-
-
雲端服務查核
-
一、就雲端服務委外作業,公司對雲端服務提供者負有最終監督義務,應落實定期對雲端服務提供者之查核,宜依風險基礎方法規劃查核頻率、查核內容、時間及方式,並得視需要委託專業第三人或雲端服務提供者出具之專業第三方查核報告,以輔助其監督作業,且應遵循「作業委託他人處理應注意事項」之規定辦理。對於具重大性之境外雲端委外服務,應每年至少辦理一次查核。
-
二、公司應確保其本身、主管機關、同業公會及其指定之人能取得雲端服務提供者執行作業之相關資料或報告,包括客戶資訊及相關系統之查核報告,並進行查核。
-
三、涉及重大性之雲端委外作業者,對雲端服務之查核重點項目宜包含:
-
(一)雲端服務所在機房之實體安全控管機制。
-
(二)雲端服務提供者處理作業相關之重要系統及控制環節。
-
(三)盡職調查過程中雲端服務提供者所提供之報告內容。
-
(四)雲端平台資料刪除與災難復原流程。
-
(五)雲端服務提供者之營運持續性控制措施。
-
(六)雲端服務作業內容執行之妥適性並符合相關國際資訊安全標準及隱私保護標準。
-
四、應持續追蹤雲端服務提供者之查核改善情形,確保其採取適當和及時之替代性措施。
-
五、外國集團在臺子公司如該雲端服務係同所屬母集團關係企業或使用母集團統一選定之雲端服務業者,公司得與其所屬集團企業共同委託第三人或援用其總(母)公司、總機構或經其授權之區域總部負責統籌辦理並提供第三方查核報告。