信息安全
Swift 坚持不懈地追求信息安全。我们认识到信息安全是我们客户的关键价值驱动因素和我们服务的主要优势。
永无故障
Swift 的业务、信息及网络安全的各核心组件在整个组织内(从董事会层面到 CEO 和高管,一直到运营部门)得到积极的管理。
Swift 的信息安全措施全面周到。 这些措施旨在应对极端情形,以及防止未经授权进行任何物理和逻辑访问,此等访问可能会导致保密性、完整性或可用性损失。 我们的措施包括保护我们工作场所的物理控制及防止未经授权访问数据和系统的逻辑访问,还包括我们的侦测、应对及复原能力。
为确保 IT 资产和数据的物理安全,我们在设计和建造特定用途的数据中心时编入最高级别的保护机制;基于严格的业务需求审查机制严密控制对此等站点的访问;并在整个运转周期过程中对计算机硬件和媒体操作强制执行严格的控制。
在我们的服务和软件的架构、设计、开发、维护及运行中,我们也采用类似的方式。 通过使用结构化开发理论,我们确保在支持我们客户业务的 Swift 服务、软件和技术中植入最高的逻辑安全级别。 由安全专业人员组成专设团队与业内领导者一道合作审查所有设计和安全做法,提供指导、支持和测试服务,并保证我们的产品和服务在推向客户群之前进行了适当的设计、实施和运行操作。
风险框架
Swift 的运行操作中深度植入了风险管理,且我们的风险管理基于非常深厚的风险文化,这种文化就体现在我们的座右铭: “永无故障”(FNAO) 中。 三道坚固的防线支持和监督 Swift 的风险管理方法。第一道是管理层,此道防线负责开发和实施牢固的可靠性和安全性框架;第二道是风险与合规部门,负责总体风险框架;第三道是审计部门。 所有这些防线都受到强大的第三方保障体系的支持,并由外部安全审计机构根据适用的《国际鉴证业务准则》(International Standards on Assurance Engagements) 的要求提交审计报告。
Swift 的总体企业风险管理框架为整个 Swift 组织内的风险管理提供了统一、整体的视角,且基于并管控 Swift 的其他风险管理操作,如信息安全风险管理。 信息安全风险管理框架规定了如何识别、降低、跟踪安全风险并逐级向 Swift 董事会报告此等风险。 该框架旨在体现不断演变的风险管理做法,因为风险管理做法为应对新出现的威胁和网络军备竞赛在进行调整。
Swift 的内部审计和外部安全审计持续地就 Swift 的风险和控制功能进行独立和客观的审查、评估和报告,共同构建完善的信息安全风险管理系统。 内部审计团队本身定期接受外部审查,这能向董事会和 Swift 管理层保证团队的运行符合国际审计标准和做法。
网络路线图
Swift 非常认真地对待网络安全问题。 我们积极主动地从各种公共、专有或机密渠道了解外部网络事件、恶意手法和网络威胁,推动我们在预防、探测和/或复原能力方面的持续投入。 无论何时我们的全面调查让我们相信此等威胁或薄弱环节可能对我们运行的安全性构成风险,我们都会及时采取适当的行动降低此等风险并保护我们的服务。
我们与广受认可的标准(如 ISO 或 NIST 网络框架)保持一致,长期大量投资于网络战略和基础设施。但我们承认,我们没有任何理由自满;我们必须不负我们作为全球金融界基础设施核心力量的角色和名誉。 Swift 将继续投资并专注于安全性方面,以在不断变化的威胁格局中保持领先的地位。 鉴于网络威胁不断增加,Swift 以三年为周期制定并实施网络安全路线图,该路线图界定我们在安全方面的专注领域。 我们的网络投入可分为四个主要方面:
- 了解 – 了解敌手并明白我们的自身风险;
- 预防 – 加大敌手活动的内在难度,防止网络攻击;
- 计划 – 永不低估敌手,寻求探测可能攻破我们防线的攻击;
- 管理 – 设想出问题的情形。 为最坏的情况做好准备,随时应对和牵制攻击并从中恢复。
Swift 报文传送服务
Swift 报文传送服务在 Swift 内部环境中提供,此环境包括 Swift 及其全体人员所拥有和直接运营(及控制)的所有工作场所、基础设施、软件、产品和服务。 Swift 环境对客户的报文实施严格的安全性、保密性及完整性保护。 我们实施控制和采用一些程序来防止报文数据未经授权而被披露,保证消息来源,防止未经授权对报文进行篡改,并探测报文毁坏;而且内容验证功能能可确保仅允许对有效报文进行处理并以相关序列传送给指定接收人。
我们全身心投入报文传送服务的可用性,并且,我们保证报文及相关客户数据的保密性和完整性,以及保护 Swift 环境中的隐私权。
我们客户发送的报文数据* 都经过先进的安全与识别技术的验证。 报文在离开客户**环境进入 Swift 环境前都进行了技术一流的加密操作。 受制于 Swift 的保密性和完整性承诺,这些报文在整个传输过程一直留在受保护的 Swift 环境中,直至其安全传送给接收人。 所有客户报文在储存于 Swift 系统时都进行了加密。
可用性
Swift 的报文传送服务旨在全年全天候提供,但某些有限的计划停机时段例外。 我们保持多个运营中心 (OPC),提供全站冗余。 在每个运营中心,中央系统旨在通过多个当地机房消除单点故障。 2014 年,Swift 设在瑞典的一流运营中心全面投入运行。 这一新的 IT 设施拥有支持全球报文传送流的能力。 Swift 拥有在所有其他复原措施和备份都不足的情况下(这是不太可能出现的极端情况)恢复报文传送的极限能力。
保密性
我们防止客户数据未经授权而被披露。 我们的安全措施对所有的物理和逻辑访问实施强大的控制,包括保护工作场所的物理措施和基于业务需求实施访问限制的逻辑控制。 所有的客户报文在储存于 Swift 系统或离开 Swift 数据中心时都进行了技术一流的加密操作。 此外,客户报文都进行了处理,并储存在最符合客户在数据隐私法规方面的要求的地理区域中的运营中心。
完整性
Swift 专有公共钥匙、数字证书和数字签名以各种方式验证发送者及所发送报文的完整性。 Swift 通过验证签名来证实报文完整性,并通过验证证书来验证发送者。 Swift 确保报文以适当的序列传送给指定接收人并提供端对端安全,让发送者能为接收者规定采用怎样的签名,并让接收者能对报文完整性及发送者进行验证。 因此,报文中的数据完全由发送和接收机构签发并控制,且报文发起者能向接收者提供验证方式保证该报文在传输过程中没有被篡改。
复原能力
Swift 的报文传送服务对全世界各金融市场的无缝运营极为重要,因此,我们特别重视我们报文传送服务的复原能力。 我们的基础设施的设计、建造和测试都旨在使其在遇到压力、干扰、故障或恶意行为的情况下仍然可用,并满足指定的复原时间目标。
因为我们的基础设施拥有较高的复原特性,我们的报文传送服务不太可能出现持续的故障。 Swift 成立伊始就一直是高度可用的 IT 服务方面的领跑者,并且该复原能力承诺一直延续到今天。 Swift 一直利用其根据书面复原能力原则设计和实施高度可复原性架构的经验。
我们保持多个运营中心以提供全站冗余,而且我们的运营中心广泛分布在多个地理位置,这些位置都是在慎重考虑潜在人为和自然灾害后精心选择的。 在每个运营中心,系统架构的设计旨在消除单点故障。 每个运营中心的系统和网络的设计和配置旨在满足 Swift 在相关地区的用户群的处理和存储要求。
运营中心高度安全,对运营中心的访问都受到严格的控制。 每一运营中心都针对极为重要的设备(从服务器到冷却装置和电源)留出了当地冗余。 报文数据在传送前始终储存在两个地理位置上相互独立的运营中心。
为了应对多个运营中心同时出现故障的极端情况,我们可以激活完全独立的灾难恢复基础设施来保持报文传送服务继续运行。 服务连续性测试计划基于预先定义的情形和预期结果,按照经发布且经审计的计划执行。 Swift 至少每年一次测试其是否能在规定时间内接收其灾难站点。
Swift 为会影响其报文传送服务的小概率事件做好了准备。我们每年都会进行几百场业务连续性测试,这些测试涉及所有层面的不同员工、当地政府部门及客户,并涵盖包括网络相关事件在内的不同情形。 我们已制定了专用的网络业务连续性计划。 我们的测试后评估确保我们采取相关的重要改进行动。
Swift 就其服务的复原能力定期接受内部和外部审计,并将复原能力包含在外部审计报告的范围内。
通过外部审计实现第三方鉴证
Swift 的外部安全审计机构每年对我们的报文传送服务进行独立的外部审计。 该审计按照适用的《国际鉴证业务准则》的要求进行。 由此生成的报告就 Swift 在特定范围内的服务的安全性和可靠性提供第三方鉴证。 我们已按照 ISAE 3402 标准起草 2015 年及往年的报告,此等报告包含独立安全审计机构的意见,表明此等机构合理确信 Swift 实施了足够的有效控制来达成其在治理、保密性、完整性、可用性和变革管理方面所设定的控制目标。 自 2016 年起,我们根据 ISAE 3000 标准起草报告。 报告符合 CPMI-IOSCO 的《关键服务提供商准则》(Expectations for Critical Service Providers) 的要求,涵盖风险管理、安全性管理、技术管理、复原能力及用户通讯等领域。 ISAE 3402 和 ISAE 3000 都属于国际标准,让 Swift 这样的服务提供商能就其流程和控制向客户和其审计机构提供独立的鉴证。
每年,该报告应请求提供给客户,并根据适当的保密性安排向潜在客户提供。
如欲获取 2015 年度 ISAE 3402 Type 2 报告的电子版,请点击这里。
