澳门保险业务云端外判管理指引之实施

补充指引下之云端外判

云端运算服务包括一系列能够使用户按需求存取共享的可配置运算资源（例如：网络、服务器、储存、应用程序和服务）的服务并能快速进行资源分配及释放。该等服务可透过不同的服务模式及部署模式提供，各模式的描述详载于补充指引内。

适用范围

补充指引适用于所有在澳门登记成立的保险公司、再保险公司及退休基金管理公司以及海外获许可机构的澳门分行（下称「获许可机构」）。

补充指引适用于所有涉及重要业务活动/功能的重要云端安排，包括但不限于补充指引所述的各种服务模式和部署模式。当中包括获许可机构系直接与提供相关重要外判服务之云端服务供应者（下称「CSP」）订立外判安排，抑或与高度依赖CSP提供有关服务之其他服务供货商订立外判安排，均属适用范围之内。

有关重大云端外判安排之示例可参阅补充指引附件一。

若 CSP 由获许可机构的总行聘用并延伸服务至获许可机构，(即使 CSP 与获许可机构没有直接合约关系)，该云端服务亦被视为云端外判。在此情况下，获许可机构应：

• 记录并保存总行就云端外判安排所建立的管治架构和监督机制的文件
• 定期从总行获取并保存证明符合主要风险管理要求的证明或保证
• 对影响其营运的云端服务实施适当的本地监控和监督程序

即使属于非重要云端外判安排，获许可机构亦应考虑相关服务的性质、规模及复杂程度以适当识别、处理及监察潜在的风险。

尽职调查

获许可机构应建立适当之尽职调查程序，以于订立云端服务安排前及服务期间评估CSP之能力及适切性。尽职调查之范围应与有关云端安排之重要性及复杂程度相称，并至少须涵盖CSP之以下范畴：

• 财务稳定性和可行性
• 云端服务提供方面的经验和声誉
• 技术能力，包括其云端基础设施的稳健性和恢复力
• 信息安全和数据保护措施
• 业务持续性和灾难恢复安排
• 监管合规性和对行业标准的遵守
• 合约条款和条件，包括服务水平协议、责任和终止权利

再者，多租户风险、集中风险和供应链风险等因素亦应纳入尽职调查之考虑，在云端营运跨越多个地理位置的情况下，获许可机构应进行额外的尽职调查以评估境外司法管辖区的风险。

监管咨询

在签订任何重要云端安排的协议前，获许可机构应与AMCM协商和讨论其计划。

管治框架

获许可机构应针对云端外判安排建立管治框架（下称「框架」），该框架应与获许可之整体业务及信息科技策略、内部政策及程序保持一致，或透过调整现有外判政策，以处理云端服务特有之风险。此外，获许可机构须清晰界定及记录管理云端安排之相关责任及授权，并向董事会、高级管理层及相关持份者清楚传达。董事会及高级管理层须负责审查并批准框架，框架亦最少须涵盖以下内容:

• 规划阶段包括业务需求、风险评估、尽职调查和新云端安排的批准
• 负责记录、管理和监控云端安排的人员的角色和责任
• 针对云端安排和 CSP的持续监控和评估程序，以及时发现和获悉的变更
• 数据位置和传输要求
• 云端订阅和计费管理
• 安全控制
• 审计/审查安排
• 业务持续性管理
• 退出策略

定期风险评估及持续监控机制

获许可机构应定期进行全面的风险评估，并建立相关监控机制，以涵盖云端服务供货商 (CSP) 之法规遵循情况、安全控制措施及数据中心营运状况。
相关评估须涵盖营运、信息安全、系统抵御、集中风险及供应链等潜在风险，并应定期审查以下各项要素：

• 应变措施的充足性(数据和服务的互操作性和可移植性)
• 采用多云策略的可行性
• 可确保平稳过渡的退出策略

法律、监管与数据处理

获许可机构在将系统和数据迁移至云端之前，应了解适用于数据处理的相关法律和监管框架、合约要求和限制。获许可机构和 CSP 应确定并同意可接受的数据处理和储存的司法管辖区。获许可机构应保留在CSP变更不理想时拒绝拟变更或终止外判协议的合约权利。

云端外判安排之磋商及协议

获许可机构应与 CSP 就计费模式、使用监控要求和主要服务的通知要求达成协议，并采取措施防止因超出配额酬做成服务中断。
除《外判指引》所订明的外判协议要求外，获许可机构与云端服务供货商 (CSP) 签订之云端外判协议亦应明确界定以下事项：

• 数据中心位置及变更的批准程序
• CSP 在发生事故时协助提供应对、调查、恢复和协助退出流程的责任

向AMCM通报

重要云端外判协议及相关文件须于协议订立后30日内连同指定的申报表格一并提交至AMCM备案。

审计或认证要求

获许可机构须定期对云端安排进行外部或内部审计。倘获许可机构采纳由独立及具信誉的第三方机构所发出的认证或报告，则有关认证或报告须符合以下条件：

• 进行审计的一方须具备必要的知识和技能，并为补充指引附件 3 所载之信誉良好和独立的组织
• 涵盖CSP 用于储存或处理获许可机构数据的系统和营运
• 认证为最新并涵盖主要风险领域

云端安全控制

获许可机构须采取稳健的安全控制措施，以降低与云端安排相关之风险。尽管安全控制措施的管理责任或会因所部署的云端服务模式而有所不同，惟获许可机构在任何情况下，仍需对保护其信息承担责任。因此，获许可机构应主动识别并适当实施相关之安全控制措施，以确保信息安全获得妥善保障。
云端安全控制范畴包括但不限于：

• 架构设计
• 虚拟化和容器化
• 数据安全和加密
• 应用程序安全
• 身份和访问管理
• 变更和配置管理
• 事件和安全事故管理
• 业务持续性管理

实施日期

获许可机构须在补充指引生效后的 12 个月内，即2026年5月1日前完全遵守相关规定，补充指引生效前订立的现有外判安排和协议将获得豁免，惟获许可机构须就该等外判安排进行审查，确保其符合补充指引所订明的主要原则及要求。如获许可机构未能于上述期限内完成审查，须主动通知AMCM并说明其计划采取的措施或退出策略，亦可向AMCM申请延期完成审查。

敬请注意，在外判予云端服务提供商时，获许可机构须遵守本补充指引所载的要求，同时不影响《外判指引》中所规定的其他要求。