华为云肯尼亚金融行业监管要求遵从性指南

1 概述

1.1 背景与发布目的

随着肯尼亚金融机构对云计算技术的应用，网络安全事件也随之增加。为规范信息科技应用，肯尼亚中央银行（CBK）和保险监管局（IRA）发布了一系列监管规定。华为云作为云服务供应商，致力于协助金融客户满足这些监管要求，提供符合金融行业标准要求的云服务及业务运行环境。

1.2 适用肯尼亚的金融监管要求简介

肯尼亚金融机构需遵循CBK和IRA发布的监管规定，包括：

• 《风险管理指南》：提供风险管理体系和框架的最低要求指导方针，涵盖风险管理框架、战略风险管理、信用风险管理、流动性风险管理、市场风险管理、操作风险管理、信息与通信技术风险、合规风险等。
• 《IRA风险管理和内部控制准则》：要求保险公司具备有效的风险管理和内部控制制度，包括有效的风险管理、合规、和内部审计等。
• 《CBK审慎外包指引》：提供金融机构必须实施的基本标准，包括内部控制和谨慎标准、外包金融服务的风险管理实践、监管和监督要求、金融服务的离岸外包等相关的安全要求。
• 《网络安全指导说明》：明确各机构在制定和实施旨在减轻网络风险的战略、政策、程序和相关活动时应遵循的最低要求，主要覆盖风险管理、外包、信息通信技术、内部控制和公司治理等领域。
• 《支付服务提供商网络安全指南》：设定支付服务提供商（PSP）应采用的最低标准，以制定有效的网络安全治理和风险管理框架。

1.3 名词定义

定义了华为云、客户、云计算、服务提供商、业务连续性、业务连续性管理、服务提供商、风险管理制度、风险缓解和控制等名词。

2 华为云安全合规

华为云已获得众多国际和行业安全合规资质认证，包括：

• 全球性标准类认证：ISO20000-1、ISO27001、ISO27017、ISO22301、SOC、PCI DSS、CSA STAR金牌认证、CCEAL3+CC、ISO27018、ISO29151、ISO27701、BS10012、M&O认证、NIST网络安全框架(CSF)、PCI 3DS认证等。
• 地区性标准类认证：中国网络安全等级保护、新加坡MTCSLevel3认证、中国可信云金牌运维专项评估、中国云服务用户数据保护能力认证、中国工信部云计算服务能力评估、中国可信云评估、中国网信办网络安全审查等。

3 华为云安全责任共担

华为云与客户共同承担安全责任，华为云负责物理基础设施、基础服务、平台服务、应用服务以及各项服务内置的安全功能，并构建多维立体安全防护体系。客户负责定制配置和运维运营其所需的服务，并负责其在虚拟网络层、平台层、应用层、数据层和IAM层的各项安全防护措施。

4 华为云全球基础设施

华为云在全球多个国家或地区开服，采用多个地理区域（Region）和多可用区（AZ）的模式，用户可充分利用这些地理区域和可用区，规划应用系统在云上的部署和运行。

5 华为云如何遵从及协助客户遵从《风险管理指南》

华为云通过以下方式协助客户遵从《风险管理指南》：

• 提供在线版本的《华为云服务等级协议》，明确服务内容和级别。
• 配合客户进行尽职调查。
• 构建完备的安全体系，并获得国内外众多安全认证。
• 制定符合自身业务特色的业务连续性管理体系。
• 持续进行业务连续性的宣传和培训，以及定期做应急演练和测试。

6 华为云如何遵从及协助客户遵从《IRA风险管理和内部控制准则》

华为云通过以下方式协助客户遵从《IRA风险管理和内部控制准则》：

• 提供在线版本的《华为云服务等级协议》，明确服务内容和级别。
• 配合客户进行尽职调查。
• 构建完善的信息安全风险管理机制。
• 定期进行风险评估和合规审查。
• 对外包商进行严格的安全管理。

7 华为云如何遵从及协助客户遵从《CBK审慎外包指引CBK PG 16》

华为云通过以下方式协助客户遵从《CBK审慎外包指引CBK PG 16》：

• 配合客户进行尽职调查。
• 构建完备的安全体系，并获得国内外众多安全认证。
• 高度重视用户的数据信息资产，并遵循数据安全生命周期管理的业界先进标准。
• 制定符合自身业务特色的业务连续性管理体系。
• 持续进行业务连续性的宣传和培训，以及定期做应急演练和测试。

8 华为云如何遵从及协助客户遵从《网络安全指导说明》

华为云通过以下方式协助客户遵从《网络安全指导说明》：

• 线上线下合同模板，与客户共同约定相应要求。
• 设置7*24h的专业安全事件响应团队以及专家资源池，及时披露事件，知会客户，执行应急预案及恢复流程。
• 持续进行信息安全事件管理程序和流程的培训和测试。

9 华为云如何遵从及协助客户遵从《支付服务提供商网络安全指南》

华为云通过以下方式协助客户遵从《支付服务提供商网络安全指南》：

• 配合客户进行尽职调查。
• 构建完备的安全体系，并获得国内外众多安全认证。
• 制定符合自身业务特色的业务连续性管理体系。
• 持续进行业务连续性的宣传和培训，以及定期做应急演练和测试。
• 建立渗透测试与漏洞扫描管理规定，定期进行渗透测试和漏洞扫描。

10 结语

本文描述了华为云如何为客户提供遵从肯尼亚金融行业监管要求的云服务，并表明华为云遵守肯尼亚中央银行发布的重点监管要求，有助于客户详细了解华为云对肯尼亚金融行业监管要求方面的遵从性，让客户安全、放心地通过华为云服务存储、处理客户内容数据。同时，本文也在一定程度上指导客户如何在华为云上设计、构建和部署遵从肯尼亚金融行业监管要求的安全的云环境，帮助客户更好地与华为云共同承担起相应的安全责任。