verified_user
Standardful
首页chevron_right标准chevron_rightSWIFT CSP
有效国际标准update 标准更新:2024年7月fact_check 事实核查:2026年6月28日

SWIFT CSP

SWIFT 客户安全计划——客户安全控制框架

apartment发布组织:环球银行金融电信协会(SWIFT)

标准简介

SWIFT 客户安全计划(CSP)是环球银行金融电信协会(SWIFT)于 2017 年推出的强制性安全框架,旨在提升全球金融通信网络的安全性。该计划要求所有连接 SWIFT 网络的金融机构实施客户安全控制框架(CSCF)中的安全控制,并每年进行独立评估和证明。CSCF 包含强制控制和建议控制两类,涵盖「限制互联网访问并保护关键系统」、「减少攻击面和漏洞」、「确保环境物理安全」、「防止凭据泄露」、「管理身份和权限分离」、「检测系统或交易记录的异常活动」以及「规划事件响应和信息共享」七大目标。

SWIFT CSP 要求每年更新,控制要求逐年加强。2024 年版 CSCF(v2024)包含 25 项强制控制和 7 项建议控制。从 2021 年开始,所有 SWIFT 用户必须由独立评估方(如外部审计师或内部审计部门)对其 CSCF 合规性进行评估,评估结果通过 SWIFT 的 KYC-Security Attestation 应用提交。不合规的机构将被向其交易对手和监管机构报告。SWIFT CSP 适用于全球 200 多个国家和地区的 11,000 多家金融机构,包括银行、证券经纪商、中央银行和清算所。该框架与 NIST CSF、ISO 27001 和 PCI DSS 等其他安全标准和框架有密切关联,许多控制要求可映射到这些标准。

account_balance

SWIFT 用户强制要求

连接 SWIFT 网络的 11,000 多家机构必须于每年 12 月 31 日前完成强制控制的合规声明,并需经独立评估。

security

25 项强制控制

CSCF v2025 定义了 25 项强制和 7 项建议性安全控制,涵盖环境保护、访问管理、检测和响应能力。

update

年度框架更新

SWIFT 每年 7 月发布更新版 CSCF,次年生效,根据威胁演变逐步将建议性控制提升为强制控制。

list_alt CSCF 控制目标

  • 限制互联网访问并保护关键系统
  • 减少攻击面和脆弱性
  • 对环境进行物理安全防护
  • 防止凭证被泄露
  • 管理身份并分离特权
  • 检测系统和交易的异常活动
  • 规划事件响应与信息共享
  • 外包关键活动的保护

谁需要合规?

groups

所有连接 SWIFT 网络的组织——银行、金融机构、证券公司、市场基础设施、直接接入 SWIFT 的企业及其服务局和第三方提供商。

关键要求

1

安全环境

限制从 SWIFT 基础设施访问互联网,将 SWIFT 安全区与一般 IT 分段,并减少 SWIFT 连接组件的攻击面。

2

访问管理

对操作 SWIFT 系统的用户实施强身份验证(多因素)。对所有用户账户应用最小权限和职责分离原则。

3

检测与响应

实施安全监控以检测 SWIFT 基础设施上的异常行为。建立事件响应计划,并与 SWIFT ISAC 共享威胁信息。

4

独立评估

由内部或外部评估员对强制控制的合规性进行独立评估。通过 KYC 安全声明应用程序提交年度声明。

5

后台数据流安全

保护 SWIFT 基础设施与后台系统之间数据流的机密性、完整性和真实性。控制 2.4A 将于 2026 年成为强制控制。

实施路线图

1
阶段 1schedule 预计周期: 2-4 周

准备架构类型和范围

识别 Swift 架构类型、连接组件、服务局、后台系统集成、操作员和范围内第三方。审查当前 CSCF,并确定哪些强制和建议控制适用于环境。

2
阶段 2schedule 预计周期: 4-8 周

按 CSCF 控制做差距分析

评估安全区分段、互联网限制、访问控制、MFA、凭据保护、漏洞管理、日志、交易监控、事件响应和外包活动控制是否符合适用 CSCF 控制集。

3
阶段 3schedule 预计周期: 8-16 周

实施控制和评估证据

整改控制差距,更新 Swift 安全区架构,加固操作员工作站,保护后台数据流,收集证据并准备独立评估。确认下一认证周期将变为强制的控制已完成整改。

4
阶段 4schedule 预计周期: 年度周期

认证、监控并维护合规

完成独立评估,并在截止日期前提交年度 KYC Security Attestation。监控 Swift 基础设施,审查用户访问,测试事件响应,并跟踪年度 CSCF 更新,提前实施新的强制控制。

合规检查清单

0 / 12

checklist 范围与架构

checklist 访问、加固与监控

checklist 评估与认证

SWIFT CSP 与 ISO 27001、PCI DSS 对比

SWIFT CSP 保护金融报文环境,ISO 27001 和 PCI DSS 覆盖不同保证需求。

方面SWIFT CSPISO 27001PCI DSS
主要范围Swift 用户环境和报文安全信息安全管理体系持卡人数据环境
评估输出年度 KYC Security Attestation认可证书ROC、SAQ 或合规证明
控制模型按架构类型适用的强制和建议 CSCF 控制基于风险的 ISMS 控制详细支付卡安全要求
主要受众Swift、交易对手、监管机构和金融机构客户和认证利益相关方支付品牌、收单行、商户和服务提供商

常见误区

cancel
误区

机构接入 Swift 后,Swift 会保护一切。

check_circle
事实

Swift 保护其网络,但每个用户必须保护自己的本地环境、操作员、凭据、集成和后台数据流。

cancel
误区

建议控制可以忽略。

check_circle
事实

建议控制是重要风险信号,并可能在未来版本变为强制。成熟项目会提前跟踪。

cancel
误区

认证只是合规表格。

check_circle
事实

认证以独立评估为支撑,并对交易对手可见,因此缺乏证据的声明会影响信任和业务关系。

处罚与执行

warning

不合规的组织将被报告给当地监管机构和交易对手。SWIFT 可限制或断开未完成合规声明的机构与网络的连接。交易对手银行可能拒绝与不合规机构进行交易,实际上切断其对全球银行间报文的访问。

常见问题解答

谁必须遵守 SWIFT CSP?

expand_more

所有连接 Swift 网络的组织都必须遵守适用的强制 CSCF 控制并提交年度安全认证,包括银行、证券公司、市场基础设施、企业和服务局。

CSCF 是什么?

expand_more

Customer Security Controls Framework 是 Swift 面向用户环境的控制框架,定义强制和建议控制,覆盖安全架构、访问管理、漏洞管理、监控、事件响应和外包活动保护。

年度认证是什么?

expand_more

Swift 用户每年必须通过 KYC Security Attestation 应用认证其合规状态。认证对交易对手可见,并可能根据当地要求共享给监管机构。

是否需要独立评估?

expand_more

需要。Swift 要求由外部评估方或符合 Swift 条件的独立内部职能对 CSCF 合规进行独立评估,以支持年度认证。

如果用户不合规会怎样?

expand_more

不合规可能被交易对手和监管机构看到。Swift 可报告未认证用户,交易对手也可能限制与无法证明控制合规的机构往来。

强制和建议控制有什么区别?

expand_more

强制控制是适用用户成功认证必须实施的控制。建议控制代表重要安全实践,随着威胁和 Swift 期望变化,未来可能变为强制。

CSCF 多久更新一次?

expand_more

Swift 通常每年发布更新后的 CSCF,并在后续认证周期生效。组织应尽早审查新版本,以便为即将强制的控制安排预算和实施。

SWIFT CSP 与 ISO 27001 有什么关系?

expand_more

ISO 27001 可支持治理和许多安全控制,但 SWIFT CSP 专门针对 Swift 用户环境、架构类型、强制控制、认证和交易对手透明度。

官方文档

查看全部

实施时间线

warning
2016年2月
Bangladesh Bank cyber heist ($81M) exposes SWIFT infrastructure vulnerabilities
rocket_launch
2016年5月
SWIFT launches Customer Security Programme in response to attacks
description
2017年4月
First CSCF published with 16 mandatory and 11 advisory controls
verified_user
2019年
Independent assessment requirement introduced; mandatory controls expanded to 19
security
2024年
CSCF v2024 with 25 mandatory and 7 advisory controls; Control 2.8 becomes mandatory
update
2024年7月
CSCF v2025 published; Control 2.4A (Back Office Data Flow Security) mandatory from 2026

相关分类