金融上雲再次大鬆綁，將掀起金融業新一波加速上雲潮

趁著金融科技浪潮和開放銀行浪潮吹進臺灣，金管會在2019年底，第一次鬆綁了金融上雲的規範，以委外管理方式來納管各項金融上雲的核准。

金融上雲法規第一次鬆綁，引起各界高度重視，一方面主管機關也希望透過上雲，促使更多金融業者展開IT現代化和數位轉型計畫，另一方面，其他產業的企業，希望金融業成為火車頭，帶動其他產業上雲的發展。

但是，4年下來，金融上公雲的案例卻屈指可數，更沒有點燃金融業上雲的熱潮，只有零星火花。

根據我們在2019年iThome CIO大調查數據，金融業在2018年時，約有3成業者開始嘗試上雲，不論是導入SaaS、PaaS或IaaS皆有。而金融內部應用也有23%的系統，部署到雲端環境，這個雲包括了公有雲或是私有雲。

可是，在今年度的CIO大調查結果卻顯示，累計到2022年為止，使用雲端的金融業者只增加到33.3%，換句話說，在金管會第一次公布上雲規範之後，上雲金融業企業的比例只增加了3.3%，沒有如預期般的爆發成長。

甚至，從金融業內部應用上雲的比重來看，不但沒有增加，四年下來，反而還大幅減少了許多。一樣從今年大調查數據來看，2022年，金融業平均只有將12.3%的內部應用系統搬上了雲，比2018年的比重少了快一半。一方面，搬上雲的系統數量沒有增加太多，另一方面，因為金融業這幾年數位業務大幅成長，增加了不少新服務或新系統，整體應用系統的數量增加了，就算金融業維持與2018年時同樣的上雲應用數量，分母增加了，整體比重也會大幅下滑。

2019年首度開放金融上雲，按系統逐件申請反成絆腳石

為何，金管會鬆綁上雲規範的美意，沒有帶動金融業上雲的發展？從多家金控業者過去幾年上雲申請大吐苦水的挫折經驗可以看到，2019年上雲規範的申請流程，成了侷限金融上雲的絆腳石。

一位金控高階主管坦言，過去委外作業以「委外廠商」為委外申請核准的對象，同一位業者同時承包多項委外業務時只需申請一次，但是，在2019年版的上雲規範中，改按照「系統」來申請委外核可。每一套系統要上雲，就要重新向主管機關提出一次申請。

根據金融業者實際申請情況，當時一件申請案快則半年，慢則可能一年才能得到回覆。一家金控的資訊系統多達二、三百套，每套上雲都走一次申請，得花上十幾年，更大影響是，金管會當時對於雲端技術也相當陌生，更缺乏足夠的監理經驗，每項上雲委外申請案的核准時間不只漫長，且無法預期何時能核准。

而且，金管會旗下銀行局、保險局、證期局對上雲的態度也不一致，那時曾有家金融業者申請使用雲端辦公室，3個機關中，2票同意，卻有1票反對，最後上雲計畫告吹。

金融者為求謹慎，往往選擇從新應用或新服務，開始嘗試上雲來練兵，而不是先將老舊系統翻新再搬上雲，但是，金融業者苦苦等不到金管會的核准，反過來拖慢了新金融業務的推出時程，這就大大削弱了金融業者上公雲的意願。

尤其，當時的規範也有一些實際執行難度很高的要求，例如金管會希望對雲端業者實地查核，金融業者得派人隨同，遠赴日本東京機房檢視相關資料。對雲端業者而言，每一家金融業者的每一次申請，若都得來一次實地查核，也是應接不暇。不論金融業者或雲端業者，雖然多正面肯定金管會2019年上雲規範的解禁，但在執行面卻發生了不少實務上的難題。

不過，2019年的金融上雲規範，帶來金融業者最大的激勵是，主管機關對於公雲採取正面鼓勵的態度。這也讓許多金融業者加快IT現代化的腳步，更積極擁抱雲原生技術和發展私有雲架構，找來上雲顧問認真投入資源展開不同形式的練兵，不只累積更多上雲技術能力、培養上雲人才，也積極驗證各種上雲部署方式、雲端資安框架、雲端治理框架的可行性。第一次金融上雲規範，的確加速了金融產業IT現代化的速度，將雲原生和容器技術落地到自家IT架構中。

2022年底，金管會公布了「金融資安行動方案」2.0版，其中特別的是增加了核心料資料保存的要求，希望金融機構將核心資料檔案、資料庫加密與分持，再儲存到第三地或是雲端備份。這一項要求，也暗示了金管會希望加速甚至擴大金融機構上雲的腳步，作為第三地或境外保存資料的企圖。但若是繼續維持原有2019版規範，每一項系統儲存到雲端都得申請，無法快速達到這個目標。換句話說，金管會在2022年底就透露出進一步鬆綁上雲規範。

金融3業上雲規範終於統一，同步大鬆綁

一方面，累積了幾年經驗，金管會更熟悉不同金融服務上雲的風險，另一方面，也希望讓金融業當責，自行評估風險高低來考量上雲與否。在2023年3月，銀行局宣布，金融委外上雲辦法將有重大修正，決定放寬境內外雲端委外作業的規定，大幅簡化申請核准的流程，展開相關的草案預告工作。到了8月，不只銀行局，連同保險局和證期局也同時發布委外修正規定，而且以銀行局先前公布的草案為參考，統一金融三業的上雲規範，同步大鬆綁。

金管會在2023年的新版委外規範中，最大變革是大幅簡化了上雲申請流程，只有重大消金系統放上境外公雲，需要每件都申請，其餘上雲只要有首例核准，其他銀行即可自行辦理，不用再申請。一般委外項目的範圍則和過去一樣免申請。同時，金管會要求金融機構要負最終責任，讓金融機構當責，自己評估風險等級決定是否上雲，更不用每一件都報部申請。在新版修正辦法中不夠清楚的規範或疑慮，金管會已經盤點各業者的問題，計畫在11月中釋出相關問答集統一回答，例如將公布上雲首例清單，其他銀行免申請就能跟進辦理。

2023年第二度上雲規範鬆綁，再次引起金融業者高度興趣，紛紛展開上公雲的行動，各家做法和進展雖有不同，大多以多雲、混合雲為長期目標，再依據各自規模、業務型態、治理能力、IT現代化程度、雲端維運能力的不同，各有不同的上雲路徑或發展策略，已經開始出現新一波的金融上雲潮。

金融上雲未來可改善的方向

不過，三大公雲巨頭在臺雲端機房的建置速度不一，有的先建立服務能量有限的小型在地機房，有得則還沒完成，本土公雲業者的服務類型和技術創新也還不比不上境外公雲，金融上雲的選擇還不夠多元化，這還有待雲端業者加速布局，提出更長期在臺發展的承諾。

另一方面，每一家金融機構現在仍須各憑本事，自行評估每一家公雲業者不同產品的風險、合規情況，缺乏統一的衡量標準。不少金控都希望政府出面，仿效美國作法，訂出公版雲端合規標準，要求國內外雲端業者遵循，例如可參考「聯邦政府風險與授權管理計畫」（FedRAMP）這是一套美國政府機關用來衡量雲端產品安全評估、授權和持續監控作法的標準化方法，來建立臺灣自己的標準，讓金融機構更快也更容易選擇合規的雲端供應商和服務。

金管會以委外辦法規範金融上雲的作法，也有不盡適用之處，例如在公聽會上就有金融業者提議，直接使用雲端SaaS服務，就像租用現成場地舉辦研討會，金融業者不是將原有業務委外，而是租用現成產品，但仍須依照委外規定執行相關行政作業，這也是值得進一步改善之處。

 相關報導