【資訊安全】金融機構運用新興科技作業規範（Part 2）

本文接續上一篇文章，繼續介紹《金融機構運用新興科技作業規範》（以下簡稱「作業規範」）。

六、對雲端服務業者負有最終監督義務，並應具有專業技術及資源監督雲端服務業者執行作業，並得視需要委託專業第三人以輔助其監督作業。

第六項要求銀行對雲端服務業者負有最終監督義務，然而銀行未必具有專業技術（如服務模式、部署模式）及資源（如人力資源、時間資源）進行監督，這時候銀行可以委託專業第三人（如會計師事務所）輔助監督作業。評估人員應徵求監督紀錄，瞭解銀行是否針對雲端服務業者執行監督作業（如實地查核機房）。部分雲端服務業者（如AWS）會在官方網站揭露其遵循的法規及治理架構，銀行及評估人員也可以透過這種途徑瞭解業者背景。

七、 應確保其本身、主管機關及中央銀行，或其指定之人能取得雲端服務業者執行作業之相關資訊，包括客戶資訊及相關系統之查核報告，及實地查核權力。

第七項提到銀行要確保自身、主管機關（如金融監督管理委員會）和中央銀行能取得相關資訊（如客戶資訊、系統查核報告）及實地查核權力。銀行應於契約中加入相關條文，以確保自身權益。建議評估人員徵求受評機構與雲端服務業者簽訂的契約，瞭解契約內容是否滿足作業規範的要求；或請受評機構提供實地查核報告，作為銀行具有查核權的佐證。

八、 得自行委託，或與委託同一雲端服務業者之其他金融機構聯合委託具資訊專業之獨立第三人查核，並應符合下列規定：
(一) 確認其查核範圍涵蓋雲端服務業者處理作業相關之重要系統及控制環節。
(二) 應評估第三人之適格性，以及其所出具查核報告內容之妥適性並符合相關國際資訊安全標準。
(三) 應針對金融機構所指定作業範圍進行查核並出具報告。

第八項說明查核方式，銀行可以聯合其他金融機構委託第三人（如會計師事務所）查核，但應符合三點規定：查核範圍的完整性、評估查核單位資格及依據、出具查核報告。建議評估人員直接徵求查核報告，報告中多半會註明查核範圍、查核單位具備資格和查核依據（如CSA STAR）。

九、 傳輸及儲存客戶資料或敏感資料至雲端服務業者，應採行資料加密或代碼化等有效保護措施及訂定妥適之加密金鑰管理機制（如租用硬體安全模組）。

第九項要求銀行採用傳輸加密（如HTTPS、WSS）或代碼化（Tokenization）將客戶資料或敏感資料傳輸至雲端服務業者，並採用靜態加密或代碼化儲存資料。此外，銀行應租用加密金鑰管理服務（如AWS KMS）。建議評估人員瞭解雲端服務業者提供的加密解決方案，並確認業者採用通過 FIPS 140–2 等級3的硬體安全模組（HSM）。

十、 對雲端服務業者處理之資料應保有完整所有權，除執行指定作業外，金融機構應確保雲端服務業者不得有存取客戶資料之權限，並不得為指定範圍以外之利用。

第十項談到資料權，雲端服務業者不應主張資料擁有權，而且在處理或利用資料時，不得逾越特定目的之必要範圍。換言之，除銀行選擇的雲端服務及需要遵循的法律外，雲端服務業者不得為指定範圍以外之利用。建議評估人員瞭解雲端服務業者（如Azure、AWS、GCP）提供的資料隱私權和保護聲明。

十一、委託雲端服務業者處理之客戶資料及其儲存地以位於我國境內為原則，如位於境外，應依下列規定辦理：
(一) 金融機構須保有其指定資料處理及儲存地之權力。
(二) 境外當地資料保護法規不得低於我國要求。
(三) 除經主管機關核准者外，客戶重要資料應在我國留存備份。

雖然主管機關開放境外處理及儲存資料，但須依三項規定辦理，因此資料處理及儲存仍以位於我國境內為原則。不過雲端服務業者已陸續於國內建立資料中心，所以第十一項帶來的影響可能逐漸降低。

十二、應訂定妥適之緊急應變計畫，降低因雲端作業而可能有服務中斷之風險。金融機構終止或結束作業委託，應確保能順利移轉至另一雲端服務業者或移回自行處理，並確保原雲端服務業者留存資料(如作業系統映像檔、儲存空間、快取空間、備份媒體)全數刪除或銷毀，並留存刪除或銷毀之紀錄。

第十二項明確指出銀行應建立應變計畫，降低服務中斷的風險。建議評估人員也瞭解雲端服務業者的災害應變計畫或復原服務。另一方面，銀行中止或結束作業委託時，應確保資料順利移轉，並確認留存資料已全數刪除或銷毀，並留存刪除或銷毀紀錄。若有上述情形發生，建議評估人員徵求刪除或銷毀紀錄。

十三、採用IaaS或PaaS雲端服務模式者應符合下列規定：
（一）應評估雲端服務業者之合格條件、服務水準、復原時間、備援機制、供應鏈關係、權責歸屬及資訊安全防護等項目。
（二）應評估雲端服務業者提供之平台、協定、介面、檔案格式等，以確保互通性與可移植性。
（三）應確保雲端服務業者提供之資源與其他承租人所使用之資源各自獨立，互不影響（如防火牆區隔）。
（四）應與雲端服務業者簽訂服務協議，維持所需之服務水準並定期提出報告與操作紀錄（如服務水準報告、系統變更紀錄、作業系統映像檔存取紀錄等）。
（五）如有設備定期維護更換時(如硬碟更換)，資料也須進行全數刪除或銷毀、並留存刪除或銷毀之紀錄。

第十三項包含五點規定，如果銀行採用IaaS或PaaS雲端服務模式，應辦理供應商評估、簽署服務水準協議（SLA）和留存資料刪除或銷毀紀錄。

十四、應監控並建立資通安全事件通報程序。遇事件發生時，相關單位及人員應依循前述通報程序辦理。

多數銀行已建立資通安全事件通報程序，建議評估人員瞭解銀行如何進行監控，並徵求相關程序。

十五、提供電子銀行服務者，應符合本會制定之「金融機構辦理電子銀行業務安全控管作業基準」規定。

未來將以專文介紹《金融機構辦理電子銀行業務安全控管作業基準》規定。