华为云新加坡金融行业监管要求遵从性指南.docx

目 录

简介 1

华为云安全与隐私合规 2

华为云安全责任共担模型 5

华为云全球基础设施 6

华为云如何符合MAS《外包指南》的要求 7

与MAS在外包的合作 7

风险管理实践 7

云计算 11

华为云如何符合MAS《科技风险管理指南》的要求 13

科技风险治理和监督 13

科技风险管理框架 15

IT项目管理和设计安全 16

软件应用程序开发与管理 19

IT恢复能力 21

访问控制 24

数据和基础设施安全 25

华为云如何符合MAS《关于网络卫生的通知》的要求 29

华为云如何符合ABS《外包服务商控制目标和流程指南》的要求 33

审计和检查 33

实体级别控制 35

通用IT控制 37

服务控制 42

华为云如何符合ABS《ABS云计算实施指南》的要求 44

尽职调查建议的活动 44

进入云外包安排时建议的控制措施 46

华为云如何符合MAS《业务连续性管理指南》的要求 56

关键业务服务和职能 56

服务恢复时间目标 57

依赖映射关系 58

集中风险 60

持续审视与改进 61

10.6测试 63

10.7审计 65

10.8事件与危机管理 66

华为云如何符合MAS《针对如何应对与采用公有云有关的技术和网络安全风险的咨询意见》的要求 69

共同承担网络安全责任 69

身份访问管理 70

保护公有云中的应用程序 73

数据安全和加密密钥管理 76

不可变工作负载和基础设施即代码 77

网络安全运营 78

云韧性风险管理 79

云服务提供商的外包尽职调查 80

供应商锁定和集中风险管理 81

11.10技能 82

12结语 83

13版本历史 84

1 简介

在科技发展的浪潮中，越来越多的金融机构在逐渐寻求业务转型并希望借助先进的技术以降低成本、提升运营效率、实现业务模式的创新。为了规范金融行业对于信息科技的运用，新加坡金融监管局（MAS）以及新加坡银行协会（ABS）发布了一系列监管要求、指南和通知，针对新加坡金融机构科技风险管理、科技外包管理以及云计算实施等方面提出了相关监管要求。

华为云作为云服务供应商，致力于协助金融客户满足这些监管要求，持续为金融客户提供符合金融行业标准要求的云服务及业务运行环境。为此，华为云目前已建立起一套涵盖业界主流云安全标准以及华为云安全管理要求的方法体系，覆盖了网络安全与隐私保护领域中多个方面的要求，其实施有助于提升华为云自身合规水平，同时能够协助金融客户满足相关监管要求、指南和通知。

本文将针对新加坡金融机构在使用云服务时通常需遵循的以下监管要求和指南，详细阐述华为云将如何协助其满足监管要求：

MAS外包指南：针对已经或计划将业务活动外包给服务供应商的金融机构，提出了希望金融机构能够遵守的外包管理相关要求，为金融机构外包活动的风险管理提供了良好实践指导。

MAS科技风险管理指南：规定了科技风险管理原则和最佳实践标准，指导金融机构建立健全、可靠的科技风险管理框架。

MAS关于网络卫生的通知：为新加坡金融机构提供了关于遵循相关法令的实践指导。

ABS外包服务商控制目标和流程指南：规定了为金融机构提供服务的外包服务供应商应具备的最低/基线控制措施。

ABS云计算实施指南：为金融机构提供了关于使用云服务的最佳实践和注意事项。

MAS业务连续性管理指南：为新加坡金融机构加强业务连续性管理提供指导，旨在帮助金融机构增强抵御服务中断的能力，同时最大限度地减少服务中断所造成的负面影响。

MAS针对如何应对与采用公有云有关的技术和网络安全风险的咨询意见：强调了金融机构在采用公有云服务前应考虑的一些常见的关键风险和控制措施。为金融机构更加安全地使用公有云服务，降低相关风险提供指导。

2华为云安全与隐私合规

华为云继承了华为公司完备的管理体系以及IT系统的建设和运营经验，对华为云各项服务的集成、运营及维护进行主动管理，并持续改进。截至目前，华为云已获得众多全球性、区域性和行业特定的安全合规的权威认证，全力保障客户部署业务的安全。

关于更多华为云的安全合规信息以及获取相关合规证书，可参见华为云官网“信任中心-合规中心”。

华为云部分标准类认证/鉴证示例：

认证

描述

ISO27001:2022

ISO27001是目前国际上被广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心，通过定期评估风险和对应的控制措施来有效保证组织信息安全管理体系的持续运行。

ISO27017:2015

ISO27017是针对云计算信息安全的国际认证。ISO27017的通过，表明华为云在信息安全管理能力达到了国际公认的最佳实践。

ISO27018:2019

ISO