verified_user
Standardful
首頁chevron_right標準chevron_rightSWIFT CSP
現行有效國際標準update 標準更新:2024年7月fact_check 事實核查:2026年6月28日

SWIFT CSP

SWIFT 客戶安全計畫——客戶安全控制框架

apartment發布組織:環球銀行金融電信協會(SWIFT)

標準簡介

SWIFT 客戶安全計畫(CSP)是所有連接 SWIFT 金融報文網路的機構必須遵守的安全倡議。該計畫於 2016 年 5 月推出,起因是孟加拉國央行 8100 萬美元網路盜竊事件。CSP 透過客戶安全控制框架(CSCF)定義了基本安全要求,所有 11,000 多家 SWIFT 連接機構必須每年證明其合規性。

CSCF v2025 包含 25 項強制性和 7 項建議性安全控制措施,圍繞三個目標組織:保護環境安全、了解並限制存取、偵測與回應。SWIFT 每年更新該框架,逐步將建議性控制升級為強制性控制。機構必須接受獨立評估並在每年 12 月 31 日前提交證明結果。不合規機構將被報告給監管機構,並可能面臨中斷 SWIFT 網路連線的處罰。

account_balance

SWIFT 使用者強制要求

連接 SWIFT 網路之 11,000 家以上組織,須於每年 12 月 31 日前完成強制控制之法遵聲明,並需經獨立評估。

security

25 項強制控制

CSCF v2025 定義 25 項強制與 7 項建議性安全控制,涵蓋環境保護、存取管理、偵測與回應能力。

update

每年框架更新

SWIFT 每年 7 月發布更新之 CSCF,於次年生效,並依演變之威脅逐步將建議性控制提升為強制控制。

list_alt CSCF 控制目標

  • 限制網際網路存取並保護關鍵系統
  • 縮減攻擊面與弱點
  • 對環境施行實體安全防護
  • 防止憑證遭洩漏
  • 管理身分並區隔特權
  • 偵測系統與交易之異常活動
  • 規劃事件回應與資訊分享
  • 外包關鍵活動之保護

誰需要合規?

groups

所有連接 SWIFT 網路之組織——銀行、金融機構、證券公司、市場基礎設施、直接接入 SWIFT 之企業及其服務局與第三方提供者。

關鍵要求

1

安全環境

限制自 SWIFT 基礎架構存取網際網路,將 SWIFT 安全區與一般 IT 分段,並縮減 SWIFT 連線元件之攻擊面。

2

存取管理

對存取 SWIFT 系統之操作人員實施強身分驗證(多因素)。對所有使用者帳戶套用最小權限與職務分工原則。

3

偵測與回應

實施安全監控以偵測 SWIFT 基礎架構之異常行為。建立事件回應計畫,並與 SWIFT ISAC 分享威脅情資。

4

獨立評估

由內部或外部評估員針對強制控制之法遵進行獨立評估。透過 KYC 安全聲明應用程式提交年度聲明。

5

後台資料流安全

保護 SWIFT 基礎架構與後台系統間資料流之機密性、完整性與真實性。控制 2.4A 將於 2026 年成為強制控制。

實施路線圖

1
階段 1schedule 預計週期: 2-4 周

准备架構類型和範圍

識別 Swift 架構類型、连接元件、服務局、後台系統整合、操作員和範圍内第三方。審查目前 CSCF,并确定哪些強制和建議控制適用于环境。

2
階段 2schedule 預計週期: 4-8 周

按 CSCF 控制做差距分析

評估安全區分段、網際網路限制、存取控制、MFA、憑證保護、弱點管理、日誌、交易監控、事件回應和外包活動控制是否符合適用 CSCF 控制集。

3
階段 3schedule 預計週期: 8-16 周

實施控制和評估證據

整改控制差距,更新 Swift 安全區架構,強化操作員工作站,保護後台資料流,收集證據并准备獨立評估。確認下一認證周期将变为強制的控制已完成整改。

4
階段 4schedule 預計週期: 年度周期

認證、監控并維護合規

完成獨立評估,并在截止日期前提交年度 KYC Security Attestation。監控 Swift 基础設施,審查使用者存取,測試事件回應,并跟踪年度 CSCF 更新,提前實施新的強制控制。

合規檢查清單

0 / 12

checklist 範圍与架構

checklist 存取、強化与監控

checklist 評估与認證

SWIFT CSP 与 ISO 27001、PCI DSS 对比

SWIFT CSP 保護金融訊息环境,ISO 27001 和 PCI DSS 涵蓋不同保证需求。

方面SWIFT CSPISO 27001PCI DSS
主要範圍Swift 使用者环境和訊息安全資訊安全管理體系持卡人資料环境
評估輸出年度 KYC Security Attestation認可证书ROC、SAQ 或合規證明
控制模型按架構類型適用的強制和建議 CSCF 控制基于風險的 ISMS 控制详细支付卡安全要求
主要受众Swift、交易对手、監管機構和金融机构客戶和認證利益相關方支付品牌、收單行、商戶和服務提供者

常見誤區

cancel
誤區

机构接入 Swift 后,Swift 会保護一切。

check_circle
事實

Swift 保護其網路,但每个使用者必须保護自己的本機环境、操作員、憑證、整合和後台資料流。

cancel
誤區

建議控制可以忽略。

check_circle
事實

建議控制是重要風險訊號,并可能在未来版本变为強制。成熟專案会提前跟踪。

cancel
誤區

認證只是合規表格。

check_circle
事實

認證以獨立評估为支撐,并对交易对手可見,因此缺乏證據的声明会影響信任和業務關係。

處罰與執行

warning

不合規之組織將被通報予當地主管機關與交易對手。SWIFT 得限制或中斷未完成法遵聲明之機構與網路之連線。交易對手銀行可能拒絕與不合規機構進行交易,實質上切斷其對全球銀行間報文之存取。

常見問題解答

谁必须遵守 SWIFT CSP?

expand_more

所有连接 Swift 網路的組織都必须遵守適用的強制 CSCF 控制并提交年度安全認證,包括銀行、證券公司、市場基础設施、企业和服務局。

CSCF 是什么?

expand_more

Customer Security Controls Framework 是 Swift 面向使用者环境的控制框架,定義強制和建議控制,涵蓋安全架構、存取管理、弱點管理、監控、事件回應和外包活動保護。

年度認證是什么?

expand_more

Swift 使用者每年必须通过 KYC Security Attestation 應用認證其合規狀態。認證对交易对手可見,并可能根據当地要求共享给監管機構。

是否需要獨立評估?

expand_more

需要。Swift 要求由外部評估方或符合 Swift 条件的獨立內部職能对 CSCF 合規進行獨立評估,以支援年度認證。

如果使用者不合規会怎样?

expand_more

不合規可能被交易对手和監管機構看到。Swift 可報告未認證使用者,交易对手也可能限制与无法證明控制合規的机构往来。

強制和建議控制有什么差異?

expand_more

強制控制是適用使用者成功認證必须實施的控制。建議控制代表重要安全實務,随着威脅和 Swift 期望变化,未来可能变为強制。

CSCF 多久更新一次?

expand_more

Swift 通常每年发布更新后的 CSCF,并在後續認證周期生效。組織应尽早審查新版本,以便为即将強制的控制安排預算和實施。

SWIFT CSP 与 ISO 27001 有什么關係?

expand_more

ISO 27001 可支援治理和许多安全控制,但 SWIFT CSP 专门针对 Swift 使用者环境、架構類型、強制控制、認證和交易对手透明度。

官方文件

查看全部

實施時間線

warning
2016年2月
Bangladesh Bank cyber heist ($81M) exposes SWIFT infrastructure vulnerabilities
rocket_launch
2016年5月
SWIFT launches Customer Security Programme in response to attacks
description
2017年4月
First CSCF published with 16 mandatory and 11 advisory controls
verified_user
2019年
Independent assessment requirement introduced; mandatory controls expanded to 19
security
2024年
CSCF v2024 with 25 mandatory and 7 advisory controls; Control 2.8 becomes mandatory
update
2024年7月
CSCF v2025 published; Control 2.4A (Back Office Data Flow Security) mandatory from 2026

相關分類