金融服務機構是受到高度監管的企業類型之一,通常須依法審查、評估及查核其第三方服務供應商,包含 Google Cloud 在內。在金融服務機構的第三方風險管理計畫中,盡職調查(due diligence)及持續監督管理雲端服務供應商,是非常重要的一環。Google Cloud 致力與客戶、客戶的監管單位,以及客戶所指派的獨立查核人員合作,思考如何為客戶提供兼具查核執行效率,並能驗證其程序透明度的可信機制。
隨著企業對於雲端服務的使用率日漸提升,我們也精益求精,努力成為業界最受信賴的雲端服務,這在全球經濟充斥不確定性因素下實屬不易,但我們在台灣執行的聯合查核便是 Google Cloud 協助亞太區金融客戶最好的一個例子。
金融機構若各自進行大規模的雲端查核作業,可能會耗用雙方大量資源,但如果採用聯合查核模式,便能集合多個客戶的資源,來因應共同的盡職調查要求,讓查核作業更有效率。所謂聯合查核,具體而言即代表將多家金融機構要求的查核範圍和實地考察,整合於統一的查核作業當中。聯合查核的優點在於簡化查核程序,以及降低客戶與其服務供應商,如 Google Cloud 等的作業負擔。近年來在歐洲地區,受監管的金融服務機構均認為這是有效的查核做法。
在執行查核過程中,金融服務機構的目標是持續嚴密評估其雲端服務供應商的基礎架構、作業程序和安全控管等措施,能足以支撐其營運作業所需要的科技技術,同時確保自家機構能達到良好的營運效率。在查核的各個階段當中,查核團隊會展開互動和實體會談,以公開透明的方式檢驗 Google Cloud 的政策、程序和技術。
關於在台灣首次執行的 Google Cloud 聯合查核,我們與客戶合作,遵循台灣金融監督管理委員會《金融機構作業委託他人處理內部作業制度及程序辦法》的查核要求。此外,我們也基於 CSA Cloud Controls Matrix、ISO 27001 和 ISO 27017 的風險控管規範完成查核,審查範圍包含資料隱私權、資料中心安全、身分與存取權管理、互通性,以及其他多個關鍵領域。
作為金融服務機構的重要合作夥伴,我們致力於提供客戶安全、穩定、可靠的雲端服務,並協助客戶遵循法規和標準。聯合查核讓多家金融機構可委託相同且具資訊專業的獨立第三方,以具規模化且具成本效益的方式對 Google Cloud 進行查核,此舉也能降低雲端業者因大量查核次數而增加的資安風險。另外,我們提供可驗證的透明度並確保我們的服務安全且合規,協助客戶履行他們的監管義務,成為他們最信賴的數位轉型合作夥伴。
這次的聯合查核,證實產業內的不同客戶能有效率地整合資源,確保他們對於 Google Cloud 服務的信任。我們透過多種方式確保 Google Cloud 持續成為業界最值得信賴的雲端服務之承諾,而透過查核來驗證 Google Cloud 的安全控管措施正是其中一種做法。我們會繼續協助客戶遵守不斷變化的法規遵循要求。
如想進一步瞭解 Google Cloud 的信任和法規遵循機制,請參考法規遵循資源中心。
以上內容來自 [ Google Blog ] taiwan.googleblog.com/2023/03/google-cloud-pooled-audit-TW.html