阿里雲產品服務獲獨立第三方鑒證 強化企業上雲信心
在數碼化營運的時代下,企業對業務拓展、趨勢分析、客戶管理、風險控制、監管合規及安全系統等需求也明顯較以往增多,企業應用雲服務的情況也越來越普及。阿里巴巴集團的數據智能骨幹阿里雲宣佈,旗下一系列雲產品及服務的內部治理系統已經取得羅兵咸永道會計師事務所(Pricewaterhouse Coopers,PwC)的獨立第三方鑒證,增強企業「上雲」信心,減輕合規成本。
香港近年積極推動金融科技發展,銀行、保險企業和證券公司推出更多泛的網上業務,監管機構自2019年3月起分階段發放虛擬銀行牌照,更為金融科技寫下新里程。與此同時,監管機構一直要求認可機構對雲服務供應商進行風險評估,確保其服務符合合規要求,維持金融體系穩定。
作為香港首家主動對其產品及服務尋覓獨立第三方鑒證的公共雲服務提供商,阿里雲冀透過經認證的評測,增強商家引入雲服務的信心,加快數碼轉型步伐,同時提供符合監管機構指引的服務,讓商家無需額外應付合規檢查的成本。
羅兵咸永道會計師事務所針對阿里雲香港兩個數據中心提供的公有雲服務,包括雲計算、數據儲存及傳輸、雲安全等範疇,就其相關的公司治理體系與香港金融管理局(金管局)、香港保險業監管局(保監局)及香港證券及期貨事務監察委員會(證監會)發佈的相關監管要求所映射的控制目標和控制機制,在2019年1月1日至2019年12月31日期間對其運行有效性進行獨立第三方鑒證。
羅兵咸永道會計師事務所的鑒證結果表明,阿里雲產品及服務相關的內控措施在所有重大方面設計得宜,評測結果與阿里雲的描述並無二致,而且控制機制能夠有效地落實。公有雲服務客戶可以從阿里雲有關部門,獲取羅兵咸永道會計師事務所出具的包括詳細工作和結論的鑒證報告。(香港監管機構的對比評測項目詳見下文)
阿里雲目前已經在全球取得超過70項安全及合規認證,其彈性運算能力(Elastic Compute Service,ECS)足以幫助金融機構處理龐大網絡流量。同樣的技術已經在去年天貓雙11全球狂歡節(天貓雙11)中體現,活動期間所處理的訂單創出新峰值,達到每秒54.4萬筆,單日數據處理量達到970 PB,背後主要是阿里巴巴集團的核心系統100%全面上雲,支持天貓雙11所面臨的龐大流量洪峰。
阿里雲智能國際港澳、韓國及菲律賓區域總經理劉彬星表示,阿里雲致力為客戶提供最佳而可行的解決方案,香港金融服務業正在加速數碼化,越來越多機構選擇「上雲」,對雲服務提供商的服務要求越來越精辟,「阿里雲產品服務的內部治理系統獲得獨立第三方認證,不但增強企業對選用雲服務的信心,也讓金融機構客戶能更了解阿里雲產品服務的合規情況,以及如何符合監管機構的要求。」
劉彬星續指,日後會繼續提倡普惠金融,致力協助及加速香港金融業的數碼化轉型,例如提供大數據和人工智能等技術為企業提供更精準及訂製化的服務,繼而鞏固香港作為國際金融中心的地位。
阿里雲產品及服務內部管理系統與香港監管機構的對照項目
香港金融管理局監管指引:
- 監管政策手冊TM-G-1科技風險管理一般原則 Supervisory Policy Manual TM-G-1 General Principles for Technology Risk Management
- 監管政策手冊TM-G-2持續業務運作規劃 Supervisory Policy Manual TM-G-2 Business Continuity Planning
- 監管政策手冊 SA-2 外判 Supervisory Policy Manual SA-2 Outsourcing
- 科技相關外判(包括雲計算)風險評估表 Risk Assessment Form on Technology-related Outsourcing (including Cloud Computing) Project
- 保障客戶資料通告 Circular on “Customer Data Protection”
- 事故應變及管理程序 Circular on “Incident Response and Management Procedures”
- 有關資訊技術問題及系統變更管理的管控措施的審查 Circular on “Examinations on Controls over Information Technology (IT) Problem and System Change Management”
香港保險業監管局監管指引:
- 網上保險活動指引 Guideline on the Use of Internet for Insurance Activities (GL8)
- 外判指引 Guideline on Outsourcing (GL14)
香港證券及期貨事務監察委員會監管指引:
- 致所有持牌法團的通函–資訊科技管理 Circular to All Licensed Corporations on Information Technology Management
- 致持牌法團的通函–外間電子數據存儲的使用 Circular to Licensed Corporations – Use of External Electronic Data Storage
羅兵咸永道評測的阿里雲服務項目:
- 公司治理 Entity-level control
- 外包風險管理 Third-party risk management
- 資訊科技資產管理 IT asset inventory management
- 身份與訪問管理 Identity and access management
- 加密與密鑰管理 Encryption and key management
- 數據中心安全管理 Data center security management
- 威脅與漏洞管理 Threat and vulnerability management
- 基礎設施與虛擬化安全 Infrastructure and virtualization security
- 安全事件管理、電子偵察與雲取證 Security incident management, electronic discovery, and cloud forensics
- 數據安全和訊息聲明周期管理 Data security and information lifecycle management
- 移動端與終端安全 Mobile and endpoint security
- 變更控制與配置管理 Change control and configuration management
- 審計和合規 Audit assurance and compliance
- 業務連續性管理與運營恢復力 Business continuity management and operational resilience
分享