轉載自CIO Taiwan, 2021/09/17
金融業想要上雲,金管會表示合乎規範,且要能經得起稽核。顯見金融上雲之路已然會愈來愈寬。
雲端運算架構已成當前數位轉型重要基石,各行各業無不積極轉向此重要趨勢,然而,國內金融業在主管機關金管會長期監督下,一直不敢大張旗鼓的擁抱雲端,此一態勢,將有轉圜跡象。只要資料存取方式與地點,具備有被稽核的方式與機制,金融上雲便有望放寬。
協助金融業上雲 微軟 Azure 蓄勢已久
台灣微軟雲端平台事業部副總經理蔡維彬表示,Azure 具有全球最高規格的安全認證,除了最基本的 ISO-27001/27018/27017/27701/ 等等機房方面的資安認證外,更有全球各地針對行業別的相關合規認證或符合特定行業別的合規要求,尤其在金融產業各項合規作業所需要的稽核流程要求,可說是一應具全。因此,Azure 便可以依照銀行客戶的要求,彙總所需要的相關稽核作業文件作為範本,提供主管機關執行稽核權,以及客戶本身進行自我稽核,或者由第三方單位來進行稽核。
蔡維彬指出,為達成符合金管會相關規定要求的申請文件,目前在與客戶不斷商討下,已經逐步成形,更於今年四月製作一份近 40 頁的 「在 Microsoft Azure 區域實現資料落地與資料保護」 文件,希冀成為上雲的標準作業範本,以加速金融上雲的步伐與規模。
台灣微軟大型企業商務事業群副總經理劉俊良表示,關於客戶與主管機關的查核權,金融業客戶可與微軟簽署金融服務修正條款 (Financial Services Amendment),透過合約明文約定來保障客戶的查核權 (包括實地查核權),亦可據此向主管機關進行說明。
金管會態度中立 資料上雲須符合規定
對於金融上雲的態勢,金管局負責此項業務的周組長表示,基本上是要求金融機構所委託的作業事項提出查核方法,因此若委託第三單位來進行也是可行,查核方法都要符合相關國際資訊安全的標準。金管會官網上有相關問答資料,其中「金融機構作業委託他人處理內部作業制度及程序辦法」裡面也有相關規定資訊。
周組長強調,是否將資料存在雲端並沒有明文禁止,只要符合相關資安規範,並且提供查核方法,經過認可後,即可資料上雲。
金控上雲多有佈局 實務運作步步為營
面對資料是否能上雲? 某本國金控統籌雲端的高管便指出,以過往經驗,主管機關最在意的便是個資,包括資料的保護以及去識別化作業便已經是相當複雜的程序。其次,便是如何分辨委外的的狀況,例如若從金控單位來把資料上雲,關係企業或子公司的取用是否算委外? 原則上,應該是委外狀況,如此則將增加應用上的難度。對此,他透露目前這方面似乎在共通資料上有相對的放寬,如此也可看出主管機關逐步鬆綁的態度。
至於微軟 Azure 目前所提供的合規文件,她則表示若要形成真正的標準申請文件,還有相當大的差異。
另一位金控資訊長表示,國際公有雲多數開始落地台灣,透過主管機關來要求從各個面向來降低風險,這對於國內金融業上雲有極其正面的意義。
