保险业运用新兴科技作业原则（3页）.pdf

壹、为协助保险业适当管理运用新兴科技之风险，并保障消费者权益，特订定本作业原则。

贰、云端服务安全控管

一、云端服务安全名词定义

(一)云端服务：係指服务提供者以租借方式提供个人或企业得承租其网路、伺服器、储存空间、基础设施、资安设备、系统软体、应用程式、分析与计算等资源，以达资源共享之服务。

(二)软体即服务（SaaS）：云端服务业者提供软体使用，承租人能使用软体，但并不掌控软体、作业系统、硬体。

(三)平台即服务（PaaS）：云端服务业者提供作业系统使用，承租人能于此作业系统操作其软体，可掌控运作软体的环境也拥有作业系统部分掌控权，但并不掌控作业系统、硬体。

(四)基础设施即服务（IaaS）：云端服务业者提供基础运算资源（如处理能力、储存空间、网路元件或中介软体），承租人能掌控作业系统、储存空间、已部署的应用程式及网路元件（如防火牆、负载平衡器等），但并不掌控云端基础运算资源。

二、本安全控管范围不包含仅提供会员公司内部使用且不涉及客户资料处理之服务。

三、应制定云端服务管理政策，至少每年检视一次。

四、若使用云端服务涉及保险业作业委託他人处理应注意事项之范畴，应依据其规定办理监督与查核、境外规定要求、紧急应变及营运持续计画等机制。

五、採用IaaS或Paas云端服务模式者，应符合下列规定：

(一)应评估云端服务提供者之合格条件、服务水准、復原时间、备援机制、权责归属及资讯安全防护等项目。

(二)应评估云端服务提供之平台、协定、介面、档桉格式等，以确保互通性与可移植性。

(三)应确保云端服务提供者提供之资源与其他承租人所使用之资源各自独立，互不影响（如防火牆区隔）。

(四)应与云端服务提供者签订服务协议，维持所需之服务水准并定期提出报告与操作纪錄（如服务水准报告、系统变更纪錄、作业系统映像档存取纪錄等）。