銀行局揭雲端服務治理架構六大重點，未來將由銀行公會訂定相關自律規範

金管會自八月發布新版上雲規範，並在近期發布問答集，銀行局副局長林志吉今日也在一場活動中表示，十月已請銀行公會訂定金融業使用雲端服務的自律規範，並要求至少包括六大重點，包括訂定治理政策及風險管理、對雲端業者的管理框架，和人才培訓等。此外，林志吉也提到，此次修法目的之一，是為了強化金融業的資料保全機制。

俄烏戰爭開打後，資料保存的意識逐漸升高，而金管會去年發布的金融資安行動方案2.0中，也強調了核心資料保全機制的重要性。對此，林志吉表示，新版上雲規定因應這項政策，要強化金融業的資料保全機制，提高作業韌性，確保客戶資料保護、資訊安全及服務不中斷。因此，辦法中也開放金融業將資料備份在境外雲端，不須經過申請核准，若是將主系統或備援系統備置在境外雲端，才需要申請核准。

為了促進金融業強化資料保全機制，今年八月上路的新版上雲規範開放金融業將資料備份在境外雲端，不須經過主管機關申請核准。(攝影:李昀璇)

針對雲端服務治理架構，林志吉表示，他們參考了美國聯邦金融機構檢查委員會(FFIEC)和新加坡銀行公會的相關規範，要求銀行公會訂定的自律規範應包含六大重點，分別為治理政策及風險管理、對雲端業者的管理框架、資安控管、人才培訓、雲端服務查核及重大事件通報及緊急應變處理。

林志吉解釋，第一，金融業必須訂定雲端服務治理框架，並考量使用雲端服務對營運模式產生的影響，第二，對雲端業者的管理架構，應包括雲端業者負擔責任，和契約應明載事項等。此外，金融業也要對雲端服務做盡職調查，對雲端服務安全性進行持續監控，制定流程來識別、衡量、監控和控制與雲端服務相關風險，並提供人才培訓，培養人員具備資安維護意識。

金管會也提供國外案例，供銀行公會參考。林志吉表示，以新加坡銀行公會的自律規範為例，業者盡職框架有包括應評估業者的財務、營運、聲譽等，而契約協議事項的內容，包括應載明資料儲存點、資料傳輸和業務持續性管理等事項。在持續風險評估和監督機制中，則要訂定管理雲、設計與保護雲，和運行雲的關鍵控制措施及控管指標。

最後，林志吉也表示，金管會已函請銀行公會組成相關工作小組，作為金融機構採用雲端服務的溝通平臺，辦理包括研議自律規範及最佳實務作業守則、舉辦論壇、研討會等事項，分享雲端服務的使用經驗，並推動人才培訓。