去年八月,金管会发布新版上云规范,银行公会也接著订定金融业使用云端服务的自律规范。今年七月底,银行公会正式公布「金融机构作业委外使用云端服务自律规范」,明定金融业使用云端服务的管控措施。不仅如此,金管会也函请银行公会订定「金融机构使用云端服务实务手册」,提供自律规范中难以细致著墨的上云执行方式,让金融业上云时,有更多方向可供参考。
这本实务手册可做为金融上云的操作书,共分成九个章节,涵盖了金融业者在规划云端转型时可采用的策略,以及风险评估方法,也提供与云端业者签订契约时可记载的事项。另外,实务手册也提供云端人才培训方法,和采用云端服务应建立的资安和维运控管措施。云端服务查核机制和韧性管理措施也包含在内。
参与撰写实务手册的勤业众信科技与转型服务部门副总经理廖柏仑建议,初次上云的金融业者可参考这份实务手册进行相关规划,透过实务手册了解云端应有的管控机制,更有利于和云端业者沟通。而针对已上云的业者,可以透过实务手册强化现有的管理方式,例如根据不同风险场域采取不同管控措施,更有效运用资源。
实务手册包含九个章节,分别是云端服务策略发展与治理、云端风险评估方法、云端服务管理架构、云端人才培训、云端服务资安控管、云端服务维运控管、云端服务查核、云端服务韧性管理和其他说明。
实务手册涵盖众多事项,廖柏仑点出,云端服务资安控管和云端服务维运控管是较重要的章节,也是撰写团队花费较多时间完成的内容。由于金融业执行上云,需和云端业者共同负担安全维运责任,所以,「金融上云时得更注重强化云端安全管控。」廖柏仑也提到,针对主管机关要求的云端退场机制,实务手册中的云端服务韧性管理章节,也详细说明办理退场计划的各阶段事项。
另外,当金融业者使用云端服务时,不论是直接或间接与云端业者签订合约,都可以参考实务手册中提供的契约应记载事项。