「金融機構使用雲端服務實務手冊」

為強化金融機構使用雲端服務應有完備治理機制以及風險與安全管理政策，除「金融機構作業委外使用雲端服務自律規範」外，金融監督管理委員會亦函請本會研議「金融機構使用雲端服務實務手冊」，以協助金融機構使用雲端服務日常治理與遵法之需求。

一、目的

隨著雲端服務發展逐漸成熟，全球企業持續快速將工作負載轉移到雲端，故本金融機構使用雲端服務實務手冊（以下稱實務手冊）旨在協助金融機構於建置或使用雲端服務時，可依據國際標準及適用法規要求，建構雲端數位轉型策略、檢視與降低使用雲端服務可能帶來之風險，使金融機構能安全且合適地推動雲端數位轉型之策略目標，進而提升金融機構資訊作業效益。本實務手冊係屬建議性質，金融機構可參考本實務手冊執行建置或使用雲端服務，但不以此為限。

二、使用建議

本實務手冊提供金融機構作業使用雲端服務時參考，建議我國金融機構使用雲端服務時，不論是否屬金融機構作業委外使用雲端服務之範疇，皆可因應雲端服務使用情境，建構雲端服務完整風險管理及控管程序。

三、雲端服務之種類、部署模型

依雲端服務業者提供之雲端服務模式，雲端服務可分為三個種類，包含基礎設施作

為服務（Infrastructure as a Service, IaaS）、平台作為服務（Platform as a Service,

PaaS）及軟體作為服務（Software as a Service, SaaS）。金融機構可依據所需之服務選擇一個或多個服務模式。

1. 軟體即服務（SaaS）：雲端服務業者提供集中式代管軟體與相關資料，使用者使用軟體，但無需安裝軟體、作業系統、硬體。具備使用簡單、無需安裝、即時更新之特性。
2. 平台即服務（PaaS）：雲端服務業者提供雲端運算平台解決方案，使用者能於此平台操作其軟體，但不需管理與控制雲端基礎設施（包含網路、伺服器、作業系統或儲存空間）。
3. 基礎設施即服務（IaaS）：雲端服務業者提供基礎運算資源（如處理能力、儲存空間、網路元件或中介軟體），使用者能掌控作業系統、儲存空間、已部署的應用程式及網路元件（如防火牆、負載平衡器等），但無需控管或維護基礎運算資源。

四、其他事項

本手冊將不定期更新，請各機構自行上網查詢。

本案聯絡人，薛丹琦02-27087698 Ext7354、蔡大任02-27087968 Ext7325