金融上雲法規正式鬆綁，金融三業如何佈局雲端策略？

近年來，部分金融業者已開始逐步探索雲端、AI 等新科技應用，但礙於政策規範仍多採觀望態度。如今，金管會正式發布修正「金融機構作業委託他人處理內部作業制度及程序辦法」，大幅鬆綁銀行、證券及保險等三業委外上雲的規範，未來銀行業者只有把「重大性消費金融業務資訊系統」委託到境外公有雲，才需要事先申請核准，其餘則無需申請；而保險業者則是將「涉及自然人客戶相關資料之重大性業務資訊系統」委託至境外處理時，才需要申請。預期接下來將有更多金融業者加入雲端轉型的行列，加速佈局雲端應用，強化自身的營運韌性來敏捷因應全球局勢變化。

CloudMile 萬里雲擁有協助金融業數位轉型的豐富經驗，從混合多雲環境建置、數據管理平台建置、開放銀行生態系建置到 AI 應用等面向，助攻業者強化營運韌性。本文將會分享 CloudMile 觀察到的最新金融上雲趨勢，並提供金融業者下一步的雲端轉型策略建議。

金融保險業上雲三大優勢

首先，金融業上雲究竟能帶來哪些優勢與好處？

近幾年各產業無不積極佈局雲端，看重的便是雲端平台提供的彈性、隨開即用及用多少付多少的特性，不僅能優化資源配置，也能運用平台提供的大量資源與服務即時滿足營運需求。以下我們列出三項金融三業上雲轉型的優勢，協助業者評估雲端使用需求：

一、強化營運韌性與資源整合

如今面臨全球局勢動盪，企業營運韌性早已是首當其衝的挑戰，對於高度監管的金融業尤其重要。雲端平台提供多樣的備援／備份選擇方式，並且有利於跨地區的數據彙整，能有效減少組織資源分散、營運中斷等問題。同時，業者無需自行管理基礎建設且可依自身的需求與用量計費。

二、享有完善的數據、AI 資源

據我們觀察，金融業者在擁抱大數據、AI 等新科技的意願相對其他產業高出許多，用於升級顧客體驗和服務品質，強化品牌競爭力。雲端平台不僅能提供無限量的運算資源，更是致力於打造各式各樣的數據／AI 服務與應用，讓業者無需自行從零開始建構數據及 AI 平台，而是能善用雲端服務進行數據分析及商業預測，加速服務推出時間。

三、建構金融生態系與應用場景

在數據為王的時代，產業間的界線日益模糊，透過資料交換與應用，便有機會促成跨業合作，甚至創造新的商業模式。例如，金融保險業與旅遊平台、機場系統結合，推出快速核保旅平險服務，又或是與零售業者支付服務合作，建立更易於跨域結盟的環境。而當數據上雲後，金融業者能以 API 來串接集團資源及外部平台，加速數據整合、跨業合作，有利於發展金融科技，並持續提供更便利的金融服務。

金融業如何開啟雲端之旅？

談到金融業上雲的第一步，對於已有完整上雲目標規劃的企業來說，現在正是開始付諸實行的好時機。常見的上雲選擇包括備份備援、系統上雲及數據上雲等面向：

• 備份備援上雲：

  將地端資料或虛擬主機透過既有備份工具的方式備份上雲，於每年演練或發生事故時，啟動雲端運算資源對外提供服務。

• 系統上雲：

  對系統進行全面性盤點，挑選適合的系統並排定優先上雲順序，對雲端環境整體維運建立完整的管理程序，以確保維運與資訊安全。

• 數據上雲：

  善用雲端大數據分析的能力，將地端結構化與非結構化資料搬遷上雲，於雲端環境建立資料湖泊、資料倉儲、視覺化報表及模型訓練等分析工具。

而對於尚未有明確上雲目標的業者而言，建議可優先選擇備份備援上雲。備份備援對於金融業者來說相當關鍵，首先是業者必須要滿足金管會於民國 111 年底發佈的「金融資安行動方案」2.0 規範，明定金融業的核心資料應保全於第三地或於雲端進行備份，以確保營運不中斷。其次則是考量到區域局勢動盪，如企業僅將資料備份於台灣境內，將難以確保資料的安全性。CloudMile 會建議業者參照「黃金備份 3-2-1 原則」，也就是至少要建立 3 份資料備份，一份為原始資料，另外兩份則是備份；使用至少 2 種不同的媒介進行資料備份；最後則是至少要建立 1 份異地離線備份，以防止備份資料與原始資料同時遭駭客入侵或遭損毀。

綜觀來看，金融業者從備份備援開始上雲之旅，再逐步加深雲端使用，可以說是一條非常理想的路。首先，業者可透過雲地安全連線，將核心資料備份上雲，以降低關鍵資料遺失的風險；接著，業者可以建立雲地混合環境，將非核心業務放上雲端，核心業務則是保留在自家環境。過程中透過容器化技術，業者便能統一管理各式環境，維持跨環境的一致性，在善用雲端平台的同時，也將核心數據留在內部環境，確保法規與資安規範；隨著機構內部逐步試驗雲端使用的成效，並熟悉雲端環境，業者便可以將地端系統搬遷至雲端，最大化地運用雲平台資源，並搭配導入 FinOps 管理概念，最佳化雲端用量和成本效益，讓投入的雲端資源發揮最大商業價值。

金管會此次修法，明定金融機構辦理作業委外，如涉及重大性消費金融業務資訊系統委託至境外處理，應向主管機關申請核准，並鬆綁境內上雲的程序。對此，Google Cloud 是目前三大公有雲中唯一在台灣擁有落地機房，機房採自行建置與維運，並且可滿足儲存加密、傳輸加密等保護措施，且訂定妥善的加密金鑰管理機制。Google Cloud 根據世界各地的標準，建立及提供對應的安全、隱私和法規遵循控管文件，也會定期進行獨立驗證，包括取得認證、證明與稽核報告，方便業者提供法規遵循證明。先前更是因應金融業者需求，完成獨立第三方單位的聯合查核。金融業者採用 Google Cloud 作為雲端平台，便能選擇將資料留在境內，將更容易滿足主管機關的規範。

擁抱雲端的同時，如何兼顧資安韌性與合規？

隨著業者逐步擁抱雲端，相應的資安防護就顯得更為關鍵。根據 CloudMile 萬里雲今年委託 IDC 研調機構所做的《2023 企業雲端佈局與未來趨勢》調查顯示，有 70% 的金融業者表示，在未來的 12 個月內將會增加雲端支出，首要用於強化雲端資安與營運韌性，次要為人工智慧／機器學習等新科技應用，再來則是降低硬體、維運成本的考量。

對此，CloudMile 擁有完善的資安管理解決方案，不論金融業者位於轉型的哪些階段，CloudMile 都能滿足相應的資安防護需求。以下分享幾個金融業者常見的資安管理需求面向：

• 針對尚未上雲的業者，CloudMile 可協助進行核心資料的盤點，並滿足法規或資安要求

  包括個資法與委外管理辦法、ISO 27001/27017/22301、PCI DSS 與 CSA CCM 等。例如，台灣某人壽公司期望能對於上雲系統進行長期規劃，確保能滿足法規要求並參考國際標準規範，發展其短中長期資安策略，CloudMile 便是協助滿足法規和資安要求。

• 針對已上雲的業者，CloudMile 可協助強化既有雲端架構

  例如台灣某銀行已自行維運雲端環境多年，希望透過資安健檢的方式強化雲端資安防護，而 CloudMile 便協助該銀行進行全面性的資安評估，發掘潛在資安威脅與強化資安防護的機會。

• 其他常見的資安管理面向還包括避免資安事故再發生，以及針對查核缺失進行改善等

  常見的資安事故包括機敏資料外洩、雲端運資源遭盜用於數位貨幣挖礦等，需要先強化雲端安全基本控管，並透過紅藍隊演練方式發掘潛在系統漏洞，以避免事故再次發生；常見的查核缺失則包括人員權限過大、虛擬主機有對外 IP 等。例如某航空公司便曾於內部稽核發現雲端系統未有備份機制，希望針對雲端運算與儲存資源建立備份備援機制，CloudMile 便協助規劃並導入備份備援策略，完善其資安體系。

與專業技術團隊合作，加速您的上雲之旅

CloudMile 是全台第一也是唯一的 Google Cloud 雲託管合作夥伴（MSP），已協助國內多家知名金融機構規劃雲端轉型，並加速雲端環境建置與人員培育的進程。同時，CloudMile 也擁有資格來協助業者於 Google Cloud 進行機房年度實地查核。 歡迎聯繫我們為您客製化上雲轉型之旅。