金融業資訊系統中心 (FISC)

FISC 概觀

金融業資訊系統中心 (FISC) 是由日本財務省於 1984 年成立的非營利組織，旨在提升日本銀行電腦系統的安全性。 日本大約有 700 家公司支持此組織，包括主要的金融機構、保險和信貸公司、證券公司、電腦製造商和電信企業。

FISC 與其成員機構、日本銀行和金融服務局 (負責監督日本銀行、證券和交易，以及保險的政府組織) 合作，制定了銀行資訊系統安全性的準則。 其中包括適用於電腦系統控制的基本稽核標準、發生重大災難時的應急規劃，以及開發內含超過 300 個控制的安全性原則和標準。

雖然法規沒有要求在雲端運算環境中應用這些準則，但是日本大多數實作雲端服務的金融機構已建立了符合這些安全性標準的資訊系統，並且難以證明與它們相背離。 (2015 年發布的最新準則第 8 版補充修訂版增加了兩個修訂版，涉及金融機構對雲端服務的使用，以及針對網絡攻擊的對策。)

法規不要求符合此架構，並且未經 FISC 稽核或驗證。

Microsoft 和 FISC

Microsoft 已聘雇外部評估員來驗證 Microsoft Azure、Dynamics 365 和 Microsoft Office 365 是否符合 FISC 金融機構電腦系統安全性準則第 9 版修訂版的需求。 Microsoft 已在下列每一個區域提供合規性證據：

• 建築物和電腦機房、電源、空調、資料中心和設施監視的資料中心準則。
• 組織、訓練、存取控制、系統開發和稽核的操作準則。
• 改善硬體和軟體可靠性，以及防範安全風險 (包括資料保護、防範未經授權的使用、威脅偵測，以及災難復原) 的措施技術準則。

針對 Azure、Dynamics 365、Office 365 和 Microsoft Defender for Cloud Apps 的範圍內基礎結構和平臺服務，金融機構可以依賴這三個領域的合規性評估。

Microsoft 範圍內雲端平台與服務

• Azure
• Intune
• Microsoft 雲端 App 安全性
• Office 365
• Power BI 雲端服務 (可作為獨立服務或包含在 Office 365 品牌方案或套件中)

Office 365 和 FISC

Office 365環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台，也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如，美國) 以復原資料，但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 環境：

• 用戶端軟體 (用戶端)：客戶裝置上執行的商業用戶端軟體。
• Office 365 (商業)：全球都可使用的商業公用 Office 365 雲端服務。
• Office 365 政府社群雲端 (GCC)：Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
• Office 365 政府社群雲端 - High (GCC High)：Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計，嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
• Office 365 DoD (DoD)：Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計，控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務，請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊，請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議，如果您對組織的法規合規性有任何疑問，您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性：

適用性	範圍內服務
商業	Access Online、Microsoft Entra ID、Delve、Exchange Online、Exchange Online Protection、Microsoft Teams、Office 365 專業增強版、Office Online、商務用 OneDrive、Power BI forOffice 365、Project Online、SharePoint Online、商務用 Skype

常見問題集

誰適用 FISC 準則？

日本的銀行和其他金融機構若要驗證其在系統安全性、可靠性和稽核方面的方法，並與日本已建立的最佳做法保持一致，請遵循 FISC 準則。

哪裡可以取得第 8 版 FISC 需求的詳細資訊？

FISC 已發佈兩份來自其專家委員會的報告：

• 金融機構使用雲端運算的情況
• 金融機構防範網路攻擊的對策

哪裡可以取得 Microsoft 回應 FISC 架構的詳細資料？

如需協力廠商評估 Microsoft 雲端服務 FISC 合規性的安全性參考，請與您的 Microsoft 帳戶代表聯繫。

我是否可以在組織的資格程序中使用 Microsoft 對此架構的回應？

是。 不過，雖然 Microsoft 對此架構的回應是由協力廠商確認，但客戶負責驗證其已在 Azure 或 Office 365 上實作的解決方案合規性。

資源

• Microsoft Online Services 條款
• FISC 安全性準則/安全標準
• 有關使用雲端運算的 FISC 報告
• Microsoft 信任中心的合規性

日本的資源

• FISC