聯邦金融機構檢查委員會 (FFIEC)
FFIEC 概述
「聯邦財務機構檢查委員會」 (FFIEC) 是由五個銀行機構組成的正式 interagency 本文,其適用于美國的美國聯邦政府檢查金融機構。 FFIEC 檢查程式教育 Office 會發佈 IT 考試手冊,以供來自 FFIEC 成員機構的欄位 examiners。
FFIEC AUDIT IT 測驗手冊包含這些 examiners 的指導方針,用以評估財務機構和 TSPS 的 IT 審計計畫的品質和效能。 具體而言,它包含對美洲認可的公開會計會計師 (AICPA) (如獨立的審計報告範例)所提的 SOC 1、SOC 2 和 SOC 3 認證報告。 不過,FFIEC 建議財務單位不只依賴這些報告中所含的資訊,但使用 FFIEC 外包技術服務 IT 測驗手冊中詳細討論的驗證與監控程式。
Microsoft 和 FFIEC
Microsoft Azure、Microsoft Power BI 和 Microsoft Office 365 的建立,是為了符合為金融服務中心提供雲端服務的嚴格需求。 Azure 提供金融機構,含 SOC 1 Type 2、SOC 2 Type 2 和 SOC 3 認證報告(由獨立的審計公司產生),以協助客戶滿足其專屬的 FFIEC 合規性義務。 例如,在下列情況下, SOC 1 類型2認證 會執行:
- SSAE 第 18 號,證明標準:釐清與重新編纂,其中包括 AT-C 第 320 節 與使用者實體對財務報告之內部控制相關的服務組織控制措施檢查報告 (AICPA,專業標準)。
- SOC 1 報告在服務組織中與使用者實體對財務報告之內部控制相關的控制措施檢查 (AICPA 指南)
AICPA SSAE 18 standard 取代 SAS 70,其適用于與財務報告上的使用者實體相關的服務組織中的控制項報告。 當您在 Azure 上為部署的資產採取自己的 FFIEC 特定的合規性義務時,這是金融機構可利用技術服務提供者的協力廠商檢查的正式審核。 它包含審計員對控制效能的觀點,以在指定的監控期間達成相關的控制目標。
此外,Azure 已開發一個以 Excel 為基礎的雲端安全性診斷工具,其目的是為了加快金融機構可能想要與 Azure 服務相關執行的風險評估。 此工具是以試算表為基礎,其具有19個獨立的網域,可識別相關標準和金融服務相關規定中所規定的需求,包括 FFIEC IT 檢查手冊。 「風險評估」工具已預先填入說明,包含 Azure 如何符合雲端服務提供者的需求,並可協助客戶滿足其自身的 FFIEC 合規性需求。
此外,客戶也可以使用 Azure FFIEC cloud security 診斷活頁簿隨附的相關指引,它提供 Azure 服務的使用方式,以及客戶合規性與 FFIEC 需求的考慮
Microsoft 範圍內雲端平台與服務
- Azure
- Intune
- Office 365,Office 365 美國政府
- Power BI 雲端服務 (可作為獨立服務或包含在 Office 365 品牌方案或套件中)
Azure 指導檔
為了協助金融機構受雲端採用的監管 FFIEC,Microsoft 已發佈下列指導檔,可從服務信任入口網站 資料保護資源-合規性指南 一節中下載:
- Azure-雲端安全性診斷工具
- Azure-FFIEC cloud security 診斷活頁簿隨附
Office 365 和 FFIEC
Office 365 雲端環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 雲端環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| 商業 | Azure Active Directory,Azure 資訊保護,預約,合規性管理員,Delve,Exchange Online,Exchange Online Protection,表單,Kaizala,microsoft Analytics,microsoft 預約,microsoft Defender for Office 365,microsoft Graph,Microsoft Teams,microsoft To-Do for Web、MyAnalytics Office 365 進階合規性安全性 Office 365 雲端 App 安全性相容性Center、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint 線上、商務用 Skype、StaffHub、Stream、Sway、Yammer Enterprise |
| GCC | Azure Active Directory、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream |
Office 365 稽核、報告和認證
請參閱 Office 365 SOC 認證報告。
常見問題集
我可以使用 Microsoft 合規性與 SOC 標準,以符合我的機構的 FFIEC 合規性義務?
為了協助您符合這些義務,Microsoft 會依照上述方式,提供與 SOC 標準的相容性相關資訊。 不過,最後,您可以決定我們的服務是否遵循適用于您機構的特定法律和規定。 FFIEC 也會建議 ' 審計報告或評論的使用者不應完全依賴報告中所包含的資訊,以驗證 TSP 的內部控制環境。 FFIEC IT 測驗手冊的 外包技術手冊 中所討論的功能,應使用其他驗證與監控程式。
使用 Microsoft 合規性管理員來評定風險
Microsoft 合規性管理員是 Microsoft 365 合規性中心的功能,可協助您了解組織的合規性狀況,並採取行動以協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。