中国香港

《个人资料（私隐）条例》（PDPO） 在中国香港特别行政区于1995年通过，并于1996年12月正式生效（个别条文除外），适用于在中国香港或来自于中国香港控制的个人数据处理行为。PDPO在2012年进行了重大的修订，包括针对使用个人数据作直接促销的新规定，并为应对隐私保障工作的新挑战和公众关注而加入更多保障。

华为云白皮书《中国香港PDPO遵从性指南》基于中国香港特别行政区PDPO合规要求，分享华为云隐私保护的经验和实践，以及如何助力您满足中国香港特别行政区PDPO合规要求。

中国香港金融管理局是香港政府架构中负责维持货币及银行体系稳定的机构，主要负责对香港的金融政策及银行、货币的管理。

金管局发布了一系列指引及通告，为香港金融机构进行信息科技风险管理提供了实用指南。主要的监管指引和监管通告主要有以下：

监管指引：

• TM-G-1 科技风险管理的一般原则监管政策手册：就管理科技有关风险时应考虑的一般原则向认可机构提供建议。

• SA-2 外包监管政策手册：列出金管局对外包活动的监管方式及建议认可机构在外包业务时需处理的主要事项。

• TM-G-2 持续业务运作规划监管政策手册：说明金管局对持续业务运作规划的监管方式，以及金管局期望认可机构在持续业务运作规划时会考虑的稳健做法。

• 虚拟银行的认可指引：列出了金管局在决定是否认可虚拟银行在港开展银行业务时所考虑的原则。

• 云计算指南：说明金管局期望认可机构在采用云计算时需考虑实施的风险管理举措。

• TM-E-1 电子银行风险管理：金管局就认可机构管控与电子银行业务相关的风险提出了指导。

监管通告：

• 客户数据保护通告：提醒认可机构保护客户数据机密性的重要性，以及保护客户数据的一 些关键控制措施。

• 事件响应与管理程序通告：提醒认可机构，必须具备有效的事件响应和管理能力及程序以 处理重大事件，并列出认可机构就此类事件进行任何公众沟通时应遵循的原则。

华为云的白皮书《华为云香港金融行业监管要求遵从性指南》详细阐述了华为云将如何协助您满足中国香港金融行业的相关监管要求。

此外，为进一步加强中国香港金融机构的网络安全能力，HKMA于2016年5月推出网络防卫计划（CFI），并在2020年11月更新发布了CFI 2.0。CFI2.0要求香港金融机构利用网络防卫评估框架2.0（C-RAF 2.0） 开展风险评估。

C-RAF 2.0是⼀个结构化的评估框架，通过该框架，AI可以根据⼀组“控制原则”评估其固有风险和网络安全措施的成熟度。通过这个过程，AI应该能够更好地理解、评估、加强并不断提高他们的网络弹性。

华为云的白皮书《华为云中华人民共和国香港特别行政区C-RAF 2.0遵从性指南》对C-RAF 2.0进行概述，并介绍华为云将如何帮助您满足C-RAF2.0成熟度评估矩阵中的相关控制原则。

中国香港保险业监管局（The Insurance Authority ，简称IA）是一个独立于政府的保险监管机构，其宗旨是维持保险业的稳定发展，并符合国际保险监管要求。

为了规范保险行业对于信息科技的运用，保监局发布了一系列监管要求和指南，针对获准从事保险业务的机构或组织（获授权保险人，Authorized Insurer，简称AI）在网络安全、信息科技外包、网络保险活动管理等方面提出了相关监管要求。 主要有以下监管要求：

• 网络安全指引（Guideline on Cybersecurity，GL20）：该政策文件旨在订明获授权保险人在网络安全方面应达到的最低标准，以及保监局在评价保险人的网络安全框架的成效时所采用的一般指导原则。

• 外判指引（Guideline on Outsourcing，GL14）：该政策文件列出保监局期望获授权保险人在制订和监察外判安排时应考虑的重要事项，以保障现有和准保单持有人的利益。本指引亦阐述保监局用以监察获授权保险人的外判安排的方式。

• 网上保险活动指引（Guideline on the Use of Internet for Insurance Activities，GL8）：该政策文件概述了获授权保险人在从事基于网络保险活动时需要注意的事项。

华为云的白皮书《中国香港保险行业监管遵从性指南》详细介绍了华为云如何协助您在使用华为云时满足中国香港保险行业监管要求，同时展示华为云自身的合规性。

中国香港证券及期货事务监察委员会（The Securities and Futures Commission ，简称SFC）是一个独立的法定机构，负责监管中国香港的证券和期货市场。

为了规范证券及期货行业对于信息科技的运用，SFC发布了一系列监管要求和指南，针对获准从事证券及期货相关受规管活动的机构或组织（持牌法团， Licensed corporation，简称LC）在科技风险管理及网络安全、外间电子数据储存的使用、互联网交易安全管理等方面提出了相关监管要求。主要有以下监管要求：

• 外间电子数据储存的使用（Use of external electronic data storage）：该政策文件规定了关于持牌法团将其监管纪录存放于电子数据储存供应商（external electronic data storage provider ，简称EDSP）的监管要求，阐释了有关纪录备 存的批准规定，以及持牌法团在使用电子数据储存供应商以电子方式存放或处理 数据时须遵循的监管标准。

• 降低及纾减与互联网交易相关的黑客入侵风险指引（Guidelines for Reducing and Mitigating Hacking Risks Associated with Internet Trading）：该政策 文件规定了有关降低或纾减与互联网交易相关的黑客入侵风险的基本要求。本政 策文件订明的监控措施仅可降低或纾减与互联网交易相关的黑客入侵风险，无法 完全消除有关风险。必须强调的是，该等监控措施只是持牌法团应达致的最低标 准，并非详尽无遗。

• 有关资讯科技风险管理及网络保安的良好业界作业方式（Good industry practices for IT risk management and cybersecurity）：该政策文件规定了一 份关于科技风险管理和网络保安的的行业实践清单，从事互联网交易的持牌法团 可考虑将当中所列的良好作业方式纳入其信息科技及网络保安风险管理框架内。该份清单是根据过往发出的通函所提议的监控措施，并辅以外部网络保安专家参 照最新的科技发展所提供的建议所编制。

华为云的白皮书《中国香港证券及期货行业监管遵从性指南》指导详细介绍了华为云如何协助您在使用华为云时满足中国香港证券及期货行业监管要求，同时展示华为云自身的合规性。

华为云致力于为您提供安全合规的基础设施和服务，各项服务内置了安全功能，并通过持续的运维运营保障云服务的安全运行。华为云确保提供的基础设施和服务已通过独立第三方安全权威组织的测评以及安全认证机构的审核。

使用华为云服务的过程中，您需针对云上业务的特性考虑内部应用及定制配置的安全性与合规性。您是您数据的所有者和控制者，负责各项具体的数据安全配置，应对其保密性、完整性、可用性及数据访问的身份验证和鉴权进行有效保障。

同时，针对业务特性，您需确保业务满足对应的监管要求。如在云上构建证券相关活动业务，需遵从SFC发布的外间电子数据储存的使用相关要求。

您可以下载《华为云安全白皮书》查看华为云与您的安全责任详情。

更多的安全性与合规性问题，您可以咨询您的客户经理或者联系华为云。

华为云致力于构建安全可信的云服务，并确保提供的基础设施和服务已通过独立第三方安全权威组织的测评以及安全认证机构的审核。

目前，华为云已通过了各种国际权威的认证和实践标准。以下列举部分：

• 安全相关：ISO 27001、ISO 27017、CSA STAR、PCI 3DS、PCI DSS 、ISO 27034以及NIST CSF 网络安全框架等；

• 隐私相关：ISO 27018、ISO 27701、BS 10012、ISO 29151、ISO 27799等；

• 除了以上认证，华为云还通过了国际公认的业务连续性管理体系标准ISO 22301、信息技术服务管理标准ISO/IEC 20000、全球通用的质量管理体系要求TL 9000 & ISO 9001、SOC 1/2/3等认证。

您可以在合规中心的【合规认证全景图】查看华为云获取的更多认证（审计）。