趁著金融科技浪潮和開放銀行浪潮吹進臺灣,金管會在2019年底,第一次鬆綁了金融上雲的規範,以委外管理方式來納管各項金融上雲的核准。
金融上雲法規第一次鬆綁,引起各界高度重視,一方面主管機關也希望透過上雲,促使更多金融業者展開IT現代化和數位轉型計畫,另一方面,其他產業的企業,希望金融業成為火車頭,帶動其他產業上雲的發展。
但是,4年下來,金融上公雲的案例卻屈指可數,更沒有點燃金融業上雲的熱潮,只有零星火花。
根據我們在2019年iThome CIO大調查數據,金融業在2018年時,約有3成業者開始嘗試上雲,不論是導入SaaS、PaaS或IaaS皆有。而金融內部應用也有23%的系統,部署到雲端環境,這個雲包括了公有雲或是私有雲。
可是,在今年度的CIO大調查結果卻顯示,累計到2022年為止,使用雲端的金融業者只增加到33.3%,換句話說,在金管會第一次公布上雲規範之後,上雲金融業企業的比例只增加了3.3%,沒有如預期般的爆發成長。
甚至,從金融業內部應用上雲的比重來看,不但沒有增加,四年下來,反而還大幅減少了許多。一樣從今年大調查數據來看,2022年,金融業平均只有將12.3%的內部應用系統搬上了雲,比2018年的比重少了快一半。一方面,搬上雲的系統數量沒有增加太多,另一方面,因為金融業這幾年數位業務大幅成長,增加了不少新服務或新系統,整體應用系統的數量增加了,就算金融業維持與2018年時同樣的上雲應用數量,分母增加了,整體比重也會大幅下滑。
2019年首度開放金融上雲,按系統逐件申請反成絆腳石
為何,金管會鬆綁上雲規範的美意,沒有帶動金融業上雲的發展?從多家金控業者過去幾年上雲申請大吐苦水的挫折經驗可以看到,2019年上雲規範的申請流程,成了侷限金融上雲的絆腳石。
一位金控高階主管坦言,過去委外作業以「委外廠商」為委外申請核准的對象,同一位業者同時承包多項委外業務時只需申請一次,但是,在2019年版的上雲規範中,改按照「系統」來申請委外核可。每一套系統要上雲,就要重新向主管機關提出一次申請。
根據金融業者實際申請情況,當時一件申請案快則半年,慢則可能一年才能得到回覆。一家金控的資訊系統多達二、三百套,每套上雲都走一次申請,得花上十幾年,更大影響是,金管會當時對於雲端技術也相當陌生,更缺乏足夠的監理經驗,每項上雲委外申請案的核准時間不只漫長,且無法預期何時能核准。
而且,金管會旗下銀行局、保險局、證期局對上雲的態度也不一致,那時曾有家金融業者申請使用雲端辦公室,3個機關中,2票同意,卻有1票反對,最後上雲計畫告吹。
金融者為求謹慎,往往選擇從新應用或新服務,開始嘗試上雲來練兵,而不是先將老舊系統翻新再搬上雲,但是,金融業者苦苦等不到金管會的核准,反過來拖慢了新金融業務的推出時程,這就大大削弱了金融業者上公雲的意願。
尤其,當時的規範也有一些實際執行難度很高的要求,例如金管會希望對雲端業者實地查核,金融業者得派人隨同,遠赴日本東京機房檢視相關資料。對雲端業者而言,每一家金融業者的每一次申請,若都得來一次實地查核,也是應接不暇。不論金融業者或雲端業者,雖然多正面肯定金管會2019年上雲規範的解禁,但在執行面卻發生了不少實務上的難題。
不過,2019年的金融上雲規範,帶來金融業者最大的激勵是,主管機關對於公雲採取正面鼓勵的態度。這也讓許多金融業者加快IT現代化的腳步,更積極擁抱雲原生技術和發展私有雲架構,找來上雲顧問認真投入資源展開不同形式的練兵,不只累積更多上雲技術能力、培養上雲人才,也積極驗證各種上雲部署方式、雲端資安框架、雲端治理框架的可行性。第一次金融上雲規範,的確加速了金融產業IT現代化的速度,將雲原生和容器技術落地到自家IT架構中。
2022年底,金管會公布了「金融資安行動方案」2.0版,其中特別的是增加了核心料資料保存的要求,希望金融機構將核心資料檔案、資料庫加密與分持,再儲存到第三地或是雲端備份。這一項要求,也暗示了金管會希望加速甚至擴大金融機構上雲的腳步,作為第三地或境外保存資料的企圖。但若是繼續維持原有2019版規範,每一項系統儲存到雲端都得申請,無法快速達到這個目標。換句話說,金管會在2022年底就透露出進一步鬆綁上雲規範。
金融3業上雲規範終於統一,同步大鬆綁
一方面,累積了幾年經驗,金管會更熟悉不同金融服務上雲的風險,另一方面,也希望讓金融業當責,自行評估風險高低來考量上雲與否。在2023年3月,銀行局宣布,金融委外上雲辦法將有重大修正,決定放寬境內外雲端委外作業的規定,大幅簡化申請核准的流程,展開相關的草案預告工作。到了8月,不只銀行局,連同保險局和證期局也同時發布委外修正規定,而且以銀行局先前公布的草案為參考,統一金融三業的上雲規範,同步大鬆綁。
金管會在2023年的新版委外規範中,最大變革是大幅簡化了上雲申請流程,只有重大消金系統放上境外公雲,需要每件都申請,其餘上雲只要有首例核准,其他銀行即可自行辦理,不用再申請。一般委外項目的範圍則和過去一樣免申請。同時,金管會要求金融機構要負最終責任,讓金融機構當責,自己評估風險等級決定是否上雲,更不用每一件都報部申請。在新版修正辦法中不夠清楚的規範或疑慮,金管會已經盤點各業者的問題,計畫在11月中釋出相關問答集統一回答,例如將公布上雲首例清單,其他銀行免申請就能跟進辦理。
2023年第二度上雲規範鬆綁,再次引起金融業者高度興趣,紛紛展開上公雲的行動,各家做法和進展雖有不同,大多以多雲、混合雲為長期目標,再依據各自規模、業務型態、治理能力、IT現代化程度、雲端維運能力的不同,各有不同的上雲路徑或發展策略,已經開始出現新一波的金融上雲潮。
金融上雲未來可改善的方向
不過,三大公雲巨頭在臺雲端機房的建置速度不一,有的先建立服務能量有限的小型在地機房,有得則還沒完成,本土公雲業者的服務類型和技術創新也還不比不上境外公雲,金融上雲的選擇還不夠多元化,這還有待雲端業者加速布局,提出更長期在臺發展的承諾。
另一方面,每一家金融機構現在仍須各憑本事,自行評估每一家公雲業者不同產品的風險、合規情況,缺乏統一的衡量標準。不少金控都希望政府出面,仿效美國作法,訂出公版雲端合規標準,要求國內外雲端業者遵循,例如可參考「聯邦政府風險與授權管理計畫」(FedRAMP)這是一套美國政府機關用來衡量雲端產品安全評估、授權和持續監控作法的標準化方法,來建立臺灣自己的標準,讓金融機構更快也更容易選擇合規的雲端供應商和服務。
金管會以委外辦法規範金融上雲的作法,也有不盡適用之處,例如在公聽會上就有金融業者提議,直接使用雲端SaaS服務,就像租用現成場地舉辦研討會,金融業者不是將原有業務委外,而是租用現成產品,但仍須依照委外規定執行相關行政作業,這也是值得進一步改善之處。
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-15
2024-11-15