為了促進金融業強化資料保全機制，今年八月上路的新版上雲規範開放金融業將資料備份在境外雲端，不須經過主管機關申請核准。(攝影:李昀璇)

針對雲端服務治理架構，林志吉表示，他們參考了美國聯邦金融機構檢查委員會(FFIEC)和新加坡銀行公會的相關規範，要求銀行公會訂定的自律規範應包含六大重點，分別為治理政策及風險管理、對雲端業者的管理框架、資安控管、人才培訓、雲端服務查核及重大事件通報及緊急應變處理。

林志吉解釋，第一，金融業必須訂定雲端服務治理框架，並考量使用雲端服務對營運模式產生的影響，第二，對雲端業者的管理架構，應包括雲端業者負擔責任，和契約應明載事項等。此外，金融業也要對雲端服務做盡職調查，對雲端服務安全性進行持續監控，制定流程來識別、衡量、監控和控制與雲端服務相關風險，並提供人才培訓，培養人員具備資安維護意識。

金管會也提供國外案例，供銀行公會參考。林志吉表示，以新加坡銀行公會的自律規範為例，業者盡職框架有包括應評估業者的財務、營運、聲譽等，而契約協議事項的內容，包括應載明資料儲存點、資料傳輸和業務持續性管理等事項。在持續風險評估和監督機制中，則要訂定管理雲、設計與保護雲，和運行雲的關鍵控制措施及控管指標。

最後，林志吉也表示，金管會已函請銀行公會組成相關工作小組，作為金融機構採用雲端服務的溝通平臺，辦理包括研議自律規範及最佳實務作業守則、舉辦論壇、研討會等事項，分享雲端服務的使用經驗，並推動人才培訓。