【資訊安全】SA-2 外判(Part 1)
--
多數台資銀行在香港設立的分行,其資訊系統仰賴總行資訊處提供支援及服務,而香港金融管理局(Hong Kong Monetary Authority,以下簡稱「HKMA」)制定了外判監管政策手冊(以下簡稱「SA-2」),以確保外判安排不致損害客戶的利益。本系列文章將站在第三方顧問的角度介紹SA-2,並分享一些評估經驗。
2. 監管的主要關注事項
2.1 問責性
2.1.1
在任何外判安排中,認可機構的董事局及管理層對所外判的業務負有最終責任。外判安排只是將某項業務或工作的日常管理責任而非問責性轉移予服務供應商。因此,認可機構應繼續保留對外判業務的最終控制權。
常見的做法是在合約中說明認可機構保留外判業務的最終控制權。舉例來說:香港分行與總行簽訂備忘錄(Memorandum of understanding,MOU),並明定香港分行具有外判業務的最終控制權。
2.2 風險評估
2.2.1
認可機構的董事局及管理層應確保建議的外判安排已通過全面的風險評估(包括業務操作、法律及信譽風險),而發現的所有風險亦已在推行外判計劃前獲得妥善處理。具體而言,有關的風險評估應包括下列各範籌:
• 將予外判的服務的重要性及關鍵性;
• 作出外判安排的理由(如成本及收益分析);及
• 外判對認可機構的風險狀況(包括業務操作、法律及信譽風險)的影響。
認可機構將業務外判前,應進行風險評估,並針對發現風險進行改善或建立補償措施。認可機構應留意風險評估是否涵蓋所有要項內容,舉例來說:評估作業風險、法律風險和信譽風險。
2.2.2
認可機構在推出外判計劃後,應定期重新作出上述的風險評估。
認可機構將業務外判予服務供應商後,應定期進行風險評估。常見的做法是每年至少進行一次風險評估。
2.3 服務供應商的能力
2.3.1
在選擇服務供應商前,認可機構應作出適當的嚴格調查。在評估服務供應商時,除考慮成本因素及服務水平外,認可機構還應顧及服務供應商的財政穩健程度、信譽、管理技巧、技術能力、營運能力及規模、與認可機構的企業文化和未來發展策略的配合程度、對銀行業的熟悉程度,以及緊貼市場創新步伐的能力。
多數認可機構有建立供應商審查機制,在選擇供應商時,會進行盡職調查(Due Diligence),並將結果記錄在表單中。以台資銀行在香港設立的分行來說,儘管熟知對方的整體控制環境,仍應留意盡職調查是否涵蓋所有要項內容。
2.3.2
認可機構應備有管控措施( 如與服務水平目標比較),以持續監察服務供應商的表現。
部分認可機構會在合約中訂定服務水準目標(Service Level Objective,SLO),或另外簽訂服務水準協議(Service Level Agreement,SLA)。認可機構應確保服務水準符合預訂目標,常見的做法是檢視服務水準報告,確認供應商是否達成服務水準目標。
2.4 外判協議
2.4.1
認可機構與其服務供應商簽訂的服務協議應清楚列明所提供的服務種類和水平,以及服務供應商在合約下的責任和義務。
認可機構應與服務供應商簽訂合約,並說明服務範圍、服務種類、服務水準和責任義務。服務範圍通常以系統做為劃分,例如:網路銀行系統;服務種類可能包含日常維運、功能調整和系統備援等;服務水準可能包含:服務中斷時間、復原時間目標和服務回應時間等;責任義務通常包含:保密義務、爭議處理和事件通報等。
2.4.2
認可機構應定期(如每年)檢討其外判協議,並應評估該等協議是否應重新議訂及續期,以便與市場標準看齊及應付其業務策略上的改動。
認可機構應定期檢視外判合約,評估是否需要調整。常見的做法是每年檢視合約,若不需要調整的話,將沿用既有合約。
2.4.3
如服務供應商為一間認可機構的全資附屬公司或一境外註冊認可機構的總辦事處或另一分行,則簽訂諒解備忘錄便可接納為適當的安排。
台資銀行在香港設立分行即適用本條規定,雙方通常會簽訂備忘錄。
2.5 客戶資料的保密
2.5.1
認可機構應確保建議的外判安排符合有關的法定要求(如《個人資料(私隱)條例》)及普通法下的客戶保密規定。一般來說,認可機構應就此尋求法律意見。
除了在合約中要求服務供應商遵循《個人資料(隱私)條例》的規定外,認可機構應在外判前取得法律意見,確保外判安排符合法規要求。
2.5.2
認可機構應備有管控措施,確保服務供應商遵守客戶資料保密的規定,並設有防範措施保障客戶資料的機密及完整性。常見的防範措施包括:
• 由服務供應商保證公司本身及僱員會遵守保密規則,包括《個人資料(私隱)條例》列載的保障資料原則;
• 一旦出現違反保密規則的情況,認可機構有合約上的權利對服務供應商採取法律行動;
• 將認可機構的客戶資料與服務供應商及服務供應商的其他客戶的資料分隔;及
• 規定對認可機構客戶資料的使用權只按需要知曉原則授予服務供應商的獲授權僱員。
認可機構通常會將以上這些規定加入合約。實際的控制活動可能包含:要求服務供應商的員工簽訂保密協議(Non-disclosure Agreement,NDA)、將認可機構的資料存放至不同資料庫或空間和定期覆核系統權限清單或存取日誌,確認服務供應商依據僅知原則(need-to-know)授權其員工。
2.5.3
認可機構應以一般性的措辭通知客戶其資料可能會外判處理。就重大的外判計劃,特別是外判至海外地區,認可機構應另外給予客戶特別通知。
常見的做法是在客戶約定條款中,說明資料可能會外判給台灣總行處理。客戶取得相關服務前,應同意約定條款內容。
2.5.4
無論基於何種原因,若要終止外判合約,認可機構應確保向服務供應商取回所有客戶資料或將資料毀滅。
認可機構應在合約中明定,一旦外判合約終止,服務供應商須返還所有系統文件、交易紀錄和顧客資料,或將相關資訊資產銷毀。以台資銀行在香港設立的分行來說,以上這種情形較無可能發生。