（雲端服務查核）
一、就雲端服務委外作業，組織對雲端服務提供者負有最終監督義務，應
    落實定期對雲端服務提供者之查核，宜依風險基礎方法規劃查核頻率
    、查核內容、時間及方式，並得視需要委託專業第三人以輔助其監督
    作業，且應遵循所屬業別作業委託他人處理應注意事項之規定辦理。
二、組織應確保其本身、主管機關、同業公會及其指定之人能取得雲端服
    務提供者執行作業之相關資料或報告，包括客戶資訊及相關系統之查
    核報告，並進行查核。
三、涉及重大性之雲端委外作業者，對雲端服務之查核重點項目宜包含：
（一）雲端服務所在機房之實體安全控管機制。
（二）雲端服務提供者處理作業相關之重要系統及控制環節。
（三）盡職調查過程中雲端服務提供者所提供之報告內容。
（四）雲端平台資料刪除與災難復原流程。
（五）雲端服務提供者之營運持續性控制措施。
（六）雲端服務作業內容執行之妥適性並符合相關國際資訊安全標準及隱
      私保護標準。
四、應持續追蹤雲端服務提供者之查核改善情形，確保其採取適當和及時
    之替代性措施。