适用于中国香港金融管理局的标准合规包

本文为您介绍适用于中国香港金融管理局的标准合规包的业务背景、应用场景，以及合规包中的默认规则。

业务背景

中国香港金融管理局对云计算的监管预期，是参考2021年至2022年期间进行的一轮专题审查的结果而制定的。认证机构在采用云计算之前需注意的关键原则应包括中国香港金融管理局制定的云计算指南、SA-2（外包）、OR-2（运营恢复能力）和TM- G-1（技术风险管理总体原则）。

关于中国香港金融管理局合规标准的更多信息，请参见HKMA.2022.08.31、SA-2、OR-2、TM-G-1。

应用场景

适用于中国香港金融管理局的标准合规包应用于中国香港金融企业上云需要满足的要求。

免责条款

本合规规则包模板为您提供通用的操作指引，帮助您快速创建符合目标场景的合规规则包。为避免疑义，本“合规”仅指资源符合规则定义本身的合规性描述，不构成任何法律意见。本合规规则包模板不确保符合特定法律法规或行业标准的要求，您需自行对您的业务、技术操作的合规性和合法性负责并承担与此相关的所有责任。

默认规则

此表中的建议项编号对应HKMA.2022.08.31中参考文档的章节编号，供您查阅参考。

表1 HKMA云计算指南
建议项编号	建议项说明	合规规则	指导
I-2	根据采用的云部署模型，包括多租户风险，以及集中风险。	iam-group-has-users-check	确保IAM群组至少有一个用户，从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。
I-2	根据采用的云部署模型，包括多租户风险，以及集中风险。	iam-user-group-membership-check	确保用户是至少一个群组的成员，从而帮助您限制访问权限和授权。
I-2	根据采用的云部署模型，包括多租户风险，以及集中风险。	iam-root-access-key-check	确保删除根访问密钥，从而帮助您限制访问权限和授权。
II-5	应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。	kms-rotation-enabled	启用密钥轮换，确保密钥在加密周期结束后轮换。
II-5	应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。	iam-password-policy	识别登录用户的密码强度符合要求。
II-5	应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。	cts-support-validate-check	启用云审计服务追踪器的日志文件校验，验证日志文件转储后是否被修改、删除或未更改。
II-5	应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。	rds-instances-enable-kms	确保云数据库(RDS)实例启用了加密。
II-5	应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。	dcs-redis-enable-ssl	为了帮助保护传输中的敏感数据，确保为Redis启用SSL协议。

此表中的建议项编号对应SA-2中参考文档的章节编号，供您查阅参考。

表2 SA-2 外包
建议项编号	建议项说明	合规规则	指导
2.5.1	根据采用的云部署模型，包括应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。	cts-kms-encrypted-check	由于日志可能存在敏感数据，请确保云审计服务的追踪器已启用加密事件文件。
2.5.1	应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。	rds-instances-enable-kms	确保云数据库实例已启用加密。
2.5.1	应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。	css-cluster-disk-encryption-check	确保云搜索服务集群开启磁盘加密。
2.8.1	应保存适当和最新的资料记录，可供金管局检查。	vpc-flow-logs-enabled	VPC流日志提供了虚拟私有云的流量信息的详细记录。
2.8.1	应保存适当和最新的资料记录，可供金管局检查。	apig-instances-execution-logging-enabled	API网关日志记录访问API的用户的详细视图以及访问API的方式，实现用户活动的可见性。
2.8.1	应保存适当和最新的资料记录，可供金管局检查。	cts-lts-enable	使用云审计服务集中收集和管理日志事件活动。
2.8.1	应保存适当和最新的资料记录，可供金管局检查。	cts-support-validate-check	启用云审计服务追踪器的日志文件校验，验证日志文件转储后是否被修改、删除或未更改。

此表中的建议项编号对应OR-2中参考文档的章节编号，供您查阅参考。

表3 OR-2 运营恢复能力
建议项编号	建议项说明	合规规则	指导
4.2.2	应注意在不同的业务周期或受季节因素影响时，其运作能力有所不同。例如，较多首次公开发行股票时，交易系统会有较大压力。	as-group-elb-healthcheck-required	弹性负载均衡定期发送网络请求，以测试弹性伸缩组中的云服务器的运行状况。
6.1	应为管理所有可能影响维持关键运作的风险做好准备。	as-multiple-az	弹性伸缩在多可用区中部署，以帮助保持足够的容量和可用性。
6.1	应为管理所有可能影响维持关键运作的风险做好准备。	css-cluster-multiple-az-check	云搜索服务在多可用区中部署，以帮助保持足够的容量和可用性。
6.1	应为管理所有可能影响维持关键运作的风险做好准备。	elb-multiple-az-check	弹性负载均衡在多可用区中部署，以帮助保持足够的容量和可用性。
6.1	应为管理所有可能影响维持关键运作的风险做好准备。	rds-instance-multi-az-support	云数据库在多可用区中部署，以帮助保持足够的容量和可用性。
6.2	业务操作风险管理的重点是防范及减少运作损失，有助认可机构维持运作稳健性。	kms-not-scheduled-for-deletion	确保KMS密钥未处于“计划删除”状态，防止被意外或恶意删除。

此表中的建议项编号对应TM-G-1中参考文档的章节编号，供您查阅参考。

表4 TM-G-1 科技风险管理总体原则
建议项编号	建议项说明	华为云合规规则	指导
3.1.4	应采用业内认可的加密解决方案及稳健的密钥管理手法，以保护有关的加密密钥。	kms-not-scheduled-for-deletion	帮助检查所有计划删除的密钥，以防计划删除是无意的。
3.1.4	应采用业内认可的加密解决方案及稳健的密钥管理手法，以保护有关的加密密钥。	kms-rotation-enabled	启用密钥轮换，确保密钥在加密周期结束后轮换。
3.2.2	较高风险的交易或活动应采用更严格的认证方法，通常应采取多因素认证机制对用户进行身份认证。	iam-password-policy	识别登录用户的密码强度符合要求。
3.2.2	较高风险的交易或活动应采用更严格的认证方法，通常应采取多因素认证机制对用户进行身份认证。	access-keys-rotated	定期更改访问密钥是安全最佳实践，它缩短了访问密钥的活动时间。
3.2.2	较高风险的交易或活动应采用更严格的认证方法，通常应采取多因素认证机制对用户进行身份认证。	iam-user-mfa-enabled	确保为所有用户启用多因素身份验证（MFA）。
3.2.2	较高风险的交易或活动应采用更严格的认证方法，通常应采取多因素认证机制对用户进行身份认证。	root-account-mfa-enabled	确保为root用户启用多因素身份验证（MFA）。
3.3.1	监控系统资源的使用，以侦测是否有异常或未经授权进行的活动。	cts-tracker-exists	启用云审计服务，可以记录华为云管理控制台操作和API调用。
3.3.1	监控系统资源的使用，以侦测是否有异常或未经授权进行的活动。	cts-lts-enable	使用云审计服务集中收集和管理日志事件活动。
3.3.2	应在安全管理职能上进行职责分离，或采取其他补偿措施，以减少未授权行为。	iam-role-has-all-permissions	确保IAM用户权限仅限于所需的操作，避免用户的权限违反最小权限和职责分离原则。
5.2.1	应制定适当的程序，以确保持续监控应用系统的性能，并及时地、全面地汇报异常情况。	alarm-action-enabled-check	确保云监控服务创建的告警规则未停用。
6.2.1	为防止不安全的网络连接，应制定及执行有关使用网络及网络服务的程序。	ecs-instance-no-public-ip	弹性云服务器可能包含敏感信息，需要限制其从公网访问。
6.2.1	为防止不安全的网络连接，应制定及执行有关使用网络及网络服务的程序。	function-graph-public-access-prohibited	函数工作流的函数不能公网访问，公网访问可能导致数据泄漏或资源可用性下降。