澳大利亚审慎监管局 (APRA)
APRA 概述
澳大利亚保诚监管局 (APRA) 监督澳大利亚的银行、信用社、保险公司和其他金融服务机构。 APRA 认识到云计算的势头后,呼吁受监管实体通过有效的治理、彻底的风险评估和定期的保证流程实施深思熟虑的云采用策略。 受监管机构在外包重大业务活动时,必须遵守 APRA 保诚标准 CPS 231 外包 规定,任何活动如果中断,可能会对金融机构的业务运营或有效管理其风险的能力产生重大影响。 根据对提交到 APRA 的云计算服务外包安排的审查,APRA 在其信息文件“ 外包涉及云计算服务 ”中发布了具体、详细的指导,以帮助受监管实体更有效地评估云提供商和服务,并指导他们解决外包到云的监管问题。 外包(包括云服务)时,受监管机构还必须审查并考虑其持续遵守 APRA 保诚标准 CPS 234 信息安全。
Microsoft 和 APRA
对于澳大利亚正在评估云提供商及其服务的金融机构,Microsoft 发布了:
它们共同演示了金融公司如何将数据和工作负载移动到 Microsoft Azure,同时确信它们遵守澳大利亚保诚监管局 (APRA) 法规和指导。
若要了解 Azure 上符合 APRA 的金融服务的优势,请阅读 Regtech meetsFintech: Perpetual and Microsoft transform the Finance sector 一文。
Microsoft 对 APRA 信息纸在云上的响应
本 Microsoft 白皮书为金融服务提供了详细的指导,并详细响应 了涉及云计算服务的 APRA 信息文件外包中提出的每个问题。 APRA 指南确定了云使用通常属于的三个风险类别(低、高和极端固有风险),并突出显示受监管实体在风险评估中必须考虑的关键问题。
Microsoft 响应侧重于两个最高风险类别。 虽然云服务不受任何风险类别的禁止,但 APRA 希望你进行相当的更高级别的调查,并且随着风险类别的上移,你应该期待 APRA 审查级别越来越高。 APRA 列出了一系列通常表示云外包的高或极端固有风险的因素。 Microsoft 深入解决上述每个因素,提供信息和工具,帮助你评估和管理将数据和工作负载移动到 Azure 的风险。
Microsoft 还解决了每个 APRA 风险管理注意事项:策略、治理、解决方案选择过程、APRA 访问权限和行动能力、转换方法、风险评估和安全性、持续监督、业务中断以及审核和保证。 我们会提供建议和工具,帮助你在部署 Azure 时响应每个问题。
获取有关将数据和工作负载移动到 Azure 以符合 APRA 法规的实际支持: 下载 Microsoft 对云上的 APRA 信息白皮书的响应。
Microsoft 对 APRA CPS 234 信息安全的响应
APRA 保诚标准 CPS 234 信息安全 要求受监管机构:
- 明确定义与信息安全相关的角色和职责;
- 维护与其信息资产威胁的大小和程度相称的信息安全能力;
- 实施控制来保护信息资产,并定期进行测试和确保控制措施的有效性;和
- 及时将重大信息安全事件通知 APRA。
CPS 234 密切反映 Microsoft 核心安全框架:保护、检测和响应。
Microsoft 云服务:符合 APRA 保诚标准 CPS 234 信息安全 ,其中列出了每个相关的 CPS 234 监管义务,并对照它映射 Microsoft 云服务控制、功能、功能、合同承诺和支持信息,以帮助 APRA 监管实体遵守 CPS 234 规定的监管义务。
导航到云:澳大利亚金融机构的合规性清单
此 Microsoft 清单介绍了金融公司迁移到云时必须满足的 APRA 法规要求。 它不仅针对 保诚标准 CPS 231 外包,还针对其他相关的 APRA 标准(例如业务连续性和风险管理)映射 Azure。 完成此清单可帮助金融服务机构采用 Azure,确保其符合相关的 APRA 要求。
通过依靠我们在云中进行风险保障的综合方法,我们确信澳大利亚金融服务组织能够以不仅符合 APRA 指南的方式迁移到 Microsoft 云服务,而且可以为客户提供比本地或其他托管解决方案更高级的安全风险管理配置文件。
获取将数据和工作负载迁移到 Azure 以符合 APRA 法规的实际支持: 下载 Microsoft 云服务:澳大利亚金融机构的合规性清单。
Microsoft 范围内的云平台和云服务
- Azure
- Dynamics 365
- Office 365
Office 365和 APRA
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| 商业 | Exchange Online Protection, Exchange Online, Office 365 客户门户, Office Online, Office 服务基础结构, OneDrive for Business, SharePoint Online, Skype for Business |
常见问题解答
金融机构在外包重大业务活动之前是否需要 APRA 批准?
否。 但是,大多数受监管的金融机构必须在签订协议后通知 APRA,将重大业务活动外包在澳大利亚境内,或在将这些活动外包到澳大利亚境外之前与 APRA 协商。
此外,如果云服务被认为具有 APRA 云信息文件中所述的“加剧或极端固有风险”,则鼓励金融机构 (但不要求) 咨询 APRA,无论该服务是在澳大利亚境内还是境外提供。
是否允许在澳大利亚境外传输数据?
能。 一般隐私立法 (,它适用于所有部门,而不仅仅是金融机构,) 允许在某些情况下在澳大利亚境外转移。 Microsoft 同意遵守澳大利亚隐私原则的合同条款,以便在你使用 Microsoft 云服务时允许在澳大利亚境外传输数据。 但是,我们的许多澳大利亚金融服务客户都利用了澳大利亚数据中心提供的云服务,为此,我们作出具体的合同承诺,在澳大利亚地理位置存储静态数据类别。 合规性清单中进一步概述了这些承诺。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。