호주 신중한 규제 당국(APRA)
APRA 개요
호주 신중한 규제 당국(APRA)은 호주의 은행, 신용 조합, 보험 회사 및 기타 금융 서비스 기관을 감독합니다. APRA는 클라우드 컴퓨팅에 대한 모멘텀을 인식하여 규제된 엔터티에 효과적인 거버넌스, 철저한 위험 평가 및 정기적인 보증 프로세스를 통해 사려 깊은 클라우드 채택 전략을 구현할 것을 요청했습니다. 규제 기관은 중요한 비즈니스 활동을 아웃소싱할 때 APRA 푸르덴셜 표준 CPS 231 아웃소싱 을 준수해야 합니다. 이는 금융 기관의 비즈니스 운영 또는 위험을 효과적으로 관리하는 능력에 큰 영향을 미칠 가능성이 있는 모든 활동입니다. APRA에 제출된 클라우드 컴퓨팅 서비스와 관련된 아웃소싱 계약을 검토한 결과, APRA는 규제된 엔터티가 클라우드 공급자 및 서비스를 보다 효과적으로 평가하고 클라우드에 아웃소싱하는 규제 문제를 안내하는 데 도움이 되는 클라우드 컴퓨팅 서비스와 관련된 구체적인 세부 지침을 정보 논문에 발표했습니다. 클라우드 서비스를 포함한 아웃소싱 시 규제 기관은 APRA 푸르덴셜 표준 CPS 234 정보 보안에 대한 지속적인 규정 준수를 검토하고 고려해야 합니다.
Microsoft 및 APRA
클라우드 공급자 및 해당 서비스를 평가하는 호주의 금융 기관의 경우 Microsoft는 다음을 게시했습니다.
- 클라우드의 APRA 정보 용지에 대한 Microsoft 응답
- Microsoft 클라우드 서비스: 오스트레일리아의 금융 기관을 위한 규정 준수 검사 목록
- Microsoft 클라우드 서비스: APRA 푸르덴셜 표준 CPS 234 준수
이들은 금융 회사가 호주 APRA(신중한 규제 기관) 규정 및 지침을 준수하고 있다는 확신을 가지고 데이터와 워크로드를 Microsoft Azure로 이동하는 방법을 보여줍니다.
Azure에서 APRA 규격 금융 서비스의 이점에 대해 알아보려면 Regtech meets Fintech: 영구 및 Microsoft 금융 부문 변환 문서를 참조하세요.
클라우드의 APRA 정보 용지에 대한 Microsoft 응답
이 Microsoft 백서는 클라우드 컴퓨팅 서비스와 관련된 APRA 정보 용지 아웃소싱에서 발생한 각 문제에 대한 자세한 대응을 통해 금융 서비스에 대한 자세한 지침을 제공합니다. APRA 지침은 클라우드 사용량이 일반적으로 낮고, 높고, 극단적인 내재된 위험이라는 세 가지 위험 범주를 식별하고 규제된 엔터티가 위험 평가의 일부로 고려해야 하는 주요 문제를 강조 표시합니다.
Microsoft 응답은 두 가지 가장 높은 위험 범주에 중점을 둡니다. 클라우드 서비스는 위험 범주에 의해 금지되지 않지만 APRA는 매우 높은 수준의 근면을 수행해야 하며 위험 범주를 늘리면서 APRA 조사 수준이 증가할 것으로 예상해야 합니다. APRA는 일반적으로 클라우드 아웃소싱에 대한 높거나 극단적인 내재된 위험을 나타내는 다양한 요인을 나열합니다. Microsoft는 이러한 각 요소를 심층 분석하여 데이터 및 워크로드를 Azure로 이동할 위험을 평가하고 관리하는 데 도움이 되는 정보 및 도구를 제공합니다.
Microsoft는 또한 전략, 거버넌스, 솔루션 선택 프로세스, APRA 액세스 및 행동 능력, 전환 접근 방식, 위험 평가 및 보안, 지속적인 감독, 비즈니스 중단 및 감사 및 보증과 같은 각 APRA 위험 관리 고려 사항을 해결합니다. 지점별로 Azure를 배포할 때 각 문제에 대응하는 데 도움이 되는 조언과 도구를 제공합니다.
APRA 규정에 따라 데이터 및 워크로드를 Azure로 이동하기 위한 실질적인 지원 받기: 클라우드의 APRA 정보 논문에 Microsoft 응답을 다운로드합니다.
정보 보안에 대한 APRA CPS 234에 대한 Microsoft 응답
APRA 푸르덴셜 표준 CPS 234 정보 보안 은 규제 기관이 다음을 수행해야 합니다.
- 정보 보안 관련 역할 및 책임을 명확하게 정의합니다.
- 정보 자산에 대한 위협의 크기와 범위에 상응하는 정보 보안 기능을 유지 관리합니다.
- 컨트롤을 구현하여 정보 자산을 보호하고 컨트롤의 효과에 대한 정기적인 테스트 및 보증을 수행합니다. 및
- 중요한 정보 보안 인시던트에 대해 APRA에 즉시 알립니다.
CPS 234는 핵심 Microsoft 보안 프레임워크인 보호, 검색 및 대응을 밀접하게 반영합니다.
Microsoft 클라우드 서비스: APRA 푸르덴셜 표준 CPS 234 Information Security 준수는 관련 CPS 234 규정 의무를 각각 설정하고 Microsoft 클라우드 서비스 제어, 기능, 기능, 계약 약정 및 지원 정보를 매핑하여 APRA 규제 기관이 CPS 234에 따른 규정 의무를 준수할 수 있도록 지원합니다.
클라우드로 이동: 호주의 금융 기관에 대한 규정 준수 검사 목록
이 Microsoft 검사 목록은 금융 회사가 클라우드로 이동할 때 해결해야 하는 APRA 규정 요구 사항을 소개합니다. Azure는 신중한 표준 CPS 231 아웃소싱뿐만 아니라 비즈니스 연속성 및 위험 관리와 같은 기타 관련 APRA 표준에 매핑됩니다. 이 검사 목록을 완료하면 금융 서비스 기관이 관련 APRA 요구 사항을 충족한다는 확신을 가지고 Azure를 채택할 수 있습니다.
클라우드의 위험 보증에 대한 포괄적인 접근 방식에 의존함으로써 호주 금융 서비스 조직은 APRA 지침과 일치할 뿐만 아니라 온-프레미스 또는 기타 호스팅 솔루션보다 더 고급 보안 위험 관리 프로필을 고객에게 제공할 수 있는 방식으로 Microsoft 클라우드 서비스로 이동할 수 있다고 확신합니다.
APRA 규정에 따라 데이터 및 워크로드를 Azure로 이동하기 위한 실질적인 지원 받기: Microsoft 클라우드 서비스 다운로드: 호주의 금융 기관을 위한 규정 준수 검사 목록.
Microsoft 범위 내 클라우드 플랫폼 및 서비스
- Azure
- Dynamics 365
- Office 365
Office 365 및 APRA
Office 365 환경
Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.
이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.
- 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
- Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
- Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
- Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
- Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.
이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.
조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.
Office 365 적용 가능성 및 범위 내 서비스
다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.
적용 가능성 | 범위 내 서비스 |
---|---|
상업용 | Exchange Online Protection, Exchange Online, Office 365 고객 포털, Office Online, Office 서비스 인프라, 비즈니스용 OneDrive, SharePoint Online, 비즈니스용 Skype |
자주 묻는 질문
금융 기관은 재료 비즈니스 활동을 아웃소싱하기 전에 APRA 승인이 필요한가요?
아니요. 그러나 대부분의 규제 금융 조직은 호주 내에서 자재 비즈니스 활동을 아웃소싱하는 계약을 체결한 후 APRA에 알리거나 호주 외부에서 이러한 활동을 아웃소싱하기 전에 APRA와 상의해야 합니다.
또한 클라우드 서비스가 클라우드의 APRA 정보 논문에 설명된 대로 '고조되거나 극단적인 내재된 위험'을 수반하는 것으로 간주되는 경우 금융 기관은 서비스가 호주 내외부에서 제공되는지 여부에 관계없이 APRA와 협의하도록 권장합니다(필수는 아님).
오스트레일리아 외부의 데이터 전송이 허용되나요?
예. 일반 개인 정보 보호 법규(금융 기관뿐만 아니라 모든 부문에 적용됨)는 특정 조건하에서 호주 외부로의 이전을 허용합니다. Microsoft는 Microsoft 클라우드 서비스를 사용할 때 호주 외부의 데이터 전송이 허용되도록 호주 개인 정보 보호 원칙에 따라 계약 조건에 동의합니다. 그러나 많은 호주 금융 서비스 고객은 오스트레일리아 데이터 센터에서 사용할 수 있는 클라우드 서비스를 활용하며, 이 클라우드 서비스는 호주 지역에 미사용 데이터 범주를 저장하기 위한 구체적인 계약상의 약속을 합니다. 이러한 약정은 규정 준수 검사 목록에 자세히 설명되어 있습니다.
Microsoft Purview 준수 관리자를 사용하여 위험 평가
Microsoft Purview 준수 관리자는organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.
리소스
- 오스트레일리아 신중한 규제 당국
- 클라우드 컴퓨팅 서비스와 관련된 APRA 정보 용지 아웃소싱
- 신중한 표준 CPS 231 아웃소싱
- 신중한 표준 CPS 234 정보 보안
- 클라우드의 APRA 정보 용지에 대한 Microsoft 응답
- Microsoft 클라우드 서비스: 오스트레일리아의 금융 기관을 위한 규정 준수 검사 목록
- Microsoft 클라우드 서비스: APRA 푸르덴셜 표준 CPS 234 준수
- Microsoft Cloud Financial Services
- Service Trust Portal의 금융 서비스
- Microsoft 비즈니스 클라우드 서비스 및 금융 서비스
- Microsoft 보안 센터에 대한 규정 준수