-
-
雲端服務治理制度與風險管理
-
一、公司使用雲端服務應建立使用雲端服務治理制度,規劃並確認以下事項:
-
(一)應制定雲端服務管理政策,至少每年檢視一次。
-
(二)專責單位及相關單位對雲端服務使用之角色權責與責任劃分,專責單位應包含雲端財務、成本或資源管理之角色。
-
(三)應針對雲端服務採取風險基礎方法評估潛在風險與管理風險議題,評估項目宜包含:
-
1.雲端服務使用模式與情境;
-
2.雲端服務所涉及之業務與資料;
-
3.公司對於雲端服務可用性與互通性之要求;
-
4.公司對於雲端服務之管理能力與經驗。
-
(四)使用雲端服務與控管其風險事項應注意風險適度分散,惟採取多雲或其他分散策略時,應同時考量營運複雜性提升之風險。
-
(五)如將作業項目委託至境外處理,應評估雲端服務提供者之客戶資料處理地及其儲存地之資料保護法規,不得低於我國要求。如有高風險之情形者,公司應採行妥適之風險控管措施。
-
(六)公司應針對使用雲端服務之風險建立適當監控機制,如:監控雲端資源負載、安全防護與服務可用性,以健全業務持續性運作。
-
二、董事會應認知及監督公司使用雲端服務之風險,確保對於控管雲端服務風險事項具備充足之資源、專業及權限。外國集團在臺子公司,得由總公司或經其授權之區域總部負責及辦理。
-
三、應確保公司相關人員具備應有之專業知識與技能,於使用雲端服務期間定期辦理人才教育訓練並驗證教育訓練之有效性,訓練內容可包含資訊安全、風險認知和雲端知識技能等議題,以提升人員對雲端服務導入、使用及管理之能力,並能以風險基礎方法做出適當之決策與監督。