싱가포르 통화청(MAS) 및 싱가포르 은행 연합(ABS)

  • 아티클

MAS 및 ABS 개요

싱가포르 통화청(MAS)

싱가포르와 중앙은행의 유일한 은행 규제 기관인 싱가포르 통화 당국(MAS)은 기술 위험 관리 지침을 발표했습니다. MAS는 이 지침에서 은행, 보험사, 신탁 회사를 포함하는 싱가포르 금융 기관에 의한 아웃소싱 클라우드 서비스에 대한 요건을 설정했습니다. 이것은 Microsoft도 참여했던 2014년 10월에 시작된 산업 전반에 대한 컨설팅의 결과물입니다.

MAS 지침은 기술 도입 프로세스를 대폭 간소화하며, 규제 기관이 기대하는 바에 대해 명확성을 제공하고, 금융 업계의 클라우드 솔루션 채택을 늦춰왔던 이전의 많은 오해를 해결합니다.

또한 이 지침은 금융 기관에서 퍼블릭 클라우드를 포함한 클라우드 서비스 사용을 지원하고 이를 통해 이익을 얻을 수 있다는 점을 명백히 합니다. 그들은 금융 기관이 중요한 재료 아웃소싱 약정 전에 MAS에 알릴 것이라는 기대를 제거했습니다. 그 대신에 MAS의 감독 대상 기관은 실질적 아웃소싱 평가 시의 위험 기반 접근 방식을 개선하고, 이 지침에 따라 모든 아웃소싱 협의에 대해 자체 평가를 실시해야 합니다. (현재로서는 이러한 지침이 법적 구속력이 없지만 MAS는 향후 법정 통지를 발행할 것이라고 밝혔습니다.)

싱가포르 은행연합(ABS)

아웃소싱 위험 관리에 대한 MAS의 지침이 발표된 직후에, 싱가포르에서 운영되는 로컬 은행 및 외국 은행(기타 금융 기관은 포함 안 됨)의 이해를 대변하는 비영리 조직인 ABS는 법적 구속력이 없는 실무 가이드로서 클라우드 컴퓨팅 구현 가이드를 소개했습니다. 은행이 MAS 지침에 따라 아웃소싱 계약을 구현할 수 있도록 설계되었습니다.

Microsoft, MAS 및 ABS

MICROSOFT는 퍼블릭 클라우드 사용을 포함하여 퍼블릭 클라우드 사용을 포함한 클라우드 컴퓨팅의 보증과 싱가포르 은행 협회(ABS)의 지원을 통해 MAS 아웃소싱 지침 및 ABS 지침에 대한 Microsoft 응답과싱가포르의 금융 기관에 대한 규정 준수 검사 목록을 발표했습니다. 함께 금융 회사가 MAS 지침을 준수하고 새로운 지침에 대한 아웃소싱 준비에 대한 자체 평가를 완료한다는 확신을 가지고 데이터 및 워크로드를 Microsoft 클라우드로 이동하는 방법을 보여줍니다.

MAS 지침 및 ABS 가이드에 대한 Microsoft의 대응을 통해 금융 기관은 MAS 지침 및 ABS 가이드에서 제기된 핵심 이슈의 개요를 파악할 수 있습니다. 클라우드 서비스, 각 핵심 이슈에 대한 Microsoft의 설명 및 대응, MAS 지침 준수를 위한 Microsoft의 상세 지원 내용 등이 포함되어 있습니다. MAS와 ABS 지침은 별도로 처리합니다.

MAS 지침에 대한 Microsoft의 대응은 아웃소싱에 대한 신중한 위험 관리 사례에 중점을 두고 있습니다. 여기에서는 Microsoft가 보유하고 있는 위험을 평가할 수 있는 올바른 정책, 프로세스, 도구가 어떤 것인지를 포인트별로 설명하고, 비즈니스 클라우드 서비스를 평가하는 데 도움이 되는 체크리스트를 제공합니다. 또한, 거버넌스 및 내부 통제 프로세스를 설명합니다.

ABS 가이드에 대한 Microsoft의 대응은 항목 3과 항목 4에 중점을 둡니다.

  • 항목 3은 계약상 고려 사항에 관련된 상세 문제를 다루고 MAS 지침의 실사 및 공급업체 관리 요구 사항을 기반으로 작성되었습니다. Microsoft 공급업체 관리 도구 및 실사 평가 중에 제공 가능한 지원에 대한 자세한 정보를 제공합니다.
  • 섹션 4에서는 클라우드 서비스 공급자가 은행과 작업할 때 제자리에 있어야 하는 암호화에서 침투 및 취약성 관리에 이르는 주요 기준 제어 집합을 권장합니다. Microsoft는 지정된 각 제어 부문의 보안 문제를 어떻게 해결하는지를 설명합니다.

MAS 지침을 준수하면서 Microsoft 클라우드로 데이터 및 워크로드를 이동하는 데 있어 실용적인 지원 받기

클라우드로 가는 방법: MAS 아웃소싱 지침 및 ABS 가이드에 대한 Microsoft의 대응 다운로드

싱가포르의 금융 기관을 위한 규정 준수 체크리스트

이 문서에는 싱가포르의 관련 요구 사항을 소개하는 규제 상황 개요 및 규제에 관련된 문제를 나열하고 Microsoft 클라우드 서비스와 이 문제를 매핑한 규정 준수 체크리스트가 포함되어 있습니다. 금융 기관은 지점별로 검사 목록 지점을 검토하고 완료함으로써 싱가포르의 관련 요구 사항을 준수하고 있다는 확신을 가지고 Microsoft 클라우드 서비스를 채택할 수 있습니다.

클라우드의 위험 보증에 대한 포괄적인 접근 방식에 의존함으로써 싱가포르의 금융 기관은 MAS 지침 및 ABS 가이드와 일치하는 방식으로 Microsoft 클라우드로 전환할 수 있을 뿐만 아니라 많은 온-프레미스 솔루션보다 더 고급 보안 위험 관리 프로필을 제공할 수 있다고 확신합니다.

MAS 지침을 준수하면서 Microsoft 클라우드로 데이터 및 워크로드를 이동하는 데 있어 실용적인 지원 받기

싱가포르 금융 기관을 위한 규정 준수 체크리스트 다운로드

Microsoft 범위 내 클라우드 플랫폼 및 서비스

  • Azure
  • Dynamics 365
  • Intune
  • 독립형 서비스 혹은 Office 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 Power BI 클라우드 서비스
  • Office 365

자주 묻는 질문

규제적 승인이 필요한가요?

아니요, 아웃소싱 계약의 사전 알림, 상담 또는 승인에 대한 요구 사항은 없습니다. 그러나 MAS는 금융 기관이 준수 방법을 시연하고 금융 기관의 아웃소싱 계약(예: 데이터 위반 사고)으로 인해 발생하는 불리한 개발이 가능한 한 빨리 MAS에 통보될 준비가 되어 있을 것으로 기대합니다.

‘실질적’ 아웃소싱 계약은 무엇이고, 이 의미를 파악하는 것이 중요한 이유는 무엇인가요?

서비스 오류 또는 위반이 금융 회사의 비즈니스 운영 또는 위험을 관리하고 관련 법률 및 규정을 준수하는 능력에 실질적으로 영향을 미칠 가능성이 있는 경우 아웃소싱 계약은 '물질적'입니다. 또는 고객 정보가 포함되고, 고객 정보의 무단 액세스 또는 공개, 손실 또는 도난이 발생하는 경우 회사의 고객에게 중대한 영향을 미칩니다. ‘고객 정보’의 정의는 안전하게 암호화된 정보를 명시적으로 배제합니다.

MAS 아웃소싱 지침의 특정 조항은 '물질적 아웃소싱 계약'에만 적용되므로 이 정의는 중요합니다. 여기에는 연간 검토를 수행해야 하는 의무, 감사 권리를 다루는 필수 계약 조항, 싱가포르 외부의 아웃소싱이 MAS 감독 노력에 영향을 미치지 않도록 하는 것이 포함됩니다.

리소스

금융 서비스에 대한 기타 Microsoft 리소스