金融機構作業委外使用雲端服務自律規範總說明

本會113年4月25日第14屆第15次理監事聯席會議通過

金管會113年7月4日金管銀外字第1130138523號函修正後洽悉

因應金融機構運用導入雲端運算、雲端儲存等新興技術的多樣化，以提升數位轉型及金融服務敏捷彈性。爰依金融監督管理委員會（以下稱金管會）「金融資安行動方案」要求，強化金融機構建構完整風險管理及控管程序等，訂定「金融機構作業委外使用雲端服務自律規範」（以下稱「本規範」），以提升金融機構使用雲端服務管控措施。

本規範參酌金管會「金融機構作業委託他人處理內部作業制度及程序辦法」、中華民國銀行商業同業公會全國聯合會「金融機構資通安全防護基準」、新加坡ABS「Cloud Computing Implementation Guide 2.0」、新加坡金融管理局MAS「Advisory on Addressing the Technology and Cyber Security Risks Associated with Public Cloud Adoption」與「TRM Guideline」、美國聯邦金融機構檢查委員會 （FFIEC）「Security in a Cloud Computing Environment」、美國網路安全暨基礎設施安全局（CISA）「Cloud Security Technical Reference Architecture」、美國財政部「The Financial Services Sector's Adoption of Cloud Services」日本金融業資訊系統中心（FISC）「Security Guidelines on Computer Systems for Banking and Related Financial Institutions」、日本經濟產業省「雲端服務使用資訊安全管理指南」、香港金融管理局（HKMA）「Guidance on Cloud Computing」、香港政府資訊科技總監辦公室「雲端運算保安實務指引」與「採購雲端服務的實務指南」、雲端安全聯盟「Cloud Control Metrix」與德國「Cloud Computing Compliance Controls Catalog」等國際法令規範等，爰經參考各國作法，擬具本規範，以維護金融機構使用雲端服務之資訊安全。

本規範共十條，其要點如下：

一、 說明本規範之立法意旨。（第一條）

二、 說明本規範之適用範圍。（第二條）

三、 明訂本規範提及之名詞解釋。（第三條）

四、 明訂治理政策及風險管理。（第四條）

五、 明訂管理架構。（第五條）

六、 明訂人才培訓要求。（第六條）

七、 明訂資安控管要求。（第七條）

八、 明訂雲端服務查核要求。（第八條）

九、 明訂業務持續性管理要求。（第九條）

十、 說明本規範之核可實施。（第十條）

本案聯絡人，薛丹琦02-27087698 Ext7354、蔡大任02-27087968 Ext7325