聯邦金融機構檢查委員會 (FFIEC)
FFIEC 概觀
美國聯邦金融機構檢查委員會 (FFIEC) 是由五個銀行監管人組成的正式機構間,負責美國聯邦政府機構在 美國 中管理金融機構。 FFIEC 教育版辦公室會發佈 IT 檢查手冊,以供 FFIEC 成員機構的欄位審查使用。
FFIEC 稽核 IT 檢查手冊包含這些審查人員的指引,以評估金融機構和 TSP 的 IT 稽核計劃品質和有效性。 具體來說,它包含提及美國認證公用事務總局的SOC 1、SOC 2和SOC 3證明報告, (AICPA) 作為獨立稽核報告的範例。 不過,FFIEC 建議金融機構不要只依賴這些報告中包含的資訊,而是使用 FFIEC 外包技術服務 IT 檢查手冊中詳細討論的驗證和監視程式。
Microsoft 和 FFIEC
Microsoft Azure、Microsoft Power BI 和 Microsoft Office 365 是為了符合為金融服務機構提供雲端服務的嚴格需求而建置。 Azure 為金融機構提供獨立稽核公司所產生的 SOC 1 類型 2、SOC 2 類型 2 和 SOC 3 證明報告,以協助客戶符合自己的 FFIEC 合規性義務。 例如, SOC 1 Type 2 證明 是在下方執行:
- SSAE No. 18, Attestation Standard: Clarification and Recodification, which includes AT-C section 320, Reporting on an Examination of Controls at a Service Organization relevant to User Entities'Internal Control over Financial Reporting (AICPA, Professional Standards) .
- SOC 1 報告在服務組織中與使用者實體對財務報告之內部控制相關的控制措施檢查 (AICPA 指南)
AICPA SSAE 18 標準已取代 SAS 70,適用於報告與財務報告的使用者實體內部控制相關的服務組織控制控制件。 這是金融機構在履行其在 Azure 上部署之資產的 FFIEC 特定合規性義務時,可以運用於技術服務提供者的第三方審查的正式稽核。 其中包含稽核員對於控制有效性的意見,以在指定的監視期間達到相關的控制目標。
此外,Azure 已開發以 Excel 為基礎的雲端安全性診斷工具,旨在加速金融機構可能想要相對於 Azure 服務進行的風險評估。 此工具是以包含 19 個不同網域的電子錶格為基礎,可識別相關標準和金融服務相關法規中所設定的需求,包括 FFIEC IT 檢查手錶冊。 風險評估工具會預先填入 Azure 如何符合適用於雲端服務提供者需求的說明,並可協助客戶符合自己的 FFIEC 合規性需求。
客戶也可以使用 Azure FFIEC 雲端安全性診斷活頁簿隨附,其提供使用 Azure 服務的指引,以及客戶符合 FFIEC 需求的考慮
Microsoft 範圍內雲端平台與服務
- Azure
- Intune
- Office 365,Office 365 美國政府
- Power BI 雲端服務 (可作為獨立服務或包含在 Office 365 品牌方案或套件中)
Azure 指引檔
為了協助受 FFIEC 監督的金融機構採用雲端採用,Microsoft 已發佈下列指引檔,可從服務信任入口網站 數據保護資源 - 合規性指南 一節下載:
- Azure - 雲端安全性診斷工具
- Azure - FFIEC 雲端安全性診斷活頁簿隨附
Office 365和 FFIEC
Office 365環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| 商業 | Microsoft Entra ID、Azure 資訊保護、Bookings、合規性管理員、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、適用於 Office 365 的 Microsoft Defender、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 進階合規性 附加元件、Office 365 雲端 App 安全性、Office 365 群組、Office 365安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、StaffHub、Stream、Sway、Viva Engage |
| GCC | Microsoft Entra ID、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性 附加元件、Office 365安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream |
Office 365 稽核、報告和認證
請參閱 Office 365 SOC 證明報告。
常見問題集
我可以使用 Microsoft 合規性與 SOC 標準來符合我的機構的 FFIEC 合規性義務嗎?
為了協助您履行這些義務,Microsoft 提供我們先前所述的SOC標準合規性相關細節。 不過,最後,您必須判斷我們的服務是否符合貴機構適用的特定法律和法規。 FFIEC 也建議「稽核報告或評論的使用者不應只依賴報表中包含的信息來驗證 TSP 的內部控制環境。 它們應該使用其他驗證和監視程式,如 FFIEC IT 檢查手冊的 外包技術 手冊中所述。」
使用 Microsoft Purview 合規性管理員來評估您的風險
Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站 中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。
資源
其他適用於金融服務的 Microsoft 資源
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應