- 最新动态
- 产品介绍
- 快速入门
-
用户指南
- 资源清单
- 资源记录器
-
资源合规
- 资源合规概述
- 资源合规规则
- 组织合规规则
- 查看不合规资源
- 合规规则概念详解
-
系统内置预设策略
- 预设策略列表
- 公共可用预设策略
- API网关 APIG
- 部署 CodeArts Deploy
- MapReduce服务 MRS
- NAT网关 NAT
- VPC终端节点 VPCEP
- Web应用防火墙 WAF
- 弹性负载均衡 ELB
- 弹性公网IP EIP
- 弹性伸缩 AS
- 高性能弹性文件服务 SFS Turbo
- 弹性云服务器 ECS
- 分布式缓存服务 DCS
- 函数工作流 FunctionGraph
- 内容分发网络 CDN
- 配置审计 Config
- 数据仓库服务 DWS
- 数据复制服务 DRS
- 数据加密服务 DEW
-
统一身份认证服务 IAM
- IAM用户的AccessKey在指定时间内轮换
- IAM策略中不授权KMS的禁止的action
- IAM用户组添加了IAM用户
- IAM用户密码策略符合要求
- IAM策略黑名单检查
- IAM策略不具备Admin权限
- IAM自定义策略具备所有权限
- 根用户存在可使用的访问密钥
- IAM用户访问模式
- IAM用户创建时设置AccessKey
- IAM用户归属指定用户组
- IAM用户在指定时间内有登录行为
- IAM用户开启MFA
- IAM用户单访问密钥
- Console侧密码登录的IAM用户开启MFA认证
- 根用户开启MFA认证
- IAM策略使用中
- IAM权限使用中
- IAM用户开启登录保护
- IAM委托绑定策略检查
- IAM用户admin权限检查
- IAM用户不直接附加策略或权限
- 文档数据库服务 DDS
- 消息通知服务 SMN
- 虚拟私有云 VPC
- 虚拟专用网络 VPN
- 云监控服务 CES
- 云容器引擎 CCE
- 云审计服务 CTS
- 云数据库 RDS
- 云数据库 GaussDB
- 云数据库 TaurusDB
- 云数据库 GeminiDB
- 云搜索服务 CSS
- 云硬盘 EVS
- 云证书管理服务 CCM
- 分布式消息服务Kafka版
- 分布式消息服务RabbitMQ版
- 分布式消息服务RocketMQ版
- 组织 Organizations
- 云防火墙 CFW
- 云备份 CBR
- 对象存储服务 OBS
- 镜像服务 IMS
- 裸金属服务器 BMS
- 图引擎服务 GES
- 资源合规事件监控
-
合规规则包
- 合规规则包概述
- 合规规则包
- 组织合规规则包
- 自定义合规规则包
-
合规规则包示例模板
- 示例模板概述
- 等保三级2.0规范检查的标准合规包
- 适用于金融行业的合规实践
- 华为云网络安全合规实践
- 适用于统一身份认证服务(IAM)的最佳实践
- 适用于云监控服务(CES)的最佳实践
- 适用于计算服务的最佳实践
- 适用于弹性云服务器(ECS)的最佳实践
- 适用于弹性负载均衡(ELB)的最佳实践
- 适用于管理与监管服务的最佳实践
- 适用于云数据库(RDS)的最佳实践
- 适用于弹性伸缩(AS)的最佳实践
- 适用于云审计服务(CTS)的最佳实践
- 适用于人工智能与机器学习场景的合规实践
- 适用于自动驾驶场景的合规实践
- 资源开启公网访问最佳实践
- 适用于日志和监控的最佳实践
- 华为云架构可靠性最佳实践
- 适用于中国香港金融管理局的标准合规包
- 适用于中小企业的ENISA的标准合规包
- 适用于SWIFT CSP的标准合规包
- 适用于德国云计算合规标准目录的标准合规包
- 适用于PCI-DSS的标准合规包
- 适用于医疗行业的合规实践
- 网络及数据安全最佳实践
- 适用于Landing Zone基础场景的最佳实践
- 架构安全支柱运营最佳实践
- 网络和内容交付服务运营最佳实践
- 适用于空闲资产管理的最佳实践
- 多可用区架构最佳实践
- 资源稳定性最佳实践
- 适用于API网关(APIG)的最佳实践
- 适用于云容器引擎(CCE)的最佳实践
- 适用于内容分发网络(CDN)的最佳实践
- 适用于函数工作流(FunctionGraph)的最佳实践
- 适用于云数据库(GaussDB)的最佳实践
- 适用于云数据库(GeminiDB)的最佳实践
- 适用于MapReduce服务(MRS)的最佳实践
- NIST审计标准最佳实践
- 新加坡金融行业的最佳实践
- 安全身份和合规性运营最佳实践
- 华为云安全配置基线指南的标准合规包(level 1)
- 华为云安全配置基线指南的标准合规包(level 2)
- 静态数据加密最佳实践
- 数据传输加密最佳实践
- 适用于云备份(CBR)的最佳实践
- 适用于云搜索服务(CSS)的最佳实践
- 适用于分布式缓存服务(DCS)的最佳实践
- 适用于分布式消息服务(DMS)的最佳实践
- 适用于数据仓库服务(DWS)的最佳实践
- 适用于云数据库(TaurusDB)的最佳实践
- 适用于对象存储服务(OBS)的最佳实践
- 适用于VPC安全组的最佳实践
- 适用于Web应用防火墙(WAF)的最佳实践
- 高级查询
- 资源聚合器
- 云审计-记录配置审计
- 附录
- API参考
- SDK参考
- 最佳实践
- 常见问题
- 通用参考
链接复制成功!
适用于中国香港金融管理局的标准合规包
本文为您介绍适用于中国香港金融管理局的标准合规包的业务背景、应用场景,以及合规包中的默认规则。
业务背景
中国香港金融管理局对云计算的监管预期,是参考2021年至2022年期间进行的一轮专题审查的结果而制定的。认证机构在采用云计算之前需注意的关键原则应包括中国香港金融管理局制定的云计算指南、SA-2(外包)、OR-2(运营恢复能力)和TM- G-1(技术风险管理总体原则)。
关于中国香港金融管理局合规标准的更多信息,请参见HKMA.2022.08.31、SA-2、OR-2、TM-G-1。
应用场景
适用于中国香港金融管理局的标准合规包应用于中国香港金融企业上云需要满足的要求。
免责条款
本合规规则包模板为您提供通用的操作指引,帮助您快速创建符合目标场景的合规规则包。为避免疑义,本“合规”仅指资源符合规则定义本身的合规性描述,不构成任何法律意见。本合规规则包模板不确保符合特定法律法规或行业标准的要求,您需自行对您的业务、技术操作的合规性和合法性负责并承担与此相关的所有责任。
默认规则
此表中的建议项编号对应HKMA.2022.08.31中参考文档的章节编号,供您查阅参考。
|
建议项编号 |
建议项说明 |
合规规则 |
指导 |
|---|---|---|---|
|
I-2 |
根据采用的云部署模型,包括多租户风险,以及集中风险。 |
iam-group-has-users-check |
确保IAM群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。 |
|
I-2 |
根据采用的云部署模型,包括多租户风险,以及集中风险。 |
iam-user-group-membership-check |
确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。 |
|
I-2 |
根据采用的云部署模型,包括多租户风险,以及集中风险。 |
iam-root-access-key-check |
确保删除根访问密钥,从而帮助您限制访问权限和授权。 |
|
II-5 |
应实施安全控制措施,保护存储在云端的客户信息的完整性和机密性。 |
kms-rotation-enabled |
启用密钥轮换,确保密钥在加密周期结束后轮换。 |
|
II-5 |
应实施安全控制措施,保护存储在云端的客户信息的完整性和机密性。 |
iam-password-policy |
识别登录用户的密码强度符合要求。 |
|
II-5 |
应实施安全控制措施,保护存储在云端的客户信息的完整性和机密性。 |
cts-support-validate-check |
启用云审计服务追踪器的日志文件校验,验证日志文件转储后是否被修改、删除或未更改。 |
|
II-5 |
应实施安全控制措施,保护存储在云端的客户信息的完整性和机密性。 |
rds-instances-enable-kms |
确保云数据库(RDS)实例启用了加密。 |
|
II-5 |
应实施安全控制措施,保护存储在云端的客户信息的完整性和机密性。 |
dcs-redis-enable-ssl |
为了帮助保护传输中的敏感数据,确保为Redis启用SSL协议。 |
此表中的建议项编号对应SA-2中参考文档的章节编号,供您查阅参考。
|
建议项编号 |
建议项说明 |
合规规则 |
指导 |
|---|---|---|---|
|
2.5.1 |
根据采用的云部署模型,包括应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。 |
cts-kms-encrypted-check |
由于日志可能存在敏感数据,请确保云审计服务的追踪器已启用加密事件文件。 |
|
2.5.1 |
应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。 |
rds-instances-enable-kms |
确保云数据库实例已启用加密。 |
|
2.5.1 |
应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。 |
css-cluster-disk-encryption-check |
确保云搜索服务集群开启磁盘加密。 |
|
2.8.1 |
应保存适当和最新的资料记录,可供金管局检查。 |
vpc-flow-logs-enabled |
VPC流日志提供了虚拟私有云的流量信息的详细记录。 |
|
2.8.1 |
应保存适当和最新的资料记录,可供金管局检查。 |
apig-instances-execution-logging-enabled |
API网关日志记录访问API的用户的详细视图以及访问API的方式,实现用户活动的可见性。 |
|
2.8.1 |
应保存适当和最新的资料记录,可供金管局检查。 |
cts-lts-enable |
使用云审计服务集中收集和管理日志事件活动。 |
|
2.8.1 |
应保存适当和最新的资料记录,可供金管局检查。 |
cts-support-validate-check |
启用云审计服务追踪器的日志文件校验,验证日志文件转储后是否被修改、删除或未更改。 |
此表中的建议项编号对应OR-2中参考文档的章节编号,供您查阅参考。
|
建议项编号 |
建议项说明 |
合规规则 |
指导 |
|---|---|---|---|
|
4.2.2 |
应注意在不同的业务周期或受季节因素影响时,其运作能力有所不同。例如,较多首次公开发行股票时,交易系统会有较大压力。 |
as-group-elb-healthcheck-required |
弹性负载均衡定期发送网络请求,以测试弹性伸缩组中的云服务器的运行状况。 |
|
6.1 |
应为管理所有可能影响维持关键运作的风险做好准备。 |
as-multiple-az |
弹性伸缩在多可用区中部署,以帮助保持足够的容量和可用性。 |
|
6.1 |
应为管理所有可能影响维持关键运作的风险做好准备。 |
css-cluster-multiple-az-check |
云搜索服务在多可用区中部署,以帮助保持足够的容量和可用性。 |
|
6.1 |
应为管理所有可能影响维持关键运作的风险做好准备。 |
elb-multiple-az-check |
弹性负载均衡在多可用区中部署,以帮助保持足够的容量和可用性。 |
|
6.1 |
应为管理所有可能影响维持关键运作的风险做好准备。 |
rds-instance-multi-az-support |
云数据库在多可用区中部署,以帮助保持足够的容量和可用性。 |
|
6.2 |
业务操作风险管理的重点是防范及减少运作损失,有助认可机构维持运作稳健性。 |
kms-not-scheduled-for-deletion |
确保KMS密钥未处于“计划删除”状态,防止被意外或恶意删除。 |
此表中的建议项编号对应TM-G-1中参考文档的章节编号,供您查阅参考。
|
建议项编号 |
建议项说明 |
华为云合规规则 |
指导 |
|---|---|---|---|
|
3.1.4 |
应采用业内认可的加密解决方案及稳健的密钥管理手法,以保护有关的加密密钥。 |
kms-not-scheduled-for-deletion |
帮助检查所有计划删除的密钥,以防计划删除是无意的。 |
|
3.1.4 |
应采用业内认可的加密解决方案及稳健的密钥管理手法,以保护有关的加密密钥。 |
kms-rotation-enabled |
启用密钥轮换,确保密钥在加密周期结束后轮换。 |
|
3.2.2 |
较高风险的交易或活动应采用更严格的认证方法,通常应采取多因素认证机制对用户进行身份认证。 |
iam-password-policy |
识别登录用户的密码强度符合要求。 |
|
3.2.2 |
较高风险的交易或活动应采用更严格的认证方法,通常应采取多因素认证机制对用户进行身份认证。 |
access-keys-rotated |
定期更改访问密钥是安全最佳实践,它缩短了访问密钥的活动时间。 |
|
3.2.2 |
较高风险的交易或活动应采用更严格的认证方法,通常应采取多因素认证机制对用户进行身份认证。 |
iam-user-mfa-enabled |
确保为所有用户启用多因素身份验证(MFA)。 |
|
3.2.2 |
较高风险的交易或活动应采用更严格的认证方法,通常应采取多因素认证机制对用户进行身份认证。 |
root-account-mfa-enabled |
确保为root用户启用多因素身份验证(MFA)。 |
|
3.3.1 |
监控系统资源的使用,以侦测是否有异常或未经授权进行的活动。 |
cts-tracker-exists |
启用云审计服务,可以记录华为云管理控制台操作和API调用。 |
|
3.3.1 |
监控系统资源的使用,以侦测是否有异常或未经授权进行的活动。 |
cts-lts-enable |
使用云审计服务集中收集和管理日志事件活动。 |
|
3.3.2 |
应在安全管理职能上进行职责分离,或采取其他补偿措施,以减少未授权行为。 |
iam-role-has-all-permissions |
确保IAM用户权限仅限于所需的操作,避免用户的权限违反最小权限和职责分离原则。 |
|
5.2.1 |
应制定适当的程序,以确保持续监控应用系统的性能,并及时地、全面地汇报异常情况。 |
alarm-action-enabled-check |
确保云监控服务创建的告警规则未停用。 |
|
6.2.1 |
为防止不安全的网络连接,应制定及执行有关使用网络及网络服务的程序。 |
ecs-instance-no-public-ip |
弹性云服务器可能包含敏感信息,需要限制其从公网访问。 |
|
6.2.1 |
为防止不安全的网络连接,应制定及执行有关使用网络及网络服务的程序。 |
function-graph-public-access-prohibited |
函数工作流的函数不能公网访问,公网访问可能导致数据泄漏或资源可用性下降。 |
