（雲端服務風險管理）
一、組織使用雲端服務應建立使用雲端服務治理制度，規劃並確認以下事
    項：
（一）應制定雲端服務管理政策，至少每年檢視一次。
（二）專責單位及相關單位對雲端服務使用之角色權責與責任劃分，專責
      單位應包含雲端財務、成本或資源管理之角色。
（三）應針對雲端服務採取風險基礎方法評估潛在風險與管理風險議題，
      評估項目宜包含：
      1.雲端服務使用模式與情境；
      2.雲端服務所涉及之業務與資料；
      3.組織對於雲端服務可用性與互通性之要求；
      4.組織對於雲端服務之管理能力與經驗。
（四）使用雲端服務與控管其風險事項應注意風險適度分散，惟採取多雲
      或其他分散策略時，應同時考量營運複雜性提升之風險。
（五）如將作業項目委託至境外處理，應評估雲端服務提供者之客戶資料
      處理地及其儲存地之資料保護法規，不得低於我國要求。如有高風
      險之情形者，組織應採行妥適之風險控管措施。
（六）組織應針對使用雲端服務之風險建立適當監控機制，如：監控雲端
      資源負載、安全防護與服務可用性，以健全業務持續性運作。
二、董事會應認知及監督組織使用雲端服務之風險，確保對於控管雲端服
    務風險事項具備充足之資源、專業及權限。
三、應確保組織相關人員具備應有之專業知識與技能，於使用雲端服務期
    間定期辦理人才教育訓練並驗證教育訓練之有效性，訓練內容可包含
    資訊安全、風險認知和雲端知識技能等議題，以提升人員對雲端服務
    導入、使用及管理之能力，並能以風險為基礎方法做出適當之決策與
    監督。