กรอบการปฏิบัติตามข้อกำหนด
SAS ปฏิบัติตามมาตรฐานของบุคคลที่สามและหน่วยงานกำกับดูแลที่เฉพาะเจาะจงตามความต้องการของลูกค้าและอุตสาหกรรม มาตรฐานเหล่านี้จะถูกนำไปใช้ตามการมีส่วนร่วมและข้อตกลงกับลูกค้า SAS ไม่มีการรับประกันการปฏิบัติตามมาตรฐานทุกรายการที่ระบุไว้สำหรับบริการทั้งหมด
ยุโรป ตะวันออกกลาง และแอฟริกา
1 โปรแกรมและการรับรองที่อยู่ระหว่างการพัฒนา
2 ดูสถานะ FedRAMP ปัจจุบันของ SAS บน FedRAMP Marketplace
โปรดปรึกษาตัวแทนบัญชีของคุณเกี่ยวกับขอบเขตการใช้งานที่เหมาะสม
ISO 9001
ISO 9001 เป็นมาตรฐานสากลสำหรับระบบการจัดการคุณภาพ โดยมีวัตถุประสงค์เพื่อจัดทำกรอบการทำงานที่จะช่วยให้แน่ใจว่าองค์กรต่างๆ สามารถส่งมอบผลิตภัณฑ์และบริการที่ตรงตามความต้องการของลูกค้าและกฎระเบียบได้อย่างสม่ำเสมอ หลักการสำคัญของ ISO 9001 ประกอบด้วยการให้ความสำคัญกับลูกค้า การปรับปรุงอย่างต่อเนื่อง การจัดการความสัมพันธ์ และการตัดสินใจโดยอิงตามหลักฐาน หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ iso.org/standard/62085
ISO 14001
ISO 14001 เป็นมาตรฐานสากลที่ระบุข้อกำหนดและระบบการจัดการสิ่งแวดล้อม (EMS) ที่มีประสิทธิภาพ โดยมีจุดประสงค์เพื่อจัดทำกรอบการทำงานสำหรับองค์กรต่างๆ ในการจัดตั้ง EMS ที่บูรณาการข้อพิจารณาด้านสิ่งแวดล้อมเข้ากับการดำเนินการของตน การรับรอง ISO 14001 แสดงให้เห็นถึงความมุ่งมั่นขององค์กรในการจัดการสิ่งแวดล้อมที่มีประสิทธิผล หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ iso.org/standard/60857
ISO 27001
ISO /IEC 27001 เป็นมาตรฐานสากลเกี่ยวกับการจัดการความปลอดภัยของข้อมูล โดยระบุรายละเอียดสำหรับข้อกำหนดในการจัดตั้ง ดำเนินการ บำรุงรักษา และปรับปรุงระบบการจัดการความปลอดภัยของข้อมูล (ISMS) อย่างต่อเนื่อง ซึ่งมีวัตถุประสงค์เพื่อช่วยให้องค์กรต่างๆ สามารถรักษาความปลอดภัยของสินทรัพย์ข้อมูลที่ถือครองไว้ได้มากขึ้น ISO 27001 เป็นกรอบงานด้านความปลอดภัยที่เข้มงวด ซึ่งมีข้อกำหนดสำหรับระบบการจัดการความปลอดภัยของข้อมูล การควบคุมจำนวนมากภายในกรอบงานเกี่ยวข้องกับการควบคุมด้านเทคนิค องค์กร กฎหมาย กายภาพ และทรัพยากรบุคคล หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ iso.org/standard/27001
ISO 27017
ISO/IEC 27017: เทคโนโลยีสารสนเทศพร้อมเทคนิคด้านความปลอดภัย แนวทางปฏิบัติสำหรับการควบคุมความปลอดภัยของข้อมูลที่อิงตาม ISO/IEC 27002 สำหรับบริการระบบคลาวด์ ซึ่งเป็นมาตรฐานด้านความปลอดภัยที่เป็นส่วนหนึ่งของกลุ่มมาตรฐาน ISO/IEC 27000 โดยเป็นส่วนขยายของ ISO 27001 ที่กำหนด แนวทางสำหรับการควบคุมความปลอดภัยของข้อมูลภายใน สภาพแวดล้อมการประมวลผลบนระบบคลาวด์ (บริการระบบคลาวด์) หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ iso.org/standard/43757
ISO 27018
ISO/IEC 27018: เทคโนโลยีสารสนเทศพร้อมเทคนิคด้านความปลอดภัย แนวทางปฏิบัติสำหรับการปกป้องข้อมูลระบุตัวตนส่วนบุคคล (PII) ในระบบคลาวด์สาธารณะที่ทำหน้าที่เป็นผู้ประมวลผล PII เป็นมาตรฐานด้านความปลอดภัย ซึ่งเป็นส่วนหนึ่งของกลุ่มมาตรฐาน ISO/IEC 27000 โดยเป็นส่วนขยายของ ISO 27001 และเป็นมาตรฐานสากลแรกที่มุ่งเน้นด้านความเป็นส่วนตัวในบริการการประมวลผลระบบคลาวด์ ช่วยให้ผู้ให้บริการระบบคลาวด์ที่ประมวลผลข้อมูลระบุตัวตนส่วนบุคคล (PII) สามารถประเมินความเสี่ยงและนำการควบคุมมาใช้เพื่อปกป้อง PII ได้ หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ iso.org/standard/76559
คู่มือความปลอดภัยสำหรับเทคโนโลยีสารสนเทศ ฉบับที่ 33 (ITSG-33)
Canadian Centre for Cyber Security (CCCS) เป็นแหล่งข้อมูลจากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่เชื่อถือได้ของแคนาดา CCCS ดูแลกระบวนการประเมินความปลอดภัยเทคโนโลยีสารสนเทศของผู้ให้บริการระบบคลาวด์สำหรับโปรไฟล์ความปลอดภัยระบบคลาวด์ระดับกลางของ CCCS ตามที่อธิบายไว้ใน ITSG-33 (การจัดการความเสี่ยงด้านความปลอดภัยไอที: แนวทางสำหรับวงจรชีวิต ภาคผนวก 3 – แค็ตตาล็อกการควบคุมความปลอดภัย) การปฏิบัติตามโปรไฟล์ความปลอดภัยระบบคลาวด์ระดับกลางเป็นข้อกำหนดสำหรับการโฮสต์เวิร์กโหลดที่มีการจัดประเภทไปจนถึงระดับกลาง รวมถึงข้อมูลที่ได้รับการปกป้องในระดับ B หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ cyber.gc.ca/en/guidance/annex-3a-security-control-catalogue-itsg-33#eff
นโยบายความปลอดภัยของบริการข้อมูลข่าวสารด้านกระบวนการยุติธรรมทางอาญา (CJIS)
ข้อมูลกระบวนการยุติธรรมทางอาญา (CJI) ได้รับการประมวลผลโดยหน่วยงานหลายแห่ง รวมถึงรัฐบาลกลาง รัฐ และท้องถิ่น จำเป็นต้องมีการให้ความรู้และการตระหนักรู้เพื่อให้พนักงาน ผู้รับเหมา และบุคคลอื่นได้รับข้อมูลเพื่อปกป้องข้อมูลด้านกระบวนการยุติธรรมทางอาญาที่จัดทำโดยสำนักงานสอบสวนกลาง หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ fbi.gov/services/cjis/cjis-security-policy-resource-center
พระราชบัญญัติการโอนย้ายและความรับผิดชอบของการประกันสุขภาพ ค.ศ. 1966 (HIPAA)
HIPAA ย่อมาจาก Health Insurance Portability and Accountability Act (พระราชบัญญัติการโอนย้ายและความรับผิดชอบของการประกันสุขภาพ) HIPAA เป็นกฎหมายของสหรัฐฯ ที่ออกแบบมาเพื่อปกป้องความเป็นส่วนตัวและความปลอดภัยของข้อมูลทางการแพทย์ส่วนบุคคล โดยกำหนดมาตรฐานสำหรับการแลกเปลี่ยนทางอิเล็กทรอนิกส์ ความเป็นส่วนตัว และความปลอดภัยของข้อมูลสุขภาพ และระบุข้อกำหนดในการปกป้องข้อมูลสุขภาพส่วนบุคคล ผู้ให้บริการด้านการดูแลสุขภาพ ผู้รับประกันภัย และหน่วยงานอื่นๆ ที่จัดการข้อมูลสุขภาพส่วนบุคคลต้องปฏิบัติตาม HIPAA หากต้องการทราบข้อมูลเพิ่มเติม โปรดไปที่ cdc.gov/phlp/php/resources/health-insurance-portability-and-accountability-act-of-1996-hipaa
เอกสารเผยแพร่หมายเลข 1075 ของกรมสรรพากร (IRS)
เพื่อรับ จัดเก็บ หรือประมวลผลการคืนภาษีของรัฐบาลกลางและข้อมูลการคืนภาษี (FTI) หน่วยงานและผู้รับที่ได้รับอนุญาตอื่นๆ จะต้องกำหนดการควบคุมที่มีประสิทธิภาพเพื่อให้แน่ใจว่ามีการคุ้มครอง FTI ที่เหมาะสมตามที่กำหนดไว้ในประมวลกฎหมายสหรัฐฯ ฉบับที่ 26 มาตรา 6103 และตามที่อธิบายไว้ในเอกสารเผยแพร่ของ IRS หมายเลข 1075 เพื่อให้ตรงตามข้อกำหนดด้านการทำงานและการรับประกัน คุณลักษณะด้านความปลอดภัยของสภาพแวดล้อมจะต้องมีการควบคุมด้านการจัดการ การปฏิบัติงาน และด้านเทคนิค หากต้องการทราบข้อมูลเพิ่มเติม โปรดดู ที่ irs.gov/pub/irs-pdf/p1075.pdf
พระราชบัญญัติสิทธิทางการศึกษาและความเป็นส่วนตัวของครอบครัว (FERPA)
พระราชบัญญัติสิทธิทางการศึกษาและความเป็นส่วนตัวของครอบครัวหรือ FERPA ให้สิทธิ์แบบเจาะจงแก่ผู้ปกครองเกี่ยวกับบันทึกด้านการศึกษาของบุตรหลานของตน หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ studentprivacy.ed.gov/ferpa
โปรแกรมจัดการความเสี่ยงและการอนุญาตของรัฐบาลกลาง (FedRAMP)
FedRAMP ซึ่งย่อมาจาก Federal Risk and Authorization Management Program (โปรแกรมจัดการความเสี่ยงและการอนุญาตของรัฐบาลกลาง) เป็นโปรแกรมของรัฐบาลสหรัฐฯ ที่ออกแบบมาเพื่อกำหนดมาตรฐานกระบวนการประเมินความปลอดภัย การอนุญาต และการตรวจสอบอย่างต่อเนื่องสำหรับบริการระบบคลาวด์ที่หน่วยงานของรัฐบาลกลางใช้งาน เป้าหมายหลักคือการตรวจสอบให้แน่ใจว่าผู้ให้บริการระบบคลาวด์ (CSP) ปฏิบัติตามข้อกำหนดด้านความปลอดภัยที่เข้มงวดก่อนที่หน่วยงานภาครัฐจะสามารถใช้บริการของตนได้
FedRAMP มอบแนวทางมาตรฐานในการประเมินความปลอดภัย การอนุญาต และการตรวจสอบอย่างต่อเนื่องสำหรับผลิตภัณฑ์และบริการระบบคลาวด์ สิ่งนี้ช่วยลดความเสี่ยงและค่าใช้จ่ายที่เกี่ยวข้องกับการจัดการบริการระบบคลาวด์และช่วยให้มั่นใจได้ว่าข้อมูลของรัฐบาลกลางได้รับการปกป้องตามข้อกำหนดด้านความปลอดภัยของรัฐบาลกลาง หากต้องการทราบข้อมูลเพิ่มเติม โปรดไปที่ fedramp.gov/
FISMA-NIST 800-53 Rev. 5
พระราชบัญญัติการจัดการความปลอดภัยข้อมูลของรัฐบาลกลาง (FISMA) กำหนดให้หน่วยงาน กรม และผู้รับเหมาของรัฐบาลกลางต้องปกป้องระบบและสินทรัพย์ที่เกี่ยวข้องกับข้อมูลอย่างเหมาะสม แนวทางในการจัดการระบบข้อมูลของรัฐบาลมีการระบุรายละเอียดไว้ในเอกสารเผยแพร่พิเศษหมายเลข 800-53 ของ National Institute of Standards and Technology (NIST) เอกสารนี้ทำหน้าที่เป็นมาตรฐานความปลอดภัยทางไซเบอร์และกรอบการปฏิบัติตามกฎระเบียบที่ระบุการควบคุมที่อิงตามความเสี่ยง ความคุ้มทุน และขีดความสามารถในการปฏิบัติงาน หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ csrc.nist.gov/topics/laws-and-regulations/laws/fisma
SOC 1
รายงานการควบคุมองค์กรผู้ให้บริการ (SOC) มีเป้าหมายเพื่อปลูกฝังความไว้วางใจและความมั่นใจในกระบวนการและการควบคุมขององค์กรบริการผ่านการประเมินโดยผู้ตรวจสอบบัญชีสาธารณะที่ผ่านการรับรองอิสระ รายงาน SOC 1 กล่าวถึงบริการที่ว่าจ้างบริการจากภายนอกและการควบคุมภายในที่เกี่ยวข้องกับการรายงานทางการเงินโดยเฉพาะ หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ aicpa-cima.com/resources/landing/system-and-organization-controls-soc-suite-of-services
SOC 2
โปรแกรม SOC ของ AICPA จัดทำรายงานการควบคุมภายในสำหรับองค์กรผู้ให้บริการ รายงาน SOC 2 มุ่งเน้นไปที่การควบคุมที่เกี่ยวข้องกับความปลอดภัย ความพร้อมใช้งาน ความสมบูรณ์ของการประมวลผล การรักษาความลับ หรือความเป็นส่วนตัว รายงาน SOC 2 ประเภทที่ 2 ครอบคลุมระยะเวลาที่กำหนดและตรวจสอบทั้งการออกแบบและประสิทธิภาพของการควบคุมเหล่านี้ หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-2
SOC 3
รายงานการควบคุมองค์กรผู้ให้บริการ (SOC) มีวัตถุประสงค์เพื่อตอบสนองต่อความต้องการของผู้ใช้งานที่ต้องการความมั่นใจเกี่ยวกับการควบคุมขององค์กรผู้ให้บริการเกี่ยวกับการรักษาความปลอดภัย ความพร้อมใช้งาน และความสมบูรณ์ในการประมวลผลระบบ ตลอดจนการรักษาความลับหรือความเป็นส่วนตัวของข้อมูลที่ระบบเหล่านี้จัดการ เนื่องจากรายงาน SOC 3 เป็นรายงานที่ใช้งานได้ทั่วไป คุณจึงสามารถแชร์รายงานนี้ได้อย่างอิสระ หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ aicpa-cima.com/resources/landing/system-and-organization-controls-soc-suite-of-services
GovRAMP
GovRAMP นำเสนอแนวทางมาตรฐานสำหรับรัฐบาลและองค์กรปกครองส่วนท้องถิ่นเพื่อให้แน่ใจว่าผู้รับเหมามีการรักษาความปลอดภัยและการควบคุมข้อมูลที่เพียงพอ ทั้งยังช่วยสนับสนุนรัฐบาล ผู้ประเมิน และผู้ให้บริการระบบคลาวด์โดยการปฏิบัติตามกรอบงาน NIST SP 800-53 โดยใช้กลยุทธ์ "ทำครั้งเดียว ใช้ซ้ำได้" เพื่อประหยัดเวลาและต้นทุน หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ ที่ govramp.org/
กฎระเบียบของสำนักงานคณะกรรมการอาหารและยาสหรัฐอเมริกาว่าด้วยบันทึกอิเล็กทรอนิกส์และลายมือชื่ออิเล็กทรอนิกส์: CFR ลำดับที่ 21 ส่วนที่ 11
ประมวลกฎหมายข้อบังคับของรัฐบาลกลาง (CFR) ลำดับที่ 21 ส่วนที่ 11 เป็นกฎระเบียบที่ออกโดยสำนักงานคณะกรรมการอาหารและยาแห่งสหรัฐอเมริกา (FDA) โดยให้ความสำคัญกับบันทึกและลายเซ็นอิเล็กทรอนิกส์ในระบบคอมพิวเตอร์ทั้งแบบเปิดและแบบปิดที่ใช้ในกิจกรรมที่ควบคุมโดย FDA เพื่อรับรองความสมบูรณ์ ความถูกต้อง และความน่าเชื่อถือ หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ fda.gov/regulatory-information/search-fda-guidance-documents/part-11-electronic-records-electronic-signatures-scope-and-application
Data Privacy Framework Program
โปรแกรมกรอบความเป็นส่วนตัวของข้อมูล (DPF) ซึ่งกำกับดูแลโดยสำนักงานบริหารการค้าระหว่างประเทศ (ITA) ภายในกระทรวงพาณิชย์ของสหรัฐอเมริกา ช่วยให้องค์กรที่มีสิทธิ์ซึ่งตั้งอยู่ในสหรัฐอเมริกาสามารถรับรองตนเองว่าปฏิบัติตามตาม DPF ระหว่างสหภาพยุโรป-สหรัฐอเมริกา ส่วนขยายของสหราชอาณาจักรสำหรับ DPF ระหว่างสหภาพยุโรป-สหรัฐอเมริกา และ/หรือ DPF ระหว่างสวิตเซอร์แลนด์-สหรัฐอเมริกา หากต้องการเข้าร่วม องค์กรต่างๆ จะต้องรับรองตนเองต่อ ITA ผ่านทางเว็บไซต์โปรแกรม DPF ของกระทรวง และให้คำมั่นต่อสาธารณะว่าจะปฏิบัติตามหลักการ DPF การปฏิบัติตามกฎระเบียบจะกลายเป็นข้อบังคับเมื่อองค์กรรับรองตนเอง หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ www.dataprivacyframework.gov
พระราชบัญญัติความยืดหยุ่นในการปฏิบัติการทางดิจิทัล (DORA)
พระราชบัญญัติความยืดหยุ่นในการปฏิบัติการทางดิจิทัล (DORA) เป็นระเบียบข้อบังคับของสหภาพยุโรป (EU) ที่สร้างกรอบการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ที่ครอบคลุมสำหรับภาคธุรกิจด้านการเงินภายใน EU โดยเฉพาะอย่างยิ่ง DORA กำหนดมาตรฐานที่ใช้กับสถาบันการเงิน รวมไปถึงธนาคาร บริษัทประกันภัย และบริษัทการลงทุน และผู้ให้บริการเทคโนโลยีบุคคลที่สามที่ "สำคัญ" ของบริษัทเหล่านั้น หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ eiopa.europa.eu/digital-operational-resilience-act-dora_en
แนวทางปฏิบัติของหน่วยงานกำกับดูแลด้านการธนาคารแห่งยุโรป (EBA) เกี่ยวกับข้อตกลงการจ้างเหมาบริการจากภายนอก
European Banking Authority (EBA) ซึ่งเป็นหน่วยงานกำกับดูแลทางการเงินของสหภาพยุโรป กำหนดแนวปฏิบัติสำหรับการจัดการการจ้างเหมาบริการจากภายนอก รวมถึงการว่าจ้างที่เกี่ยวข้องกับบริการระบบคลาวด์ด้วย แนวทางดังกล่าวได้กำหนดแนวทางสำหรับการจ้างเหมาบริการจากภายนอกไว้อย่างชัดเจน และประเมินความสำคัญและความจำเป็นในการจ้างเหมาบริการจากภายนอก หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ eba.europa.eu/activities/single-rulebook/regulatory-activities/internal-governance/guidelines-outsourcing
กฎหมายคุ้มครองข้อมูลทั่วไป (GDPR)
สหภาพยุโรป (EU) ได้นำกฎหมายคุ้มครองข้อมูลทั่วไป (GDPR) 2016/679 มาใช้ในปี 2016 แทนคำสั่ง 95/46/EC โดย GDPR คือกฎหมายคุ้มครองข้อมูลของสหภาพยุโรปที่ควบคุมวิธีการที่องค์กรต่างๆ รวบรวมและประมวลผลข้อมูลส่วนบุคคล ซึ่งบังคับใช้กับหน่วยงานที่ประมวลผลข้อมูลของพลเมืองและผู้อยู่อาศัยในสหภาพยุโรป ไม่ว่าหน่วยงานเหล่านั้นจะอยู่ที่ใดในโลก หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ ที่ eur-lex.europa.eu
กรอบการทำงานด้านความมั่นคงแห่งชาติของสเปน (ENS)
Esquema Nacional de Seguridad (ENS) เป็นกรอบการทำงานที่ออกแบบมาเพื่อรับรองความปลอดภัยของระบบข้อมูลในสเปน ซึ่งได้รับการบังคับใช้ตามพระราชกฤษฎีกา 311/2022 กรอบการทำงานนี้ระบุข้อกำหนดสำหรับการจัดการความปลอดภัยของข้อมูล การประเมินความเสี่ยง และการควบคุมการจัดการ หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ ที่ ens.ccn.cni.es/en/what-is-the-ens
Cyber Essentials Plus
Cyber Essentials เป็นโครงการที่ได้รับการสนับสนุนจากรัฐบาลสหราชอาณาจักร ซึ่งออกแบบมาเพื่อช่วยเหลือองค์กรต่างๆ ในการปกป้องตนเองจากภัยคุกคามทางไซเบอร์ที่พบบ่อย โดยจะกำหนดระดับพื้นฐานของความปลอดภัยทางไซเบอร์และมักใช้เป็นรากฐานสำหรับมาตรการด้านการรักษาความปลอดภัยขั้นสูง โดย Cyber Essentials Plus ซึ่งเป็นมาตรการระดับสูงจะประกอบไปด้วยการทดสอบและการตรวจสอบยืนยันเพิ่มเติม หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ ที่ www.ncsc.gov.uk/cyberessentials
UK Government G-Cloud Framework
G-Cloud ของรัฐบาลสหราชอาณาจักรเป็นระบบจัดซื้อจัดจ้างเพื่อปรับปรุงกระบวนการจัดซื้อจัดจ้างการประมวลผลบนระบบคลาวด์โดยหน่วยงานภาครัฐของสหราชอาณาจักร ซึ่งช่วยให้หน่วยงานภาครัฐสามารถซื้อบริการระบบคลาวด์ตามสัญญาที่ได้รับการอนุมัติจากรัฐบาลผ่านทาง Digital Marketplace แบบออนไลน์ได้ หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ gov.uk/guidance/g-cloud-suppliers-guide
Australian Prudential Regulation Authority (APRA) CPS 230: การจัดการความเสี่ยงด้านการดำเนินงาน
APRA Cross-Industry Prudential Standards (CPS) 230 มีผลบังคับใช้กับหน่วยงานที่ให้บริการทางการเงินและการจ้างเหมาบริการจากภายนอก 'กิจกรรมทางธุรกิจที่สำคัญ' มีเป้าหมายเพื่อทำให้มั่นใจว่าหน่วยงานที่อยู่ภายใต้การกำกับดูแลของ APRA มีการจัดการความเสี่ยงด้านการดำเนินการที่มีประสิทธิภาพ รักษาการดำเนินการที่สำคัญระหว่างที่เกิดการหยุดชะงัก และปฏิบัติตามภาระผูกพันด้านการปฏิบัติตามกฎหมาย โดยเริ่มใช้บังคับตั้งแต่วันที่ 1 กรกฎาคม 2025 สำหรับข้อตกลงตามสัญญาที่มีอยู่เดิม มาตรฐานนี้จะบังคับใช้ในวันต่ออายุสัญญาครั้งต่อไปหรือวันที่ 1 กรกฎาคม 2026 แล้วแต่ว่ากรณีใดจะเกิดขึ้นก่อน CPS 230 เข้ามาแทนที่มาตรฐานที่มีอยู่เดิมหลายฉบับ รวมถึง CPS 232 การจัดการความต่อเนื่องทางธุรกิจ และ CPS 231 การจ้างเหมาบริการจากภายนอก หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ www.apra.gov.au
Australian Prudential Regulation Authority (APRA) CPS 231: การจ้างเหมาบริการจากภายนอก
APRA Cross-Industry Prudential Standards (CPS) 231 เป็นมาตรฐานด้านความมั่นคงที่ออกโดย Australian Prudential Regulation Authority (APRA) ซึ่งมุ่งเน้นการจัดการความเสี่ยงและการกำกับดูแลผู้ให้บริการจากภายนอกโดยสถาบันที่อยู่ภายใต้การควบคุม มาตรฐานนี้บังคับใช้กับธนาคาร บริษัทประกันภัย และกองทุนบำเหน็จบำนาญที่อยู่ภายใต้การกำกับดูแลของ APRA หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ apra.gov.au
Australian Prudential Regulation Authority (APRA) Prudential Standard CPS 234: ความปลอดภัยของข้อมูล
APRA CPS 234 เป็นมาตรฐานด้านความมั่นคงที่ออกโดย Australian Prudential Regulation Authority (APRA) โดยมุ่งเน้นที่การบริหารจัดการความปลอดภัยของข้อมูล มาตรฐานนี้ระบุข้อกำหนดสำหรับหน่วยงานที่อยู่ภายใต้การกำกับดูแลของ APRA ในการปกป้องสินทรัพย์ข้อมูลและจัดการความเสี่ยงด้านความปลอดภัยอย่างมีประสิทธิภาพ หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ apra.gov.au
แนวทางของ Association of Banks in Singapore (ABS)
Association of Banks in Singapore (ABS) ได้กำหนดแนวปฏิบัติของ ABS เกี่ยวกับวัตถุประสงค์และกระบวนการควบคุมสำหรับผู้ให้บริการจากภายนอก แนวปฏิบัติดังกล่าวประกอบด้วยคำแนะนำด้านการรักษาความปลอดภัยของข้อมูลสำหรับผู้ให้บริการที่ให้บริการแก่สถาบันการเงินที่ดำเนินกิจการในสิงคโปร์ การตรวจสอบโดยบุคคลที่สามตามแนวปฏิบัติของ ABS ช่วยให้ OSP ได้รับการรับรองรายงานการตรวจสอบผู้ให้บริการจากภายนอก (OSPAR) หากต้องการทราบข้อมูลเพิ่มเติม โปรดดูที่ abs.org.sg/industry-guidelines/outsourcing