各會員公司應建立雲端服務治理機制，規劃並確認以下事項： 一、應制訂雲端服務之規範，並至少每年檢視一次。 二、專責單位及相關單位對雲端服務使用之角色權責與責任劃分。 三、建立風險評估機制，評估使用雲端服務之潛在風險。風險評估機制係 指各會員公司應針對雲端服務採取風險基礎方法評估潛在風險與管理 風險議題，評估項目宜包括： （一）雲端服務使用模式與情境。 （二）雲端服務所涉及之業務與資料。 （三）雲端服務中斷所造成影響及衝擊程度。 （四）雲端服務的互通性。 （五）會員公司對於雲端服務之管理能力與經驗。 四、建立對雲端服務業者之管理盡職調查與定期審查程序。 五、依風險基礎方法進行查核及監督。 六、建立雲端服務查核及業務持續性管理要求。 七、定期舉辦或參加雲端服務相關的人才培訓，以確保會員公司具備管理 雲端技術風險、監督及審查雲端服務之知識及能力。 各會員公司使用雲端服務與控管其風險事項應注意以下事項： 一、各會員公司採用雲端服務應具備定期審查制度，並應與組織資訊策略 一致，以確保管理策略及機制可因應組織、外在科技等議題影響持續 更新。 二、各會員公司如將作業項目委託至境外處理，應評估雲端服務業者之客 戶資料處理地及其儲存地之資料保護法規，不得低於我國要求。如有 高風險之情形者，會員公司應採行妥適之風險控管措施。 三、作業委託雲端服務業者宜適度分散，惟採取多雲或其他分散策略時， 應同時考量營運複雜性提升之風險。 四、各會員公司應依使用雲端服務之風險建立適當之監控機制，監控雲端 資源負載、安全防護與服務可用性，以健全業務持續性運作。 五、應建立雲端服務資料可用性與互通性政策和程序，確保於服務結束時 ，可將系統遷移或資料遷出雲端服務。 董（理）事會應認知及監督各會員公司涉及雲端服務委外事項之風險，確 保各會員公司對於控管雲端服務風險事項具備充足之資源、專業及權限。