銀行局副局長林志吉表示,已在十月請銀行公會訂定金融業使用雲端服務的自律規範,並函請銀行公會組成相關工作小組,作為金融機構採用雲端服務的溝通平臺。(攝影:李昀璇)

金管會自八月發布新版上雲規範,並在近期發布問答集,銀行局副局長林志吉今日也在一場活動中表示,十月已請銀行公會訂定金融業使用雲端服務的自律規範,並要求至少包括六大重點,包括訂定治理政策及風險管理、對雲端業者的管理框架,和人才培訓等。此外,林志吉也提到,此次修法目的之一,是為了強化金融業的資料保全機制。

俄烏戰爭開打後,資料保存的意識逐漸升高,而金管會去年發布的金融資安行動方案2.0中,也強調了核心資料保全機制的重要性。對此,林志吉表示,新版上雲規定因應這項政策,要強化金融業的資料保全機制,提高作業韌性,確保客戶資料保護、資訊安全及服務不中斷。因此,辦法中也開放金融業將資料備份在境外雲端,不須經過申請核准,若是將主系統或備援系統備置在境外雲端,才需要申請核准。

為了促進金融業強化資料保全機制,今年八月上路的新版上雲規範開放金融業將資料備份在境外雲端,不須經過主管機關申請核准。(攝影:李昀璇)

針對雲端服務治理架構,林志吉表示,他們參考了美國聯邦金融機構檢查委員會(FFIEC)和新加坡銀行公會的相關規範,要求銀行公會訂定的自律規範應包含六大重點,分別為治理政策及風險管理、對雲端業者的管理框架、資安控管、人才培訓、雲端服務查核及重大事件通報及緊急應變處理。

林志吉解釋,第一,金融業必須訂定雲端服務治理框架,並考量使用雲端服務對營運模式產生的影響,第二,對雲端業者的管理架構,應包括雲端業者負擔責任,和契約應明載事項等。此外,金融業也要對雲端服務做盡職調查,對雲端服務安全性進行持續監控,制定流程來識別、衡量、監控和控制與雲端服務相關風險,並提供人才培訓,培養人員具備資安維護意識。

金管會也提供國外案例,供銀行公會參考。林志吉表示,以新加坡銀行公會的自律規範為例,業者盡職框架有包括應評估業者的財務、營運、聲譽等,而契約協議事項的內容,包括應載明資料儲存點、資料傳輸和業務持續性管理等事項。在持續風險評估和監督機制中,則要訂定管理雲、設計與保護雲,和運行雲的關鍵控制措施及控管指標。

最後,林志吉也表示,金管會已函請銀行公會組成相關工作小組,作為金融機構採用雲端服務的溝通平臺,辦理包括研議自律規範及最佳實務作業守則、舉辦論壇、研討會等事項,分享雲端服務的使用經驗,並推動人才培訓。

熱門新聞

Advertisement