Die Währungsbehörde von Singapur (Monetary Authority of Singapore, MAS) und die Bankvereinigung von Singapur (Association of Banks in Singapore, ABS)
MAS und ABS, Übersicht
Währungsbehörde von Singapur (Monetary Authority of Singapore, MAS)
Die Monetary Authority of Singapore (MAS), die einzige Bankenaufsichtsbehörde in Singapur und deren Zentralbank, hat ihre Richtlinien für das Technologie-Risikomanagement veröffentlicht. In den Richtlinien hat MAS ihre Erwartungen hinsichtlich des Outsourcings von Cloud-Diensten durch Finanzinstitute in Singapur, einschließlich Banken, Versicherungen und Treuhandgesellschaften, dargelegt. Dies war das Ergebnis einer branchenweiten Konsultation, die im Oktober 2014 begann. Daran war Microsoft auch beteiligt.
Die MAS-Richtlinien optimieren den Prozess für die Technologieeinführung erheblich, sorgen für Klarheit in Bezug auf die Erwartungen des Regulators und beheben viele der Missverständnisse, die zuvor die Einführung von Cloudlösungen in der Finanzbranche verlangsamt haben.
Darüber hinaus sind die Richtlinien eindeutig darin, dass sie die Nutzung von Clouddiensten – einschließlich einer öffentlichen Cloud – durch Finanzinstitute unterstützen und davon profitieren können. Sie haben die Erwartung beseitigt, dass Finanzinstitute die MAS vor wichtigen wesentlichen Outsourcing-Verpflichtungen benachrichtigen würden. Stattdessen wird erwartet, dass von der MAS regulierten Einrichtungen ihren risikobasierten Ansatz bei der Bewertung des wesentlichen Outsourcing verfeinern und eine Selbsteinschätzung aller Outsourcing-Vorkehrungen gegen diese Richtlinien durchführen. (Derzeit sind diese Richtlinien nicht rechtsverbindlich, aber die MAS hat angegeben, dass sie in Zukunft eine gesetzliche Mitteilung ausgeben wird.)
Bankenvereinigung von Singapur (Association of Banks in Singapore, ABS)
Kurz nach der Veröffentlichung der Richtlinien von MAS über das Risikomanagement bei Outsourcing hat die ABS, eine gemeinnützige Organisation, die die Interessen lokaler und ausländischer Banken, die in Singapur tätig sind (jedoch keine anderen Finanzinstitute sind) vertritt, einen nicht verbindlichen Leitfaden unter dem Titel Implementierung des Cloud Computing-Implementierungsleitfadensvorgestellt. Es wurde entwickelt, um Banken bei der Umsetzung von Outsourcing-Vereinbarungen gemäß den MAS-Richtlinien zu unterstützen.
Microsoft MAS und ABS
Mit der Unterstützung von Cloud Computing – einschließlich der Verwendung öffentlicher Clouds – durch die Monetary Authority of Singapore (MAS) und der Unterstützung durch die Association of Banks in Singapore (ABS) veröffentlichte Microsoft die Microsoft-Antwort auf MAS-Outsourcing-Richtlinien und ABS-Anleitungen sowie eine Compliance-Checkliste für Finanzinstitute in Singapur. Zusammen zeigen sie, wie Finanzunternehmen Daten und Workloads in die Microsoft-Cloud verschieben können, mit der Gewissheit, dass sie die MAS-Richtlinien einhalten und eine Selbstbewertung ihrer Outsourcing-Vereinbarungen gemäß den neuen Richtlinien abschließen können.
Die Antwort von Microsoft zu den Outsourcing-Richtlinien von MAS und den Leitfaden von ABS bietet Finanzunternehmen einen Überblick über die wichtigsten Probleme, die von den Richtlinien von MAS und dem Leitfaden von ABS zu den Themen Cloud-Dienste, Microsoft-Auslegungen und Antworten auf jedes der wichtigsten Probleme angesprochen werden, sowie Details dazu, wie Microsoft die Einhaltung von den Richtlinien von MAS erleichtern kann. Sie behandelt die Richtlinien von MAS und den Leitfaden von ABS separat.
Die Antwort von Microsoft auf die Richtlinien von MAS konzentriert sich auf die Empfehlungen von MAS für umsichtiges Risikomanagement für Outsourcing. Dort wird erläutert, wie Microsoft die korrekten Richtlinien, Prozesse und Tools für die Bewertung der Risiken bereitstellt. Sie bietet auch Checklisten, die Ihnen dabei helfen sollen, unsere Cloud-Dienste für den Business zu bewerten, und beschreibt die Prozesse für Governance und interne Kontrollen.
Die Antwort von Microsoft auf den Leitfaden von ABS konzentriert sich auf Abschnitte 3 und 4.
- Abschnitt 3 baut auf den Anforderungen der MAS-Richtlinien für die Due Diligence und das Lieferantenmanagement auf, indem dort solche Angelegenheiten als vertragliche Überlegungen genauer angesprochen werden. Wir stellend detailliere Informationen über die Microsoft-Tools für das Lieferantenmanagement sowie über die Unterstützung, die wir während der Due-Diligence-Prüfung bieten können, zur Verfügung.
- Abschnitt 4 empfiehlt eine Reihe wichtiger Baselinekontrollen – von der Verschlüsselung bis hin zur Penetrations- und Sicherheitsrisikomanagement –, die Clouddienstanbieter bei der Zusammenarbeit mit Banken einrichten sollten. In diesem Abschnitt wird beschrieben, wie die Steuerelemente die Sicherheitsaspekte der einzelnen genannten Steuerelemente behandeln.
Erhalten Sie praxisorientierte Unterstützung beim Verschieben von Daten und Workloads in die Microsoft-Cloud in Übereinstimmung mit den MAS-Richtlinien
Compliance-Checkliste für Finanzinstitute in Singapur
Dieses Dokument enthält eine Übersicht über die aufsichtsrechtliche Landschaft, die die entsprechenden Anforderungen in Singapur einführt, sowie eine Checkliste zur Compliance, in der die regulatorischen Probleme aufgelistet sind, die angegangen werden müssen, und es ordnet die Cloud-Services von Microsoft diesen Problemen zu. Indem sie die Checkliste Punkt für Punkt überprüfen und abschließen, können Finanzinstitute Microsoft-Clouddienste mit der Gewissheit einführen, dass sie die relevanten Anforderungen in Singapur erfüllen.
Indem wir uns auf unseren umfassenden Ansatz zur Risikosicherheit in der Cloud verlassen, sind wir zuversichtlich, dass Finanzinstitute in Singapur auf eine Weise in die Microsoft Cloud wechseln können, die mit den MAS-Richtlinien und dem ABS-Leitfaden in Einklang steht, und gleichzeitig ein fortschrittlicheres Sicherheitsrisikomanagementprofil als viele lokale Lösungen bereitstellen können.
Erhalten Sie praxisorientierte Unterstützung beim Verschieben von Daten und Workloads in die Microsoft-Cloud in Übereinstimmung mit den MAS-Richtlinien
Laden Sie die Compliance-Checkliste für Finanzinstitute in Singapur herunter
In Microsoft eingeschlossene Cloudplattformen und Dienste
- Azure
- Dynamics 365
- Intune
- Power BI-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan oder einer -Anwendungssuite enthalten
- Office 365
Häufig gestellte Fragen
Ist eine behördliche Genehmigung erforderlich?
Nein, es ist nicht erforderlich, outsourcing-Vereinbarungen vorab zu benachrichtigen, zu konsultieren oder zu genehmigen. Die MAS erwartet jedoch, dass die Finanzinstitute bereit sind, ihre Einhaltung nachzuweisen und die MAS so schnell wie möglich über nachteilige Entwicklungen zu informieren, die sich aus den Outsourcing-Vereinbarungen eines Finanzinstituts ergeben , z. B. einem Vorfall gegen Datenverletzungen.
Was ist eine „wesentliche“ Auslagerungsvereinbarung und warum ist die Definition wichtig?
Eine Outsourcing-Vereinbarung ist "wesentlich", wenn ein Dienstausfall oder eine Verletzung das Potenzial hat, den Geschäftsbetrieb eines Finanzunternehmens wesentlich zu beeinträchtigen oder die Fähigkeit, Risiken zu verwalten und geltende Gesetze und Vorschriften einzuhalten; oder wenn es sich um Kundeninformationen handelt und im Falle eines unbefugten Zugriffs oder einer unbefugten Offenlegung, verlust oder diebstahl von Kundeninformationen eine wesentliche Auswirkung auf die Kunden eines Unternehmens hat. Bei der Definition von „Kundeninformationen“ werden sicher verschlüsselte Informationen ausdrücklich ausgeschlossen.
Diese Definition ist wichtig, da bestimmte Bestimmungen der MAS-Outsourcing-Richtlinien nur für "materielle Outsourcing-Vereinbarungen" gelten. Dazu gehören die Verpflichtung zur Durchführung jährlicher Überprüfungen, obligatorische Vertragsklauseln zur Behandlung von Prüfrechten und die Sicherstellung, dass die Auslagerung außerhalb singapurs keine Auswirkungen auf die Aufsichtsbemühungen von MAS hat.
Ressourcen
- Richtlinien von MAS über das Risikomanagement bei Outsourcing
- MAS Technology Risk Management Guidelines
- Häufig gestellte Fragen zu den MAS-Richtlinien für Outsourcing
- Implementierungsleitfaden für Cloud Computing 1.1 von ABS
- Auf dem Weg in die Cloud navigieren: Die Antwort von Microsoft auf die Outsourcing-Richtlinien von MAS und den Implementierungsleitfaden für Cloud von ABS
- Microsoft Compliance-Checkliste