2024华为云新加坡金融行业监管要求遵从性指南.pdf

1、 华为云新加坡金融行业监管要求遵从性指华为云新加坡金融行业监管要求遵从性指南南 文档版本文档版本 3.0 发布日期发布日期 2024-01-26 华为云计算技术有限公司华为云计算技术有限公司 华为云新加坡金融行业监管要求遵从性指南 目 录 文档版本 3.0(2024-01-26)版权所有 华为云计算技术有限公司 ii 目目 录录 1 简介简介.1 2 华为云安全与隐私合规华为云安全与隐私合规.2 3 华为云安全责任共担模型华为云安全责任共担模型.5 4 华为云全球基础设施华为云全球基础设施.6 5 华为云如何符合华为云如何符合 MAS外包指南的要求外包指南的要求.7 5.1 与 MAS 在外包

2、的合作.7 5.2 风险管理实践.7 5.3 云计算.11 6 华为云如何符合华为云如何符合 MAS科技风险管理指南的要求科技风险管理指南的要求.13 6.1 科技风险治理和监督.13 6.2 科技风险管理框架.15 6.3 IT 项目管理和设计安全.16 6.4 软件应用程序开发与管理.19 6.5 IT 恢复能力.21 6.6 访问控制.24 6.7 数据和基础设施安全.25 7 华为云如何符合华为云如何符合 MAS关于网络卫生的通知的要求关于网络卫生的通知的要求.29 8 华为云如何符合华为云如何符合 ABS外包服务商控制目标和流程指南的要求外包服务商控制目标和流程指南的要求.33 8.

3、1 审计和检查.33 8.2 实体级别控制.35 8.3 通用 IT 控制.37 8.4 服务控制.42 9 华为云如何符合华为云如何符合 ABSABS 云计算实施指南的要求云计算实施指南的要求.44 9.1 尽职调查建议的活动.44 9.2 进入云外包安排时建议的控制措施.46 10 华为云如何符合华为云如何符合 MAS业务连续性管理指南的要求业务连续性管理指南的要求.56 10.1 关键业务服务和职能.56 华为云新加坡金融行业监管要求遵从性指南 目 录 文档版本 3.0(2024-01-26)版权所有 华为云计算技术有限公司 iii 10.2 服务恢复时间目标.57 10.3 依赖映射关

4、系.58 10.4 集中风险.60 10.5 持续审视与改进.61 10.6 测试.63 10.7 审计.65 10.8 事件与危机管理.66 11 华为云如何符合华为云如何符合 MAS针对如何应对与采用公有云有关的技术和网络安全风险的咨询针对如何应对与采用公有云有关的技术和网络安全风险的咨询意见的要求意见的要求.69 11.1 共同承担网络安全责任.69 11.2 身份访问管理.70 11.3 保护公有云中的应用程序.73 11.4 数据安全和加密密钥管理.76 11.5 不可变工作负载和基础设施即代码.77 11.6 网络安全运营.78 11.7 云韧性风险管理.79 11.8 云服务提供

5、商的外包尽职调查.80 11.9 供应商锁定和集中风险管理.81 11.10 技能.82 12 结语结语.83 13 版本历史版本历史.84 华为云新加坡金融行业监管要求遵从性指南 1 简介 文档版本 3.0(2024-01-26)版权所有 华为云计算技术有限公司 1 1 简介简介 在科技发展的浪潮中，越来越多的金融机构在逐渐寻求业务转型并希望借助先进的技术以降低成本、提升运营效率、实现业务模式的创新。为了规范金融行业对于信息科技的运用，新加坡金融监管局（MAS）以及新加坡银行协会（ABS）发布了一系列监管要求、指南和通知，针对新加坡金融机构科技风险管理、科技外包管理以及云计算实施等方面提出了

6、相关监管要求。华为云作为云服务供应商，致力于协助金融客户满足这些监管要求，持续为金融客户提供符合金融行业标准要求的云服务及业务运行环境。为此，华为云目前已建立起一套涵盖业界主流云安全标准以及华为云安全管理要求的方法体系，覆盖了网络安全与隐私保护领域中多个方面的要求，其实施有助于提升华为云自身合规水平，同时能够协助金融客户满足相关监管要求、指南和通知。本文将针对新加坡金融机构在使用云服务时通常需遵循的以下监管要求和指南，详细阐述华为云将如何协助其满足监管要求：MAS 外包指南：外包指南：针对已经或计划将业务活动外包给服务供应商的金融机构，提出了希望金融机构能够遵守的外包管理相关要求，为金融机构外

7、包活动的风险管理提供了良好实践指导。MAS 科技风险管理指南：科技风险管理指南：规定了科技风险管理原则和最佳实践标准，指导金融机构建立健全、可靠的科技风险管理框架。MAS 关于网络卫生的通知：关于网络卫生的通知：为新加坡金融机构提供了关于遵循相关法令的实践指导。ABS 外包服务商控制目标和流程指南：外包服务商控制目标和流程指南：规定了为金融机构提供服务的外包服务供应商应具备的最低/基线控制措施。ABS 云计算实施指南：云计算实施指南：为金融机构提供了关于使用云服务的最佳实践和注意事项。MAS 业务连续性管理指南：业务连续性管理指南：为新加坡金融机构加强业务连续性管理提供指导，旨在帮助金融机构增

8、强抵御服务中断的能力，同时最大限度地减少服务中断所造成的负面影响。MAS 针对如何应对与采用公有云有关的技术和网络安全风险的咨询意见：针对如何应对与采用公有云有关的技术和网络安全风险的咨询意见：强调了金融机构在采用公有云服务前应考虑的一些常见的关键风险和控制措施。为金融机构更加安全地使用公有云服务，降低相关风险提供指导。华为云新加坡金融行业监管要求遵从性指南 2 华为云安全与隐私合规 文档版本 3.0(2024-01-26)版权所有 华为云计算技术有限公司 2 2 华为云安全与隐私合规华为云安全与隐私合规 华为云继承了华为公司完备的管理体系以及 IT 系统的建设和运营经验，对华为云各项服务的集

9、成、运营及维护进行主动管理，并持续改进。截至目前，华为云已获得众多全球性、区域性和行业特定的安全合规的权威认证，全力保障客户部署业务的安全。关于更多华为云的安全合规信息以及获取相关合规证书，可参见华为云官网“信任中心-合规中心”。华为云部分标准类认证华为云部分标准类认证/鉴证示例：鉴证示例：认证 描述 ISO27001:2022 ISO27001 是目前国际上被广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心，通过定期评估风险和对应的控制措施来有效保证组织信息安全管理体系的持续运行。ISO27017:2015 ISO27017 是针对云计算信息安全的国际认证。ISO27017

10、的通过，表明华为云在信息安全管理能力达到了国际公认的最佳实践。ISO27018:2019 ISO27018 是专注于云中个人数据保护的国际行为准则。ISO27018 的通过，表明华为云已满足国际认可的公有云个人数据保护措施的要求，可保证客户个人数据安全。7 TL 9000&ISO 9001 ISO 9001 是 ISO 9000 族标准所包括的一组质量管理体系核心标准之一，用于证实组织具有提供满足顾客要求和适用法规要求的产品的能力。TL 9000 是一个建立在 ISO9001 基础上的，由全球电信业优质供应商联盟（QuEST Forum）针对全球信息和通讯技术（ICT）行业特定设计的、为 IC

11、T 产品和服务供方提供的一套通用的质量管理体系要求。它包括了 ISO9001 的所有要求，ISO9001 将来的任何改动也会导致 TL9000 的改动。华为云取得了 ISO9001/TL9000 认证证书，表明华为云可以为您提供更快，更好和更具成本效益的服务。ISO20000-1:2018 ISO20000 是针对信息技术服务管理领域的国际标准，提供设计、建立、实施、运行、监控、评审、维护和改进服务管理体系的模型以保证服务供应商可提供有效的 IT 服务来满足客户和业务的需 华为云新加坡金融行业监管要求遵从性指南 2 华为云安全与隐私合规 文档版本 3.0(2024-01-26)版权所有 华为云

12、计算技术有限公司 3 认证 描述 求。ISO22301:2019 ISO22301 是国际公认的业务连续性管理体系标准，通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生，并且制定完备的“业务连续性计划”，有效地应对中断发生后的快速恢复，保持核心功能正常运行，将损失和恢复成本降至最低。CSA STAR 认证 CSA STAR 认证是由标准研发机构 BSI（英国标准协会）和 CSA（云安全联盟）合作推出的国际范围内的针对云安全水平的权威认证，旨在应对与云安全相关的特定问题，协助云计算服务商展现其服务成熟度的解决方案。ISO27701:2019 ISO27701 规定了建立、实施、维护和持续

13、改进隐私相关所特定的管理体系的要求。华为云通过 ISO27701 表明了其在个人数据保护具有健全的体制。BS 10012:2017 BS10012 是 BSI 发布的个人信息数据管理体系标准，BS10012 认证的通过表明华为云在个人数据保护上拥有完整的体系以保证个人数据安全。ISO 29151:2017 ISO29151 是国际个人身份信息保护实践指南。ISO29151 的通过，表明华为云实施国际认可的个人数据处理的全生命周期的管理措施。PCI DSS 支付卡行业数据安全标准（PCI DSS）是由 JCB、美国运通、Discover、万事达和 Visa 等五家国际信用卡组织共同建立的一套支付

14、卡行业数据安全标准，由支付卡行业安全标准委员会管理。它是世界上最权威、最严格的金融机构认证。PCI 3DS PCI 3DS 标准，旨在保护执行特定 3DS 功能或者存储 3DS 数据的3DS 环境，支持 3DS 的实施。PCI 3DS 的评估对象为 3D 协议执行环境，包括访问控制服务器、目录服务器或 3DS 服务器功能；以及 3D 执行环境内和连接到环境所需要的系统组件，如防火墙、虚拟服务器、网络设备、应用等；除此之外，还会评估 3D协议执行环境的过程、流程、人员管理等。ISO 27799:2016 ISO/IEC 27799 是专注于医疗行业的信息安全管理体系，为医疗行业和其相关机构提供了

15、关于如何更好地保护个人健康信息的保密性、完整性、可审计性和可用性的指导。华为云是全球首个获得该认证的云服务商，表明华为云对医疗行业的理解和实践，对医疗行业信息安全的防护能力得到国际权威认可，能够更可靠的保障您的信息安全。ISO 27034 ISO/IEC 27034 是国际标准化组织 ISO 通过的第一个关注建立安全软件程序流程和框架的标准，它清晰地定义了实际应用中软件系统面临的风险，同时为不同类型的软件开发组织提供了一套可以灵活应用的方法。华为云是全球首家获得 ISO/IEC 27034 认证的云服务提供商，表明华为云具备在云服务中保持持续安全和合规的能力。华为云新加坡金融行业监管要求遵从性

16、指南 2 华为云安全与隐私合规 文档版本 3.0(2024-01-26)版权所有 华为云计算技术有限公司 4 认证 描述 SOC 审计报告 SOC 审计报告是由第三方审计机构根据美国注册会计师协会（AICPA）制定的相关准则，针对外包服务商的系统和内部控制情况出具的独立审计报告。华为云新加坡金融行业监管要求遵从性指南 3 华为云安全责任共担模型 文档版本 33.0(2024-01-26)版权所有 华为云计算技术有限公司 5 3 华为云安全责任共担模型华为云安全责任共担模型 华为云的主要责任是研发并运维运营华为云数据中心的物理基础设施，华为云提供的各项基础服务、平台服务和应用服务，也包括各项服务

17、内置的安全功能。同时，华为云还负责构建物理层、基础设施层、平台层、应用层、数据层和用户身份管理（IAM）层的多维立体安全防护体系，并保障其运维运营安全。租户的主要责任是在租用的华为云基础设施与服务之上定制配置并且运维运营其所需的虚拟网络、平台、应用、数据、管理、安全等各项服务，包括对华为云服务的定制配置和对租户自行部署的平台、应用、用户身份管理等服务的运维运营。同时，租户还负责其在虚拟网络层、平台层、应用层、数据层和 IAM 层的各项安全防护措施的定制配置、运维运营安全、以及用户身份的有效管理。关于华为云与租户的安全责任详情，可参考华为云已发布的华为云安全白皮书。华为云新加坡金融行业监管要求遵

18、从性指南 4 华为云全球基础设施 文档版本 3.0(2024-01-26)版权所有 华为云计算技术有限公司 6 4 华为云全球基础设施华为云全球基础设施 华为云目前已陆续在全球多个国家或地区开服。华为云的基础设施采用在全球部署多个地理区域（Region）和多可用区（AZ）的模式，华为云能够在多个地理区域内或同一地域内多个可用区之间灵活替换计算实例和存储数据，每个可用区都是一个独立故障维护域，也就是各可用区物理上是隔离的。用户可充分利用这些地理区域和可用区，规划应用系统在云上的部署和运行。基于多个可用区进行应用的分布式部署，可保证在大多故障情况下系统都能连续运行。关于更多关于华为云基础设施的信息

19、，参见华为云官网“全球基础设施”。userid:529794,docid:170004,date:2024-07-30, 华为云新加坡金融行业监管要求遵从性指南 5 华为云如何符合 MAS外包指南的要求 文档版本 3.0(2024-01-26)版权所有 华为云计算技术有限公司 7 5 华为云如何符合华为云如何符合 MAS外包指南的要求外包指南的要求 外包指南从风险管理的角度阐述了金融机构在进行业务外包时需要考虑的事项及应遵守的要求。MAS 外包指南涵盖与 MAS 在外包、风险管理实践和云计算方面的合作，表达了新加坡金融管理局对金融机构外包管理方面的期望。以下内容将总结该指南中与云服务供应商相关

20、的控制要求，并详细阐述了华为云作为金融机构的云服务供应商时，会如何帮助其满足这些控制要求。5.1 与 MAS 在外包的合作 外包指南第四章要求金融机构持续向 MAS 证明其遵守这些准则，覆盖遵守指南和不良发展通知。相关控制要求及华为云应答如下：编号 控制域 具体控制要求 华为云的应答 4.1 遵守准则 一个机构应准备好向 MAS 证明其遵守这些准则。MAS 可直接与该机构的所在地或东道监管机构以及该机构的服务提供商沟通，说明它们是否有能力和意愿与MAS 合作监督该机构的外包风险。客户应定期对其外包服务提供商进行审计或评估，确保服务提供商提供的云服务不低于自身安全管理要求。如果金融机构向华为云发

21、起审计请求，华为云将安排人员积极配合审计。4.2 不良发展通知 5.2 风险管理实践 外包指南第五章要求金融机构就外包安排制定风险管理政策并遵守外包风险管理相关实践，覆盖概述、董事会和高级管理层的责任、风险评估、服务提供商评估、外包协议、保密和安全、业务连续性管理、外包安排的监控和控制、审计和检查、新加坡境外外包、集团内外包以及将内部审计外包给外部审计方等领域。相关控制要求及华为云的应答如下：华为云新加坡金融行业监管要求遵从性指南 5 华为云如何符合 MAS外包指南的要求 文档版本 3.0(2024-01-26)版权所有 华为云计算技术有限公司 8 编号 控制域 具体控制要求 华为云的应答 5

22、.3 风险评估 为了确保外包安排不会导致机构的风险管理、内部控制、商业行为或机构声誉受到损害或削弱，机构应建立风险评估框架。此类风险评估应在机构计划与现有或新的服务供应商签订外包安排时进行，并定期对现有外包安排进行重新评估，作为机构外包安排的批准、战略规划、风险管理或内部控制审查的一部分。客户应建立风险评估框架，定期评估外包安排的风险。华为云可配合并积极响应客户需求。此外，华为云内部也制定了完善的信息安全风险管理机制，定期进行风险评估和合规审查，以实现华为云云环境的安全、稳定运行。5.4 服务供应商评估 在考虑重新谈判或更新外包安排时，机构应对服务供应商进行适当的尽职调查，以评估与外包安排相关

23、的风险。必要时，金融机构应对服务供应商进行现场考察，并尽可能获得服务供应商的独立审查和市场反馈，以补充机构的评估。机构还应确保其外包服务供应商的雇员均经过评估，以满足机构自身的聘用标准。客户应对其服务供应商进行尽职调查，以识别其外包安排的风险。华为云会安排专人积极配合金融机构的尽职调查。为了让用户享受安全可信的云平台和云服务，华为云按照全球各地权威的安全标准，从安全技术、安全制度、人员管理等各方面构建了完备的安全体系，并获得了国内外众多安全认证。华为在公司内部倡导“人人懂安全”的理念和实践，创造了一个无时不在，无处不在，充满活力和竞争力的安全文化。并贯穿在华为云招聘选才、员工入职、上岗培训、持

24、续培训、内部调动和离职等各个环节。5.5 外包协议 机构与外包服务供应商应书面定义合同条款和条件以约束双方的关系、义务、责任、权力和期望。合同应由主管当局（如法律顾问）审查其合法性和适宜性。机构应确保每个外包协议都能解决风险评估和尽职调查阶段发现的风险。每项外包协议都应允许重新谈判和续期，以使该机构能够对外包安排保持适当程度的控制，并有权采取适当措施进行干预，以履行其法律义务和监管义务。每项协议都应量身定制，以解决国家风险引起的问题以及对新加坡境外服务供应商就外包安排进行监督和管理时可能遇到的客户与外包服务供应商应签订外包协议，并保证协议的合法性和适宜性。为配合客户行使对云服务供应商的监管，华

25、为云线上的华为云用户协议对客户和华为的安全职责进行划分，华为云云服务等级协议规定了华为云提供的服务水平。同时，华为云也制定了线下合同模板，可根据客户的要求，在其中与客户共同约定相应要求。更多详细信息请参见华为云用户协议。华为云新加坡金融行业监管要求遵从性指南 5 华为云如何符合 MAS外包指南的要求 文档版本 3.0(2024-01-26)版权所有 华为云计算技术有限公司 9 编号 控制域 具体控制要求 华为云的应答 障碍。5.6 保密和安全 金融机构必须确保服务供应商的安全政策、程序和控制措施将使机构能够保护其客户信息的保密性和安全性。客户可以采取协议约束、审查监督等方式确保服务供应商的安全

26、政策、程序和控制措施将使机构能够保护其客户信息的保密性和安全性。华为云业务的开展遵循华为公司“一国一策，一客一策”的战略，在遵从客户所在国家或地区的安全法规以及行业监管要求的基础上，参考业界最佳实践从组织、流程、规范、技术、合规、生态和等方面建立并管理完善、高可信、可持续的安全保障体系，并与有关政府、客户及行业伙伴以开放透明的方式，共同应对云安全挑战，全面满足客户的安全需求。同时，华为云目前获得了国际上多项权威的安全与隐私保护认证，第三方测评公司也会定期对华为云展开保密性、安全充分性和合规性的审核并出具专家报告。更多详细信息请参见华为云安全白皮书。5.7 业务连续性管理 金融机构应确保其业务连

27、续性不会因外包安排而受损，以便在服务中断或失败、外包安排意外终止或服务供应商清算的情况下，机构仍能够以诚信的方式有能力开展业务。客户应制定业务连续性计划，并考虑其外包安排对其业务连续性的影响。如果金融机构在运行其组织内部的业务连续性计划的过程中需要华为云的参与，华为云会积极配合。此外，华为云作为云服务供应商，为金融机构客户提供其业务所依赖的云服务，因此除不可抗因素导致的外包中断或意外终止的情况外，华为云制定了符合自身业务特色的业务连续性管理体系，为客户持续有效提供服务，保证客户业务的开展。华为云每年会在组织内进行业务连续性的宣传和培训，以及定期做应急演练和测试，持续优化应急响应机制。华为云新加

28、坡金融行业监管要求遵从性指南 5 华为云如何符合 MAS外包指南的要求 文档版本 3.0(2024-01-26)版权所有 华为云计算技术有限公司 10 编号 控制域 具体控制要求 华为云的应答 5.8 外包安排的监控 金融机构应建立外包管理控制小组，持续监控外包服务。对所有重大外包安排进行定期审查，对新的外包安排或对现有外包安排进行修订时，进行全面的实施前和实施后审查。如果外包安排有重大修改，还应对外包安排进行全面的尽职调查。客户应该建立外包管理机制，持续监控并定期审查外包服务。华为云的云监控服务（Cloud Eye）可实现对客户自身云资源的使用情况和绩效的监控。华为云可以根据客户的需求按照

29、SLA 向客户提供服务报告，华为云也会安排专人负责客户方发起的尽职调查。5.9 审计和检查 金融机构的外包安排不应干扰其自身管理能力和金融监管局的监督能力，也不应妨碍金融监管局履行其监督职能和目标。机构应确保对其所有外包安排进行独立审计和/或专家评估。外包协议还应包括要求服务供应商尽快满足金融监管局或机构向服务供应商及其分包商提出的任何要求的条款，以提交与外包安排相关的服务供应商及其分包商的安全和控制环境报告。重大问题和担忧应及时提请机构和服务供应商的高级管理层或机构董事会注意（如有必要）。如果构成的风险不再在机构的风险承受能力范围内，机构应采取行动审查外包安排。客户应定期对其外包服务供应商执

30、行独立审计或专家评估，并将识别的问题知会服务供应商的高级管理层。客户应该在与服务供应商签订的协议中要求包含服务供应商对其分包商的安全承诺。华为云会安排专人积极配合客户发起的审计要求。客户对华为云的审计和监督权益会根据实际情况在与客户签订的协议中进行承诺。华为云已通过ISO27001、ISO27017、ISO27018、SOC、CSA STAR等多项国际安全与隐私保护认证，并且每年会接受第三方的审计。此外，华为云制定了完善的供应商管理机制，定期对供应商（包括外包人员）的表现进行考核，考核结果作为下次采购的关键参考。华为云也会与供应商（包括外包人员个人）签订安全合规和保密协议。5.10 新加坡境外

31、外包 金融机构在外国聘用外包服务供应商可能会面临国家风险，因此在外包安排的风险管理中，尽职调查应包括政府政策、政经状况、外国的法律监管发展以及机构有效监测供应商的能力。机构还应了解外包供应商的恢复安排和地点并考虑传输媒介的相关风险。机构应仅与处于能够遵守保密条款的司法管辖区内以及法律和行政限制不会妨碍机构获取信客户在选择外包服务供应商时，应提前对其进行尽职调查，保证外包服务供应商的政府政策、经济情况、法律监管以及服务能力符合客户业务发展的需要以及监管要求。华为云会安排专人积极配合客户的尽职调查。此外，华为云业务的开展遵循华为公司“一国一策，一客一策”的战略，在遵从客户所在国家或地区的 华为云新

32、加坡金融行业监管要求遵从性指南 5 华为云如何符合 MAS外包指南的要求 文档版本 3.0(2024-01-26)版权所有 华为云计算技术有限公司 11 编号 控制域 具体控制要求 华为云的应答 息的服务供应商签订协议。安全法规以及行业监管要求的基础上，参考业界最佳实践从组织、流程、规范、技术、合规、生态和等方面建立并管理完善、高可信、可持续的安全保障体系，并与有关政府、客户及行业伙伴以开放透明的方式，共同应对云安全挑战，全面满足客户的安全需求。华为云在新加坡建立了两个数据中心，实现双可用区冗余。为了减小由硬件故障、自然灾害或其他灾难带来的服务中断，华为云为所有数据中心提供灾难恢复计划：单个区

33、域内不同可用区之间，通过高速光纤实现数据中心互联（DCI Data Center Interconnect），满足跨可用区数据复制基本要求，用户可根据业务需求选择灾备复制服务。5.11 集团内外包 对集团内部服务提供者的尽职调查可以采取评估服务提供者应对该机构特有风险能力的定性方面的形式，特别是与业务连续性管理、监测和控制、审计和检查有关的风险，包括确认向 MAS 提供的访问权，保留对该机构的有效监督，以及遵守当地监管标准。客户在选择服务提供商之前，应对其进行尽职调查。客户审查服务提供商的业务连续性机制是否满足业务要求。客户与服务提供商洽谈，最终与供应商就合同内容达成一致。华为云将安排人员积极

34、配合客户的检查和尽职调查。华为云每年都会聘请专业的外部资源进行 SOC2 认证。如果客户对用户协议提出更多要求，华为云将尝试与其达成协议。华为云将积极配合 MAS 和金融机构对华为云及其供应商的审计。5.3 云计算 外包指南第六章提出了金融机构使用云服务时需要考虑的注意事项及应遵守的相关要求。相关控制要求及华为云的应答如下：华为云新加坡金融行业监管要求遵从性指南 5 华为云如何符合 MAS外包指南的要求 文档版本 3.0(2024-01-26)版权所有 华为云计算技术有限公司 12 编号 控制域 具体控制要求 华为云的应答 6 云计算 金融机构在订购云服务时，机构应执行必要的尽职调查，机构应采

35、取积极措施应对与数据访问、保密性、完整性、主权、可恢复性、合规性和审计相关的风险。机构应确保服务供应商拥有使用强有力的物理或逻辑控制来明确识别和隔离客户数据的能力。服务供应商应建立可靠的访问控制来保护客户信息，此类访问控制应在云服务合同有效期内存续。客户在订购云服务前，应对云服务供应商进行尽职调查，特别是了解云服务在实现数据访问、保密性、主权、可恢复性、合规性方面的控制措施，以及多租户场景下如何实现客户数据隔离的解决方案。华为云高度重视用户的数据信息资产，把数据保护作为华为云安全策略的核心。华为云将继续遵循数据安全生命周期管理的业界先进标准，在身份认证与访问控制、权限管理、数据隔离、传输安全、

36、存储安全、数据删除、物理销毁、数据备份恢复等方面，采用优秀技术、实践和流程，保证用户对其数据的隐私权、所有权和控制权不受侵犯，为用户提供最切实有效的数据保护。更多详细信息请参见华为云数据安全白皮书第 4 部分。华为云新加坡金融行业监管要求遵从性指南 6 华为云如何符合 MAS科技风险管理指南的要求 文档版本 3.0(2024-01-26)版权所有 华为云计算技术有限公司 13 6 华为云如何符合华为云如何符合 MAS科技风险管理指科技风险管理指南的要求南的要求 新加坡金融管理局（MAS）发布的2021 科技风险管理指南规定了金融机构关于科技风险的管理原则和最佳实践标准，以指导新加坡金融机构建立

37、一个健全的、可靠的科技风险管理框架，加强系统的安全性、可靠性、弹性和可恢复性，保护客户数据、交易及信息系统。2021 科技风险管理指南的要求覆盖了科技风险治理和监督、科技风险管理框架、IT 项目管理和设计安全、软件应用程序开发和管理、IT 服务管理、IT弹性、访问控制、密码学、数据和基础设施安全、网络安全运营、网络安全评估、在线金融服务和 IT 审计等领域。以下内容总结了2021 科技风险管理指南中与云服务供应商相关的合规要求条款，并阐述华为云是如何帮助金融机构满足其要求。6.1 科技风险治理和监督 鉴于 IT 职能在支持金融机构业务方面的重要性，2021 科技风险管理指南第三章要求金融机构的

38、董事会和高级管理层监督其科技风险，并确保组织的 IT 职能能够支持其业务战略和目标。相关要求覆盖董事会和高级管理层的作用、政策、标准和程序、信息资产管理、第三方服务管理、能力和背景审查以及安全意识和培训。相关控制要求及华为云的应答如下：编号 控制域 具体控制要求 华为云的应答 3.2 政策、标准和程序 应基于行业标准和最佳做法，制定政策、标准和程序，并以此来管理科技风险和保护信息资产。应定期审查和更新政策、标准和程序，以确保其仍然与不断变化的科技和网络威胁格局相关。客户应建立并定期审查正式的信息安全政策和流程。根据 ISO 27001 标准，华为云构建了完善的信息安全管理体系，制定了华为云的整

39、体信息安全战略，明确了信息安全管理机构的结构和职责、信息安全系统文件的管理方法、关键方向和目标，包括资产安全、访问控制、密码学、物理安全、运营安全、通信安全、系统开 华为云新加坡金融行业监管要求遵从性指南 6 华为云如何符合 MAS科技风险管理指南的要求 文档版本 3.0(2024-01-26)版权所有 华为云计算技术有限公司 14 发安全、供应商管理、信息安全事件管理和业务连续性。华为云全力保护客户系统和数据的不可侵犯性、完整性和可用性。此外，华为云专注于培养员工和外包人员的安全意识，并制定了适用的安全意识培训计划，定期进行培训。3.3 信息资产管理 为了准确、完整地了解其 IT 运营环境，

40、金融机构应建立信息资产管理实践。应维护、定期审查所有信息资产的清单，并在发生更改时更新清单。客户应对其信息资产进行统一管理，明确相应资产的分类和数据存储的物理位置（国家或地区），并识别相应国家或地区发布的数据保留和信息安全要求。华为云为客户提供统一的管理界面，以供客户查询和管理已购买的华为云资源。客户还可以使用华为云主机安全服务（HSS）的资产管理功能，对其资产进行统一管理。3.4 第三方服务管理 在签订合同协议或伙伴关系之前，金融机构应评估和管理其面临的技术风险，这些风险可能影响第三方IT 系统和数据的机密性、完整性和可用性。客户在选择服务提供商之前应进行尽职调查，特别是在治理、风险和合规管

41、理方面的机制。客户应制定一份信誉良好的服务提供商列表，并能够确定是否有任何可行的替代首选服务提供商。华为云提供在线版本的华为云服务等级协议，明确了提供的服务的内容和级别，以及华为云的职责。华为云会安排专人积极配合金融机构的尽职调查。客户以及其监管机构对华为云的审计和监督权益，会根据实际情况在与客户签订的协议中进行约定。华为云已获得ISO27001、ISO 27017、ISO 27018、SOC、CSA STAR 等国际安全和隐私保护认证，并每年接受第三方审计。3.5 能力与背景审查 由于人们在 IT 环境中管理系统和流程中发挥着重要作用，金融机构应实施全面有效的筛选流程。客户应制定和实施人员筛

42、选策略和程序。华为云在招聘员工前进行了充分的背景调查，包括犯罪记录、财务违规、不诚实记录、政府背景、制裁国家经验、是否制裁国家公民。同时，为了有序管理，降低人员管理风险对业务连续性和安全的潜在影响，华为云针对运维工程师等关键岗位实施了专门的人员管理计划，包括入职安全审查、在职安全培训 华为云新加坡金融行业监管要求遵从性指南 6 华为云如何符合 MAS科技风险管理指南的要求 文档版本 3.0(2024-01-26)版权所有 华为云计算技术有限公司 15 与赋能、入职资格管理、离职安全审查。3.6 安全意识和培训 所有能访问金融机构IT 资源和 IT 系统的承包商和供应商应制定安全意识培训计划并至

43、少每年执行或更新一次。为了提升全员的网络安全意识，规避网络安全违规风险，保证业务的正常运营，华为云从意识教育普及、宣传活动开展、华为员工商业行为准则（BCG）及承诺书签署三个方面开展安全意识教育，并每年至少执行一次针对全员的安全意识培训。6.2 科技风险管理框架 2021 科技风险管理指南第 4 章要求金融机构建立风险管理框架来管理技术风险，覆盖风险管理框架、风险识别、风险评估、风险处理、风险监控、审查和报告。相关控制要求及华为云应答如下：编号 控制域 具体控制要求 华为云的应答 4.1 风险管理框架 金融机构应建立风险管理框架来管理科技风险。金融机构应建立适当的治理结构和流程，明确界定角色、

44、责任和清晰的跨部门的报告关系。客户应建立风险评估框架，定期评估外包安排的风险。华为云可配合并积极响应客户需求。此外，华为云内部也制定了完善的信息安全风险管理机制，定期进行风险评估和合规审查，以实现华为云云环境的安全、稳定运行。华为云遵从华为公司的信息安全风险管理框架，对风险管理范围、风险管理组织以及风险管理过程中的标准进行了严格定义。华为云每年进行一次风险评估，并且在信息系统发生重大变更、公司业务发生重大变化或法律法规、标准发生重大变化时，华为云会增加风险评估的次数。华为云对外包商进行严格的安全管理，定期对供应商进行审计和评估。4.2 风险识别 金融机构应识别其 IT 环境的威胁和漏洞应用程序

45、，包括由第三方服务提供商维护或支持的信息资产。对金融客户应对其外包业务和首选服务提供商进行风险评估，以识别潜在风险。华为云新加坡金融行业监管要求遵从性指南 6 华为云如何符合 MAS科技风险管理指南的要求 文档版本 3.0(2024-01-26)版权所有 华为云计算技术有限公司 16 机构及其利益相关者产生严重影响的安全威胁示例包括内部破坏、恶意软件和数据盗窃。华为云开发并维护内部风险管理框架，识别、分析和管理已识别的风险。华为云至少每年进行一次正式风险评估，并制定了风险计算和分类的流程，以确定已识别风险的可能性和影响。每种风险相关的可能性和影响是独立确定的，应考虑每种风险类别。根据风险标准，

46、将风险降低到可接受的水平包括解决时间，都应该由管理层制定、记录和批准。此外，华为云至少每月组织一次会议，讨论网络安全和隐私保护风险评估。华为云采取并记录相应的后续行动，以确保风险按照华为风险管理要求得到适当管理。4.3 风险评估 金融机构应分析威胁和漏洞对整体业务和运营的潜在影响和后果。金融机构在评估科技风险时，应考虑财务、运营、法律、声誉和监管因素。4.4 风险处置 金融机构应制定和实施与信息资产的重要性和风险承受能力水平一致的风险缓解和控制措施。应定期审查和更新 IT 控制和风险缓解方法，同时考虑不断变化的威胁形势和金融机构风险状况的变化。4.5 风险监控、审查和报告 金融机构应建立一个评

47、估和监控 IT 控制的设计和运营有效性的流程，以应对已确定的风险。6.3 IT 项目管理和设计安全 2021 科技风险管理指南第 5 章要求金融机构建立项目管理框架，以确保项目管理实践的一致性。相关要求覆盖项目管理框架、项目指导委员会、系统获取、系统开发生命周期和设计安全、系统需求分析、系统设计和实施、系统测试和验收以及质量管理。相关控制要求及华为云应答如下：编号 控制域 具体控制要求 华为云的应答 5.1 项目管理框架 应建立项目管理框架，以确保项目管理做法的一致性，并提供符合项目目标和要求的成果。应为所有IT 项目制定详细的 IT 项目计划，其中包括项目范围、活动、里程碑和项目每个阶段要实

48、现的可交付成果。客户应建立项目管理框架，确保外包项目的交付和实践流程满足其项目目标和要求。对于每个 IT 项目计划，客户应考虑项目范围、活动、里程碑以及每个阶段应交付的内容。华为云制定了完整的项目管理方法，实施基于CCM5/CMMI、ISO 9001:2000和 PMI 框架的实践，使合格的项目管理专业人员在全球成 华为云新加坡金融行业监管要求遵从性指南 6 华为云如何符合 MAS科技风险管理指南的要求 文档版本 3.0(2024-01-26)版权所有 华为云计算技术有限公司 17 功实施项目。5.3 系统获取 金融机构应制定供应商评估和选择的标准和程序，以确保选定的供应商是合格的，并能够满足

49、其项目要求和交付成果。所执行的评估和尽职调查水平应与项目交付成果对 FI 的重要性相称。客户在选择服务提供商之前应进行尽职调查，特别是在治理、风险和合规管理机制方面。客户应制定一份信誉良好的服务提供商列表，并能够确定是否有任何可行的替代首选服务提供商。华为云提供在线版本的华为云服务等级协议，明确了提供的服务的内容和级别，以及华为云的职责。华为云将派专人积极配合 FI 的尽职调查。客户在华为云的审计和监督权将根据情况在与客户签署的协议中承诺。华为云已获得 ISO27001、ISO 27017、ISO 27018、SOC、CSA STAR 等国际安全和隐私保护认证，并每年接受第三方审计。技术能力：

50、华为云用在线提供云服务的方式，将华为 30 多年在 ICT 基础设施领域的技术积累和产品解决方案开放给客户。华为云具备全栈全场景AI、多元架构、极致性能、安全可靠、开放创新五大核心技术优势。比如，在 AI 领域，华为云 AI 已在城市、制造、物流、互联网、医疗、园区等10 大行业的 300+个项目进行落地。在多元架构方面，华为云打造了基于 X86+鲲鹏+昇腾的多元算力云服务新架构，让各种应用跑在最合适的算力之上，实现客户价值最大化。财务状况：华为云是华为的云服务品牌，自 2017 年正式上线以来,华为云一直处于快速发展中，收入保持强劲增长态势。商业声誉：华为云一如既往坚持“以客户为中心”，让越