什么是安全治理？ 安全治理是 安全云脑 中的一个自动化合规评估和安全治理功能，以华为内部“云服务网络 安全与合规 标准”（Cloud Service Cybersecurity & Compliance Standard，3 CS ）为基座，将华为积累的全球安全合规经验服务化，开放PCI DSS、ISO27701、ISO27001等安全治理模板，将合规语言IT化实现自动化扫描，可视化呈现合规状态，一键生成合规遵从性报告，帮助用户快速实现云上业务的安全遵从，提升租户获得法规及行业标准认证的效率。 使用安全治理功能前，需先提交工单申请开通使用权限。

功能特性 安全治理为您提供安全治理模板与合规策略扫描服务，将安全遵从包内的法规标准条款转化成检查项。 提供安全遵从包 华为开放的安全治理模板，包含法规标准条款原文、扫描策略、自评估检查项以及华为专家的改进建议，覆盖PCI DSS、ISO27701、ISO27001、隐私等法规标准。用户可以订阅、取消订阅安全遵从包，查看合规评估与治理结果。 合规策略扫描 Policy as Code，将安全遵从包内的法规标准条款代码化，周期性、自动化扫描云上资产的合规情况，可视化看板呈现风险，提供华为专家改进建议。 自评估检查项 将安全遵从包内的法规标准条款转化成检查项，租户可根据检查项完成自身业务的合规评估，查看历史评估结果，进行证据上传和下载，根据华为专家改进建议进行治理。 合规结果可视 可视化呈现合规评估结果与安全治理情况，包括租户订阅的法规、标准条款遵从概况，各安全遵从包状态，各策略扫描概况。

功能优势 全球合规治理经验服务化 安全治理以华为内部“云服务网络安全与合规标准”（Cloud Service Cybersecurity & Compliance Standard，3CS）为基座，将华为积累的全球安全合规经验服务化，开放华为 云安全 治理模板，将法规条款、标准要求转化为业务语言、IT语言，帮助客户识别自身合规状态。 提升获得法规及行业标准认证的效率 安全治理开放PCI DSS、ISO27701、ISO27001等安全治理模板，内含合规策略和自评估检查项；合规策略将自动化、持续性扫描租户云上资产的合规状态，自评估检查项将帮助租户快速梳理业务情况；并且安全治理提供证据链管理功能，支持一键导出报表，可极大提升租户获得法规及行业标准认证的效率。 高效实施安全治理动作 安全治理通过数据看板将所有的合规情况集中展示，向用户显示当前的安全性与合规性状态。租户可以轻松发现识别潜在问题，并根据华为专家建议采取必要的安全治理动作。

SEC01-05 实施威胁建模分析 威胁建模是一种系统性的方法，用于识别和评估可能对系统或组织造成威胁的潜在威胁源、攻击路径和攻击手段。通过识别威胁理解系统的安全风险，发现系统设计中的安全问题，制定消减措施，降低系统风险，提升系统安全性和韧性。 风险等级 高 关键策略 以下是系统运行期间的威胁模型： 该模型中涉及的概念如下： 威胁主体：有企图的利用脆弱性的实体称为威胁主体；威胁主体可以是人、程序、硬件或系统。 脆弱性：系统中允许破坏其安全性的缺陷，包括软件、硬件或过程或人为的缺陷。脆弱性的存在，说明了缺少应该使用的安全措施，或安全措施有缺陷。 威胁：利用脆弱性而带来的任何潜在危险。 风险：攻击者利用脆弱性的可能性以及相应的业务影响；风险将脆弱性、威胁和利用可能性与造成的业务影响联系在一起。 资产： 任何对组织有价值的信息或资源，是安全策略保护的对象。 处置措施：包括安全角度的消减措施和韧性角度的增强措施，能够消除脆弱性或者阻止威胁，或者降低风险的影响和保护资产。 实施威胁建模，需要有攻击者思维，像攻击者一样思考，发现潜在的暴露面/攻击目标及可用的攻击方法，从而发现系统中潜在的安全威胁、 建立相应的消减措施。 威胁建模的一般步骤如下： 确定范围：明确要进行威胁建模的云上系统范围，包括云服务、数据存储、网络架构等。 收集信息：收集关于云上系统的信息，包括系统架构图、数据流程、访问控制策略等。 识别资产：确定在云上系统中的关键资产，包括数据、应用程序、虚拟机、存储等。 识别威胁源和攻击路径：确定可能对云上系统构成威胁的威胁源和攻击路径，考虑不同攻击者可能采取的攻击手段。 评估威胁概率和影响：评估每种威胁的概率和可能造成的影响，包括数据泄露、服务中断等。 制定安全对策：根据识别的威胁，制定相应的安全对策和控制措施，包括访问控制、加密、监控等。 持续改进：定期检视和更新威胁模型，以反映新的威胁和安全风险，确保云上系统的安全性得到持续改进。 以下是OWASP总结的Web应用系统TOP10的威胁及处置措施： 相关云服务和工具 解决方案工作台 InnoStageWorkbench：使用解决方案工作台辅助进行云上架构图的可视化设计，基于架构图进行威胁分析。 父主题： SEC01 云安全治理策略

SEC01-04 分隔工作负载 分隔工作负载是一种架构上进行分治的思想，通过将整个系统的工作负载分割成更小的部分，每个部分独立运行和管理，从而提高系统的安全性和可维护性。 风险等级 高 关键策略 一个企业特别是大型企业往往有多个不同类型（如生产环境、开发环境、测试环境）或不同组织单元（OU）下的工作负载，多个组织单元之间或多个工作负载之间要进行隔离。 分隔工作负载在云环境中是非常重要的。从安全治理角度，主要基于以下几个理由： 安全性：分隔工作负载可以降低潜在的安全风险。通过将不同的工作负载隔离在独立的环境中，可以减少一种工作负载受到攻击或故障时对其他工作负载的影响。 合规性：在一些行业和法规中，对数据隔离和访问控制有严格要求。通过分隔工作负载，可以更容易地满足合规性要求，保护敏感数据和确保数据隐私。 管理性：通过分隔工作负载，可以更轻松地管理和维护系统。每个工作负载都有独立的配置和管理需求，分隔可以简化管理流程并降低操作风险。 灵活性：分隔工作负载可以提供更大的灵活性和可扩展性。组织可以根据需要调整和扩展不同工作负载的资源，而不会影响其他部分。 华为云提供了以下几种工作负载的分隔机制： 通过多VPC分隔工作负载：将不同的工作负载部署在不同的VPC中，每个VPC具有独立的网络空间，实现网络隔离。 通过企业项目分隔工作负载：企业项目是云服务资源的逻辑集合，将工作负载部署在不同的企业项目中，实现资源的分组管理和权限控制。 通过多账号分隔工作负载：将不同的工作负载部署在不同的华为云账号中，每个账号具有独立的身份验证、访问控制和资源隔离。这种方法可以实现更严格的隔离和安全性。为每个账号分配最小必要权限，避免权限过度赋予。这有助于减少潜在的安全风险和权限滥用。针对需要跨账号访问的情况，使用适当的身份验证和授权机制，如跨账号委托、资源共享等。 多者结合：同时使用以上的两种或多种方式分隔工作负载。 相关云服务和工具 虚拟私有云 VPC 企业项目 EPS 统一身份认证 服务 IAM 华为云Landing Zone解决方案 组织 Organizations 资源治理中心 RGC 资源访问管理 RAM 父主题： SEC01 云安全治理策略

SEC01 云安全治理策略 企业安全的最终目标不会随着采用云服务而改变，但实现这些目标的方式将会改变。为了安全地操作、管理您的工作负载，您必须对安全性的各个方面进行总体策略上的考虑。企业的管理层和安全团队需要根据企业总体安全战略和业务战略制定云安全战略，并且需要在计划采用云服务时尽早考虑安全性。 云安全治理策略包括安全团队、安全基线、安全资产、安全建模以及核心的安全控制点。企业需尽早规划和思考如何使用云技术和云服务来实现安全治理的现代化，并通过实施合理的云安全策略，实现云上业务系统的安全、合规。 SEC01-01 建立安全管理团队 SEC01-02 建立安全基线 SEC01-03 梳理资产清单 SEC01-04 分隔工作负载 SEC01-05 实施威胁建模分析 SEC01-06 识别并验证安全措施 父主题： 云安全治理策略

示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予安全治理云图服务系统管理员权限“Compass FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，验证权限： 验证方式（参考）：您可以尝试订阅安全合规包，此时如果订阅成功，则表示设置的“Compass FullAccess”安全治理云图服务系统管理员角色已生效。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 权限 授权项 授予Compass服务用户的操作权限 compass:agency:create 查看Compass服务的授权信息 compass:agency:get 获取发布的合规包的列表 compass:releasePackage:list 订阅合规包 compass:releasePackage:subscribe 取消订阅合规包 compass:package:delete 获取订阅合规包的列表 compass:package:list 获取合规包的检测路径 compass:packageDetectionPath:get 获取合规包的详情 compass:packageDetail:get 获取合规包扫描的统计情况 compass:packageStatistics:get 获取订阅合规包的检查项列表 compass:packageCheckitem:list 更新订阅合规包的检查项 compass:packageCheckitem:set 下载合规包检查项的文件 compass:packageCheckitemFile:get 获取合规包标准扫描的统计结果 compass:packageStandardStatistics:get 获取合规包标准的目录树信息 compass:packageStandardCatalog:get 上传合规包的检查项的证据文件 compass:packageCheckitemFile:upload 获取合规包检查项文件列表 compass:packageCheckitemFile:list 删除合规包的检查项的文件 compass:packageCheckitemFile:delete 获取合规包标准控制项的详情 compass:packageStandardItem:get 获取合规包检查项的详情 compass:packageCheckitem:get 获取合规包检查项的策略列表 compass:packageCheckitemPolicy:list 获取合规包检查项的控制项列表 compass:packageCheckitemItem:list 获取安全合规包策略扫描结果的统计信息 compass:packagePolicyStatistics:get 获取合规包服务扫描结果的统计信息 compass:packageServiceStatistics:get 获取合规包策略的扫描结果列表 compass:packagePolicy:list 获取策略扫描的详情 compass:packagePolicy:get 获取合规包的检查项的历史操作列表 compass:packageCheckitemUpdate:list 获取策略下资源的扫描结果列表 compass:packagePolicyResource:list 下载安全合规报表 compass:packageReport:get

Compass自定义策略样例 示例1：授权用户获取发布的合规包列表信息 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "compass:releasePackage:list" ] } ]} 示例2：拒绝用户订阅安全合规包信息 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予“Compass FullAccess”的系统策略，但不希望用户拥有“Compass FullAccess”中定义的订阅安全合规包的权限，您可以创建一条拒绝修改配置信息的自定义策略，然后同时将“Compass FullAccess”和拒绝策略授予用户，根据Deny优先原则，则用户可以对Compass执行除了修改配置信息外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Action": [ "compass:releasePackage:subscribe" ], "Effect": "Deny" } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "compass:releasePackage:list", "compass:releasePackage:subscribe" ] }, { "Effect": "Allow", "Action": [ "hss:accountCracks:unblock", "hss:commonIPs:set" ] } ]}

云审计 服务支持的Compass操作列表 安全治理云图服务Compass通过云审计服务（Cloud Trace Service， CTS ）为用户提供云服务资源的操作记录，记录内容包括用户从管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供用户查询、审计和回溯使用。 云审计服务支持的Compass操作列表如表1所示。 表1 云审计服务支持的安全治理云图服务Compass操作列表 操作名称 资源类型 事件名称 订阅合规包 package subscribePackage 删除合规包 package deletePackage 上传检查项的证据 package uploadCheckitemFile 删除检查项的证据 package deleteCheckitemFile 更新检查项 package updatePackageCheckitem 父主题： 云审计服务支持的关键操作

Compass权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对Compass服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如表1所示，包括了Compass下所有的系统角色。 表1 Compass系统角色 角色名称 描述 类别 依赖关系 Compass FullAccess 安全治理云图服务所有权限。 系统策略 无 Compass ReadOnlyAccess 安全治理云图服务只读权限。 系统策略 无 用户在执行租户授权时必须拥有IAM的管理员权限（“Security Administrator”权限）。

隐私保护遵从包 当前可选择的安全遵从包如表1所示，租户依据判定指引选择并订阅安全遵从包。 表2 遵从包名称 描述 适用区域 分类 领域 判定指引 马来西亚隐私保护遵从包 该遵从包依据《马来西亚个人数据保护法》2010年（Personal Data Protection Act，2010，简称“PDPA”），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并为您的企业处理个人数据的有关活动提供指引。 马来西亚 法律法规 隐私保护 您是否涉及在马来西亚境内设立组织处理或授权处理商业交易有关的任何个人数据？ 您是否涉及使用马来西亚的设备收集处理商业交易有关的任何个人数据？ 您是否期望对您在马来西亚PDPA下的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 印度尼西亚隐私保护遵从包 该遵从包依据2008年第11号《电子信息和交易法》（EIT）、2019年第71号政府条例（GR71/2019）、 2016年第20号关于《电子系统中个人数据保护》的条例（MOCI 20/2016），提供检查项和评测指引供云计算客户（在本遵从包中也称作“企业”）自评遵从情况，并为您的企业处理个人数据的有关活动提供指引。 印度尼西亚 法律法规 隐私保护 您是否涉及在印度尼西亚境内或境外从事与印尼国民个人数据有关的活动？包括使用电子设备或程序收集、处理、分析、储存、显示、发送或分发个人数据。 您是否期望对您在印度尼西亚的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 巴基斯坦隐私保护遵从包 该遵从包依据《巴基斯坦个人数据保护法案》2020年（Personal Data Protection Act, 2020.），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并为您的企业处理个人数据的有关活动提供指引。 巴基斯坦 法律法规 隐私保护 您是否涉及处理、控制或被授权处理个人数据？此类个人数据由在巴基斯坦境内的任何数据主体、数据控制者或处理者（本国或外国）提供。 您是否期望对您在巴基斯坦的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 阿根廷隐私保护遵从包 该遵从包依据《阿根廷第25,326号个人数据保护法》2000年（Argentina Personal Data Protection Act 25,326，2000，简称“PDPL”），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，指导您的企业对收集、存储的客户个人数据进行适当地保护。 阿根廷 法律法规 隐私保护 您是否涉及在阿根廷境内对个人或法律实体（位于阿根廷或在阿根廷设有办事处、分支机构）个人数据的处理行为，包括通过文件、录音录像、数据库或其他数据处理技术手段记录个人数据？ 您是否期望对您在阿根廷PDPL下的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 智利隐私保护遵从包 该遵从包依据《智利个人数据保护法》2020年（Law No.19,628），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并为您的企业处理个人数据的有关活动提供指引。 智利 法律法规 隐私保护 您是否涉及公共机构或私人对登记册或数据库中的个人数据的处理？ 说明： 智利个人数据保护法没有对适用的“地域范围”进行规定。是否适用智利个人数据保护法或者是否受智利法律的管辖，在上述场景涉及的情况，建议考虑以下两点： 数据处理活动是否在智利领土范围有关联，例如在智利境内进行的搜集、储存数据。 数据处理活动是否与智利居民（包括法人、自然人）有关联。 您是否期望对您在智利的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 菲律宾隐私保护遵从包 该遵从包依据《菲律宾数据隐私法案》2012年（Data privacy Act of 2012,简称“DPA”）、《菲律宾数据隐私法案实施细则》（Implementing Rules and Regulations of the Data privacy Act of 2012,简称“DPA实施细则”）、以及《关于个人数据泄露管理的通知》（NPC Circular 16-03-Personal Data Breach Management），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并为您的企业处理个人数据的有关活动提供指引。 菲律宾 法律法规 隐私保护 您是否涉及在菲律宾境内通过办公室、分支机构或代理进行的个人数据处理行为？ 您是否涉及使用位于菲律宾境内的设备进行的个人数据处理行为？ 您是否涉及发生在菲律宾境外但针对菲律宾居民或公民进行的个人数据处理行为？ 您是否期望对您在菲律宾DPA、DPA实施细则下的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 中国-澳门隐私保护遵从包 该遵从包依据《澳门个人资料保护法》2005年（Personal Data Protection Act，2005，简称“PDPA”），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并为您的企业处理个人数据的有关活动提供指引。 中国-澳门 法律法规 隐私保护 您或者您的企业是否涉及如下场景之一： 以全部或部分自动化方式进行个人资料（在本遵从包中也称作“个人数据”）处理活动； 以非自动化方式进行的，构成或拟构成人工存档系统的一部分的个人资料的处理活动； 使用监控录像或其它设备来捕捉、处理和传播可用以识别某一特定个人的声音和图像。 说明： 澳门个人资料保护法没有对适用的“地域范围”进行规定。是否适用澳门PDPA或者是否受澳门法律的管辖，在上述3个场景涉及的情况，建议考虑以下两点： 资料处理活动是否在澳门特区领土范围有关联，例如在澳门特区内进行的个人资料搜集、储存的行为； 资料处理活动是否与澳门居民（包括法人、自然人）有关联。 您是否期望对您在澳门的个人资料处理方面的风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 中国-大陆隐私保护遵从包 该遵从包依据《中国个人信息安全规范》2020年的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，为企业提供开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的安全要求，并给出了隐私保护方面的改进建议，帮助您的企业提升个人信息保护水平。 中国大陆 法律法规 隐私保护 您是否涉及在中国大陆境内进行个人数据的收集、使用或披露等个人信息处理活动？ 您是否期望对您在中国个人信息安全规范下的个人信息安全风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 中国-香港隐私保护遵从包 该遵从包依据《香港个人资料（私隐）条例》1995年（Personal Data （Privacy ）Ordinance，1995，简称PDPO）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，指导您的企业如何收集、存储、传输、处理和使用收集到的个人数据，并给出了隐私保护方面的改进建议，帮助您的企业提升隐私保护及信息安全水平。 中国香港 法律法规 隐私保护 您是否涉及对一名在世人士有关及可确定个人身份的资料，以可供查阅及处理的方式记录下来？ 说明： 香港PDPO没有对适用的“地域范围”进行规定，是否适用中国香港PDPO，建议结合以下条件考虑：您是否涉及作为香港境内的资料使用者（在本遵从包中也称作“数据控制者”）收集、使用、或处理个人资料（在本遵从包中也称作“个人数据”）？ 您是否期望对您在香港PDPO下的个人资料处理相关风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 新加坡隐私保护遵从包 该遵从包依据《新加坡个人数据保护法》2012年（Personal Data Protection Act，2012，简称PDPA）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，帮助您的企业规范个人数据的收集、使用或披露，以及提升个人保护其个人信息数据各项权利的意识。 新加坡 法律法规 隐私保护 您是否涉及在新加坡境内进行个人数据的收集、使用或披露等个人信息处理活动？ 您是否期望对您在新加坡个人数据保护法下的个人数据保护相关风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 泰国隐私保护遵从包 该遵从包依据《泰国个人数据保护法 B.E.2562》 2019年（Personal Data Protection Act B.E.2562 2019, 简称PDPA）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，帮助企业全面管理数据保护以及个人数据的收集、保护、使用、存储、披露、传输。 泰国 法律法规 隐私保护 您是否涉及在泰国境内收集、保护、使用、披露、传输和其他处理个人数据的情形？ 您是否涉及对位于泰国境内的个人数据主体从事以下活动： 您向泰国境内的数据主体提供服务，无论是否由该数据主体支付费用 监控数据主体的行为，且该监控发生在泰国境内 您是否期望对您在泰国个人数据保护法下的个人数据保护风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 南非隐私保护遵从包 该遵从包依据《南非个人信息保护法》2013年（Protection of Personal Information Act，2013，简称POPIA）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，保护企业处理的个人信息。 南非 法律法规 隐私保护 您的企业是否设立在南非境内，并涉及处理个人信息？ 若您的企业不设立在南非境内，是否涉及在南非境内通过自动或非自动手段处理个人信息？ 您是否期望对您在南非个人信息保护法下的个人数据保护相关风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 墨西哥隐私保护遵从包 该遵从包根据《墨西哥保护私人实体持有的个人数据联邦法》2010年（The Federal Law on the Protection of Personal Data held by Private Parties，2010，简称PPDPP）、《墨西哥保护私人实体持有的个人数据联邦法实施细则》2011年（Regulations to the Federal Law on the Protection of Personal Data held by Private Parties，2011）、《墨西哥联邦消费者保护法》2004年（Federal Consumer Protection Law，2004）、《墨西哥保护义务主体持有的个人数据联邦法》2017年（The General Law for the Protection of Personal Data in Possession of Obligated Subjects，2017）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，为您的企业提供了处理个人数据时可参照的安全保护要求。 墨西哥 法律法规 隐私保护 您或者您的企业是否涉及在物理或电子媒体中的个人数据的处理？ 说明： 墨西哥PPDPP没有对适用的“地域范围”进行规定，根据该法的相关条例中对于该条例的处理所发生的“领土范围”的补充，是否适用墨西哥PPDPP，在上述场景涉及的情况下，建议考虑以下几点： 该处理是在您作为数据控制者的位于墨西哥的机构中进行的。 该处理是由您作为数据处理者代表在墨西哥设立的数据控制者进行的，无论其位置。 您的企业未在墨西哥设立机构，但由于提供服务/产品签订了合同或根据国际条约而受墨西哥法律的约束。 您的企业未在墨西哥设立机构，但使用位于墨西哥的媒介，除非这些媒介仅用于不涉及处理的过境目的。 您是否期望对您在墨西哥的个人数据保护相关风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 巴西隐私保护遵从包 该遵从包根据《巴西2020年通用数据保护法》（in Portuguese，LGPD, Lei Geral de Proteção de Dados，2020，简称LGPD）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，帮助您在进行个人数据的收集、使用、处理和存储时提供安全遵从要求。 巴西 法律法规 隐私保护 您是否在巴西境内进行个人信息处理的操作？ 若您的企业不设立在巴西境内，但以提供货物或服务为目的处理位于巴西境内的个人数据？ 若您的企业不设立在巴西境内，但所处理的个人数据在巴西境内收集？ 您是否期望对您在巴西通用数据保护法下的个人数据保护风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 秘鲁隐私保护遵从包 该遵从包根据《秘鲁个人数据保护法》2011年（Personal Data Protection Law，2011，简称PDPL）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，帮助您在进行个人数据的收集、使用、处理和存储时提供安全遵从要求。 秘鲁 法律法规 隐私保护 您是否涉及在秘鲁国家领土内进行的个人数据处理活动？ 若您的企业不设立在秘鲁境内，但是根据合同规定、秘鲁的特定法律或者国际法相关规定，个人数据处理活动仍受秘鲁个人数据保护法的适用？ 若您的企业不设立在秘鲁境内，但是数据处理活动使用的工具或手段位于秘鲁境内，除非使用该工具仅出于传输数据的目的？ 您是否期望对您在秘鲁个人数据保护法下的个人数据保护相关风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。

安全标准遵从包 当前可选择的安全遵从包如表1所示，租户依据判定指引选择并订阅安全遵从包。 表1 安全遵从包一览 遵从包名称 描述 适用区域 分类 领域 判定指引 PCI DSS安全遵从包 该遵从包依据广受国际认可的数据安全标准-支付卡行业数据安全标准 (PCI DSS 3.2.1版，2018 年 5 月)，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评数据安全管理情况，并结合PCI DSS给出了数据安全方面的改进建议，帮助企业提升数据安全水平。 全球 行业标准 数据安全 您是否作为参与支付卡处理的实体，包括商户、处理商、收单机构、发卡机构和服务提供商？ 您是否存储、处理或传输持卡人数据（主账户信息（PAN，一般为银行卡号）、持卡人姓名、银行卡有效期、业务码）或敏感验证数据（全磁道数据、信用卡安全码、PIN）？ 您是否期望对您在数据安全方面的风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 ISO 27001安全遵从包 该遵从包依据国际上公认的ISO 27001信息安全管理体系要求（2013版），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评信息安全管理情况，并给出了信息安全方面的改进建议，帮助企业提升信息安全水平。 全球 国际标准 信息安全 ISO 27001为组织建立、实施、运行、保持和持续改进信息安全管理体系规定了要求，是一项具有普适性的信息安全标准。 如您期望对您在信息安全方面的风险进行识别，并获知如何采取措施降低风险，建议您订阅该遵从包。 ISO 27701安全遵从包 该遵从包依据国际上公认的ISO 27701隐私信息管理要求和指南（2019版），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评隐私信息管理情况，并给出了隐私保护方面的改进建议，帮助企业贯彻隐私保护的责任，提升隐私保护及信息安全水平。 全球 国际标准 隐私保护 您是否涉及处理（包括收集、使用、传输、存储、删除等）个人可识别信息（简称“PII”，如姓名、电话号码、电子邮箱、身份证件信息等，在本遵从包中也称作“个人数据”）？ 您是否作为PII控制者（决定PII处理目的和方法的隐私利益相关方，在本遵从包中也称作“数据控制者”）和/或PII处理者（代表PII控制者，并按照PII控制者的指示对PII进行处理的隐私利益相关方，在本遵从包中也称作“数据处理者”）的角色？ 您是否期望对您在隐私保护方面的风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 等保2.0标准四级安全遵从包 该遵从包依据国家标准GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中四级的安全要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评网络安全管理情况，并给出了网络安全等级保护的改进建议，帮助企业建设网络安全体系，提升网络安全水平。 中国 国家标准 网络安全 您是否涉及网络安全等级保护工作的作用对象，主要包括基础信息网络（为信息流通、信息系统运行等起基础支撑作用的信息网络，包括电信网、广播电视传输网、互联网、业务专网等网络设备设施）、信息系统（例如工业控制系统、 云计算平台 、物联网、使用移动互联技术的信息系统以及其他信息系统）和大数据等？ 您是否期望对网络实施分级保护措施，在网络安全保护方面的风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 等保2.0标准三级安全遵从包 该遵从包依据国家标准GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中三级的安全要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评网络安全管理情况，并给出了网络安全等级保护的改进建议，帮助企业建设网络安全体系，提升网络安全水平。 中国 国家标准 网络安全 您是否涉及网络安全等级保护工作的作用对象，主要包括基础信息网络（为信息流通、信息系统运行等起基础支撑作用的信息网络，包括电信网、广播电视传输网、互联网、业务专网等网络设备设施）、信息系统（例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统以及其他信息系统）和大数据等？ 您是否期望对网络实施分级保护措施，在网络安全保护方面的风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。

什么是安全治理云图？ 安全治理云图（Compliance Compass）是一个自动化合规评估和安全治理的平台，以华为内部“云服务网络安全与合规标准”（Cloud Service Cybersecurity & Compliance Standard，3CS）为基座，将华为积累的全球安全合规经验服务化，开放PCI DSS、ISO27701、ISO27001等安全治理模板，将合规语言IT化实现自动化扫描，可视化呈现合规状态，一键生成合规遵从性报告，帮助租户快速实现云上业务的安全遵从，提升租户获得法规及行业标准认证的效率。

与云审计服务的关系 云审计服务（Cloud Trace Service，CTS）记录Compass服务相关的操作事件，方便用户日后的查询、审计和回溯，具体请参见《云审计服务用户指南》。 表1 云审计服务支持的安全治理云图服务操作列表 操作名称 资源类型 事件名称 订阅安全遵从包 package subscribePackage 删除安全遵从包 package deletePackage 上传检查项的证据 package uploadCheckitemFile 删除检查项的证据 package deleteCheckitemFile 更新检查项 package updatePackageCheckitem