Contract
金融業上雲委外實戰分享
金融機構將作業委託他人處理涉及使用雲端服務相關法規條款
第3條
委外事項範圍
第3條
第10條
委外契約
第9條
第18、19條
境外委外作業
第16、17條
第19-1條
第19-2條
委外作業涉及使用
雲端服務時
委外作業涉及雲端申請
第17-1條
第17-2條
金融機構作業委託他人處理內部作業制度及程序辦法
保險業作業委託他人處理應注意事項
一、應採取適當風險管控措施
八、應訂定緊急應變計畫,涵蓋服務中斷委託結束後的轉移等,也要確保委外儲存的資料全數銷毀
七、租用境外雲端服務須符合3要求:
•保有指定資料處理及儲存地之權力
•儲存地境外個資法規不得低於我國
•需有境內備份
二、金融機構有最終監督義務,但可委託專業第三人輔助監督作業
金融機構委外辦第法1第91-91-1條/保 險應委對託八他大人要第點 17-1
六、須確保雲端供應商不得有存取顧客資料的權限及用於非委託之用途
三、應確保金融機構監理機關或委外查核人員,可取得雲端委外作業的執行資訊,包括實地查核權
四、使用同一雲端供應商的金融機構,可聯合委託第三方查核雲端業者
五、明定資料傳輸及儲存上雲端要有保護措施和加密金鑰管理機制
金融機構將作業委託他人處理涉及使用雲端服務應辦理事項
• 委外服務之範圍與計畫
• 作業委託之雲端服務業者,是否有適當風險管控措施,以避免服務中斷之風險(緊急應變計畫),及如何適度分散風險。
• 客戶資料及資料儲存地點及重要資料留存我國之說明,若境外儲存應說明資料儲存地及當地資料保護法規
• 客戶資訊保護措施(如未涉及客戶資料可說明不適用)
• 受委託機構(雲端服務業者)遵守我國客戶資料保護相關規定
• 受委託機構(雲端服務業者)對於保於實地查核權之態度
金融機構委外作業涉及雲端申請規定
金管會將依照雲端作業委外的重大性與否,區分為「核准制」以及「備查制」。作業委託他人處理涉及使用雲端服務,具重大性的委外作業,或將作業委託到境外者,應檢具書件向主管機關申請核准始得辦理,事先向金管會提出申請。非以上範圍的委外作業,得檢附簡化申請書件報請備查。
客戶資料及其儲存地、自然人保戶相關資訊系統之資料登錄、處理、輸出等事項位於境外
境外 核准
雲端 具重大性之作業
服務
綜合評估是否為重大性作業
1.受託作業如無法提供服務或有資訊安全疑慮,對金融機構之業務營運有重大影響者。
2.受託作業涉及客戶資料安全事件,對金融機構或客戶權益有重大影響者。
境內 3.其他對金融機構或客戶權益有重大影響者。
非重大性之作業 備查
委外申請準備三步驟
★重點:確認範圍和分工,成功邁出第一步
一、確認範圍階段
確認範圍與差異分析
與CSP
溝通討論
★重點:充分溝通
,取得內部共識
二、文件準備階段
適法性分析
擬訂委外計畫
內部文件審閱
與金管會預先溝通
提報董事會審查
★重點:申請書件齊全
三、文件送審階段
彙整報部送件資料
正式遞件申請
文件審
查
通過審
查
委外申請文件準備建議分工權責
審查文件清單 | 資訊 | 資安 | 法遵 | 法務 | 風管 | 稽核 | 雲端服務商 |
申請表、自我檢核表 | |||||||
依委外辦法第4條第2項訂定之委外內部作業規範 | |||||||
董(理)事會議事錄 | |||||||
法規遵循聲明書 | |||||||
委外作業之必要性與適法性分析 |
|
| |||||
作業委外計畫書 |
|
|
| ||||
客戶資訊保護措施及是否已取得客戶 同意,以確保委外服務品質及客戶權益之說明 |
| ||||||
受委託機構書面同意函 | |||||||
受委託機構之內部控制制度及相關作 業程序 | |||||||
法律意見書 | |||||||
受委託機構財務報告 | |||||||
受委託機構出具聲明書 |
主要準備者 協助提供說明 提供審閱意見與建議
獨立第三人查核之要求:金融機構除持續辦理定期獨立查核作業,可考量聯合查核
鑒於雲端科技具相當專業複雜度,金融機構對受託機構進行 查核,得自行或與其他金融機構聯合委託具資訊專業之獨立第三人查核為之;考量雲端業者委託之獨立第三人,對於我國相關法規,銀行公會資安標準以及委託銀行本身之相關要求
,似未較銀行自行委託者熟稔,我國相關法規及制度,爰仍以自行委託或與其他金融機構聯合委託為限。
金融機構所發起(聯合)委託之查核
對雲端業者之查核
直接引用雲端業者已有之證照或查核結果
雲端委外服務提供商(CSP) 查核主要依據
聘僱人員之管理
契約終止或解約之條款 重大異常或缺失通知機制複委託情況
其他契約重要約定事項
消費者爭端解決機制
•
•
•
•
•
•
• 客戶資料保密
• 風險管理、內部控制及內部稽核制度
金融機構與CSP間的雲端服務合約
▪ 台灣國內目前針對雲端應用之安全要求主要以金管會修訂之《金融機構作業委託他人處理內部作業制度及程序辦法》及銀行公會訂定之《金融機構運用新興科技作業規範》為主。其中CSP業者應遵循之事項如下:
金融機構作業委託他人處理內部作業制度及程序辦法 |
• 不得有存取客戶資料之權限,且不得為委託範圍以外之利用 • 資料保護措施 • 定期報告與操作紀錄 • 資料刪除/銷毀作業及其記錄 • 內部資訊安全管理作業(作業風險控管) • 境外廠商特別規範 |
金融機構運用新興科技作業規範 |
• 服務協議簽訂 • 提供給委託者之雲端資源與其他委託者獨立 • 資料保護措施 • 緊急應變計畫 • 資料取得權力 • 資安事件通報程序 • 資料刪除 • 境外CSP作業要求 |
金融機構將作業委託他人處理涉及使用雲端服務,應對其受委託機構執行查核及監督
結
依論據查核結果出具報告,確認服務供應商之服務資訊安全
性,以確保廠商及交付服務品質。
服務查核報告
安全情形
標準遵循性
服務提供商查核作業
出具查核報告
報告架構
查核需求
現況了解
服務供應商執行現況
擬定查核計畫
標準及規範
法令 委外
現況了解
法規 合約
依據現況了解
製定查核標準
查核作業
FI所委託使用之雲端服務適用範圍
內部 國際
規範 標準
查核發現事項
了
確解認服務供應商所適用之遵循標準,製定 查核標準。檢視服務供應商執行資訊安全遵循情況。
查
針核對服務供應商提供之雲服務執行查核作業,確認
其執行情形是否有符合相關要求。
如何完成有效的雲端委外稽核之關鍵
01 雲端資安控管熟悉度
熟悉雲端安全、國內外金融法規要求 熟悉雲端服務架構,了解金融機構與雲端業者之責任分工模型
多方溝通之順暢度 02
跨國、跨組織的溝通,需在語言、成本、時間多重壓力下,完成有
效且完整之查核作業