关于 IBM Cloud 区域合规计划

跨国组织的领导在将 IT 基础架构迁移至云端时,必须面对不断增加的特定于区域的合规标准。IBM Cloud™ 平台服务可帮助您满足这些区域合规标准。

亚太地区

FISC(日本)

金融行业信息系统中心 (FSC) 由日本财务省创建,目的是就与日本金融信息系统相关的课题进行研究。FISC 制定了促进银行业和金融业内信息系统安全的准则。虽然没有这方面的法律规定,但大多数日本金融机构在设计和维护信息系统时都认可并遵循这些 FISC 准则。

IRAP(澳大利亚)

信息安全注册评估计划 (IRAP) 由澳大利亚国防通讯局创建,目的是向政府提供高质量的信息和通信技术服务,以保护澳大利亚的安全。IRAP 提供框架,支持私营组织和公共机构的个人向澳大利亚政府提供网络安全评估服务。

K-ISMS(韩国)

韩国信息安全管理系统 (K-ISMS) 是韩国政府支持、由韩国互联网和安全局 (KISA) 发起的认证。K-ISMS 是一个认证系统,旨在评估组织的信息安全管理系统是否正确建立、管理和运行。通过此认证意味着,在韩国的 IBM Cloud 基础架构客户可以更轻松地证明自己符合当地有关保护关键数字信息资产的法律要求,以及满足 KISA 合规标准。

查看 IBM Cloud 基础架构服务 K-ISMS 证书的英语版本 (PDF, 317 KB)

查看 IBM Cloud 基础架构服务 K-ISMS 证书的韩语版本 (PDF, 280 KB)

ISMS 徽标

MTCS(新加坡)

多层云安全 (MTCS),又称新加坡标准 SS 584,是面向在新加坡运营业务的云服务提供商的多层安全标准。

要申请 IBM Cloud 基础架构证书: 访问客户门户网站(链接位于 IBM 外部)

我的号码法案(日本)

社会保障和税号制度(我的号码法案)于 2016 年 1 月起在日本生效。根据这项法案,每个日本居民(无论是日本人还是外国人)都会获得一个独特的号码,主要用于税收和社会保障目的。个人信息保护委员会 (PPC) 制定准则,帮助企业正确处理并保护“个人号码”信息。

我的号码法案徽标

欧洲和英国

BaFin(德国)

BaFin 的正式名称为德国联邦金融监管局,负责监管在德国的所有金融服务公司。BaFin 公布了为金融服务公司提供的云计算服务监管框架的规范。

C5(德国)

云计算合规控制目录 (C5) 由德国联邦信息安全办公室 (BSI) 推出,是一项特定于云计算的认证方案。该方案概述了云服务提供商必须满足的要求,以确保其云服务符合最低安全级别要求。C5 通过将现有安全标准(例如 ISO 27001)与旨在提高数据处理透明度的其他要求相结合,提升了对云提供商的要求。

要申请 IBM Cloud 基础架构 C5 认证,请执行下列某项操作:访问客户门户网站(链接位于 IBM 外部)
联系 IBM 代表

欧洲银行管理局 - EBA(欧洲)

作为践行在欧盟范围内建立一致、高效和有效的监督实践并确保统一应用欧盟法律的使命,欧洲银行管理局 (EBA) 在其权限领域发布了监管准则和建议。

了解 IBM Cloud 平台如何支持 EBA 建议 (PDF, 1.5 MB)

ENISA IAF(欧洲)

欧盟网络和信息安全局 (ENISA) 颁布了信息保证框架 (IAF),这套保证标准旨在评估采用云服务的风险,比较不同的云提供商产品,从选定的云提供商获得保证,并减轻他们的保证负担。

ENS(西班牙)

西班牙国家安全框架 (ENS) 是一项法令,制定了有关安全的规定,适用于西班牙的所有公共行政机构。ENS 为 eGovernment 服务建立了安全政策。它建立了所有公共行政机构都必须遵守的基本原则和最低要求,旨在充分保护信息。

查看 IBM Cloud 基础架构 ENS 高级证书 (PDF, 704 KB)

具有 ENS 高级证书的 IBM Cloud 平台服务包括:

IBM Cloud Bare Metal
IBM Cloud Block Storage
IBM Cloud Direct Link
IBM Cloud File Storage
IBM Cloud Hardware Security Module
IBM Cloud Object Storage (IaaS)
IBM Cloud Virtual Servers

ENS 西班牙证书

欧盟示范条款

欧盟示范条款适用于欧盟公民个人可标识信息 (PII) 的控制者和处理者。这些条款规定非欧盟企业必须遵守欧盟数据保护指令要求的全球各地的法律和惯例。这些条款为拥有欧盟 PII 的企业提供强制执行权和保证,欧盟以外的提供商只有在遵循其指令并符合欧盟法律的情况下,才能处理这些数据。2018 年 5 月,《欧盟数据保护指令》被《通用数据保护条例》(GDPR) 取代。

欧盟-美国隐私保护框架

欧盟-美国和瑞士-美国隐私保护框架由美国商务部和欧盟委员会及瑞士政府设计。这些框架旨在为大西洋两岸的公司提供一种机制,以便在出于跨大西洋商业活动的目的将个人数据从欧盟和瑞士传输至美国时遵守数据保护要求。

查看 IBM 策略和通过隐私保护框架认证的 IBM Cloud 服务的列表

GDPR(欧洲)

为遵循欧盟《通用数据保护条例》(GDPR) 的一部分,IBM 正在通过设计加强对隐私的持续承诺。IBM 致力于将数据保护原则更深入地融入业务流程之中。这项工作还加强了现有控制,以限制对个人数据的访问,包括依赖于默认设置以防止共享个人数据的移动应用。

了解有关 IBM GDPR 框架的信息

G-Cloud(英国)

英国政府建立了 G-Cloud 框架,旨在帮助英国政府机构通过更快速、更经济的流程与云提供商签订采购合同。G-Cloud 服务分为三类:云托管、云软件和云支持。

Hébergeurs de Données de Santé - HDS; 健康数据托管(法国)

Hébergeurs de Données de Santé (HDS) 旨在描述必须保护最初在法国收集的个人健康数据的情况。数据托管必须包含与数据的关键性质相称的安全控制。

托管在法国收集的个人健康数据的任何个人或法人必须获得批准或认证。

查看 IBM Cloud 基础架构服务 HDS 证书 (PDF, 448 KB)

IT-Grundschutz(德国)

IT-Grundschutz 的目标是确保一个组织中所有类型的信息都实现适当的安全级别。IT-Grundschutz 采取整体方法,为技术、组织、个人和基础设施安全保障措施的应用提供指导。

NIS Directive(欧洲)

网络和信息系统 (NIS) 指令 (欧盟 2016/1148 ) 是第一项覆盖整个欧盟的网络安全法律,旨在提高欧盟关键基础设施的总体网络安全水平。

IBM 维持适当且相称的标准技术和组织措施,以管理网络和信息系统安全所面临的风险。这包括一项安全监控计划和一个全球事件响应流程,用于应对网络安全威胁和攻击。此外,IBM 还利用在线培训、教育工具、视频和其他安全意识计划,在员工队伍中培养安全意识和责任感文化。有关这些技术和组织措施的更多信息,可参阅 IBM 认证信息和审计报告(例如 ISO 27001 和 SOC 2)。

 

美国

FERPA

安全性是遵守《家庭教育权利和隐私法案》(FERPA) 的核心,该法案要求保护学生信息免遭未经授权的披露。使用云计算的教育机构需要获得合同保证,确保技术供应商将适当地管理敏感的学生数据。