因应今年八月金管会发布的新版上云规范,金检局今日公布113年金检重点,不仅将资安列为重点关注项目,也将云端业者资安纳入其中。检查局在各业别检查项目中新增跨境委外的定期查核,例如金融机构针对云端业者的资安和风险管控措施。
针对本国银行业者,金检的业务操作制度会包括委外作业的法令遵循情形,及跨境委外作业的定期查核。而针对外国银行在台分行,作业委外他人事项管理单独列为其中一项金检重点,包括作业委外的法令遵循情形、跨境委外作业的定期查核、对委托云端业者处理的资安、风险管控措施。
针对证券业,作业委外被列为其中一项金检重点,包括业者是否应依风险基础方法评估委外风险、是否订定委外内部作业规范,及委外契约应载明的相关事项。针对保险业者的资安及个人资料管理机制,金检重点也包括对委外机构的监督管理,例如,是否落实监督管理委外机构对保户的个资保护。
由于新版上云规范给予金融机构一年的缓冲期,业者可在明年八月前依规定向主管机关申报相关资讯。
除了云端委外项目,金管会今年甫纳管的虚拟资产平台及交易业务事业(VASP),也被列为明年重点金检关注项目。金管会检查局主要针对业者的防制洗钱、打击资恐及反武器扩散的落实情形进行金检,包括机构风险评估和内控架构、客户审查措施及风险等级评估、帐户和交易的持续监控、可疑交易申报流程和品质,以及如何控管组织与人员。