Управление ревизора финансовых учреждений (OSFI) Канады
Сведения о OSFI
Управление ревизора финансовых учреждений (OSFI) — это независимое агентство правительства Канады, ответственное за разумное регулирование и контроль финансовых учреждений, подлежащих федеральному управлению, и пенсионных планов в Канаде.
В качестве контрольного органа OSFI опубликовало руководство B-10 для аутсорсинга бизнес-действий, функций и процессов. Оно устанавливает "рациональные методы, процедуры и стандарты" для финансовых учреждений, подлежащих федеральному управлению, с целью оценки и управления рисками, связанными с выполнением их бизнес-операций поставщиком услуг. В последующем меморандуме OSFI Новые технологические требования к аутсорсингу этим учреждениям напоминается, что руководство B-10 остается актуальным и что они должны соответствовать ожиданиям OSFI в отношении существенных соглашений аутсорсинга.
Кроме того, использование облачных служб финансовыми учреждениями должно соответствовать Закону о защите личных сведений и электронных документов (PIPEDA), а в некоторых случаях — законам провинций о конфиденциальности данных.
Майкрософт и OSFI
Чтобы предоставить инструкции финансовым учреждениям Канады в отношении аутсорсинга бизнес-функций в облаке, корпорация Майкрософт опубликовала документ Переход на облачные технологии. Контрольный список по соответствию требованиям для финансовых учреждений в Канаде. Проверив и завершив контрольный список, финансовые организации могут внедрить облачные службы Майкрософт для бизнеса с уверенностью в том, что они соответствуют применимым нормативным требованиям.
Если канадские финансовые учреждения передают на аутсорсинг бизнес-действия, они должны соответствовать руководству B-10 для аутсорсинга бизнес-действий, функций и процессов, опубликованному Управлением ревизора финансовых учреждений (OSFI), а также канадским законам о защите конфиденциальности, включая Закон о защите личных сведений и электронных документов (PIPEDA).
Контрольный список Майкрософт помогает канадским финансовым организациям проводить комплексную оценку облачных служб Майкрософт и включает следующее:
- Обзор нормативно-правовой среды для соответствующего контекста.
- Контрольный список, в котором определены проблемы, требующие решения, и сопоставлены службы Microsoft Azure, Microsoft Dynamics 365 и Microsoft 365 с этими нормативными обязательствами. Контрольный список можно использовать в качестве средства оценки соответствия нормативным требованиям и для предоставления внутренней структуры при регистрации соответствия требованиям, а также для помощи клиентам в проведении оценки рисков в облачных службах Майкрософт для бизнеса.
Затрагиваемые облачные платформы и службы Майкрософт
Методика реализации
- Контрольный список соответствия требованиям: Канада. Финансовые организации могут получить помощь при проведении оценки рисков в облачных службах Майкрософт для бизнеса.
- Конфиденциальность в Microsoft Cloud. Получение сведений о принципах и стандартах конфиденциальности Майкрософт и о законах защиты конфиденциальности в Канаде.
- Отраслевые варианты использования для Azure. Обзоры вариантов использования, учебные руководства и другие ресурсы для создания решений Azure для сферы финансовых услуг.
Вопросы и ответы
Требуется ли утверждение контролирующих органов?
Нет. Предварительное уведомление, консультации или утверждение не требуется. Использование общедоступного облака разрешено при условии постоянного соответствия требованиям OSFI.
Руководство B-10 OSFI указывает, что OSFI ожидает от финансового учреждения создания программы управления рисками, применяемой ко всем соглашениям аутсорсинга, с использованием мер снижения соответствующих рисков. Однако только существенные соглашения аутсорсинга требуется составлять в виде письменного договора, учитывающего меры защиты, указанные в руководстве. Часть 2 контрольного списка Майкрософт (страница 53) сопоставляет их с разделами договорных документов Майкрософт, в которых они рассматриваются.
Существуют ли обязательные условия, которые требуется включать в договор с поставщиком облачных служб?
Да, но только в том случае, если это существенное соглашение аутсорсинга или оно предусматривает любую передачу личных сведений поставщику облачных служб.
Использование Microsoft Purview Compliance Manager для оценки риска
Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.
Ресурсы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по