腾讯云致力于与客户共同构建更完善的云上业务和数据安全体系,并基于不同的云服务类别建立了云安全责任共担模型。
腾讯云的责任:负责整个云计算环境底层物理和基础设施的安全,并确保云平台及所提供云产品的安全合规。
客户的责任:负责确保自建云应用及业务数据的安全,包括正确开发和使用云产品(含安全产品)、妥善保护和授权云账号、持续监控与运营,以及保护业务和数据安全。
腾讯云的责任:负责整个云计算环境底层物理和基础设施的安全,并确保云平台及所提供云产品的安全合规。
客户的责任:负责确保自建云应用及业务数据的安全,包括正确开发和使用云产品(含安全产品)、妥善保护和授权云账号,以及保护业务和数据安全。
腾讯云的责任:负责整个云计算环境底层物理和基础设施的安全,并确保云平台及所提供云产品的安全合规。
客户的责任:负责确保自建云应用及业务数据的安全,包括正确开发和使用云产品(含安全产品)、妥善保护和授权云账号,以及保障业务和数据安全。
合规是腾讯云发展的基石。腾讯云识别并采用先进的国际和行业安全标准,遵循不同国家/地区和行业的合规要求,持续改进内部管理体系,提升安全控制水平,致力于打造客户可信赖的云服务。同时,腾讯云积极参与行业安全标准的制定和推广,坚持“合规即服务”的原则,构建和运营安全可靠的云生态系统。
迄今为止,腾讯云已通过独立的第三方审计或评估,获得了多项安全和隐私合规认证或资质,包括:ISO 27001 信息安全管理体系认证、CSA STAR 云安全认证(SOC 1/SOC 2/SOC 3 报告)以及其他区域和行业安全认证或审计报告。
有关腾讯云安全合规的更多信息,请参阅腾讯云合规页面。如需任何相关合规证书或报告,请通过腾讯云合规文档中心申请并下载。
腾讯云结合国际标准 ISO/IEC 27005 信息安全风险管理指南与自身业务实践,建立了结构化、系统化的成熟风险管理体系。
腾讯云从信息资产出发,全面识别和分析潜在的风险场景,利用风险量化评估模型对风险进行分级管理。腾讯云设定了明确的风险接受基准,要求对中风险及以上级别的风险采取行动,确保风险降低至可接受范围,为腾讯云构筑坚实的安全防线。
这种动态监控和持续循环的风险管理机制,确保腾讯云能够主动、前瞻性地识别和控制安全风险,将其维持在可接受水平,保障云平台及服务的安全稳定运行。
腾讯云建立了信息安全风险管理流程,以识别、跟踪和管理全流程风险。
为确保生产环境内的操作可记录、可追溯,腾讯云实施了日志管理策略,要求所有系统组件(包括服务器、网络设备、数据库和应用程序)开启日志记录。腾讯云生产环境已全面部署堡垒机,集中管控腾讯云后台系统组件的管理员账号权限。内部运维人员必须获得授权才能访问堡垒机,所有后台操作均被详细记录并由日志平台集中存储。
腾讯云安全运营平台利用预定义的审计和监控规则,自动、智能地分析采集的日志数据,及时发现系统和活动异常,预防安全风险,实现风险数据的全面可视化和实时洞察,提高云平台的安全响应速度和效率。
腾讯云建立了内部日志采集与管理标准及机制,控制登录日志、操作日志、事件日志等的记录、提取、分析和审计。一旦检测到任何异常行为,将自动生成告警工单以指令采取行动。
客户数据在腾讯云内部被归类为最高机密数据。除非为提供服务或故障排除所需,并获得客户明确授权,否则腾讯云员工绝不会主动访问任何客户数据。为降低信息资产被未经授权访问的风险,腾讯云实施了严格的访问管理策略,包括:
腾讯云对特殊访问权限有明确的管理要求和相关授权机制。腾讯云生产环境已全面部署堡垒机,集中管控腾讯云后台系统组件的管理员账号权限。内部运维人员必须获得授权才能访问堡垒机;访问仅限于特定的腾讯云内部运维人员,且需要双因素认证才能登录。操作记录集中存储在日志平台上,并由腾讯云内部审计团队定期审计日志。
腾讯云制定了详细的运维安全“红线”,并利用多年的异常行为监控经验,构建了完善的规则库,开发了可靠的自动化运维安全审计工具,以识别异常行为并自动触发实时告警。
腾讯云提供多种数据传输保护机制,确保敏感信息从发送方到接收方的机密性、完整性和真实性,包括:
为确保存储在云端的客户数据的机密性,腾讯云提供安全加密解决方案:
KMS 与对象存储 (COS)、云硬盘 (CBS) 和数据库 (TencentDB/CDB) 等腾讯云产品无缝集成。用户只需选择由 KMS 管理的密钥,无需关注加密细节,即可实现透明的云数据加解密。
密钥管理系统 (KMS) 使用经国家密码管理局认证或 FIPS-140-2 认证的硬件安全模块 (HSM) 生成和保护密钥,满足合规审查标准,支持加密密钥的全生命周期管理,包括生成、存储、轮换、归档和销毁。
为降低密钥被破解或滥用的风险,KMS 支持密钥轮换,并采用安全可靠的方法删除过期、无效或泄露的密钥。删除的密钥无法恢复,该密钥下的加密数据也无法解密。
腾讯云制定并实施了多级网络安全治理和策略,以提高云平台底层网络的健壮性,包括:
腾讯云提供成熟的网络安全架构,采用包括防火墙、入侵检测/防御系统 (IDS/IPS)、DDoS 防护、网络逻辑隔离和 Web 应用安全在内的多种防护机制,及时发现、过滤和阻断恶意网络流量,保护腾讯云的网络安全。
通过多点监控和多层防御机制,腾讯云及时分析流量,实时检测网络攻击或威胁并发出告警,协助腾讯云服务抵御来自互联网的网络攻击(如 DDoS 攻击),为业务提供安全、稳定、健康的网络运行环境。
腾讯云建立了严格的供应商评估和准入流程。
腾讯云建立了供应商管理流程和要求,确保所有服务提供商都经过充分评估,并通过明确的服务协议确保其服务符合安全、质量和合规要求。
为确保客户系统的持续稳定运行和数据可用性,腾讯云作为云服务提供商,从基础设施高可用、网络及计算单元容灾、日常业务连续性管理三个方面保障云平台及服务的业务连续性。
腾讯云高度重视云平台的业务连续性管理。通过建立和执行内部流程,确保业务运营满足可用性要求,并支持客户整合其业务连续性计划。腾讯云已建立并实施了业务连续性管理体系,并获得了第三方 ISO 22301 业务连续性管理体系认证。
腾讯云内部建立了信息安全事件管理标准,并设立了信息安全报告、响应、处理机制及相关流程。
1. 事件识别与风险评估:安全告警触发后,云安全团队首先评估事件风险并进行分类。相关团队随后根据分类启动应急预案,控制事态升级。
2. 事件应急响应:应急响应团队将按流程响应和处理事件。通过日志审查,确定攻击路径、报警原因和影响范围。采取措施消除故障,恢复系统/服务,必要时启动业务连续性管理计划。
3. 事件复盘与优化:故障影响消除后,相关部门将对事件进行复盘和根本原因分析,制定纠正措施,并优化现有安全策略。
4. 事件通报:腾讯云按照法律法规及相关要求,向相关方通报事件响应和处理过程。
腾讯云建立了定期的漏洞扫描和渗透测试机制,以全面应对内外部漏洞和风险。
腾讯云安全漏洞管理平台会自动为发现的安全漏洞或风险生成安全工单。相关产品部门必须根据安全工单的类型和风险等级及时进行漏洞修复评估并快速减轻损失,并基于根本原因分析确定修复措施和计划。安全工单包含详细的漏洞描述、漏洞风险等级、处理时限和漏洞修复指南。不同风险等级的漏洞必须严格按照各自的时间要求进行处理。
如果在评估过程中发现云平台漏洞可能影响客户,腾讯云将通过官网公告、站内信等方式及时向客户同步漏洞概览、范围、影响程度等信息,并提供相关修复建议和具体操作指南。
腾讯云致力于与客户共同构建更完善的云上业务和数据安全体系,并基于不同的云服务类别建立了云安全责任共担模型。
腾讯云的责任:负责整个云计算环境底层物理和基础设施的安全,并确保云平台及所提供云产品的安全合规。
客户的责任:负责确保自建云应用及业务数据的安全,包括正确开发和使用云产品(含安全产品)、妥善保护和授权云账号、持续监控与运营,以及保护业务和数据安全。
腾讯云的责任:负责整个云计算环境底层物理和基础设施的安全,并确保云平台及所提供云产品的安全合规。
客户的责任:负责确保自建云应用及业务数据的安全,包括正确开发和使用云产品(含安全产品)、妥善保护和授权云账号,以及保护业务和数据安全。
腾讯云的责任:负责整个云计算环境底层物理和基础设施的安全,并确保云平台及所提供云产品的安全合规。
客户的责任:负责确保自建云应用及业务数据的安全,包括正确开发和使用云产品(含安全产品)、妥善保护和授权云账号,以及保障业务和数据安全。
合规是腾讯云发展的基石。腾讯云识别并采用先进的国际和行业安全标准,遵循不同国家/地区和行业的合规要求,持续改进内部管理体系,提升安全控制水平,致力于打造客户可信赖的云服务。同时,腾讯云积极参与行业安全标准的制定和推广,坚持“合规即服务”的原则,构建和运营安全可靠的云生态系统。
迄今为止,腾讯云已通过独立的第三方审计或评估,获得了多项安全和隐私合规认证或资质,包括:ISO 27001 信息安全管理体系认证、CSA STAR 云安全认证(SOC 1/SOC 2/SOC 3 报告)以及其他区域和行业安全认证或审计报告。
有关腾讯云安全合规的更多信息,请参阅腾讯云合规页面。如需任何相关合规证书或报告,请通过腾讯云合规文档中心申请并下载。
腾讯云结合国际标准 ISO/IEC 27005 信息安全风险管理指南与自身业务实践,建立了结构化、系统化的成熟风险管理体系。
腾讯云从信息资产出发,全面识别和分析潜在的风险场景,利用风险量化评估模型对风险进行分级管理。腾讯云设定了明确的风险接受基准,要求对中风险及以上级别的风险采取行动,确保风险降低至可接受范围,为腾讯云构筑坚实的安全防线。
这种动态监控和持续循环的风险管理机制,确保腾讯云能够主动、前瞻性地识别和控制安全风险,将其维持在可接受水平,保障云平台及服务的安全稳定运行。
腾讯云建立了信息安全风险管理流程,以识别、跟踪和管理全流程风险。
为确保生产环境内的操作可记录、可追溯,腾讯云实施了日志管理策略,要求所有系统组件(包括服务器、网络设备、数据库和应用程序)开启日志记录。腾讯云生产环境已全面部署堡垒机,集中管控腾讯云后台系统组件的管理员账号权限。内部运维人员必须获得授权才能访问堡垒机,所有后台操作均被详细记录并由日志平台集中存储。
腾讯云安全运营平台利用预定义的审计和监控规则,自动、智能地分析采集的日志数据,及时发现系统和活动异常,预防安全风险,实现风险数据的全面可视化和实时洞察,提高云平台的安全响应速度和效率。
腾讯云建立了内部日志采集与管理标准及机制,控制登录日志、操作日志、事件日志等的记录、提取、分析和审计。一旦检测到任何异常行为,将自动生成告警工单以指令采取行动。
客户数据在腾讯云内部被归类为最高机密数据。除非为提供服务或故障排除所需,并获得客户明确授权,否则腾讯云员工绝不会主动访问任何客户数据。为降低信息资产被未经授权访问的风险,腾讯云实施了严格的访问管理策略,包括:
腾讯云对特殊访问权限有明确的管理要求和相关授权机制。腾讯云生产环境已全面部署堡垒机,集中管控腾讯云后台系统组件的管理员账号权限。内部运维人员必须获得授权才能访问堡垒机;访问仅限于特定的腾讯云内部运维人员,且需要双因素认证才能登录。操作记录集中存储在日志平台上,并由腾讯云内部审计团队定期审计日志。
腾讯云制定了详细的运维安全“红线”,并利用多年的异常行为监控经验,构建了完善的规则库,开发了可靠的自动化运维安全审计工具,以识别异常行为并自动触发实时告警。
腾讯云提供多种数据传输保护机制,确保敏感信息从发送方到接收方的机密性、完整性和真实性,包括:
为确保存储在云端的客户数据的机密性,腾讯云提供安全加密解决方案:
KMS 与对象存储 (COS)、云硬盘 (CBS) 和数据库 (TencentDB/CDB) 等腾讯云产品无缝集成。用户只需选择由 KMS 管理的密钥,无需关注加密细节,即可实现透明的云数据加解密。
密钥管理系统 (KMS) 使用经国家密码管理局认证或 FIPS-140-2 认证的硬件安全模块 (HSM) 生成和保护密钥,满足合规审查标准,支持加密密钥的全生命周期管理,包括生成、存储、轮换、归档和销毁。
为降低密钥被破解或滥用的风险,KMS 支持密钥轮换,并采用安全可靠的方法删除过期、无效或泄露的密钥。删除的密钥无法恢复,该密钥下的加密数据也无法解密。
腾讯云制定并实施了多级网络安全治理和策略,以提高云平台底层网络的健壮性,包括:
腾讯云提供成熟的网络安全架构,采用包括防火墙、入侵检测/防御系统 (IDS/IPS)、DDoS 防护、网络逻辑隔离和 Web 应用安全在内的多种防护机制,及时发现、过滤和阻断恶意网络流量,保护腾讯云的网络安全。
通过多点监控和多层防御机制,腾讯云及时分析流量,实时检测网络攻击或威胁并发出告警,协助腾讯云服务抵御来自互联网的网络攻击(如 DDoS 攻击),为业务提供安全、稳定、健康的网络运行环境。
腾讯云建立了严格的供应商评估和准入流程。
腾讯云建立了供应商管理流程和要求,确保所有服务提供商都经过充分评估,并通过明确的服务协议确保其服务符合安全、质量和合规要求。
为确保客户系统的持续稳定运行和数据可用性,腾讯云作为云服务提供商,从基础设施高可用、网络及计算单元容灾、日常业务连续性管理三个方面保障云平台及服务的业务连续性。
腾讯云高度重视云平台的业务连续性管理。通过建立和执行内部流程,确保业务运营满足可用性要求,并支持客户整合其业务连续性计划。腾讯云已建立并实施了业务连续性管理体系,并获得了第三方 ISO 22301 业务连续性管理体系认证。
腾讯云内部建立了信息安全事件管理标准,并设立了信息安全报告、响应、处理机制及相关流程。
1. 事件识别与风险评估:安全告警触发后,云安全团队首先评估事件风险并进行分类。相关团队随后根据分类启动应急预案,控制事态升级。
2. 事件应急响应:应急响应团队将按流程响应和处理事件。通过日志审查,确定攻击路径、报警原因和影响范围。采取措施消除故障,恢复系统/服务,必要时启动业务连续性管理计划。
3. 事件复盘与优化:故障影响消除后,相关部门将对事件进行复盘和根本原因分析,制定纠正措施,并优化现有安全策略。
4. 事件通报:腾讯云按照法律法规及相关要求,向相关方通报事件响应和处理过程。
腾讯云建立了定期的漏洞扫描和渗透测试机制,以全面应对内外部漏洞和风险。
腾讯云安全漏洞管理平台会自动为发现的安全漏洞或风险生成安全工单。相关产品部门必须根据安全工单的类型和风险等级及时进行漏洞修复评估并快速减轻损失,并基于根本原因分析确定修复措施和计划。安全工单包含详细的漏洞描述、漏洞风险等级、处理时限和漏洞修复指南。不同风险等级的漏洞必须严格按照各自的时间要求进行处理。
如果在评估过程中发现云平台漏洞可能影响客户,腾讯云将通过官网公告、站内信等方式及时向客户同步漏洞概览、范围、影响程度等信息,并提供相关修复建议和具体操作指南。