澳大利亞 Prudential 規章核證機關 (APRA)

APRA 概述

澳大利亞 Prudential 管制機關 (APRA) 監督銀行、信貸工會、保險公司和其他金融服務中心在澳大利亞。 認識到雲端計算的勢頭,APRA 已在管制實體上呼叫,以執行精心的雲端採用策略,具有有效的控管、完善的風險評估,以及一般的保證處理常式。 當外包材料商務活動時,管制機構必須遵守 APRA Prudential STANDARD CPS 231 外包 (可能中斷的任何活動)對財務機構的商務運作產生重大影響,或能夠有效管理其風險。 根據其對 APRA 提交至之雲端計算服務的外包功能的複查,APRA 發佈的特定詳細指導資訊,與 雲計算服務外包 ,以協助管制實體更有效地評估雲端提供者和服務,並透過外包至雲端的法規問題加以指導。 當外包時(包括雲端服務),管制機構也必須回顧並考慮與 APRA Prudential STANDARD CPS 234 資訊安全性相符的運作。

Microsoft 和 APRA

針對澳大利亞的財務機構,以評估雲端提供者及其服務,Microsoft 已發佈:

其共同示範財務公司如何將資料和工作負載移至 Microsoft Azure,讓他們能夠信賴 Prudential 規章機關 (APRA) 規章和指導方針。

若要瞭解 Azure 上 APRA 相容的融資服務帶來的好處,請閱讀 Regtech 與 Fintech:永久和 Microsoft 轉換財務部門 文章。

Microsoft 對雲端上 APRA 資訊紙張的回應

此 Microsoft 白皮書提供有關金融服務的詳細指導,以及對 APRA 資訊與 雲端計算服務有關的各項問題的詳細回應。 APRA 指導方針會識別三個常見的雲使用狀況類別:「低」、「提升」和「極不明確的風險」,並反白顯示管制實體必須考慮的重要問題,成為其風險評估的一部分。

Microsoft 回應著重于兩個最高的風險類別。 雖然雲端服務不會受到任何風險類別的禁止,但 APRA 會期望您執行 commensurately 更高程度的努力,而且在您上移到風險類別時,您應該會預見到不斷增加的 APRA 審查層級。 APRA 會列出通常表示 cloud 外包的高或極高風險的因素範圍。 Microsoft 會深入討論這些因素中的每個因素,提供協助您評估和管理將資料和工作負載移至 Azure 的風險的資訊及工具。

Microsoft 也針對每個 APRA 風險管理考慮事項:策略、控管、解決方案選擇程式、APRA 存取權,以及行動、轉換方法、風險評估與安全性、持續監督、業務中斷及審核和保證的功能。 依點,我們會提供建議並提供工具,以協助您在部署 Azure 時回應每個問題。

取得將資料和工作負載移至 Azure 的實際支援,遵循 APRA 法規:將 Microsoft 回應下載至雲端上的 APRA 資訊紙張

Microsoft 對 APRA CPS 234 的回應資訊安全性

APRA Prudential STANDARD CPS 234 Information Security 要求管制的機構:

  • 清晰定義資訊安全性相關角色與責任;
  • 維護資訊安全能力,以 commensurate 其資訊資產的大小和程度。
  • 實施控制措施來保護資訊資產,並定期測試及保證控制措施的有效性;和
  • 立即通知 APRA 材料資訊安全性事件。

CPS 234 會密切反映核心 Microsoft 安全性框架:「保護」、「偵測」和「回應」。

Microsoft cloud services:符合 APRA Prudential STANDARD CPS 234 Information Security 會設定每個相關的 CPS 234 管制義務,並對應 Microsoft cloud service controls、功能、功能、合約承諾及支援資訊,協助您的 APRA 管制實體遵循 CPS 234 中的規章義務。

此 Microsoft 檢查清單介紹金融公司在移至雲端時必須解決的 APRA 法規需求。 它不僅會對應 Azure Prudential STANDARD CPS 231 外包,還會對應其他相關的 APRA 標準,例如用於商務持續性和風險管理。 完成此檢查清單可協助您的金融服務中心採用 Azure,以確保其符合相關的 APRA 需求。

透過信賴我們對雲端中風險保證的綜合方法,我們確信澳大利亞金融服務組織可以移至 Microsoft 雲端服務,其方式並不只是符合 APRA 指導方針,但可為客戶提供比內部部署或其他託管解決方案更高級的安全性風險管理設定檔。

取得將資料和工作負載移至 Azure 的實際支援,遵循 APRA 法規: 下載 Microsoft 雲端服務:澳大利亞金融機構的規範檢查清單

Microsoft 範圍內雲端平台與服務

Office 365 和 APRA

Office 365 雲端環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 雲端環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
商業 Exchange Online Protection、Exchange Online、Office 365 客戶入口網站、Office Online、Office 服務基礎結構、商務用 OneDrive、SharePoint Online、商務用 Skype

常見問題集

金融機構是否需要在外包材料商務活動之前 APRA 核准?

否。 不過,大多數管制的財務組織必須在 APRA 後通知,以在澳大利亞以外的外包材料商務活動的合約或諮詢 APRA,再將這些活動外包于澳大利亞以外的地方。

此外,如果雲端服務被視為具有「提升或極端固有的風險」(如 APRA 資訊理論文中的雲所述),則鼓勵財務機構 (,但不需要) 參考 APRA,不論服務是否在澳大利亞或之外的地方提供。

是否允許在澳大利亞以外的資料傳輸?

是。 一般隱私權法規 (適用于所有部門,而不只是金融機構) 在某些情況下允許以澳大利亞以外的方式轉讓。 Microsoft 同意以澳大利亞隱私權原則為依據的合約,讓您在使用 Microsoft 雲端服務時,允許從澳大利亞以外的資料轉移。 不過,我們的許多澳大利亞金融服務客戶都利用了我們澳大利亞資料中心提供的雲端服務,我們會在澳大利亞地理位置進行特定的合約承諾,以存放資料類別的資料。 在 規範檢查清單中,將會進一步列出這些承諾。

使用 Microsoft 合規性管理員來評估風險

Microsoft 合規性管理員Microsoft 365 合規性中心的功能,可協助您了解組織的合規性狀況,並採取行動以協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估

資源