新加坡金融管理局 (MAS) 和新加坡銀行協會 (ABS)
MAS 和 ABS 概觀
新加坡金融管理局 (MAS)
2016 年 7 月,新加坡唯一的銀行監管機構及其中央銀行 MAS 發佈了外包風險管理指導方針。 在指導方針中,MAS 提出了對新加坡金融機構 (包括銀行、保險公司和信託公司) 外包雲端服務的期望。 這是從 2014 年 10 月開始 Microsoft 參與在內整個產業諮詢的結果。
MAS 指導方針能大幅簡化技術採用的流程,明確了解監管機構的期望,並解決了以前減緩金融業採用雲端解決方案的諸多誤解。
此外,這些指導方針明確支援金融機構使用雲端服務 (包括公用雲端),並讓他們從中受益。 他們消除了金融機構在任何重大外包承諾之前通知 MAS 的期望。 相反地,在評估重大外包時,受 MAS 監管的機構應改進其風險型方法,並根據這些指導方針對所有外包安排進行自我評估。 (這些指導方針目前不具有法律效力,但 MAS 表示日後將發佈法定通知。)
新加坡銀行協會 (ABS)
MAS 外包風險管理指導方針發佈後不久,代表在新加坡營運的本地和外國銀行 (但不包括其他金融機構) 利益的非營利組織 ABS 推出了不具效力的實用指南:雲端運算實作指南。 旨在協助銀行按照 MAS 指導方針實作外包安排。
Microsoft MAS 和 ABS
在新加坡金融管理局 (MAS) 認可雲端運算 (包括使用公用雲端) 以及新加坡銀行協會 (ABS) 的支援下,Microsoft 發佈了Microsoft 對 MAS 外包指導方針和 ABS 指南的回應以及新加坡金融機構的合規性檢查清單。 他們共同展示了金融公司如何將資料和工作移動到 Microsoft Cloud,並確信他們遵守了 MAS 指導方針,並根據新指導方針完成了對其外包安排的自我評估。
Microsoft 對 MAS 指導方針和 ABS 指南的回應 為金融公司概述了適用於雲端服務的 MAS 指導方針和 ABS 指南中提出的關鍵問題、Microsoft 對每個關鍵問題的解釋和回應,以及有關 Microsoft 如何協助遵守 MAS 指導方針的詳細資訊。 分別說明了 MAS 和 ABS 指導方針。
Microsoft 對 MAS 指導方針的回應 著重在 MAS 有關謹慎的外包風險管理做法的建議。 它逐點描述了 Microsoft 如何擁有正確的原則、流程和工具來協助您評估風險,提供檢查清單以協助您評估我們的商務雲端服務,並介紹了控管和內部控制的流程。
Microsoft 對 ABS 指南的回應 主要在章節 3 和 4。
- 章節 3 以 MAS 指導方針的盡職調查和廠商管理需求為基礎,更詳細地討論合約考量等事項。 我們提供有關 Microsoft 廠商管理工具的詳細資訊,以及我們在盡職調查評估期間可以提供的協助。
- 章節 4 建議雲端服務提供者在與銀行合作時應具備的一組重要基準控制措施 (從加密到滲透和漏洞管理)。 介紹我們的控制措施如何解決每個指定控制措施的安全問題。
取得符合 MAS 指導方針,將資料和工作移至 Microsoft Cloud 的實際支援
下載雲端之路導覽:Microsoft 對 MAS 外包指導方針和 ABS 指南的回應
適用於新加坡金融機構的合規性檢查清單
此文件包括監管環境的概觀 (其中介紹了新加坡的相關需求) 以及合規性檢查清單,該清單列出了需要解決的監管問題,並針對這些問題對應了 Microsoft 的雲端服務。 透過逐一檢閱並完成檢查清單,金融機構可以放心地採用 Microsoft 雲端服務,以確保符合新加坡的相關需求。
透過信賴我們雲端中全方位的風險保證做法,我們相信新加坡的金融機構能夠以符合 MAS 指導方針和 ABS 指南的方式移至 Microsoft Cloud,同時提供比許多內部部署解決方案更好的進階安全性風險管理設定檔。
取得符合 MAS 指導方針,將資料和工作移至 Microsoft Cloud 的實際支援
Microsoft 範圍內雲端平台與服務
- Azure
- Dynamics 365
- Intune
- Power BI 雲端服務可作為獨立服務或包含在 Office 365 品牌方案或套件中
- Office 365
常見問題集
需要法規批准嗎?
否,不需要事先通知、諮詢或核准外包安排。不過,MAS 希望金融機構做好準備,證明他們是如何遵守,並儘快將金融機構的外包安排 (例如資料外洩事件) 所產生的不利發展情況通知 MAS。
什麼是「材料」外包安排,為什麼定義很重要?
如果服務失敗或違約有可能對金融公司的業務營運或管理風險和遵守適用法律法規的能力產生重大影響,則外包安排是「重大的」;或者如果它涉及客戶資訊,並且在任何未經授權的存取或披露、遺失或盜竊客戶信息的情況下,會對公司的客戶產生重大影響。「客戶資訊」的定義明確排除了安全加密的資訊。
該定義非常重要,因為 MAS 外包指導方針的某些規定僅適用於「重大外包安排」。 其中包括執行年度檢閱的義務、處理稽核權利的強制性合約條款,並確保在新加坡境外進行的外包不會影響 MAS 的監督工作。
資源
- MAS 外包風險管理指導方針
- MAS 外包指導方針的常見問題集
- ABS 雲端運算實作指南 1.1
- 雲端之路導覽:Microsoft 對 MAS 外包指導方針和 ABS 雲端實作指南的回應**
- Microsoft 合規性檢查清單
其他適用於金融服務的 Microsoft 資源
- Microsoft 金融服務合規性計劃
- Azure 的金融服務合規性
- Microsoft 商務用雲端服務與金融服務
- 共同承擔的雲端運算責任
- Microsoft 信任中心的合規性