各會員公司使用雲端服務時，應對雲端服務業者進行盡職調查及定期審查 程序，並遵循下列事項： 一、應評估雲端服務業者之專業知識、經驗與資源、財務健全、內部控制 、資安管理機制及符合法規要求。 二、以風險基礎方法決定其執行強度，評估項目宜包含： （一）各會員公司是否保有其指定資料處理地及其儲存地之權利，以及雲 端服務業者辦理受託作業之客戶資料處理地及其儲存地之司法管轄 區，是否可能對各會員公司使用雲端服務造成其他營運風險。 （二）雲端服務業者是否實施適當之資訊安全控管措施，如：威脅與弱點 管理機制、雲端基礎架構及虛擬化設備安全管理程序。 （三）雲端服務業者是否已建立資料銷毀、資料遺失和資料外洩通報管理 機制。 （四）雲端服務業者之服務水準、備援機制、資訊安全防護能力、資訊安 全事件通報責任管理、業務持續運作與災難復原能力是否可符合各 會員公司需求。 （五）雲端服務之互通性，確保於服務結束時，是否可將系統遷移或將資 料遷出雲端服務。 （六）雲端服務業者提供之資源與其他承租人所使用之資源是否有邏輯區 隔。 （七）雲端服務業者之安全性事件及系統日誌紀錄保存機制是否符合會員 公司資訊安全之需求。 三、外國保險業在臺分支機構經由國外總機構或經其授權之區域總部複委 託第三方提供雲端服務之情形，得援用其國外總機構或經其授權之區 域總部負責統籌辦理並提供雲端服務業者之盡職調查及定期審查報告 。 前項所提之評估項目，得要求雲端服務業者出具符合委外事項內容、範圍 及性質的國際標準驗證報告，作為佐證資料。如國際標準組織之 ISO27001、ISO27017、ISO27018、ISO27701、ISO22301 、雲端安全聯盟 （CSA） STAR 驗證或美國註冊會計師協會 （AICPA） SOC 2 報告等。 各會員公司對使用雲端服務負有最終監督義務，應具有專業技術及資源負 責辨識風險因子，監督及審查雲端服務，並宜以風險基礎方法和所採用之 雲端服務模式決定其執行強度與頻率，必要時得視需要委託專業第三人以 輔助其監督作業。 一、各會員公司應以風險基礎方法定期審查雲端服務作業委外契約或書面 協議的執行情形，並依據風險、法令和業務變化評估其妥適性。 二、各會員公司除直接委託雲端服務業者外，如同意其受委託機構將雲端 服務複委託予雲端服務業者時，應針對複委託情形，訂明複委託之範 圍、限制或條件。 三、各會員公司使用雲端服務涉及客戶資料之登錄、處理、輸出或儲存時 ，應確認雲端服務業者於辦理涉及提供雲端服務之設備更換或銷毀時 ，具備相關機制可確保資料遷移過程安全性及完整性，及汰換設備內 之資料經刪除或銷毀。 四、各會員公司應定期確認雲端服務是否維持所需之服務水準並定期檢視 服務水準報告。