华为云中华人民共和国香港特别行政区金融行业监管要求遵从性指南

文档版本1.3发布日期2023-12-20 版权所有©华为云计算技术有限公司2023。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/ 目录 4华为云全球基础设施.....................................................................................................................6 5.1安全管理.....................................................................................................................................................................75.2系统开发及变更管理...............................................................................................................................................125.3信息处理...................................................................................................................................................................135.4通信网络...................................................................................................................................................................155.5技术服务供应商管理...............................................................................................................................................16 6华为云如何遵从及协助客户满足《SA-2外包监管政策手册》的要求.................................18 6.1服务供应商的能力...................................................................................................................................................186.2外包协议...................................................................................................................................................................196.3客户数据机密性.......................................................................................................................................................206.4外包活动的管控.......................................................................................................................................................216.5应急计划...................................................................................................................................................................216.6外包数据访问...........................................................................................................................................................21 7华为云如何遵从及协助客户满足《TM-G-2持续业务运作规划监管政策手册》的要求...23 7.1业务影响分析和恢复策略.......................................................................................................................................237.2业务连续性计划的开发...........................................................................................................................................247.3业务和技术恢复的备用场地...................................................................................................................................267.4业务连续性计划的实施...........................................................................................................................................27 12华为云如何遵从及协助客户满足《TM-E-1电子银行风险管理》的要求.........................42 12.1电子银行风险治理.................................................................................................................................................4212.2互联网银行的系统及网络安全..............................................................................................................................4312.3欺诈和事件管理.....................................................................................................................................................4612.4系统可用性和业务连续性管理..............................................................................................................................47 14版本历史......................................................................................................................................52 香港金融管理局（金管局）发布了一系列指引及通告，为香港金融机构进行信息科技风险管理提供了实用指南。随着金融机构在业务转型过程中逐渐引入先进技术，如将业务部署在云环境中运行，金管局期望其建立有效的科技风险管理框架，在实现其自身商业目标的同时，也最大限度地降低风险，并满足监管要求。 华为云持续关注金管局发布的监管指引及通告，并致力于协助金融客户满足这些监管指引及通告的要求。本文将针对金融机构通常需遵循的以下监管指引及通告，详细阐述华为云将如何协助其满足监管要求。 监管指引： ⚫TM-G-1科技风险管理的一般原则监管政策手册：就管理科技有关风险时应考虑的一般原则向认可机构提供建议。⚫SA-2外包监管政策手册：列出金管局对外包活动的监管方式及建议认可机构在外包业务时需处理的主要事项。⚫TM-G-2持续业务运作规划监管政策手册：说明金管局对持续业务运作规划的监管方式，以及金管局期望认可机构在持续业务运作规划时会考虑的稳健做法。⚫虚拟银行的认可指引：列出了金管局在决定是否认可虚拟银行在港开展银行业务时所考虑的原则。⚫云计算指南：说明金管局期望认可机构在采用云计算时需考虑实施的风险管理举措。⚫TM-E-1电子银行风险管理：金管局就认可机构管控与电子银行业务相关的风险提出了指导。注：认可机构：金管局负责监管并认可的香港持牌银行、有限制牌照的银行及接受存款的公司。上述三类机构被统称为认可机构。 监管通告： ⚫客户数据保护通告：提醒认可机构保护客户数据机密性的重要性，以及保护客户数据的一些关键控制措施。⚫事件响应与管理程序通告：提醒认可机构，必须具备有效的事件响应和管理能力及程序以处理重大事件，并列出认可机构就此类事件进行任何公众沟通时应遵循的原则。 2 华为云的认证情况 华为云继承了华为公司完备的管理体系以及IT系统的建设和运营经验，对华为云各项服务的集成、运营及维护进行主动管理，并持续改进。截至目前，华为云已获得众多全球性、区域性和行业特定的安全合规的权威认证，全力保障客户部署业务的安全。 关于更多华为云的安全合规信息以及获取相关合规证书，可参见华为云官网“信任中心-合规中心” 华为云部分标准类认证/鉴证示例： 3 华为云安全责任共担模型 华为云的主要责任是研发并运维运营华为云数据中心的物理基础设施，华为云提供的各项基础服务、平台服务和应用服务，也包括各项服务内置的安全功能。同时，华为云还负责构建物理层、基础设施层、平台层、应用层、数据层和用户身份管理（