述、信息和建議不構(gòu)成任何明示或暗示的擔(dān)保。華為云計算技術(shù)有限公司地址：網(wǎng)址：貴州省貴安新區(qū)黔中大道交興功路華為云數(shù)據(jù)中心郵編：550029/文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司i華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南目錄目

錄1簡介..................................................................................................................................................12華為云安全與隱私合規(guī)

.................................................................................................................23華為云安全責(zé)任共擔(dān)模型

.............................................................................................................54華為云全球基礎(chǔ)設(shè)施

.....................................................................................................................65華為云如何符合

MAS《外包指南》的要求...............................................................................75.1與

MAS在外包的合作...............................................................................................................................................75.2風(fēng)險管理實踐

.............................................................................................................................................................75.3云計算

.......................................................................................................................................................................116華為云如何符合

MAS《科技風(fēng)險管理指南》的要求.............................................................136.1科技風(fēng)險治理和監(jiān)督

...............................................................................................................................................136.2科技風(fēng)險管理框架

...................................................................................................................................................156.3IT項目管理和設(shè)計安全............................................................................................................................................166.4軟件應(yīng)用程序開發(fā)與管理

.......................................................................................................................................196.5IT恢復(fù)能力

...............................................................................................................................................................216.6訪問控制

...................................................................................................................................................................246.7數(shù)據(jù)和基礎(chǔ)設(shè)施安全

...............................................................................................................................................257華為云如何符合

MAS《關(guān)于網(wǎng)絡(luò)衛(wèi)生的通知》的要求.........................................................298華為云如何符合

ABS《外包服務(wù)商控制目標(biāo)和流程指南》的要求......................................338.1審計和檢查

...............................................................................................................................................................338.2實體級別控制

...........................................................................................................................................................358.3通用

IT控制

.............................................................................................................................................................378.4服務(wù)控制

...................................................................................................................................................................429華為云如何符合

ABS《ABS云計算實施指南》的要求.........................................................449.1盡職調(diào)查建議的活動

...............................................................................................................................................449.2進(jìn)入云外包安排時建議的控制措施........................................................................................................................4610華為云如何符合

MAS《業(yè)務(wù)連續(xù)性管理指南》的要求.......................................................5610.1關(guān)鍵業(yè)務(wù)服務(wù)和職能

.............................................................................................................................................56文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司ii華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南目錄10.2服務(wù)恢復(fù)時間目標(biāo)

.................................................................................................................................................5710.3依賴映射關(guān)系

.........................................................................................................................................................5810.4集中風(fēng)險

.................................................................................................................................................................6010.5持續(xù)審視與改進(jìn)

.....................................................................................................................................................6110.6測試

.........................................................................................................................................................................6310.7審計

.........................................................................................................................................................................6510.8事件與危機管理

.....................................................................................................................................................6611華為云如何符合

MAS《針對如何應(yīng)對與采用公有云有關(guān)的技術(shù)和網(wǎng)絡(luò)安全風(fēng)險的咨詢意見》的要求....................................................................................................................................6911.1共同承擔(dān)網(wǎng)絡(luò)安全責(zé)任..........................................................................................................................................6911.2身份訪問管理

.........................................................................................................................................................7011.3保護(hù)公有云中的應(yīng)用程序......................................................................................................................................7311.4數(shù)據(jù)安全和加密密鑰管理......................................................................................................................................7611.5不可變工作負(fù)載和基礎(chǔ)設(shè)施即代碼......................................................................................................................7711.6網(wǎng)絡(luò)安全運營

.........................................................................................................................................................7811.7云韌性風(fēng)險管理

.....................................................................................................................................................7911.8云服務(wù)提供商的外包盡職調(diào)查..............................................................................................................................8011.9供應(yīng)商鎖定和集中風(fēng)險管理..................................................................................................................................8111.10技能

.......................................................................................................................................................................8212結(jié)語..............................................................................................................................................8313版本歷史......................................................................................................................................84文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司iii華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南1簡介1簡介在科技發(fā)展的浪潮中，越來越多的金融機構(gòu)在逐漸尋求業(yè)務(wù)轉(zhuǎn)型并希望借助先進(jìn)的技術(shù)以降低成本、提升運營效率、實現(xiàn)業(yè)務(wù)模式的創(chuàng)新。為了規(guī)范金融行業(yè)對于信息科技的運用，新加坡金融監(jiān)管局（MAS）以及新加坡銀行協(xié)會（ABS）發(fā)布了一系列監(jiān)管要求、指南和通知，針對新加坡金融機構(gòu)科技風(fēng)險管理、科技外包管理以及云計算實施等方面提出了相關(guān)監(jiān)管要求。華為云作為云服務(wù)供應(yīng)商，致力于協(xié)助金融客戶滿足這些監(jiān)管要求，持續(xù)為金融客戶提供符合金融行業(yè)標(biāo)準(zhǔn)要求的云服務(wù)及業(yè)務(wù)運行環(huán)境。為此，華為云目前已建立起一套涵蓋業(yè)界主流云安全標(biāo)準(zhǔn)以及華為云安全管理要求的方法體系，覆蓋了網(wǎng)絡(luò)安全與隱私保護(hù)領(lǐng)域中多個方面的要求，其實施有助于提升華為云自身合規(guī)水平，同時能夠協(xié)助金融客戶滿足相關(guān)監(jiān)管要求、指南和通知。本文將針對新加坡金融機構(gòu)在使用云服務(wù)時通常需遵循的以下監(jiān)管要求和指南，詳細(xì)闡述華為云將如何協(xié)助其滿足監(jiān)管要求：?MAS外包指南：針對已經(jīng)或計劃將業(yè)務(wù)活動外包給服務(wù)供應(yīng)商的金融機構(gòu)，提出了希望金融機構(gòu)能夠遵守的外包管理相關(guān)要求，為金融機構(gòu)外包活動的風(fēng)險管理提供了良好實踐指導(dǎo)。?????MAS科技風(fēng)險管理指南：規(guī)定了科技風(fēng)險管理原則和最佳實踐標(biāo)準(zhǔn)，指導(dǎo)金融機構(gòu)建立健全、可靠的科技風(fēng)險管理框架。MAS關(guān)于網(wǎng)絡(luò)衛(wèi)生的通知：為新加坡金融機構(gòu)提供了關(guān)于遵循相關(guān)法令的實踐指導(dǎo)。ABS外包服務(wù)商控制目標(biāo)和流程指南：規(guī)定了為金融機構(gòu)提供服務(wù)的外包服務(wù)供應(yīng)商應(yīng)具備的最低/基線控制措施。ABS云計算實施指南：為金融機構(gòu)提供了關(guān)于使用云服務(wù)的最佳實踐和注意事項。MAS業(yè)務(wù)連續(xù)性管理指南：為新加坡金融機構(gòu)加強業(yè)務(wù)連續(xù)性管理提供指導(dǎo)，旨在幫助金融機構(gòu)增強抵御服務(wù)中斷的能力，同時最大限度地減少服務(wù)中斷所造成的負(fù)面影響。?MAS針對如何應(yīng)對與采用公有云有關(guān)的技術(shù)和網(wǎng)絡(luò)安全風(fēng)險的咨詢意見：強調(diào)了金融機構(gòu)在采用公有云服務(wù)前應(yīng)考慮的一些常見的關(guān)鍵風(fēng)險和控制措施。為金融機構(gòu)更加安全地使用公有云服務(wù)，降低相關(guān)風(fēng)險提供指導(dǎo)。文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司1華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南2華為云安全與隱私合規(guī)2華為云安全與隱私合規(guī)華為云繼承了華為公司完備的管理體系以及

IT系統(tǒng)的建設(shè)和運營經(jīng)驗，對華為云各項服務(wù)的集成、運營及維護(hù)進(jìn)行主動管理，并持續(xù)改進(jìn)。截至目前，華為云已獲得眾多全球性、區(qū)域性和行業(yè)特定的安全合規(guī)的權(quán)威認(rèn)證，全力保障客戶部署業(yè)務(wù)的安全。關(guān)于更多華為云的安全合規(guī)信息以及獲取相關(guān)合規(guī)證書，可參見華為云官網(wǎng)“信任中心-合規(guī)中心”。華為云部分標(biāo)準(zhǔn)類認(rèn)證/鑒證示例：認(rèn)證描述ISO27001:2022ISO27001是目前國際上被廣泛接受和應(yīng)用的信息安全管理體系認(rèn)證標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)以風(fēng)險管理為核心，通過定期評估風(fēng)險和對應(yīng)的控制措施來有效保證組織信息安全管理體系的持續(xù)運行。ISO27017:2015ISO27018:2019ISO27017是針對云計算信息安全的國際認(rèn)證。ISO27017的通過，表明華為云在信息安全管理能力達(dá)到了國際公認(rèn)的最佳實踐。ISO27018是專注于云中個人數(shù)據(jù)保護(hù)的國際行為準(zhǔn)則。ISO27018的通過，表明華為云已滿足國際認(rèn)可的公有云個人數(shù)據(jù)保護(hù)措施的要求，可保證客戶個人數(shù)據(jù)安全。7TL9000&ISO9001ISO9001是

ISO9000族標(biāo)準(zhǔn)所包括的一組質(zhì)量管理體系核心標(biāo)準(zhǔn)之一，用于證實組織具有提供滿足顧客要求和適用法規(guī)要求的產(chǎn)品的能力。TL9000是一個建立在

ISO9001基礎(chǔ)上的，由全球電信業(yè)優(yōu)質(zhì)供應(yīng)商聯(lián)盟（QuESTForum）針對全球信息和通訊技術(shù)（ICT）行業(yè)特定設(shè)計的、為

ICT產(chǎn)品和服務(wù)供方提供的一套通用的質(zhì)量管理體系要求。它包括了

ISO9001的所有要求，ISO9001將來的任何改動也會導(dǎo)致

TL9000的改動。華為云取得了

ISO9001/TL9000認(rèn)證證書，表明華為云可以為您提供更快，更好和更具成本效益的服務(wù)。ISO20000-1:2018ISO20000是針對信息技術(shù)服務(wù)管理領(lǐng)域的國際標(biāo)準(zhǔn)，提供設(shè)計、建立、實施、運行、監(jiān)控、評審、維護(hù)和改進(jìn)服務(wù)管理體系的模型以保證服務(wù)供應(yīng)商可提供有效的

IT服務(wù)來滿足客戶和業(yè)務(wù)的需文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司2華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南2華為云安全與隱私合規(guī)認(rèn)證描述求。ISO22301:2019ISO22301是國際公認(rèn)的業(yè)務(wù)連續(xù)性管理體系標(biāo)準(zhǔn)，通過對風(fēng)險的識別、分析和預(yù)警來幫助組織規(guī)避潛在事件的發(fā)生，并且制定完備的“業(yè)務(wù)連續(xù)性計劃”，有效地應(yīng)對中斷發(fā)生后的快速恢復(fù)，保持核心功能正常運行，將損失和恢復(fù)成本降至最低。CSASTAR認(rèn)證

CSASTAR認(rèn)證是由標(biāo)準(zhǔn)研發(fā)機構(gòu)

BSI（英國標(biāo)準(zhǔn)協(xié)會）和

CSA（云安全聯(lián)盟）合作推出的國際范圍內(nèi)的針對云安全水平的權(quán)威認(rèn)證，旨在應(yīng)對與云安全相關(guān)的特定問題，協(xié)助云計算服務(wù)商展現(xiàn)其服務(wù)成熟度的解決方案。ISO27701:2019BS10012:2017ISO29151:2017PCIDSSISO27701規(guī)定了建立、實施、維護(hù)和持續(xù)改進(jìn)隱私相關(guān)所特定的管理體系的要求。華為云通過

ISO27701表明了其在個人數(shù)據(jù)保護(hù)具有健全的體制。BS10012是

BSI發(fā)布的個人信息數(shù)據(jù)管理體系標(biāo)準(zhǔn)，BS10012認(rèn)證的通過表明華為云在個人數(shù)據(jù)保護(hù)上擁有完整的體系以保證個人數(shù)據(jù)安全。ISO29151是國際個人身份信息保護(hù)實踐指南。ISO29151的通過，表明華為云實施國際認(rèn)可的個人數(shù)據(jù)處理的全生命周期的管理措施。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCIDSS）是由

JCB、美國運通、Discover、萬事達(dá)和

Visa等五家國際信用卡組織共同建立的一套支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)，由支付卡行業(yè)安全標(biāo)準(zhǔn)委員會管理。它是世界上最權(quán)威、最嚴(yán)格的金融機構(gòu)認(rèn)證。PCI3DSPCI3DS標(biāo)準(zhǔn)，旨在保護(hù)執(zhí)行特定

3DS功能或者存儲

3DS數(shù)據(jù)的3DS環(huán)境，支持

3DS的實施。PCI3DS的評估對象為

3D協(xié)議執(zhí)行環(huán)境，包括訪問控制服務(wù)器、目錄服務(wù)器或

3DS服務(wù)器功能；以及

3D執(zhí)行環(huán)境內(nèi)和連接到環(huán)境所需要的系統(tǒng)組件，如防火墻、虛擬服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用等；除此之外，還會評估

3D協(xié)議執(zhí)行環(huán)境的過程、流程、人員管理等。ISO27799:2016ISO/IEC27799是專注于醫(yī)療行業(yè)的信息安全管理體系，為醫(yī)療行業(yè)和其相關(guān)機構(gòu)提供了關(guān)于如何更好地保護(hù)個人健康信息的保密性、完整性、可審計性和可用性的指導(dǎo)。華為云是全球首個獲得該認(rèn)證的云服務(wù)商，表明華為云對醫(yī)療行業(yè)的理解和實踐，對醫(yī)療行業(yè)信息安全的防護(hù)能力得到國際權(quán)威認(rèn)可，能夠更可靠的保障您的信息安全。ISO27034ISO/IEC27034是國際標(biāo)準(zhǔn)化組織

ISO通過的第一個關(guān)注建立安全軟件程序流程和框架的標(biāo)準(zhǔn)，它清晰地定義了實際應(yīng)用中軟件系統(tǒng)面臨的風(fēng)險，同時為不同類型的軟件開發(fā)組織提供了一套可以靈活應(yīng)用的方法。華為云是全球首家獲得

ISO/IEC27034認(rèn)證的云服務(wù)提供商，表明華為云具備在云服務(wù)中保持持續(xù)安全和合規(guī)的能力。文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司3華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南2華為云安全與隱私合規(guī)認(rèn)證描述SOC審計報告SOC審計報告是由第三方審計機構(gòu)根據(jù)美國注冊會計師協(xié)會（AICPA）制定的相關(guān)準(zhǔn)則，針對外包服務(wù)商的系統(tǒng)和內(nèi)部控制情況出具的獨立審計報告。文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司4華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南3華為云安全責(zé)任共擔(dān)模型3華為云安全責(zé)任共擔(dān)模型華為云的主要責(zé)任是研發(fā)并運維運營華為云數(shù)據(jù)中心的物理基礎(chǔ)設(shè)施，華為云提供的各項基礎(chǔ)服務(wù)、平臺服務(wù)和應(yīng)用服務(wù)，也包括各項服務(wù)內(nèi)置的安全功能。同時，華為云還負(fù)責(zé)構(gòu)建物理層、基礎(chǔ)設(shè)施層、平臺層、應(yīng)用層、數(shù)據(jù)層和用戶身份管理（IAM）層的多維立體安全防護(hù)體系，并保障其運維運營安全。租戶的主要責(zé)任是在租用的華為云基礎(chǔ)設(shè)施與服務(wù)之上定制配置并且運維運營其所需的虛擬網(wǎng)絡(luò)、平臺、應(yīng)用、數(shù)據(jù)、管理、安全等各項服務(wù)，包括對華為云服務(wù)的定制配置和對租戶自行部署的平臺、應(yīng)用、用戶身份管理等服務(wù)的運維運營。同時，租戶還負(fù)責(zé)其在虛擬網(wǎng)絡(luò)層、平臺層、應(yīng)用層、數(shù)據(jù)層和

IAM層的各項安全防護(hù)措施的定制配置、運維運營安全、以及用戶身份的有效管理。關(guān)于華為云與租戶的安全責(zé)任詳情，可參考華為云已發(fā)布的《華為云安全白皮書》。文檔版本

33.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司5華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南4華為云全球基礎(chǔ)設(shè)施4華為云全球基礎(chǔ)設(shè)施華為云目前已陸續(xù)在全球多個國家或地區(qū)開服。華為云的基礎(chǔ)設(shè)施采用在全球部署多個地理區(qū)域（Region）和多可用區(qū)（AZ）的模式，華為云能夠在多個地理區(qū)域內(nèi)或同一地域內(nèi)多個可用區(qū)之間靈活替換計算實例和存儲數(shù)據(jù)，每個可用區(qū)都是一個獨立故障維護(hù)域，也就是各可用區(qū)物理上是隔離的。用戶可充分利用這些地理區(qū)域和可用區(qū)，規(guī)劃應(yīng)用系統(tǒng)在云上的部署和運行?；诙鄠€可用區(qū)進(jìn)行應(yīng)用的分布式部署，可保證在大多故障情況下系統(tǒng)都能連續(xù)運行。關(guān)于更多關(guān)于華為云基礎(chǔ)設(shè)施的信息，參見華為云官網(wǎng)“全球基礎(chǔ)設(shè)施”。文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司6userid:529794,docid:170004,date:2024-07-30,華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南5華為云如何符合

MAS《外包指南》的要求5華為云如何符合

MAS《外包指南》的要求《外包指南》從風(fēng)險管理的角度闡述了金融機構(gòu)在進(jìn)行業(yè)務(wù)外包時需要考慮的事項及應(yīng)遵守的要求。MAS外包指南涵蓋與

MAS在外包、風(fēng)險管理實踐和云計算方面的合作，表達(dá)了新加坡金融管理局對金融機構(gòu)外包管理方面的期望。以下內(nèi)容將總結(jié)該指南中與云服務(wù)供應(yīng)商相關(guān)的控制要求，并詳細(xì)闡述了華為云作為金融機構(gòu)的云服務(wù)供應(yīng)商時，會如何幫助其滿足這些控制要求。5.1與

MAS在外包的合作《外包指南》第四章要求金融機構(gòu)持續(xù)向

MAS證明其遵守這些準(zhǔn)則，覆蓋遵守指南和不良發(fā)展通知。相關(guān)控制要求及華為云應(yīng)答如下：編號控制域具體控制要求華為云的應(yīng)答4.1遵守準(zhǔn)則一個機構(gòu)應(yīng)準(zhǔn)備好向

MAS證明客戶應(yīng)定期對其外包服務(wù)提其遵守這些準(zhǔn)則。MAS可直接與

供商進(jìn)行審計或評估，確保該機構(gòu)的所在地或東道監(jiān)管機構(gòu)

服務(wù)提供商提供的云服務(wù)不以及該機構(gòu)的服務(wù)提供商溝通，

低于自身安全管理要求。說明它們是否有能力和意愿與4.2不良發(fā)展通知如果金融機構(gòu)向華為云發(fā)起審計請求，華為云將安排人員積極配合審計。MAS合作監(jiān)督該機構(gòu)的外包風(fēng)險。5.2風(fēng)險管理實踐《外包指南》第五章要求金融機構(gòu)就外包安排制定風(fēng)險管理政策并遵守外包風(fēng)險管理相關(guān)實踐，覆蓋概述、董事會和高級管理層的責(zé)任、風(fēng)險評估、服務(wù)提供商評估、外包協(xié)議、保密和安全、業(yè)務(wù)連續(xù)性管理、外包安排的監(jiān)控和控制、審計和檢查、新加坡境外外包、集團(tuán)內(nèi)外包以及將內(nèi)部審計外包給外部審計方等領(lǐng)域。相關(guān)控制要求及華為云的應(yīng)答如下：文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司7華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南5華為云如何符合

MAS《外包指南》的要求編號控制域具體控制要求華為云的應(yīng)答5.3風(fēng)險評估為了確保外包安排不會導(dǎo)致機構(gòu)

客戶應(yīng)建立風(fēng)險評估框架，定的風(fēng)險管理、內(nèi)部控制、商業(yè)行

期評估外包安排的風(fēng)險。為或機構(gòu)聲譽受到損害或削弱，華為云可配合并積極響應(yīng)客戶需求。此外，華為云內(nèi)部也制定了完善的信息安全風(fēng)險管理機制，定期進(jìn)行風(fēng)險評估和合規(guī)審查，以實現(xiàn)華為云云環(huán)境的安全、穩(wěn)定運行。機構(gòu)應(yīng)建立風(fēng)險評估框架。此類風(fēng)險評估應(yīng)在機構(gòu)計劃與現(xiàn)有或新的服務(wù)供應(yīng)商簽訂外包安排時進(jìn)行，并定期對現(xiàn)有外包安排進(jìn)行重新評估，作為機構(gòu)外包安排的批準(zhǔn)、戰(zhàn)略規(guī)劃、風(fēng)險管理或內(nèi)部控制審查的一部分。5.4服務(wù)供應(yīng)在考慮重新談判或更新外包安排

客戶應(yīng)對其服務(wù)供應(yīng)商進(jìn)行盡時，機構(gòu)應(yīng)對服務(wù)供應(yīng)商進(jìn)行適

職調(diào)查，以識別其外包安排的當(dāng)?shù)谋M職調(diào)查，以評估與外包安

風(fēng)險。商評估排相關(guān)的風(fēng)險。必要時，金融機華為云會安排專人積極配合金融機構(gòu)的盡職調(diào)查。為了讓用戶享受安全可信的云平臺和云服務(wù)，華為云按照全球各地權(quán)威的安全標(biāo)準(zhǔn)，從安全技術(shù)、安全制度、人員管理等各方面構(gòu)建了完備的安全體系，并獲得了國內(nèi)外眾多安全認(rèn)證。華為在公司內(nèi)部倡導(dǎo)“人人懂安全”的理念和實踐，創(chuàng)造了一個無時不在，無處不在，充滿活力和競爭力的安全文化。并貫穿在華為云招聘選才、員工入職、上崗培訓(xùn)、持續(xù)培訓(xùn)、內(nèi)部調(diào)動和離職等各個環(huán)節(jié)。構(gòu)應(yīng)對服務(wù)供應(yīng)商進(jìn)行現(xiàn)場考察，并盡可能獲得服務(wù)供應(yīng)商的獨立審查和市場反饋，以補充機構(gòu)的評估。機構(gòu)還應(yīng)確保其外包服務(wù)供應(yīng)商的雇員均經(jīng)過評估，以滿足機構(gòu)自身的聘用標(biāo)準(zhǔn)。5.5外包協(xié)議機構(gòu)與外包服務(wù)供應(yīng)商應(yīng)書面定

客戶與外包服務(wù)供應(yīng)商應(yīng)簽訂義合同條款和條件以約束雙方的

外包協(xié)議，并保證協(xié)議的合法關(guān)系、義務(wù)、責(zé)任、權(quán)力和期望。合同應(yīng)由主管當(dāng)局（如法律顧問）審查其合法性和適宜性。機構(gòu)應(yīng)確保每個外包協(xié)議都能解決風(fēng)險評估和盡職調(diào)查階段發(fā)現(xiàn)的風(fēng)險。每項外包協(xié)議都應(yīng)允許重新談判和續(xù)期，以使該機構(gòu)能夠?qū)ν獍才疟３诌m當(dāng)程度的控制，并有權(quán)采取適當(dāng)措施進(jìn)行干預(yù)，以履行其法律義務(wù)和監(jiān)管義務(wù)。每項協(xié)議都應(yīng)量身定制，以解決國家風(fēng)險引起的問題以及對新加坡境外服務(wù)供應(yīng)商就外包安排進(jìn)行監(jiān)督和管理時可能遇到的性和適宜性。為配合客戶行使對云服務(wù)供應(yīng)商的監(jiān)管，華為云線上的《華為云用戶協(xié)議》對客戶和華為的安全職責(zé)進(jìn)行劃分，華為云《云服務(wù)等級協(xié)議》規(guī)定了華為云提供的服務(wù)水平。同時，華為云也制定了線下合同模板，可根據(jù)客戶的要求，在其中與客戶共同約定相應(yīng)要求。更多詳細(xì)信息請參見《華為云用戶協(xié)議》。文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司8華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南5華為云如何符合

MAS《外包指南》的要求編號控制域具體控制要求華為云的應(yīng)答障礙。5.6保密和安金融機構(gòu)必須確保服務(wù)供應(yīng)商的

客戶可以采取協(xié)議約束、審查安全政策、程序和控制措施將使

監(jiān)督等方式確保服務(wù)供應(yīng)商的機構(gòu)能夠保護(hù)其客戶信息的保密

安全政策、程序和控制措施將全性和安全性。使機構(gòu)能夠保護(hù)其客戶信息的保密性和安全性。華為云業(yè)務(wù)的開展遵循華為公司“一國一策，一客一策”的戰(zhàn)略，在遵從客戶所在國家或地區(qū)的安全法規(guī)以及行業(yè)監(jiān)管要求的基礎(chǔ)上，參考業(yè)界最佳實踐從組織、流程、規(guī)范、技術(shù)、合規(guī)、生態(tài)和等方面建立并管理完善、高可信、可持續(xù)的安全保障體系，并與有關(guān)政府、客戶及行業(yè)伙伴以開放透明的方式，共同應(yīng)對云安全挑戰(zhàn)，全面滿足客戶的安全需求。同時，華為云目前獲得了國際上多項權(quán)威的安全與隱私保護(hù)認(rèn)證，第三方測評公司也會定期對華為云展開保密性、安全充分性和合規(guī)性的審核并出具專家報告。更多詳細(xì)信息請參見《華為云安全白皮書》。5.7業(yè)務(wù)連續(xù)金融機構(gòu)應(yīng)確保其業(yè)務(wù)連續(xù)性不

客戶應(yīng)制定業(yè)務(wù)連續(xù)性計劃，會因外包安排而受損，以便在服

并考慮其外包安排對其業(yè)務(wù)連務(wù)中斷或失敗、外包安排意外終

續(xù)性的影響。如果金融機構(gòu)在止或服務(wù)供應(yīng)商清算的情況下，

運行其組織內(nèi)部的業(yè)務(wù)連續(xù)性機構(gòu)仍能夠以誠信的方式有能力

計劃的過程中需要華為云的參性管理開展業(yè)務(wù)。與，華為云會積極配合。此外，華為云作為云服務(wù)供應(yīng)商，為金融機構(gòu)客戶提供其業(yè)務(wù)所依賴的云服務(wù)，因此除不可抗因素導(dǎo)致的外包中斷或意外終止的情況外，華為云制定了符合自身業(yè)務(wù)特色的業(yè)務(wù)連續(xù)性管理體系，為客戶持續(xù)有效提供服務(wù)，保證客戶業(yè)務(wù)的開展。華為云每年會在組織內(nèi)進(jìn)行業(yè)務(wù)連續(xù)性的宣傳和培訓(xùn)，以及定期做應(yīng)急演練和測試，持續(xù)優(yōu)化應(yīng)急響應(yīng)機制。文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司9華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南5華為云如何符合

MAS《外包指南》的要求編號控制域具體控制要求華為云的應(yīng)答5.8外包安排金融機構(gòu)應(yīng)建立外包管理控制小

客戶應(yīng)該建立外包管理機制，組，持續(xù)監(jiān)控外包服務(wù)。對所有

持續(xù)監(jiān)控并定期審查外包服重大外包安排進(jìn)行定期審查，對

務(wù)。華為云的云監(jiān)控服務(wù)新的外包安排或?qū)ΜF(xiàn)有外包安排

（CloudEye）可實現(xiàn)對客戶自進(jìn)行修訂時，進(jìn)行全面的實施前

身云資源的使用情況和績效的和實施后審查。如果外包安排有

監(jiān)控。華為云可以根據(jù)客戶的重大修改，還應(yīng)對外包安排進(jìn)行

需求按照

SLA向客戶提供服的監(jiān)控全面的盡職調(diào)查。務(wù)報告，華為云也會安排專人負(fù)責(zé)客戶方發(fā)起的盡職調(diào)查。5.9審計和檢金融機構(gòu)的外包安排不應(yīng)干擾其

客戶應(yīng)定期對其外包服務(wù)供應(yīng)自身管理能力和金融監(jiān)管局的監(jiān)

商執(zhí)行獨立審計或?qū)＜以u估，督能力，也不應(yīng)妨礙金融監(jiān)管局

并將識別的問題知會服務(wù)供應(yīng)履行其監(jiān)督職能和目標(biāo)。機構(gòu)應(yīng)

商的高級管理層?？蛻魬?yīng)該在確保對其所有外包安排進(jìn)行獨立

與服務(wù)供應(yīng)商簽訂的協(xié)議中要查審計和/或?qū)＜以u估。求包含服務(wù)供應(yīng)商對其分包商的安全承諾。外包協(xié)議還應(yīng)包括要求服務(wù)供應(yīng)商盡快滿足金融監(jiān)管局或機構(gòu)向

華為云會安排專人積極配合客服務(wù)供應(yīng)商及其分包商提出的任

戶發(fā)起的審計要求?？蛻魧θA何要求的條款，以提交與外包安

為云的審計和監(jiān)督權(quán)益會根據(jù)排相關(guān)的服務(wù)供應(yīng)商及其分包商

實際情況在與客戶簽訂的協(xié)議的安全和控制環(huán)境報告。重大問

中進(jìn)行承諾。華為云已通過題和擔(dān)憂應(yīng)及時提請機構(gòu)和服務(wù)

ISO27001、ISO27017、供應(yīng)商的高級管理層或機構(gòu)董事

ISO27018、SOC、CSASTAR會注意（如有必要）。如果構(gòu)成

等多項國際安全與隱私保護(hù)認(rèn)的風(fēng)險不再在機構(gòu)的風(fēng)險承受能

證，并且每年會接受第三方的力范圍內(nèi)，機構(gòu)應(yīng)采取行動審查

審計。此外，華為云制定了完外包安排。善的供應(yīng)商管理機制，定期對供應(yīng)商（包括外包人員）的表現(xiàn)進(jìn)行考核，考核結(jié)果作為下次采購的關(guān)鍵參考。華為云也會與供應(yīng)商（包括外包人員個人）簽訂安全合規(guī)和保密協(xié)議。5.1新加坡境金融機構(gòu)在外國聘用外包服務(wù)供

客戶在選擇外包服務(wù)供應(yīng)商應(yīng)商可能會面臨國家風(fēng)險，因此

時，應(yīng)提前對其進(jìn)行盡職調(diào)在外包安排的風(fēng)險管理中，盡職

查，保證外包服務(wù)供應(yīng)商的政0外外包調(diào)查應(yīng)包括政府政策、政經(jīng)狀府政策、經(jīng)濟(jì)情況、法律監(jiān)管況、外國的法律監(jiān)管發(fā)展以及機

以及服務(wù)能力符合客戶業(yè)務(wù)發(fā)構(gòu)有效監(jiān)測供應(yīng)商的能力。機構(gòu)

展的需要以及監(jiān)管要求。還應(yīng)了解外包供應(yīng)商的恢復(fù)安排華為云會安排專人積極配合客戶的盡職調(diào)查。此外，華為云業(yè)務(wù)的開展遵循華為公司“一國一策，一客一策”的戰(zhàn)略，在遵從客戶所在國家或地區(qū)的和地點并考慮傳輸媒介的相關(guān)風(fēng)險。機構(gòu)應(yīng)僅與處于能夠遵守保密條款的司法管轄區(qū)內(nèi)以及法律和行政限制不會妨礙機構(gòu)獲取信文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司10華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南5華為云如何符合

MAS《外包指南》的要求編號控制域具體控制要求華為云的應(yīng)答息的服務(wù)供應(yīng)商簽訂協(xié)議。安全法規(guī)以及行業(yè)監(jiān)管要求的基礎(chǔ)上，參考業(yè)界最佳實踐從組織、流程、規(guī)范、技術(shù)、合規(guī)、生態(tài)和等方面建立并管理完善、高可信、可持續(xù)的安全保障體系，并與有關(guān)政府、客戶及行業(yè)伙伴以開放透明的方式，共同應(yīng)對云安全挑戰(zhàn)，全面滿足客戶的安全需求。華為云在新加坡建立了兩個數(shù)據(jù)中心，實現(xiàn)雙可用區(qū)冗余。為了減小由硬件故障、自然災(zāi)害或其他災(zāi)難帶來的服務(wù)中斷，華為云為所有數(shù)據(jù)中心提供災(zāi)難恢復(fù)計劃：單個區(qū)域內(nèi)不同可用區(qū)之間，通過高速光纖實現(xiàn)數(shù)據(jù)中心互聯(lián)（DCI–DataCenterInterconnect），滿足跨可用區(qū)數(shù)據(jù)復(fù)制基本要求，用戶可根據(jù)業(yè)務(wù)需求選擇災(zāi)備復(fù)制服務(wù)。5.1集團(tuán)內(nèi)外對集團(tuán)內(nèi)部服務(wù)提供者的盡職調(diào)

客戶在選擇服務(wù)提供商之前，查可以采取評估服務(wù)提供者應(yīng)對

應(yīng)對其進(jìn)行盡職調(diào)查?？蛻魧徳摍C構(gòu)特有風(fēng)險能力的定性方面

查服務(wù)提供商的業(yè)務(wù)連續(xù)性機的形式，特別是與業(yè)務(wù)連續(xù)性管

制是否滿足業(yè)務(wù)要求?？蛻襞c理、監(jiān)測和控制、審計和檢查有

服務(wù)提供商洽談，最終與供應(yīng)關(guān)的風(fēng)險，包括確認(rèn)向

MAS提

商就合同內(nèi)容達(dá)成一致。供的訪問權(quán)，保留對該機構(gòu)的有1包華為云將安排人員積極配合客戶的檢查和盡職調(diào)查。華為云每年都會聘請專業(yè)的外部資源進(jìn)行

SOC2認(rèn)證。如果客戶對用戶協(xié)議提出更多要求，華為云將嘗試與其達(dá)成協(xié)議。華為云將積極配合

MAS和金融機構(gòu)對華為云及其供應(yīng)商的審計。效監(jiān)督，以及遵守當(dāng)?shù)乇O(jiān)管標(biāo)準(zhǔn)。5.3云計算《外包指南》第六章提出了金融機構(gòu)使用云服務(wù)時需要考慮的注意事項及應(yīng)遵守的相關(guān)要求。相關(guān)控制要求及華為云的應(yīng)答如下：文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司11華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南5華為云如何符合

MAS《外包指南》的要求編號

控制域具體控制要求金融機構(gòu)在訂購云服務(wù)時，華為云的應(yīng)答6云計算客戶在訂購云服務(wù)前，應(yīng)對云服務(wù)供應(yīng)商進(jìn)行盡職調(diào)查，特別是了解云服務(wù)在實現(xiàn)數(shù)據(jù)訪問、保密性、主權(quán)、可恢復(fù)性、合規(guī)性方面的控制措施，以及多租戶場景下如何實現(xiàn)客戶數(shù)據(jù)隔離的解決方案。機構(gòu)應(yīng)執(zhí)行必要的盡職調(diào)查，機構(gòu)應(yīng)采取積極措施應(yīng)對與數(shù)據(jù)訪問、保密性、完整性、主權(quán)、可恢復(fù)性、合規(guī)性和審計相關(guān)的風(fēng)險。機構(gòu)應(yīng)確保服務(wù)供應(yīng)商擁有使用強有力的物理或邏輯控制來明確識別和隔離客戶數(shù)據(jù)的能力。服務(wù)供應(yīng)商應(yīng)建立可靠的訪問控制來保護(hù)客戶信息，此類訪問控制應(yīng)在云服務(wù)合同有效期內(nèi)存續(xù)。華為云高度重視用戶的數(shù)據(jù)信息資產(chǎn)，把數(shù)據(jù)保護(hù)作為華為云安全策略的核心。華為云將繼續(xù)遵循數(shù)據(jù)安全生命周期管理的業(yè)界先進(jìn)標(biāo)準(zhǔn)，在身份認(rèn)證與訪問控制、權(quán)限管理、數(shù)據(jù)隔離、傳輸安全、存儲安全、數(shù)據(jù)刪除、物理銷毀、數(shù)據(jù)備份恢復(fù)等方面，采用優(yōu)秀技術(shù)、實踐和流程，保證用戶對其數(shù)據(jù)的隱私權(quán)、所有權(quán)和控制權(quán)不受侵犯，為用戶提供最切實有效的數(shù)據(jù)保護(hù)。更多詳細(xì)信息請參見《華為云數(shù)據(jù)安全白皮書》第

4部分。文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司126華為云如何符合

MAS《科技風(fēng)險管理指南》的要求華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南6華為云如何符合

MAS《科技風(fēng)險管理指南》的要求新加坡金融管理局（MAS）發(fā)布的《2021科技風(fēng)險管理指南》規(guī)定了金融機構(gòu)關(guān)于科技風(fēng)險的管理原則和最佳實踐標(biāo)準(zhǔn)，以指導(dǎo)新加坡金融機構(gòu)建立一個健全的、可靠的科技風(fēng)險管理框架，加強系統(tǒng)的安全性、可靠性、彈性和可恢復(fù)性，保護(hù)客戶數(shù)據(jù)、交易及信息系統(tǒng)。《2021科技風(fēng)險管理指南》的要求覆蓋了科技風(fēng)險治理和監(jiān)督、科技風(fēng)險管理框架、IT項目管理和設(shè)計安全、軟件應(yīng)用程序開發(fā)和管理、IT服務(wù)管理、IT彈性、訪問控制、密碼學(xué)、數(shù)據(jù)和基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全運營、網(wǎng)絡(luò)安全評估、在線金融服務(wù)和

IT審計等領(lǐng)域。以下內(nèi)容總結(jié)了《2021科技風(fēng)險管理指南》中與云服務(wù)供應(yīng)商相關(guān)的合規(guī)要求條款，并闡述華為云是如何幫助金融機構(gòu)滿足其要求。6.1科技風(fēng)險治理和監(jiān)督鑒于

IT職能在支持金融機構(gòu)業(yè)務(wù)方面的重要性，《2021科技風(fēng)險管理指南》第三章要求金融機構(gòu)的董事會和高級管理層監(jiān)督其科技風(fēng)險，并確保組織的

IT職能能夠支持其業(yè)務(wù)戰(zhàn)略和目標(biāo)。相關(guān)要求覆蓋董事會和高級管理層的作用、政策、標(biāo)準(zhǔn)和程序、信息資產(chǎn)管理、第三方服務(wù)管理、能力和背景審查以及安全意識和培訓(xùn)。相關(guān)控制要求及華為云的應(yīng)答如下：編

控制域號具體控制要求華為云的應(yīng)答3.政策、標(biāo)準(zhǔn)和程應(yīng)基于行業(yè)標(biāo)準(zhǔn)和最佳做法，制定政策、標(biāo)準(zhǔn)和程序，并以此來管理科技風(fēng)險和保護(hù)信息資產(chǎn)。應(yīng)定期審查和更新政策、標(biāo)準(zhǔn)和程序，以確保其仍然與不斷變化的科技和網(wǎng)絡(luò)威脅格局相關(guān)?？蛻魬?yīng)建立并定期審查正式的信息安全政策和流程。2序根據(jù)

ISO27001標(biāo)準(zhǔn)，華為云構(gòu)建了完善的信息安全管理體系，制定了華為云的整體信息安全戰(zhàn)略，明確了信息安全管理機構(gòu)的結(jié)構(gòu)和職責(zé)、信息安全系統(tǒng)文件的管理方法、關(guān)鍵方向和目標(biāo)，包括資產(chǎn)安全、訪問控制、密碼學(xué)、物理安全、運營安全、通信安全、系統(tǒng)開文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司136華為云如何符合

MAS《科技風(fēng)險管理指南》的要求華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南發(fā)安全、供應(yīng)商管理、信息安全事件管理和業(yè)務(wù)連續(xù)性。華為云全力保護(hù)客戶系統(tǒng)和數(shù)據(jù)的不可侵犯性、完整性和可用性。此外，華為云專注于培養(yǎng)員工和外包人員的安全意識，并制定了適用的安全意識培訓(xùn)計劃，定期進(jìn)行培訓(xùn)。3.信息資產(chǎn)管理為了準(zhǔn)確、完整地了客戶應(yīng)對其信息資產(chǎn)進(jìn)行統(tǒng)一管3解其

IT運營環(huán)境，金

理，明確相應(yīng)資產(chǎn)的分類和數(shù)據(jù)存融機構(gòu)應(yīng)建立信息資產(chǎn)管理實踐。應(yīng)維護(hù)、定期審查所有信息資產(chǎn)的清單，并在發(fā)生更改時更新清單。儲的物理位置（國家或地區(qū)），并識別相應(yīng)國家或地區(qū)發(fā)布的數(shù)據(jù)保留和信息安全要求。華為云為客戶提供統(tǒng)一的管理界面，以供客戶查詢和管理已購買的華為云資源?？蛻暨€可以使用華為云主機安全服務(wù)（HSS）的資產(chǎn)管理功能，對其資產(chǎn)進(jìn)行統(tǒng)一管理。3.第三方服務(wù)管理4在簽訂合同協(xié)議或伙伴關(guān)系之前，金融機構(gòu)應(yīng)評估和管理其面臨的技術(shù)風(fēng)險，這些風(fēng)險可能影響第三方客戶在選擇服務(wù)提供商之前應(yīng)進(jìn)行盡職調(diào)查，特別是在治理、風(fēng)險和合規(guī)管理方面的機制?？蛻魬?yīng)制定一份信譽良好的服務(wù)提供商列表，并能夠確定是否有任何可行的替代IT系統(tǒng)和數(shù)據(jù)的機密

首選服務(wù)提供商。性、完整性和可用華為云提供在線版本的《華為云服性。務(wù)等級協(xié)議》，明確了提供的服務(wù)的內(nèi)容和級別，以及華為云的職責(zé)。華為云會安排專人積極配合金融機構(gòu)的盡職調(diào)查?？蛻粢约捌浔O(jiān)管機構(gòu)對華為云的審計和監(jiān)督權(quán)益，會根據(jù)實際情況在與客戶簽訂的協(xié)議中進(jìn)行約定。華為云已獲得ISO27001、ISO27017、ISO27018、SOC、CSASTAR等國際安全和隱私保護(hù)認(rèn)證，并每年接受第三方審計。3.能力與背景審查由于人們在

IT環(huán)境中

客戶應(yīng)制定和實施人員篩選策略和5管理系統(tǒng)和流程中發(fā)揮著重要作用，金融機構(gòu)應(yīng)實施全面有效的篩選流程。程序。華為云在招聘員工前進(jìn)行了充分的背景調(diào)查，包括犯罪記錄、財務(wù)違規(guī)、不誠實記錄、政府背景、制裁國家經(jīng)驗、是否制裁國家公民。同時，為了有序管理，降低人員管理風(fēng)險對業(yè)務(wù)連續(xù)性和安全的潛在影響，華為云針對運維工程師等關(guān)鍵崗位實施了專門的人員管理計劃，包括入職安全審查、在職安全培訓(xùn)文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司146華為云如何符合

MAS《科技風(fēng)險管理指南》的要求華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南與賦能、入職資格管理、離職安全審查。3.安全意識和培訓(xùn)6所有能訪問金融機構(gòu)為了提升全員的網(wǎng)絡(luò)安全意識，規(guī)避網(wǎng)絡(luò)安全違規(guī)風(fēng)險，保證業(yè)務(wù)的正常運營，華為云從意識教育普及、宣傳活動開展、華為員工商業(yè)行為準(zhǔn)則（BCG）及承諾書簽署三個方面開展安全意識教育，并每年至少執(zhí)行一次針對全員的安全意識培訓(xùn)。IT資源和

IT系統(tǒng)的承包商和供應(yīng)商應(yīng)制定安全意識培訓(xùn)計劃并至少每年執(zhí)行或更新一次。6.2科技風(fēng)險管理框架《2021科技風(fēng)險管理指南》第

4章要求金融機構(gòu)建立風(fēng)險管理框架來管理技術(shù)風(fēng)險，覆蓋風(fēng)險管理框架、風(fēng)險識別、風(fēng)險評估、風(fēng)險處理、風(fēng)險監(jiān)控、審查和報告。相關(guān)控制要求及華為云應(yīng)答如下：編號控制域具體控制要求華為云的應(yīng)答4.1風(fēng)險管理框架

金融機構(gòu)應(yīng)建立風(fēng)險管理框

客戶應(yīng)建立風(fēng)險評估框架，定架來管理科技風(fēng)險。金融機

期評估外包安排的風(fēng)險。構(gòu)應(yīng)建立適當(dāng)?shù)闹卫斫Y(jié)構(gòu)和華為云可配合并積極響應(yīng)客戶需求。此外，華為云內(nèi)部也制定了完善的信息安全風(fēng)險管理機制，定期進(jìn)行風(fēng)險評估和合規(guī)審查，以實現(xiàn)華為云云環(huán)境的安全、穩(wěn)定運行。華為云遵從華為公司的信息安全風(fēng)險管理框架，對風(fēng)險管理范圍、風(fēng)險管理組織以及風(fēng)險管理過程中的標(biāo)準(zhǔn)進(jìn)行了嚴(yán)格定義。華為云每年進(jìn)行一次風(fēng)險評估，并且在信息系統(tǒng)發(fā)生重大變更、公司業(yè)務(wù)發(fā)生重大變化或法律法規(guī)、標(biāo)準(zhǔn)發(fā)生重大變化時，華為云會增加風(fēng)險評估的次數(shù)。華為云對外包商進(jìn)行嚴(yán)格的安全管理，定期對供應(yīng)商進(jìn)行審計和評估。流程，明確界定角色、責(zé)任和清晰的跨部門的報告關(guān)系。4.2風(fēng)險識別金融機構(gòu)應(yīng)識別其

IT環(huán)境客戶應(yīng)對其外包業(yè)務(wù)和首選服的威脅和漏洞應(yīng)用程序，包

務(wù)提供商進(jìn)行風(fēng)險評估，以識括由第三方服務(wù)提供商維護(hù)

別潛在風(fēng)險?；蛑С值男畔①Y產(chǎn)。對金融文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司156華為云如何符合

MAS《科技風(fēng)險管理指南》的要求華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南機構(gòu)及其利益相關(guān)者產(chǎn)生嚴(yán)

華為云開發(fā)并維護(hù)內(nèi)部風(fēng)險管重影響的安全威脅示例包括

理框架，識別、分析和管理已內(nèi)部破壞、惡意軟件和數(shù)據(jù)

識別的風(fēng)險。華為云至少每年盜竊。進(jìn)行一次正式風(fēng)險評估，并制定了風(fēng)險計算和分類的流程，以確定已識別風(fēng)險的可能性和影響。每種風(fēng)險相關(guān)的可能性和影響是獨立確定的，應(yīng)考慮每種風(fēng)險類別。根據(jù)風(fēng)險標(biāo)準(zhǔn)，將風(fēng)險降低到可接受的水平包括解決時間，都應(yīng)該由管理層制定、記錄和批準(zhǔn)。4.3風(fēng)險評估金融機構(gòu)應(yīng)分析威脅和漏洞對整體業(yè)務(wù)和運營的潛在影響和后果。金融機構(gòu)在評估科技風(fēng)險時，應(yīng)考慮財務(wù)、運營、法律、聲譽和監(jiān)管因素。4.4風(fēng)險處置金融機構(gòu)應(yīng)制定和實施與信息資產(chǎn)的重要性和風(fēng)險承受

此外，華為云至少每月組織一能力水平一致的風(fēng)險緩解和

次會議，討論網(wǎng)絡(luò)安全和隱私控制措施。應(yīng)定期審查和更

保護(hù)風(fēng)險評估。華為云采取并新

IT控制和風(fēng)險緩解方記錄相應(yīng)的后續(xù)行動，以確保法，同時考慮不斷變化的威

風(fēng)險按照華為風(fēng)險管理要求得脅形勢和金融機構(gòu)風(fēng)險狀況

到適當(dāng)管理。的變化。4.5風(fēng)險監(jiān)控、審

金融機構(gòu)應(yīng)建立一個評估和查和報告監(jiān)控

IT控制的設(shè)計和運營有效性的流程，以應(yīng)對已確定的風(fēng)險。6.3IT項目管理和設(shè)計安全《2021科技風(fēng)險管理指南》第

5章要求金融機構(gòu)建立項目管理框架，以確保項目管理實踐的一致性。相關(guān)要求覆蓋項目管理框架、項目指導(dǎo)委員會、系統(tǒng)獲取、系統(tǒng)開發(fā)生命周期和設(shè)計安全、系統(tǒng)需求分析、系統(tǒng)設(shè)計和實施、系統(tǒng)測試和驗收以及質(zhì)量管理。相關(guān)控制要求及華為云應(yīng)答如下：編號控制域具體控制要求華為云的應(yīng)答5.1項目管理框架應(yīng)建立項目管理框架，以

客戶應(yīng)建立項目管理框架，確確保項目管理做法的一致

保外包項目的交付和實踐流程性，并提供符合項目目標(biāo)

滿足其項目目標(biāo)和要求。對于和要求的成果。應(yīng)為所有

每個

IT項目計劃，客戶應(yīng)考IT項目制定詳細(xì)的

IT項慮項目范圍、活動、里程碑以目計劃，其中包括項目范

及每個階段應(yīng)交付的內(nèi)容。圍、活動、里程碑和項目華為云制定了完整的項目管理方法，實施基于每個階段要實現(xiàn)的可交付成果。CCM5/CMMI、ISO9001:2000和

PMI框架的實踐，使合格的項目管理專業(yè)人員在全球成文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司166華為云如何符合

MAS《科技風(fēng)險管理指南》的要求華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南功實施項目。5.3系統(tǒng)獲取金融機構(gòu)應(yīng)制定供應(yīng)商評

客戶在選擇服務(wù)提供商之前應(yīng)估和選擇的標(biāo)準(zhǔn)和程序，

進(jìn)行盡職調(diào)查，特別是在治以確保選定的供應(yīng)商是合

理、風(fēng)險和合規(guī)管理機制方格的，并能夠滿足其項目

面?？蛻魬?yīng)制定一份信譽良好要求和交付成果。所執(zhí)行

的服務(wù)提供商列表，并能夠確的評估和盡職調(diào)查水平應(yīng)

定是否有任何可行的替代首選與項目交付成果對

FI的服務(wù)提供商。重要性相稱。華為云提供在線版本的《華為云服務(wù)等級協(xié)議》，明確了提供的服務(wù)的內(nèi)容和級別，以及華為云的職責(zé)。華為云將派專人積極配合

FI的盡職調(diào)查?？蛻粼谌A為云的審計和監(jiān)督權(quán)將根據(jù)情況在與客戶簽署的協(xié)議中承諾。華為云已獲得

ISO27001、ISO27017、ISO27018、SOC、CSASTAR等國際安全和隱私保護(hù)認(rèn)證，并每年接受第三方審計。技術(shù)能力：華為云用在線提供云服務(wù)的方式，將華為

30多年在

ICT基礎(chǔ)設(shè)施領(lǐng)域的技術(shù)積累和產(chǎn)品解決方案開放給客戶。華為云具備全棧全場景AI、多元架構(gòu)、極致性能、安全可靠、開放創(chuàng)新五大核心技術(shù)優(yōu)勢。比如，在

AI領(lǐng)域，華為云

AI已在城市、制造、物流、互聯(lián)網(wǎng)、醫(yī)療、園區(qū)等10大行業(yè)的

300+個項目進(jìn)行落地。在多元架構(gòu)方面，華為云打造了基于

X86+鯤鵬+昇騰的多元算力云服務(wù)新架構(gòu)，讓各種應(yīng)用跑在最合適的算力之上，實現(xiàn)客戶價值最大化。財務(wù)狀況：華為云是華為的云服務(wù)品牌，自

2017年正式上線以來,華為云一直處于快速發(fā)展中，收入保持強勁增長態(tài)勢。商業(yè)聲譽：華為云一如既往堅持“以客戶為中心”，讓越來越多的客戶選擇了華為云。在中國多個行業(yè)，例如互聯(lián)網(wǎng)、點播直播、視頻監(jiān)控、基因、文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司176華為云如何符合

MAS《科技風(fēng)險管理指南》的要求華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南汽車制造等行業(yè)，華為云已實現(xiàn)大突破。在海外市場，華為云香港、俄羅斯、泰國、南非、新加坡大區(qū)相繼開服。適合金融機構(gòu)的企業(yè)文化和服務(wù)政策：華為云在產(chǎn)品和服務(wù)規(guī)劃和階段會根據(jù)客戶業(yè)務(wù)場景、法律法規(guī)及監(jiān)管要求等方面對產(chǎn)品的安全和功能需求進(jìn)行定義，并在研發(fā)設(shè)計階段將功能實現(xiàn)，以滿足客戶的需求。華為云結(jié)合行業(yè)需求特點和華為豐富的云服務(wù)，發(fā)布了金融行業(yè)解決方案，為銀行、保險等客戶提供端到端的云解決方案。5.4系統(tǒng)開發(fā)生命周金融機構(gòu)應(yīng)建立一個框架

客戶應(yīng)根據(jù)要求建立一個框架來管理其系統(tǒng)開發(fā)生命周

來管理其系統(tǒng)開發(fā)生命周期期(SDLC)?？蚣軕?yīng)明確定

（SDLC）。期和設(shè)計安全義生命周期每個階段的流華為云追求新的

DevOps流程，具有快速持續(xù)迭代能力，集成了華為安全開發(fā)生命周期(SDL)。此外，逐步形成高度自動化的新安全生命周期管理方法和流程，稱為程、程序和控制，如啟動/規(guī)劃、需求分析、設(shè)計、實施、測試和驗收。DevSecOps，與云安全工程能力和工具鏈一起確保DevSecOps的順利靈活實施。華為云對開發(fā)環(huán)境進(jìn)行分層管理，并實施物理隔離、邏輯隔離、訪問控制、數(shù)據(jù)傳輸通道審批和審計等保護(hù)措施。5.5系統(tǒng)需求分析金融機構(gòu)應(yīng)確定、定義和

客戶應(yīng)確定、定義和記錄

IT記錄

IT系統(tǒng)的功能要

系統(tǒng)的功能要求，覆蓋系統(tǒng)性求。除了功能要求外，還

能、彈性和安全控制。應(yīng)建立和記錄系統(tǒng)性能、華為云根據(jù)內(nèi)部業(yè)務(wù)連續(xù)性管理體系的要求，制定了完善的恢復(fù)策略，以支撐云服務(wù)持續(xù)運營的關(guān)鍵業(yè)務(wù)。復(fù)原力和安全控制等關(guān)鍵要求?？蛻艨梢砸蕾嚾A為云數(shù)據(jù)中心集群的區(qū)域和可用區(qū)架構(gòu)，實現(xiàn)業(yè)務(wù)系統(tǒng)的容災(zāi)和備份。按規(guī)則在全球部署數(shù)據(jù)中心?？蛻敉ㄟ^兩個地方擁有災(zāi)難數(shù)據(jù)備份中心。如果發(fā)生故障，系統(tǒng)會自動從受影響區(qū)域傳輸文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司186華為云如何符合

MAS《科技風(fēng)險管理指南》的要求華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南客戶應(yīng)用程序和數(shù)據(jù)，在滿足合規(guī)策略的前提下，確保業(yè)務(wù)連續(xù)性。華為云還部署了全球服務(wù)器負(fù)載均衡中心?？蛻魬?yīng)用可以在數(shù)據(jù)中心實現(xiàn)

N+1部署。即使一個數(shù)據(jù)中心發(fā)生故障，它也可以將流量負(fù)載均衡到其他中心。目前，華為云已獲得

ISO27001、ISO27017、ISO27018、SOC、CSASTAR等國際安全和隱私保護(hù)認(rèn)證，并每年接受第三方審計。5.7系統(tǒng)測試與驗收應(yīng)建立系統(tǒng)測試的方法客戶應(yīng)定期對關(guān)鍵業(yè)務(wù)進(jìn)行系論。測試的范圍應(yīng)包括業(yè)

統(tǒng)測試和修復(fù)，并分析結(jié)果。務(wù)邏輯、系統(tǒng)功能、安全此外，華為云基于漏洞管理系統(tǒng)進(jìn)行漏洞管理，確保自研和第三方基礎(chǔ)設(shè)施、平臺、應(yīng)用層、云服務(wù)和運維工具的漏洞在

SLA規(guī)定的時間內(nèi)被發(fā)現(xiàn)和修復(fù)。這降低了惡意利用漏洞帶來的風(fēng)險和對金融機構(gòu)業(yè)務(wù)產(chǎn)生不利影響。對于涉及云平臺和金融機構(gòu)業(yè)務(wù)的漏洞，華為云將及時向最終用戶和金融機構(gòu)推送漏洞緩解和恢復(fù)建議和解決方案，確保主動披露不會造成高攻擊風(fēng)險。華為云將與金融機構(gòu)一起面臨安全漏洞帶來的挑戰(zhàn)?？刂坪透鞣N負(fù)載和壓力條件下的系統(tǒng)性能。測試前應(yīng)制定并批準(zhǔn)測試計劃。5.8質(zhì)量管理質(zhì)量保證應(yīng)由獨立的質(zhì)量

客戶應(yīng)按照要求進(jìn)行質(zhì)量保保證職能執(zhí)行，以確保項

證。目活動和交付成果符合金基于

CCM5/CMMI、ISO9001:2000和

PMI框架的實踐，華為云制定了完整的項目管理方法，使用合格的項目管理和專業(yè)人員在全球成功實施項目。融機構(gòu)的政策、程序和標(biāo)準(zhǔn)。6.4軟件應(yīng)用程序開發(fā)與管理《2021科技風(fēng)險管理指南》第

6章要求金融機構(gòu)確保軟件應(yīng)用程序開發(fā)和管理的安全，涵蓋安全編碼、源代碼審查和應(yīng)用程序安全測試、敏捷軟件開發(fā)、DevSecOps管理、文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司196華為云如何符合

MAS《科技風(fēng)險管理指南》的要求華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南應(yīng)用程序編程接口開發(fā)、最終用戶計算和應(yīng)用程序的管理。相關(guān)控制要求及華為云應(yīng)答如下：編號控制域具體控制要求華為云的應(yīng)答6.1安全編碼、源代碼審查和應(yīng)用程序安全測試為了最大限度地減少其軟件中的錯誤和漏洞，金融機構(gòu)應(yīng)采用安全編碼、源代碼審查和應(yīng)用程序安全測試的標(biāo)準(zhǔn)。安全編碼和源代碼審查標(biāo)準(zhǔn)應(yīng)涵蓋安全編程實踐、輸入驗證、輸出編碼、訪問控制、身份驗證、密碼實踐以及錯誤和異常處理等領(lǐng)域?？蛻魬?yīng)建立源代碼安全管理機制。為滿足客戶合規(guī)要求，華為云嚴(yán)格遵守華為發(fā)布的安全編碼規(guī)范。此外，我們還引入了靜態(tài)代碼掃描工具的每日檢查，生成的數(shù)據(jù)將輸入云服務(wù)持續(xù)集成/持續(xù)部署（CI/CD）工具鏈，通過使用質(zhì)量閾值進(jìn)行控制和云服務(wù)產(chǎn)品質(zhì)量評估。源代碼在編譯前由變更經(jīng)理審查和批準(zhǔn)。開發(fā)人員無法批準(zhǔn)和編譯代碼。在任何云產(chǎn)品或云服務(wù)發(fā)布前，必須完成靜態(tài)代碼掃描告警清除，有效減少因代碼延長上線時間的相關(guān)問題。所有云服務(wù)在發(fā)布前都通過了多次安全測試。測試環(huán)境與生產(chǎn)環(huán)境隔離，避免使用生產(chǎn)數(shù)據(jù)或敏感生產(chǎn)數(shù)據(jù)進(jìn)行測試，并在使用后需要清除。6.2敏捷軟件開發(fā)在采用敏捷軟件開發(fā)方法時，金融機構(gòu)應(yīng)繼續(xù)在其敏捷過程中納入必要的軟件開發(fā)生命周期和設(shè)計安全原則?？蛻魬?yīng)建立敏捷軟件開發(fā)方法的機制。華為云制定了一套完整的軟件開發(fā)和隱私活動指南。本指南的目標(biāo)是指導(dǎo)和標(biāo)準(zhǔn)化安全活動融入研發(fā)流程。它提供了產(chǎn)品安全和隱私要求的具體定義和活動指南。華為云要求在早期規(guī)劃階段集成安全規(guī)劃和安全需求分析，確保安全可靠的高效開發(fā)云服務(wù)。在設(shè)計階段，將進(jìn)行隱私風(fēng)險評估和安全隱私設(shè)計。華為云還要求云服務(wù)產(chǎn)品團(tuán)隊成員通過參加培訓(xùn)課程，主動學(xué)習(xí)安全和隱私的基礎(chǔ)知識。文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司206華為云如何符合

MAS《科技風(fēng)險管理指南》的要求華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南6.3DevSecOps管理金融機構(gòu)應(yīng)實施適當(dāng)?shù)陌部蛻魬?yīng)建立

DevSecOps管理機制。全措施，并對其DevSecOps流程中的軟件開發(fā)、測試和發(fā)布職能實施職責(zé)分離。客戶可以通過華為云

IAM管理使用云資源的用戶帳戶，以滿足職責(zé)分離的要求。6.4應(yīng)用編程接口開發(fā)應(yīng)采用強大的加密標(biāo)準(zhǔn)和密鑰管理控制，以確保通過

API傳輸敏感數(shù)據(jù)的安全。客戶應(yīng)采用強大的加密標(biāo)準(zhǔn)和密鑰管理控制，以確保通過

API傳輸敏感數(shù)據(jù)的安全。華為云在信息傳輸過程中使用安全的加密通道（如HTTPS），對存儲的靜態(tài)數(shù)據(jù)使用安全的加密算法，確保不同狀態(tài)下的數(shù)據(jù)機密性。通過數(shù)字簽名、時間戳等控制機制，防止數(shù)據(jù)傳輸過程中的篡改，保證信息的完整性，以及防止重放攻擊。記錄應(yīng)用服務(wù)中的操作日志，以此來支持審計。對接口進(jìn)行身份認(rèn)證、傳輸和邊界保護(hù)，確保

API應(yīng)用的安全。6.5IT恢復(fù)能力《2021科技風(fēng)險管理指南》第

8章要求金融機構(gòu)確保其系統(tǒng)的可用性，并實施和測試災(zāi)難恢復(fù)計劃，以最大限度地減少嚴(yán)重事件造成的系統(tǒng)和業(yè)務(wù)中斷。要求覆蓋系統(tǒng)可用性、系統(tǒng)可恢復(fù)性、災(zāi)難恢復(fù)計劃測試、系統(tǒng)備份和恢復(fù)以及數(shù)據(jù)中心恢復(fù)能力。相關(guān)控制要求及華為云應(yīng)答如下：編號控制域具體控制要求華為云的應(yīng)答8.1系統(tǒng)可用性IT系統(tǒng)的設(shè)計和實施應(yīng)達(dá)到與其業(yè)務(wù)需求相稱的系統(tǒng)可用性水平。對于系統(tǒng)客戶可以依托華為云數(shù)據(jù)中心集群多區(qū)域（Region）和多可用區(qū)（AZ）架構(gòu)，實現(xiàn)業(yè)可用性要求高的

IT系統(tǒng)，

務(wù)系統(tǒng)的容災(zāi)和備份。數(shù)據(jù)應(yīng)實施冗余或容錯解決方案。中心部署在世界各地，因此客戶將在災(zāi)難發(fā)生時擁有相互的災(zāi)難數(shù)據(jù)備份中心。當(dāng)一個區(qū)域發(fā)生一次故障時，系統(tǒng)會自動將客戶應(yīng)用程序和數(shù)據(jù)從受影響區(qū)域轉(zhuǎn)移到文檔版本

3.0(2024-01-26)版權(quán)所有

?華為云計算技術(shù)有限公司216華為云如何符合

MAS《科技風(fēng)險管理指南》的要求華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南數(shù)據(jù)備份中心，在滿足合規(guī)策略的同時，確保受影響客戶的業(yè)務(wù)連續(xù)性。華為云還部署了全球負(fù)載均衡管理中心，客戶的應(yīng)用在數(shù)據(jù)中心內(nèi)實現(xiàn)

N+1部署規(guī)模，同時將流量負(fù)載均衡到其他中心，即使數(shù)據(jù)中心故障也是如此。8.2系統(tǒng)可恢復(fù)性金融機構(gòu)的災(zāi)難恢復(fù)計劃華為云擁有豐富的業(yè)務(wù)連續(xù)性管理和災(zāi)難恢復(fù)策略和流程。業(yè)務(wù)連續(xù)性計劃每年由業(yè)務(wù)連續(xù)性管理團(tuán)隊制定和審查，并根據(jù)審查結(jié)果更新計劃。業(yè)務(wù)連續(xù)性管理