consultation paper information technology risk ·...
TRANSCRIPT
Consultation Paper หลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ (Information Technology Risk) ของสถาบนการเงน
ธนาคารแหงประเทศไทย จดท า Consultation Paper ฉบบน เพอรบฟงความเหนตอหลกเกณฑ การก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ (Information Technology Risk) ของสถาบนการเงน โดยมวตถประสงคเพอใหสถาบนการเงนมการบรหารความเสยงดานเทคโนโลยสารสนเทศไดอยางมประสทธภาพ สามารถน าเสนอผลตภณฑและใหบรการไดตามความตองการของตลาดหรอลกคาไดเรวขน (time to market) รองรบรปแบบทางธรกจและสอดคลองกบเทคโนโลยทเปลยนแปลงอยางรวดเรว
จงขอเชญชวนรวมแสดงความคดเหนตอหลกเกณฑดงกลาว โดยสามารถดาวนโหลดและสงแบบแสดงความคดเหนมายงทมนโยบายการปฏบตการสถาบนการเงน ฝายนโยบายการก ากบสถาบนการเงน สายนโยบายสถาบนการเงน ธนาคารแหงประเทศไทย ทางอเมล : [email protected] ภายในวนศกรท 17 พฤษภาคม 2562
คณะผจดท า พฤษภาคม 2562
สารบญ 1. เหตผลในการออกประกาศ 2. อ านาจตามกฎหมาย 3. ประกาศทยกเลก 4. ขอบเขตการบงคบใช 5. เนอหา
5.1 ค าจ ากดความ 5.2 หลกการ 5.3 หลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ 5.4 การน าเทคโนโลยมาใชหรอการเปลยนแปลงการใชเทคโนโลย 5.5 การรายงาน แจง หรอขออนญาตตอธนาคารแหงประเทศไทย 5.6 การรายงานปญหาดานเทคโนโลยสารสนเทศตอธนาคารแหงประเทศไทย 5.7 การใชบรการจากบรษทในกลมธรกจเดยวกนหรอบรษททมความเกยวของในการก ากบดแล ความเสยงดานเทคโนโลยสารสนเทศ 5.8 การขอผอนผนการปฏบตตามหลกเกณฑ 5.9 การก าหนดเงอนไขเพมเตม ชะลอ ระงบ เพกถอน หรอเขาตรวจสอบ การน าเทคโนโลยมาใช หรอมการเปลยนแปลงระบบหรอเทคโนโลย 5.10 บทเฉพาะกาล
6. วนเรมตนบงคบใช
ประกาศธนาคารแหงประเทศไทย ท สนส. /2562
เรอง หลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ (Information Technology Risk) ของสถาบนการเงน
__________________________________________________________
1. เหตผลในการออกประกาศ
ปจจบนเทคโนโลยสารสนเทศ (Information Technology : IT) มความส าคญ ตอการด าเนนธรกจเพอรองรบการใหบรการทางการเงนและเพอสนบสนนการด าเนนธรกจของสถาบนการเงน ซงการน าเทคโนโลยมาใชมากขนกอาจกอใหเกดความเสยงดานเทคโนโลยสารสนเทศ (Information Technology Risk : IT risk) ทเพมมากขนดวย โดยทผานมาธนาคารแหงประเทศไทยไดมการออกหลกเกณฑเพอก ากบดแลความเสยงจากการทสถาบนการเงนน าเทคโนโลยมาใช และกรณทสถาบนการเงนใชบรการจากผใหบรการภายนอก ไดแก ประกาศธนาคารแหงประเทศไทย วาดวยการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ (Information Technology Risk) และประกาศธนาคารแหงประเทศไทยวาดวยการใชบรการจากผใชบรการภายนอกดานงานเทคโนโลยสารสนเทศ (IT Outsourcing) ในการประกอบธรกจของสถาบนการเงน โดยหลกเกณฑขางตน อยภายใตกรอบหลกการดานเทคโนโลยทส าคญ 3 ประการ คอ (1) การรกษาความลบของระบบและขอมล (confidentiality) (2) ความถกตองเชอถอไดของระบบและขอมล (integrity) และ (3) ความพรอมใชงานของเทคโนโลยสารสนเทศ (availability) อกทง สถาบนการเงนตองใหความส าคญ กบการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศโดยถอเปนสวนหนงของการบรหารความเสยงในภาพรวมของสถาบนการเงน (Enterprise Risk Management : ERM)
จากการเปลยนแปลงอยางรวดเรวของเทคโนโลยซงมผลตอการปรบตวของสถาบนการเงน ทงรปแบบการประกอบธรกจและการควบคมดแลการน าเทคโนโลยมาใช รวมถงการใชบรการเทคโนโลยจากบคคลภายนอกทนอกเหนอจากผใหบรการดานเทคโนโลยสารสนเทศ (IT service provider) เชน การใหบรการของสถาบนการเงนทมการเชอมตอระบบงานกบพนธมตรทางธรกจ ดงนน ธนาคารแหงประเทศไทยจงเหนความจ าเปนในการปรบปรงหลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศเพอใหรองรบรปแบบทางธรกจและสอดคลองกบนวตกรรมทางเทคโนโลยทเปลยนแปลงอยางรวดเรว ซงรวมถงการใหสถาบนการเงนมขอก าหนด (criteria) ทชดเจนในการพจารณาความมนยส าคญของการน าเทคโนโลยมาใชหรอการเปลยนแปลงระบบหรอเทคโนโลย ทงกรณสถาบนการเงนด าเนนการเองหรอใชบรการจากบคคลภายนอก ภายใตกรอบหลกการทค านงถงความเสยงและผลกระทบตอการด าเนนธรกจของสถาบนการเงนในวงกวาง (bank wide impact) และผลกระทบตอระบบสถาบนการเงนในวงกวาง (banking system wide impact) เพอใหสถาบนการเงนมการบรหารความเสยงไดอยางมประสทธภาพ และสามารถน าเสนอผลตภณฑและใหบรการไดตามความตองการของตลาดหรอลกคาไดเรวขน (time to market) โดยหลกเกณฑดงกลาวมสาระส าคญทปรบปรง ดงน
2
(1) ใหสถาบนการเงนก ากบดแลความเสยงดวยตนเอง (self-regulated) โดยใหพจารณาความมนยส าคญของการน าเทคโนโลยมาใชหรอการเปลยนแปลงเทคโนโลย ภายใตกรอบหลกการทค านงถงผลกระทบตอการด าเนนธรกจของสถาบนการเงนในวงกวาง (bank wide impact) และผลกระทบตอระบบสถาบนการเงนในวงกวาง (banking system wide impact) พรอมทงยกเลกการขออนญาตตอธนาคารแหงประเทศไทยส าหรบกรณของธนาคารพาณชยทมการน าเทคโนโลยมาใชหรอมการเปลยนแปลงเทคโนโลยทมนยส าคญ โดยใหมการรายงานโครงการดานเทคโนโลยสารสนเทศทมนยส าคญประจ าปใหธนาคารแหงประเทศไทยทราบแทน และแจงธนาคารแหงประเทศไทยกอนการใชหรอการเปลยนแปลงเทคโนโลยทมนยส าคญ เพอใหธนาคารแหงประเทศไทยตดตามภาพรวมของการใชเทคโนโลยสารสนเทศและตดตามตรวจสอบสถาบนการเงนไดอยางตอเนอง
(2) ยกระดบการดแลความเสยงดานเทคโนโลยสารสนเทศ โดยก าหนดใหธนาคารพาณชยทมนยตอความเสยงเชงระบบในประเทศ (Domestic Systemically Important Banks: D-SIBs) หรอสถาบนการเงนทมความเสยงตงตนทางไซเบอร (cyber inherent risk) ในระดบสง ตองมผบรหารระดบสงทท าหนาทบรหารจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงน (Chief Information Security Officer : CISO)
(3) รวมการก ากบดแลผใชบรการภายนอกดานงานเทคโนโลยสารสนเทศในการประกอบธรกจ (IT outsourcing) ใหอยภายใตหลกเกณฑฉบบน โดยธนาคารแหงประเทศไทยจะก าหนดแนวปฏบตเรองการบรหารจดการบคคลภายนอก (Third Party Management Implementation Guideline) ใหสถาบนการเงนใชเปนแนวทางในการปฏบต เพอเพมความชดเจน และครอบคลมการดแลความเสยงดานเทคโนโลยสารสนเทศทเชอมโยงกบบคคลภายนอกทมความหลากหลายดวย เชน พนธมตรทางธรกจ
(4) เพมความยดหยนในการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศของสถาบนการเงนทมขอจ ากดดานโครงสรางการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ ใหสามารถปรบใชหลกเกณฑในสวนทเกยวของใหสอดคลองกบระดบความเสยงได
2. อ านาจตามกฎหมาย
อาศยอ านาจตามความในมาตรา 41 มาตรา 47 และมาตรา 71 แหงพระราชบญญต ธรกจสถาบนการเงน พ.ศ. 2551 ธนาคารแหงประเทศไทยออกหลกเกณฑการก ากบดแลความเสยง ดานเทคโนโลยสารสนเทศ (Information Technology Risk) ของสถาบนการเงน ใหสถาบนการเงน ถอปฏบตตามทก าหนดในประกาศน
3. ประกาศทยกเลก
ประกาศธนาคารแหงประเทศไทย ท สนส. 19/2560 เรอง หลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ (Information Technology Risk) ของสถาบนการเงน ลงวนท 20 ธนวาคม 2560
3
ประกาศธนาคารแหงประเทศไทย ท สนส. 19/2559 เรอง การใชบรการจากผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ (IT Outsourcing) ในการประกอบธรกจของสถาบนการเงน ลงวนท 28 ธนวาคม 2559
4. ขอบเขตการบงคบใช
ประกาศฉบบนใหใชบงคบกบสถาบนการเงนตามกฎหมายวาดวยธรกจสถาบนการเงนทกแหง
5. เนอหา
5.1 ค าจ ากดความ
“เทคโนโลยสารสนเทศ” (Information Technology - IT) หมายความวา เทคโนโลยสารสนเทศทน ามาใชในการด าเนนธรกจ ซงครอบคลมถง ขอมล ระบบปฏบตการ (operating system) ระบบงาน (application system) ระบบฐานขอมล (database system) อปกรณคอมพวเตอร (computer hardware) และระบบเครอขายสอสาร (communication) เปนตน
“ความเสยงดานเทคโนโลยสารสนเทศ” (Information Technology risk- IT risk) หมายความวา ความเสยงทอาจเกดขนจากการใชเทคโนโลยสารสนเทศในการด าเนนธรกจ ซงจะมผลกระทบตอระบบหรอการปฏบตงานของสถาบนการเงน รวมถงความเสยงทเกดจากภยคกคามทางไซเบอร (cyber threat)
“คณะกรรมการสถาบนการเงน” หมายความวา คณะกรรมการสถาบนการเงนท จดทะเบยนในประเทศไทย หรอคณะผบรหารทมอ านาจหนาทรบผดชอบทเกยวของของสาขาของธนาคารพาณชยตางประเทศ
“บคคลภายนอก” หมายความวา บคคลหรอนตบคคลภายนอกทใหบรการดานเทคโนโลยสารสนเทศ หรอทมการเชอมตอกบระบบเทคโนโลยสารสนเทศของสถาบนการเงน หรอทสามารถเขาถงขอมลส าคญของสถาบนการเงนหรอขอมลของลกคาทควบคมดแลโดยสถาบนการเงนได
“บรษทในกลมธรกจเดยวกน” หมายความวา บรษทในกลมธรกจทางการเงน ตามประกาศธนาคารแหงประเทศไทยวาดวยหลกเกณฑการก ากบแบบรวมกลม
“บรษททมความเกยวของ” หมายความวา บรษทแม บรษทลก และบรษทรวมของสถาบนการเงน
5.2 หลกการ
สถาบนการเงนมหนาทเกยวกบการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ (IT risk) ดงน
5.2.1 ดแลและบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ (IT risk) รวมถงโครงการดานเทคโนโลยสารสนเทศ อยางมประสทธภาพและรดกม ภายใตกรอบหลกการทส าคญ 3 ประการ คอ (1) การรกษาความลบของระบบและขอมล (confidentiality) (2) ความ
4
ถกตองเชอถอไดของระบบและขอมล (integrity) และ (3) ความพรอมใชงานของเทคโนโลยสารสนเทศ (availability) โดยอยบนพนฐานของการคมครองขอมลและรกษาผลประโยชนของลกคา
5.2.2 ก ากบดแลความเสยงดานเทคโนโลยสารสนเทศใหสอดคลองกบลกษณะ การด าเนนธรกจ ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศ และความเสยงทเกยวของ เชน ความเสยงดานปฏบตการ ความเสยงดานกลยทธ ความเสยงดานชอเสยง และความเสยงดานกฎหมาย รวมถงใหความส าคญกบการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศโดยถอเปนสวนหนงของการบรหารความเสยงในภาพรวมของสถาบนการเงน (Enterprise Risk Management : ERM)
5.2.3 ควรมโครงสรางการก ากบดแลในภาพรวมทเออตอการบรหารความเสยงดานเทคโนโลยสารสนเทศอยางเหมาะสม และสอดคลองตามหลกการแบงแยกหนาทความรบผดชอบ 3 ระดบ (three lines of defence) โดยในกรณทสถาบนการเงนมการใชการบรหารจดการ หรอการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศจากบรษทในกลมธรกจเดยวกนหรอบรษททมความเกยวของ โดยเฉพาะกรณสาขาของธนาคารพาณชยตางประเทศ และธนาคารพาณชยทเปนบรษทลกของธนาคารพาณชยตางประเทศ ซงชวยใหสถาบนการเงนสามารถดแลความเสยงดานเทคโนโลยสารสนเทศไดมประสทธภาพมากขน อยางไรกด สถาบนการเงนและคณะกรรมการสถาบนการเงนหรอผบรหารระดบสงของสถาบนการเงนในประเทศไทยยงคงตองรบผดชอบตอการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศเสมอนสถาบนการเงนด าเนนการเอง
5.3 หลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ
5.3.1 ธรรมาภบาลดานเทคโนโลยสารสนเทศ (IT governance)
(1) บทบาทหนาทและความรบผดชอบของคณะกรรมการสถาบนการเงน
คณะกรรมการสถาบนการเงนตองรเทาทนและเขาใจถงความเสยง ในการน าเทคโนโลยสารสนเทศมาใชด าเนนธรกจ มบทบาทหนาทและความรบผดชอบก ากบดแลความเสยงดานเทคโนโลยสารสนเทศใหสอดรบกบความเสยงดานเทคโนโลยสารสนเทศทสถาบนการเงนมอยางนอยครอบคลมดงน
(1.1) ดแลใหการใชเทคโนโลยของสถาบนการเงนสอดรบกบกลยทธการด าเนนธรกจ และมความยดหยนเพยงพอรองรบการเปลยนแปลงตาง ๆ ในอนาคต
(1.2) ดแลใหความเสยงดานเทคโนโลยสารสนเทศเปนหนงในความเสยงส าคญขององคกร (enterprise wide risk) และมนโยบายและการบรหารจดความเสยงดานเทคโนโลยสารสนเทศทงดานความปลอดภย ดานความถกตอง และดานความพรอมใช ใหอยในระดบความเสยงทยอมรบได ทงในภาวะปกตและภาวะวกฤต รวมทงดแลความเสยงโครงการดานเทคโนโลยสารสนเทศทมนยส าคญดวย
(1.3) ดแลใหมการสรางความรและความตระหนกรเรองความเสยงดานเทคโนโลยสารสนเทศแกกรรมการ ผบรหาร และพนกงานในองคกรอยางตอเนองและมประสทธผล
คณะกรรมการสถาบนการเงนอาจมอบหมายใหคณะกรรมการชดอนหรอผบรหารระดบสงท าหนาททเกยวของในการก ากบดแลได แตคณะกรรมการสถาบนการเงนยงคงตองรบผดชอบในเรองดงกลาว
5
นอกจากน องคประกอบของคณะกรรมการสถาบนการเงนตองมกรรมการทมความรหรอประสบการณดานการก ากบดแลเทคโนโลยสารสนเทศ (IT governance) อยางนอย 1 ทาน ตามประกาศธนาคารแหงประเทศไทยวาดวยหลกเกณฑดานธรรมาภบาลของสถาบนการเงน
(2) โครงสรางการก ากบดแล
(2.1) โครงสรางองคกร
สถาบนการเงนตองจดใหมโครงสรางองคกรทเออตอการบรหารความเสยงดานเทคโนโลยสารสนเทศทเหมาะสม และสอดคลองตามหลกการแบงแยกหนาทความรบผดชอบ 3 ระดบ (three lines of defence) โดยมการแบงแยกหนาทความรบผดชอบอยางชดเจนระหวาง การท าหนาท (1) ปฏบตงานดานเทคโนโลยสารสนเทศ (2) บรหารความเสยงและก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑ และ (3) ตรวจสอบดานเทคโนโลยสารสนเทศ นอกจากน สถาบนการเงนตองจดใหมการถวงดลอ านาจกนอยางอสระ โดยเฉพาะการท าหนาทตรวจสอบดานเทคโนโลยสารสนเทศตองมความเปนอสระจากการท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศและการท าหนาทบรหารความเสยงดานเทคโนโลยสารสนเทศ
(2.2) คณะกรรมการทท าหนาทก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ
(2.2.1) สถาบนการเงนตองจดใหมคณะกรรมการทท าหนาทบรหารจดการ รวมถงก ากบดแลการปฏบตงานดานเทคโนโลยสารสนเทศ เชน IT steering committee
(2.2.2) สถาบนการเงนตองจดใหมคณะกรรมการทท าหนาทก ากบดแลการบรหารความเสยงดานเทคโนโลยสารสนเทศ ใหเปนไปตามนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศทก าหนดไว
(2.2.3) สถาบนการเงนตองจดใหมคณะกรรมการทท าหนาทก ากบดแลใหมการตรวจสอบดานเทคโนโลยสารสนเทศ ซงการตรวจสอบครอบคลมถงการปฏบตงานดานเทคโนโลยสารสนเทศและการบรหารความเสยงดานเทคโนโลยสารสนเทศ รวมทงก ากบดแลใหมการสอบทานการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ
(2.3) ผบรหารทท าหนาทบรหารจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงน
สถาบนการเงนควรจดใหมผบรหารทท าหนาทบรหารจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT security) ของสถาบนการเงน ซงเปนผทมความรหรอประสบการณดานเทคโนโลยสารสนเทศ การบรหารความมนคงปลอดภยดานเทคโนโลยสารสนเทศ และการรบมอกบภยคกคามทางไซเบอร โดยการท าหนาทควรมความเปนอสระจากหนาทงานดานการปฏบตงานดานเทคโนโลยสารสนเทศ (IT operation) และงานดานพฒนาระบบเทคโนโลยสารสนเทศ (IT development) ซงผบรหารดงกลาวควรมบทบาทหนาทและความรบผดชอบใหสถาบนการเงนมการด าเนนการเพอความมนคงปลอดภยดานเทคโนโลยสารสนเทศ อยางนอย ดงน
6
– จดใหมนโยบาย มาตรฐาน และแนวทางการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ และการรบมอภยคกคามทางไซเบอร และดแลใหมการปฏบตตามทก าหนด
– จดใหมขอก าหนดดานความมนคงปลอดภย (security specification) และสถาปตยกรรมดานความมนคงปลอดภย (IT security architecture)
– บรหารจดการความเสยงดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศและดานภยคกคามทางไซเบอร
– ด าเนนการใหสถาบนการเงนมความพรอมในการรบมอภยคกคามทางไซเบอร ตามมาตรฐานสากลและแนวทางของ ธนาคารแหงประเทศไทย
– ด าเนนการใหบคลากรในองคกรมความรและความตระหนกรเรองความเสยง การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศและดานภยคกคามทางไซเบอร
ทงน ธนาคารพาณชยทมนยตอความเสยงเชงระบบในประเทศ (Domestic Systemically Important Banks: D-SIBs) หรอสถาบนการเงนทมความเสยงตงตนทางไซเบอร (cyber inherent risk) ในระดบสง ตองจดใหมผบรหารระดบสงทท าหนาทบรหารจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงน (Chief Information Security Officer : CISO) ภายใน 1 ปนบจากวนทเขาเงอนไขดงกลาว ซงควรเปนอสระจากงานดานการปฏบตงานเทคโนโลยสารสนเทศ (IT operation) และงานดานพฒนาระบบเทคโนโลยสารสนเทศ (IT development) และมอ านาจหนาท (authority) เพยงพอ ในการปฏบตงานในหนาท CISO ไดอยางมประสทธภาพและประสทธผล โดยมอ านาจหนาทอยางนอย ดงน
– รายงานเหตการณและความเสยงดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศและดานภยคกคามทางไซเบอรทมนยส าคญ ตอผบรหารในต าแหนงสงสดและคณะกรรมการสถาบนการเงนได
– เปนสมาชกในคณะกรรมการทท าหนาทบรหารจดการและก ากบดแลการปฏบตงานดานเทคโนโลยสารสนเทศ เชน IT steering committee และคณะกรรมการทท าหนาทก ากบดแลการบรหารความเสยงดานเทคโนโลยสารสนเทศ
– รวมตดสนใจด าเนนการในเรองทกระทบตอความมนคงปลอดภยดานเทคโนโลยสารสนเทศ และดานภยคกคามทางไซเบอรอยางมนยส าคญของสถาบนการเงน
(3) การบรหารจดการบคลากร
สถาบนการเงนตองมการบรหารจดการบคลากรทท าหนาทปฏ บตงานดานเทคโนโลยสารสนเทศ บรหารความเสยงดานเทคโนโลยสารสนเทศ และตรวจสอบดานเทคโนโลยสารสนเทศ รวมถงบคลากรทใชเทคโนโลยสารสนเทศในการปฏบตงานประจ าวน (user) อยางเหมาะสม โดยตองค านงถงความรความสามารถของบคลากร ปรมาณงาน และการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ โดยสถาบนการเงนตองจดใหมการด าเนนการอยางนอยในเรองดงตอไปน
7
(3.1) การบรหารจดการบคลากรทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศ บรหารความเสยงดานเทคโนโลยสารสนเทศ และตรวจสอบดานเทคโนโลยสารสนเทศ จะตองครอบคลมในเรองดงตอไปน
(3.1.1) กระบวนการคดเลอกบคลากร เพอใหไดบคลากรทมคณสมบตเหมาะสม มความรหรอประสบการณเพยงพอในการปฏบตหนาทตามทไดรบมอบหมาย โดยอาจพจารณาการไดรบการรบรองความรความสามารถตามมาตรฐานทรบรองทวไป (certificate) เฉพาะดานทเกยวของกบงานดานเทคโนโลยสนเทศทไดรบมอบหมายนน
(3.1.2) ความเพยงพอของบคลากร เพอใหมปรมาณบคลากรทเพยงพอกบปรมาณการใชเทคโนโลยสารสนเทศของสถาบนการเงน
(3.1.3) มาตรการในการสรางและสงเสรมความตระหนกถงความส าคญของความเสยงดานเทคโนโลยสารสนเทศ เพอใหบคลากรมการตระหนกถงบทบาทหนาทและความรบผดชอบของตน และมาตรการดแลใหบคลากรปฏบตตามหนาทและรบผดชอบตามทก าหนดไว
(3.2) ขอก าหนดหรอเงอนไขในสญญาจางงานของบคลากรควรระบในเรองความรบผดชอบเกยวกบการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงนอยางชดเจน เพอปองกนการรวไหลของขอมลหรอความเสยหายทอาจเกดขนตอทรพยสนดานเทคโนโลยสารสนเทศของสถาบนการเงน
(3.3) การบรหารจดการสทธของบคลากรทเกยวของกบเทคโนโลยสารสนเทศ โดยตองมการปรบปรงใหเปนปจจบน โดยเฉพาะเมอมการเปลยนแปลงต าแหนงงานหรอสนสดการจางงาน เชน ทบทวนสทธในการเขาถงขอมล รวมทงตองมการสอสารใหผทเกยวของทราบถงการเปลยนแปลงสทธ หนาท และความรบผดชอบดงกลาว
(4) การสงเสรมใหบคลากรตระหนกถงความเสยงดานเทคโนโลยสารสนเทศ (IT risk awareness)
สถาบนการเงนตองจดใหมการสอสารและใหความรแกบคลากรทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศ บรหารความเสยงดานเทคโนโลยสารสนเทศ และตรวจสอบดานเทคโนโลยสารสนเทศ รวมถงบคลากรทใชเทคโนโลยสารสนเทศในการปฏบตงานประจ าวนอยางเพยงพอและเหมาะสม เพอใหบคลากรมความเขาใจและตระหนกถงความส าคญของความเสยงดานเทคโนโลยสารสนเทศและการใชเทคโนโลยสารสนเทศอยางปลอดภย เชน การจดอบรมใหความรแกบคลากรเกยวกบการใชงานอปกรณคอมพวเตอรทมการเชอมตอกบอนเทอรเนตทถกตอง และการซกซอมแผนเพอเตรยมความพรอมรบมอกบการโจมตทางไซเบอร
(5) นโยบายทเกยวของกบการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ
(5.1) สถาบนการเงนตองจดใหม (1) นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT security policy) และ (2) นโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ (IT risk management) ทเปนลายลกษณอกษร และอยภายใตกรอบหลกการทส าคญ 3 ประการ คอ (1) การรกษาความลบของระบบและขอมล (confidentiality) (2) ความถกตองเชอถอได
8
ของระบบและขอมล (integrity) และ (3) ความพรอมใชงานของเทคโนโลยสารสนเทศ (availability) โดยนโยบายดงกลาวตองสอดคลองกบกลยทธของสถาบนการเงนในการน าเทคโนโลยสารสนเทศมาใชในการด าเนนธรกจและนโยบายการบรหารความเสยงของสถาบนการเงน รวมทงสอดคลองกบแนวทาง การบรหารความเสยงและการรกษาความมนคงปลอดภยตามมาตรฐานสากลหรอมาตรฐานทไดรบการยอมรบโดยทวไป
นอกจากน การก าหนดนโยบายดงกลาวตองค านงถงลกษณะการด าเนนธรกจ ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศ และความเสยงทเกยวของ รวมทงความเสยงจากการใชเทคโนโลยสารสนเทศภายในองคกรและความเสยงจากการใชบรการจากบคคลภายนอกดวย
(5.2) สถาบนการเงนตองจดใหมการทบทวนนโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศและนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ อยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ
5.3.2 การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT security)
เพอใหสถาบนการเงนมการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศทมประสทธภาพ สถาบนการเงนตองน านโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศมาจดท าระเบยบวธปฏบตและกระบวนการในการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงน โดยครอบคลมอยางนอยในเรองดงตอไปน
(1) การบรหารจดการทรพยสนดานเทคโนโลยสารสนเทศ (IT asset management)
สถาบนการเงนตองจดใหมการบรหารจดการทรพยสนดานเทคโนโลยสารสนเทศทเหมาะสม โดยตองมการจดท าทะเบยนรายการทรพยสนดานเทคโนโลยสารสนเทศ เพอใหสามารถระบรายการทรพยสนดานเทคโนโลยสารสนเทศทส าคญไดอยางครบถวน และสามารถน าไปใชในการก าหนดแนวทางการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศไดอยางเหมาะสม รวมถงตองจดใหมการบ ารงรกษาทรพยสนดานเทคโนโลยสารสนเทศอยางสม าเสมอ เพอใหมความพรอมใชงานและสามารถรองรบการด าเนนธรกจไดอยางตอเนอง
(2) การรกษาความมนคงปลอดภยของขอมล (information security)
สถาบนการเงนตองจดใหมการรกษาความมนคงปลอดภยของขอมล ทงในการรบสงขอมลผานเครอขายสอสารและการจดเกบขอมลบนระบบงานและสอบนทกขอมลตาง ๆ มการจดชนความลบของขอมล (information classification) มการเกบรกษาและท าลายขอมลใหเหมาะสมกบชนความลบ และมการบรหารจดการการเขารหสขอมล (cryptography) ทเชอถอไดและเปนมาตรฐาน สากล เพอรกษาความมนคงปลอดภยและความลบของขอมล
(3) การควบคมการเขาถง (access control)
สถาบนการเงนตองจดใหมการควบคมการเขาถงระบบปฏบตการ ระบบงาน และระบบฐานขอมล โดยก าหนดใหมการบรหารจดการสทธและตรวจสอบยนยนตวตนตามสทธทก าหนดไว
9
ตามความจ าเปนในการใชงานและระดบความเสยง เพอปองกนการเขาถงและเปลยนแปลงระบบหรอขอมลโดยผทไมมสทธหรอไมไดรบอนญาต
(4) การรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (physical and environmental security)
สถาบนการเงนตองจดใหมการรกษาความมนคงปลอดภยของศนยคอมพวเตอร สถานทปฏบตงานทเกยวของกบเทคโนโลยสารสนเทศ และพนททเกยวของกบเทคโนโลยสารสนเทศทส าคญ รวมทงมระบบการปองกนและกระบวนการในการบ ารงรกษาอปกรณคอมพวเตอร และระบบสาธารณปโภค (facility) ทเกยวของกบเทคโนโลยสารสนเทศ เพอปองกนความเสยหายทอาจเกดขนจากการบกรกหรอจากภยธรรมชาต และใหมความพรอมใชงานสามารถรองรบการด าเนนธรกจอยางตอเนอง
(5) การรกษาความมนคงปลอดภยของระบบเครอขายสอสาร (communications security)
สถาบนการเงนตองจดใหมการรกษาความมนคงปลอดภยของระบบเครอขายสอสารของสถาบนการเงน เพอใหระบบเครอขายสอสารและขอมลทมการรบสงผานเครอขายสอสารมความมนคงปลอดภย และสามารถปองกนการบกรกหรอภยคกคามทอาจเกดขน
(6) การรกษาความมนคงปลอดภยในการปฏบตงานดานเทคโนโลยสารสนเทศ (IT operations security)
สถาบนการเงนตองจดใหมการรกษาความมนคงปลอดภยในการปฏบตงานดานเทคโนโลยสารสนเทศ เพอใหการปฏบตงานดานเทคโนโลยสารสนเทศมความมนคงปลอดภย โดยตองครอบคลมอยางนอยในเรองดงตอไปน
(6.1) การบรหารจดการขดความสามารถของระบบ และระบบสาธารณปโภค (capacity management) เชน การประเมนแนวโนมการใชทรพยากรดานเทคโนโลยสารสนเทศ เพอใหสามารถบรหารทรพยากรดานเทคโนโลยสารสนเทศไดอยางเพยงพอตอการรองรบการด าเนนธรกจและสามารถวางแผนการจดการเทคโนโลยสารสนเทศใหรองรบการใชงานในอนาคต
(6.2) การรกษาความมนคงปลอดภยของเครองแมขาย (server) และอปกรณทใชปฏบตงานของผใชเทคโนโลยสารสนเทศ (endpoint) เชน การตดตงโปรแกรมปองกนไวรสหรอระบบตรวจจบการแฝงตวของโปรแกรมไมประสงคด (malware) หรอการโจมตดวยรปแบบตาง ๆ เพอปองกนการรวไหลของขอมลหรอการเขาใชงานโดยไมไดรบอนญาต
(6.3) การส ารองขอมล (data backup) ดวยวธการและระยะเวลา ทเหมาะสม เชน การส ารองขอมลประจ าวน เพอใหมขอมลส ารองทมความพรอมใชงานในกรณทระบบและขอมลหลกเกดเหตขดของหรอไดรบความเสยหาย
(6.4) การจดเกบขอมลบนทกเหตการณ (logging) ของเครองแมขาย ระบบงาน และอปกรณเครอขายทส าคญ เชน การจดเกบและสอบทานบนทกการเขาถงระบบ (access log) และบนทกการด าเนนงาน (activity log) เพอใหสามารถตดตามและตรวจสอบการเขาถงและการใชงานระบบหรอขอมลและใชเปนหลกฐานการท าธรกรรมทางอเลกทรอนกสใหแกผใชบรการ
10
(6.5) การตดตามดแลระบบและเฝาระวงภยคกคาม (security monitoring) โดยมกระบวนการหรอเครองมอในการตรวจจบเหตการณผดปกตหรอภยคกคามทมผลกระทบตอความมนคงปลอดภยของระบบทส าคญ เชน เครองมอในการตดตามและวเคราะหภยคกคามทางไซเบอรอยางตอเนอง เพอใหสามารถตรวจจบ ปองกน และรบมอเหตการณผดปกตและภยคกคามไดอยางทนทวงท
(6.6) การบรหารจดการชองโหว (vulnerability management) ของระบบทเหมาะสมตามระดบความเสยง เพอใหทราบถงชองโหวและสามารถด าเนนการแกไขและปองกนภยคกคามทอาจเกดขนไดอยางทนการณ โดยสถาบนการเงนตองมการประเมนชองโหวของระบบงานส าคญทกระบบอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ
(6.7) การทดสอบเจาะระบบ (penetration test) โดยจดใหมผเชยวชาญภายในหรอภายนอกทมความเปนอสระท าหนาททดสอบเจาะระบบ โดยเฉพาะระบบงาน (application) และระบบเครอขาย (network) ทมการเชอมตอกบระบบเครอขายสอสารสาธารณะ (internet facing) สม าเสมออยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ เพอใหทราบถงชองโหวและสามารถด าเนนการแกไขและปองกนภยคกคามทอาจเกดขนไดอยางทนการณ
(6.8) การบรหารจดการการเปลยนแปลง (change management) โดยจดใหมกระบวนการในการบรหารจดการการเปลยนแปลงและควบคมการเปลยนแปลงอยางรดกมและเพยงพอ เชน การน าระบบขนใชงานจรง (system deployment) การตงคาระบบ (system configuration) การตดตง patch เพอใหการเปลยนแปลงเปนไปตามวตถประสงคทก าหนดไวอยางถกตองครบถวน และปองกนการเปลยนแปลงโดยทไมไดรบอนญาต
(6.9) การบรหารจดการการตงคาระบบ (system configuration management) โดยจดใหมกระบวนการในการควบคมการตงคาของระบบทใชงานจรง และมการสอบทานการตงคาอยางสม าเสมอ เพอปองกนขอผดพลาดในการปฏบตงาน
(6.10) การบรหารจดการ patch (patch management) โดยจดใหมกระบวนการในการควบคมการตดตง patch ของระบบทใชงานจรง เพอใหสามารถตดตง patch ทส าคญในการรกษาความมนคงปลอดภยไดอยางทนการณ
(7) การจดหาและการพฒนาระบบ (system acquisition and development)
(7.1) การจดหาระบบ (system acquisition)
สถาบนการเงนตองก าหนดหลกเกณฑทชดเจนและเหมาะสมในการคดเลอกระบบและผใหบรการ เชน ความนาเชอถอของระบบและผใหบรการ การไดรบการรบรองตามมาตรฐานสากลหรอมาตรฐานดานเทคโนโลยสารสนเทศทเกยวของทไดรบการยอมรบโดยทวไป (certificate) ความมนคงปลอดภยของระบบ การสนบสนนและการบ ารงรกษาระบบ เพอใหมนใจวาระบบและผใหบรการสามารถตอบสนองตอความตองการในการด าเนนธรกจของสถาบนการเงนได รวมถงตองค านงถงความยดหยนในการเปลยนแปลงผใหบรการ การเปลยนแปลงเทคโนโลย หรอการเปลยนแปลงกลยทธในการด าเนนธรกจในอนาคต
11
(7.2) การพฒนาระบบ (system development)
สถาบนการเงนตองจดใหมการออกแบบ พฒนา และทดสอบระบบ เพอใหมนใจวาระบบมความถกตอง มนคงปลอดภย เชอถอได พรอมใชงาน และมความยดหยนเพยงพอทจะรองรบการปรบปรงเปลยนแปลงระบบในอนาคต โดยสถาบนการเงนตองจดใหมอยางนอยในเรองดงตอไปน
– เอกสารรายละเอยดคณสมบตทางเทคนค (technical specification) โดยครอบคลมถงเรองการรกษาความมนคงปลอดภย ซงรวมถงกระบวนการในการทดสอบ การดแล และการตดตามความมนคงปลอดภยในการใชงาน
– กระบวนการหรอเครองมอในการควบคมเวอรชนของค าสงในการเขยนโปรแกรม (source code version control)
– การแบงแยกบทบาทหนาทและความรบผดชอบของผทเกยวของในกระบวนการพฒนาระบบ เชน การแบงแยกระหวางผพฒนาระบบและผน าระบบขนใชงานจรง
– การแบงแยกสภาพแวดลอมของระบบงานทใชส าหรบการพฒนา (development) และการทดสอบ (testing) ออกจากระบบงานทใหบรการจรง (production)
– การทดสอบระบบกอนการใชงานจรง เชน ทดสอบการท างานของแตละระบบ (unit test) ทดสอบการท างานรวมกนของระบบตาง ๆ (system integration test) ทดสอบความพรอมใชงานตามกระบวนการและความตองการของผใชงาน (user acceptance test) และทดสอบความปลอดภยของระบบ (security test) ตามกระบวนการในการรกษาความมนคงปลอดภย ทก าหนดในเอกสารรายละเอยดคณสมบตทางเทคนค (technical specification)
– การพฒนาหรอการเปลยนแปลงระบบทเกยวของกบการให บรการหรอการท าธรกรรมทางอเลกทรอนกส สถาบนการเงนตองจดใหมการทดสอบประสทธภาพ (performance test)
– แนวทางในการควบคมการรกษาความมนคงปลอดภยและความลบของขอมลส าคญทน าไปใชในการทดสอบ
– การจดท าคมอและอบรมผใชงานระบบและผดแลระบบ
(8) การบรหารจดการเหตการณผดปกตและปญหา (IT incident and problem management)
สถาบนการเงนตองจดใหมการบรหารจดการเหตการณผดปกตและปญหาทเกดจากการใชเทคโนโลยสารสนเทศอยางเหมาะสมและทนทวงท โดยมการบนทก วเคราะห และรายงานเหตการณผดปกต ปญหา และการแกไข ใหคณะกรรมการทไดรบมอบหมาย หรอผบรหารระดบสงทไดรบมอบหมาย ในระยะเวลาทเหมาะสม นอกจากน สถาบนการเงนตองมการวเคราะหสาเหตทแทจรง (root cause) ของปญหา เพอหาแนวทางแกไขจากสาเหตทแทจรง และปองกนไมใหเกดเหตการณผดปกตซ าในอนาคต
12
(9) การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ
(9.1) สถาบนการเงนตองจดใหมคณะท างานหรอหนวยงานทรบผดชอบในการจดท านโยบายในการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศและแผนฉกเฉนดานเทคโนโลยสารสนเทศอยางเปนลายลกษณอกษรใหเปนไปตามนโยบายทก าหนดไว และแผนฉกเฉนดานเทคโนโลยสารสนเทศดงกลาวตองไดรบอนมตโดยคณะกรรมการทไดรบมอบหมาย
(9.2) ในการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ สถาบนการเงนตองค านงถงลกษณะการด าเนนธรกจ ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศ และความเสยงทเกยวของในการด าเนนธรกจของสถาบนการเงน รวมทงการบรหารความเสยงทอาจเกดจากเหตการณความเสยหายตาง ๆ และความเสยงทวไป เชน ความเสยงดานปฏบตการ (operational risk) ความเสยงดานชอเสยง (reputational risk) และความเสยงอนทเกยวของ เชน ความเสยงจากการพงพาองคกรอน ในการด าเนนธรกจ (interdependency risk) ความเสยงจากการกระจกตวของระบบงานหรอทรพยากรทส าคญ (concentration risk) และความเสยงทมผลกระทบตอสถาบนการเงน ผใชบรการ ผมสวนไดเสย และระบบสถาบนการเงน (systemic risk)
(9.3) แผนฉกเฉนดานเทคโนโลยสารสนเทศตองมความเปนไปไดในทางปฏบต สามารถน ามาใชรองรบความเสยหายทเกดขนไดจรง และสอดคลองกบแนวปฏบตของธนาคารแหงประเทศไทย เรอง การบรหารความตอเนองทางธรกจ (Business Continuity Management : BCM) และการจดท าแผนรองรบการด าเนนธรกจอยางตอเนอง (Business Continuity Plan : BCP) โดยแผนฉกเฉนดงกลาวควรครอบคลมถงการก าหนดระยะเวลาในการกคนระบบ (recovery time objective : RTO) และระยะเวลาสงสดทยอมใหขอมลเสยหาย (recovery point objective : RPO) ทสอดคลองกบความส าคญของระบบ รวมทงการก าหนดระยะเวลาสงสดทยอมใหธรกจหยดชะงก (maximum tolerance period of disruption : MTPD) เพอรองรบการด าเนนธรกจอยางตอเนองของสถาบนการเงน และรองรบการเกดเหตการณผดปกตตาง ๆ ทอาจสงผลใหเกดการหยดชะงกหรอเกดความเสยหายตอระบบ เชน ภยคกคามทางไซเบอร ภยธรรมชาต เพอใหสถาบนการเงนด าเนนการกระบบและกลบสการท างานไดตามปกตใหเรวทสด
(9.4) สถาบนการเงนตองจดท าคมอหรอเอกสารประกอบการด าเนนการตามแผนฉกเฉนดานเทคโนโลยสารสนเทศ รวมทงประชาสมพนธแผนและฝกอบรมเพอใหพนกงานทกคน ทมสวนเกยวของกบการด าเนนการตามแผนฉกเฉนดานเทคโนโลยสารสนเทศมความเขาใจและสามารถปฏบตตามแผนได
(9.5) สถาบนการเงนตองจดใหมการทบทวนและทดสอบการปฏบตตามแผนฉกเฉนดานเทคโนโลยสารสนเทศอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ
(9.6) สถาบนการเงนตองจดใหมศนยคอมพวเตอรส ารอง (disaster recovery site) ทมความพรอมใชงานและสามารถปฏบตงานทดแทนไดเมอศนยคอมพวเตอรหลก (primary site) หยดชะงก โดยสถาบนการเงนควรพจารณาใหศนยคอมพวเตอรส ารองอยหางจากศนยคอมพวเตอรหลกเพยงพอทจะมใหเกดปญหาหรอไดรบผลกระทบในลกษณะเดยวกนในชวงเวลาเดยวกน เชน ระบบไฟฟาขดของ และภยธรรมชาต
13
(10) การบรหารจดการบคคลภายนอก (third party management)
ในกรณทสถาบนการเงนมการใชบรการดานงานเทคโนโลยสารสนเทศจากบคคลภายนอก (IT outsourcing) หรอบคคลภายนอกมการเชอมตอกบระบบเทคโนโลยสารสนเทศของสถาบนการเงนหรอเขาถงขอมลส าคญของสถาบนการเงนหรอของลกคาของสถาบนการเงนได เชน การใชบรการดานงานเทคโนโลยสารสนเทศจาก IT service provider การใชบรการ cloud computing การเชอมตอระบบเทคโนโลยสารสนเทศเพอรวมใหบรการกบพนธมตรทางธรกจ การเชอมตอกบผใหบรการเครอขายสาธารณะหรอผใหบรการอนเทอรเนต (Internet Service Provider : ISP) หรอผใหบรการระบบช าระเงนกลาง ใหสถาบนการเงนน าแนวปฏบตการบรหารจดการบคคลภายนอก (Third Party Management Implementation Guideline) มาปฏบตใหเหมาะสมเพยงพอกบระดบความเสยงและระดบความมนยส าคญของ การเชอมโยงหรอการใชบรการจากบคคลภายนอก โดยมหลกการส าคญทสถาบนการเงนตองบรหารจดการบคคลภายนอก ดงน
(10.1) ตองก าหนดบทบาท หนาท และความรบผดชอบระหวางสถาบนการเงนและบคคลภายนอกอยางชดแจน
(10.2) ตองก ากบดแลและบรหารจดการความเสยงจากการใชบรการจากบคคลภายนอกทสอดคลองกบระดบความส าคญของงานทใชบรการและระดบความเสยงจากการใชบรการจากบคคลภายนอกใหอยภายใตระดบความเสยง
(10.3) ตองตดตามดแลประสทธภาพของการใหบรการจากบคคลภายนอกใหเปนไปตามสญญาหรอขอตกลง
(10.4) ตองดแลใหมนใจวาการใชบรการจากบคคลภายนอกมการรกษาความมนคงปลอดภยสารสนเทศ (Information security) ทสอดคลองกบมาตรฐานการการรกษาความมนคงปลอดภยสารสนเทศของสถาบนการเงนและอางองมาตรฐานสากลทยอมรบโดยทวไป ภายใตกรอบหลกการทส าคญ 3 ประการ คอ การรกษาความลบของระบบและขอมล (Confidentiality) ความถกตองเชอถอไดของระบบและขอมล (Integrity) และ ความพรอมใชงานดานเทคโนโลยสารสนเทศ (Availability) ซงรวมถงการคมครองขอมลสวนบคคล (data privacy)
(10.5) ตองเตรยมความพรอมรบมอตอปญหาหรอการเปลยนแปลงทอาจเกดขน และความพรอมในการด าเนนธรกจอยางตอเนอง
5.3.3 การบรหารความเสยงดานเทคโนโลยสารสนเทศ (IT risk management)
เพอใหสถาบนการเงนสามารถบรหารความเสยงดานเทคโนโลยสารสนเทศไดอยางมประสทธภาพและตอเนอง สถาบนการเงนตองก าหนดนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศใหครอบคลมเรองโครงสรางองคกรและบทบาทหนาทของผทเกยวของในการบรหารความเสยงดานเทคโนโลยสารสนเทศ และตองน านโยบายดงกลาวมาจดท าระเบยบวธปฏบตและกระบวนการในการบรหารความเสยงดานเทคโนโลยสารสนเทศของสถาบนการเงน โดยครอบคลมอยางนอยในเรองดงตอไปน
(1) การประเมนความเสยง (risk assessment)
(1.1) การระบความเสยง (risk identification)
14
สถาบนการเงนตองระบถงความเสยงดานเทคโนโลยสารสนเทศ ซงรวมถงภยคกคามทางไซเบอร และชองโหวตาง ๆ โดยความเสยงดงกลาวอาจมสาเหตมาจากกระบวนการปฏบตงาน ระบบงาน บคลากร หรอปจจยภายนอก
(1.2) การวเคราะหความเสยง (risk analysis)
สถาบนการเงนตองเขาใจและวเคราะหความเสยงดานเทคโนโลยสารสนเทศ เพอหาแนวทางในการจดการความเสยงทเหมาะสม
(1.3) การประเมนคาความเสยง (risk evaluation)
สถาบนการเงนตองประเมนถงโอกาสทความเสยงดานเทคโนโลยสารสนเทศจะเกดขนและผลกระทบตอการปฏบตงานและการด าเนนธรกจ รวมถงก าหนดระดบความเสยงดานเทคโนโลยสารสนเทศทยอมรบได (IT risk appetite)
(2) การจดการความเสยง (risk treatment)
สถาบนการเงนตองมแนวทางในการจดการ ควบคม และปองกนความเสยงทเหมาะสมสอดคลองกบผลการประเมนความเสยงดานเทคโนโลยสารสนเทศ เพอใหความเสยงทเหลออย (residual risk) อยในระดบความเสยงดานเทคโนโลยสารสนเทศทยอมรบได โดยตองค านงถงความสมดลระหวางตนทนในการปองกนความเสยงและผลประโยชนทคาดวาจะไดรบ
นอกจากน สถาบนการเงนตองจดใหมการก าหนดดชนชวดความเสยงดานเทคโนโลยสารสนเทศ (IT key risk indicators) ทเกยวของกบการด าเนนธรกจ ใหสอดคลองกบความส าคญของเทคโนโลยสารสนเทศแตละงาน เพอใชในการตดตามและทบทวนความเสยง
(3) การตดตามและทบทวนความเสยง (risk monitoring and review)
สถาบนการเงนตองจดใหมกระบวนการทมประสทธภาพในการตดตามและทบทวนความเสยงดานเทคโนโลยสารสนเทศ เพอใหอยภายใตระดบความเสยงดานเทคโนโลยสารสนเทศทยอมรบไดทก าหนดไว
(4) การรายงานความเสยง (risk reporting)
สถาบนการเงนตองมการรายงานระดบความเสยงและผลการบรหารความเสยงดานเทคโนโลยสารสนเทศ ตอคณะกรรมการทไดรบมอบหมายเปนประจ า เชน ตามรอบการประชมของคณะกรรมการ
ทงน สถาบนการเงนตองจดใหมการทบทวนระเบยบวธปฏบตและกระบวนการในการบรหารความเสยงดานเทคโนโลยสารสนเทศ อยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ
15
5.3.4 การปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ (IT compliance)
สถาบนการเงนตองจดใหมการก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ (IT compliance) เชน กฎหมายวาดวยธรกรรมทางอเลกทรอนกส กฎหมายวาดวยการกระท าความผดเกยวกบคอมพวเตอร กฎหมายวาดวยระบบการช าระเงน เพอปองกนการละเมดหรอการไมปฏบตตามกฎหมายและหลกเกณฑของหนวยงานก ากบดแลทเกยวของ โดยผทท าหนาทเกยวกบการก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ (IT compliance) สามารถอยในฝายก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑ (compliance) ได
5.3.5 การตรวจสอบดานเทคโนโลยสารสนเทศ (IT audit)
(1) สถาบนการเงนตองจดใหมผตรวจสอบดานเทคโนโลยสารสนเทศทมความร ประสบการณ และความเชยวชาญเกยวกบการตรวจสอบดานเทคโนโลยสารสนเทศ ซงอาจเปนผตรวจสอบภายใน ผตรวจสอบภายนอก หรอผเชยวชาญภายนอกทมความเปนอสระจากหนวยงานทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศและหนวยงานทท าหนาทบรหารความเสยงดานเทคโนโลยสารสนเทศ
(2) สถาบนการเงนตองจดใหมแผนงานและขอบเขตการตรวจสอบดานเทคโนโลยสารสนเทศทสอดคลองกบความส าคญและความเสยงของการใชเทคโนโลยสารสนเทศของสถาบนการเงน และนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ โดยแผนงานและขอบเขตการตรวจสอบดงกลาวตองไดรบการอนมตจากคณะกรรมการตรวจสอบ และตองครอบคลมถงเทคโนโลยสารสนเทศทส าคญของสถาบนการเงน ทงน สถาบนการเงนตองจดใหมการทบทวนแผนงานและขอบเขตการตรวจสอบดงกลาวโดยคณะกรรมการตรวจสอบอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ
(3) สถาบนการเงนตองจดใหมการตรวจสอบดานเทคโนโลยสารสนเทศ ตามแผนงานและขอบเขตทก าหนดตามขอ 5.3.5 (2) โดยส าหรบงานดานเทคโนโลยสารสนเทศทมนยส าคญควรตรวจสอบอยางนอยปละ 1 ครง และเมอมเหตการณผดปกตในเทคโนโลยสารสนเทศทมนยส าคญ
(4) สถาบนการเงนตองจดใหมผเชยวชาญภายนอกทเปนอสระท าหนาทประเมนระบบหรอเทคโนโลยทมความส าคญ ซงสถาบนการเงนเหนวามความจ าเปนตองประเมน แตสถาบนการเงนมขอจ ากด หรอผตรวจสอบดานเทคโนโลยสารสนเทศของสถาบนการเงนตามขอ (1) ไมสามารถประเมนได เชน การประเมนระบบทมความซบซอนหรอมการใชเทคโนโลยใหม หรอการประเมนความสามารถของระบบในการปรบเปลยนเพอรองรบการท าธรกจของสถาบนการเงนในอนาคตภายใตสภาวะการเปลยนแปลงทางเทคโนโลยทรวดเรว
(5) สถาบนการเงนตองจดท ารายงานผลการตรวจสอบดานเทคโนโลยสารสนเทศและเสนอตอคณะกรรมการตรวจสอบ ตลอดจนจดเกบรายงานผลการตรวจสอบดงกลาวไว ทสถาบนการเงน พรอมไวส าหรบการตรวจสอบหรอเมอรองขอโดยธนาคารแหงประเทศไทย
16
(6) สถาบนการเงนตองจดใหมการตดตามประเดนจากการตรวจสอบดานเทคโนโลยสารสนเทศ และรายงานประเดนส าคญใหกบคณะกรรมการตรวจสอบและฝายงานทเกยวของ
5.3.6 การบรหารจดการโครงการดานเทคโนโลยสารสนเทศ (IT project management)
(1) สถาบนการเงนตองจดใหมการศกษาความจ าเปนและประโยชนทคาดวาจะไดรบของโครงการทมการน าเทคโนโลยสารสนเทศมาใชในการด าเนนธรกจกอนเรมโครงการ โดยตองม การพจารณาเลอกใชเทคโนโลยอยางเหมาะสม และมการประเมนความเสยงและผลกระทบทอาจเกดขนกบฝายงานอนและระบบทเกยวของ รวมทงตองมการจดล าดบความส าคญของโครงการและน าเสนอขออนมตโครงการตอคณะกรรมการทไดรบมอบหมาย หรอผบรหารระดบสง ตามขอบเขตอ านาจในการอนมตทก าหนดไว
(2) สถาบนการเงนตองมการก าหนดกรอบการบรหารจดการโครงการ (project management framework) ทชดเจนเปนลายลกษณอกษร เพอใชเปนแนวทางในการบรหารจดการโครงการ (project management) โดยครอบคลมขนตอนตงแตการเรมโครงการ การด าเนนการและการควบคมโครงการ การปดโครงการ และการสอบทานโครงการ รวมทงตองมการก าหนดโครงสรางการควบคมและก ากบดแลโครงการทชดเจน (project governance) โดยสถาบนการเงนตองจดใหมอยางนอยในเรองตอไปน
(2.1) คณะกรรมการทท าหนาทก ากบดแลโครงการ เพอท าหนาทในการก ากบดแลความคบหนา ใหค าแนะน า และพจารณาตดสนใจการด าเนนงานในโครงการทส าคญ เพอใหการด าเนนงานของโครงการเปนไปตามแผนงานทก าหนด ทงน คณะกรรมการก ากบดแลโครงการควรประกอบดวยผบรหารหรอผแทนจากฝายงานตาง ๆ ทเกยวของ
(2.2) หนวยงานหรอทมงานดแลภาพรวมของโครงการ (Project Management Office : PMO) เพอท าหนาทในการก าหนดรปแบบ กระบวนการ และเครองมอทเปนมาตรฐานในการบรหารจดการและตดตามความคบหนาของโครงการ รวมทงรายงานความคบหนาและภาพรวมของโครงการทส าคญของสถาบนการเงนตอคณะกรรมการทไดรบมอบหมายในการก ากบดแลโครงการ หรอผบรหารระดบสงทอนมตโครงการดงกลาว เพอใหโครงการบรรลวตถประสงคตามเปาหมายทวางไว
(2.3) ผจดการโครงการ (project manager) เพอท าหนาทในการบรหารจดการโครงการแตละโครงการตามขนตอนการบรหารจดการโครงการ และสงมอบงานในแตละขนตอนตามรปแบบ กระบวนการ และเครองมอ ตามทหนวยงานหรอทมงานดแลภาพรวมของโครงการก าหนด เพอใหสามารถสงมอบโครงการไดอยางถกตองครบถวนตามแผนงานทก าหนด
5.4 การน าเทคโนโลยมาใชหรอการเปลยนแปลงการใชเทคโนโลย
ในกรณทมการน าเทคโนโลยมาใช หรอมการเปลยนแปลงระบบหรอเทคโนโลย ทงกรณสถาบนการเงนด าเนนการเองหรอใชบรการจากบคคลภายนอก สถาบนการเงนจะตองม การพจารณาความมนยส าคญกอนด าเนนการ โดยสถาบนการเงนจะตองมขอก าหนด (criteria) ในการพจารณาความมนยส าคญทชดเจน ภายใตกรอบหลกการทค านงถงความเสยงและผลกระทบ
17
ตอการด าเนนธรกจของสถาบนการเงนในวงกวาง (bank wide impact) และผลกระทบตอระบบสถาบนการเงนในวงกวาง (banking system wide impact) เชน กระทบลกคาสวนใหญของสถาบนการเงน หรอกระทบตอระบบงานกลาง ทงน สถาบนการเงนตองมการพจารณา รวมทงการสอสาร ตดตาม และทบทวนขอก าหนด โดยประกอบไปดวยขนตอนอยางนอย ดงน
5.4.1 ขอก าหนดตองผานการพจารณารวมกนของหนวยงานทเกยวของ โดยเฉพาะหนวยงานปฏบตงานดานเทคโนโลยสารสนเทศ (first line of defense) หนวยงานบรหารความเสยงและก ากบภายในดานเทคโนโลยสารสนเทศ (second line of defense)
5.4.2 ขอก าหนดตองไดรบการอนมตโดยคณะกรรมการทไดรบมอบหมาย
5.4.3 ขอก าหนดตองไดรบการสอสารและเผยแพรใหหนวยงานทเกยวของทราบโดยทวกน
5.4.4 ตองมการสอบทานการด าเนนการตามขอก าหนดอยางนอยปละ 1 ครง
5.4.5 ขอก าหนดตองไดรบการทบทวนอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ และเมอมการเปลยนแปลงอยางมนยส าคญ เพอใหมนใจวาขอก าหนดดงกลาวสอดคลองกบระดบความเสยงและผลกระทบของสถาบนการเงน
ทงน สถาบนการเงนตองมการบรหารความเสยงใหเหมาะสมตามระดบความมนยส าคญของการน าเทคโนโลยมาใช หรอมการเปลยนแปลงระบบหรอเทคโนโลย ทงกรณสถาบนการเงนด าเนนการเองหรอใชบรการจากบคคลภายนอก
5.5 การรายงาน แจง หรอขออนญาตตอธนาคารแหงประเทศไทย
5.5.1 กรณธนาคารพาณชย
(1) การรายงานโครงการดานเทคโนโลยทมนยส าคญประจ าป
ธนาคารพาณชยจะตองจดสงรายงานโครงการดานเทคโนโลยทมนยส าคญประจ าป ทงกรณธนาคารพาณชยด าเนนการเองหรอใชบรการจากบคคลภายนอก ตอธนาคารแหงประเทศไทยตามแบบรายงานทสามารถดาวนโหลดไดจากเวบไซตของธนาคารแหงประเทศไทย ภายในวนท 31 มกราคมของทกป โดยใหธนาคารพาณชยปรบปรงขอมลรายงานโครงการดานเทคโนโลยทมนยส าคญประจ าปใหธนาคารแหงประเทศไทยทราบเปนรายไตรมาส และจดสงภายใน 15 วนหลงสนไตรมาส
(2) การแจงการน าเทคโนโลยมาใชหรอการเปลยนแปลงระบบหรอเทคโนโลยทมความเสยงหรอผลกระทบอยางมนยส าคญ
ธนาคารพาณชยทมการน าเทคโนโลยมาใช หรอมการเปลยนแปลงระบบหรอเทคโนโลยทมนยส าคญ ทงกรณธนาคารพาณชยด าเนนการเองหรอใชบรการจากบคคลภายนอก ใหรายงานการน าเทคโนโลยมาใชหรอการเปลยนแปลงการใชเทคโนโลยทมนยส าคญ ตอธนาคารแหงประเทศไทยตามทก าหนดในคมอประชาชนใหทราบลวงหนา 15 วนกอนด าเนนการ
18
5.5.2 กรณบรษทเงนทน บรษทเครดตฟองซเอร
บรษทเงนทน บรษทเครดตฟองซเอรทมการน าเทคโนโลยมาใช หรอม การเปลยนแปลงระบบหรอเทคโนโลยทมนยส าคญ ทงกรณบรษทเงนทน บรษทเครดตฟองซเอรด าเนนการเองหรอใชบรการจากบคคลภายนอก ใหยนขออนญาตการน าเทคโนโลยมาใชหรอ การเปลยนแปลงการใชเทคโนโลยทมนยส าคญ ตอธนาคารแหงประเทศไทยตามทก าหนดในคมอประชาชน รวมถงเอกสารทเกยวของอนใดทธนาคารแหงประเทศไทยอาจรองขอเพมเตม เพอขออนญาตกอนด าเนนการ โดยธนาคารแหงประเทศไทยจะพจารณาใหแลวเสรจภายใน 30 วนท าการ นบแตวนทไดรบค าขอและเอกสารถกตองครบถวน
5.6 การรายงานปญหาดานเทคโนโลยสารสนเทศตอธนาคารแหงประเทศไทย
สถาบนการเงนตองรายงานตอธนาคารแหงประเทศไทยในกรณทเกดปญหาหรอเหตการณทมนยส าคญในการใชเทคโนโลยสารสนเทศซงสงผลกระทบตอการใหบรการ ระบบงาน หรอชอเสยงของสถาบนการเงน รวมถงกรณเทคโนโลยสารสนเทศทส าคญของสถาบนการเงนถกโจมตหรอถกขโจมตจากภยคกคามทางไซเบอร และเปนปญหาหรอเหตการณทสถาบนการเงนตองรายงานตอผบรหารในต าแหนงสงสดของสถาบนการเงน โดยใหสถาบนการเงนรายงานปญหาหรอเหตการณดงกลาวมายง ธนาคารแหงประเทศไทย ทนทเมอเกดหรอรบรปญหาหรอเหตการณนน และใหสถาบนการเงนแจงสาเหตและการแกไขปญหาเพมเตมภายหลง
5.7 การใชบรการจากบรษทในกลมธรกจเดยวกนหรอบรษททมความเกยวของใน การก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ
สถาบนการเงนควรมโครงสรางการก ากบดแลในภาพรวมทเออตอการบรหารความเสยงดานเทคโนโลยสารสนเทศอยางเหมาะสม และสอดคลองตามหลกการแบงแยกหนาทความรบผดชอบ 3 ระดบ (three lines of defence) ตามหลกเกณฑทก าหนดในขอ 5.3.1 โดยในกรณทสถาบนการเงนมโครงสรางการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศจากบรษทในกลมธรกจเดยวกนหรอบรษททมความเกยวของ โดยเฉพาะกรณสาขาของธนาคารพาณชยตางประเทศ และธนาคารพาณชยทเปนบรษทลกของธนาคารพาณชยตางประเทศ ซงชวยใหสถาบนการเงนสามารถดแลความเสยงดานเทคโนโลยสารสนเทศไดมประสทธภาพมากขน โดยใหสถาบนการเงนแจงการใชบรการจากบรษทในกลมธรกจเดยวกนหรอบรษททมความเกยวของในการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ ตอธนาคารแหงประเทศไทยตามทก าหนดในคมอประชาชน
ทงน สถาบนการเงนและคณะกรรมการสถาบนการเงนหรอผบรหารระดบสงของสถาบนการเงนในประเทศไทยยงคงตองรบผดชอบตอการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศเสมอนวาสถาบนการเงนด าเนนการเอง
5.8 การขอผอนผนการปฏบตตามหลกเกณฑ
ในกรณทสถาบนการเงนใดไมสามารถปฏบตตามหลกเกณฑทก าหนดตามประกาศ ฉบบนได ใหสถาบนการเงนยนขออนญาตผอนผนการปฏบตตามหลกเกณฑดงกลาวตอธนาคารแหงประเทศไทยตามทก าหนดในคมอประชาชน เปนรายกรณ พรอมแสดงเหตผลและความจ าเปน รวมถงแผนในการด าเนนการเพอใหสามารถปฏบตตามหลกเกณฑทก าหนดไดตอไป ทงน ธนาคารแหงประเทศไทยจะพจารณาใหแลวเสรจภายใน 30 วนท าการนบแตวนทไดรบค าขอและเอกสารถกตองครบถวน
19
5.9 การก าหนดเงอนไขเพมเตม ชะลอ ระงบ เพกถอน หรอเขาตรวจสอบ การน าเทคโนโลยมาใช หรอมการเปลยนแปลงระบบหรอเทคโนโลย
ธนาคารแหงประเทศไทยอาจพจารณาก าหนดเงอนไขเพมเตม ชะลอ ระงบ เพกถอน หรอเขาตรวจสอบ การน าเทคโนโลยมาใช หรอการเปลยนแปลงระบบหรอเทคโนโลย ทงกรณสถาบนการเงนด าเนนการเองหรอใชบรการจากบคคลภายนอก ตามความจ าเปนเปนรายกรณ รวมทงธนาคารแหงประเทศไทยมสทธในการเขาตรวจสอบบคคลภายนอกทมนยส าคญตอระบบสถาบนการเงน หากพบวาเปนการด าเนนการทสงผลกระทบตอประชาชนในวงกวางหรอความเชอมนในระบบสถาบนการเงน
5.10 บทเฉพาะกาล
5.10.1 ใหสถาบนการเงนทตองจดใหมผบรหารระดบสงทท าหนาทบรหารจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงน (Chief Information Security Officer : CISO) ตามทก าหนดในขอ 5.3.1 (2.3) ด าเนนการใหมผบรหารระดบสงทท าหนาทบรหารจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงน (Chief Information Security Officer : CISO) ภายใน 1 ป นบจากวนทประกาศฉบบนมผลบงคบใช
5.10.2 ใหสถาบนการเงนจดท าขอก าหนด (criteria) ในการพจารณาความมนยส าคญทชดเจนตามทก าหนดในขอ 5.4 ใหแลวเสรจภายในวนท 1 มกราคม 2563 โดยในระหวางทสถาบนการเงนยงด าเนนการไมแลวเสรจ สถาบนการเงนยงคงตองพจารณาความมนยส าคญของการน าเทคโนโลยมาใชหรอการเปลยนแปลงการใชเทคโนโลยภายใตกรอบหลกการทค านงถงผลกระทบตอการด าเนนธรกจของสถาบนการเงนในวงกวาง (bank wide impact) และผลกระทบตอระบบสถาบนการเงนในวงกวาง (banking system wide impact) ตามกรอบหลกการทก าหนดในขอ 5.4
5.10.3 ใหธนาคารพาณชยจดสงรายงานโครงการดานเทคโนโลยทมนยส าคญประจ าปตามหลกเกณฑทก าหนดในขอ 5.5.1 (1) ส าหรบป 2562 ภายใน 30 วนนบจากวนทประกาศฉบบนมผลบงคบใช
6. วนเรมตนบงคบใช
ประกาศฉบบนใหใชบงคบตงแตวนถดจากวนประกาศในราชกจจานเบกษาเปนตนไป
หากมความเหนหรอขอเสนอแนะเพมเตมประการใด โปรดสงความเหนมายงทมนโยบาย การปฏบตการสถาบนการเงน ฝายนโยบายการก ากบสถาบนการเงน สายนโยบายสถาบนการเงน ธนาคารแหงประเทศไทย ทางอเมล : [email protected] ภายในวนท 17 พฤษภาคม 2562