法規資訊
| 法規名稱 | 證券期貨市場相關公會新興科技資通安全管控指引 |
| 發佈日期 | 民國113年12月27日 |
| 沿革資訊 | 中華民國113年12月27日臺灣證券交易所股份有限公司臺證輔字第1130504647號函修正全文54條(中華民國113年12月17日金融監督管理委員會證券期貨局證期(資)字第1130361536號函辦理) |
所有條文
-
第4條 (雲端服務風險管理)
-
一、組織使用雲端服務應建立使用雲端服務治理制度,規劃並確認以下事項:
-
(一)應制定雲端服務管理政策,至少每年檢視一次。
-
(二)專責單位及相關單位對雲端服務使用之角色權責與責任劃分,專責單位應包含雲端財務、成本或資源管理之角色。
-
(三)應針對雲端服務採取風險基礎方法評估潛在風險與管理風險議題,評估項目宜包含:
-
1、雲端服務使用模式與情境;
-
2、雲端服務所涉及之業務與資料;
-
3、組織對於雲端服務可用性與互通性之要求;
-
4、組織對於雲端服務之管理能力與經驗。
-
-
(四)使用雲端服務與控管其風險事項應注意風險適度分散,惟採取多雲或其他分散策略時,應同時考量營運複雜性提升之風險。
-
(五)如將作業項目委託至境外處理,應評估雲端服務提供者之客戶資料處理地及其儲存地之資料保護法規,不得低於我國要求。如有高風險之情形者,組織應採行妥適之風險控管措施。
-
(六)組織應針對使用雲端服務之風險建立適當監控機制,如:監控雲端資源負載、安全防護與服務可用性,以健全業務持續性運作。
-
-
二、董事會應認知及監督組織使用雲端服務之風險,確保對於控管雲端服務風險事項具備充足之資源、專業及權限。
-
三、應確保組織相關人員具備應有之專業知識與技能,於使用雲端服務期間定期辦理人才教育訓練並驗證教育訓練之有效性,訓練內容可包含資訊安全、風險認知和雲端知識技能等議題,以提升人員對雲端服務導入、使用及管理之能力,並能以風險為基礎方法做出適當之決策與監督。