【上雲後】委外查核4大重點 持續管控上雲後的資料風險

金融業上雲後，在IT基礎架構改變的情況下，需要面對的風險也跟著不同，除了要調整資安防禦管理的架構和思維，對於雲服務供應商所提供的服務，金融業者也要負起監督責任，掌握以下4大重點進行實地查核。

重點1》》事先註明在委外合約裡

在《金融機構作業委託他人處理內部作業制度及程序辦法》第19-1條裡，特別強調實地查核的重要性。KPMG安侯資訊科技諮詢服務協理郭宇帆指出，為了方便查核，也為了合規要求，金融業者在與雲服務供應商簽訂委外合約時，要特別載明在合約期間可以實地查核的權利，像微軟目前提供的雲端公版服務合約裡，就已經提到金融機構的查核權，這有利於金融業符合主管機關的監理要求。

不只是在服務合約事先載明金融機構的查核權，台灣微軟也提供相應的數位工具，協助金融業者落實從內部到外的稽核查核機制。台灣微軟專家技術部技術方案經理陳怡珺進一步指出，上雲後的資料風險主要來自兩個部份，一是雲服務業者是否會自行存取客戶資料，對此，微軟提供客戶加密箱模組，當微軟基於維護等需求需要存取客戶資料時，必須經過金融業者同意才可以，讓金融業者確信微軟不會隨便存取客尸資料，並可藉此稽核微軟。二是有存取權限的外部系統或內部人員，微軟提供完整的存取Log，每一次存取資料的行為都會留下紀錄，金融業可以針對使用者、期間或部門別去列出存取紀錄，更完整地符合內稽需求。

重點2》》不能將現成資料當做查核報告

而在實際查核時，金融機構可以先檢視雲服務供應商能否提供ISO 27001證照、系統與組織控制（SOC）報告等外部稽核查核資料。以微軟為例，與雲服務相關的ISO 27001、27018、27017等稽核報告，皆每年稽核一次，且會上傳至「微軟信任中心網站」，供金融機構自行下載。

當然，金融機構不能只看憑這些現成資料，就認為查核完畢，還是要根據查核內容進行實地查核。一來因為這些報告目前都還沒有被接受可以直接拿來做為查核報告，二來則為主管機關還是希望金融業者能夠落實查核作業，因此，勤業眾信風險諮詢服務協理廖柏侖強調，金融機構要訂出完整的查核內容，包括查核頻率、由誰來發動查核、誰有資格執行查核、查核的基準依據等。

重點3》》參考國際標準設計查核內容

郭宇帆建議，金融業者可以根據相關的國際標準來設計查核內容，而目前台灣最多金融機構使用的查核標準就是，雲端安全聯盟（Cloud Security Alliance；CSA）所提出的雲端控制矩陣（Cloud Control Matrix；CCM），另外像ISO 27017或27018等國際標準亦有金融業者採用，但比例較低。

無論使用哪一種國際標準，最重要還是看金融業者需求和重視的查核項目，因此金融業者必須與管理顧問公司仔細溝通查核的基準和手法，再根據契約向雲服務供應商行使查核權，也因為已經載明在契約裡，所以雲服務業者不能拒絕，必須配合金融業者的要求，提供相關資料，管理顧問公司才能出具查核報告，當主管機關前來監理時，金融機構才能出具證明，證明自身有負擔一定程度的監督責任。

重點4》》攜手金控子公司進行聯合查核

廖柏侖認為，其實雲端和一般委外查核沒有不同，只是比較複雜，因為雲服務業者可能在境外，管制措施可能比較多，建議金融業者可以聯合金控集團的子公司一起查核，省時省力，又能建立集團內一致的查核標準。

勤業眾信風險諮詢服務資深執行副總經理林彥良認為，落實委外監督與管理責任，是金融業上雲的第三道防線，在這之前還需要做好基礎規劃和架構，建立起第一和第二道防線，才能完善上雲藍圖。

林彥良進一步說明，未來，金融業可能會有更多業務單位有上雲的需求，因此必須建立一套可以適用所有單位的準則，讓各個業務單位可以去參考，進而發展自己的上雲業務，而這時候就要思考三道防線的議題，第一道防線負責雲的基礎規劃，第二道防線則制定上雲的方案、作法、架構等面向，為上雲提供一個統一的標準，第三道防線則要執行稽核或查核的工作，而且要突破過往定時查核（用時間點去做查核）的機制，採用連續性及加強性的查核作業，才能更有效地控制風險。

在金融業上雲的過程中，實地查核是控制風險最重要的方式，也是主管機關最重視的環節，因為金融業者唯有親自到雲服務供應商的資料中心進行查核，才能確保雲服務供應商有落實自身所聲稱的資訊安全防禦機制，金融業者也才能放心將應用或資料服務放在雲端，進而拓展更多雲端應用，加速實現數位轉型的目標。

想瞭解更多金融上雲的資訊，歡迎下載微軟提供的「法規遵循檢核表」，詳列各項金融業者必須監管的問題，及因應該問題微軟所能提供的協助，俾使金融機構能夠更加完善上雲過程。

[本文由經理人整合行銷部與微軟共同製作]