關於 OSFI
OSFI) 金融機構 監督辦公室 (加拿大政府的獨立機構。 它監管並監督加拿大受聯邦監管的金融機構及退休金計畫。
在其監管下,OSFI 發佈了針對業務活動、功能和流程委外的 B-10 準則。 他們為聯邦管控的金融機構建立了「審慎做法、程序或標準」,以評估和管理與委外其業務給服務提供者相關的風險。
此外,由金融機構所使用的雲端服務須符合個人資訊保護和電子文件法 (PIPEDA),或在某些情況下,則為省資料隱私權法。
Microsoft 和 OSFI
為了協助加拿大的金融機構考慮將業務功能外包到雲端,Microsoft 發表 了《導航你走向雲端:加拿大金融機構合規檢查清單》。 透過檢視並完成清單,金融機構可以放心採用 Microsoft 商業雲端服務,確保符合相關法規要求。
當加拿大金融機構委外業務活動時,他們必須符合由金融機構監理總署 (OSFI) 發佈之針對業務活動、功能和流程委外的 B-10 準則,以及加拿大隱私權法,包括個人資訊保護和電子文件法 (PIPEDA)。
Microsoft 檢查清單可協助加拿大金融公司執行 Microsoft 商務用雲端服務的審慎評估,包括:
- 內容的規章環境概述。
- 檢查清單,其中提出要解決的問題,並根據法規規定,將 Microsoft Azure、Microsoft Dynamics 365 和 Microsoft 365 服務對應起來。 檢查清單可做為工具,以根據法規架構評定合規性,提供記錄合規性的內部結構,並協助客戶自行進行 Microsoft 商務雲端服務風險評估。
Microsoft 範圍內的雲端平台與服務
實施方式
- 合規檢查清單:加拿大:金融公司可以取得 Microsoft 商務雲端服務風險評估的協助。
- Microsoft 雲端中的隱私權:取得有關 Microsoft 隱私權原則和標準,以及有關加拿大特定隱私權法的詳細資訊。
- Azure 的業界使用案例:使用案例概述、教程及其他資源建立適用於金融服務的 Azure 解決方案。
常見問題集
需要法規批准嗎?
否。 無需事先通知、諮詢或批准。 您可以使用公開雲端計算,且永遠都需符合 OSFI 的要求。
OSFI B-10 準則表示 OSFI 預期金融機構設計適用於其所有委外安排的風險管理計劃,且其風險緩解與相關風險相對應。 不過,只有重大委外的安排必須有書面合約的記錄,且提及準則中所述的安全措施。 Microsoft 檢查清單 第2部分 (第53頁) 將這些保障措施對應Microsoft合約文件中涉及的章節。
在與雲端服務提供者的合約中,是否必須包含任何強制性條款?
是,但僅限委外安排為重大委外,或涉及將個人資訊傳送到雲端服務提供者的情況。
使用 Microsoft Purview 合規管理工具來評估您的風險
Microsoft Purview 合規管理工具 是 Microsoft Purview 入口網站 中的一項功能,幫助您了解組織的合規狀況並採取措施降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。