澳大利亞審慎法規授權 (APRA)
APRA 概觀
澳大利亞審慎法規頒發機構 ( APRA) 監督澳洲的銀行、信用額度同盟、金融機構和其他金融服務機構。 為了辨識雲端運算的動力,APRA 已在受規範的實體上呼叫 ,以透過有效的治理、徹底的風險評估和定期保證程式來實作周密的雲端採用策略。 受規範的機構在外包材料商務活動時,必須遵守APRA 審慎標準CPS 231外包 ;任何可能中斷的活動,都會對金融機構的商務營運或有效管理其風險的能力產生重大影響。 APRA 在其資訊檔中發佈特定的詳細指引,根據其涉及 雲端運算服務 的外包安排,以協助受規範的實體更有效率地評估雲端提供者和服務,並引導他們完成外包至雲端的法規問題。 外包包括雲端服務時,受管制的機構也必須檢閱並考慮其持續遵守APRA 審慎標準 CPS 234 資訊安全性。
Microsoft 和 APRA
針對正在評估雲端提供者及其服務的澳洲金融機構,Microsoft 已發佈:
同時示範金融公司如何將數據和工作負載移至 Microsoft Azure,並確信他們遵守澳大利亞審慎法規授權單位 (APRA) 法規和指引。
若要瞭解 Azure 上符合 APRA 規範之金融服務的優點,請閱讀 Regtech 符合 Fintech:Perpetual 和 Microsoft 轉換金融業 一文。
Microsoft 對雲端上的 APRA 資訊文件的回應
本 Microsoft 檔提供金融服務的詳細指引,並針對 涉及雲端運算服務的 APRA 資訊檔外包中所引發的每個問題提供詳細的回應。 APRA 指導方針會識別雲端使用量通常落在其中的三個風險類別:低、提高和極端固有的風險,並強調受管制實體在其風險評估中必須考慮的重要問題。
Microsoft 回應著重於兩個風險最高的類別。 雖然任何風險類別都不禁止雲端服務,但 APRA 預期您會進行更高層級的調查,而且您應該預期隨著風險類別的提升,APRA 的程度會增加。 APRA 列出一系列因素,這些因素通常表示雲端外包的固有風險很高或極為嚴重。 Microsoft 會深入解決這些因素,並提供資訊和工具來協助您評估和管理將數據和工作負載移至 Azure 的風險。
Microsoft 也會解決每個 APRA 風險管理考慮:策略、治理、解決方案選取程式、APRA 存取權以及採取行動、轉換方法、風險評估和安全性、進行中監督、業務中斷,以及稽核和保證的能力。 我們提供建議和提供工具,協助您在部署 Azure 時回應每個問題。
根據APRA法規,取得將數據和工作負載移至 Azure 的實際支援: 下載 Microsoft 對雲端上 APRA 資訊檔的回應。
Microsoft 對資訊安全性上 APRA CPS 234 的回應
APRA 謹慎標準 CPS 234 資訊安全 性需要受規範的機構:
- 清楚定義資訊安全性相關角色和責任;
- 維護與其資訊資產的威脅大小和範圍相符的信息安全性功能;
- 實作控件來保護信息資產,並定期測試和保證控件的有效性;和
- 立即通知APRA重大資訊安全性事件。
CPS 234 會密切反映核心 Microsoft 安全性架構:保護、偵測和回應。
Microsoft 雲端服務:遵守 APRA 審慎標準 CPS 234 資訊安全 性會設定每個相關的 CPS 234 法規義務,並與 Microsoft 雲端服務控件、功能、功能、合約承諾和支援信息對應,以協助您的 APRA 規範實體符合其在 CPS 234 下的法規義務。
流覽至雲端:澳洲金融機構的合規性檢查清單
此 Microsoft 檢查清單介紹金融公司在移至雲端時必須處理的 APRA 法規需求。 它不僅會將 Azure 對應至 審慎標準 CPS 231 外包,還會對應其他相關的 APRA 標準,例如商務持續性和風險管理。 完成此檢查清單可協助您的金融服務機構採用 Azure,並確信其符合相關的 APRA 需求。
依賴我們在雲端中提供風險保證的完整方法,我們確信澳洲金融服務組織可以移至 Microsoft 雲端服務,其方式不僅與 APRA 指引一致,還能為客戶提供比內部部署或其他託管解決方案更進階的安全性風險管理配置檔。
根據APRA法規,取得將數據和工作負載移至Azure的實際支援: 下載 Microsoft 雲端服務:澳洲金融機構的合規性檢查清單。
Microsoft 範圍內雲端平台與服務
- Azure
- Dynamics 365
- Office 365
Office 365和APRA
Office 365環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| 商業 | Exchange Online Protection、Exchange Online、Office 365 客戶入口網站、Office Online、Office 服務基礎結構、商務用 OneDrive、SharePoint Online、商務用 Skype |
常見問題集
金融機構是否需要APRA核准,才能外包材料商務活動?
不能。 不過,大部分受管制的金融組織必須先通知 APRA,才能在合約中將澳大利亞境內的材料商務工作外包,或先洽詢 APRA,再將這些活動外包給澳洲以外的地方。
此外,如果雲端服務被視為具有雲端上的APRA 資訊檔中所述的「嚴重或極具固有風險」,則不論服務是在澳洲內部還是外部提供,都建議金融機構 (,但不需要) 向APRA諮詢。
是否允許在澳洲以外傳輸數據?
是的。 一般隱私權法規 (適用於所有部門,而不只是適用於金融機構,) 在特定情況下允許澳大利亞以外的傳輸。 Microsoft 同意符合澳大利亞隱私權原則的合約條款,因此當您使用 Microsoft 雲端服務時,允許傳輸澳大利亞以外的數據。 不過,我們的許多澳洲金融服務客戶會利用澳洲數據中心提供的雲端服務,為此我們做出特定的合約承諾,將待用數據類別儲存於澳大利亞地理位置。 合規 性檢查清單中會進一步概述這些承諾。
使用 Microsoft Purview 合規性管理員來評估您的風險
Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站 中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。