新加坡金融管理局 (MAS) 和新加坡银行公会 (ABS)
MAS 和 ABS 概述
新加坡金融管理局 (MAS)
新加坡金融管理局 (新加坡金融管理局(MAS)) ,新加坡唯一的银行监管机构及其央行发布了 技术风险管理指南。 在该指导方针中,MAS 规定了它对银行、保险公司和信托公司等新加坡金融机构的外包云服务的期待。 该方针是在 2014 年 10 月以来与行业内人士的磋商下制定的,Microsoft 也参与到这一过程。
MAS 指导方针大幅简化了技术采用的流程、明确了监管机构的期望,并对以往减缓金融行业采用云解决方案的一些错误概念进行了澄清。
此外,这些准则明确支持金融机构使用云服务(包括公有云),并且它们将从中受益。 他们消除了金融机构在任何重大材料外包承诺之前通知 MAS 的预期。 相反,受到 MAS 管控的机构需要在评估实质性外包时完善其基于风险的方法,并对照这些方针就所有外包安排进行自我评估。 (目前,这些准则没有法律约束力,但 MAS 已表示,它将在未来发布法定通知。)
新加坡银行公会 (ABS)
在 MAS“关于外包风险管理的指导方针”发布后不久,ABS 就推出了题为云计算实施指南的实用指南(该指南同样不具备法律效力);ABS 是一家非营利性组织,它代表的是在新加坡运营的国内外银行的利益(但不代表其他金融机构的利益)。 它旨在帮助银行按照 MAS 指南实施外包安排。
Microsoft MAS 和 ABS
随着新加坡金融管理局对云计算(包括公有云的使用)的支持, (MAS) 以及新加坡银行协会的支持 (ABS) ,Microsoft 发布了 Microsoft 对 MAS 外包指南和 ABS 指南的响应 ,以及 新加坡金融机构的合规性清单。 它们共同演示了金融公司如何将数据和工作负载移动到 Microsoft 云,并确信它们遵守 MAS 指南,并按照新准则完成对其外包安排的自我评估。
在 Microsoft 对 MAS 指导方针和 ABS 指南的答复中,金融公司可大致了解 MAS 指导方针和 ABS 指南在规范云服务时提出的关键问题、Microsoft 对每个关键问题的解释和答复,还可详细了解 Microsoft 可如何帮助他们按照 MAS 指导方针操作。 它对 MAS 和 ABS 指南单独进行了讨论。
Microsoft 对 MAS 指南的答复重点讨论了 MAS 对外包的审慎风险管理实践的建议。 它逐一描述了 Microsoft 如何采用适当的策略、流程和工具来帮助你评估风险,提供了清单来帮助你评估我们的商业云服务,还对管理和内部控制流程进行了介绍。
Microsoft 对 ABS 指南的答复主要围绕第 3 部分和第 4 部分的内容。
- 第 3 部分建立在 MAS 指导方针的尽职调查和供应商管理要求的基础之上,当作合同注意事项更详细地讨论了这些问题。 我们详细介绍了我们在尽职调查评估期间可提供的 Microsoft 供应商管理工具和协助。
- 第 4 部分建议云服务提供商在与银行合作时应制定一组关键基线控制措施(从加密到渗透和漏洞管理)。 我们阐释了我们的控制措施如何应对人们对每个指定控制措施的安全顾虑。
获取实用支持,在遵从 MAS 指导方针的情况下将数据和工作负载移动到 Microsoft 云中。
下载“引导你通往云端:Microsoft 对 MAS 外包指导方针和 ABS 指南的答复”
新加坡金融机构合规性清单
该文档包含一份监管环境概述和一份合规性清单,前者介绍了新加坡境内的相关要求,后者列出了需要应对的法规问题并将 Microsoft 的云服务与这些问题对应起来。 通过逐点查看和完成清单,金融机构可以采用 Microsoft 云服务,并确信它们符合新加坡的相关要求。
通过依靠我们在云中进行风险保障的综合方法,我们相信新加坡的金融机构能够以与 MAS 指南和 ABS 指南一致的方式迁移到 Microsoft 云,同时提供比许多本地解决方案更高级的安全风险管理配置文件。
获取实用支持,在遵从 MAS 指导方针的情况下将数据和工作负载移动到 Microsoft 云中。
Microsoft 范围内的云平台和云服务
- Azure
- Dynamics 365
- Intune
- Power BI 云服务,作为独立服务提供,后者随 Office 365 品牌计划或套件一并提供
- Office 365
常见问题解答
是否需获得监管批准?
否,无需事先通知、咨询或批准外包安排。 但是,MAS希望金融机构准备好展示其遵守情况,并尽快将金融机构外包安排产生的不利发展(例如数据泄露事件)通知 MAS。
什么是“实质性”外包安排?定义为何很重要?
如果服务故障或违规有可能对金融公司的业务运营或管理风险以及遵守适用法律和法规的能力产生重大影响,则外包安排是“重大”:或者,如果涉及客户信息,并且发生任何未经授权的访问或泄露、丢失或窃取客户信息,则对公司的客户产生重大影响。 “客户信息”的定义明确排除了已经过安全加密的信息。
这一定义很重要,因为 MAS 外包指南的某些规定仅适用于“材料外包安排”。 其中包括执行年度审查的义务、关于审计权利的强制性合同条款,以及确保新加坡境外的外包不会影响 MAS 的监管工作。
资源
- MAS 关于外包风险管理的指导方针
- MAS 技术风险管理指南
- 关于 MAS 外包指导方针的常见问题解答
- ABS 云计算实施指南 1.1
- 引导你通往云端:Microsoft 对 MAS 外包指导方针和 ABS 云实施指南的答复**
- Microsoft 合规性清单