韩国金融服务委员会 (FSC)于4月14日公布了其改进金融部门云计算和网络分离监管的计划。由于对云计算和网络分离的过度监管,金融业一直对采用和使用新数字技术的困难表示担忧。因此,为支持金融业稳步推进数字化转型,当局出台了一系列措施,完善云计算和网络分离监管。在云计算方面,这些变化将侧重于 (a)明确可以利用云计算的工作范围(和类型),(b)彻底改革使用过程以消除冗余和相似之处,以及(c)从事后报告的当前事先报告要求。在网络分离方面,网络分离规定的统一应用将从开发和测试服务器开始分阶段放宽。
背景
金融服务数字化转型的加速推动了对云计算、大数据分析和人工智能 (AI) 等新数字技术的需求。然而,业界不断抱怨,目前金融领域有关云计算和网络分离的数据安全法规过于严格,从而阻碍了新数字技术的采用和使用。为解决这一问题,FSC在综合考虑金融业各方意见后,制定了完善云计算使用和网络分离监管措施,促进金融业数字化创新。
云计算使用的监管改进
a) 明确确定使用云计算服务的工作意义等级的评估标准
(问题) 使用云计算时,应该进行评估以确定工作重要性的级别,但已经表明评估标准相当不明确。现行规定下,工作意义的高低由个人信用信息的处理情况、是否对电子金融交易的安全可靠造成严重影响等因素决定,但在其适用性方面存在一定的困难。实践。
(解决方案)当局将结合海外案例,制定更详细的工作重要性评估标准。工作重要性级别的评估将由金融公司内部数据保护委员会审议确定。
b) 将云服务提供商 (CSP) 的评估标准数量从 141 项减少到 54 项
(问题)金融企业在使用云计算服务前,需要对云服务提供商进行稳健性和稳定性评估。目前的评估标准过多,多达141项,项目重叠,对金融企业的全过程负担最大。
(解决方案)当局进行了简化,将 CSP 评估标准的数量减少到总共 54 条,由 16 条基本标准和 38 条替代标准组成。对于非必要类型的工作,进一步简化,要求金融公司仅根据 16 项基本标准对 CSP 进行评估。
c) 根据工作重要性级别区分云计算使用流程
(问题) 目前,即使是被归类为后台职能(非必要工种)的工种,也需要遵守与被归类为前台职能(必要工种)相同的使用流程)。因此,尽管金融公司可以在其业务连续性计划中对非必要工种的某些标准进行自由调整,但在实践中,非必要工种的处理方式与必要工种相似。 .
(解决方案)当局将通过取消部分CSP评估要求,简化非必要工作类型的云计算服务使用流程。当局还将在制定业务连续性计划和安全保障措施时,对非必要工种实行单独的标准,以明确必要工种和非必要工种的程序区别。
d) 引入统一的 CSP 考核体系,减轻金融公司负担
(问题) 目前,当金融公司“A”和“B”希望使用CSP“a”提供的云计算服务时,金融公司“A”和“B”必须分别对CSP“a”进行评估分别地。问题在这方面已经发现程序效率低下。
(解决方案)代表金融公司的金融安全研究所(FSI)将进行统一的CSP评估,其结果可供金融公司“A”和“B”使用。
e) 为 SaaS 制定一套独特的评估标准
(问题)当前的 CSP 评估标准不太适合评估最近获得更多使用吸引力的软件即服务 (SaaS) 应用程序。
(解决方案)当局将以类似于云安全保障计划(CSAP)的方式为SaaS业务制定一套单独的评估标准。
f) 简化“工作委托操作标准”等提交所需的文书工作
(问题)为了让金融公司使用云计算,业界抱怨提交所需的文书工作是多余的和过多的。目前,金融公司在使用云计算时需要提交的“工作委托操作标准”是一种负担,因为它们的“业务连续性计划”中也反映了这些项目的冗余。
(解决方案)当局将简化冗余和相似性,以帮助减轻金融公司准备和提交必要文件的负担。
g) 从当前的事前报告要求过渡到使用云计算的事后因素报告
(问题) 目前,金融公司需要在使用云计算的7个工作日前进行必要的工作时,必须向金融监督院报告。但是,出于及时性的目的,该报告规则已被确定为不可取的。
(解决方案)此之前的报告规则将更改为使用云计算的事后报告要求。在签署将云计算服务用于基本工作类型的外包合同时,或者当现有合同发生重大变化时,金融公司将被要求在签署或发生变化后三个月内报告该变化。
网络分离的监管改进
a) 开发和测试服务器的网络分离规则豁免
(问题) 随着物理网络分离规则在开发和测试服务器上的统一应用,这些服务器不保存个人信用信息,因此在电子金融交易中的重要性相对较低,开发和测试环境效率低的问题一直存在.
(解决)对于开发和测试服务器,将给予豁免,以放宽物理网络分离规则。但是,将采取补充措施来最大限度地减少潜在的恶意软件攻击,并需要额外的数据保护控制措施。
b) 非电子金融工作和SaaS的网络分离规则豁免
(问题)对于与电子金融交易无关的工作类型以及不处理客户及其交易信息的操作系统(例如,为业务管理提供支持,包括人事管理和群件等相关系统。在使用软件即服务 (SaaS) 应用程序时,即使对于非必要类型的工作,网络分离规则也会带来不便。
(解决方案)通过金融监管沙盒计划,当局将豁免与电子金融交易无关的工作类型以及不处理客户及其交易信息的工作类型的物理网络分离要求。对于非必要类型的工作,当局将允许在公司内部网络中使用 SaaS 应用程序。
c) 中长期逐步放松对网络分离的管制
(问题) 目前,无论金融公司的工作范围如何,都统一适用网络分离规则。例如,不一定持有客户信息而只专注于管理其资产的资产管理业务,尽管对资产管理业务的监管需求相对较低,但仍受与银行同等级别的网络分离规则的约束。 à-相对于其他金融公司。
(解决方案)中长期来看,当局将在审查某些条件后寻求放松对网络分离的管制,例如确保金融公司的问责制和加强金融服务机构的安全监督。放松管制措施将侧重于 (a) 缩减受网络分离规则约束的工作类型和 (b) 授予金融公司选择网络的选择权物理和逻辑上的ork分离。
