银行局副局长林志吉表示,已在十月请银行公会订定金融业使用云端服务的自律规范,并函请银行公会组成相关工作小组,作为金融机构采用云端服务的沟通平台。(摄影:李昀璇)
金管会自八月发布新版上云规范,并在近期发布问答集,银行局副局长林志吉今日也在一场活动中表示,十月已请银行公会订定金融业使用云端服务的自律规范,并要求至少包括六大重点,包括订定治理政策及风险管理、对云端业者的管理框架,和人才培训等。此外,林志吉也提到,此次修法目的之一,是为了强化金融业的资料保全机制。
俄乌战争开打后,资料保存的意识逐渐升高,而金管会去年发布的金融资安行动方案2.0中,也强调了核心资料保全机制的重要性。对此,林志吉表示,新版上云规定因应这项政策,要强化金融业的资料保全机制,提高作业韧性,确保客户资料保护、资讯安全及服务不中断。因此,办法中也开放金融业将资料备份在境外云端,不须经过申请核准,若是将主系统或备援系统备置在境外云端,才需要申请核准。
为了促进金融业强化资料保全机制,今年八月上路的新版上云规范开放金融业将资料备份在境外云端,不须经过主管机关申请核准。(摄影:李昀璇)
针对云端服务治理架构,林志吉表示,他们参考了美国联邦金融机构检查委员会(FFIEC)和新加坡银行公会的相关规范,要求银行公会订定的自律规范应包含六大重点,分别为治理政策及风险管理、对云端业者的管理框架、资安控管、人才培训、云端服务查核及重大事件通报及紧急应变处理。
林志吉解释,第一,金融业必须订定云端服务治理框架,并考量使用云端服务对营运模式产生的影响,第二,对云端业者的管理架构,应包括云端业者负担责任,和契约应明载事项等。此外,金融业也要对云端服务做尽职调查,对云端服务安全性进行持续监控,制定流程来识别、衡量、监控和控制与云端服务相关风险,并提供人才培训,培养人员具备资安维护意识。
金管会也提供国外案例,供银行公会参考。林志吉表示,以新加坡银行公会的自律规范为例,业者尽职框架有包括应评估业者的财务、营运、声誉等,而契约协议事项的内容,包括应载明资料储存点、资料传输和业务持续性管理等事项。在持续风险评估和监督机制中,则要订定管理云、设计与保护云,和运行云的关键控制措施及控管指标。
最后,林志吉也表示,金管会已函请银行公会组成相关工作小组,作为金融机构采用云端服务的沟通平台,办理包括研议自律规范及最佳实务作业守则、举办论坛、研讨会等事项,分享云端服务的使用经验,并推动人才培训。