2024年华为云可信白皮书

文档版本1.1发布日期2024-08-14 版权所有©华为云计算技术有限公司2024。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/intl/zh-cn/ 目录 2.1根植可信的组织与文化.....................................................................................................................................................42.2全面的可信治理.................................................................................................................................................................52.3严格的合规、认证与审计保障........................................................................................................................................62.4合作共赢的可信供应链和生态........................................................................................................................................7 3过程可信—贯穿全生命周期的可信过程管理.........................................................................9 3.1内嵌可信的开发运维流程.................................................................................................................................................93.2安全稳定的可信运营.......................................................................................................................................................103.3高质量的客户服务...........................................................................................................................................................11 4产品可信—可信的云基础设施与服务..................................................................................13 4.1高等级、高可用、全球化的IT基础设施....................................................................................................................134.2全方位的基础服务安全保证...........................................................................................................................................144.3全生命周期的数据安全...................................................................................................................................................15 6结束语...................................................................................................................................20 在云计算发展的初期，云因其快速可伸缩和初期投入成本低的特点，受到小微企业特别是互联网企业的青睐，同时大中型企业也将云作为核心业务系统的补充，此时快速功能实现及弹性伸缩是客户对云服务的第一诉求。随着云计算功能逐渐丰富完善，许多企业逐渐将核心系统置于云上，云对企业数字化转型，商业模式升级甚至推动产业变革均起到了至关重要的作用。如何实现全生命周期的可信，为客户提供值得信赖的产品和服务，已经成为各国政府、企业与公众选择云服务的最基本的条件。 华为公司作为世界领先的ICT服务提供商，30年来一直秉承技术上深耕细作、不断创新，服务上全心全意、持续提升的态度，致力于为行业、企业和个人提供先进、稳定、可靠、安全的产品和服务。华为是一家全球化的公司，目前已经在全球170多个国家和地区开展业务。作为华为公司的战略业务，华为云从成立伊始就继承了华为公司国际化的属性：满足全球各地区、各行业适用的法律法规及客户需求，构建可信的云服务。截至2019年6月底，华为云携手伙伴已在全球总计23个地理区域开放44个可用区。华为云继承了华为以客户为中心、以可信为最高纲领的基因，始终坚持遵从最严格的行业规范，恪守业务边界，携手生态伙伴，打造最优质可信的云服务。 华为创始人及总裁任正非先生在2019年的《致全体员工的一封信--全面提升软件工程能力与实践，打造可信的高质量产品》中指出：“我们要在每一个ICT基础设施产品和解决方案中，都融入信任、构建高质量……我们要把可信作为第一优先级，放在功能、特性和进度之上。” 华为云认为可信是云服务最重要也是最根本的要求，建立并完善信任机制是业务第一优先级。在充分分析业界对可信的解读并广泛听取客户反馈后，华为云认为云服务的可信应该包括安全、隐私、合规、韧性、透明五个基本特征。 华为认为，只有依靠可信的组织实现可信的过程，才有可能打造出真正可信的产品。华为云在组织可信、过程可信、产品可信三个维度上践行可信要求，通过构建自上而下的可信组织，提升所有开发、运维和运营人员的可信意识与能力，将人员、制度和技术应用到内外部过程中，不断推出、更新和完善值得信赖的产品、解决方案和服务。 ⚫组织可信：坚持数据中立的原则，通过管理体系牵引，将可信根植于企业中，从企业战略、组织文化、风险管理到供应链与生态，建立起全面合规、透明稳定的内控机制。⚫过程可信：建立、实施、保持一套从产品研发、运行维护到客户服务的全业务流程管理体系，并持续改进，确保流程严谨完备、过程可追溯。⚫产品可信：提供一整套以可信云基础设施与产品为基石的、满足客户需求并能快速应对内外部环境和业务变化的云服务。 本白皮书分别从组织可信、过程可信和产品可信三个维度阐述华为云如何实现安全、隐私、韧性、合规、透明的五大可信特征，向客户、合作伙伴和其他利益方展示华为 云打造可信的决心和能力，并连接开发者与行业伙伴，为客户赋能，共同构筑可信生态环境。 2组织可信—可信的组织、文化与治理 华为云认为可信不仅仅是产品和系统维度的，更是组织文化与治理的体现，我们将可信深刻融入华为云的组织文化之中，以风险为驱动，通过全面的可信治理，满足全球适用的法律法规、认证与审计要求，并将可信的能力传递到供应链与产业生态，确保能够持续生产出可信的产品并提供可信的服务。 2.1根植可信的组织与文化2.2全面的可信治理2.3严格的合规、认证与审计保障2.4合作共赢的可信供应链和生态 2.1根植可信的组织与文化 把可信根植于企业，从公司层面到华为云，均设置了相应的可信使能中心和管理组织，职能主要包括： 在可信战略和框架指引下，从公司到华为云各级部门都致力于建立可信的文化，牵引全员可信意识的转变，把可信根植于企业的各个方面。建立软件工程可信胜任的管理要求，开展对软件业务主管、Committer、软件架构师、开发工程师、和测试工程师等角色的资质管理及选拔、调整。软件工程师需要学习可信的要求并通过考试，使其具备编写可信的高质量代码的能力，以确保实现产品可信的要求。 2.2全面的可信治理 华为云可信治理遵从公司的风险、治理、控制（RGC）框架，以风险为驱动，通过明确风险责任体系，建立基调和诚信环境，制定落实控制措施，并持续地监督确保风险有效管控。 华为云基于RGC风险管理框架，从数据安全与隐私保护、合规以及运营等层面展开全方位，多维度的风险管理，将华为云服务的风险控制到最小的可接受范围。 ⚫安全与隐私保护风险方面：华为云致力于客户数据的安全和隐私保护，以国际标准为蓝本建立了信息安全管理体系（ISMS）和隐私信息管理体系（PIMS），系统地开展信息安全风险评估和隐私影响评估（PIA），充分识别和分析安全与隐私风险，制定并执行处置措施予以应对。 ⚫合规风险方面：法律遵从与全球合规是华为在全世界生存、服务、贡献的重要基础，华为云长期致力于严格遵守业务所在国的所有适用法律法规，从外规内化和合规红线的制定，对合规风险进行系统性的识别和管理，并建立突发事件应急预案，开展相关培训和演练，提升组织合规意识和应对突发事件的能力。⚫业务连续性风险方面：建立了从供应商到华为云、从华为云到客户的端到端业务持续改进和优化管理，并通过建立政策、组织、制度、流程，基线和IT平台，开展业务影响分析和风险评估，提升组织对公司相关制度和流程要求的遵从，确保对日常业务风险的有效管理，保障华为云组织与云服务的业务连续，有效支撑客户系统的稳定运行及业务运作。 2.3严格的合规、认证与审计保障 合规是安全可信的基础，华为云依靠华为公司全球的产业布局和多年的耕耘，深谙全球各国家和地区的文化和法律，华为云根据所适用的法律法规要求、行业标准、客户需求和业界最佳实践来践行合规工作，确保华为云合规并支撑客户合规。 华为云邀请各领域最权威的认证机构对华为云从人员管理、资源、技术、流程等方面进行独立的评估和审查，认可华为云在安全可信方面符合严苛的标准要求。 华为云积极邀请客户、第三方审计机构参与到华为云的各类安全可信审计过程中，一起见证华为云在安全可信上的卓越成长。同时也主动的加入各类国际标准组织、产业联盟以及开源社区等，将华为云在可信方面积累的能力向第三方组织和机构免费输出，为整个ICT行业的健康发展贡献力量。 2.4合作共赢的可信供应链和生态