การรบฟงความเหนรางหลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ

(Information Technology Risk) ของสถาบนการเงน

ฝายนโยบายการก ากบสถาบนการเงน และ ฝายตรวจสอบเทคโนโลยสารสนเทศ

วนท 23 สงหาคม 2560

1

ประเดน

2

เหตผลในการออกหลกเกณฑ

สาระส าคญของหลกเกณฑ

1

2

หลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ (Information Technology Risk) ของสถาบนการเงน

Customers

Deposit

Loan

Trade Finance

Cash Management

Credit Card

Cheque

Products

AccessControlSystem

Server

CCTV

Network

Branch

EDC

ATM /CDM

Channels

Internet

ระบบประมวลผลของ สง. รองรบธรกจ (Data Center)

Payment Gateway

MobileRetail / Corp

3

ธรกจ สง. ในปจจบนขบเคลอนดวยเทคโนโลย

ไทยม cyber threat สงเปน “อนดบ 11 ของโลก”และ “อนดบ 5 ของเอเชย”

เปาหมายหลกของ Hacker คอ “ภาคการเงน”

ผลกระทบจากภยคกคามฯ : 689 ลานคน 126 พนลานบาทDDos attack / ransomware (Wannacry / Petya) / ต ATM ถก malware

อนๆ 48%

การเงน52%

ภยคกคามทางไซเบอรและผลกระทบเพมมากขน

เปาหมายของการก ากบดแล การเปลยนแปลงการด าเนนธรกจของ สง.

สง. มการใช IT ทสอดคลองกบกลยทธในการด าเนนธรกจ และพรอมรบการเปลยนแปลง

คณะกรรมการ สง. และผบรหารระดบสงมบทบาทส าคญในการก ากบดแลความเสยงดาน IT

สง. มการยกระดบความเสยงดาน IT เปนความเสยงทส าคญขององคกร (Enterprise-Wide-Risk)

สง. มการบรหารจดการโครงการดาน ITทรดกมและมประสทธภาพ

สง. มการรกษาความมนคงปลอดภย และการบรหารความเสยงดาน IT

ใหสอดคลองกบความเสยงทเพมมากขน

• หลกเกณฑปจจบนอาจไมเพยงพอรองรบการใช IT และความเสยงทมากขน

• ไมมเกณฑก ากบดแลการบรหารจดการ IT Risk แบบองครวม

4

การยกระดบแนวทางการก ากบดแลดาน IT

ปจจบน แนวทางการปรบปรง

ประกาศ ธปท. ท สนส. 26/2551เรอง การอนญาตให ธพ. ใหบรการ e-banking

การใหบรการ e-Banking

(1) ขอบเขตและเงอนไขในการใหบรการ e-Banking(2) หลกเกณฑการก ากบดแลการใหบรการ e-Banking

การรกษาความปลอดภยในการใหบรการ e-banking

(1) การรกษาความปลอดภยในการใหบรการ e-Banking(2) แผนฉกเฉนดาน IT

การใหบรการ e-Money

(1) คณลกษณะของ e-Money(2) หลกเกณฑการก ากบดแลการใหบรการ e-Money

ประกาศการใหบรการผานชองทางตาง ๆ

(1) ขอบเขตการใหบรการผานชองทางตาง ๆ ของ ธพ.(2) หลกเกณฑการก ากบดแลการใหบรการแตละชองทาง

ประกาศ IT risk ของ สง. (รบฟงความเหนครงน)

การรกษาความมนคงปลอดภยและการบรหารความเสยงดาน IT ของทงองคกร เชน IT Governance / การรกษาความปลอดภยดาน IT / การบรหารความเสยงดาน IT / การตรวจสอบงาน IT

ประกาศการใหบรการ e-Money (สนส. 18/2559)

(1) ขอบเขตการใหบรการ e-Money(2) หลกเกณฑการก ากบดแลการใหบรการ e-Money

1

แบงออกเปนประกาศ 3 ฉบบ ไดแก

2

3

5

การปรบปรงหลกเกณฑของ ธพ. ทเกยวของ

ปจจบน แนวทางการปรบปรง

ประกาศ ธปท. ท สนส. 27/2551เรอง การอนญาตให บง. บค. ใหบรการ e-banking

การใหบรการ e-Banking

(1) ขอบเขตและเงอนไขในการใหบรการ e-Banking(2) หลกเกณฑการก ากบดแลการใหบรการ e-Banking

การรกษาความปลอดภยในการใหบรการ e-banking

(1) การรกษาความปลอดภยในการใหบรการ e-Banking(2) แผนฉกเฉนดาน IT

ใชประกาศฉบบเดม

ประกาศ IT risk ของ สง. (รบฟงความเหนครงน)

การรกษาความมนคงปลอดภยและการบรหารความเสยงดาน IT ของทงองคกร เชน IT Governance / การรกษาความปลอดภยดาน IT / การบรหารความเสยงดาน IT / การตรวจสอบงาน IT

แบงออกเปนประกาศ 2 ฉบบ ไดแก

6

การปรบปรงหลกเกณฑของ บง. และ บค. ทเกยวของ

1

2

ภาพรวมการก ากบดแลความเสยงดาน IT ของ สง.

ประกาศ ธปท. เรอง หลกเกณฑการก ากบ

ดแลความเสยงดานเทคโนโลยสารสนเทศ

(Information Technology Risk) ของสถาบนการเงน

แนวปฏบตในการบรหารความเสยง

ดานเทคโนโลยสารสนเทศ (IT Risk Management

Implementation Guideline)

ISO / IEC 27001: 2013

มาตรฐานสากล

หลกเกณฑการก ากบดแลในตางประเทศ

สถาบนการเงนทกแหง และอาจพจารณาใชกบ SFIs ในอนาคต

สถาบนการเงนทกแหง และ SFIs

7

หลกเกณฑการก ากบดแลความเสยงดาน IT ของ สง.

CIAIT

ConfidentialityIntegrityAvailability

8

หลกเกณฑการก ากบดแลความเสยงดาน IT ของ สง.

สาระส าคญของประกาศ เรอง หลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ (Information Technology Risk) ของ สง.

การก ากบดแลความเสยงดาน IT

IT Governance

การรายงานปญหาหรอเหตการณผดปกต

การขออนญาตกรณเปลยนแปลงการใชเทคโนโลยอยางมนยส าคญ

การขอผอนผนการปฏบตตามหลกเกณฑ

IT Security

IT Risk Management

IT Project Management

IT Compliance

IT Audit

บทบาทหนาทคณะกรรมการ / โครงสรางการก ากบดแล / การบรหารจดการบคลากร / การสงเสรมใหตระหนกถงความเสยงดาน IT / นโยบายทเกยวของกบ IT Risk

Asset management / Information / Access control / Physical and environmental / Communications / IT operations / Acquisition and development / Incident and problem management / Contingency plan / Supplier management

Assessment / Treatment / Monitoring and review / Reporting

Feasibility study / Project management framework

1

2

3

4

1.1

1.2

1.3

1.6

1.4

1.5

CIAIT

ConfidentialityIntegrityAvailability

1st line

2nd line

3rd line

9

หลกเกณฑทเกยวของ

บทบาทและหนาทของคณะกรรมการของ สง.

• มกรรมการอยางนอย 1 ทานทมความร / ประสบการณดาน IT• ดแลการใช IT ใหสอดรบกบ business strategy และพรอมรบการเปลยนแปลงทงดาน IT และดานธรกจ• ดแลใหมการบรหารความเสยงดาน IT โดยถอเปนสวนหนงของ Enterprise risk management : ERM• อนมตนโยบายดาน IT ดแลและตดตามการน าไปใชอยางเหมาะสม นโยบายการรกษาความมนคงปลอดภยดาน IT (IT security policy) รวมถงนโยบายการจดท าแผนฉกเฉน

ดาน IT

นโยบายการบรหารความเสยงดาน IT (IT risk management policy)

• ดแลใหมการตดตาม ตรวจสอบ และรายงานตอคณะกรรมการ สง. / คณะกรรมการทไดรบมอบหมาย / ผบรหารระดบสง

• สงเสรม IT awareness ในองคกรใหตระหนกถงความส าคญของความเสยง IT และใช IT ไดอยางถกตอง

คณะกรรมการตองไดรบการอบรมใหความรดาน ITอยางเพยงพอ เพอก ากบดแล IT อยางมประสทธภาพ

1

การก ากบดแลความเสยงดาน IT

IT Governance : ธรรมาภบาลดาน IT

1

1.1

• ประกาศ ธปท. ท สนส. 13/2552 เรอง ธรรมาภบาลของสถาบนการเงน • ประกาศ ธปท. ท สนส. 15/2552 เรอง อ านาจหนาทของกรรมการของสถาบนการเงนทธนาคารแหงประเทศไทยใหความส าคญสงสด

คณะกรรมการ สง. ตองมความรหรอประสบการณดาน IT อยางเพยงพอทจะก ากบดแลและสนบสนนใหองคกรมการบรหารความเสยงดาน IT ทเหมาะสมและสอดคลองกบการด าเนนธรกจ

• 3 lines of defence :มการถวงดลอยางอสระ โดยแบงแยกหนาทระหวาง (1) การปฏบตงานดาน IT (2) การบรหารความเสยงดาน ITและ (3) การตรวจสอบดาน IT

• IT committees : (1) คณะกรรมการทท าหนาทก ากบดแลการปฏบตงานดาน IT : ดแลการก าหนดกลยทธดาน IT / ดแลและ

ตดตามการปฏบตงานดาน IT ใหเปนไปตามกลยทธทก าหนด(2) คณะกรรมการทท าหนาทก ากบดแลการบรหารความเสยงดาน IT : ดแลการก าหนดนโยบายการบรหาร

ความเสยงดาน IT / ดแลและตดตามใหเปนไปตามนโยบายทก าหนด โดยเชอมโยงกบความเสยงในภาพรวมของ สง. / ดแลการปฏบตตามหลกเกณฑ (IT compliance)

(3) คณะกรรมการทท าหนาทก ากบดแลใหมการตรวจสอบดาน IT : ดแลการตรวจสอบการปฏบตงานดาน ITและการบรหารความเสยงดาน IT / สอบทานการปฏบตตามหลกเกณฑ

สนบสนนใหมผบรหารระดบสง หรอ หวหนาหนวยงานทท าหนาทบรหารจดการ IT Security (เชน CISO) เปนผทมความรความสามารถดาน IT security มความเปนอสระจากหนวยงานทปฏบตงานดาน IT

10

โครงสรางการก ากบดแล

2โครงสรางองคกรตองเออตอการบรหารความเสยงดาน IT ทเหมาะสม และสอดคลองตามหลก 3 lines of defence

การก ากบดแลความเสยงดาน IT

IT Governance : ธรรมาภบาลดาน IT

1

1.1

1st line : IT Operation 2nd line : IT Risk Management 3rd line : IT Audit

IT steering committee

ระบความเสยง

Head of Audit

ฝายตรวจสอบภายใน

ตรวจสอบตามแผนอยางนอยปละ 1 ครง และเมอมการเปลยนแปลงอยางมนยส าคญ

Chief IT Officer : CIO

Board of directors (BOD)

Optional

แนวทางการจดโครงสรางการก ากบดแลความเสยงดาน IT

Chief Risk Officer : CRO

ฝายบรหารความเสยง

วเคราะหความเสยง

ประเมนคาความเสยง

จดการความเสยง

ตดตามและทบทวนความเสยง

รายงานผลการบรหารความเสยง

รายงานผลการตรวจสอบและตดตามประเดนจากการตรวจสอบ

ฝายงาน IT

บรหารจดการทรพยสนดาน IT

จดหาและพฒนาระบบ

จดการเหตการณผดปกตและปญหา

จดท าแผนฉกเฉนดาน IT

บรหารจดการโครงการดาน IT

• ผบรหารระดบสง / หวหนาสายงาน ท าหนาทดแลงาน IT security : ก าหนดแนวทางดแล IT security / ควบคมใหมการปฏบตตาม / ตดตามดแลระบบ / เฝาระวงภยคกคาม

• มความเปนอสระจากหนวยงานทท าหนาทปฏบตงานดาน IT

Policy Day to day operation (SOC)

IT Compliance

เชน CISO

Head of Securityรกษาความมนคงปลอดภยดาน IT

CEO

รายงาน CEO/CRO

11

Risk committee

Audit committee

• มขอก าหนดในสญญาจางงานในเรองความรบผดชอบเกยวกบการรกษาความมนคงปลอดภยดาน IT หากมการเขาถงขอมล

• มการอบรมใหบคลากรมความรและทกษะทเพยงพอตอการปฏบตงานทเกยวของ • มการบรหารจดการสทธของบคลากรใหเปนปจจบน โดยเฉพาะเมอมการเปลยนแปลงต าแหนง / การจางงาน

บคลากร : ผบรหารระดบสง และบคลากรทใช IT ของ สง.

12

3

4

การบรหารจดการบคลากร

บคลากรตองมความรและความช านาญเพยงพอในการปฏบตงานทเกยวกบดาน IT และมปรมาณบคลากรเพยงพอ โดยบคลากรทกระดบมความตระหนกถงความส าคญของการรกษาความมนคงปลอดภยดาน IT

• มกระบวนการคดเลอกบคลากรดาน IT ทเหมาะสม ใหมความร / ประสบการณ เพยงพอตอการท าหนาทตามทไดรบมอบหมาย

• มบคลากรเพยงพอรองรบการใช IT ในปจจบนและตามแผนงานในอนาคต

บคลากรดาน IT : บคลากรทท าหนาทปฏบตงานดาน IT / บรหารความเสยงดาน IT / ตรวจสอบดาน IT

การสงเสรม IT risk awareness

คณะกรรมการและบคลากรทกระดบตองมความเขาใจและตระหนกถงความส าคญของความเสยงดาน IT และการใช IT อยางปลอดภย

การก ากบดแลความเสยงดาน IT

IT Governance : ธรรมาภบาลดาน IT

1

1.1

1

3rd line - IT Audit

Internet banking

Mobile banking

ATM / CDM

Branch

1st line - IT Operation IT security policy

ประกาศ ธปท. ท สนส. 19/2559IT Outsourcing

รางประกาศ Banking channel

แนวปฏบต BCM / BCP (3 ส.ค. 51)

2nd line - IT Risk Management & Compliance

IT contingency plan

Service provider

IT Outsourcing

IT Risk Mangement IT Compliance

ศนยคอมพวเตอรส ารอง

ศนยคอมพวเตอรหลก

Data Center

Network Equipment เชน firewall/ router

Servers ประมวลขอมลจากระบบตาง ๆ เชน Branch / ATM / Internet Banking

Core banking

หนาทและกระบวนการในการรกษาความมนคงปลอดภยและการบรหารความเสยง แบงตามหลกการ 3 lines of defence

13

การก ากบดแลความเสยงดาน IT1

หลกเกณฑทเกยวของ

Card (EDC)

Payment agent

IT asset management

2 4 5

32 Information security Access control

Information / Physical & environmental / Communications security

5 Communications security

6

7

8

9

10

IT operations securitySystem acquisition and developmentIT incident and problem management

Supplier management

ตรวจสอบการปฏบตงานของ IT Operation และ IT Risk Management

โครงสรางและหนาทในการดแลความเสยงดาน IT

IT Security1.2

การบรหารจดการทรพยสนดาน IT• จดท าทะเบยนทรพยสนดาน IT เพอใหสามารถระบรายการ

ทรพยสนใหครบถวน และน าไปใชในการก าหนดแนวทางการรกษาความมนคงปลอดภยไดอยางเหมาะสม

01

14

โครงสรางและหนาทในการดแลความเสยงดาน IT

การควบคมการเขาถง• ควบคมการเขาถงระบบปฏบตการ ระบบงาน และระบบจดการ

ฐานขอมล• จดการสทธและตรวจสอบยนยนตวตนตามสทธทก าหนด

03

การรกษาความมนคงปลอดภยของขอมล• จดชนความลบของขอมล• เกบรกษาและท าลายขอมลใหเหมาะสมกบชนความลบ• บรหารจดการการเขารหสขอมลทเชอถอไดและเปนมาตรฐานสากล

02

การรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม• รกษาความมนคงปลอดภยของศนยคอมพวเตอรและพนททเกยวของ• มระบบปองกนและกระบวนการในการบ ารงรกษาอปกรณและระบบ

เพอปองกนความเสยหายและใหมความพรอมใชงาน

04

การรกษาความมนคงปลอดภยของระบบเครอขาย• รกษาความมนคงปลอดภยระบบเครอขายของ สง.• สามารถปองกนการบกรกหรอภยคกคาม

05

การรกษาความมนคงปลอดภยในการปฏบตงานดาน IT• ก าหนดหนาทและขนตอนการปฏบตงานตาง ๆ ทางดาน IT06

การจดหาและการพฒนาระบบ• ก าหนดเกณฑในการคดเลอกระบบและผใหบรการทชดเจน• ออกแบบ พฒนา และทดสอบระบบ ใหมความมนคงปลอดภย

มความยดหยน และมการบ ารงรกษาอยางสม าเสมอ

07

การบรหารจดการเหตการณผดปกตและปญหา• บนทก วเคราะห และรายงานเหตการณผดปกต ปญหา และการแกไข• วเคราะหสาเหตทแทจรงของปญหา (root cause) และหาทาง

ปองกน

08

การจดท าแผนฉกเฉนดาน IT• มคณะท างาน / หนวยงานทรบผดชอบในการจดท าแผน• จดท าคมอ / เอกสารประกอบการด าเนนการตามแผนฉกเฉน• ทบทวนแผนและทดสอบการปฏบตตามแผนปละครง• มศนยคอมพวเตอรส ารองททดแทนศนยคอมพวเตอรหลกได

09

การบรหารจดการผใหบรการภายนอก / พนธมตรทางธรกจ• จดท าสญญา / ขอตกลงในการใหบรการ• ตองค านงถงความตอเนองและขอจ ากดเมอมการเปลยน / ยกเลก

10

1st line : IT Operation

15

การรกษาความมนคงปลอดภยในการปฏบตงานดาน IT• ก าหนดหนาทและขนตอนการปฏบตงานตาง ๆ ทางดาน IT06

6.1การก าหนดหนาทและขนตอนการปฏบตงานก าหนดหนาทและขนตอนการปฏบตงานดาน IT ใหชดเจน

6.2การบรหารจดการขดความสามารถของระบบบรหารจดการขดความสามารถของระบบ (capacity management) ใหเพยงพอรองรบธรกจ

6.3การรกษาความปลอดภยของ server / endpointปองกนการรวไหลของขอมลหรอการเขาใชงานโดยไมไดรบอนญาต

6.4การส ารองขอมล (data backup)ส ารองขอมล ดวยวธการและระยะเวลาทเหมาะสม ใหมขอมลส ารองพรอมใชงาน

6.5การจดเกบบนทกเหตการณ (logging)บนทกเหตการณ เพอใหตดตามและตรวจสอบการเขาถงและการใชงานของระบบและขอมล

6.6การตดตามดแลระบบและเฝาระวงภยคกคามตดตามดแลระบบ (security monitoring) และเฝาระวงภยคกคาม เพอใหรบมอไดทนทวงท

6.7การประเมนชองโหว (vulnerability assessment)ประเมนชองโหวของ server ระบบงาน และอปกรณเครอขายทส าคญสม าเสมอ

6.8การทดสอบเจาะระบบ (penetration test)ทดสอบเจาะระบบ โดยผเชยวชาญภายใน / ภายนอก ทมความเปนอสระ โดยเฉพาะระบบทเปน internet facing

6.9การบรหารจดการการเปลยนแปลงบรหารจดการและควบคมการเปลยนแปลง (change management) อยางรดกมเพยงพอ

6.10การบรหารจดการการตงคาระบบควบคมการตงคาของระบบทใชงานจรง (system configuration) และทดสอบการตงคาอยางสม าเสมอ

ก าหนดเกณฑทชดเจนในการคดเลอกระบบและผใหบรการ เพอใหมนใจไดวา• สามารถตอบสนองความตองการ

ในการด าเนนธรกจของ สง. ได• มความยดหยนตอการเปลยนแปลง

ผใหบรการ เทคโนโลย และกลยทธของ สง.

จดใหมการบ ารงรกษาอยางสม าเสมอ เพอใหมความพรอมใชงานและรองรบการด าเนนธรกจอยางตอเนอง

จดใหมการออกแบบ พฒนา และทดสอบระบบ เพอใหระบบมความมนคงปลอดภย และยดหยนเพยงพอทจะรองรบการเปลยนแปลงระบบในอนาคต โดยครอบคลมในเรอง • เอกสารรายละเอยดคณสมบตทางเทคนค • กระบวนการ / เครองมอในการควบคมเวอรชน• การแบงแยกบทบาทหนาทและความรบผดชอบ• การแบงแยกสภาพแวดลอมของระบบงาน• การทดสอบกอนใชงานจรง • การควบคมรกษาความมนคงปลอดภยและความลบ

ของขอมล • การจดท าคมอและอบรมผใชงานระบบและผรกษาระบบ

16

การจดหาและการพฒนาระบบ• ก าหนดเกณฑในการคดเลอกระบบและผใหบรการทชดเจน• ออกแบบ พฒนา และทดสอบระบบ ใหมความมนคงปลอดภย มความยดหยน และมการบ ารงรกษา

อยางสม าเสมอ

07

การบ ารงรกษาระบบ(system maintenance)

การพฒนาระบบ(system development)

การจดหาระบบ(system acquisition)

ผรบผดชอบในการจดท าแผน• มคณะท างาน/หนวยงานทรบผดชอบ

ในการจดท าแผนฉกเฉนดาน IT • จดท าแผนเปนลายลกษณอกษร

ใหสอดคลองตามนโยบายทก าหนด• แผนตองไดรบอนมตจาก

คณะกรรมการ สง.

แผนตองรองรบความเสยงโดยค านงถง• รปแบบและความซบซอน

ของการด าเนนธรกจของ สง. • การบรหารความเสยงทอาจ

เกดจากเหตการณความเสยหาย/ความเสยงอน

แผนตองมความเปนไปไดในทางปฏบต• รองรบความเสยหายทเกดขนไดจรง• สอดคลองกบแนวปฏบต BCM / BCP• มการก าหนดระยะเวลา RTO /

RPO / MTPD

คมอ / เอกสารประกอบการด าเนนการตามแผน • จดท าคมอ / เอกสารประกอบ

การด าเนนการตามแผน• ประชาสมพนธแผนและฝกอบรม

ใหแกพนกงานทเกยวของทกคน

การทบทวนและทดสอบการปฏบตตามแผน• ทบทวนและทดสอบ

การปฏบตตามแผนอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลง

ศนยคอมพวเตอรส ารอง• มความพรอมใชงาน• ปฏบตงานทดแทนเมอศนย

คอมพวเตอรหลกหยดชะงก • ตงอยหางจากศนยคอมพวเตอร

หลกเพยงพอ มใหเกดผลกระทบลกษณะเดยวกนพรอมกน

17

การจดท าแผนฉกเฉนดาน IT• มคณะท างาน / หนวยงานทรบผดชอบในการจดท าแผน• จดท าคมอ / เอกสารประกอบการด าเนนการตามแผนฉกเฉน• ทบทวนแผนและทดสอบการปฏบตตามแผนปละครง• มศนยคอมพวเตอรส ารองททดแทนศนยคอมพวเตอรหลกได

09

ผใหบรการภายนอกทอาจเขาถงขอมลส าคญของ สง.

การบรหารจดการผใหบรการภายนอก

• ผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ ตามประกาศ IT Outsourcing • ผใหบรการภายนอกอน • พนธมตรทางธรกจ เชน banking agent / FinTech ทมการเชอมโยง API กบขอมลของ สง.

• สญญาหรอขอตกลงตองระบหนาท ความรบผดชอบ เงอนไขในการใหบรการทเกยวของกบขอมลทส าคญ ความรบผดชอบตอการรวไหลของขอมล เชน การท าลายขอมลของ สง. / ลกคา เมอสนสดสญญาหรอเลกใชบรการ

• ค านงถงความตอเนองในการด าเนนธรกจของ สง. ขอจ ากดในการเปลยนแปลง / ยกเลกสญญา และพรอมรบการเปลยนแปลงดาน IT

18

การบรหารจดการผใหบรการภายนอก / พนธมตรทางธรกจ• จดท าสญญา / ขอตกลงในการใหบรการ• ตองค านงถงความตอเนองและขอจ ากดเมอมการเปลยน / ยกเลก

10

IT Risk Management – มการบรหารความเสยงอยางมประสทธภาพตาม IT risk management policy ทก าหนด

• ปฏบตตามกฎหมาย / หลกเกณฑทเกยวกบ IT เชน พ.ร.บ. ธรกรรมทางอเลกทรอนกส และ พ.ร.บ. ระบบการช าระเงน

IT compliance

การประเมนความเสยง (risk assessment)• ระบความเสยง (risk identification) : ระบความเสยง ภยคกคาม และชองโหวทส าคญ• วเคราะหความเสยง (risk analysis) : เขาใจและวเคราะหความเสยง เพอหาแนวทางจดการทเหมาะสม• ประเมนคาความเสยง (risk evaluation) : ประเมนโอกาสและผลกระทบตอการปฏบตงานและการด าเนนธรกจ

*** มการทบทวนระเบยบวธปฏบตและกระบวนการการบรหารความเสยงดาน IT อยางนอยปละ 1 ครง และทกครงทเปลยนแปลง ***

19

2nd line : IT Risk Management and Compliance

การจดการความเสยง (risk treatment)• มแนวทางในการจดการ ควบคม และปองกนความเสยงทเหมาะสม สอดคลองกบผลการประเมนความเสยง

การตดตามและทบทวนความเสยง (risk monitoring and review)• ตดตามและทบทวนความเสยง ใหอยในระดบความเสยงทยอมรบได (risk appetite)

การรายงานความเสยง (risk reporting)• รายงานผลการบรหารความเสยงและแนวโนมของความเสยงตอคณะกรรมการ สง.

IT Risk Management

IT Compliance

1.3

1.4

โครงสรางและหนาทในการดแลความเสยงดาน IT

IT Audit – มการตรวจสอบการปฏบตงานของ IT operation (1st line) และ IT risk management (2rd line)

ตองมความร ประสบการณ ความเชยวชาญ และ มความเปนอสระจากหนวยงานทท าหนาทปฏบตงานและบรหารความเสยง

ผตรวจสอบดาน IT

การตรวจสอบ

- ตรวจสอบดาน IT ตามแผนงานและขอบเขต อยางนอยปละ 1 ครง และเมอมเหตการณผดปกตทมนยส าคญ- ประเมนความมนคงปลอดภยในการใช IT อยางนอยทก 3 ป โดยผเชยวชาญภายนอกทมความเปนอสระ

รายงานการตรวจสอบ

จดท ารายงานผลการตรวจสอบเสนอตอคณะกรรมการตรวจสอบ และจดเกบให ธปท. ตรวจสอบหากรองขอ

แผนงานและขอบเขตการตรวจสอบ

สอดคลองกบความส าคญและความเสยงของการใช IT และ IT risk management policy โดยทบทวนอยางนอยปละ 1 ครง

ตดตามประเดนจากการตรวจสอบ และรายงานประเดนส าคญใหกบคณะกรรมการตรวจสอบและฝายงานทเกยวของ

การตดตามประเดนการตรวจสอบ

20

โครงสรางและหนาทในการดแลความเสยงดาน IT

3rd line : IT AuditIT Audit

1.5

ประเมนความจ าเปนและประโยชนทคาดวาจะไดรบ

จดล าดบความส าคญของโครงการ

จดล าดบความส าคญของโครงการ และเสนอขออนมตตอคณะกรรมการ สง. / คณะกรรมการทไดรบมอบหมาย / ผบรหารระดบสง

จดท ากรอบการบรหารโครงการ (IT project management framework)

Project manager

Project management office (PMO)

คณะกรรมการก ากบดแลโครงการ

ประเมนความเสยงและผลกระทบทอาจเกดขนตอฝายงานอนและระบบทเกยวของ และเลอกใชเทคโนโลยทเหมาะสม

บรหารจดการโครงการแตละโครงการ

ตดตามความคบหนาและรายงานความคบหนาของโครงการตอคณะกรรมการ สง. / คณะกรรมการก ากบดแลโครงการ /

ผบรหารระดบสง

ก ากบดแลความคบหนา ใหค าแนะน า พจารณาตดสนใจการด าเนนงานของโครงการทส าคญ

21

IT Project Management : การบรหารจดการโครงการดาน IT1.6

การก ากบดแลความเสยงดาน IT1

แผนการเปลยนแปลงการใชเทคโนโลยทมผลกระทบหรอมความเสยงอยางมนยส าคญ

รายละเอยดการใชเทคโนโลย การบรหารความเสยง

การคมครองลกคา แผนฉกเฉนดาน IT+

หยดใหบรการระบบชวคราว (Planned downtime)

เกดเหตการณท IT ทส าคญเกดปญหา / ขดของ สงผลกระทบตอผใชบรการในวงกวาง หรอเกดเหตการณท IT ทส าคญ ถกโจมตหรอถกขโจมต เชน การแพรกระจายไวรส / DDos attack / Web defacement

ยนขออนญาตมายง ธปท. กอนเปลยนแปลงการใชเทคโนโลย

รายงานทนทเมอเกด / รบรเหตการณ โดยสามารถแจงสาเหตและการแกไขปญหาเพมเตมภายหลงได

รายงานแผนหยด / ปดระบบลวงหนา 15 วน

22

การรายงานปญหาหรอเหตการณผดปกตจากการใช IT2

การขออนญาตกรณเปลยนแปลงการใชเทคโนโลยอยางมนยส าคญ3

23

1 มกราคม 2561

วนทมผลบงคบใช

• หาก สง. ไมสามารถปฏบตตามหลกเกณฑได ใหยนขอผอนผนมาเปนรายกรณ พรอมแสดงเหตผลและความจ าเปน และแผนการด าเนนการเพอใหปฏบตตามหลกเกณฑได

การขอผอนผนการปฏบตตามหลกเกณฑ4

24

สามารถสงความเหนมายงทมกลมธรกจและนวตกรรม

ฝายนโยบายการก ากบสถาบนการเงน

e-mail : CS&FITeam@bot.or.th

ภายในวนท 31 ส.ค. 2560