近期的COVID-19帶來了新常規,各行各業亦積極研究數位轉型以因應這波變動,不妨參考金融業在主管機關要求、國際標準與IT最佳實務整合思考下所發展出來的實踐做法,將有所裨益。
隨著Bank 4.0風潮的推波助瀾,數位科技持續加速金融商業模式的變革。根據調查,在台灣企業2020上雲策略報告中,金融業為台灣前三大預計擁抱雲端的產業。追根究柢,就在於金融科技持續發展,不論純網銀、本國金融控股、跨國金融集團均摩拳擦掌,試圖推出嶄新的金融服務以搶得先機。然而,所有的服務都須由資訊基礎設施來支持,而雲端服務快速部署、依用量收費的特性,正是協助這樣的試驗「快速失敗、快速成功」(Quick Win, Fast Fail)的最佳模式。不過,金融業因其行業自身要求以及高度監理的特性,其安控要求相較於其他產業更為嚴謹,在重要資料上甚至連資料所在地均有所要求,使得金融業者在雲端導入上更須謹慎應對。
今年以來,純網銀、開放銀行、金融上雲三大政策,宣示了金融政策的逐步開放。而「金融機構作業委託他人處理內部作業制度及程序辦法」之修訂,明確提供金融業上雲準則,根據勤業眾信彙整金管會資料,其管理辦法包含八大重點:
01 金融機構應確保作業風險控管,評估受託機構處理的風險,採取適當風險控管措施。
02 金融機構對雲端服務業者負有最終監督義務,並視情況需要委託專業第三人輔助監督作業。
03 金融機構應確保能取得雲端服務業者執行受託作業的相關資訊,包括查核報告,以及實地查核權利。
04 金融機構得自行委託,或是與其他委外同一家雲端服務業者的金融機構,聯合委託具備資訊專業的獨立第三人查核。
05 金融機構傳輸及儲存客戶資料到雲端服務業者,應將客戶資料加密等有效保護措施,並訂定加密金鑰管理機制。
06 委外處理的資料應保有完整所有權,並確保雲端服務業者除了執行受託作業之外,不可在委託範圍以外利用。
07 金融機構也應訂定緊急應變計畫,降低因作業委託而可能有服務中斷的風險。
08 委託雲端服務業者處理的客戶資料以及資料儲存地,要以我國境內為原則。若是資料儲存地位於境外,得遵守三項規定辦理。
另外,在主管機關審理方面則是採取雙軌制,依照雲端作業委外的重大性,區分為「核准制」及「備查制」。基本上,重大性的委外作業或是將作業委託境外,都必須採取事先申請核准制,其他則採取事後備查制。至此,金融業者對於雲端的採用終於不用像偷開潘朵拉的盒子,而有了明確的法源依據。
因應金融監理之管理作為
為因應金融監理之管理作為可分為業務委外策略、風險評估與控管、查核及監督,以及退場機制等面向來探討。
業務委外策略
委外的最高指導原則應以業務需求為最高之考量,不可因上雲而上雲。就監管面來說,根據歐洲銀行業管理局(EBA)之建議,制定風險策略、制定風險政策以及對客戶及主管機關之責任等三大項目不可委外。
而就業務本質來說,委外服務項目是否為該行業關鍵業務、委外是否能為組織帶來更大效益,例如成本減省、7×24服務。若是使用雲端軟體即服務(SaaS),可以思考套用雲端軟體既有的管理功能、分析模組及法遵模組,可於導入雲端同時強化本身既有運作流程。
風險評估與控管
金融業者可以先以新巴塞爾資本協定的作業風險管理要求量測及審查「因內部作業、人員及系統之不當或失誤,或因外部事件所造成損失之風險」,並對其中的法遵風險多加留意。
另外,由於目前許多雲端業者於台灣並無建設機房,還需要額外去檢視雲端業者機房當地之法律法規,進行適法性分析並出具報告,其中必須考量到在境外執行稽核權的相關存取權限及風險。還有,在今日中美對抗的強大地緣政治氛圍底下,政治考量及法律之司法管轄權等議題是否導致雲端業者服務協議失效,也須一併考量。
查核及監督
需要釐清的是,金融機構作為面對使用者的單位,金融機構對雲端服務業者負有最終監督義務。因此雲端業者必須提供金融機構或其委託之第三方進行存取其委託活動相關的設備、系統、網路及資料之權限。而金融機構須定期及不定期就受委託機構之客戶資訊之使用、處理及控管,對其內部相關單位及委外雲端廠商進行一般性查核、專案查核或委託獨立第三方進行查核。查核範圍亦須思考整體委外鏈。另外,合約中也必須要求雲端服務業者,在任何外包廠商之變動或重要服務內容變更時須提前告知。
在查核上,過去爭議較多的是實地查核權力,現主管機關已開放金融機構共同委託第三方進行查核,各雲端業者亦多已開放稽核場次提供予客戶及當地主管單位,目前看來問題可算初步解決。
退場機制
為避免雲端服務鎖定(Lock-in)而導致相關服務無法移轉,造成使用者不便,甚至金融秩序紊亂,使用雲端服務前對雲端服務業者執行可代替性評估是非常重要的。而選定雲端業者後,也必須訂定妥適之緊急應變計畫並適度演練,其中的重點在於識別出可選擇的替代方案以及資料轉移計畫。另外,合約中也要確保雲端服務業者須提供轉移所需之資源及技術。
因應雲端服務之技術思維
因應雲端服務之技術思維,必須考量供應商之平衡、雲端共通規範、資料整合平台以及安全議題。
供應商之平衡 金融業者作為資訊應用的先驅者,走過了大主機時代、開放平台、虛擬化架構,現今再走到雲端化的時代,一路以來倚賴各大科技業者的相互扶持,尤其在逐步走入雲端的過程中,雲端、地端廠商仍須通力合作。還有許多組織已建立的自有雲、多數組織已採用的微軟生產力套件,如電子郵件、檔案分享等都已在雲端上,這些跨雲的管理都需要資訊服務廠商的高度合作,因此在技術上針對供應商之平衡做整體策略思考是絕對必要的。
雲端共通規範
IT講究的始終不脫人員、流程與技術。現在有了業界完整的底層技術,往上就需要建立組織內部的雲端共通規範。試想一個龐大的金融控股集團,底下組織龐雜、分工細緻,過往資訊單位大多各司其政,造成管理上的高度落差,而現在雲端的導入正是一個絕佳的標準化機會,如能建置集團內未來的資訊平台架構,包含作業系統、資料平台、資料交換機制、監控與安全架構等等於雲端平台,並制定其相關作業管理辦法,那麼不僅新上線的資訊服務一併適用,未來可能的併購或分拆,都將受益於雲端的技術互通性與可移植性。
而在實務上,共通規範的建立須注意各家雲端業者的符合程度以及各式資訊設備內建於各雲端平台的程度。使用可整合並內建於雲端平台的方案,例如應用程式防火牆,將可大幅減低未來系統移轉的難度。另外值得一提的是,各雲端平台業者近年也推出Serverless的快速部署方式,這時就必須考慮未來移轉的難易度。
資料整合平台
近年許多機構都因大數據分析與人工智慧專案導入雲端,就是想利用雲端高度動態的運算能力。然而,法規亦要求重要資料須於國內備份,若再考量隱私安全,較佳的解決方案應是資料整合平台存放去識別化之事實或統計資料,重要交易資料與個人資訊均置放在各自之業務系統,即可以大幅減低法遵之成本,各單位只須針對各自業務系統進行評估,進行必要的報備或向主管機關申請審核即可。
安全、安全,還是安全
在所有調查裡面,資安永遠是雲端疑慮的第一順位,而今年年中甫上任的金管會主委黃天牧亦揭露四大目標及六大興利方案,其中亦強調金融科技發展與金融資安行動方案,可以預期的是,未來金融主管機關在資訊安全相關要求的審理上勢必視為重中之重。
目前,大型雲端業者多已取得STAR Level 2認證。而在企業方,雲端安全聯盟(CSA)提供的CAIQ(Consensus Assessments Initiative Questionnaire)可協助組織評估自身導入雲端服務的安全水準,進而可以發展方案並妥善因應雲端服務可能面臨的安全風險,而在隱私安全上,亦可參考其發行之Code of Conduct for GDPR Compliance。
結語
銀行業等金融機構作為使用資訊系統最古老的行業之一,在上雲有了法令依據之後,可以預期雲端轉移在近期會造成一波金融數位轉型,並藉以強化資訊韌性。而在金融業外,近期的COVID-19帶來了新常規,各行各業亦積極研究數位轉型以因應這波變動,這時不妨參考金融業在主管機關要求、國際標準與IT最佳實務整合思考下所發展出來的實踐做法,相信一定會有所裨益。
<本文作者:顏志仲,為前高科技及金融業資訊安全主管,具有20年以上大型高科技製造業與跨國金融機構服務經驗,其專長涵蓋資訊治理、企業風險管理與企業資訊架構。作為前HTC全球資訊安全主管與亞洲最安全銀行資訊安全主管,他曾建立全球規模之資訊安全組織,其業務範疇包含安全認知∕政策∕營運∕技術與事件管理,並也曾於跨國銀行管理高度監理之零信任安全維運。在此之前,顏先生亦於資訊管理協會與電腦稽核協會大型會議擔任講師。>