華為云新加坡金融行業(yè)監(jiān)管要求遵從性指南

目 簡介 1華為云安全與隱私合規(guī) 2華為云安全責(zé)任共擔(dān)模型 5華為云全球基礎(chǔ)設(shè)施 6華為云如何符合MAS《外包指南》的要求 7與MAS在外包的合作 7風(fēng)險(xiǎn)管理實(shí)踐 7云計(jì)算 華為云如何符合MAS《科技風(fēng)險(xiǎn)管理指南》的要求 13科技風(fēng)險(xiǎn)治理和監(jiān)督 13科技風(fēng)險(xiǎn)管理框架 15IT項(xiàng)目管理和設(shè)計(jì)安全 16軟件應(yīng)用程序開發(fā)與管理 19IT恢復(fù)能力 21訪問控制 24數(shù)據(jù)和基礎(chǔ)設(shè)施安全 25華為云如何符合MAS《關(guān)于網(wǎng)絡(luò)衛(wèi)生的通知》的要求 29華為云如何符合ABS《外包服務(wù)商控制目標(biāo)和流程指南》的要求 33審計(jì)和檢查 33實(shí)體級(jí)別控制 35通用IT控制 37服務(wù)控制 42華為云如何符合ABS《ABS云計(jì)算實(shí)施指南》的要求 44盡職調(diào)查建議的活動(dòng) 44進(jìn)入云外包安排時(shí)建議的控制措施 46華為云如何符合MAS《業(yè)務(wù)連續(xù)性管理指南》的要求 56關(guān)鍵業(yè)務(wù)服務(wù)和職能 56服務(wù)恢復(fù)時(shí)間目標(biāo) 57依賴映射關(guān)系 58集中風(fēng)險(xiǎn) 60持續(xù)審視與改進(jìn) 6110.6測(cè)試 6310.7審計(jì) 6510.8事件與危機(jī)管理 66華為云如何符合MAS《針對(duì)如何應(yīng)對(duì)與采用公有云有關(guān)的技術(shù)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的咨詢意見》的要求 共同承擔(dān)網(wǎng)絡(luò)安全責(zé)任 69身份訪問管理 70保護(hù)公有云中的應(yīng)用程序 73數(shù)據(jù)安全和加密密鑰管理 76不可變工作負(fù)載和基礎(chǔ)設(shè)施即代碼 77網(wǎng)絡(luò)安全運(yùn)營 78云韌性風(fēng)險(xiǎn)管理 79云服務(wù)提供商的外包盡職調(diào)查 80供應(yīng)商鎖定和集中風(fēng)險(xiǎn)管理 8111.10技能 8212結(jié)語 8313版本歷史 84 1 簡介在科技發(fā)展的浪潮中，越來越多的金融機(jī)構(gòu)在逐漸尋求業(yè)務(wù)轉(zhuǎn)型并希望借助先進(jìn)的技術(shù)以降低成本、提升運(yùn)營效率、實(shí)現(xiàn)業(yè)務(wù)模式的創(chuàng)新。為了規(guī)范金融行業(yè)對(duì)于信息科技的運(yùn)用，新加坡金融監(jiān)管局（MAS）以及新加坡銀行協(xié)會(huì)（ABS）發(fā)布了一系列監(jiān)管要求、指南和通知，針對(duì)新加坡金融機(jī)構(gòu)科技風(fēng)險(xiǎn)管理、科技外包管理以及云計(jì)算實(shí)施等方面提出了相關(guān)監(jiān)管要求。華為云作為云服務(wù)供應(yīng)商，致力于協(xié)助金融客戶滿足這些監(jiān)管要求，持續(xù)為金融客戶提供符合金融行業(yè)標(biāo)準(zhǔn)要求的云服務(wù)及業(yè)務(wù)運(yùn)行環(huán)境。為此，華為云目前已建立起一套涵蓋業(yè)界主流云安全標(biāo)準(zhǔn)以及華為云安全管理要求的方法體系，覆蓋了網(wǎng)絡(luò)安全與隱私保護(hù)領(lǐng)域中多個(gè)方面的要求，其實(shí)施有助于提升華為云自身合規(guī)水平，同時(shí)能夠協(xié)助金融客戶滿足相關(guān)監(jiān)管要求、指南和通知。本文將針對(duì)新加坡金融機(jī)構(gòu)在使用云服務(wù)時(shí)通常需遵循的以下監(jiān)管要求和指南，詳細(xì)闡述華為云將如何協(xié)助其滿足監(jiān)管要求：MAS外包指南：MASMASABS/ABS云計(jì)算實(shí)施指南：MASMAS 2華為云安全與隱私合規(guī)IT關(guān)于更多華為云的安全合規(guī)信息以及獲取相關(guān)合規(guī)證書，可參見華為云官網(wǎng)“信任中心-合規(guī)中心”。華為云部分標(biāo)準(zhǔn)類認(rèn)證/鑒證示例：認(rèn)證描述ISO27001:2022ISO27001是目前國際上被廣泛接受和應(yīng)用的信息安全管理體系認(rèn)證標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)以風(fēng)險(xiǎn)管理為核心，通過定期評(píng)估風(fēng)險(xiǎn)和對(duì)應(yīng)的控制措施來有效保證組織信息安全管理體系的持續(xù)運(yùn)行。ISO27017:2015ISO27017是針對(duì)云計(jì)算信息安全的國際認(rèn)證。ISO27017的通過，表明華為云在信息安全管理能力達(dá)到了國際公認(rèn)的最佳實(shí)踐。ISO27018:2019ISO27018是專注于云中個(gè)人數(shù)據(jù)保護(hù)的國際行為準(zhǔn)則。ISO27018的通過，表明華為云已滿足國際認(rèn)可的公有云個(gè)人數(shù)據(jù)保護(hù)措施的要求，可保證客戶個(gè)人數(shù)據(jù)安全。7TL9000&ISO9001ISO9001是ISO9000族標(biāo)準(zhǔn)所包括的一組質(zhì)量管理體系核心標(biāo)準(zhǔn)之一，用于證實(shí)組織具有提供滿足顧客要求和適用法規(guī)要求的產(chǎn)品的能力。TL9000是一個(gè)建立在ISO9001基礎(chǔ)上的，由全球電信業(yè)優(yōu)質(zhì)供應(yīng)商聯(lián)盟（QuESTForum）針對(duì)全球信息和通訊技術(shù)（ICT）行業(yè)特定設(shè)計(jì)的、為ICT產(chǎn)品和服務(wù)供方提供的一套通用的質(zhì)量管理體系要求。它包括了ISO9001的所有要求，ISO9001將來的任何改動(dòng)也會(huì)導(dǎo)致TL9000的改動(dòng)。華為云取得了ISO9001/TL9000認(rèn)證證書，表明華為云可以為您提供更快，更好和更具成本效益的服務(wù)。ISO20000-1:2018ISO20000是針對(duì)信息技術(shù)服務(wù)管理領(lǐng)域的國際標(biāo)準(zhǔn)，提供設(shè)計(jì)、建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)服務(wù)管理體系的模型以保證服務(wù)供應(yīng)商可提供有效的IT服務(wù)來滿足客戶和業(yè)務(wù)的需認(rèn)證描述求。ISO22301:2019ISO22301是國際公認(rèn)的業(yè)務(wù)連續(xù)性管理體系標(biāo)準(zhǔn)，通過對(duì)風(fēng)險(xiǎn)的識(shí)別、分析和預(yù)警來幫助組織規(guī)避潛在事件的發(fā)生，并且制定完備的“業(yè)務(wù)連續(xù)性計(jì)劃”，有效地應(yīng)對(duì)中斷發(fā)生后的快速恢復(fù)，保持核心功能正常運(yùn)行，將損失和恢復(fù)成本降至最低。CSASTAR認(rèn)證CSASTAR認(rèn)證是由標(biāo)準(zhǔn)研發(fā)機(jī)構(gòu)BSI（和CSA（云安全聯(lián)盟）合作推出的國際范圍內(nèi)的針對(duì)云安全水平的權(quán)威認(rèn)證，旨在應(yīng)對(duì)與云安全相關(guān)的特定問題，協(xié)助云計(jì)算服務(wù)商展現(xiàn)其服務(wù)成熟度的解決方案。ISO27701:2019ISO27701ISO27701BS10012:2017BS10012是BSI發(fā)布的個(gè)人信息數(shù)據(jù)管理體系標(biāo)準(zhǔn)，BS10012認(rèn)證的通過表明華為云在個(gè)人數(shù)據(jù)保護(hù)上擁有完整的體系以保證個(gè)人數(shù)據(jù)安全。ISO29151:2017ISO29151是國際個(gè)人身份信息保護(hù)實(shí)踐指南。ISO29151的通過，表明華為云實(shí)施國際認(rèn)可的個(gè)人數(shù)據(jù)處理的全生命周期的管理措施。PCIDSS支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCIDSS）是由JCB、美國運(yùn)通、Discover、萬事達(dá)和Visa等五家國際信用卡組織共同建立的一套支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)，由支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)管理。它是世界上最權(quán)威、最嚴(yán)格的金融機(jī)構(gòu)認(rèn)證。PCI3DSPCI3DS3DS3DS3DSPCI3DS3D3DS3D墻、虛擬服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用等；除此之外，還會(huì)評(píng)估3D協(xié)議執(zhí)行環(huán)境的過程、流程、人員管理等。ISO27799:2016ISO/IEC27799是專注于醫(yī)療行業(yè)的信息安全管理體系，為醫(yī)療行業(yè)和其相關(guān)機(jī)構(gòu)提供了關(guān)于如何更好地保護(hù)個(gè)人健康信息的保密性、完整性、可審計(jì)性和可用性的指導(dǎo)。華為云是全球首個(gè)獲得該認(rèn)證的云服務(wù)商，表明華為云對(duì)醫(yī)療行業(yè)的理解和實(shí)踐，對(duì)醫(yī)療行業(yè)信息安全的防護(hù)能力得到國際權(quán)威認(rèn)可，能夠更可靠的保障您的信息安全。ISO27034ISO/IEC27034是國際標(biāo)準(zhǔn)化組織ISO通過的第一個(gè)關(guān)注建立安全軟件程序流程和框架的標(biāo)準(zhǔn)，它清晰地定義了實(shí)際應(yīng)用中軟件系統(tǒng)面臨的風(fēng)險(xiǎn)，同時(shí)為不同類型的軟件開發(fā)組織提供了一套可以靈活應(yīng)用的方法。華為云是全球首家獲得ISO/IEC27034認(rèn)證的云服務(wù)提供商，表明華為云具備在云服務(wù)中保持持續(xù)安全和合規(guī)的能力。認(rèn)證描述SOC審計(jì)報(bào)告SOC審計(jì)報(bào)告是由第三方審計(jì)機(jī)構(gòu)根據(jù)美國注冊(cè)會(huì)計(jì)師協(xié)會(huì)（AICPA）制定的相關(guān)準(zhǔn)則，針對(duì)外包服務(wù)商的系統(tǒng)和內(nèi)部控制情況出具的獨(dú)立審計(jì)報(bào)告。 3華為云安全責(zé)任共擔(dān)模型華為云的主要責(zé)任是研發(fā)并運(yùn)維運(yùn)營華為云數(shù)據(jù)中心的物理基礎(chǔ)設(shè)施，華為云提供的各項(xiàng)基礎(chǔ)服務(wù)、平臺(tái)服務(wù)和應(yīng)用服務(wù)，也包括各項(xiàng)服務(wù)內(nèi)置的安全功能。同時(shí)，華為云還負(fù)責(zé)構(gòu)建物理層、基礎(chǔ)設(shè)施層、平臺(tái)層、應(yīng)用層、數(shù)據(jù)層和用戶身份管理（IAM）層的多維立體安全防護(hù)體系，并保障其運(yùn)維運(yùn)營安全。租戶的主要責(zé)任是在租用的華為云基礎(chǔ)設(shè)施與服務(wù)之上定制配置并且運(yùn)維運(yùn)營其所需的虛擬網(wǎng)絡(luò)、平臺(tái)、應(yīng)用、數(shù)據(jù)、管理、安全等各項(xiàng)服務(wù)，包括對(duì)華為云服務(wù)的定制配置和對(duì)租戶自行部署的平臺(tái)、應(yīng)用、用戶身份管理等服務(wù)的運(yùn)維運(yùn)營。同時(shí)，租戶還負(fù)責(zé)其在虛擬網(wǎng)絡(luò)層、平臺(tái)層、應(yīng)用層、數(shù)據(jù)層和IAM層的各項(xiàng)安全防護(hù)措施的定制配置、運(yùn)維運(yùn)營安全、以及用戶身份的有效管理。關(guān)于華為云與租戶的安全責(zé)任詳情，可參考華為云已發(fā)布的《華為云安全白皮書》。 4華為云全球基礎(chǔ)設(shè)施（Region）（AZ）文檔版本3.0(2024-01-26) 版權(quán)所有?華為云計(jì)算技術(shù)有限公司 65華為云如何符合MAS《外包指南》的要求MASMASMAS《外包指南》第四章要求金融機(jī)構(gòu)持續(xù)向MAS證明其遵守這些準(zhǔn)則，覆蓋遵守指南和不良發(fā)展通知。相關(guān)控制要求及華為云應(yīng)答如下：編號(hào)控制域具體控制要求華為云的應(yīng)答4.1遵守準(zhǔn)則一個(gè)機(jī)構(gòu)應(yīng)準(zhǔn)備好向MAS證明其遵守這些準(zhǔn)則。MAS可直接與該機(jī)構(gòu)的所在地或東道監(jiān)管機(jī)構(gòu)以及該機(jī)構(gòu)的服務(wù)提供商溝通，說明它們是否有能力和意愿與MAS合作監(jiān)督該機(jī)構(gòu)的外包風(fēng)險(xiǎn)?？蛻魬?yīng)定期對(duì)其外包服務(wù)提供商進(jìn)行審計(jì)或評(píng)估，確保服務(wù)提供商提供的云服務(wù)不低于自身安全管理要求。如果金融機(jī)構(gòu)向華為云發(fā)起審計(jì)請(qǐng)求，華為云將安排人員積極配合審計(jì)。4.2不良發(fā)展通知風(fēng)險(xiǎn)管理實(shí)踐編號(hào)控制域具體控制要求華為云的應(yīng)答5.3風(fēng)險(xiǎn)評(píng)估為了確保外包安排不會(huì)導(dǎo)致機(jī)構(gòu)的風(fēng)險(xiǎn)管理、內(nèi)部控制、商業(yè)行為或機(jī)構(gòu)聲譽(yù)受到損害或削弱，客戶應(yīng)建立風(fēng)險(xiǎn)評(píng)估框架，定期評(píng)估外包安排的風(fēng)險(xiǎn)。華為云可配合并積極響應(yīng)客戶需求。此外，華為云內(nèi)部也制定了完善的信息安全風(fēng)險(xiǎn)管理機(jī)制，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估和合規(guī)審查，以實(shí)現(xiàn)華為云云環(huán)境的安全、穩(wěn)定運(yùn)行。內(nèi)部控制審查的一部分。5.4服務(wù)供應(yīng)商評(píng)估在考慮重新談判或更新外包安排時(shí)，機(jī)構(gòu)應(yīng)對(duì)服務(wù)供應(yīng)商進(jìn)行適客戶應(yīng)對(duì)其服務(wù)供應(yīng)商進(jìn)行盡職調(diào)查，以識(shí)別其外包安排的風(fēng)險(xiǎn)。以滿足機(jī)構(gòu)自身的聘用標(biāo)準(zhǔn)。構(gòu)建了完備的安全體系，并獲得了國內(nèi)外眾多安全認(rèn)證。華為在公司內(nèi)部倡導(dǎo)“人人懂安全”的理念和實(shí)踐，創(chuàng)造了一個(gè)無時(shí)不在，無處不在，充滿活力和競(jìng)爭力的安全文化。并貫穿在華為云招聘選才、員工入職、上崗培訓(xùn)、持續(xù)培訓(xùn)、內(nèi)部調(diào)動(dòng)和離職等各個(gè)環(huán)節(jié)。5.5外包協(xié)議顧問客戶與外包服務(wù)供應(yīng)商應(yīng)簽訂外包協(xié)議，并保證協(xié)議的合法性和適宜性。更多詳細(xì)信息請(qǐng)參見《華為云用戶協(xié)議》。編號(hào)控制域具體控制要求華為云的應(yīng)答障礙。5.6保密和安全金融機(jī)構(gòu)必須確保服務(wù)供應(yīng)商的安全政策、程序和控制措施將使機(jī)構(gòu)能夠保護(hù)其客戶信息的保密客戶可以采取協(xié)議約束、審查監(jiān)督等方式確保服務(wù)供應(yīng)商的安全政策、程序和控制措施將性和安全性。使機(jī)構(gòu)能夠保護(hù)其客戶信息的保密性和安全性。華為云業(yè)務(wù)的開展遵循華為公司“一國一策，一客一策”的戰(zhàn)略，在遵從客戶所在國家或地區(qū)的安全法規(guī)以及行業(yè)監(jiān)管要求的基礎(chǔ)上，參考業(yè)界最佳實(shí)踐從組織、流程、規(guī)范、技術(shù)、合規(guī)、生態(tài)和等方面建立并管理完善、高可信、可持續(xù)的安全保障體系，并與有關(guān)政府、客戶及行業(yè)伙伴以開放透明的方式，共同應(yīng)對(duì)云安全挑戰(zhàn)，全面滿足客戶的安全需求。同時(shí)，華為云目前獲得了國際上多項(xiàng)權(quán)威的安全與隱私保護(hù)認(rèn)證，第三方測(cè)評(píng)公司也會(huì)定期對(duì)華為云展開保密性、安全充分性和合規(guī)性的審核并出具專家報(bào)告。更多詳細(xì)信息請(qǐng)參見《華為云安全白皮書》。5.7業(yè)務(wù)連續(xù)性管理金融機(jī)構(gòu)應(yīng)確保其業(yè)務(wù)連續(xù)性不會(huì)因外包安排而受損，以便在服務(wù)中斷或失敗、外包安排意外終止或服務(wù)供應(yīng)商清算的情況下，機(jī)構(gòu)仍能夠以誠信的方式有能力開展業(yè)務(wù)?？蛻魬?yīng)制定業(yè)務(wù)連續(xù)性計(jì)劃，并考慮其外包安排對(duì)其業(yè)務(wù)連續(xù)性的影響。如果金融機(jī)構(gòu)在運(yùn)行其組織內(nèi)部的業(yè)務(wù)連續(xù)性計(jì)劃的過程中需要華為云的參與，華為云會(huì)積極配合。編號(hào)控制域具體控制要求華為云的應(yīng)答5.8外包安排的監(jiān)控（CloudEye）可實(shí)現(xiàn)對(duì)客戶自身云資源的使用情況和績效的和實(shí)施后審查。如果外包安排有重大修改，還應(yīng)對(duì)外包安排進(jìn)行全面的盡職調(diào)查。監(jiān)控。華為云可以根據(jù)客戶的需求按照SLA向客戶提供服務(wù)報(bào)告，華為云也會(huì)安排專人負(fù)責(zé)客戶方發(fā)起的盡職調(diào)查。5.9審計(jì)和檢查金融機(jī)構(gòu)的外包安排不應(yīng)干擾其自身管理能力和金融監(jiān)管局的監(jiān)督能力，也不應(yīng)妨礙金融監(jiān)管局客戶應(yīng)定期對(duì)其外包服務(wù)供應(yīng)商執(zhí)行獨(dú)立審計(jì)或?qū)＜以u(píng)估，并將識(shí)別的問題知會(huì)服務(wù)供應(yīng)履行其監(jiān)督職能和目標(biāo)。機(jī)構(gòu)應(yīng)確保對(duì)其所有外包安排進(jìn)行獨(dú)立審計(jì)和/或?qū)＜以u(píng)估。外包協(xié)議還應(yīng)包括要求服務(wù)供應(yīng)商盡快滿足金融監(jiān)管局或機(jī)構(gòu)向的安全承諾。華為云會(huì)安排專人積極配合客服務(wù)供應(yīng)商及其分包商提出的任戶發(fā)起的審計(jì)要求?？蛻魧?duì)華何要求的條款，以提交與外包安為云的審計(jì)和監(jiān)督權(quán)益會(huì)根據(jù)（實(shí)際情況在與客戶簽訂的協(xié)議中進(jìn)行承諾。華為云已通過ISO27001、ISO27017、ISO27018、SOC、CSASTAR等多項(xiàng)國際安全與隱私保護(hù)認(rèn)的風(fēng)險(xiǎn)不再在機(jī)構(gòu)的風(fēng)險(xiǎn)承受能力范圍內(nèi)，機(jī)構(gòu)應(yīng)采取行動(dòng)審查證，并且每年會(huì)接受第三方的審計(jì)。此外，華為云制定了完外包安排。善的供應(yīng)商管理機(jī)制，定期對(duì)供應(yīng)商（包括外包人員）的表現(xiàn)進(jìn)行考核，考核結(jié)果作為下次采購的關(guān)鍵參考。華為云也會(huì)與供應(yīng)商（包括外包人員個(gè)人）簽訂安全合規(guī)和保密協(xié)議。5.10新加坡境外外包金融機(jī)構(gòu)在外國聘用外包服務(wù)供應(yīng)商可能會(huì)面臨國家風(fēng)險(xiǎn)，因此在外包安排的風(fēng)險(xiǎn)管理中，盡職調(diào)查應(yīng)包括政府政策、政經(jīng)狀況、外國的法律監(jiān)管發(fā)展以及機(jī)構(gòu)有效監(jiān)測(cè)供應(yīng)商的能力。機(jī)構(gòu)還應(yīng)了解外包供應(yīng)商的恢復(fù)安排和地點(diǎn)并考慮傳輸媒介的相關(guān)風(fēng)險(xiǎn)。機(jī)構(gòu)應(yīng)僅與處于能夠遵守保密條款的司法管轄區(qū)內(nèi)以及法律和行政限制不會(huì)妨礙機(jī)構(gòu)獲取信編號(hào)控制域具體控制要求華為云的應(yīng)答息的服務(wù)供應(yīng)商簽訂協(xié)議。安全法規(guī)以及行業(yè)監(jiān)管要求的基礎(chǔ)上，參考業(yè)界最佳實(shí)踐從組織、流程、規(guī)范、技術(shù)、合規(guī)、生態(tài)和等方面建立并管理完善、高可信、可持續(xù)的安全保障體系，并與有關(guān)政府、客戶及行業(yè)伙伴以開放透明的方式，共同應(yīng)對(duì)云安全挑戰(zhàn)，全面滿足客戶的安全需求。（DCIDataCenterInterconnect），滿5.11集團(tuán)內(nèi)外包對(duì)集團(tuán)內(nèi)部服務(wù)提供者的盡職調(diào)查可以采取評(píng)估服務(wù)提供者應(yīng)對(duì)客戶在選擇服務(wù)提供商之前，應(yīng)對(duì)其進(jìn)行盡職調(diào)查?？蛻魧徳摍C(jī)構(gòu)特有風(fēng)險(xiǎn)能力的定性方面查服務(wù)提供商的業(yè)務(wù)連續(xù)性機(jī)的形式，特別是與業(yè)務(wù)連續(xù)性管制是否滿足業(yè)務(wù)要求。客戶與理、監(jiān)測(cè)和控制、審計(jì)和檢查有服務(wù)提供商洽談，最終與供應(yīng)關(guān)的風(fēng)險(xiǎn)，包括確認(rèn)向MAS提商就合同內(nèi)容達(dá)成一致。供的訪問權(quán)，保留對(duì)該機(jī)構(gòu)的有效監(jiān)督，以及遵守當(dāng)?shù)乇O(jiān)管標(biāo)華為云將安排人員積極配合客戶的檢查和盡職調(diào)查。華為云準(zhǔn)。每年都會(huì)聘請(qǐng)專業(yè)的外部資源進(jìn)行SOC2認(rèn)證。如果客戶對(duì)用戶協(xié)議提出更多要求，華為云將嘗試與其達(dá)成協(xié)議。華為云將積極配合MAS和金融機(jī)構(gòu)對(duì)華為云及其供應(yīng)商的審計(jì)。云計(jì)算《外包指南》第六章提出了金融機(jī)構(gòu)使用云服務(wù)時(shí)需要考慮的注意事項(xiàng)及應(yīng)遵守的相關(guān)要求。相關(guān)控制要求及華為云的應(yīng)答如下：編號(hào)控制域具體控制要求華為云的應(yīng)答6云計(jì)算金融機(jī)構(gòu)在訂購云服務(wù)時(shí)，機(jī)構(gòu)應(yīng)執(zhí)行必要的盡職調(diào)客戶在訂購云服務(wù)前，應(yīng)對(duì)云服務(wù)供應(yīng)商進(jìn)行盡職調(diào)查，特查，機(jī)構(gòu)應(yīng)采取積極措施應(yīng)對(duì)與數(shù)據(jù)訪問、保密性、完別是了解云服務(wù)在實(shí)現(xiàn)數(shù)據(jù)訪問、保密性、主權(quán)、可恢復(fù)整性、主權(quán)、可恢復(fù)性、合規(guī)性和審計(jì)相關(guān)的風(fēng)險(xiǎn)。機(jī)性、合規(guī)性方面的控制措施，以及多租戶場(chǎng)景下如何實(shí)現(xiàn)客構(gòu)應(yīng)確保服務(wù)供應(yīng)商擁有使用強(qiáng)有力的物理或邏輯控制戶數(shù)據(jù)隔離的解決方案。華為云高度重視用戶的數(shù)據(jù)信服務(wù)合同有效期內(nèi)存續(xù)。證與訪問控制、權(quán)限管理、數(shù)據(jù)隔離、傳輸安全、存儲(chǔ)安全、數(shù)據(jù)刪除、物理銷毀、數(shù)據(jù)備份恢復(fù)等方面，采用優(yōu)秀技術(shù)、實(shí)踐和流程，保證用戶對(duì)其數(shù)據(jù)的隱私權(quán)、所有權(quán)和控制權(quán)不受侵犯，為用戶提供最切實(shí)有效的數(shù)據(jù)保護(hù)。更多詳細(xì)信息請(qǐng)參見《華為云數(shù)據(jù)安全白皮書》第4部分。6MAS《科技風(fēng)險(xiǎn)管理指南》的要求（MAS）20212021ITITIT以下內(nèi)容總結(jié)了《2021科技風(fēng)險(xiǎn)管理指南》中與云服務(wù)供應(yīng)商相關(guān)的合規(guī)要求條款，并闡述華為云是如何幫助金融機(jī)構(gòu)滿足其要求?？萍硷L(fēng)險(xiǎn)治理和監(jiān)督IT2021IT編號(hào)控制域具體控制要求華為云的應(yīng)答3.2政策、標(biāo)準(zhǔn)和程序應(yīng)基于行業(yè)標(biāo)準(zhǔn)和最佳做法，制定政策、客戶應(yīng)建立并定期審查正式的信息安全政策和流程。ISO27001全、運(yùn)營安全、通信安全、系統(tǒng)開標(biāo)準(zhǔn)和程序，并以此來管理科技風(fēng)險(xiǎn)和保護(hù)信息資產(chǎn)。應(yīng)定期審查和更新政策、標(biāo)準(zhǔn)和程序，以確保其仍然與不斷變化的科技和網(wǎng)絡(luò)威脅格局相關(guān)。3.3信息資產(chǎn)管理為了準(zhǔn)確、完整地了解其IT運(yùn)營環(huán)境，金融機(jī)構(gòu)應(yīng)建立信息資儲(chǔ)的物理位置（國家或地區(qū)），并產(chǎn)管理實(shí)踐。應(yīng)維識(shí)別相應(yīng)國家或地區(qū)發(fā)布的數(shù)據(jù)保護(hù)、定期審查所有信留和信息安全要求。息資產(chǎn)的清單，并在發(fā)生更改時(shí)更新清單。華為云資源?？蛻暨€可以使用華為云主機(jī)安全服務(wù)（HSS）的資產(chǎn)管理功能，對(duì)其資產(chǎn)進(jìn)行統(tǒng)一管理。3.4第三方服務(wù)管理在簽訂合同協(xié)議或伙伴關(guān)系之前，金融機(jī)客戶在選擇服務(wù)提供商之前應(yīng)進(jìn)行盡職調(diào)查，特別是在治理、風(fēng)險(xiǎn)和構(gòu)應(yīng)評(píng)估和管理其面合規(guī)管理方面的機(jī)制。客戶應(yīng)制定臨的技術(shù)風(fēng)險(xiǎn)，這些一份信譽(yù)良好的服務(wù)提供商列表，風(fēng)險(xiǎn)可能影響第三方并能夠確定是否有任何可行的替代IT系統(tǒng)和數(shù)據(jù)的機(jī)密首選服務(wù)提供商。性、完整性和可用華為云提供在線版本的《華為云服性。務(wù)等級(jí)協(xié)議》，明確了提供的服務(wù)的內(nèi)容和級(jí)別，以及華為云的職責(zé)。華為云會(huì)安排專人積極配合金融機(jī)構(gòu)的盡職調(diào)查?？蛻粢约捌浔O(jiān)管機(jī)構(gòu)對(duì)華為云的審計(jì)和監(jiān)督權(quán)益，會(huì)根據(jù)實(shí)際情況在與客戶簽訂的協(xié)議中進(jìn)行約定。華為云已獲得ISO27001、ISO27017、ISO27018、SOC、CSASTAR等國際安全和隱私保護(hù)認(rèn)證，并每年接受第三方審計(jì)。3.5能力與背景審查由于人們?cè)贗T環(huán)境中管理系統(tǒng)和流程中發(fā)客戶應(yīng)制定和實(shí)施人員篩選策略和程序。揮著重要作用，金融華為云在招聘員工前進(jìn)行了充分的機(jī)構(gòu)應(yīng)實(shí)施全面有效背景調(diào)查，包括犯罪記錄、財(cái)務(wù)違的篩選流程。規(guī)、不誠實(shí)記錄、政府背景、制裁國家經(jīng)驗(yàn)、是否制裁國家公民。同時(shí)，為了有序管理，降低人員管理風(fēng)險(xiǎn)對(duì)業(yè)務(wù)連續(xù)性和安全的潛在影響，華為云針對(duì)運(yùn)維工程師等關(guān)鍵崗位實(shí)施了專門的人員管理計(jì)劃，包括入職安全審查、在職安全培訓(xùn)與賦能、入職資格管理、離職安全審查。3.6安全意識(shí)和培訓(xùn)所有能訪問金融機(jī)構(gòu)IT資源和IT系統(tǒng)的為了提升全員的網(wǎng)絡(luò)安全意識(shí)，規(guī)避網(wǎng)絡(luò)安全違規(guī)風(fēng)險(xiǎn)，保證業(yè)務(wù)的承包商和供應(yīng)商應(yīng)制正常運(yùn)營，華為云從意識(shí)教育普定安全意識(shí)培訓(xùn)計(jì)劃及、宣傳活動(dòng)開展、華為員工商業(yè)并至少每年執(zhí)行或更行為準(zhǔn)則（BCG）及承諾書簽署三新一次。個(gè)方面開展安全意識(shí)教育，并每年至少執(zhí)行一次針對(duì)全員的安全意識(shí)培訓(xùn)。科技風(fēng)險(xiǎn)管理框架《20214編號(hào)控制域具體控制要求華為云的應(yīng)答4.1風(fēng)險(xiǎn)管理框架客戶應(yīng)建立風(fēng)險(xiǎn)評(píng)估框架，定期評(píng)估外包安排的風(fēng)險(xiǎn)。4.2風(fēng)險(xiǎn)識(shí)別金融機(jī)構(gòu)應(yīng)識(shí)別其IT環(huán)境的威脅和漏洞應(yīng)用程序，包括由第三方服務(wù)提供商維護(hù)客戶應(yīng)對(duì)其外包業(yè)務(wù)和首選服務(wù)提供商進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別潛在風(fēng)險(xiǎn)?；蛑С值男畔①Y產(chǎn)。對(duì)金融此外，華為云至少每月組織一次會(huì)議，討論網(wǎng)絡(luò)安全和隱私保護(hù)風(fēng)險(xiǎn)評(píng)估。華為云采取并記錄相應(yīng)的后續(xù)行動(dòng)，以確保風(fēng)險(xiǎn)按照華為風(fēng)險(xiǎn)管理要求得到適當(dāng)管理。內(nèi)部破壞、惡意軟件和數(shù)據(jù)盜竊。4.3風(fēng)險(xiǎn)評(píng)估金融機(jī)構(gòu)應(yīng)分析威脅和漏洞對(duì)整體業(yè)務(wù)和運(yùn)營的潛在影運(yùn)營、法律、聲譽(yù)和監(jiān)管因素。4.4風(fēng)險(xiǎn)處置金融機(jī)構(gòu)應(yīng)制定和實(shí)施與信息資產(chǎn)的重要性和風(fēng)險(xiǎn)承受能力水平一致的風(fēng)險(xiǎn)緩解和控制措施。應(yīng)定期審查和更新IT控制和風(fēng)險(xiǎn)緩解方的變化。4.5風(fēng)險(xiǎn)監(jiān)控、審查和報(bào)告金融機(jī)構(gòu)應(yīng)建立一個(gè)評(píng)估和監(jiān)控IT控制的設(shè)計(jì)和運(yùn)營有效性的流程，以應(yīng)對(duì)已確定的風(fēng)險(xiǎn)。IT《20215理。相關(guān)控制要求及華為云應(yīng)答如下：編號(hào)控制域具體控制要求華為云的應(yīng)答5.1項(xiàng)目管理框架應(yīng)建立項(xiàng)目管理框架，以確保項(xiàng)目管理做法的一致性，并提供符合項(xiàng)目目標(biāo)和要求的成果。應(yīng)為所有IT項(xiàng)目制定詳細(xì)的IT項(xiàng)目計(jì)劃，其中包括項(xiàng)目范圍、活動(dòng)、里程碑和項(xiàng)目每個(gè)階段要實(shí)現(xiàn)的可交付成果。客戶應(yīng)建立項(xiàng)目管理框架，確保外包項(xiàng)目的交付和實(shí)踐流程滿足其項(xiàng)目目標(biāo)和要求。對(duì)于每個(gè)IT項(xiàng)目計(jì)劃，客戶應(yīng)考慮項(xiàng)目范圍、活動(dòng)、里程碑以及每個(gè)階段應(yīng)交付的內(nèi)容。華為云制定了完整的項(xiàng)目管理方法，實(shí)施基于CCM5/CMMI、ISO9001:2000和PMI的項(xiàng)目管理專業(yè)人員在全球成功實(shí)施項(xiàng)目。5.3系統(tǒng)獲取金融機(jī)構(gòu)應(yīng)制定供應(yīng)商評(píng)估和選擇的標(biāo)準(zhǔn)和程序，以確保選定的供應(yīng)商是合格的，并能夠滿足其項(xiàng)目要求和交付成果。所執(zhí)行面?？蛻魬?yīng)制定一份信譽(yù)良好的服務(wù)提供商列表，并能夠確的評(píng)估和盡職調(diào)查水平應(yīng)與項(xiàng)目交付成果對(duì)FI的重要性相稱。定是否有任何可行的替代首選服務(wù)提供商。華為云提供在線版本的《華為云服務(wù)等級(jí)協(xié)議》，明確了提供的服務(wù)的內(nèi)容和級(jí)別，以及華為云的職責(zé)。華為云將派專人積極配合FI的盡職調(diào)查?？蛻粼谌A為云的審計(jì)和監(jiān)督權(quán)將根據(jù)情況在與客戶簽署的協(xié)議中承諾。華為云已獲得ISO27001、ISO27017、ISO27018、SOC、CSASTAR審計(jì)。30多ICT術(shù)優(yōu)勢(shì)。比如，在AIAI300+云打造了基于X86++各種應(yīng)用跑在最合適的算力之上，實(shí)現(xiàn)客戶價(jià)值最大化。財(cái)務(wù)狀況：華為云是華為的云服務(wù)品牌，自2017年正式上線以來,華為云一直處于快速發(fā)展中，收入保持強(qiáng)勁增長態(tài)勢(shì)。商業(yè)聲譽(yù)：華為云一如既往堅(jiān)持“以客戶為中心”，讓越來越多的客戶選擇了華為云。在中國多個(gè)行業(yè)，例如互聯(lián)網(wǎng)、點(diǎn)播直播、視頻監(jiān)控、基因、5.4系統(tǒng)開發(fā)生命周期和設(shè)計(jì)安全金融機(jī)構(gòu)應(yīng)建立一個(gè)框架來管理其系統(tǒng)開發(fā)生命周期(SDLC)。框架應(yīng)明確定義生命周期每個(gè)階段的流程、程序和控制，如啟動(dòng)/規(guī)劃、需求分析、設(shè)計(jì)、實(shí)施、測(cè)試和驗(yàn)收?？蛻魬?yīng)根據(jù)要求建立一個(gè)框架來管理其系統(tǒng)開發(fā)生命周期（SDLC）。DevOps流程(SDL)5.5系統(tǒng)需求分析金融機(jī)構(gòu)應(yīng)確定、定義和記錄IT系統(tǒng)的功能要求。除了功能要求外，還應(yīng)建立和記錄系統(tǒng)性能、復(fù)原力和安全控制等關(guān)鍵要求。IT華為云根據(jù)內(nèi)部業(yè)務(wù)連續(xù)性管理體系的要求，制定了完善的恢復(fù)策略，以支撐云服務(wù)持續(xù)運(yùn)營的關(guān)鍵業(yè)務(wù)。客戶可以依賴華為云數(shù)據(jù)中心集群的區(qū)域和可用區(qū)架構(gòu)，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的容災(zāi)和備份。按規(guī)則在全球部署數(shù)據(jù)中心。用可以在數(shù)據(jù)中心實(shí)現(xiàn)N+1目前，華為云已獲得ISO27001、ISO27017、ISO27018、SOC、CSASTAR等國際安全和隱私保護(hù)認(rèn)證，并每年接受第三方審計(jì)。5.7系統(tǒng)測(cè)試與驗(yàn)收客戶應(yīng)定期對(duì)關(guān)鍵業(yè)務(wù)進(jìn)行系統(tǒng)測(cè)試和修復(fù)，并分析結(jié)果。此外，華為云基于漏洞管理系統(tǒng)進(jìn)行漏洞管理，確保自研和第三方基礎(chǔ)設(shè)施、平臺(tái)、應(yīng)用層、云服務(wù)和運(yùn)維工具的漏洞在SLA規(guī)定的時(shí)間內(nèi)被發(fā)現(xiàn)和修復(fù)。這降低了惡意利用漏洞帶來的風(fēng)險(xiǎn)和對(duì)金融機(jī)構(gòu)業(yè)務(wù)產(chǎn)生不利影響。對(duì)于涉及云平臺(tái)和金融機(jī)構(gòu)業(yè)務(wù)的漏洞，華為云將及時(shí)向最終用戶和金融機(jī)構(gòu)推送漏洞緩解和恢復(fù)建議和解決方案，確保主動(dòng)披露不會(huì)造成高攻擊風(fēng)險(xiǎn)。華為云將與金融機(jī)構(gòu)一起面臨安全漏洞帶來的挑戰(zhàn)。5.8質(zhì)量管理質(zhì)量保證應(yīng)由獨(dú)立的質(zhì)量保證職能執(zhí)行，以確保項(xiàng)目活動(dòng)和交付成果符合金融機(jī)構(gòu)的政策、程序和標(biāo)準(zhǔn)?？蛻魬?yīng)按照要求進(jìn)行質(zhì)量保證?；贑CM5/CMMI、ISO9001:2000和PMI框架的實(shí)踐，華為云制定了完整的項(xiàng)目管理方法，使用合格的項(xiàng)目管理和專業(yè)人員在全球成功實(shí)施項(xiàng)目。軟件應(yīng)用程序開發(fā)與管理《2021科技風(fēng)險(xiǎn)管理指南》第6章要求金融機(jī)構(gòu)確保軟件應(yīng)用程序開發(fā)和管理的安全，涵蓋安全編碼、源代碼審查和應(yīng)用程序安全測(cè)試、敏捷軟件開發(fā)、DevSecOps管理、應(yīng)用程序編程接口開發(fā)、最終用戶計(jì)算和應(yīng)用程序的管理。相關(guān)控制要求及華為云應(yīng)答如下：編號(hào)控制域具體控制要求華為云的應(yīng)答6.1安全編碼、源代碼審查和應(yīng)用程為了最大限度地減少其軟件中的錯(cuò)誤和漏洞，金融客戶應(yīng)建立源代碼安全管理機(jī)制。為滿足客戶合規(guī)要求，華為云嚴(yán)格遵守華為發(fā)布的安全編碼規(guī)范。此外，我們還引入了靜態(tài)代碼掃描工具的每日檢查，生成的數(shù)據(jù)將輸入云服務(wù)持續(xù)集成/持續(xù)部署（CI/CD）序安全測(cè)試機(jī)構(gòu)應(yīng)采用安全編碼、源代碼審查和應(yīng)用程序安全測(cè)試的標(biāo)準(zhǔn)。安全編碼和源代碼審查標(biāo)準(zhǔn)應(yīng)涵蓋安全編程實(shí)踐、輸入驗(yàn)證、輸出編碼、訪問控制、身份驗(yàn)證、密碼實(shí)踐以及錯(cuò)誤和異常處理等領(lǐng)域。6.2敏捷軟件開發(fā)在采用敏捷軟件開發(fā)方法時(shí)，金融機(jī)構(gòu)應(yīng)繼續(xù)在其客戶應(yīng)建立敏捷軟件開發(fā)方法的機(jī)制。敏捷過程中納入必要的軟件開發(fā)生命周期和設(shè)計(jì)安華為云制定了一套完整的軟件開發(fā)和隱私活動(dòng)指南。本全原則。指南的目標(biāo)是指導(dǎo)和標(biāo)準(zhǔn)化安全活動(dòng)融入研發(fā)流程。它提供了產(chǎn)品安全和隱私要求的具體定義和活動(dòng)指南。華為云要求在早期規(guī)劃階段集成安全規(guī)劃和安全需求分析，確保安全可靠的高效開發(fā)云服務(wù)。在設(shè)計(jì)階段，將進(jìn)行隱私風(fēng)險(xiǎn)評(píng)估和安全隱私設(shè)計(jì)。華為云還要求云服務(wù)產(chǎn)品團(tuán)隊(duì)成員通過參加培訓(xùn)課程，主動(dòng)學(xué)習(xí)安全和隱私的基礎(chǔ)知識(shí)。6.3DevSecOps管理金融機(jī)構(gòu)應(yīng)實(shí)施適當(dāng)?shù)陌踩胧?，并?duì)其客戶應(yīng)建立DevSecOps管理機(jī)制。DevSecOps流程中的軟件開發(fā)、測(cè)試和發(fā)布職能實(shí)客戶可以通過華為云IAM管理使用云資源的用戶帳戶，施職責(zé)分離。以滿足職責(zé)分離的要求。6.4應(yīng)用編程接口開發(fā)應(yīng)采用強(qiáng)大的加密標(biāo)準(zhǔn)和密鑰管理控制，以確保通客戶應(yīng)采用強(qiáng)大的加密標(biāo)準(zhǔn)和密鑰管理控制，以確保通過API傳輸敏感數(shù)據(jù)的安過API傳輸敏感數(shù)據(jù)的安全。全。華為云在信息傳輸過程中使用安全的加密通道（如HTTPS），對(duì)存儲(chǔ)的靜態(tài)數(shù)據(jù)使用安全的加密算法，確保不同狀態(tài)下的數(shù)據(jù)機(jī)密性。通過數(shù)字簽名、時(shí)間戳等控制機(jī)制，防止數(shù)據(jù)傳輸過程中的篡改，保證信息的完整性，以及防止重放攻擊。記錄應(yīng)用服務(wù)中的操作日志，以此來支持審計(jì)。對(duì)接口進(jìn)行身份認(rèn)證、傳輸和邊界保護(hù)，確保API應(yīng)用的安全。IT恢復(fù)能力《20218編號(hào)控制域具體控制要求華為云的應(yīng)答8.1系統(tǒng)可用性IT系統(tǒng)的設(shè)計(jì)和實(shí)施應(yīng)達(dá)到與其業(yè)務(wù)需求相稱的系客戶可以依托華為云數(shù)據(jù)中心集群多區(qū)域（Region）和多統(tǒng)可用性水平。對(duì)于系統(tǒng)可用區(qū)（AZ）架構(gòu)，實(shí)現(xiàn)業(yè)可用性要求高的IT系統(tǒng)，務(wù)系統(tǒng)的容災(zāi)和備份。數(shù)據(jù)應(yīng)實(shí)施冗余或容錯(cuò)解決方中心部署在世界各地，因此案。客戶將在災(zāi)難發(fā)生時(shí)擁有相互的災(zāi)難數(shù)據(jù)備份中心。當(dāng)一個(gè)區(qū)域發(fā)生一次故障時(shí)，系統(tǒng)會(huì)自動(dòng)將客戶應(yīng)用程序和數(shù)據(jù)從受影響區(qū)域轉(zhuǎn)移到數(shù)據(jù)備份中心，在滿足合規(guī)策略的同時(shí)，確保受影響客戶的業(yè)務(wù)連續(xù)性。華為云還部署了全球負(fù)載均衡管理中心，客戶的應(yīng)用在數(shù)據(jù)中心內(nèi)實(shí)現(xiàn)N+1部署規(guī)模，同時(shí)將流量負(fù)載均衡到其他中心，即使數(shù)據(jù)中心故障也是如此。8.2系統(tǒng)可恢復(fù)性金融機(jī)構(gòu)的災(zāi)難恢復(fù)計(jì)劃應(yīng)包括從各種災(zāi)難情景中華為云擁有豐富的業(yè)務(wù)連續(xù)性管理和災(zāi)難恢復(fù)策略和流恢復(fù)系統(tǒng)的程序，以及相程。業(yè)務(wù)連續(xù)性計(jì)劃每年由關(guān)人員在恢復(fù)過程中的角業(yè)務(wù)連續(xù)性管理團(tuán)隊(duì)制定和色和責(zé)任。災(zāi)難恢復(fù)計(jì)劃審查，并根據(jù)審查結(jié)果更新應(yīng)至少每年審查一次，并計(jì)劃。業(yè)務(wù)連續(xù)性管理團(tuán)隊(duì)在業(yè)務(wù)運(yùn)營、信息資產(chǎn)或每年執(zhí)行業(yè)務(wù)影響分析和風(fēng)環(huán)境因素發(fā)生重大變化時(shí)險(xiǎn)評(píng)估，包括確定關(guān)鍵業(yè)務(wù)更新。流程、最大可容忍停機(jī)時(shí)間、恢復(fù)時(shí)間目標(biāo)、最低服務(wù)級(jí)別和恢復(fù)服務(wù)所需的時(shí)間。報(bào)告中識(shí)別并記錄了可能導(dǎo)致華為云業(yè)務(wù)和資源中斷的威脅，并針對(duì)華為云產(chǎn)品的不同服務(wù)中斷場(chǎng)景設(shè)計(jì)了相應(yīng)的策略。業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估的結(jié)果記錄在風(fēng)險(xiǎn)評(píng)估報(bào)告中。華為云根據(jù)計(jì)劃，至少每年對(duì)所有范圍內(nèi)產(chǎn)品進(jìn)行業(yè)務(wù)連續(xù)性演練測(cè)試。記錄和審查業(yè)務(wù)連續(xù)性演練測(cè)試的結(jié)果。8.3災(zāi)難恢復(fù)計(jì)劃測(cè)試金融機(jī)構(gòu)應(yīng)測(cè)試系統(tǒng)之間恢復(fù)的依賴性。如果網(wǎng)絡(luò)客戶應(yīng)對(duì)其關(guān)鍵系統(tǒng)建立災(zāi)難恢復(fù)計(jì)劃，并考慮是否涉和系統(tǒng)與特定服務(wù)供應(yīng)商及外包供應(yīng)商的配合工作，相關(guān)聯(lián)，則應(yīng)進(jìn)行雙邊或并定期測(cè)試該計(jì)劃。多邊恢復(fù)測(cè)試。金融機(jī)構(gòu)應(yīng)該讓用戶參與完整的測(cè)試用例設(shè)計(jì)和執(zhí)行過程，以驗(yàn)證恢復(fù)的系統(tǒng)是否能正常運(yùn)行。金融機(jī)構(gòu)還應(yīng)參與由其服務(wù)供應(yīng)商（包括位于海外的系統(tǒng)）進(jìn)行的災(zāi)難恢復(fù)測(cè)試。如果需要華為云協(xié)助執(zhí)行客戶的災(zāi)難恢復(fù)計(jì)劃，華為會(huì)積極配合。同時(shí)，華為云在提供高可用基礎(chǔ)設(shè)施、冗余數(shù)據(jù)備份、可用區(qū)災(zāi)備等服務(wù)外，還制定了自身的業(yè)務(wù)連續(xù)性計(jì)劃。該計(jì)劃主要針對(duì)重大災(zāi)難，如地震或公共健康危機(jī)等，讓云服務(wù)能夠持續(xù)運(yùn)行，保障客戶的業(yè)務(wù)和數(shù)據(jù)安全。如果華為云的災(zāi)難測(cè)試過程中需要客戶的參與，華為會(huì)提前通知。8.4系統(tǒng)備份與恢復(fù)（Region）的應(yīng)用在該中心實(shí)現(xiàn)了N1部署規(guī)模華為云建立了可指導(dǎo)人員的管理備份流程。8.5數(shù)據(jù)中心恢復(fù)能力金融機(jī)構(gòu)應(yīng)對(duì)其數(shù)據(jù)中心（DC）進(jìn)行威脅和漏洞風(fēng)險(xiǎn)評(píng)估（TVRA），以確定潛在的漏洞和弱點(diǎn)，以及為保護(hù)數(shù)據(jù)中心免受物理和環(huán)境威脅而應(yīng)建立的保護(hù)。（TVRA）報(bào)告，并確保TVRA報(bào)告是最新的，并且數(shù)據(jù)中心提供商致力于解決已發(fā)現(xiàn)的任何重大漏洞。華為云制定了全面的物理安全和環(huán)境安全防護(hù)措施、策略和程序，符合GB50174類標(biāo)準(zhǔn)和TIA-942訪問控制《2021科技風(fēng)險(xiǎn)管理指南》第9章要求金融機(jī)構(gòu)采取適當(dāng)?shù)目刂拼胧?。要求包括用戶訪問管理、特權(quán)訪問管理和遠(yuǎn)程訪問管理。相關(guān)控制要求及華為云應(yīng)答如下：編號(hào)控制域具體控制要求華為云的應(yīng)答9.1用戶訪問服務(wù)供應(yīng)商或服務(wù)供應(yīng)商的員工，如果被客戶應(yīng)建立信息系統(tǒng)的身份認(rèn)證與訪問控制管理機(jī)制，對(duì)訪問系統(tǒng)的行為進(jìn)行權(quán)限限制和監(jiān)督?？蛻艨赏ㄟ^華為云的統(tǒng)一身份認(rèn)證服務(wù)（IdentityandAccessManagement，簡稱IAM）因子認(rèn)證，客戶可自主選擇是否啟用。如果租戶有安全可靠的外部身份認(rèn)證服務(wù)商，可以將IAM服務(wù)的聯(lián)邦認(rèn)證外部用戶映射成華為云的臨時(shí)用戶，并訪問租戶的華為云資源。IAM可以按層次和細(xì)粒度授權(quán)，管理員可以基于用戶的工作職責(zé)規(guī)劃使用云資源的權(quán)限，還可以通過設(shè)置用戶訪問云服務(wù)系統(tǒng)的安全策略，例如設(shè)置訪問控制列表來限制未信任網(wǎng)絡(luò)的惡意接入。此外，華為云的云審計(jì)服務(wù)（CloudTraceService，簡稱CTS），可提供對(duì)各種云資源操作記錄的收集、存儲(chǔ)和查詢功能，可用于支撐安全分管理控和訪問限制。編號(hào)控制域具體控制要求華為云的應(yīng)答析、合規(guī)審計(jì)、資源跟蹤和問題定位等常見應(yīng)用場(chǎng)景。為配合客戶滿足合規(guī)要求，華為云內(nèi)部建立了完善的運(yùn)維和運(yùn)營賬號(hào)管理機(jī)制。運(yùn)維人員接入華為云管理網(wǎng)絡(luò)對(duì)系統(tǒng)進(jìn)行集中管理時(shí)，需使用員工身份賬號(hào)，且要求使用雙因子認(rèn)證。所有運(yùn)維賬號(hào)由LDAP集中管理，通過統(tǒng)一運(yùn)維審計(jì)平臺(tái)集中監(jiān)控并進(jìn)行自動(dòng)審計(jì)。以確保實(shí)現(xiàn)從創(chuàng)建用戶、授權(quán)、鑒權(quán)到權(quán)限回收的全流程管理。并根據(jù)不同業(yè)務(wù)維度和相同業(yè)務(wù)不同職責(zé)，實(shí)行RBAC權(quán)限管理。保證不同崗位不同職責(zé)人員限定只能訪問本角色所管轄的設(shè)備。9.2特權(quán)訪問管理金融機(jī)構(gòu)應(yīng)密切監(jiān)督具有較高系統(tǒng)訪問權(quán)限的員工，并記錄和審查他們的系統(tǒng)活客戶應(yīng)建立特權(quán)賬號(hào)的管理機(jī)制，密切監(jiān)督特權(quán)賬號(hào)的使用。為配合客戶滿足合規(guī)要求，華為云相關(guān)系統(tǒng)的管理員登錄系統(tǒng)時(shí)必須先經(jīng)過雙因子認(rèn)證動(dòng)。后，才能通過跳板機(jī)接入管理平面。所有操作都會(huì)記錄日志并及時(shí)傳送到集中日志審計(jì)系統(tǒng)。該審計(jì)系統(tǒng)有強(qiáng)大的數(shù)據(jù)保存及查詢能力，確保所有日志保存時(shí)間超過180天，90天內(nèi)可以實(shí)時(shí)查詢。而且華為云有專門的內(nèi)審部門，會(huì)定期對(duì)運(yùn)維流程各項(xiàng)活動(dòng)進(jìn)行審計(jì)。9.3遠(yuǎn)程訪問管理金融機(jī)構(gòu)應(yīng)確保僅允許符合金融機(jī)構(gòu)安全標(biāo)準(zhǔn)受保護(hù)的設(shè)備遠(yuǎn)程訪問金融機(jī)構(gòu)的信息資產(chǎn)?？蛻魬?yīng)建立遠(yuǎn)程訪問管理機(jī)制。IAM權(quán)限外，華為云還提供VPNHTTPSSVN員能夠在目標(biāo)主機(jī)上的行為可以定位到個(gè)人。數(shù)據(jù)和基礎(chǔ)設(shè)施安全《科技風(fēng)險(xiǎn)管理指南》第11章要求金融機(jī)構(gòu)確保其數(shù)據(jù)中心的安全，覆蓋數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和虛擬化安全。相關(guān)控制要求及華為云應(yīng)答如下：編控制域具體控制要求華為云的應(yīng)答號(hào)11.1數(shù)據(jù)安全金融機(jī)構(gòu)應(yīng)制定全面的數(shù)據(jù)丟失預(yù)防策略，并采取措施檢測(cè)和防止未經(jīng)授權(quán)的訪問、修改、復(fù)制或傳輸其機(jī)密數(shù)據(jù)。11.2網(wǎng)絡(luò)安全為了將橫向移動(dòng)和內(nèi)部威脅等網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)降至針對(duì)常見CVE漏洞，華為云將立即分析和更新規(guī)則，提供快最低，金融機(jī)構(gòu)應(yīng)部署有速、專業(yè)的CVE漏洞掃描?？托У陌踩珯C(jī)制來保護(hù)信息戶可以部署WAF(Web資產(chǎn)。金融機(jī)構(gòu)應(yīng)安裝防ApplicationFirewall)，從多維火墻等網(wǎng)絡(luò)安全設(shè)備，以度檢測(cè)和保護(hù)網(wǎng)站業(yè)務(wù)流量。保護(hù)金融機(jī)構(gòu)和互聯(lián)網(wǎng)以華為云嚴(yán)格執(zhí)行相應(yīng)的控制措及與第三方的連接。應(yīng)在施，確保華為云在架構(gòu)設(shè)計(jì)、金融機(jī)構(gòu)的網(wǎng)絡(luò)中部署網(wǎng)設(shè)備選型、主機(jī)網(wǎng)絡(luò)（多種多絡(luò)入侵防御系統(tǒng)，以檢測(cè)層物理和虛擬網(wǎng)絡(luò)安全隔離方和阻止惡意網(wǎng)絡(luò)流量。法）、訪問控制、邊界防護(hù)技術(shù)、配置等方面的安全。為了檢測(cè)和攔截來自Internet的攻擊以及租戶虛擬網(wǎng)絡(luò)之間的東西向攻擊，華為云的網(wǎng)絡(luò)中部署了網(wǎng)絡(luò)IPS設(shè)備，包括但不限于面向公眾的網(wǎng)絡(luò)邊界、安全區(qū)域信任邊界、租戶空間邊界。華為云的IPS可以實(shí)時(shí)分析網(wǎng)絡(luò)流量，觸發(fā)對(duì)協(xié)議攻擊、暴力破解、端口和漏洞掃描、病毒和木馬攻擊、針對(duì)特定漏洞的攻擊等各種入侵的攔截。此外，華為云還配置了防火墻設(shè)備，以此限制對(duì)華為生產(chǎn)網(wǎng)絡(luò)的訪問。應(yīng)在機(jī)器上配置防火墻策略的配置，并每月進(jìn)行一次審查，以確保防火墻規(guī)則基于標(biāo)準(zhǔn)配置。因改變防火墻規(guī)則而產(chǎn)生的偏差都將被跟蹤和補(bǔ)救。華為云通過配置防火墻策略，限制高危端口的訪問和高危協(xié)議的使用。11.3系統(tǒng)安全金融機(jī)構(gòu)硬件和軟件（例如操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)客戶需要為每個(gè)系統(tǒng)制定安全配置基線，并定期檢查基線。絡(luò)設(shè)備和終端設(shè)備）的安對(duì)于配置不符合安全配置基線全標(biāo)準(zhǔn)應(yīng)概述配置，將網(wǎng)的情況，客戶需要評(píng)估風(fēng)險(xiǎn)，絡(luò)威脅降到最低。應(yīng)定期制定規(guī)避措施。審查標(biāo)準(zhǔn)的相關(guān)性和有效華為云為客戶提供主機(jī)安全服性。務(wù)（HSS），可以識(shí)別不安全項(xiàng)目，防范安全風(fēng)險(xiǎn)。HSS支持主機(jī)基線檢查，包括檢查系統(tǒng)密碼復(fù)雜度策略、常見弱密碼、風(fēng)險(xiǎn)帳戶、常見系統(tǒng)和中間件配置。華為云制定了虛擬化操作系統(tǒng)的安全配置基線，以保證客戶使用云服務(wù)時(shí)的安全性。11.4虛擬化安全應(yīng)實(shí)施強(qiáng)訪問控制，以限制對(duì)虛擬機(jī)管理程序和主應(yīng)制定并記錄正式的邏輯安全的政策和程序。及時(shí)批準(zhǔn)、添機(jī)操作系統(tǒng)的管理訪問，加、修改或禁用，并定期審查因?yàn)檫@兩者都控制虛擬環(huán)華為員工和承包商的用戶帳境中的來賓操作系統(tǒng)和其戶。他組件。華為建立了一系列分層認(rèn)證體系要求，包括對(duì)內(nèi)部IT環(huán)境、系統(tǒng)平臺(tái)、中間件、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)以及相關(guān)的技術(shù)要求。所有訪問都是基于最小權(quán)限概念遵循和授予的。堡壘主機(jī)提供基于密碼和郵箱驗(yàn)證碼的雙因素身份驗(yàn)證功能，以驗(yàn)證用戶的身份。用戶通過互聯(lián)網(wǎng)訪問華為云辦公子網(wǎng)，需要根據(jù)注冊(cè)設(shè)備及其賬號(hào)和密碼進(jìn)行雙因素認(rèn)證。華為云員工可以在CloudScope中進(jìn)行邏輯訪問管理，CloudScope涵蓋CloudMNetSystem、CBC帳戶中心、堡壘機(jī)、FUXI和SVN等多種支撐工具。支持工具涵蓋本報(bào)告范圍內(nèi)所有產(chǎn)品的操作系統(tǒng)，包括但不限于虛擬服務(wù)器和基礎(chǔ)設(shè)施設(shè)備的支持工具。在所有相關(guān)層的支持工具中的訪問授權(quán)基于最小權(quán)限強(qiáng)制實(shí)施。高于最低權(quán)限的訪問需要獲得指定人的批準(zhǔn)。7MAS《關(guān)于網(wǎng)絡(luò)衛(wèi)生的通知》的要求（MAS）20198620195份針對(duì)以下內(nèi)容總結(jié)了《關(guān)于網(wǎng)絡(luò)衛(wèi)生的通知》中與云服務(wù)提供商相關(guān)的控制要求，并闡述華為云會(huì)如何幫助客戶滿足這些控制要求。編號(hào)控制域具體控制要求華為云的應(yīng)答4.1特權(quán)賬號(hào)客戶應(yīng)建立特權(quán)賬號(hào)的管理機(jī)制，密切監(jiān)督特權(quán)賬號(hào)的使用。關(guān)的每個(gè)管理帳戶都受到保護(hù)，以防止未經(jīng)授權(quán)訪問或使用此類帳戶。IAM服務(wù)及PAMServiceCTS）務(wù)資源的操作記錄，供用戶查詢、審計(jì)和回溯使用。華為云對(duì)于運(yùn)維人員實(shí)行基于角色的訪問控制，限定不同崗位不同職責(zé)的人員只能對(duì)所授權(quán)的運(yùn)維目標(biāo)進(jìn)行特定操作，僅在員工職責(zé)所需時(shí)，對(duì)其授予特權(quán)或應(yīng)急賬號(hào)。所有特權(quán)或應(yīng)急賬號(hào)的申請(qǐng)需要經(jīng)過多級(jí)的評(píng)審和實(shí)例協(xié)助客戶進(jìn)行維護(hù)。編號(hào)控制域具體控制要求華為云的應(yīng)答4.2安全補(bǔ)丁風(fēng)險(xiǎn)?？蛻粜杞⒙┒垂芾砹鞒?，并針對(duì)不能通過補(bǔ)丁修復(fù)的漏洞制定補(bǔ)償措施。SLA4.3安全標(biāo)準(zhǔn)準(zhǔn)。風(fēng)險(xiǎn)。企業(yè)主機(jī)安全（HSS–HostService）4.4網(wǎng)絡(luò)邊界防御相關(guān)實(shí)體必須在其網(wǎng)絡(luò)周邊實(shí)施控制，以限制所有未經(jīng)授權(quán)的網(wǎng)絡(luò)流量?？蛻粜鑼?duì)其網(wǎng)絡(luò)進(jìn)行安全區(qū)域劃分和隔離，針對(duì)不同安全域之間的訪問進(jìn)行嚴(yán)格的管控。編號(hào)控制域具體控制要求華為云的應(yīng)答IPS等。IPS/為。4.5惡意軟件防護(hù)相關(guān)實(shí)體必須確保在每個(gè)系統(tǒng)上實(shí)施一項(xiàng)或多項(xiàng)惡意軟件保護(hù)措施，以降低惡意軟件感染的風(fēng)險(xiǎn)。相關(guān)實(shí)體可以實(shí)施可用的惡意軟件保護(hù)客戶需在所有系統(tǒng)上部署防病毒軟件。措施。包括：漏洞分析和處理，日志監(jiān)控和事件響應(yīng)、云產(chǎn)品默認(rèn)安全配置優(yōu)化、安全補(bǔ)丁部署、防病毒軟件部署以及定期備份系統(tǒng)和設(shè)備配置文件并測(cè)試其有效性。4.6多因素認(rèn)證相關(guān)實(shí)體必須確保對(duì)以下賬戶實(shí)施多因素身份驗(yàn)證：如果相關(guān)實(shí)體在2020年86202125日客戶需對(duì)關(guān)鍵系統(tǒng)的特權(quán)賬戶和可以訪問最終客戶信息的賬戶進(jìn)行多因素認(rèn)證。在施以降低風(fēng)險(xiǎn)。（IAM）自主選擇是否啟用。為配合客戶滿足要求，華為云內(nèi)部建立了完善的運(yùn)維和統(tǒng)進(jìn)行集中管理時(shí)，需使用員工身份賬號(hào)，且要求使用編號(hào)控制域具體控制要求華為云的應(yīng)答ABS《外包服務(wù)商控制目標(biāo)和流程指南》的要求（ABS）（OSP）/IT控制報(bào)告A以下內(nèi)容將總結(jié)《外包服務(wù)商控制目標(biāo)和流程指南》中與云服務(wù)供應(yīng)商相關(guān)的控制要求，并闡述華為云會(huì)如何幫助其滿足這些控制要求。審計(jì)和檢查《外包服務(wù)商控制目標(biāo)和流程指南》明確要求為金融機(jī)構(gòu)提供服務(wù)的外包服務(wù)供應(yīng)商需要定期聘請(qǐng)外部審計(jì)方進(jìn)行審計(jì)，并根據(jù)《外包服務(wù)商控制目標(biāo)和流程指南》的要求提供OSPAR審計(jì)報(bào)告。相關(guān)控制要求及華為云的應(yīng)答如下：編號(hào)控制域具體控制要求華為云的應(yīng)答I外部審計(jì)外包服務(wù)供應(yīng)商應(yīng)聘請(qǐng)合格的審計(jì)者根據(jù)本指南對(duì)提供給金融機(jī)構(gòu)的服務(wù)進(jìn)行審計(jì)。如果外包服務(wù)供應(yīng)商決定更換外部審計(jì)者或決定指定另一不同的外部審計(jì)來驗(yàn)證整改情況，外包服務(wù)供應(yīng)商必須確保新舊審計(jì)者之間有適當(dāng)?shù)墓ぷ鹘唤?，以確保金融機(jī)構(gòu)的利益得到保護(hù)。5年25年內(nèi)2華為云目前已獲得多項(xiàng)國際上權(quán)威的安全與合規(guī)認(rèn)證。華為云每方參與II外部審計(jì)方資質(zhì)的標(biāo)準(zhǔn)審計(jì)機(jī)構(gòu)進(jìn)行充分的工作交接。編號(hào)控制域具體控制要求華為云的應(yīng)答商業(yè)銀行進(jìn)行過審計(jì)。III審計(jì)的頻率1266中說明期限較短的原因。IV審計(jì)報(bào)告（OSPAR）模云將根據(jù)內(nèi)部流程向金融行業(yè)客戶發(fā)布審計(jì)報(bào)告的副本。外包服務(wù)供應(yīng)商必須向其金融機(jī)構(gòu)客戶提供其審計(jì)報(bào)告的副本。V匯報(bào)和處如果審計(jì)者發(fā)現(xiàn)與控制目標(biāo)有關(guān)的控制活動(dòng)的設(shè)計(jì)和/或操作有效性的不足，審計(jì)者應(yīng)評(píng)估失敗對(duì)提供給金融機(jī)構(gòu)的服務(wù)的潛在影響。相關(guān)的審計(jì)標(biāo)準(zhǔn)規(guī)定了控制目標(biāo)的鑒定程序，審計(jì)者應(yīng)當(dāng)遵循。外包服務(wù)供應(yīng)商應(yīng)在不遲于外包服務(wù)供應(yīng)商審計(jì)報(bào)告（OSPAR）發(fā)布日期之前通知金融機(jī)構(gòu)重大問題和關(guān)注點(diǎn)以及補(bǔ)救計(jì)劃。但是，如果問題可能導(dǎo)致外包安排中長期服務(wù)失敗或中斷，或違反金融機(jī)構(gòu)客戶信息的安全性和保密性，外包服務(wù)供應(yīng)商應(yīng)在出現(xiàn)問題后立即通知金融機(jī)構(gòu)。華為云會(huì)根據(jù)外部審計(jì)機(jī)構(gòu)的要求，提供用于驗(yàn)證華為云安全和理控制缺制目標(biāo)的足要求，華為云將配合審計(jì)機(jī)構(gòu)質(zhì)量在審計(jì)報(bào)告中注明原因。/題進(jìn)行整改，整改完成后審計(jì)機(jī)構(gòu)會(huì)進(jìn)行再評(píng)估。VI金融機(jī)構(gòu)新加坡金融監(jiān)管局（MAS）和金融機(jī)構(gòu)有權(quán)對(duì)外包服務(wù)供應(yīng)商客戶應(yīng)建立正式的審計(jì)程序，定期對(duì)其外包供應(yīng)商進(jìn)行審計(jì)。和MAS的權(quán)力以及外包服務(wù)供應(yīng)商的分包商進(jìn)行審計(jì)。實(shí)體級(jí)別控制編號(hào)控制域具體控制要求華為云的應(yīng)答I.（a）控制環(huán)境構(gòu)。I.（b）風(fēng)險(xiǎn)評(píng)估外包服務(wù)供應(yīng)商的風(fēng)險(xiǎn)評(píng)估過程可能會(huì)對(duì)提供給金融機(jī)構(gòu)服務(wù)造成影響。以下是風(fēng)險(xiǎn)評(píng)估因素列表：新員工統(tǒng)新技術(shù)或活動(dòng)華為云遵從華為公司的信息安全風(fēng)險(xiǎn)管理框架，對(duì)風(fēng)險(xiǎn)管理范圍、風(fēng)險(xiǎn)管理組織以及風(fēng)險(xiǎn)管理過程中的標(biāo)準(zhǔn)進(jìn)行了嚴(yán)格定義。華為云每年進(jìn)行一次風(fēng)險(xiǎn)評(píng)估，并且在信息系統(tǒng)發(fā)生重大變更、公司業(yè)務(wù)發(fā)生重大變化或法律法規(guī)、標(biāo)準(zhǔn)發(fā)生重大變化時(shí)，華為云會(huì)增加風(fēng)險(xiǎn)評(píng)估的次數(shù)。I.（c）信息和溝外包服務(wù)供應(yīng)商的內(nèi)部控制信息和溝通部分應(yīng)包客戶可通過華為云官網(wǎng)來了解華為云提供的云服務(wù)的相關(guān)信息。華為云對(duì)外提編號(hào)控制域具體控制要求華為云的應(yīng)答通云也會(huì)建立與相關(guān)監(jiān)管機(jī)構(gòu)的聯(lián)系，以便必要的溝通。構(gòu)的服務(wù)相關(guān)的重要事項(xiàng)。I.（d）監(jiān)控外包服務(wù)供應(yīng)商可以雇用內(nèi)部審計(jì)員或其他人員，華為建立了專門的安全審計(jì)團(tuán)隊(duì)，審查全球安全法律法規(guī)及公司內(nèi)部安全要求通過持續(xù)活動(dòng)、定期評(píng)估或兩者結(jié)合的方式來評(píng)估的遵從情況。華為內(nèi)部審計(jì)團(tuán)隊(duì)直接向董事會(huì)和公司高層管理者匯報(bào)，保證發(fā)控制的有效性。外包服務(wù)供應(yīng)商應(yīng)制定流程，將此類評(píng)估確定的重大問題和現(xiàn)的問題得到解決并最終閉環(huán)。嚴(yán)格的審計(jì)活動(dòng)在推動(dòng)網(wǎng)絡(luò)安全流程和標(biāo)準(zhǔn)落地，保障結(jié)果交付上起著關(guān)鍵的作用。需要關(guān)注的事項(xiàng)上報(bào)給外包服務(wù)供應(yīng)商的高級(jí)管理此外，華為云建立了完備的供應(yīng)商選擇機(jī)制和管理機(jī)制，除了對(duì)供應(yīng)商的績效層，此外，如果影響到所提供的服務(wù)，也需要告知進(jìn)行日常監(jiān)督和管理之外，也會(huì)定期對(duì)供應(yīng)商進(jìn)行風(fēng)險(xiǎn)評(píng)估。針對(duì)審計(jì)發(fā)現(xiàn)的金融機(jī)構(gòu)。對(duì)于其分包商活動(dòng)中會(huì)影響提供給金融問題，組織內(nèi)會(huì)進(jìn)行再評(píng)估，如果問題對(duì)金融機(jī)構(gòu)的業(yè)務(wù)會(huì)造成重大影響，華為云會(huì)告知金融機(jī)構(gòu)。華為云對(duì)外提供了統(tǒng)一的溝通接口，負(fù)責(zé)收集并處理客戶側(cè)的投訴，以及向金融客戶同步監(jiān)管機(jī)構(gòu)發(fā)布的通告。金融機(jī)構(gòu)。I.（e）信息安全政策將信息安全政策和流程形成文檔，至少每12個(gè)月和在有變化發(fā)生時(shí)對(duì)其進(jìn)行審查。信息安全政策和流程應(yīng)指明負(fù)責(zé)信息安全客戶應(yīng)建立正式的信息安全政策和流程，并定期對(duì)其進(jìn)行審查。華為云參照ISO27001構(gòu)建了完善的信息安全管理體系，制定了華為云整體的信息安全策略，其中明確了信息安全管管理的人員。這些文件由管理層審查和理組織的架構(gòu)與職責(zé)，信息安全體系文件的管理辦法，以及信息安全的重點(diǎn)關(guān)批準(zhǔn)。明確系統(tǒng)和網(wǎng)絡(luò)的特定安全控制以保護(hù)系統(tǒng)注方向和目標(biāo)，包括：資產(chǎn)安全、訪問控制、密碼學(xué)、物理安全、操作安全、和數(shù)據(jù)的保密性、完整性和可用性。記錄、跟蹤和性。全方位保護(hù)客戶系統(tǒng)和數(shù)據(jù)的保密性、完整性和可用性。此外，華為云重務(wù)的差距，應(yīng)立即告知金點(diǎn)關(guān)注員工以及外包人員的安全意識(shí)培融機(jī)構(gòu)。養(yǎng)，制定了可落地的安全意識(shí)培訓(xùn)計(jì)劃應(yīng)建立信息安全意識(shí)培訓(xùn)并定期執(zhí)行。編號(hào)控制域具體控制要求華為云的應(yīng)答計(jì)劃。為可以訪問IT資源和系統(tǒng)的外包服務(wù)供應(yīng)商工作人員、分包商和供應(yīng)商定期開展培訓(xùn)計(jì)劃。I.（f）政策HR和流其經(jīng)驗(yàn)、專業(yè)能力、誠實(shí)云業(yè)務(wù)的需要。員工行為符合所有法程選。使其能夠滿足ABSMAS南相關(guān)的要求。安全檢查、在崗安全培訓(xùn)賦能、上崗資格管理、離崗安全審查。I.（g）與分包相關(guān)的金融機(jī)構(gòu)希望對(duì)外包服務(wù)供應(yīng)商的分包商進(jìn)行和對(duì)外包服務(wù)供應(yīng)商本身同樣華為云制定了自身的供應(yīng)商管理機(jī)制，從供應(yīng)商的產(chǎn)品和供應(yīng)商本身的內(nèi)部管理都提出了安全需求。此外，華為云會(huì)實(shí)踐嚴(yán)格的管理。因此，外包對(duì)供應(yīng)商進(jìn)行定期的稽核，對(duì)有風(fēng)險(xiǎn)的服務(wù)供應(yīng)商應(yīng)要求并確保供應(yīng)商會(huì)到現(xiàn)場(chǎng)進(jìn)行審核。此外會(huì)與涉其分包商遵守本指南質(zhì)量并對(duì)供應(yīng)商進(jìn)行績效評(píng)分，對(duì)安全績效差的供應(yīng)商進(jìn)行合作降級(jí)處理。IT控制IT編號(hào)控制域具體控制要求華為云的應(yīng)答II.（a）邏輯安全6.7/訪問權(quán)限賬號(hào)的使用。編號(hào)控制域具體控制要求華為云的應(yīng)答II.(a)邏輯安全金融機(jī)構(gòu)應(yīng)建立相關(guān)的數(shù)據(jù)刪除流程，以在每當(dāng)客戶主動(dòng)進(jìn)行數(shù)據(jù)刪除操作或因服務(wù)期滿需要對(duì)數(shù)據(jù)進(jìn)行刪除時(shí)，華為構(gòu)的數(shù)據(jù)。這一要求也適用于備份數(shù)據(jù)。據(jù)進(jìn)行清除。關(guān)于數(shù)據(jù)刪除的詳細(xì)信息請(qǐng)參見《華為云數(shù)據(jù)安全白皮書》4.8永久銷毀II.(a)邏輯安全MAS（TRM）（保護(hù)金融機(jī)構(gòu)客戶信息密）功能，采用高強(qiáng)度的算法對(duì)存儲(chǔ)和其他敏感數(shù)據(jù)。的數(shù)據(jù)進(jìn)行加密。數(shù)據(jù)加密服務(wù)（DataEncryptionWorkshopDEW）功能，由DEW戶外的任何人無法獲取密鑰對(duì)數(shù)據(jù)進(jìn)DEWDEWAPIDEW（HSM）HSM根密鑰。II.（b）物理安全數(shù)據(jù)中心/控制區(qū)域應(yīng)受到物理保護(hù)以保護(hù)其不受內(nèi)部和外部威脅。主要包括：限制對(duì)數(shù)據(jù)中心/控制區(qū)域的訪問、所有入口安裝入侵警報(bào)、對(duì)安全區(qū)域的出入進(jìn)行跟蹤審計(jì)、定期審查對(duì)數(shù)據(jù)中心的訪問、管理物理訪問憑證、執(zhí)行威脅和脆弱性風(fēng)險(xiǎn)評(píng)估（TVRA）。數(shù)據(jù)中心/控制區(qū)域的安華為云已制定并實(shí)施了完善的物理和環(huán)境安全防護(hù)策略、規(guī)程和措施，滿足GB50174《電子信息機(jī)房設(shè)計(jì)規(guī)范》A類和TIA942《數(shù)據(jù)中心機(jī)房通信基礎(chǔ)設(shè)施標(biāo)準(zhǔn)》中的T3+標(biāo)準(zhǔn)。更多詳細(xì)信息請(qǐng)參見《華為云安全白皮書》的“物理與環(huán)境安全”。編號(hào)控制域具體控制要求華為云的應(yīng)答ITII.（c）變更管理金融機(jī)構(gòu)應(yīng)以受控方式評(píng)估、批準(zhǔn)、測(cè)試、實(shí)客戶應(yīng)建立正式的變更管理程序，并定期對(duì)變更的執(zhí)行進(jìn)行審查，特別是施和審查應(yīng)用程序、系源代碼的審查。客戶應(yīng)該保證其開統(tǒng)軟件和網(wǎng)絡(luò)組件的變發(fā)、測(cè)試和生產(chǎn)環(huán)境相互隔離，并嚴(yán)更。格管控不同環(huán)境的使用。保證開發(fā)、測(cè)試、分級(jí)為配合客戶滿足合規(guī)要求，華為云也，如果UAT適當(dāng)?shù)纳a(chǎn)級(jí)別的控制。審后方可按計(jì)劃對(duì)現(xiàn)網(wǎng)實(shí)施變更。所有的變更在申請(qǐng)前，都需通過類生產(chǎn)環(huán)境測(cè)試、灰色發(fā)布、藍(lán)綠部署等方式進(jìn)行充分驗(yàn)證，確保變更委員會(huì)清晰地了解變更動(dòng)作、時(shí)長、變更失敗之前識(shí)別安全漏洞和缺陷、代碼錯(cuò)誤、缺陷和惡意代碼。的回退動(dòng)作以及所有可能的影響。華為云開發(fā)、測(cè)試和生產(chǎn)環(huán)境都進(jìn)行了隔離，并且嚴(yán)格控制未脫敏的數(shù)據(jù)零，有效降低上線時(shí)編碼相關(guān)的安全問題。II.（d）事件管理金融機(jī)構(gòu)應(yīng)保證系統(tǒng)和網(wǎng)絡(luò)的運(yùn)行問題得到及客戶應(yīng)建立正式的事件管理程序，及時(shí)解決系統(tǒng)和網(wǎng)絡(luò)故障。（）本原因，防止事故再次發(fā)生。編號(hào)控制域具體控制要求華為云的應(yīng)答記錄和跟蹤事件從發(fā)現(xiàn)到閉環(huán)的整個(gè)過程。定期會(huì)對(duì)歷史事件進(jìn)行趨勢(shì)分析并識(shí)別類似事件，以便找到根本原因徹底解決。II.（e）備份和災(zāi)難恢復(fù)同時(shí)，客戶可依賴華為云數(shù)據(jù)中心集群的多地域（Region）和多可用區(qū)（AZ）架構(gòu)實(shí)現(xiàn)其業(yè)務(wù)系統(tǒng)的容災(zāi)和備份，數(shù)據(jù)中心按規(guī)則部署在全球各地，客戶可通過兩地互為災(zāi)備中心，如一地出現(xiàn)故障，系統(tǒng)在滿足合規(guī)政策前提下自動(dòng)將客戶應(yīng)用和數(shù)據(jù)轉(zhuǎn)離受影響區(qū)域，保證業(yè)務(wù)的連續(xù)性。華為云還部署了全局負(fù)載均衡調(diào)度中心，客戶的應(yīng)用在數(shù)據(jù)中心實(shí)現(xiàn)N+1部署，即便在一個(gè)數(shù)據(jù)中心故障的情況下，也可以將流量負(fù)載均衡到其他中心。試和維護(hù)業(yè)務(wù)和信息系統(tǒng)恢復(fù)和連續(xù)性計(jì)劃。II.（f）網(wǎng)絡(luò)和安全管理客戶應(yīng)建立正式的系統(tǒng)以及網(wǎng)絡(luò)管理程序。CSPIaaSPaaS和SaaS各類層安全隔離，接入控制和邊界防護(hù)技術(shù)，同時(shí)嚴(yán)格執(zhí)行相應(yīng)的管控措施，確保華為云安全。此外為了保證華為云平臺(tái)以及網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行，華為云采取了一系列管理措施，包括：漏洞分析和處理，日志監(jiān)控和事統(tǒng)的事件。件響應(yīng)、云產(chǎn)品默認(rèn)安全配置優(yōu)化、安全補(bǔ)丁部署、防病毒軟件部署以及定期備份系統(tǒng)和設(shè)備配置文件并測(cè)試其有效性。編號(hào)控制域具體控制要求華為云的應(yīng)答II.（g）安全事件響應(yīng)應(yīng)確保在安全事件發(fā)生時(shí)能夠聯(lián)系適當(dāng)?shù)娜巳A為云內(nèi)部制定了完善的安全事件管理機(jī)制，并持續(xù)優(yōu)化該機(jī)制。安全事員，并針對(duì)安全事件立即采取措施。7*24分析系統(tǒng)，關(guān)聯(lián)各種安全設(shè)備的告警并啟動(dòng)客戶通知流程，將事件通知客戶。在事件解決后，會(huì)根據(jù)具體情況向客戶提供事件報(bào)告。II.（h）系統(tǒng)脆弱性評(píng)估IT華為PSIRT脅。脆弱性評(píng)估的頻率透測(cè)試和安全評(píng)估，以保證華為云云應(yīng)根據(jù)金融機(jī)構(gòu)的風(fēng)險(xiǎn)環(huán)境的安全性。12系統(tǒng)的滲透測(cè)試。通過脆弱性評(píng)估和滲透測(cè)試確定的問題得到及時(shí)修復(fù)和并重新對(duì)其進(jìn)行驗(yàn)證，以確保已確定的差距已經(jīng)完全解決。II.（i）技術(shù)更新管理金融機(jī)構(gòu)應(yīng)實(shí)施合理的控制措施保證在生產(chǎn)和災(zāi)難恢復(fù)環(huán)境中使用的客戶可依賴華為云數(shù)據(jù)中心集群的多地域（Region）和多可用區(qū)（AZ）架構(gòu)實(shí)現(xiàn)其業(yè)務(wù)系統(tǒng)的容災(zāi)和備份，數(shù)12域，保證業(yè)務(wù)的連續(xù)性。同時(shí)，華為云還部署了全局負(fù)載均衡調(diào)度中心，客戶的應(yīng)用在數(shù)據(jù)中心實(shí)現(xiàn)N+1部署，即便在一個(gè)數(shù)據(jù)中心故障的情況硬件組件的最新庫存，以便于跟蹤IT資源；外包服務(wù)供應(yīng)商積極管理其支持金融機(jī)構(gòu)的IT系外，還制定了業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難編號(hào)控制域具體控制要求華為云的應(yīng)答統(tǒng)和軟件；外包服務(wù)供恢復(fù)計(jì)劃，并定期對(duì)其進(jìn)行測(cè)試。以保證應(yīng)急預(yù)案符合當(dāng)前的組織環(huán)境和IT環(huán)境。IT軟繼續(xù)使用可能會(huì)導(dǎo)致的風(fēng)險(xiǎn)，并在必要時(shí)建立有效的風(fēng)險(xiǎn)緩解控制措施。刪除、加密數(shù)據(jù)防泄漏、物理磁盤報(bào)廢，更多詳細(xì)信息請(qǐng)參見《華為云安全白皮書》4.6.4數(shù)據(jù)刪除與銷毀。服務(wù)控制/編號(hào)控制域具體控制要求華為云的應(yīng)答III.（a）建立新的客戶/流程應(yīng)制定并監(jiān)控外包服務(wù)供應(yīng)商合同流程。并且外包服務(wù)供應(yīng)商的流程應(yīng)按照金融機(jī)客戶應(yīng)建立正式的外包合同管理程序。構(gòu)的協(xié)議和指示建立和管理。分，華為云《云服務(wù)等級(jí)協(xié)議》規(guī)定了華為云提供的服務(wù)水平。同時(shí)，華為云也制定了線下合同模板，可根據(jù)客戶的要求，在其中與客戶共同約定相應(yīng)要求。如有必要，華為云會(huì)積極配合客戶方發(fā)起的盡職調(diào)查。同時(shí)，華為云制定了自身的供應(yīng)商管理機(jī)制，對(duì)供應(yīng)商的產(chǎn)品和供應(yīng)商本身的內(nèi)部管理都提出了安全需求。華為云會(huì)對(duì)供應(yīng)商進(jìn)行定期的稽核，對(duì)有風(fēng)險(xiǎn)的供應(yīng)商會(huì)到現(xiàn)場(chǎng)進(jìn)行審核。此外，華為云會(huì)與涉及網(wǎng)絡(luò)安全的供應(yīng)商簽署網(wǎng)絡(luò)安全協(xié)議，在服務(wù)過程中會(huì)持續(xù)監(jiān)控其服務(wù)質(zhì)量并對(duì)供應(yīng)商進(jìn)行績效評(píng)分，對(duì)安全績效差的供應(yīng)編號(hào)控制域具體控制要求華為云的應(yīng)答商進(jìn)行合作降級(jí)處理。III.（b）授權(quán)和處理交易客戶應(yīng)管理外包服務(wù)供應(yīng)商的服務(wù)。為配合客戶滿足合規(guī)要求，華為云制定了完善的服務(wù)管理體系，且通過了ISO20000的認(rèn)證，保證提供有效的IT服務(wù)來滿足客戶的需求由獨(dú)立方分階段處理，從開始到完成都應(yīng)有職責(zé)分離。III.（c）維護(hù)記錄應(yīng)根據(jù)敏感度對(duì)數(shù)據(jù)進(jìn)行分類，敏感度決定數(shù)據(jù)保護(hù)要求、訪問權(quán)限和限制以及保留和銷毀要求。命周期的各階段進(jìn)行層層防護(hù)，并通過友好的操作界面和接口，方便客戶使用與集據(jù)安全白皮書》III.（d）保護(hù)資產(chǎn)應(yīng)保護(hù)實(shí)物資產(chǎn)不受損失、濫用和未經(jīng)授權(quán)的使用。華為云已制定并實(shí)施了完善的物理和環(huán)境安全防護(hù)策略、規(guī)程和措施，滿足GB50174《電子信息機(jī)房設(shè)計(jì)規(guī)范》A類和TIA942《數(shù)據(jù)中心機(jī)房通信基礎(chǔ)設(shè)施標(biāo)準(zhǔn)》中的T3+標(biāo)準(zhǔn)。更多詳細(xì)信息請(qǐng)參考《華為云安全白皮書》物理與環(huán)境安全部分。III.（e）服務(wù)報(bào)告和監(jiān)測(cè)外包活動(dòng)應(yīng)得到妥善管理和監(jiān)控?？蛻魬?yīng)管理和監(jiān)控外包活動(dòng)?？蛻艨赏ㄟ^華為云的云監(jiān)控服務(wù)，監(jiān)控自身云資源的使用情況和績效。華為云也可以根據(jù)客戶的需求按照SLA提供服務(wù)報(bào)告。ABS《ABS云計(jì)算實(shí)施指南》的要求（ABS）20198ABS2.0以下內(nèi)容將總結(jié)《ABS云計(jì)算實(shí)施指南2.0》中與云服務(wù)供應(yīng)商相關(guān)的控制要求，并詳細(xì)闡述了華為云作為金融機(jī)構(gòu)的云服務(wù)供應(yīng)商如何幫助金融機(jī)構(gòu)滿足這些控制要求。盡職調(diào)查建議的活動(dòng)《ABS2.0原文編號(hào)控制域具體控制要求華為云的應(yīng)答第1條治理金融機(jī)構(gòu)應(yīng)確保與云服務(wù)供應(yīng)商在書面協(xié)議中充分規(guī)定了關(guān)于為配合客戶行使對(duì)科技外包的監(jiān)管，華為云線上的《華為云用戶協(xié)議》對(duì)客戶和華為云的安全職責(zé)進(jìn)行劃分，華為云《云服所有締約方的角色、關(guān)系、義務(wù)和責(zé)任的務(wù)等級(jí)協(xié)議》規(guī)定了華為云提供的服務(wù)水平。同時(shí)，華為云也制定了線下合同模合同條款和條件，以及所購買云服務(wù)的KPI、關(guān)鍵活動(dòng)、投入和產(chǎn)出以及一旦出現(xiàn)違背協(xié)議情況的問責(zé)制。板，可根據(jù)客戶的要求，在其中規(guī)定華為云若聘用分包商，需通知客戶，并對(duì)分包的服務(wù)負(fù)責(zé)。華為云明確定義了與客戶之間的安全責(zé)任共擔(dān)模型，客戶可在華為云官網(wǎng)上查閱《華為云安全白皮書》中關(guān)于責(zé)任共擔(dān)模型金融機(jī)構(gòu)應(yīng)該進(jìn)行盡的具體內(nèi)容。華為云制定了完善的信息安職調(diào)查，了解其正在全風(fēng)險(xiǎn)管理框架，也會(huì)對(duì)外包商以及外包采用的服務(wù)以及金融機(jī)構(gòu)和云服務(wù)供應(yīng)商人員進(jìn)行嚴(yán)格的安全管理，并會(huì)定期對(duì)其供應(yīng)商進(jìn)行審計(jì)和安全評(píng)估。原文編號(hào)控制域具體控制要求華為云的應(yīng)答的職責(zé)。云服務(wù)供應(yīng)商應(yīng)該能夠證明它實(shí)施并維護(hù)了一個(gè)強(qiáng)大的風(fēng)險(xiǎn)管理和治理框架，該框架可有效管理云服務(wù)安排，包括任何分包安排。ISO27001SOC2介紹。第2條對(duì)云服務(wù)供應(yīng)商的評(píng)估財(cái)務(wù)狀況：2017,IDC2019Q1IaaS+PaaSPaaS700%，在Top5廠商增速排名第一，位居中國公有云服務(wù)商第一陣營。公司治理和實(shí)體控制：華為云秉承“將公司對(duì)網(wǎng)絡(luò)和業(yè)務(wù)安全性保障的責(zé)任置于公司的商業(yè)利益之上”的原則，網(wǎng)絡(luò)安全已經(jīng)成為了華為公司的發(fā)展戰(zhàn)略。在培養(yǎng)員工安全意識(shí)方面，華為云對(duì)員工的安全意識(shí)教育在員工在職期間持續(xù)進(jìn)行，有專門的信息安全意識(shí)培訓(xùn)計(jì)劃，意識(shí)教育的形式包括但不限于現(xiàn)場(chǎng)演講、視頻網(wǎng)課等。數(shù)據(jù)中心地理位置：客戶購買云服務(wù)時(shí)可自行選擇數(shù)據(jù)中心，華為云遵循客戶的選擇。華為云不會(huì)在未經(jīng)客戶同意的情況下將客戶內(nèi)容從選擇的區(qū)域中遷移，除非（a）必須遷移以遵守適用的法律法規(guī)或者政府機(jī)關(guān)的約束性命令;（b）為了提供賬單、管理、技術(shù)服務(wù)或者出于調(diào)查安全事件或調(diào)查違反合同規(guī)定的行為。物理安全風(fēng)險(xiǎn)評(píng)估：盡職調(diào)查流程：華為云會(huì)安排專人配合金融機(jī)構(gòu)協(xié)助其盡職調(diào)查。為了便于金融機(jī)構(gòu)了解華為云符合金融機(jī)構(gòu)盡職調(diào)查涵蓋的要求，華為云也主動(dòng)聘請(qǐng)專業(yè)的第三方審計(jì)機(jī)構(gòu)對(duì)華為云提供的云計(jì)算產(chǎn)品和服務(wù)進(jìn)行審計(jì)，并且會(huì)按照外包服務(wù)供應(yīng)商審計(jì)報(bào)告（OSPAR）模板中規(guī)定的格式發(fā)原文編號(hào)控制域具體控制要求華為云的應(yīng)答布審計(jì)報(bào)告。在報(bào)告形成后，華為云將根據(jù)內(nèi)部流程向金融行業(yè)客戶發(fā)布審計(jì)報(bào)告的副本。分包：華為集團(tuán)有完善的供應(yīng)商和外包管理規(guī)范，華為云遵循華為集團(tuán)的外包管理規(guī)定。第3條合同考慮金融機(jī)構(gòu)應(yīng)確保與云服務(wù)供應(yīng)商的合同協(xié)議中包括關(guān)于以下內(nèi)容的條款：數(shù)據(jù)機(jī)密性和控制權(quán)、數(shù)據(jù)傳輸和數(shù)據(jù)所在位置、審計(jì)和檢查、業(yè)務(wù)連續(xù)性管理、服務(wù)級(jí)別協(xié)議、數(shù)據(jù)保留、違約終止、退出計(jì)劃。為配合客戶行使對(duì)云服務(wù)供應(yīng)商的監(jiān)管，華為云線上的《華為云用戶協(xié)議》對(duì)客戶和華為的安全職責(zé)進(jìn)行劃分，華為云《云服務(wù)等級(jí)協(xié)議》規(guī)定了華為云提供的服務(wù)水平。同時(shí)，華為云也制定了線下合同模板，可根據(jù)客戶的要求，在其中與客戶共同約定相應(yīng)要求。進(jìn)入云外包安排時(shí)建議的控制措施《ABS2.0原文編號(hào)控制域具體控制要求華為云的應(yīng)答治理云第1條對(duì)云服務(wù)商管金融機(jī)構(gòu)應(yīng)對(duì)與云外包安排相關(guān)的風(fēng)險(xiǎn)進(jìn)行有力和及時(shí)為滿足客戶對(duì)云外包安排監(jiān)督的要求，華為云對(duì)外提供了統(tǒng)一的電話熱線、郵箱地址以及工單系統(tǒng)處理客戶的服務(wù)請(qǐng)求。若客戶需理的組織的監(jiān)督，包括對(duì)云服務(wù)供應(yīng)商進(jìn)行盡要對(duì)華為云發(fā)起盡職調(diào)查，華為云將有專人負(fù)責(zé)對(duì)接；華為云向客戶提供云監(jiān)控服務(wù)，上的考慮供客戶監(jiān)控自身云資源的使用情況和績效，并且可以根據(jù)客戶的需求按照SLA提供定制化服務(wù)報(bào)告，但此服務(wù)可能會(huì)涉及費(fèi)用。的業(yè)務(wù)部門和運(yùn)營部門與云服務(wù)供應(yīng)商之間應(yīng)有相應(yīng)的溝通渠道。原文編號(hào)控制域具體控制要求華為云的應(yīng)答第3條計(jì)費(fèi)模型金融機(jī)構(gòu)應(yīng)對(duì)其云資源和云成本進(jìn)行管理。保證基于服務(wù)級(jí)別協(xié)議的關(guān)鍵服務(wù)監(jiān)控到位，并與CSP建立協(xié)議，防止基于配額的服務(wù)停止。云監(jiān)控服務(wù)（CloudEye）化監(jiān)控平臺(tái)。云監(jiān)控服務(wù)提供實(shí)時(shí)監(jiān)控告警、通知以及個(gè)性化報(bào)表視圖，精準(zhǔn)掌握業(yè)務(wù)資源狀態(tài)。設(shè)計(jì)和保護(hù)云第1條云架構(gòu)參金融機(jī)構(gòu)應(yīng)創(chuàng)建符合金融機(jī)構(gòu)內(nèi)部政華為云為金融客戶提供專門的金融行業(yè)解決方案，幫助金融客戶快速實(shí)現(xiàn)業(yè)務(wù)云化部考解決方署。案及計(jì)和實(shí)施優(yōu)化的云實(shí)踐服務(wù)。第2虛擬管理與數(shù)據(jù)混合或客戶應(yīng)考慮建立標(biāo)準(zhǔn)化的發(fā)布流程管理容器和鏡像。同時(shí)，華為云針對(duì)彈性云服務(wù)器（ElasticCloudServerECS）（Console）的管理，可以方便地進(jìn)行版本管理和發(fā)布管理。另外，華為云從網(wǎng)絡(luò)隔離、數(shù)據(jù)隔離、外部威脅防御以及身份認(rèn)證與訪問控制等多方面保證在多租戶場(chǎng)景下客戶信息的安全性。更多詳細(xì)資料請(qǐng)參見《華為云安全白皮書》。當(dāng)發(fā)生軟硬件故障后，如果相應(yīng)的資源被釋放掉后，客戶內(nèi)容會(huì)自動(dòng)進(jìn)行銷毀，華為云會(huì)通過刪除客戶與數(shù)據(jù)之間的索引關(guān)系，并在將內(nèi)存、塊存儲(chǔ)等存儲(chǔ)空間進(jìn)行重新分配前進(jìn)行清零操作，確保相關(guān)的數(shù)據(jù)和信息不可恢復(fù)。條化、共享租賃環(huán)境相關(guān)容器的機(jī)密性和完整性化及風(fēng)險(xiǎn)。如果軟件或DevOps硬件出現(xiàn)故障，請(qǐng)確保信息資產(chǎn)保持安全或被安全移除。定義一套標(biāo)準(zhǔn)的工具和流程來管理容器、鏡像和發(fā)布管理。第3條云架構(gòu)韌性金融機(jī)構(gòu)需要仔細(xì)考慮和規(guī)劃其云的應(yīng)用，以確保云服客戶可依賴華為云數(shù)據(jù)中心集群的多地域（AZ）務(wù)的彈性和可用性與其需求相稱。原文編號(hào)控制域具體控制要求華為云的應(yīng)答中心實(shí)現(xiàn)N+1部署，即便在一個(gè)數(shù)據(jù)中心故障的情況下，也可以將流量負(fù)載均衡到其他中心。第4條網(wǎng)絡(luò)架構(gòu)Anti-DDoS（VPC-VirtualPrivateCloud）Web應(yīng)用防火墻（WebApplicationFirewall，簡WAF）應(yīng)對(duì)WebWeb同時(shí)，為保證租戶業(yè)務(wù)不影響管理操作，確保設(shè)備、資源和流量不會(huì)脫離有效監(jiān)管，華為云將其網(wǎng)絡(luò)的通信平面基于不同業(yè)務(wù)職BMC（BaseboardManagement且安全的分流，便于實(shí)現(xiàn)職責(zé)分離。第5條密鑰管理金融機(jī)構(gòu)應(yīng)管理加密材料，使金融機(jī)構(gòu)數(shù)據(jù)的機(jī)密性和（DEW）DEW（HSM）HSMDEW完整性不會(huì)受到損害。管理措施包括：定期輪換密鑰、制定詳細(xì)的政策和程序管理加密材料的生命周期以及加密材料的備份等。第6條加密金融機(jī)構(gòu)應(yīng)確保只有授權(quán)方才可以訪問傳輸中的和靜態(tài)客戶應(yīng)制定數(shù)據(jù)管理機(jī)制，保證數(shù)據(jù)的機(jī)密性、完整性?？蛻艨赏ㄟ^華為云的數(shù)據(jù)存儲(chǔ)加密服務(wù)實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密，華為云將復(fù)雜的數(shù)據(jù)。/或加密原文編號(hào)控制域具體控制要求華為云的應(yīng)答及消息的不可抵賴。（DEW）（HSM）提供WebWeb的可信身份認(rèn)證以及基于加密協(xié)議的安全傳虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetworkVPN）、云專線（DirectConnectDC）云連接（CloudConnectCC）安全。第8條用戶訪問管理和認(rèn)證（IAM）IAMIAM責(zé)分離。戶的安全。通過以上方式，實(shí)現(xiàn)對(duì)特權(quán)和緊急賬號(hào)的有效管控?？蛻粢部赏ㄟ^云審計(jì)服務(wù)（CTS）作為輔助，為租戶提供云服務(wù)資源的操作記錄，供用戶查詢、審計(jì)和回溯使用。同時(shí)，華為云的運(yùn)維人員接入華為云管理網(wǎng)絡(luò)對(duì)系統(tǒng)進(jìn)行集中管理時(shí)，需使用唯一可辨識(shí)的員工身份賬號(hào)，用戶賬號(hào)均配置了強(qiáng)密USBkey、SmartVPN第9條特權(quán)用戶金融機(jī)構(gòu)應(yīng)適當(dāng)管理特權(quán)用戶訪問，客戶可通過華為云的IAM服務(wù)及PAM功能可以更有效地細(xì)化管理特權(quán)賬戶。訪問并確保第三方服務(wù)為配合客戶滿足合規(guī)要求，華為云對(duì)于運(yùn)維管理人員實(shí)行基于角色的訪問控制，限定不同崗原文編號(hào)控制域具體控制要求華為云的應(yīng)答其信息資產(chǎn)。位不同職責(zé)的人員只能對(duì)所授權(quán)的運(yùn)維目標(biāo)進(jìn)行特定操作，僅在員工職責(zé)所需時(shí)，對(duì)其授予特權(quán)或應(yīng)急賬號(hào)。所有特權(quán)或應(yīng)急賬號(hào)的申請(qǐng)需要經(jīng)過多級(jí)的評(píng)審和批準(zhǔn)。華為云僅會(huì)在得到客戶授權(quán)后（提供賬號(hào)/密碼）登陸租戶的控制臺(tái)或者資源實(shí)例協(xié)助客戶進(jìn)行維護(hù)。第10條遠(yuǎn)程訪問金融機(jī)構(gòu)應(yīng)管理對(duì)其云環(huán)境中的平臺(tái)和系統(tǒng)進(jìn)行的各種客戶應(yīng)建立遠(yuǎn)程訪問管理機(jī)制?？蛻舫送ㄟ^統(tǒng)一身份認(rèn)證服務(wù)（IAM），對(duì)遠(yuǎn)程接入人員的身份和權(quán)限進(jìn)行管理外，華為云還提供了加密傳輸?shù)姆绞焦┛蛻糇孕羞x擇，比如VPN、HTTPS等。以通過堡壘機(jī)和SVNSVN進(jìn)行身份認(rèn)證，并且堡壘機(jī)上支持強(qiáng)日志審計(jì)，確保運(yùn)維人員在目標(biāo)主機(jī)上的操作行為都可以定位到個(gè)人。第11條數(shù)據(jù)防丟金融機(jī)構(gòu)應(yīng)制定全面的數(shù)據(jù)丟失防護(hù)客戶應(yīng)建立正式的數(shù)據(jù)保護(hù)機(jī)制。失以及對(duì)云服務(wù)的訪問。第12條源代碼審金融機(jī)構(gòu)應(yīng)確保源代碼及其他代碼工客戶應(yīng)建立源代碼的安全管理機(jī)制。為配合客戶滿足合規(guī)要求，華為云嚴(yán)格遵從查件（例如編譯和非編譯代碼、庫、運(yùn)行時(shí)模塊）的機(jī)密性和完整性，在發(fā)布管理過程中進(jìn)行源代碼審查。產(chǎn)環(huán)境隔離，并避免生產(chǎn)數(shù)據(jù)或未脫敏的生產(chǎn)數(shù)據(jù)用于測(cè)試，使用完成后需要進(jìn)行數(shù)據(jù)清理。第13滲透云服務(wù)供應(yīng)商的滲透測(cè)試報(bào)告可用于客戶應(yīng)該對(duì)CSP的環(huán)境進(jìn)行滲透測(cè)試。原文編號(hào)控制域具體控制要求華為云的應(yīng)答條測(cè)試為配合客戶滿足合規(guī)要求，華為云定期會(huì)開展內(nèi)部和第三方滲透測(cè)試和安全評(píng)估，監(jiān)蓋服務(wù)提供中涉及的所有系統(tǒng)，對(duì)所控、排查并解決安全威脅，保障云服務(wù)的安全性。有漏洞進(jìn)行風(fēng)險(xiǎn)評(píng)估、跟蹤和適當(dāng)管理/處理。測(cè)、Web金融機(jī)構(gòu)應(yīng)該考慮云的安全檢測(cè)、感知及防御能力。環(huán)境。第14條監(jiān)控金融機(jī)構(gòu)應(yīng)建立適當(dāng)?shù)募惺较到y(tǒng)，以便對(duì)來自各種監(jiān)客戶應(yīng)建立集中的監(jiān)控平臺(tái)對(duì)各個(gè)系統(tǒng)的安全日志進(jìn)行自動(dòng)分析，及時(shí)檢測(cè)和響應(yīng)安全事態(tài)和事件。ELK志，并統(tǒng)一進(jìn)行分析，快速全面識(shí)別已經(jīng)發(fā)生的攻擊，并預(yù)判尚未發(fā)生的威脅。華為云提供關(guān)系型數(shù)據(jù)庫服務(wù)，是一款允許租戶快速發(fā)放不同類型數(shù)據(jù)庫，并可根據(jù)業(yè)務(wù)需要對(duì)計(jì)算資源和存儲(chǔ)資源進(jìn)行彈性擴(kuò)容的數(shù)據(jù)庫服務(wù)。其提供自動(dòng)備份、數(shù)據(jù)庫快照、數(shù)據(jù)庫恢復(fù)等功能，以防止數(shù)據(jù)丟失。用性。以便及時(shí)檢測(cè)和響應(yīng)云環(huán)境中的安全事態(tài)和事件。金融機(jī)構(gòu)應(yīng)確保云服務(wù)供應(yīng)商的關(guān)鍵實(shí)現(xiàn)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性。第15條保護(hù)日志金融機(jī)構(gòu)和云服務(wù)供應(yīng)商應(yīng)該對(duì)系統(tǒng)華為云的云審計(jì)服務(wù)（CTS）為租戶提供云服務(wù)資源的操作記錄，供用戶查詢、審計(jì)和回及備份據(jù)不包含敏感信APICTS息。驗(yàn)、白名單校驗(yàn)以及單向接收機(jī)制等手段，確保日志信息傳輸和保存的準(zhǔn)確、全面；在保存階段，采取多重備份，并根據(jù)華為網(wǎng)絡(luò)CTSOBS同時(shí)，華為云針對(duì)所有物理設(shè)備、網(wǎng)絡(luò)、平原文編號(hào)控制域具體控制要求華為云的應(yīng)答臺(tái)、應(yīng)用、數(shù)據(jù)庫和安全系統(tǒng)的管理行為日志也會(huì)進(jìn)行管理，確保所有日志保存時(shí)間超過180天，90天內(nèi)可以實(shí)時(shí)查詢。運(yùn)行云第1條變更管理IaaS、PaaSSaaS性和/客戶應(yīng)建立正式的變更管理程序。華為云提供的云審計(jì)服務(wù)（CTS）可以為客戶提供云服務(wù)資源的操作記錄，供用戶查詢、審計(jì)和回溯使用。可實(shí)時(shí)、系統(tǒng)地記錄所有人員的操作，以便客戶對(duì)各項(xiàng)變更執(zhí)行事后審計(jì)。同時(shí)，華為云作為CSPIaaSPaaS和SaaS權(quán)或錯(cuò)誤的變更。級(jí)別判斷后提交給華為云變更委員會(huì)，通過評(píng)審后方可按計(jì)劃對(duì)現(xiàn)網(wǎng)實(shí)施變更。所有的變更在申請(qǐng)前，都需通過類生產(chǎn)壞境測(cè)試、灰色發(fā)布、藍(lán)綠部署等方式進(jìn)行充分驗(yàn)證，響。第2條配置管理客戶應(yīng)對(duì)其變更進(jìn)行監(jiān)控，以檢測(cè)未授權(quán)的變更。華為云提供的云審計(jì)服務(wù)（CTS）可以記錄操作人員對(duì)華為云上的資源和系統(tǒng)配置的變更，供用戶查詢、審計(jì)和回溯使用。融機(jī)構(gòu)應(yīng)實(shí)施自動(dòng)恢復(fù)，以減輕高風(fēng)險(xiǎn)變更。同時(shí)，華為云作為CSPIaaSPaaS和SaaS配（CMDB–ConfigurationManagementDatabase）第3條管理應(yīng)定義和監(jiān)控關(guān)鍵事件，以確保云環(huán)境的機(jī)密性、可用客戶應(yīng)該制定重大事件管理程序，確保重大事件及時(shí)發(fā)現(xiàn)、快速解決，以保證云環(huán)境的安全、穩(wěn)定運(yùn)行。華為云的云監(jiān)控服務(wù)為用性和完整性不受損戶提供一個(gè)針對(duì)彈性云服務(wù)器、帶寬等資源害。提供對(duì)信息技的立體化監(jiān)控平臺(tái)。云監(jiān)控服務(wù)提供實(shí)時(shí)監(jiān)術(shù)環(huán)境中網(wǎng)絡(luò)和系統(tǒng)異常的早期檢控告警、通知以及個(gè)性化報(bào)表視圖，精準(zhǔn)掌握業(yè)務(wù)資源狀態(tài)。用戶可以自主設(shè)置告警規(guī)原文編號(hào)控制域具體控制要求華為云的應(yīng)答則和通知策略，以便用戶及時(shí)檢測(cè)云資源的異常并采取應(yīng)對(duì)措施。事故，并根據(jù)事件的關(guān)鍵程度和分配的所有權(quán)，適當(dāng)?shù)赝瑫r(shí)，華為云作為CSP設(shè)施和IaaSPaaS和SaaS管理和上報(bào)事件。日志審計(jì)系統(tǒng)。并利用大數(shù)據(jù)安全分析系統(tǒng)，關(guān)聯(lián)各種安全設(shè)備的告警日志，并統(tǒng)一進(jìn)行分析，快速全面識(shí)別已經(jīng)發(fā)生的攻擊，并預(yù)判尚未發(fā)生的威脅。華為云擁有7*24的專業(yè)安全事件響應(yīng)團(tuán)隊(duì)負(fù)責(zé)實(shí)時(shí)監(jiān)控告速隔離與快速恢復(fù)的重大事件。并根據(jù)事件的實(shí)時(shí)狀態(tài)進(jìn)行事件升級(jí)和通報(bào)。第4條事件和問當(dāng)新的威脅情報(bào)可用時(shí)，在信息技術(shù)客戶應(yīng)建立正式的事件和問題管理程序。華為云的云監(jiān)控服務(wù)為用戶提供一個(gè)針對(duì)彈性題管理相應(yīng)的應(yīng)對(duì)措施。同時(shí)華為云還可提供Anti-DDoSWeb數(shù)據(jù)庫安全服務(wù)（DatabaseSecurityServiceDBSS）（CTS）當(dāng)審查，并糾正已發(fā)現(xiàn)的差距，以防止再次發(fā)生。對(duì)安全事件進(jìn)行追溯和審計(jì)的功能。同時(shí)，華為云作為CSP設(shè)施和IaaSPaaS和SaaS云擁有7*24速定界、快速隔離與快速恢復(fù)的事件。并根據(jù)事件的實(shí)時(shí)狀態(tài)進(jìn)行事件升級(jí)和通報(bào)。且華為云會(huì)定期對(duì)事件進(jìn)行統(tǒng)計(jì)和趨勢(shì)分析，針對(duì)類似事件，問題處理小組會(huì)找到根本原因，并制定解決方案從根源上杜絕該類事件的發(fā)生。第5條容量管理金融機(jī)構(gòu)應(yīng)清楚地了解其業(yè)務(wù)運(yùn)營對(duì)資源的要求，以確客戶應(yīng)建立正式的容量管理程序，對(duì)其云資源進(jìn)行監(jiān)控，確保云資源能夠滿足業(yè)務(wù)增長的需要。客戶可通過華為云的云監(jiān)控服務(wù)對(duì)保業(yè)務(wù)職能能夠不受任何干擾地繼續(xù)彈性云服務(wù)器、帶寬等資源進(jìn)行的立體化監(jiān)控。云監(jiān)控服務(wù)的監(jiān)控對(duì)象是基礎(chǔ)設(shè)施、平進(jìn)行。對(duì)資源進(jìn)行臺(tái)及應(yīng)用服務(wù)的資源使用數(shù)據(jù)，不監(jiān)控或觸原文編號(hào)控制域具體控制要求華為云的應(yīng)答碰租戶數(shù)據(jù)。云監(jiān)控服務(wù)目前可以監(jiān)控下列云服務(wù)的相關(guān)指標(biāo)：彈性計(jì)算服務(wù)（ECS）、云硬盤服務(wù)（EVS）、虛擬私有云服務(wù)（VPC）、關(guān)系型數(shù)據(jù)庫服務(wù)（RDS））、分布式緩存服務(wù)（DCS）、分布式消息服務(wù)（ELB）、主（HVD）（MLS）（WTP）（DWS）、人工智能服務(wù)（AIS）等。用戶可以通過這些指標(biāo)，設(shè)置告警規(guī)則和通知策略，以便及時(shí)了解各服務(wù)的實(shí)例資源運(yùn)行狀況和性能。同時(shí)，華為云內(nèi)部也制定了完善的性能與容量管理流程，通過提前識(shí)別資源需求以及對(duì)最終保證云資源滿足用戶的業(yè)務(wù)正常需求。第6條補(bǔ)丁和漏洞管確保云環(huán)境中所有資產(chǎn)都有明確的所有權(quán)，并對(duì)其重要客戶應(yīng)建立正式的資產(chǎn)管理程序，對(duì)其資產(chǎn)進(jìn)行分類，并定義資產(chǎn)所有者，以便快速識(shí)別資產(chǎn)的漏洞并進(jìn)行修復(fù)。同時(shí)，華為云也理性進(jìn)行評(píng)級(jí)?？焖僮R(shí)別潛在的漏洞和建立了完善的漏洞感知、處置和對(duì)外披露的機(jī)制。華為云依托其建立的漏洞管理體系進(jìn)系統(tǒng)不穩(wěn)定性并快速安全地部署安全和操作系統(tǒng)補(bǔ)丁。SLA臺(tái)、租戶服務(wù)等的