雲端服務治理架構 六大重點
Posted On 2023 年 11 月 13 日
金融業資料上雲法規在今年8月時大鬆綁,金融業上雲的將加速,金管會發布了新版《金融機構使用雲端服務管理辦法》,要求金融機構在使用雲端服務時,應建立完善的雲端服務治理架構。
金管會參考了美國聯邦金融機構檢查委員會(FFIEC)和新加坡銀行公會的相關規範,要求銀行公會訂定的自律規範應包含六大重點,分別為:
1.治理政策及風險管理:金融機構應建立完善的雲端服務治理政策及風險管理機制,包括風險識別、評估、控制、監控等。
2.對雲端業者的管理框架:金融機構應建立對雲端業者的管理框架,包括雲端業者的資質審查、合約管理、稽核監督等。
3.資安控管:金融機構應採取必要的資安控管措施,確保雲端服務的安全性。
4.人才培訓:金融機構應對相關人員進行雲端服務安全教育訓練。
4.雲端服務查核:金融機構應定期對雲端服務進行查核,以確保其符合相關規定。
6重大事件通報及緊急應變處理:金融機構應建立重大事件通報及緊急應變處理機制,以因應雲端服務發生重大事件。
這六大重點是在強化金融機構使用雲端服務的安全性和風險管理能力,保障金融消費者的權益。
以下是六大重點的具體說明:
治理政策及風險管理
金融機構應建立完善的雲端服務治理政策及風險管理機制,包括:
-訂定雲端服務治理政策,明確雲端服務的使用目標、範圍、權責、管理流程等。
-建立雲端服務風險管理框架,識別、評估、控制、監控雲端服務的風險。
-制定雲端服務事故應變計畫,以因應雲端服務發生事故。
對雲端業者的管理框架
金融機構應建立對雲端業者的管理框架,包括:
-審查雲端業者的資質,確保其具有提供雲端服務的能力和經驗。
-簽訂雲端服務合約,明確雙方的權利義務。
-定期對雲端業者進行稽核,以確保其符合相關規定。
資安控管
金融機構應採取必要的資安控管措施,確保雲端服務的安全性,包括:
-採用安全的雲端服務架構和平台。
-使用強密碼和多重驗證等安全措施。
-定期更新雲端服務的安全漏洞。
人才培訓
金融機構應對相關人員進行雲端服務安全教育訓練,包括:
-雲端服務的安全概念和原理。
-雲端服務的安全風險和防範措施。
-雲端服務的安全事件應變處理。
雲端服務查核
金融機構應定期對雲端服務進行查核,以確保其符合相關規定,包括:
-查核雲端服務的資安控管措施是否有效。
-查核雲端服務的使用是否符合相關規定。
-查核雲端服務的營運是否穩定可靠。
-重大事件通報及緊急應變處理。
金融機構應建立重大事件通報及緊急應變機制
因應雲端服務發生重大事件,包括:
-訂定重大事件通報流程,確保事件能迅速通報相關主管機關。
-建立重大事件應變計畫,確保能有效應對事件。
-金管會要求銀行公會在2023年底前訂定相關自律規範,並要求金融機構在2024年底前完成相關作業。
金管會參考了以下資料訂定新版《金融機構使用雲端服務管理辦法》:
-國際標準:參考國際標準組織(ISO)的ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018等標準,以確保金融機構的雲端服務符合國際安全標準。
-國際規範:參考美國聯邦金融機構檢查委員會(FFIEC)和新加坡銀行公會的相關規範,以借鑒國際經驗。
-國內法規:參考《金融機構資訊安全管理法》和《金融機構資訊安全管理辦法》等國內法規,以落實法規要求。
實務經驗:參考金融機構在使用雲端服務方面的經驗,以制定符合實務需求的規範。
金管會參考了FFIEC的《Cloud Computing Guidance for Financial Institutions》和新加坡銀行公會的《Cloud Computing Security Guidelines for Banks》等規範,要求金融機構在使用雲端服務時,應建立完善的雲端服務治理架構,包括治理政策及風險管理、對雲端業者的管理框架、資安控管、人才培訓、雲端服務查核、重大事件通報及緊急應變處理等六大重點。
金管會希望透過新版《金融機構使用雲端服務管理辦法》,強化金融機構使用雲端服務的安全性和風險管理能力,保障金融消費者的權益。
訂閱偉康科技洞察室部落格,掌握最新科技趨勢!
專人協助
由偉康業務人員為您詳細說明偉康的解決方案,以及相關產業經驗。
About The Author
