2

ฝนสป00-คส50001-25621001

นอกจากน ธนาคารแหงประเทศไทยไดรวมการก ากบดแลผใชบรการภายนอกดานงานเทคโนโลยสารสนเทศในการประกอบธรกจ ( IT Outsourcing) ใหอยภายใตหลกเกณฑฉบบน โดยม Guideline ใหสถาบนการเงนใชเปนแนวทางในการปฏบตในกรณทมการใชบรการ การเชอมตอ หรอการเขาถงขอมลจากบคคลภายนอก เชน พนธมตรทางธรกจ ดวย

2. อ านาจตามกฎหมาย

อาศยอ านาจตามความในมาตรา 41 มาตรา 47 มาตรา 71 แหงพระราชบญญตธรกจสถาบนการเงน พ.ศ. 2551 ธนาคารแหงประเทศไทยออกหลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ (Information Technology Risk) ของสถาบนการเงน ใหสถาบนการเงน ถอปฏบตตามทก าหนดในประกาศน

3. ประกาศทยกเลก

3.1 ประกาศธนาคารแหงประเทศไทย ท สนส. 19/2560 เรอง หลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ (Information Technology Risk) ของสถาบนการเงน ลงวนท 20 ธนวาคม 2560

3.2 ประกาศธนาคารแหงประเทศไทย ท สนส. 19/2559 เรอง การใชบรการจาก ผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ (IT Outsourcing) ในการประกอบธรกจของสถาบนการเงน ลงวนท 28 ธนวาคม 2559

4. ขอบเขตการบงคบใช

ประกาศนใหใชบงคบกบสถาบนการเงนตามกฎหมายวาดวยธรกจสถาบนการเงนทกแหง

5. เนอหา

5.1 ค าจ ากดความ

“เทคโนโลยสารสนเทศ” (Information Technology : IT) หมายความวา เทคโนโลยสารสนเทศทน ามาใชด าเนนธรกจ ซงครอบคลมถง ขอมล ระบบปฏบตการ (operating system) ระบบงาน (application system) ระบบฐานขอมล (database system) อปกรณคอมพวเตอร (computer hardware) และระบบเครอขายสอสาร (communication) เปนตน

“ความเสยงดานเทคโนโลยสารสนเทศ” (Information Technology Risk : IT risk) หมายความวา ความเสยงทอาจเกดขนจากการใชเทคโนโลย ซงจะมผลกระทบตอระบบหรอการปฏบตงานของสถาบนการเงน รวมถงความเสยงทเกดจากภยคกคามทางไซเบอร (cyber threat)

“คณะกรรมการของสถาบนการเงน” หมายความวา คณะกรรมการของสถาบนการเงนทจดทะเบยนในประเทศไทย หรอคณะผบรหารทมอ านาจหนาทรบผดชอบทเกยวของของสาขาของธนาคารพาณชยตางประเทศ

3

ฝนสป00-คส50001-25621001

“บคคลภายนอก” หมายความวา บคคลหรอนตบคคลภายนอก ซงเปนผใหบรการดานเทคโนโลยสารสนเทศ หรอเปนผทมการเชอมตอกบระบบเทคโนโลยสารสนเทศของสถาบนการเงน หรอเปนผทสามารถเขาถงขอมลส าคญของสถาบนการเงนหรอขอมลของลกคาทควบคมดแลโดยสถาบนการเงนได โดยกรณของสาขาของธนาคารพาณชยตางประเทศใหรวมถงส านกงานใหญหรอสาขาอนในตางประเทศทเปนนตบคคลเดยวกนดวย ทงน บคคลภายนอกไมครอบคลมถงลกคาทใชผลตภณฑและบรการของสถาบนการเงน

“บรษทในกลมธรกจเดยวกน” หมายความวา บรษทในกลมธรกจทางการเงน ตามประกาศธนาคารแหงประเทศไทยวาดวยหลกเกณฑการก ากบดแลโครงสรางและขอบเขตธรกจของกลมธรกจทางการเงน

“บรษททมความเกยวของ” หมายความวา บรษทแม บรษทลก และบรษทรวมของสถาบนการเงน

5.2 หลกการ

สถาบนการเงนมหนาทเกยวกบการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ (IT risk) ดงน

5.2.1 ดแลและบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ รวมถงโครงการดานเทคโนโลยสารสนเทศ อยางมประสทธภาพและรดกม ภายใตกรอบหลกการทส าคญ 3 ประการ คอ (1) การรกษาความลบของระบบและขอมล (confidentiality) (2) ความถกตองเชอถอไดของระบบและขอมล (integrity) และ (3) ความพรอมใชงานของเทคโนโลยสารสนเทศ (availability) โดยอยบนพนฐานของการคมครองขอมลและรกษาผลประโยชนของลกคา

5.2.2 ก ากบดแลความเสยงดานเทคโนโลยสารสนเทศใหสอดคลองกบลกษณะการด าเนนธรกจ ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศ และความเสยงทเกยวของ เชน ความเสยงดานปฏบตการ ความเสยงดานกลยทธ ความเสยงดานชอเสยง และความเสยงดานกฎหมาย

รวมถงใหความส าคญกบการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศโดยถอเปนสวนหนงของการบรหารความเสยงในภาพรวมของสถาบนการเงน (Enterprise Risk Management : ERM)

5.2.3 มโครงสรางการก ากบดแลในภาพรวมทเออตอการบรหารความเสยงดานเทคโนโลยสารสนเทศอยางเหมาะสม และสอดคลองตามหลกการแบงแยกหนาทความรบผดชอบ 3 ระดบ (three lines of defence)

ทงน กรณทสถาบนการเงนมโครงสรางการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศแบบรวมศนยส าหรบบรษทในกลมธรกจเดยวกนหรอบรษททมความเกยวของ การพจารณาโครงสรางการก ากบดแลตามหลกการแบงแยกหนาทความรบผดชอบ 3 ระดบ (three lines of defence) ใหพจารณาโดยดจากภาพรวมทงหมดของกลมธรกจเดยวกนหรอบรษททมความเกยวของได อยางไรกด สถาบนการเงนและคณะกรรมการของสถาบนการเงนในประเทศไทยยงคงตองรบผดชอบตอการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศเสมอนสถาบนการเงนด าเนนการเอง

4

ฝนสป00-คส50001-25621001

5.3 หลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ

5.3.1 ธรรมาภบาลดานเทคโนโลยสารสนเทศ (IT governance)

(1) บทบาทหนาทและความรบผดชอบของคณะกรรมการของสถาบนการเงน

คณะกรรมการของสถาบนการเงนตองเขาใจและตระหนกถงความเสยงดานเทคโนโลยสารสนเทศทสงผลกระทบตอสถาบนการเงนและผทเกยวของ รวมทงมบทบาทหนาทและความรบผดชอบในการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศใหสอดรบกบระดบความเสยงทยอมรบได ซงอยางนอยตองครอบคลมการด าเนนการและการดแลดานตาง ๆ ดงตอไปน

(1.1) มการใชเทคโนโลยของสถาบนการเงนทสอดรบกบกลยทธการด าเนนธรกจ และมความยดหยนเพยงพอทจะรองรบการเปลยนแปลงตาง ๆ ในอนาคต

(1.2) มนโยบายและการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ ซงเปนหนงในความเสยงส าคญขององคกร (enterprise wide risk) ทงดานความปลอดภย ดานความถกตอง และดานความพรอมใช ใหอยในระดบความเสยงทยอมรบได ทงในภาวะปกตและภาวะวกฤต รวมทงดแลความเสยงโครงการดานเทคโนโลยสารสนเทศทมนยส าคญดวย

(1.3) มการสรางความรและความตระหนกรเรองความเสยงดานเทคโนโลยสารสนเทศแกกรรมการ ผบรหาร และพนกงานในองคกรอยางตอเนองและมประสทธผล

คณะกรรมการของสถาบนการเงนอาจมอบหมายใหคณะกรรมการชดอนหรอผบรหารระดบสงก ากบดแลความเสยงดานเทคโนโลยสารสนเทศได แตคณะกรรมการของสถาบนการเงนยงคงตองรบผดชอบในเรองดงกลาว

นอกจากน คณะกรรมการสถาบนการเงนตองมกรรมการอยางนอย 1 คน ทมความรหรอประสบการณดานเทคโนโลยสารสนเทศ (ตามประกาศธนาคารแหงประเทศไทย วาดวยธรรมาภบาลของสถาบนการเงน) ทงน เพอท าหนาทดานการก ากบดแลเทคโนโลยสารสนเทศ (IT governance)

(2) โครงสรางการก ากบดแล

(2.1) โครงสรางองคกร

สถาบนการเงนตองมโครงสรางองคกรทเออตอการบรหารความเสยงดานเทคโนโลยสารสนเทศทเหมาะสม และสอดคลองตามหลกการแบงแยกหนาทความรบผดชอบ 3 ระดบ (three lines of defence) โดยแบงแยกหนาทความรบผดชอบอยางชดเจนระหวางการท าหนาท (1) ปฏบตงานดานเทคโนโลยสารสนเทศ (2) บรหารความเสยงดานเทคโนโลยสารสนเทศ และก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ และ (3) ตรวจสอบดานเทคโนโลยสารสนเทศ นอกจากน สถาบนการเงนตองมการถวงดลอ านาจกนอยางอสระ โดยเฉพาะการท าหนาทตรวจสอบดานเทคโนโลยสารสนเทศตองมความเปนอสระจากการท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศและการท าหนาทบรหารความเสยงดานเทคโนโลยสารสนเทศและก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ

5

ฝนสป00-คส50001-25621001

(2.2) คณะกรรมการทท าหนาทก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ

สถาบนการเงนตองมคณะกรรมการ ดงตอไปน

(2.2.1) คณะกรรมการทท าหนาทบรหารจดการ และก ากบดแลการปฏบตงานดานเทคโนโลยสารสนเทศ เชน IT steering committee

(2.2.2) คณะกรรมการทท าหนาทก ากบดแลการบรหารความเสยงดานเทคโนโลยสารสนเทศ ใหเปนไปตามนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศทก าหนดไว

(2.2.3) คณะกรรมการทท าหนาทก ากบดแลใหมการตรวจสอบดานเทคโนโลยสารสนเทศ ซงครอบคลมถงการตรวจสอบการปฏบตงานดานเทคโนโลยสารสนเทศ การบรหารความเสยงดานเทคโนโลยสารสนเทศและการก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ

(2.3) การก าหนดผรบผดชอบในการบรหารจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงน

(2.3.1) ผบรหารทท าหนาทบรหารจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศ

สถาบนการเงนควรมผบรหารทท าหนาทบรหารจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT security) โดยบคคลดงกลาวตองเปนผท มความรหรอประสบการณดานเทคโนโลยสารสนเทศ การบรหารความมนคงปลอดภยดานเทคโนโลยสารสนเทศ และการรบมอกบภยคกคามทางไซเบอร

ทงน ผบรหารทท าหนาทดงกลาวควรมความเปนอสระจากงานดานการปฏบตงานดานเทคโนโลยสารสนเทศ ( IT operation) และงานดานพฒนาระบบเทคโนโลยสารสนเทศ (IT development) รวมทงควรมบทบาทหนาทและความรบผดชอบใหสถาบนการเงนด าเนนการเพอความมนคงปลอดภยดานเทคโนโลยสารสนเทศ อยางนอยดงน

- มนโยบาย มาตรฐาน และแนวทางการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ และการรบมอภยคกคามทางไซเบอร รวมทงดแลใหมการปฏบตตามนโยบาย มาตรฐาน และแนวทางทก าหนด

- มขอก าหนดดานความมนคงปลอดภย (security specification) และสถาปตยกรรมดานความมนคงปลอดภย (IT security architecture)

- บรหารจดการความเสยงดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศและดานภยคกคามทางไซเบอรใหสอดรบกบความเสยงทองคกรม และน าเสนอความเสยงดงกลาวตอคณะกรรมการสถาบนการเงนเปนวาระประจ า

- ดแลและด าเนนการใหสถาบนการเงนมความพรอมในการรบมอภยคกคามทางไซเบอร

6

ฝนสป00-คส50001-25621001

- ดแลและด าเนนการใหบคลากรในองคกรมความรและความตระหนกรเรองความเสยง การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ ดานภยคกคามทางไซเบอร

(2.3.2) ผบรหารระดบสงทท าหนาทบรหารจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศ

ธนาคารพาณชยทมนยตอความเสยงเชงระบบ ในประเทศ (Domestic Systemically Important Banks: D-SIBs) หรอสถาบนการเงนทมความเสยงตงตนทางไซเบอร (cyber inherent risk) ในระดบสง ตามกรอบการประเมนความพรอมดาน cyber resilience ภายใตหลกเกณฑธนาคารแหงประเทศไทยวาดวยการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ (Information Technology Risk) ของสถาบนการเงน นอกจากตองจดใหมผบรหารทท าหนาทบรหารจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศตามขอ 5.3.1 (2.3.1) แลว ตองจดใหมผบรหารระดบสงทท าหนาทบรหารจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงน (Chief Information Security Officer : CISO) ภายใน 1 ปนบจากวนทเขาเงอนไขดงกลาวดวย

ทงน ผบรหารระดบสงทท าหนาทดงกลาวควรเปนอสระจากงานดานการปฏบตงานเทคโนโลยสารสนเทศ (IT operation) และงานดานพฒนาระบบเทคโนโลยสารสนเทศ (IT development) และมอ านาจหนาท (authority) เพยงพอ ในการปฏบตงานในหนาท CISO ไดอยางมประสทธภาพและประสทธผล โดยสามารถด าเนนการอยางนอย ดงน

- รายงานปญหาหรอเหตการณทมนยส าคญดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศและดานภยคกคามทางไซเบอรตอผบรหารในต าแหนงสงสด คณะกรรมการของสถาบนการเงนและคณะกรรมการทเกยวของโดยตรง

- ใหความเหนดานภยคกคามไซเบอรและการบรหารจดการความเสยงดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศตอคณะกรรมการของสถาบนการเงน คณะกรรมการทเกยวของกบการบรหารจดการและก ากบดแลการปฏบตงานดานเทคโนโลยสารสนเทศ เชน IT steering committee หรอ IT risk committee และรวมตดสนใจด าเนนการในเรองความมนคงปลอดภยดานเทคโนโลยสารสนเทศ และดานภยคกคามทางไซเบอรทกระทบตอสถาบนการเงนอยางมนยส าคญ

(3) การบรหารจดการบคลากร

สถาบนการเงนตองบรหารจดการบคลากรทท าหนาทปฏ บตงานดานเทคโนโลยสารสนเทศ บรหารความเสยงดานเทคโนโลยสารสนเทศและก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ และตรวจสอบดานเทคโนโลยสารสนเทศ รวมถงบคลากรทใชเทคโนโลยในการปฏบตงานประจ าวน (user) อยางเหมาะสม โดยตองค านงถงความรความสามารถของบคลากร ปรมาณงาน และการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ โดยสถาบนการเงนตองมการด าเนนการอยางนอยในเรองดงตอไปน

7

ฝนสป00-คส50001-25621001

(3.1) การบรหารจดการบคลากรทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศ บรหารความเสยงดานเทคโนโลยสารสนเทศและก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ และตรวจสอบดานเทคโนโลยสารสนเทศ ตองครอบคลม ในเรองกระบวนการคดเลอกบคลากรทมความรหรอประสบการณเพยงพอในการปฏบตหนาท ความเพยงพอของบคลากรทสอดคลองกบปรมาณการใชเทคโนโลย และมาตรการในการสรางและสงเสรมความตระหนกถงความเสยงดานเทคโนโลยสารสนเทศ

(3.2) ขอก าหนดหรอเงอนไขในสญญาจางงานของบคลากรควรระบเรองความรบผดชอบเกยวกบการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงนอยางชดเจน เพอปองกนการรวไหลของขอมลหรอความเสยหายทอาจเกดขนตอทรพยสนดานเทคโนโลยสารสนเทศของสถาบนการเงน

(3.3) การบรหารจดการสทธของบคลากรทเกยวของกบเทคโนโลยสารสนเทศ โดยตองปรบปรงใหเปนปจจบน โดยเฉพาะเมอมการเปลยนแปลงต าแหนงงานหรอสนสด การจางงาน รวมทงตองสอสารใหผทเกยวของทราบถงการเปลยนแปลงดงกลาว

(4) การสงเสรมใหบคลากรตระหนกถงความเสยงดานเทคโนโลยสารสนเทศ (IT risk awareness)

สถาบนการเงนตองสอสารและใหความรแกบคลากรทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศ บรหารความเสยงดานเทคโนโลยสารสนเทศและก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ และตรวจสอบดานเทคโนโลยสารสนเทศ รวมถงบคลากรทใชเทคโนโลยในการปฏบตงานประจ าวนอยางเพยงพอและเหมาะสม เพอใหบคลากรเขาใจและตระหนกถงความส าคญของความเสยงดานเทคโนโลยสารสนเทศและการใชเทคโนโลยอยางปลอดภย เชน การจดอบรมใหความรแกบคลากรเกยวกบการใชงานอปกรณคอมพวเตอรทเชอมตอกบอนเทอรเนตทถกตอง และการซกซอมแผนเพอเตรยมความพรอมรบมอกบการโจมตทางไซเบอร

(5) นโยบายทเกยวของกบการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ

(5.1) สถาบนการเงนตองม (1) นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT security policy) และ (2) นโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ (IT risk management policy) ทเปนลายลกษณอกษร และอยภายใตกรอบหลกการทส าคญ 3 ประการ คอ (1) การรกษาความลบของระบบและขอมล (confidentiality) (2) ความถกตองเชอถอไดของระบบและขอมล (integrity) และ (3) ความพรอมใชงานของเทคโนโลยสารสนเทศ (availability) หรอ CIA โดยนโยบายดงกลาวตองสอดคลองกบกลยทธของสถาบนการเงนในการน าเทคโนโลยสารสนเทศมาใชด าเนนธรกจและนโยบายการบรหารความเสยงของสถาบนการเงน รวมทงสอดคลองกบแนวทาง การบรหารความเสยงและการรกษาความมนคงปลอดภยตามมาตรฐานสากลหรอมาตรฐานทไดรบการยอมรบโดยทวไป

นอกจากน การก าหนดนโยบายดงกลาวตองค านงถงลกษณะการด าเนนธรกจ ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศ และความเสยงทเกยวของ รวมทง

8

ฝนสป00-คส50001-25621001

ความเสยงจากการใชเทคโนโลยภายในองคกรและความเสยงจากกรณมการใชบรการ เชอมตอ หรอเขาถงขอมลจากบคคลภายนอก ดวย

(5.2) สถาบนการเงนตองทบทวนนโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศและนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ อยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ เชน กรณทมการเปลยนแปลงของระบบเทคโนโลยสารสนเทศ ความเสยง มาตรฐานสากล อยางมนยส าคญ

5.3.2 การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT security)

เพอใหสถาบนการเงนมการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศทมประสทธภาพ สถาบนการเงนตองน านโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศมาจดท าระเบยบวธปฏบตและกระบวนการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงน โดยครอบคลมอยางนอยในเรองดงตอไปน

(1) การบรหารจดการทรพยสนดานเทคโนโลยสารสนเทศ (IT asset management)

สถาบนการเงนตองบรหารจดการทรพยสนดานเทคโนโลยสารสนเทศทเหมาะสม โดยตองจดท าทะเบยนรายการทรพยสนดานเทคโนโลยสารสนเทศ เพอใหสามารถระบรายการทรพยสนดานเทคโนโลยสารสนเทศไดอยางครบถวน และสามารถน าไปใชก าหนดแนวทางการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศไดอยางเหมาะสม รวมถงตองบ ารงรกษาทรพยสนดานเทคโนโลยสารสนเทศอยางสม าเสมอ เพอใหมความพรอมใชงานและสามารถรองรบการด าเนนธรกจไดอยางตอเนอง

(2) การรกษาความมนคงปลอดภยของขอมล (information security)

สถาบนการเงนตองรกษาความมนคงปลอดภยของขอมล ทงการรบสงขอมลผานเครอขายสอสารและการจดเกบขอมลบนระบบงานและสอบนทกขอมลตาง ๆ จดชนความลบของขอมล (information classification) เกบรกษาและท าลายขอมลใหเหมาะสมกบชนความลบ รวมทงบรหารจดการการเขารหสขอมล (cryptography) ทเชอถอไดและเปนมาตรฐานสากล เพอรกษาความมนคงปลอดภยและความลบของขอมล

(3) การควบคมการเขาถง (access control)

สถาบนการเงนตองควบคมการเขาถงระบบปฏบตการ ระบบงาน และระบบฐานขอมล โดยก าหนดใหมการบรหารจดการสทธและตรวจสอบยนยนตวตนตามสทธทก าหนดไวตามความจ าเปนในการใชงานและระดบความเสยง เพอปองกนการเขาถงและเปลยนแปลงระบบหรอขอมลโดยผทไมมสทธหรอไมไดรบอนญาต

(4) การรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (physical and environmental security)

สถาบนการเงนตองรกษาความมนคงปลอดภยของศนยคอมพวเตอร สถานทปฏบตงานทเกยวของกบเทคโนโลยสารสนเทศ และพนททเกยวของกบเทคโนโลยสารสนเทศทส าคญ รวมทงมระบบการปองกนและกระบวนการบ ารงรกษาอปกรณคอมพวเตอร และระบบสาธารณปโภค

9

ฝนสป00-คส50001-25621001

(facilities) ทเกยวของกบเทคโนโลยสารสนเทศ เพอปองกนความเสยหายทอาจเกดขนจากการบกรกหรอจากภยธรรมชาต และใหมความพรอมใชงานสามารถรองรบการด าเนนธรกจอยางตอเนอง

(5) การรกษาความมนคงปลอดภยของระบบเครอขายสอสาร (communications security)

สถาบนการเงนตองรกษาความมนคงปลอดภยของระบบเครอขายสอสารของสถาบนการเงน เพอใหระบบเครอขายสอสารและขอมลทรบสงผานเครอขายสอสารมความมนคงปลอดภย และสามารถปองกนการบกรกหรอภยคกคามทอาจเกดขน

(6) การรกษาความมนคงปลอดภยในการปฏบตงานดานเทคโนโลยสารสนเทศ (IT operations security)

สถาบนการเงนตองรกษาความมนคงปลอดภยในการปฏบตงานดานเทคโนโลยสารสนเทศ โดยตองครอบคลมอยางนอยในเรองดงตอไปน

(6.1) การบรหารจดการขดความสามารถ (capacity management) ของระบบ และระบบสาธารณปโภค เชน การประเมนแนวโนมการใชทรพยากรดานเทคโนโลยสารสนเทศ เพอใหสามารถบรหารทรพยากรดานเทคโนโลยสารสนเทศไดอยางเพยงพอตอการรองรบการด าเนนธรกจและสามารถวางแผนการจดการเทคโนโลยสารสนเทศใหรองรบการใชงานในอนาคต

(6.2) การรกษาความมนคงปลอดภยของเครองแมขาย (server) และอปกรณทใชปฏบตงานของผใชเทคโนโลย (endpoint) เชน การตดตงโปรแกรมปองกนไวรสหรอระบบตรวจจบการแฝงตวของโปรแกรมไมประสงคด (malware) หรอการโจมตดวยรปแบบตาง ๆ เพอปองกนการรวไหลของขอมลหรอการเขาใชงานโดยไมไดรบอนญาต

(6.3) การส ารองขอมล (data backup) ดวยวธการและระยะเวลา ทเหมาะสม เชน การส ารองขอมลประจ าวน เพอใหมขอมลส ารองทมความพรอมใชงานในกรณทระบบและขอมลหลกเกดเหตขดของหรอไดรบความเสยหาย

(6.4) การจดเกบขอมลบนทกเหตการณ (logging) ของเครองแมขาย ระบบงาน และอปกรณเครอขายทส าคญ เชน การจดเกบและสอบทานบนทกการเขาถงระบบ (access log) และบนทกการด าเนนงาน (activity log) เพอใหสามารถตดตามและตรวจสอบการเขาถงและการใชงานระบบหรอขอมลและใชเปนหลกฐานการท าธรกรรมทางอเลกทรอนกสใหแกผใชบรการ

(6.5) การตดตามดแลระบบและเฝาระวงภยคกคาม (security monitoring) โดยมกระบวนการหรอเครองมอตรวจจบเหตการณผดปกตหรอภยคกคามทมผลกระทบตอความมนคงปลอดภยของระบบทส าคญ เชน เครองมอตดตามและวเคราะหภยคกคามทางไซเบอรอยางตอเนอง เพอใหสามารถตรวจจบ ปองกน และรบมอเหตการณผดปกตและภยคกคามไดอยางทนทวงท

(6.6) การบรหารจดการชองโหว (vulnerability management) ของระบบทเหมาะสมตามระดบความเสยง เพอใหทราบถงชองโหวและสามารถด าเนนการแกไขและปองกนภยคกคามทอาจเกดขนไดอยางทนการณ โดยสถาบนการเงนตองประเมนชองโหวของระบบงานส าคญทกระบบอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ เชน กรณทมการเปลยนแปลงของระบบเทคโนโลยสารสนเทศ ความเสยง มาตรฐานสากล อยางมนยส าคญ

10

ฝนสป00-คส50001-25621001

(6.7) การทดสอบเจาะระบบ (penetration test) โดยจดใหมผเชยวชาญภายในหรอภายนอกทมความเปนอสระท าหนาททดสอบเจาะระบบ โดยเฉพาะระบบงาน (application) และระบบเครอขาย (network) ทเชอมตอกบระบบเครอขายสอสารสาธารณะ (internet facing) สม าเสมออยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ เชน กรณทมการเปลยนแปลงของระบบเทคโนโลยสารสนเทศ ความเสยง มาตรฐานสากล อยางมนยส าคญ ทงน เพอใหทราบถงชองโหวและสามารถด าเนนการแกไขและปองกนภยคกคามทอาจเกดขนไดอยางทนการณ

(6.8) การบรหารจดการการเปลยนแปลง (change management) โดยจดใหมกระบวนการบรหารจดการการเปลยนแปลงและควบคมการเปลยนแปลงอยางรดกมและเพยงพอ เชน การน าระบบขนใชงานจรง (system deployment) การตงคาระบบ (system configuration) การตดตง patch เพอใหการเปลยนแปลงเปนไปตามวตถประสงคทก าหนดไวอยางถกตองครบถวน และปองกนการเปลยนแปลงโดยทไมไดรบอนญาต

(6.9) การบรหารจดการการตงคาระบบ (system configuration management) โดยมกระบวนการควบคมการตงคาของระบบทใชงานจรง และมการสอบทานการ ตงคาอยางสม าเสมอ เพอปองกนขอผดพลาดในการปฏบตงาน

(6.10) การบรหารจดการ patch (patch management) โดยมกระบวนการควบคมการตดตง patch ของระบบทใชงานจรง เพอใหสามารถตดตง patch ทส าคญในการรกษาความมนคงปลอดภยไดอยางทนการณ

(7) การจดหาและการพฒนาระบบ (system acquisition and development)

(7.1) การจดหาระบบ (system acquisition)

สถาบนการเงนตองก าหนดหลกเกณฑทชดเจนและเหมาะสมในการคดเลอกระบบและบคคลภายนอกทเปนผใหบรการ เชน ความนาเชอถอของระบบและผใหบรการท ไดรบการรบรองตามมาตรฐานสากลหรอมาตรฐานดานเทคโนโลยสารสนเทศทเกยวของทไดรบการยอมรบโดยทวไป (certificate) ความมนคงปลอดภยของระบบ การสนบสนนและการบ ารงรกษาระบบ เพอใหมนใจวาระบบและผใหบรการสามารถตอบสนองตอความตองการในการด าเนนธรกจของสถาบนการเงนได รวมถงตองค านงถงความยดหยนในการเปลยนแปลงผใหบรการ การเปลยนแปลงเทคโนโลย หรอการเปลยนแปลงกลยทธในการด าเนนธรกจในอนาคต

(7.2) การพฒนาระบบ (system development)

สถาบนการเงนตองออกแบบ พฒนา และทดสอบระบบ เพอใหมนใจวาระบบมความถกตอง มนคงปลอดภย เชอถอได พรอมใชงาน และมความยดหยนเพยงพอ ทจะรองรบการปรบปรงเปลยนแปลงระบบในอนาคต โดยสถาบนการเงนตองด าเนนการอยางนอยในเรองดงตอไปน

- มเอกสารรายละเอยดคณสมบตทางเทคนค (technical specification) โดยครอบคลมถงเรองการรกษาความมนคงปลอดภย ซงรวมถงกระบวนการทดสอบ การดแล และการตดตามความมนคงปลอดภยในการใชงาน

11

ฝนสป00-คส50001-25621001

- มกระบวนการหรอเครองมอควบคมเวอรชนของค าสงเขยนโปรแกรม (source code version control)

- แบงแยกบทบาทหนาทและความรบผดชอบของผทเกยวของในกระบวนการพฒนาระบบ เชน การแบงแยกระหวางผพฒนาระบบและผน าระบบขนใชงานจรง

- แบงแยกสภาพแวดลอมของระบบงานทใชส าหรบการพฒนา (development) และการทดสอบ (testing) ออกจากระบบงานทใหบรการจรง (production)

- ทดสอบระบบกอนการใชงานจรง เชน ทดสอบการท างานของแตละระบบ (unit test) ทดสอบการท างานรวมกนของระบบตาง ๆ (system integration test) ทดสอบความพรอมใชงานตามกระบวนการและความตองการของผใชงาน (user acceptance test) และทดสอบความปลอดภยของระบบ (security test) ตามกระบวนการรกษาความมนคงปลอดภย ทก าหนดในเอกสารรายละเอยดคณสมบตทางเทคนค (technical specification)

- พฒนาหรอการเปลยนแปลงระบบทเกยวของกบการใหบรการหรอการท าธรกรรมทางอเลกทรอนกส โดยสถาบนการเงนตองทดสอบประสทธภาพ (performance test) เมอมการพฒนาหรอการเปลยนแปลงระบบทเกยวของกบการใหบรการหรอการท าธรกรรมทางอเลกทรอนกส

- มแนวทางควบคมการรกษาความมนคงปลอดภยและความลบของขอมลส าคญทน าไปใชทดสอบระบบ

- จดท าคมอและอบรมผใชงานระบบและผดแลระบบ

(8) การบรหารจดการเหตการณผดปกตและปญหา (IT incident and problem management)

สถาบนการเงนตองบรหารจดการเหตการณผดปกตและปญหาทเกดจากการใชเทคโนโลยอยางเหมาะสมและทนทวงท โดยบนทก วเคราะห และรายงานเหตการณผดปกต ปญหา และการแกไข ใหคณะกรรมการทไดรบมอบหมาย หรอผบรหารระดบสงทไดรบมอบหมาย ในระยะเวลาทเหมาะสม นอกจากน สถาบนการเงนตองวเคราะหสาเหตทแทจรง (root cause) ของปญหา เพอหาแนวทางแกไขจากสาเหตทแทจรง และปองกนไมใหเกดเหตการณผดปกตซ าในอนาคต

(9) การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ

(9.1) สถาบนการเงนตองมคณะท างานหรอหนวยงานทรบผดชอบในการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ (IT Disaster Recovery Plan : IT DRP) อยางเปนลายลกษณอกษร โดยแผนดงกลาวตองเปนไปตามนโยบายทก าหนด และไดรบอนมตจากคณะกรรมการทไดรบมอบหมาย

(9.2) การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ สถาบนการเงนตองค านงถงลกษณะการด าเนนธรกจ ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศ ความมนคงปลอดภยดานเทคโนโลยสารสนเทศ และความเสยงทเกยวของ เชน ความเสยงดานปฏบตการ (operational

12

ฝนสป00-คส50001-25621001

risk) ความเสยงดานชอเสยง (reputational risk) ความเสยงจากการพงพาองคกรอนในการด าเนนธรกจ (interdependency risk) ความเสยงจากการกระจกตวของระบบงานหรอทรพยากรทส าคญ (concentration risk) และความเสยงทมผลกระทบตอระบบสถาบนการเงน (systemic risk) เปนตน

(9.3) แผนฉกเฉนดานเทคโนโลยสารสนเทศตองมความเปนไปไดในทางปฏบต สามารถน ามาใชรองรบความเสยหายทเกดขนไดจรง และสอดคลองกบแนวปฏบตของธนาคารแหงประเทศไทย เรอง การบรหารความตอเนองทางธรกจ (Business Continuity Management : BCM) และการจดท าแผนรองรบการด าเนนธรกจอยางตอเนอง (Business Continuity Plan : BCP) โดยการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศควรครอบคลมถงการก าหนดระยะเวลาในการกคนระบบ (Recovery Time Objective : RTO) และระยะเวลาสงสดทยอมใหขอมลเสยหาย (Recovery Point Objective : RPO) ทสอดคลองกบความส าคญของระบบ รวมทงการก าหนดระยะเวลาสงสดทยอมใหธรกจหยดชะงก (Maximum Tolerance Period of Disruption : MTPD) เพอรองรบการด าเนนธรกจอยางตอเนองของสถาบนการเงน

(9.4) สถาบนการเงนตองมคมอหรอเอกสารประกอบการด าเนนการตามแผนฉกเฉนดานเทคโนโลยสารสนเทศ รวมทงประชาสมพนธและฝกอบรมเพอใหพนกงานทกคนทมสวนเกยวของกบการด าเนนการตามแผนฉกเฉนดานเทคโนโลยสารสนเทศมความเขาใจและสามารถปฏบตตามแผนดงกลาวได

(9.5) สถาบนการเงนตองทบทวนและทดสอบการปฏบตตามแผนฉกเฉนดานเทคโนโลยสารสนเทศอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ

(9.6) สถาบนการเงนตองมศนยคอมพวเตอรส ารอง (disaster recovery site) ทมความพรอมใชงานและสามารถปฏบตงานทดแทนไดเมอศนยคอมพวเตอรหลก (primary site) หยดชะงก โดยศนยคอมพวเตอรส ารองควรอยหางจากศนยคอมพวเตอรหลกเพยงพอทจะมใหเกดปญหาหรอไดรบผลกระทบในลกษณะเดยวกนในชวงเวลาเดยวกน เชน ระบบไฟฟาขดของ และภยธรรมชาต

(10) การบรหารจดการความเสยงจากบคคลภายนอก (third party risk management)

ในกรณทสถาบนการเงนใชบรการงานดานเทคโนโลยสารสนเทศจากบคคลภายนอก (IT Outsourcing) หรอเชอมตอระบบเทคโนโลยสารสนเทศกบบคคลภายนอก หรอกรณทบคคลภายนอกสามารถเขาถงขอมลส าคญของสถาบนการเงนหรอขอมลของลกคาทควบคมดแลโดยสถาบนการเงนได เชน การใชบรการศนยคอมพวเตอรและงานดานดแลระบบประมวลผล การใชบรการ cloud computing จากผใหบรการภายนอก การเชอมตอระบบเทคโนโลยสารสนเทศกบพนธมตรทางธรกจเพอใหบรการรวมกน การเชอมตอกบผใหบรการเครอขายสาธารณะ หรอผใหบรการระบบช าระเงนกลาง สถาบนการเงนตองมการก ากบดแลความเสยง กระบวนการบรหารความเสยงและการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ และการรกษาความปลอดภยจากภยไซเบอร สอดคลองตามระดบความเสยงและระดบความมนยส าคญ บนพนฐานทสถาบนการเงนตองรบผดชอบตอการด าเนนธรกจและการใหบรการแกลกคาและคงไวซงความนาเชอถอ ชอเสยง ประสทธภาพในการใหบรการ ตามหลกการดงน

13

ฝนสป00-คส50001-25621001

(10.1) ก าหนดบทบาท หนาท และความรบผดชอบระหวางสถาบนการเงนและบคคลภายนอกอยางชดเจนและเปนลายลกษณอกษร รวมทงควรระบเงอนไขใหธนาคารแหงประเทศไทยมสทธเขาตรวจสอบการด าเนนงานของบคคลภายนอกดวย

(10.2) ก ากบดแล ตดตาม และบรหารจดการความเสยงจากการใชบรการ การเชอมตอ หรอการเขาถงขอมลจากบคคลภายนอก สอดคลองตามระดบความเสยงและระดบความมนยส าคญ และความเสยงจากการใชบรการดานเทคโนโลยสารสนเทศจากผใหบรการรายเดยวกน

(10.3) รกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ ทสอดคลองกบมาตรฐานการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงน และอางองมาตรฐานสากลทยอมรบโดยทวไป รวมถงมการรกษาความปลอดภยจากภยไซเบอรตามมาตรฐานสากลทยอมรบโดยทวไป

(10.4) เตรยมความพรอมรบมอตอเหตการณทอาจเกดขนและมผลกระทบตอสถาบนการเงนอยางมนยส าคญ เพอใหสามารถด าเนนธรกจไดอยางตอเนอง รวมถงการมขอมลพรอมใชส าหรบการด าเนนธรกจและการใหบรการแกลกคา

ทงน แนวทางการบรหารจดการความเสยงบคคลภายนอกเปนไปตามแนวปฏบตของธนาคารแหงประเทศไทยวาดวยการบรหารจดการความเสยงจากบคคลภายนอก (Third Party Risk Management Implementation Guideline)

5.3.3 การบรหารความเสยงดานเทคโนโลยสารสนเทศ (IT risk management)

เพอใหสถาบนการเงนสามารถบรหารความเสยงดานเทคโนโลยสารสนเทศไดอยางมประสทธภาพและตอเนอง สถาบนการเงนตองก าหนดนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศใหครอบคลมเรองโครงสรางองคกรและบทบาทหนาทของผทเกยวของในการบรหารความเสยงดานเทคโนโลยสารสนเทศ และตองน านโยบายดงกลาวมาจดท าระเบยบวธปฏบตและกระบวนการในการบรหารความเสยงดานเทคโนโลยสารสนเทศของสถาบนการเงน โดยครอบคลมอยางนอยในเรองดงตอไปน

(1) การประเมนความเสยง (risk assessment)

(1.1) การระบความเสยง (risk identification)

สถาบนการเงนตองระบถงความเสยงดานเทคโนโลยสารสนเทศ ซงรวมถงความเสยงจากภยคกคามทางไซเบอร และชองโหวตาง ๆ โดยความเสยงดงกลาวอาจมสาเหต มาจากกระบวนการปฏบตงาน ระบบงาน บคลากร หรอปจจยภายนอก

(1.2) การวเคราะหความเสยง (risk analysis)

สถาบนการเงนตองเขาใจและวเคราะหความเสยงดานเทคโนโลยสารสนเทศ เพอหาแนวทางในการจดการความเสยงทเหมาะสม

(1.3) การประเมนคาความเสยง (risk evaluation)

14

ฝนสป00-คส50001-25621001

สถาบนการเงนตองประเมนถงโอกาสทความเสยงดานเทคโนโลยสารสนเทศจะเกดขนและผลกระทบตอการปฏบตงานและการด าเนนธรกจ รวมถงก าหนดระดบความเสยงดานเทคโนโลยสารสนเทศทยอมรบได (IT risk appetite)

(2) การจดการความเสยง (risk treatment)

สถาบนการเงนตองมแนวทางจดการ ควบคม และปองกนความเสยงทเหมาะสมสอดคลองกบผลการประเมนความเสยงดานเทคโนโลยสารสนเทศ เพอใหความเสยงทเหลออย (residual risk) อยในระดบความเสยงดานเทคโนโลยสารสนเทศทยอมรบได โดยตองค านงถงความสมดลระหวางตนทนในการปองกนความเสยงและผลประโยชนทคาดวาจะไดรบ

นอกจากน สถาบนการเงนตองก าหนดดชนชวดความเสยงดานเทคโนโลยสารสนเทศทส าคญ (IT key risk indicators) ทเกยวของกบการด าเนนธรกจ ใหสอดคลองกบความส าคญของเทคโนโลยสารสนเทศแตละงาน เพอใชตดตามและทบทวนความเสยง

(3) การตดตามและทบทวนความเสยง (risk monitoring and review)

สถาบนการเงนตองมกระบวนการทมประสทธภาพในการตดตามและทบทวนความเสยงดานเทคโนโลยสารสนเทศ เพอใหอยภายใตระดบความเสยงดานเทคโนโลยสารสนเทศทยอมรบไดทก าหนดไว

(4) การรายงานความเสยง (risk reporting)

สถาบนการเงนตองรายงานระดบความเสยงและผลการบรหารความเสยงดานเทคโนโลยสารสนเทศ ตอคณะกรรมการทไดรบมอบหมายเปนประจ า เชน ตามรอบการประชมของคณะกรรมการ

ทงน สถาบนการเงนตองทบทวนระเบยบวธปฏบตและกระบวนการบรหารความเสยงดานเทคโนโลยสารสนเทศ อยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ เชน กรณทมการเปลยนแปลงของระบบเทคโนโลยสารสนเทศ ความเสยง มาตรฐานสากล อยางมนยส าคญ

5.3.4 การปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ (IT compliance)

สถาบนการเงนตองก ากบดแลใหปฏบตตามกฎหมายและหลกเกณฑทเกยวของดานเทคโนโลยสารสนเทศ (IT compliance) เชน กฎหมายวาดวยธรกรรมทางอเลกทรอนกส กฎหมายวาดวยการกระท าความผดเกยวกบคอมพวเตอร กฎหมายวาดวยระบบการช าระเงน เพอปองกนการฝาฝนหรอการไมปฏบตตามกฎหมายและหลกเกณฑของหนวยงานก ากบดแลทเกยวของ

5.3.5 การตรวจสอบดานเทคโนโลยสารสนเทศ (IT audit)

(1) สถาบนการเงนตองมผตรวจสอบดานเทคโนโลยสารสนเทศทมความร ประสบการณ และความเชยวชาญเกยวกบการตรวจสอบดานเทคโนโลยสารสนเทศ ซงอาจเปนผตรวจสอบภายใน ผตรวจสอบภายนอก หรอผเชยวชาญภายนอกทมความเปนอสระจากหนวยงานทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศและหนวยงานทท าหนาทบรหารความเสยงดานเทคโนโลยสารสนเทศและก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ

15

ฝนสป00-คส50001-25621001

(2) สถาบนการเงนตองมแผนงานและขอบเขตการตรวจสอบดานเทคโนโลยสารสนเทศทสอดคลองกบความส าคญและความเสยงของการใชเทคโนโลยของสถาบนการเงน และนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ โดยแผนงานและขอบเขตการตรวจสอบดงกลาวตองไดรบการอนมตจากคณะกรรมการตรวจสอบ และตองครอบคลมถงเทคโนโลยสารสนเทศทมนยส าคญของสถาบนการเงน รวมถงตองทบทวนแผนงานและขอบเขตการตรวจสอบดงกลาวโดยคณะกรรมการตรวจสอบอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ เชน กรณทมการเปลยนแปลงของระบบเทคโนโลยสารสนเทศ ความเสยง มาตรฐานสากล อยางมนยส าคญ

(3) สถาบนการเงนตองตรวจสอบดานเทคโนโลยสารสนเทศตามแผนงานและขอบเขตทก าหนดตามขอ 5.3.5 (2) โดยส าหรบงานดานเทคโนโลยสารสนเทศทมนยส าคญควรตรวจสอบอยางนอยปละ 1 ครง และเมอมเหตการณผดปกตในเทคโนโลยสารสนเทศทมนยส าคญ

(4) สถาบนการเงนตองมผเชยวชาญภายนอกทเปนอสระท าหนาทประเมนระบบหรอเทคโนโลยทส าคญ ซงสถาบนการเงนเหนวามความจ าเปนตองประเมน แตสถาบนการเงนมขอจ ากด หรอผตรวจสอบดานเทคโนโลยสารสนเทศของสถาบนการเงนตามขอ (1) ไมสามารถประเมนได เชน การประเมนระบบทมความซบซอนหรอใชเทคโนโลยใหม หรอการประเมนความสามารถของระบบ ในการปรบเปลยนเพอรองรบการท าธรกจของสถาบนการเงนในอนาคตภายใตสภาวะการเปลยนแปลง ทางเทคโนโลยทรวดเรว

(5) สถาบนการเงนตองจดท ารายงานผลการตรวจสอบดานเทคโนโลยสารสนเทศและเสนอผลการตรวจสอบดงกลาวตอคณะกรรมการตรวจสอบ ตลอดจนจดเกบรายงานผลการตรวจสอบดงกลาวไวทสถาบนการเงน พรอมไวส าหรบการตรวจสอบหรอเมอรองขอโดยธนาคารแหงประเทศไทย

(6) สถาบนการเงนตองตดตามใหมการปรบปรงประเดนจากการตรวจสอบดานเทคโนโลยสารสนเทศ และรายงานประเดนส าคญพรอมทงแผนการปรบปรงใหกบคณะกรรมการตรวจสอบและฝายงานทเกยวของ

5.3.6 การบรหารจดการโครงการดานเทคโนโลยสารสนเทศ (IT project management)

(1) สถาบนการเงนตองศกษาความจ าเปนและประโยชนทคาดวาจะไดรบส าหรบโครงการทน าเทคโนโลยสารสนเทศมาใชในการด าเนนธรกจกอนเรมโครงการ โดยตองพจารณาเลอกใชเทคโนโลยอยางเหมาะสม และประเมนความเสยงตลอดจนผลกระทบทอาจเกดขนกบฝายงานอนและระบบทเกยวของ รวมทงตองจดล าดบความส าคญของโครงการและน าเสนอขออนมตโครงการตอคณะกรรมการทไดรบมอบหมาย หรอผบรหารระดบสง ตามขอบเขตอ านาจอนมตทก าหนดไว

(2) สถาบนการเงนตองก าหนดกรอบการบรหารจดการโครงการ (project management framework) ทชดเจนเปนลายลกษณอกษร เพอใชเปนแนวทางบรหารจดการโครงการ (project management) โดยครอบคลมขนตอนตงแตการเรมโครงการ การด าเนนการและการควบคมโครงการ การปดโครงการ และการสอบทานโครงการ รวมทงตองก าหนดโครงสรางการควบคมและก ากบดแลโครงการทชดเจน (project governance) โดยอยางนอยตองก าหนดโครงสราง ดงตอไปน

16

ฝนสป00-คส50001-25621001

(2.1) คณะกรรมการทก ากบดแลโครงการ เพอท าหนาทก ากบดแล ความคบหนา ใหค าแนะน า และพจารณาตดสนใจการด าเนนงานในโครงการทส าคญ เพอใหการด าเนนงานของโครงการเปนไปตามแผนงานทก าหนด ทงน คณะกรรมการก ากบดแลโครงการควรประกอบดวยผบรหารหรอผแทนจากฝายงานตาง ๆ ทเกยวของ

(2.2) หนวยงานหรอทมงานทดแลภาพรวมของโครงการ (Project Management Office : PMO) เพอท าหนาทก าหนดรปแบบ กระบวนการ และเครองมอทเปนมาตรฐานในการบรหารจดการและตดตามความคบหนาของโครงการ รวมทงรายงานความคบหนาและภาพรวมของโครงการทส าคญของสถาบนการเงนตอคณะกรรมการทก ากบดแลโครงการ เพอใหโครงการบรรลวตถประสงคตามเปาหมายทวางไว

(2.3) ผจดการโครงการ (project manager) เพอท าหนาทในการบรหารจดการโครงการแตละโครงการตามขนตอนการบรหารจดการโครงการ และสงมอบงานในแตละขนตอนตามรปแบบ กระบวนการ และเครองมอ ตามทหนวยงานหรอทมงานทดแลภาพรวมของโครงการก าหนด เพอใหสามารถสงมอบโครงการไดอยางถกตองครบถวนตามแผนงานทก าหนด

5.4 การน าเทคโนโลยมาใช หรอการเปลยนแปลงระบบหรอเทคโนโลย

ในกรณทมการน าเทคโนโลยมาใช หรอการเปลยนแปลงระบบหรอเทคโนโลย ทงกรณทสถาบนการเงนด าเนนการเองและกรณทมการใชบรการ การเชอมตอ หรอการเขาถงขอมลจากบคคลภายนอก สถาบนการเงนตองพจารณาความมนยส าคญกอนด าเนนการ โดยสถาบนการเงน ตองมขอก าหนด (criteria) ในการพจารณาความมนยส าคญทชดเจน ดงตอไปน

5.4.1 ขอก าหนดตองผานการพจารณาความมนยส าคญรวมกนของหนวยงานทเกยวของ โดยเฉพาะหนวยงานซงท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศ (first line of defence) และหนวยงานซงท าหนาทบรหารความเสยงดานเทคโนโลยสารสนเทศและก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ (second line of defence) รวมทงตองไดรบอนมตจากคณะกรรมการทไดรบมอบหมาย

5.4.2 ขอก าหนดในการพจารณาความมนยส าคญ ตองพจารณาภายใตกรอบหลกการทค านงถงความเสยงและผลกระทบตอการด าเนนธรกจของสถาบนการเงนในวงกวาง (bank wide impact) เชน กระทบลกคาสวนใหญของสถาบนการเงน และผลกระทบตอระบบสถาบนการเงนในวงกวาง (banking system wide impact) เชน กระทบตอระบบงานกลางทมนยส าคญเชงโครงสรางตอการใหบรการของระบบสถาบนการเงน

5.4.3 ตองสอสารและเผยแพรขอก าหนดใหหนวยงานทเกยวของทราบโดยทวกน

5.4.4 ตองสอบทานการด าเนนการตามขอก าหนดอยางนอยปละ 1 ครง

5.4.5 ตองทบทวนขอก าหนดอยางนอยปละ 1 ครง และเมอมการเปลยนแปลงอยางมนยส าคญ เชน กรณทมการเปลยนแปลงของระบบเทคโนโลยสารสนเทศ ความเสยงมาตรฐานสากล อยางมนยส าคญ ทงน เพอใหมนใจวาขอก าหนดดงกลาวสอดคลองกบระดบความเสยงและผลกระทบตอสถาบนการเงน และระบบสถาบนการเงน

17

ฝนสป00-คส50001-25621001

ทงน สถาบนการเงนตองบรหารความเสยงใหเหมาะสมตามระดบความมนยส าคญของการน าเทคโนโลยมาใช หรอการเปลยนแปลงระบบหรอเทคโนโลย ทงกรณทสถาบนการเงนด าเนนการเองและกรณทมการใชบรการ การเชอมตอ หรอการเขาถงขอมลจากบคคลภายนอก

5.5 การรายงาน แจง หรอขออนญาตตอธนาคารแหงประเทศไทย

5.5.1 การแจงการใชบรการจากบรษทในกลมธรกจเดยวกนหรอบรษททมความเกยวของในการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ

สถาบนการเงนทมโครงสรางการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศแบบรวมศนยส าหรบบรษทในกลมธรกจหรอบรษททมความเกยวของกน โดยใหบรษทในกลมธรกจเดยวกนหรอบรษททมความเกยวของกนนนเปนผดแลความเสยงดานเทคโนโลยสารสนเทศแทน ซงบรษทดงกลาวอาจอยในประเทศไทยหรอนอกประเทศไทยกได สถาบนการเงนตองแจงธนาคารแหงประเทศไทยตามทก าหนดในคมอประชาชนลวงหนา 15 วนกอนการใชโครงสรางการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศดงกลาว เชน กรณธนาคารพาณชยทเปนบรษทลกของธนาคารพาณชยตางประเทศมการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศแบบรวมศนยอยทบรษทแมในตางประเทศ

ทงน สถาบนการเงนและคณะกรรมการของสถาบนการเงนในประเทศไทยยงคงตองรบผดชอบตอการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศเสมอนวาสถาบนการเงนด าเนนการเอง

5.5.2 การรายงาน หรอการแจงตอธนาคารแหงประเทศไทย ส าหรบธนาคารพาณชย

(1) การรายงานโครงการดานเทคโนโลยสารสนเทศทมนยส าคญ

ธนาคารพาณชยตองจดสงรายงานโครงการดานเทคโนโลยสารสนเทศทมนยส าคญประจ าป ทงกรณทธนาคารพาณชยด าเนนการเองและกรณทมการใชบรการ การเชอมตอ หรอการเขาถงขอมลจากบคคลภายนอก ตอธนาคารแหงประเทศไทยตามทก าหนดในคมอประชาชน ดงน

(1.1) การรายงานประจ าป ใหรายงานภายในวนท 31 มกราคมของทกป เพอใหธนาคารแหงประเทศไทยทราบถงโครงการดานเทคโนโลยสารสนเทศทมนยส าคญของธนาคารพาณชยในปดงกลาวลวงหนา

(1.2) การรายงานประจ าไตรมาส ใหรายงานภายใน 15 วน หลงสนไตรมาส ทงน หากขอมลไมมการเปลยนแปลงจากทไดรายงานประจ าป ใหแจงวาไมมการเปลยนแปลงของขอมล

(2) การแจงการน าเทคโนโลยมาใช หรอการเปลยนแปลงระบบหรอเทคโนโลย ทมนยส าคญ

ธนาคารพาณชยทน าเทคโนโลยมาใช หรอเปลยนแปลงระบบหรอเทคโนโลย โดยการน ามาใชหรอการเปลยนแปลงดงกลาวมนยส าคญตามขอก าหนด (criteria) ทธนาคารพาณชยไดก าหนดขนตาม ขอ 5.4 ทงกรณทธนาคารพาณชยด าเนนการเองและกรณทม

18

ฝนสป00-คส50001-25621001

การใชบรการ การเชอมตอ หรอการเขาถงขอมลจากบคคลภายนอก ตองรายงานการน ามาใชหรอการเปลยนแปลงดงกลาว ตอธนาคารแหงประเทศไทยตามทก าหนดในคมอประชาชนลวงหนา 15 วนกอนด าเนนการ

5.5.3 การขออนญาตการน าเทคโนโลยมาใช หรอการเปลยนแปลงระบบหรอเทคโนโลย ส าหรบบรษทเงนทน บรษทเครดตฟองซเอร

บรษทเงนทน บรษทเครดตฟองซเอรทน าเทคโนโลยมาใช หรอเปลยนแปลงระบบหรอเทคโนโลย โดยการน ามาใชหรอการเปลยนแปลงดงกลาวมนยส าคญตามขอก าหนด (criteria) ทไดก าหนดขนตาม ขอ 5.4 ทงกรณทบรษทเงนทน บรษทเครดตฟองซเอรด าเนนการเองและกรณทมการใชบรการ การเชอมตอ หรอการเขาถงขอมลจากบคคลภายนอก ตองยนขออนญาตกอนน ามาใชหรอกอนเปลยนแปลงดงกลาวตอธนาคารแหงประเทศไทยตามทก าหนดในคมอประชาชน พรอมเอกสารทเกยวของอนใดทธนาคารแหงประเทศไทยอาจรองขอเพมเตม เวนแตธนาคารแหงประเทศไทยมค าสงการใหบรษทเงนทน บรษทเครดตฟองซเอร ไมตองยนขออนญาตการน าเทคโนโลยมาใช หรอเปลยนแปลงระบบหรอเทคโนโลย ทมนยส าคญ โดยธนาคารแหงประเทศไทยจะพจารณาใหแลวเสรจภายใน 30 วนท าการ นบแตวนทไดรบค าขอและเอกสารถกตองครบถวน

ทงน ในการพจารณาค าขออนญาต ธนาคารแหงประเทศไทยจะพจารณาตามหลกการเสรมสรางความมนคงของสถาบนการเงน (micro-prudential) ซงรวมถงการก ากบดแล การบรหารจดการ การบรหารความเสยง การบรหารความมนคงปลอดภยของสถาบนการเงน ใหสามารถ รองรบการด าเนนธรกจไดอยางตอเนองเมอเกดปญหาหรอเหตการณดานเทคโนโลยสารสนเทศ ทสงผลกระทบตอระบบสถาบนการเงน สงเสรมประสทธภาพของสถาบนการเงน (efficiency) สนบสนนใหสถาบนการเงนมธรรมาภบาลทด (good governance) และคมครองลกคาและผใชบรการทางการเงน (fairness & consumer protection) รวมถงเสถยรภาพของระบบสถาบนการเงนและระบบเศรษฐกจ (macro-prudential)

5.5.4 การรายงานปญหาดานเทคโนโลยสารสนเทศตอธนาคารแหงประเทศไทย

สถาบนการเงนตองรายงานตอธนาคารแหงประเทศไทยในกรณทเกดปญหาหรอเหตการณทมนยส าคญในการใชเทคโนโลยซงสงผลกระทบตอการใหบรการ ระบบงาน หรอชอเสยงของสถาบนการเงน รวมถงกรณเทคโนโลยสารสนเทศทมนยส าคญของสถาบนการเงนถกโจมตหรอถกขโจมตจากภยคกคามทางไซเบอร และเปนปญหาหรอเหตการณทสถาบนการเงนตองรายงานตอผบรหารในต าแหนงสงสดของสถาบนการเงน โดยสถาบนการเงนตองรายงานปญหาหรอเหตการณดงกลาวมายงธนาคารแหงประเทศไทย ทนทเมอเกดหรอรบรปญหาหรอเหตการณนน และใหสถาบนการเงนแจงสาเหตและการแกไขปญหาเพมเตมภายหลง

5.6 การขอผอนผนการปฏบตตามหลกเกณฑ

กรณทสถาบนการเงนใดไมสามารถปฏบตตามหลกเกณฑทก าหนดในประกาศนได ใหสถาบนการเงนยนขออนญาตผอนผนการปฏบตตามหลกเกณฑดงกลาวตอธนาคารแหงประเทศไทย เปนรายกรณ พรอมแสดงเหตผลและความจ าเปน รวมถงแผนในการด าเนนการเพอใหสามารถปฏบตตามหลกเกณฑทก าหนดไดตอไป ทงน ธนาคารแหงประเทศไทยจะพจารณาใหแลวเสรจภายใน 30 วนท าการนบแตวนทไดรบค าขอและเอกสารถกตองครบถวน

19

ฝนสป00-คส50001-25621001

ทงน ในการพจารณาค าขอผอนผน ธนาคารแหงประเทศไทยจะพจารณาตามหลกการเสรมสรางความมนคงของสถาบนการเงน (micro-prudential) ซงรวมถงการก ากบดแล การบรหารจดการ การบรหารความเสยง การบรหารความมนคงปลอดภยของสถาบนการเงน ใหสามารถ รองรบการด าเนนธรกจไดอยางตอเนองเมอเกดปญหาหรอเหตการณดานเทคโนโลยสารสนเทศ ทสงผลกระทบตอระบบสถาบนการเงน สงเสรมประสทธภาพของสถาบนการเงน (efficiency) สนบสนนใหสถาบนการเงนมธรรมาภบาลทด (good governance) และคมครองลกคาและผใชบรการทางการเงน (fairness & consumer protection) รวมถงเสถยรภาพของระบบสถาบนการเงนและระบบเศรษฐกจ (macro-prudential)

5.7 การก าหนดเงอนไขเพมเตม ชะลอ ระงบ สงใหแกไข เพกถอน หรอเขาตรวจสอบ การน าเทคโนโลยมาใช หรอการเปลยนแปลงระบบหรอเทคโนโลย

ธนาคารแหงประเทศไทยอาจพจารณาก าหนดเงอนไขเพมเตม ชะลอ ระงบ สงใหแกไข เพกถอน หรอเขาตรวจสอบ การน าเทคโนโลยมาใช หรอการเปลยนแปลงระบบหรอเทคโนโลย ทงกรณทสถาบนการเงนด าเนนการเองและกรณทมบรการ การเชอมตอ หรอการเขาถงขอมลจากบคคลภายนอก ตามความจ าเปนเปนรายกรณ รวมทงธนาคารแหงประเทศไทยมสทธเขาตรวจสอบบคคลภายนอกดงกลาวทมนยส าคญตอระบบสถาบนการเงน หากพบวาเปนการด าเนนการทสงผลกระทบตอประชาชนในวงกวางหรอความเชอมนในระบบสถาบนการเงน

6. บทเฉพาะกาล

6.1 สถาบนการเงนทเขาเงอนไขเปนธนาคารพาณชยทมนยตอความเสยงเชงระบบในประเทศ (Domestic Systemically Important Banks: D-SIBs) หรอสถาบนการเงนทมความเสยงตงตนทางไซเบอร (cyber inherent risk) ในระดบสง กอนวนทประกาศฉบบนมผลบงคบใช ตองจดใหมผบรหารระดบสงทท าหนาทบรหารจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงน (Chief Information Security Officer : CISO) ตามทก าหนดในขอ 5.3.1 (2.3) ภายใน 1 ป นบจากวนทประกาศนมผลบงคบใช

6.2 การก าหนดใหสถาบนการเงนจดท าขอก าหนด (criteria) ในการพจารณาความมนยส าคญของการน าเทคโนโลยมาใช หรอการเปลยนแปลงระบบหรอเทคโนโลย ตามทก าหนดในขอ 5.4 นน ใหมผลใชบงคบตงแตวนท 1 มกราคม 2563 โดยในระหวางทสถาบนการเงนยงไมมขอก าหนดดงกลาว สถาบนการเงนตองพจารณาความมนยส าคญของการน าเทคโนโลยมาใช หรอการเปลยนแปลงระบบหรอเทคโนโลย ภายใตกรอบหลกการทค านงถงความเสยงและผลกระทบตอการด าเนนธรกจของสถาบนการเงนในวงกวาง (bank wide impact) และความเสยงและผลกระทบตอระบบสถาบนการเงนในวงกวาง (banking system wide impact) ตามกรอบหลกการทก าหนดในขอ 5.4

ค ำถำม – ค ำตอบแนบทำยประกำศ เรอง หลกเกณฑกำรก ำกบดแลควำมเสยงดำนเทคโนโลยสำรสนเทศ

(Information Technology Risk) ของสถำบนกำรเงน ลงวนท 1 ตลำคม 2562

ขอ ประเดนค ำถำม ค ำตอบ

ขอบเขตกำรบงคบใช 1. บรษทลกของธนาคารพาณชยทจดทะเบยน

ในประเทศไทยจะตองปฏบตตามหลกเกณฑทก าหนดในประกาศฉบบนดวยหรอไม

บรษทลกของธนาคารพาณชยทจดทะเบยนในประเทศไทยทอยในกลม Solo Consolidation ตองปฏบตตามหลกเกณฑทก าหนดในประกาศฉบบบนเฉพาะหวขอการบรหารจดการความเสยงจากบคคลภายนอก (third party risk management) ทงน ธนาคารพาณชยควรก ากบดแลบรษทลก ทจดทะเบยนในประเทศไทยทอยในกลม Solo Consolidation ใหมการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศในภาพรวมอยางรดกมเพยงพอ โดยสามารถอางองตามแนวปฏบตใน การบรหารความเสยงดานเทคโนโลยสารสนเทศของธนาคารแหงประเทศไทยเปนแนวทางด าเนนการ

กำรน ำเทคโนโลยมำใชหรอกำรเปลยนแปลงระบบหรอเทคโนโลย 2. ในชวงเรมตนของการบงคบใชหลกเกณฑท

ก าหนดใหสถาบนการเงนตองมขอก าหนด ในการพจารณาความมนยส าคญทชดเจน และตองไดรบอนมตจากคณะกรรมการทไดรบมอบหมาย ซงอาจตองใชระยะเวลา ในการด าเนนการ และไมสามารถปฏบต ตามหลกเกณฑไดทนตามก าหนดเวลา สถาบนการเงนสามารถขอขยายเวลาการปฏบตตามหลกเกณฑไดหรอไม

ใหสถาบนการเงนแจงมายงฝายก ากบธรกจ สถาบนการเงน ธนาคารแหงประเทศไทย ตามชองทางการใหบรการผานระบบ e-Application โดยชแจงเหตผลและความจ าเปนทไมสามารถปฏบตตาม หลกเกณฑดงกลาว รวมถงแผนด าเนนการเพอใหสามารถปฏบตตามหลกเกณฑทก าหนดได ทงน สถาบนการเงนสามารถปฏบตตามหลกเกณฑนใหครบถวนภายในสนไตรมาส 1 ป 2563 ได

กำรรำยงำน แจง หรอขออนญำตตอธนำคำรแหงประเทศไทย 3. ในกรณทสถาบนการเงนไมมขอก าหนดใน

การพจารณาความนยส าคญ ตามทก าหนด ในประกาศฉบบน สถาบนการเงนใชหลกเกณฑการพจารณาความมนยส าคญใด ในการรายงานโครงการดานเทคโนโลยสารสนเทศทมนยส าคญ ส าหรบการรายงานภายในวนท 31 มกราคม 2563

การรายงานโครงการดานเทคโนโลยสารสนเทศทมนยส าคญ รอบการรายงานภายในวนท 31 มกราคม 2563 ใหสถาบนการเงนใชหลกเกณฑการพจารณาความมนยส าคญทสถาบนการเงนมในปจจบน

- 2 -

ขอ ประเดนค ำถำม ค ำตอบ

กำรรกษำควำมมนคงปลอดภยดำนเทคโนโลยสำรสนเทศ 4. กรณสถาบนการเงนไดปฏบตตามแผนรองรบ

การด าเนนธรกจอยางตอเนอง (Business Continuity Plan: BCP) และแผนฉกเฉนดานเทคโนโลยสารสนเทศ (IT Disaster Recovery Plan: IT DRP) ระหวางปแลว เชน ในชวงสถานการณ COVID-19 สถาบนการเงนยงตองทดสอบแผน BCP และ IT DRP ประจ าป ตามทหลกเกณฑก าหนดหรอไม

หากสถาบนการเงนไดปฏบตตามแผน BCP และ IT DRP ระหวางปแลว สถาบนการเงนอาจไมตองท าการทดสอบแผน BCP และ IT DRP ประจ าป โดยการปฏบตตามแผนดงกลาวครอบคลมประเดนส าคญในการด าเนนธรกจ เชน ความพรอมในการใหบรการธรกรรมงานทส าคญ การบรหารจดการความเสยงดาน IT ทท าใหสถาบนการเงนสามารถด าเนนธรกจไดอยางตอเนอง ทงน ใหสถาบนการเงนน าผลการปฏบตตามแผนมาทบทวนแผน BCP และ IT DRP ใหมประสทธภาพและเหมาะสมกบการปฏบตมากยงขน ทงน หากสถาบนการเงนเหนวาการด าเนนการยงไมครอบคลมประเดนส าคญในการด าเนนธรกจ เชน ความพรอมในการใหบรการธรกรรมงานทส าคญ ใหสถาบนการเงนน าเสนอถงเหตผลและความจ าเปนในสวนทไมไดปฏบตแกคณะกรรมการทรบผดชอบ และแจงใน ธปท. ทราบภายใน 15 วนนบจากวนทคณะกรรมการชดดงกลาวอนมตใหยกเวนการด าเนนการ

ฝำยก ำกบและตรวจสอบควำมเสยงดำนเทคโนโลยสำรสนเทศ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page I

ISO 27001

COBIT COSO

ฝายตรวจสอบเทคโนโลยสารสนเทศ

สายนโยบายระบบการช าระเงนและเทคโนโลยทางการเงน

IT Risk Management Implementation Guideline แนวปฏบตในการบรหารความเสยงดานเทคโนโลยสารสนเทศ

ISO 27001

ISO 31000

ISO 21500

COBIT5 ISO

27005

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page II

สารบญ

Executive Summary 1

หลกการบรหารความเสยงดานเทคโนโลยสารสนเทศ 2

ความเชอมโยงประกาศและแนวปฏบตทเกยวของ 4

แนวปฏบตในการบรหารความเสยงดานเทคโนโลยสารสนเทศ 5

ความเสยงทเกยวของกบเทคโนโลยสารสนเทศ 6

1. การก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ 7

2. การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security) 16

3. การบรหารจดการโครงการดานเทคโนโลยสารสนเทศ (IT Project Management) 37

เอกสารอางอง 39

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 1

Executive Summary

ปจจบน การด าเนนธรกจของสถาบนการเงน (สง.) ก าลงเขาสยค digital โดยอาศยเทคโนโลยสารสนเทศเปน ตวขบเคลอนและมบทบาทส าคญเปนโครงสรางพนฐาน ทชวยเสรมสรางประสทธภาพในกระบวนการด าเนนงาน ใหรองรบกลยทธทางธรกจ อกท งการพฒนานวตกรรม ทางการเงนผ านชองทางอ เล กทรอน กส ย งเป นกลไก ในการพฒนาประเทศทส าคญ ชวยลดตนทนและเพมศกยภาพในการแขงขน เพอสามารถใหบรการลกคาไดอยางสะดวกรวดเรว ตอบสนองความตองการของลกคาทหลากหลายไดอยางทวถง

การใชเทคโนโลยสารสนเทศของ สง. จงนบเปนโจทยททาทาย ภายใตบรบทของสภาวะแวดลอมดานธรกจการเงน ในปจจบนทมความผนผวนสงและยากตอการคาดเดา ตงแต การก าหนดยทธศาสตรในการพฒนาเทคโนโลยสารสนเทศเพอเปนตวขบเคลอนธรกจ รวมทงการเปลยนแปลงอยางรวดเรวของเทคโนโลยท สง. ตองปรบตวใหเทาทน และความเสยง ในการเผชญภยคกคามทางไซเบอรทนบวนมแนวโนมเพมขน มววฒนาการทซบซอนขน สงผลกระทบทมความรนแรงและเปนวงกวางมากขน ดงเชน เหตการณภยคกคามทางไซเบอร ทเกดขนทวโลก ไมวาจะกรณการโจมตดวย DDoS จนท าใหระบบใชงานไมได หรอโปรแกรม Malware ทเขาแทรกแซงระบบใหสงค าสงโอนเงน เปนตน จงเหนไดวาปจจบน สง. ก าลงเผชญกบความเสยง ดานเทคโนโลยสารสนเทศในหลายมตมากขน หาก สง. ไมม การปรบตวใหเทาทนกบการเปลยนแปลง หรอไมมการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศท เพยงพอ อาจน าไปสความเสยงดานอนทส าคญดวย โดยปจจบนความเสยงดานเทคโนโลยสารสนเทศ ไมเปนเพยงสวนหนงของความเสยงดานปฏบตการอกตอไป แตกลายเปนหนงในความเสยงทางธรกจทส าคญทสามารถสงผลกระทบตอความเชอมนของลกคาทมตอการใชบรการทางการเงน รวมทง อาจสงผลกระทบตอ กลยทธทางธรกจ การปฏบตตามกฎระเบยบตาง ๆ ภาพลกษณชอเสยงของ สง.

ดงนน สง. จงจ าเปนตองมการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศอยางเปนระบบและตอเน อง ซงธนาคารแหงประเทศไทยตระหนกถงความส าคญและ ความจ าเปนในการยกระดบความพรอมรบมอตอความเสยงท สง. ก าลงเผชญ เพอให สง. มการก ากบดแลและบรหารจดการทรพยากรเทคโนโลยสารสนเทศ ทงบคลากร กระบวนการ และการน าเทคโนโลยสารสนเทศมาใช ภายใตการบรหารความเสยงอยางเหมาะสมและเพยงพอรองรบตามระดบความเสยงท สง. มโดยเรมตงแตคณะกรรมการของ สง. และผบรหารระดบสงทใหความส าคญในการผลกดนและยกระดบการบรหารความเสยงดานเทคโนโลยสารสนเทศโดยสรางวฒนธรรมและพฤตกรรมรวมของทกคนในองคกรใหตระหนกถงความเสยงอยางรอบดานและเปนรปธรรม การสรางธรรมาภบาลทดในองคกรโดยมโครงสรางและบทบาทหนาทความรบผดชอบอยางเหมาะสม การก าหนดกรอบการบรหารความเสยงดานเทคโนโลยสารสนเทศทชดเจนเพอใหมการประเมน และตดตามความเสยงอยางตอเนอง และเทาทนกบความเสยงรปแบบใหมทอาจเกดขน การขบเคลอนธรกจโดยค านงถงการใชเทคโนโลยสารสนเทศอยางเหมาะสมและปลอดภย รวมถง การดแลใหมบคลากรของ สง. มความรความเชยวชาญอยางเพยงพอ ตลอดจนมการเสรมสรางความรความเขาใจทางดานเทคโนโลยทางการเงนใหกบประชาชนอยางตอเนอง

ธนาคารแหงประเทศไทยจงไดจดท าประกาศ เรอง หลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ พรอมท งไดจดท าแนวปฏบต ในการบรหารความเส ยง ดานเทคโนโลยสารสนเทศทสอดคลองกบประกาศดงกลาว โดยอางองมาตรฐานสากลทยอมรบโดยทวไป ดงแสดงในเอกสารอางอง ทงน ธนาคารแหงประเทศไทยมงหวงให แนวปฏบตนเกดประโยชนในวงกวางและ สง. สามารถน าไปใชเปนแนวทางปฏบตในการบรหารความเสยงดานเทคโนโลยสารสนเทศ เพอสรางความมนคงปลอดภยและความเชอมนใหกบองคกร ระบบการเงน รวมทงลกคาประชาชนตอไป

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 2

หลกการบรหารความเสยงดานเทคโนโลยสารสนเทศ สรปหลกการบรหารความเสยงดานเทคโนโลยสารสนเทศ มดงน 1. การใชเทคโนโลยสารสนเทศสอดคลองกบกลยทธในการด าเนนธรกจและการเปลยนแปลง

ปจจบนเทคโนโลยสารสนเทศเขามามบทบาทส าคญตอการด าเนนธรกจของสถาบนการเงนมากขน โดยเปนโครงสรางพนฐานทส าคญทรองรบกลยทธในการด าเนนธรกจ ชวยเพมประสทธภาพ ลดตนทนในการด าเนนงาน และเพมศกยภาพในการแขงขน ตอบสนองตอความตองการของลกคาทตองการผลตภณฑและบรการทหลากหลายไดอยางสะดวกและรวดเรว นอกจากน สง. ยงตองเตรยมความพรอมของระบบเทคโนโลยสารสนเทศใหพรอมรบการเปลยนแปลงทเปนไปอยางรวดเรวเพอรองรบการด าเนนธรกจในอนาคต

2. คณะกรรมการของ สง. และผบรหารระดบสงมบทบาทส าคญในการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ การบรหารความเสยงดานเทคโนโลยสารสนเทศ ตองมการก ากบดแลในระดบองคกร โดยเปนความรบผดชอบ

ของคณะกรรมการของ สง. ทตองสนบสนนและผลกดนใหองคกรมกลยทธและนโยบายดานเทคโนโลยสารสนเทศทเพมประสทธภาพใหแกการด าเนนธรกจ ความสามารถในการแขงขน มความมนคงปลอดภยและพรอมรบมอภยคกคามทางเทคโนโลยและภยคกคามทางไซเบอรทอาจเกดขน รวมทงผลกดนใหองคกรมการสรางความตระหนกในการบรหารความเสยงดานเทคโนโลยสารสนเทศ(IT risk awareness) อยางตอเนองและมประสทธภาพ

3. ความเสยงดานเทคโนโลยสารสนเทศเปนความเสยงในระดบองคกร (enterprise wide risk) เนองจากเทคโนโลยสารสนเทศกลายเปนโครงสรางพนฐานส าคญรองรบกระบวนการทางธรกจและการปฏบตงาน

ดานตาง ๆ ของ สง. ดงนนการบรหารความเสยงดานเทคโนโลยสารสนเทศ ไมไดเปนความรบผดชอบอยเพยงหนวยงานดานเทคโนโลยสารสนเทศเทานน แตเปนเรองทบคลากรทกระดบและทกฝายในองคกรตองใหความตระหนกและมแนวทาง การบรหารความเสยงทเกดจากการใชเทคโนโลยสารสนเทศครอบคลมทงในเชงกลยทธและเชงปฏบตการเพอใหมการปองกน ตดตาม และรบมอความเสยงทอาจเกดขน ดวยเหตน สง. จ าเปนตองมกรอบการบรหารความเสยงดานเทคโนโลยสารสนเทศ อยางครอบคลมทวทงองคกรและเหมาะสมกบระดบความเสยงทยอมรบได โดยครอบคลมการก าหนดนโยบายและบทบาทหนาทความรบผดชอบ การพฒนากระบวนการและเครองมอ รวมถงการพฒนาความรและความเชยวชาญในดานการบรหารความเสยงดานเทคโนโลยสารสนเทศอยางเพยงพอและทวถง

4. มการก ากบดแลเปนไปตามหลก 3 lines of defence โครงสรางการก ากบดแลการปฏบตงานและการบรหารความเสยงดานเทคโนโลยสารสนเทศ จ าเปนตองสอดคลอง

ตามหลก 3 lines of defence เพอใหสอดคลองตามหลกการถวงดล (check and balance) และมการแบงแยกหนาทความรบผดชอบอยางชดเจน (segregation of duties) ในการปฏบตงาน การบรหารความเสยง การก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑ และการตรวจสอบดานเทคโนโลยสารสนเทศ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 3

5. การรกษาความมนคงปลอดภยและการบรหารความเสยงดานเทคโนโลยสารสนเทศสอดคลอง กบความเสยงทเพมขน ความเสยงทเกดจากเทคโนโลยสารสนเทศหากไมไดรบการบรหารจดการและควบคมอยางเพยงพอ

อาจท าใหเกดชองโหวดานการรกษาความปลอดภย ความถกตองเชอถอได และความพรอมใชของระบบในการใหบรการ แกธรกจและการด าเนนงานของ สง. ซงอาจน าไปสความเสยงดานความนาเชอถอ ชอเสยง ภาพลกษณ การปฏบต ตามกฎหมายและหลกเกณฑทเกยวของ

6. การบรหารจดการโครงการดานเทคโนโลยสารสนเทศอยางรดกมและมประสทธภาพ ความตองการของลกคาทตองการผลตภณฑและบรการทหลากหลาย รวมทงการเปลยนแปลงของเทคโนโลย

สารสนเทศทเปนไปอยางรวดเรว ท าให สง. ตองบรหารจดการทรพยากรทมอยอยางจ ากดใหมประสทธภาพสงสด ดงนน หาก สง. ไมสามารถบรหารจดการโครงการพฒนาระบบไดอยางมประสทธภาพ ท าใหไมสามารถสงมอบโครงการได ตามเปาหมายทก าหนด สงผลใหเกดความเสยงทโครงการดานเทคโนโลยสารสนเทศไมแลวเสรจตามก าหนดเวลา โครงการไมมคณภาพ รวมถงโครงการไมสอดรบกบกลยทธทางธรกจของ สง. นอกจากนในบางกรณอาจสงผลให สง. ไมสามารถปฏบตไดตามกฎหมายและหลกเกณฑทเกยวของของผก ากบดแลได

7. มการพฒนาความรความสามารถ (capability) ของบคลากร ดวยววฒนาการของเทคโนโลยและความเสยงซงมความซบซอนมากขน สง. จ าเปนตองมการพฒนาความร

ดานเทคโนโลยอยางตอเนอง เพอเพมมมมองความรและความเชยวชาญของบคลากรในการระบ ประเมน ควบคม ตดตาม และรบมอความเสยงจากภยทเกยวของกบการใชเทคโนโลยสารสนเทศ นอกจากน การด าเนนธรกจในยคดจทล ท าใหความเสยงดานเทคโนโลยสารสนเทศไมไดจ ากดอยเพยงระดบปฏบตการเทานน แตยงสงผลตอการด าเนนกลยทธของธรกจ ดงนนคณะกรรมการ ผบรหารระดบสง และบคลากรทกระดบจงจ าเปนตองไดรบการพฒนาความรดานเทคโนโลยสารสนเทศและความเสยงตอธรกจรวมถงตดตามภยคกคามทางไซเบอร เพอใหมความรเทาทนภยคกคามใหม ๆ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 4

ความเชอมโยงประกาศและแนวปฏบตทเกยวของ

สอบถามเพมเตมตดตอฝายตรวจสอบเทคโนโลยสารสนเทศ 02-283-6448

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 5

แนวปฏบตในการบรหารความเสยงดานเทคโนโลยสารสนเทศ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 6

ความเสยงทเกยวของกบเทคโนโลยสารสนเทศ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 7

1. การก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ

1.1 บทบาทหนาทและความรบผดชอบของคณะกรรมการของ สง.

วตถประสงค เพอใหคณะกรรมการของ สง. ก ากบดแลและสนบสนนใหองคกรมการบรหารความเสยง ดานเทคโนโลยสารสนเทศอยางเพยงพอเหมาะสมและสอดคลองกบการด าเนนธรกจ

1.1.1 คณะกรรมการของ สง. ประกอบดวยกรรมการทมความรหรอประสบการณดานเทคโนโลยสารสนเทศ อยางนอย 1 ทาน เพอใหคณะกรรมการของ สง. สามารถก าหนดทศทางและก ากบดแลให สง. มการใชเทคโนโลยสารสนเทศใหสอดรบกบกลยทธการด าเนนธรกจของ สง. มความรเทาทนความเสยงและพฒนาการดานเทคโนโลยทเปลยนแปลงไป

1.1.2 ดแลใหมการใชเทคโนโลยทสอดรบกบกลยทธในการด าเนนธรกจของสถาบนการเงน และดแลใหการใชเทคโนโลยของสถาบนการเงนมความยดหยนเพยงพอทจะรองรบการเปลยนแปลงดานเทคโนโลยและ การเปลยนแปลงการด าเนนธรกจในอนาคต

1.1.3 ดแลใหมการบรหารความเสยงดานเทคโนโลยสารสนเทศ ในฐานะทเปนความเสยงทส าคญ โดยถอเปน สวนหนงของการบรหารความเสยงในภาพรวมของ สง. (Enterprise Risk Management : ERM)

1.1.4 ดแลใหมการก าหนดนโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT security policy) ซงรวมถงนโยบายในการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ และนโยบายการบรหารความเสยง ดานเทคโนโลยสารสนเทศ (IT risk management policy) โดยนโยบายดงกลาวตองสอดคลองกบลกษณะการด าเนนธรกจ ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศและความเสยงทเกยวของ รวมทงท าหนาทในการอนมตนโยบายดงกลาวดวย

1.1.5 ดแลใหมมาตรฐาน ระเบยบวธปฏบต กระบวนการ เครองมอ และบคลากรในการรกษาความมนคงปลอดภย และการบรหารความเสยงดานเทคโนโลยสารสนเทศ เปนไปตามนโยบายขอ 1.1.4 รวมถงดแลใหมการน าไปปฏบตอยางเหมาะสม และมการทบทวนและประเมนประสทธภาพนโยบายดงกลาวอยางนอยปละ 1 ครง และเมอมการเปลยนแปลงอยางมนยส าคญ

1.1.6 ดแลใหมการตดตาม ตรวจสอบและรายงานตอคณะกรรมการของ สง. คณะกรรมการทไดรบมอบหมายหรอผบรหารระดบสงของ สง. อยางเหมาะสม ในเรองทเกยวของกบการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ ผลการทดสอบและการปฏบตตามแผนฉกเฉนดานเทคโนโลยสารสนเทศ และการบรหาร ความเสยงดานเทคโนโลยสารสนเทศ เชน ผลการบรหารความเสยงดานเทคโนโลยสารสนเทศในภาพรวม ของ สง. ขอมลเกยวกบปญหาหรอเหตการณทางดานเทคโนโลยสารสนเทศทสงผลกระทบในวงกวางหรอสงผลกระทบตอชอเสยงของ สง.

1.1.7 ดแลและสนบสนนใหมการสอสารกบบคลากรของ สง. เพอใหตระหนกถงความส าคญของความเสยงและ การบรหารความเสยงดานเทคโนโลยสารสนเทศ รวมทงเขาใจการใชเทคโนโลยสารสนเทศอยางปลอดภย เพอชวยลดความเสยงดานเทคโนโลยสารสนเทศ

1.1.8 คณะกรรมการของ สง. ตองไดรบการอบรมใหความรเกยวกบเทคโนโลยสารสนเทศอยางเพยงพอตามระยะเวลา ทเหมาะสม เพอใหมความรความเขาใจดานเทคโนโลยสารสนเทศทเพยงพอตอการก ากบดแลและการบรหารความเสยงดานเทคโนโลยสารสนเทศของ สง. ใหทนกบภยคกคามใหม รวมถงการพจารณาเชงกลยทธ ในการน าเทคโนโลยมาใชในการขบเคลอนธรกจ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 8

1.2 โครงสรางการก ากบดแล

วตถประสงค เพอใหมโครงสรางและบทบาทหนาทในการก ากบดแลการด าเนนงานและการบรหาร ความเสยงดานเทคโนโลยสารสนเทศ ทเหมาะสมสอดคลองตามหลก 3 lines of defence

คณะกรรมการทท าหนาทก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ 1.2.1 สง. ควรจดตงคณะกรรมการทท าหนาทก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ โดยค านงถง

การถวงดลอ านาจอยางเปนอสระ อยางนอยครอบคลม คณะกรรมการบรหารจดการและก ากบดแลการปฏบตงานดานเทคโนโลยสารสนเทศ

(เชน IT Steering Committee หรอคณะกรรมการทไดรบมอบหมาย เปนตน) เพอดแลใหมการก าหนดกลยทธ นโยบาย และแผนงานดานเทคโนโลยสารสนเทศทสอดคลองกบกลยทธของ สง. รวมทงก ากบดแลและตดตามการด าเนนงานและการบรหารความเสยงดานเทคโนโลยสารสนเทศ นอกจากน สง. อาจพจารณาใหมคณะกรรมการทดแลงานเฉพาะดานเพมเตม หากเหนวางานดงกลาวมนยส าคญหรอ มผลกระทบสงตอ สง. เชน คณะกรรมการหรออนกรรมการดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศ เปนตน

คณะกรรมการก ากบดแลการบรหารความเสยงดานเทคโนโลยสารสนเทศ (เชน คณะกรรมการบรหารความเสยง คณะกรรมการบรหารความเสยงดานปฏบตการ คณะกรรมการบรหารความเสยงดานเทคโนโลยสารสนเทศ หรอคณะกรรมการทไดรบมอบหมาย เปนตน) เพอดแล ใหมการก าหนดนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ รวมทงก ากบดแลและตดตามใหเปนไปตามนโยบายทก าหนดไว โดยมการเชอมโยงกบความเสยงในภาพรวมของ สง. (enterprise risk management)

คณะกรรมการก ากบดแลการตรวจสอบดานเทคโนโลยสารสนเทศ (เชน คณะกรรมการตรวจสอบ หรอคณะกรรมการทไดรบมอบหมาย เปนตน) เพอให สง. มการตรวจสอบดานเทคโนโลยสารสนเทศอยางเปนอสระ ครอบคลมถงการปฏบตงานและการบรหารความเสยง ดานเทคโนโลยสารสนเทศ รวมทง การก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของ กบเทคโนโลยสารสนเทศ

โครงสรางองคกร 1.2.2 สง. ควรจดใหมโครงสรางองคกรและหนาทความรบผดชอบเปนลายลกษณอกษร โดยสอดคลองตามหลก

การถวงดล (check and balance) และการแบงแยกหนาทความรบผดชอบอยางชดเจน (segregation of duties) ระหวางการท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศ บรหารความเสยงดานเทคโนโลยสารสนเทศ และตรวจสอบดานเทคโนโลยสารสนเทศ

1.2.3 สง. ควรดแลใหมทรพยากรเพยงพอทจะสนบสนนการปฏบตงาน การบรหารความเสยง การก ากบดแล การปฏบตตามกฎหมายและหลกเกณฑ และการตรวจสอบดานเทคโนโลยสารสนเทศ สอดคลองตาม ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศ และความเสยงทเกยวของ เชน จดใหมบคลากร ทมความรความเชยวชาญและมเครองมอหรอระบบทชวยสนบสนนการปฏบตงาน เปนตน

1.2.4 สง. อาจพจารณาจดใหมผบรหารระดบสงหรอหวหนาสายงานทท าหนาทบรหารจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงน (IT security) โดยควรมความเปนอสระจากหนวยงานทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศ และควรเปนผทมความรความสามารถดานเทคโนโลยสารสนเทศและ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 9

ดานการบรหารจดการและรบมอกบภยคกคามทางไซเบอร เชน ไดรบการรบรองความรความสามารถ ตามมาตรฐานสากล เปนตน

1.2.5 หนวยงานทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศและผใชงานระบบเทคโนโลยสารสนเทศ (หนวยงานทท าหนาทเปน 1st line of defence) เชน หนวยงานดานเทคโนโลยสารสนเทศ หนวยงานอนทเปนผใชงานระบบ เปนตน หนวยงานทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศ มหนาทปฏบตงานตามทไดรบมอบหมาย

รวมทงประเมนความเสยงและการควบคมดานเทคโนโลยสารสนเทศ จดใหมแนวทางการควบคม ตดตามและรายงานการปฏบตงานดานเทคโนโลยสารสนเทศ โดยน าเสนอตอคณะกรรมการทไดรบมอบหมายและผบรหารระดบสงทเกยวของ อยางนอยครอบคลม - รายงานผลการปฏบตงานดานเทคโนโลยสารสนเทศ (IT operations) เชน สถานะความเพยงพอ

ของทรพยากรดานเทคโนโลยสารสนเทศ (capacity and system utilization) เหตการณผดปกต และปญหาดานเทคโนโลยสารสนเทศ (IT incident and problem) ระดบการใหบรการงาน ดานเทคโนโลยสารสนเทศ (service availability) เปนตน

- รายงานความคบหนา ปญหาและอปสรรคในการด าเนนโครงการดานเทคโนโลยสารสนเทศ ในภาพรวมและรายโครงการทส าคญ

- รายงานการตดตามและเฝาระวงภยคกคามความมนคงปลอดภยดานเทคโนโลยสารสนเทศ รวมทงแนวโนมความเสยงและภยคกคามทอาจจะเกดขนและสงผลกระทบตอ สง.

- รายงานผลการประเมนความเสยง การตดตามความเสยง และแนวทางการควบคมทเกยวของ - รายงานความคบหนาการปฏบตตามกฎหมายและหลกเกณฑทเกยวของ - รายงานผลการใชบรการงานดานเทคโนโลยสารสนเทศจากผใหบรการภายนอก

ผใชงานระบบเทคโนโลยสารสนเทศ มหนาทปฏบตตามนโยบายและระเบยบวธปฏบตทเกยวของกบความมนคงปลอดภยดานเทคโนโลยสารสนเทศ รวมทงมสวนรวมรบผดชอบในการประเมนและจดการความเสยงดานเทคโนโลยสารสนเทศทเกยวของจากการใชงานระบบ

1.2.6 หนวยงานทท าหนาทบรหารความเสยงดานเทคโนโลยสารสนเทศ (หนวยงานทท าหนาทเปน 2nd line of defence) เชน หนวยงานบรหารความเสยง และหนวยงานก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑ เปนตน หนวยงานทท าหนาทบรหารความเสยง มหนาทก าหนดกรอบและกระบวนการบรหารความเสยง

ดานเทคโนโลยสารสนเทศ สนบสนนใหมการประเมนความเสยงเปนไปตามกรอบการบรหารความเสยง ทก าหนด พรอมทงใหค าปรกษา ตดตามความเสยงและทบทวนการควบคมความเสยงดานเทคโนโลยสารสนเทศใหอยในระดบความเสยงทยอมรบได ของหนวยงานทท าหนาทเปน 1st line of defence โดยมการรวบรวมและเชอมโยงความเสยงดานเทคโนโลยสารสนเทศกบความเสยงดานอนของ สง. และน าเสนอผลการบรหารความเสยงตอคณะกรรมการทท าหนาทก ากบดแลความเสยง

หนวยงานทท าหนาทก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ มหนาทก าหนดกระบวนการตดตามดแล ใหค าปรกษา สอบทานและรายงานการปฏบต ตามกฎหมายและหลกเกณฑทเกยวของ และน าเสนอตอคณะกรรมการทเกยวของ เชน กฏหมายวาดวยธรกรรมทางอเลกทรอนกส กฎหมายวาดวยการกระท าความผดเกยวกบคอมพวเตอร กฎหมายวาดวยระบบการช าระเงน เปนตน เพอปองกนการละเมดหรอการไมปฏบตตามกฎหมายและหลกเกณฑ ของหนวยงานก ากบดแลทเกยวของ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 10

1.2.7 หนวยงานทท าหนาทตรวจสอบดานเทคโนโลยสารสนเทศ (หนวยงานทท าหนาทเปน 3rd line of defence) ซงอาจเปนผตรวจสอบภายในหรอผตรวจสอบภายนอกทมความเปนอสระจากหนวยงานทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศและหนวยงานทท าหนาทบรหารความเสยงดานเทคโนโลยสารสนเทศ เชน หนวยงานตรวจสอบภายใน เปนตน หนวยงานทท าหนาทตรวจสอบ มหนาทตรวจสอบการปฏบตงานและการบรหารความเสยงของ

หนวยงานทท าหนาท 1st line และ 2nd line of defence รวมถงงานอน ๆ ทเกยวของ เชน การใชบรการจากผใหบรการภายนอกดานเทคโนโลยสารสนเทศ เปนตน เพอสอบทานใหมนใจวา มการปฏบตทเปนไปตามนโยบาย มาตรฐาน และระเบยบปฏบตดานเทคโนโลยสารสนเทศ

กรณ สง. มขอจ ากดดานบคลากรทไมเพยงพอหรอมความรความเชยวชาญดานการตรวจสอบ เทคโนโลยสารสนเทศทไมเพยงพอ อาจพจารณาวาจางผตรวจสอบภายนอกทมความเปนอสระ และไดรบมาตรฐานสากลทยอมรบโดยทวไปในการตรวจสอบเทคโนโลยสารสนเทศ ด าเนนการแทนได

มกระบวนการตรวจสอบดานเทคโนโลยสารสนเทศ ทครอบคลมอยางนอย ดงน - การวางแผนงานและก าหนดขอบเขตการตรวจสอบ (planning and scoping) ครอบคลม

และสอดคลองกบความส าคญและความเสยงของการใชงานเทคโนโลยสารสนเทศของ สง. และนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ โดยแผนงานและขอบเขตการตรวจสอบตองไดรบความเหนชอบจากคณะกรรมการตรวจสอบ และมการทบทวนอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ

- การตรวจสอบ (execution) อยางนอยปละ 1 ครงตามแผนงานและขอบเขตทก าหนด และพจารณาใหมการตรวจสอบเมอมเหตการณผดปกตในงานดานเทคโนโลยสารสนเทศทมนยส าคญ นอกจากน แนวทางการตรวจสอบควรเปนไปตามมาตรฐานท สง. ก าหนด ซงสอดคลองกบกฎหมายและหลกเกณฑทเกยวของ รวมถงมาตรฐานสากลทยอมรบโดยทวไป

- การวเคราะห (analysis) น าขอมลทไดจากการตรวจสอบมาวเคราะห เพอสรปผลการตรวจสอบ และอาจพจารณาการขยายขอบเขตการตรวจสอบเพมเตม หากมความจ าเปน เชน พบขอบงชถงความเสยงทอาจกระทบตอ สง. อยางมนยส าคญ

- การรายงานและตดตามผลการตรวจสอบ (reporting and follow up) มการสรปผลการตรวจสอบและประเดนทตองแกไขกบผบรหารของหนวยงานผรบตรวจและจดท ารายงานผลการตรวจสอบ เพอน าเสนอตอคณะกรรมการตรวจสอบและแจงใหผบรหารระดบสง ทเกยวของรบทราบ ตลอดจนจดเกบรายงานผลการตรวจสอบไวท สง. พรอมไว ส าหรบการตรวจสอบหรอเมอรองขอโดยธนาคารแหงประเทศไทย นอกจากน สง. ตองจดใหมการตดตามการแกไขประเดนทตรวจพบภายในระยะเวลาทก าหนดและรายงานตอคณะกรรมการตรวจสอบ

สง. ควรจดใหมผเชยวชาญภายนอกทเปนอสระท าหนาทประเมนระบบหรอเทคโนโลยทมความส าคญ ซง สง. เหนวามความจ าเปนตองประเมน แตมขอจ ากดหรอผตรวจสอบดานเทคโนโลยสารสนเทศ ของ สง. ไมสามารถประเมนได เชน การประเมนระบบทมความซบซอนหรอมการใชเทคโนโลยใหม หรอ การประเมนความสามารถของระบบในการปรบเปลยนเพอรองรบการท าธรกจของ สง. ในอนาคต ภายใตสภาวะการเปลยนแปลงทางเทคโนโลยทรวดเรว

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 11

1.3 การบรหารจดการบคลากร

วตถประสงค เพอให สง. มบคลากรทมความรและความเชยวชาญเพยงพอในการปฏบตงานทเกยวของ กบงานดานเทคโนโลยสารสนเทศ โดยบคลากรทกระดบมความตระหนกถงการรกษาความมนคงปลอดภย ดานเทคโนโลยสารสนเทศของ สง.

1.3.1 มกระบวนการบรหารจดการบคลากรอยางเหมาะสม ครอบคลม การคดเลอกบคลากรทมความรความสามารถเพยงพอ การวาจางบคลากรทเปนไปตามขอก าหนดหรอเงอนไขดานความปลอดภยเทคโนโลยสารสนเทศ การพฒนาความรความเชยวชาญดานเทคโนโลยสารสนเทศ การสงเสรมใหบคลากรตระหนกถงความเสยงดานเทคโนโลยสารสนเทศ การเปลยนแปลงหรอสนสดการวาจางบคลากร รวมทงการดแลบคลากรใหเพยงพอกบปรมาณการใชเทคโนโลยสารสนเทศ

1.3.2 สง. อาจพจารณาการไดรบการรบรองความรความสามารถตามมาตรฐานทรบรองทวไป (certificate) เฉพาะดานทเกยวของกบงานดานเทคโนโลยสนเทศ เพอใหไดบคลากรทมคณสมบตเหมาะสม มความร หรอประสบการณเพยงพอในการปฏบตหนาทตามทไดรบมอบหมาย

1.3.3 หนวยงานทรพยากรบคคล ควรตรวจสอบประวตของบคลากรกอนการวาจางตามความเสยงของต าแหนงงานและหนาทความรบผดชอบ เชน ประวตการศกษา ประวตการท างาน ประวตอาชญากรรม ขอมลเครดตบโร เปนตน

1.3.4 มขอก าหนดหรอเงอนไขการวาจางงาน โดยกลาวถงบทบาทหนาทความรบผดชอบ การปฏบตตามนโยบายและขอก าหนดทเกยวของกบการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศของ สง. เพอปองกนการรวไหลของขอมลหรอความเสยหายทอาจเกดขนตอทรพยสนดานเทคโนโลยสารสนเทศของ สง.

1.3.5 ใหบคลากรและผใหบรการภายนอกทไดรบการวาจางท าความเขาใจ รบทราบและลงนามยอมรบเงอนไข การวาจางงาน นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศของ สง. และขอตกลง การไมเปดเผยขอมล (non disclosure agreement) กอนเรมปฏบตงาน

1.3.6 ก าหนดโปรแกรมการอบรมและพฒนาความรความเชยวชาญดานเทคโนโลยสารสนเทศ (training program) ทครอบคลม การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ การบรหารความเสยงดานเทคโนโลยสารสนเทศ หรอหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ ใหแกบคลากรทกระดบ โดยมการวดประสทธผลของหลกสตรฝกอบรมทจดขน เชน หลกสตรฝกอบรมบคลากรทเกยวของดานเทคโนโลยสารสนเทศ (1st line of defence) ใหมความร

และความเชยวชาญทเพยงพอตอการปฏบตงานและการใชงาน หลกสตรฝกอบรมบคลากรทเกยวของกบงานดานการบรหารความเสยงดานเทคโนโลยสารสนเทศ

(2nd line of defence) และการตรวจสอบดานเทคโนโลยสารสนเทศ (3rd line of defence) ใหมความรและความเชยวชาญเพยงพอทจะระบ ประเมน และใหขอเสนอแนะในการปรบปรงประสทธภาพของการจดการความเสยงดานเทคโนโลยสารสนเทศแกหนวยงานทท าหนาท 1st line of defence

1.3.7 ก าหนดโปรแกรมในการเสรมสรางความตระหนก (awareness program) เรองการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ ความเสยงดานเทคโนโลยสารสนเทศ การใชงานระบบอยางปลอดภย เชน การทดสอบเรอง social engineering และ phishing การซกซอมแผนเพอเตรยมความพรอมรบมอ กบการโจมตทางไซเบอร เปนตน โดยโปรแกรมดงกลาวควรครอบคลมตงแตระดบคณะกรรมการ ผบรหารระดบสง และบคลากรทกระดบ รวมถงบคคลภายนอกทเกยวของ รวมทงมการจดกจกรรมเสรมสราง ความตระหนกอยางตอเนอง นอกจากน สง. ควรจดใหมการประชาสมพนธเพอสรางความรหรอสรางความตระหนกในการใชงานบรการทางอเลกทรอนกสอยางปลอดภย ใหแกลกคาของ สง. ทราบอยางสม าเสมอดวย

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 12

1.3.8 มกระบวนการรองรบเมอมการเปลยนแปลงหรอสนสดการจางงาน เชน การคนสนทรพยของ สง. การบรหารจดการสทธตองมการปรบปรงใหเปนปจจบน โดยเฉพาะเมอมการเปลยนแปลงต าแหนงงานหรอสนสดการจางงาน รวมทงตองมการสอสารใหผเกยวของรบทราบถงการเปลยนแปลงสทธ หนาทและความรบผดชอบ เปนตน

1.4 นโยบายทเกยวของกบการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ

วตถประสงค เพอให สง. มการบรหารความเสยงดานเทคโนโลยสารสนเทศอยางมประสทธภาพและ สอดคลองกบความเสยงดานเทคโนโลยสารสนเทศของ สง.

1.4.1 สง. ควรก าหนดใหมนโยบายเปนลายลกษณอกษรและอยใตกรอบหลกการทส าคญ 3 ประการ คอ การรกษาความลบของระบบและขอมล (confidentiality) ความถกตองเชอถอไดของระบบและขอมล (integrity) และ ความพรอมใชงานของเทคโนโลยสารสนเทศ อยางนอยครอบคลมนโยบายดงตอไปน นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT security policy) นโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ (IT risk management policy) นโยบายการใชบรการจากผใหบรการภายนอกดานเทคโนโลยสารสนเทศ (IT outsourcing policy)

1.4.2 นโยบายดงกลาวควรสอดคลองกบกลยทธในการน าเทคโนโลยมาใชในการด าเนนธรกจ นโยบายการบรหารความเสยงของ สง. รวมทงสอดคลองกบแนวทางบรหารความเสยงและการรกษาความมนคงปลอดภย ตามมาตรฐานสากลหรอมาตรฐานทไดรบการยอมรบโดยทวไป

1.4.3 นโยบายดงกลาวตองไดรบอนมตจากคณะกรรมการของ สง. และไดรบการทบทวนอยางนอยปละ 1 ครง และเมอมการเปลยนแปลงอยางมนยส าคญ รวมทงควรจดใหมการชแจงและสอสารนโยบายใหผเกยวของ ไดรบทราบอยางทวถงและมการควบคมดแลใหมการปฏบตตามนโยบายไดอยางถกตองครบถวน

1.4.4 นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT security policy) ควรรวมถงการรกษาความมนคงปลอดภยไซเบอร โดยครอบคลมอยางนอย การบรหารจดการทรพยสนดานเทคโนโลยสารสนเทศ (IT asset management) การรกษาความมนคงปลอดภยของขอมล (information security) การควบคมการเขาถง (access control) การรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (physical and environmental security) การรกษาความมนคงปลอดภยของระบบเครอขายสอสาร (communications security) การรกษาความมงคงปลอดภยในการปฏบตงานดานเทคโนโลยสารสนเทศ (IT operations security) การจดหาและการพฒนาระบบเทคโนโลยสารสนเทศ (system acquisition and development) การบรหารจดการเหตการณผดปกตและปญหาดานเทคโนโลยสารสนเทศ (IT incident and problem

management) การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ การบรหารจดการผใหบรการภายนอก (third party management)

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 13

1.4.5 นโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ (IT risk management policy) โดยครอบคลมอยางนอย โครงสรางองคกร บทบาทหนาทของผเกยวของในการบรหารความเสยงดานเทคโนโลยสารสนเทศ จดท าหลกเกณฑ ระเบยบวธปฏบตและกระบวนการในการบรหารความเสยงดานเทคโนโลยสารสนเทศ ดงน

(1) การประเมนความเสยง (risk assessment) (1.1) การระบความเสยง (risk identification)

สง. ควรจดใหมการระบเหตการณความเสยงดานเทคโนโลยสารสนเทศทอาจจะเกดขนหรอทเกดขนจรง รวมถงภยคกคามทางไซเบอรและชองโหวตาง ๆ ทสงผลกระทบตอ การด าเนนธรกจของ สง. โดยเหตการณความเสยงดานเทคโนโลยสารสนเทศ ควรระบ อยางนอยครอบคลม ผกระท าใหเกดความเสยงและเหตการณความเสยง เชน ผไมประสงคด ภยคกคาม

หรอชองโหว เปนตน ประเภทของความเสยง เชน ความเสยงดานการปฏบตงานเทคโนโลยสารสนเทศ

ความเสยงดานโปรแกรม ความเสยงดานขอมล ความเสยงดานบคลากร ความเสยง ดานอปกรณเทคโนโลยสารสนเทศ ความเสยงดานการบรหารโครงการ เปนตน

วน เวลา สถานท ชวงเวลาหรอระยะเวลาทเกดเหตการณผดปกตหรอความเสยง ดานเทคโนโลยสารสนเทศ (ถาม)

สาเหตของการเกดเหตการณ เชน กระบวนการปฏบตงาน ระบบงาน บคลากร ปจจยภายนอก เปนตน

ผลกระทบตอทรพยสน ทรพยากร การปฏบตงานดานเทคโนโลยสารสนเทศ และการด าเนนธรกจของ สง. ทงน ผทมสวนรวมในการระบความเสยงดานเทคโนโลยสารสนเทศควรมความร

และความเขาใจถงเหตการณความเสยงดานเทคโนโลยสารสนเทศทไดระบไวเปนอยางด (1.2) การวเคราะหความเสยง (risk analysis)

สง. ควรจดใหมการวเคราะหความเสยงดานเทคโนโลยสารสนเทศ เพอหาแนวทาง ในการจดการความเสยงทเหมาะสม โดยควรด าเนนการ ดงน ก าหนดเจาของความเสยงดานเทคโนโลยสารสนเทศ (risk owner) ระบการควบคมทมอยในปจจบน (existing control) พจารณาและคนหาสาเหตและสถานการณทเปนไปได วเคราะหผลกระทบทเกดขนจากเหตการณความเสยงดานเทคโนโลยสารสนเทศ

(1.3) การประเมนคาความเสยง (risk evaluation) สง. ควรประเมนถงโอกาสทความเสยงดานเทคโนโลยสารสนเทศจะเกดขนและ

ผลกระทบตอการปฏบตงานและการด าเนนธรกจ เพอจดล าดบในการบรหารความเสยง ดานเทคโนโลยสารสนเทศ โดยควรด าเนนการ ดงน ก าหนดเกณฑการประเมนความเสยงดานโอกาสและผลกระทบ เชน ดานการเงน

ดานปฏบตการ เปนตน ก าหนดระดบความเสยงดานเทคโนโลยสารสนเทศทยอมรบได (IT risk appetite)

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 14

ประเมนคาโอกาสและผลกระทบของเหตการณความเสยงทอาจเกดขน เพอระบ ระดบคาความเสยงของแตละเหตการณความเสยงดานเทคโนโลยสารสนเทศ

จดล าดบความเสยงดานเทคโนโลยสารสนเทศแสดงในแผนภาพความเสยง ดานเทคโนโลยสารสนเทศ

(2) การจดการความเสยง (risk treatment) สง. ควรจดใหมแนวทางในการจดการ ควบคม และปองกนความเสยงดานเทคโนโลยสารสนเทศ

ทเหมาะสมและสอดคลองกบผลการประเมนความเสยงดานเทคโนโลยสารสนเทศ เพอใหความเสยง ทเหลออย (residual risk) อยในระดบความเสยงดานเทคโนโลยสารสนเทศทยอมรบได (IT risk appetite) โดยควรครอบคลมอยางนอย ดงน ก าหนดแนวทางในการจดการและควบคมความเสยงดานเทคโนโลยสารสนเทศ โดยการเลอก

แนวทางในการจดการและควบคมความเสยงดานเทคโนโลยสารสนเทศ ควรพจารณาถง ความคมคาและวธการทเหมาะสมส าหรบ สง. เชน การหยดหรอหลกเลยงความเสยง การลดหรอบรรเทาโอกาสเกดความเสยง การลดหรอบรรเทาผลกระทบทเกดขน การแบง หรอโอนความเสยงใหหนวยงานอน การยอมรบความเสยงไวโดยแจงเหตผลใหผบรหารทราบเพอตดสนใจในการยอมรบความเสยง เปนตน

ระบรายละเอยดของงานทตองด าเนนการ ผรบผดชอบ ระยะเวลาทใชในการด าเนนการ ประเมนระดบคาความเสยงทเหลออย (residual risk) วาอยในระดบความเสยงทยอมรบได จดท าแผนการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ โดยจดล าดบความส าคญ

ในการด าเนนการ น าเสนอและขออนมตแผนการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ ด าเนนการสอสารแผนการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ

นอกจากน สง. ควรจดใหมการก าหนดดชนชวดความเสยงดานเทคโนโลยสารสนเทศ (IT key risk indicators) ใหสอดคลองกบความส าคญของงานเทคโนโลยสารสนเทศ แตละงานเพอใชตดตามและทบทวนความเสยง

(3) การตดตามและทบทวนความเสยง (risk monitoring and review) สง. ควรก าหนดผรบผดชอบและจดใหมกระบวนการในการตดตามดชนชวดความเสยง

ดานเทคโนโลยสารสนเทศ (IT key risk indicators) ตามทก าหนดและทบทวนความเสยง ดานเทคโนโลยสารสนเทศ ใหอยภายใตระดบความเสยงดานเทคโนโลยสารสนเทศทยอมรบได (IT risk appetite) โดยควรจดใหมการจดเกบและบนทกขอมลอยางเปนระบบ เพอใชตดตามและทบทวนความเสยงไดอยางมประสทธภาพ ครอบคลมอยางนอย การตดตามความคบหนาของการด าเนนงานตามแผนการบรหารจดการความเสยง

ดานเทคโนโลยสารสนเทศอยางตอเนอง ประสานงานรวมกบผรบผดชอบและผบรหารถงสถานะด าเนนงาน อปสรรคและขอจ ากดทเกดขน ศกษาและวเคราะหเหตการณความเสยงทเกดขน รวมทงตดตามแนวโนมของเหตการณ

ความเสยงดานเทคโนโลยสารสนเทศทอาจเกดขนกบ สง. และองคกรอน รายงานความคบหนาของแผนการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ

ตามรอบทก าหนด

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 15

(4) การรายงานความเสยง (risk reporting) สง. ควรจดใหมกระบวนการน าเสนอผลการบรหารความเสยงดานเทคโนโลยสารสนเทศ

พรอมทงรายงานผลการประเมนและการบรหารความเสยงดานเทคโนโลยสารสนเทศโดยเชอมโยง กบความเสยงในระดบองคกร รวมทงรายงานแนวโนมความเสยงดานเทคโนโลยสารสนเทศทอาจจะเกดขน ตอคณะกรรมการของ สง. หรอคณะกรรมการทไดรบมอบหมาย อยางนอยไตรมาสละ 1 ครง และเมอมการเปลยนแปลงอยางมนยส าคญ เพอใหมนใจวา สง. มการบรหารความเสยง ดานเทคโนโลยสารสนเทศทเหมาะสมและตอเนอง โดยการรายงานควรครอบคลมอยางนอย สถานะและผลลพธการด าเนนงานตามแผนการบรหารจดการความเสยงดานเทคโนโลย

สารสนเทศประจ าป ผลการประเมนและการจดการความเสยงดานเทคโนโลยสารสนเทศ โดยเชอมโยงกบ

ความเสยงในระดบองคกร รายงานดชนชวดความเสยงดานเทคโนโลยสารสนเทศ และรายงานสรปเหตการณผดปกต แนวโนมความเสยงดานเทคโนโลยสารสนเทศทอาจจะเกดขนกบ สง. ความคบหนาของการด าเนนงานตามแผนการบรหารจดการความเสยง

ทงน สง. ควรจดใหมการทบทวนหลกเกณฑ ระเบยบวธปฏบตและกระบวนการในการบรหารความเสยงดานเทคโนโลยสารสนเทศ อยางนอยปละ 1 ครงและทกครงทมการเปลยนแปลงอยางมนยส าคญ

1.4.6 นโยบายการใชบรการจากผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ (IT outsourcing policy)

โดยครอบคลมอยางนอย หลกเกณฑการแบงประเภทของการใชบรการจากผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ แนวทางการบรหารจดการความเสยง แนวทางการคดเลอกผใหบรการ และแนวทางการประเมน

ประสทธภาพของผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ แนวทางการรกษาความมนคงปลอดภยของระบบงานและขอมล การรายงานผลการประเมนความเสยงและประสทธภาพการด าเนนงานของผใหบรการภายนอก

ดานงานเทคโนโลยสารสนเทศ การตรวจสอบผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ การคมครองผใชบรการของ สง. จากการใชบรการผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 16

2. การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security)

2.1 การบรหารจดการทรพยสนดานเทคโนโลยสารสนเทศ (IT Asset Management)

วตถประสงค เพอให สง. มการจดท าทะเบยนรายการทรพยสนดานเทคโนโลยสารสนเทศอยางครบถวนและควบคม ดแลทรพยสนดานเทคโนโลยสารสนเทศใหมความพรอมใชงานและสามารถรองรบการด าเนนธรกจไดอยางตอเนอง

2.1.1 ก าหนดมาตรฐานและระเบยบวธปฏบตการบรหารจดการทรพยสนดานเทคโนโลยสารสนเทศ ครอบคลม การจดท าทะเบยนรายการทรพยสน การปรบปรงทะเบยนรายการทรพยสน การยกเลกและเรยกคนทรพยสน

2.1.2 จดใหมหนวยงานผรบผดชอบในการจดท า ปรบปรงทะเบยนรายการทรพยสนดานเทคโนโลยสารสนเทศ และบ ารงรกษาทรพยสนดานเทคโนโลยสารสนเทศอยางสม าเสมอ รวมทงวางแผนรองรบทรพยสนดานเทคโนโลยสารสนเทศทใกลจะสนสดตามอายการใชงาน (end of life) หรอสนสดการใหบรการ (end of support) จากผผลตไดอยางเหมาะสมทนการณ

2.1.3 มการจดท าทะเบยนรายการทรพยสนดานเทคโนโลยสารสนเทศ (IT inventory list) ของฮารดแวร (hardware) และซอฟตแวร (software) ทรองรบระบบเทคโนโลยสารสนเทศของ สง. อยางครบถวนและเปนลายลกษณอกษร โดยครอบคลมอยางนอย ดงน ชอเครองแมขาย ชอระบบปฎบตการ (operating system) และเวอรชน ชอระบบงาน (application) และเวอรชน เจาของทรพยสน (owner) ประเภทของอปกรณ ยหอ รายละเอยดทางเทคนค (specification) หมายเลขอางองของฮารดแวร (serial number) และหมายเลขอางองของซอฟตแวร (software license) สถานทตง วนทเรมตดตง ประเภทการครอบครอง (ซอหรอเชา) รายละเอยดผใหบรการหรอผบ ารงรกษา วนทบ ารงรกษาลาสด วนสนสดการใชงานตามสญญา (warranty) และวนสนสดการรบประกนการใชงาน (support contract) วนสนสดการใหบรการจากผผลต (end of support)

2.1.4 มการปรบปรงทะเบยนรายการทรพยสนดานเทคโนโลยสารสนเทศใหเปนปจจบนอยางตอเนอง โดยมการตรวจสอบทรพยสนดานเทคโนโลยสารสนเทศทมอยจรงกบทะเบยนรายการอยางสม าเสมออยางนอยปละ 1 ครง

2.1.5 มกระบวนการในการยกเลกและเรยกคนทรพยสน (return asset) เมอสนสดการใชงานครอบคลมทงทรพยสนดานเทคโนโลยสารสนเทศทใชงานภายใน สง. และกรณทผใหบรการภายนอกมการใชงานทรพยสนของ สง. ทนททมการยกเลกสญญาจางดวย

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 17

2.2 การรกษาความมนคงปลอดภยของขอมล (Information Security)

วตถประสงค เพอให สง. มการรกษาความมนคงปลอดภยและความลบของขอมล ครอบคลมการรบสงขอมล ผานเครอขายสอสาร การจดเกบหรอใชงานบนระบบและสอบนทกขอมลตางๆ

การรกษาความมนคงปลอดภยของขอมล (information security) 2.2.1 ก าหนดใหมเจาของขอมล (information owner) รบผดชอบในการก าหนดผใชงาน สทธการเขาถงและ

การใชงานขอมลอยางปลอดภย 2.2.2 ก าหนดหลกเกณฑการจดชนความลบของขอมล (information classification) โดยควรระบชนความลบ

ของขอมล (labeling) อยางชดเจน 2.2.3 ก าหนดแนวทางการรกษาความมนคงปลอดภยของขอมลทสอดคลองตามชนความลบ ครอบคลม

ขอมลทอยบนอปกรณทใชปฏบตงาน (data at endpoint) ขอมลทอยระหวางการรบสงผานเครอขาย (data in transit) ขอมลทอยบนระบบงานและสอบนทกขอมล (data at rest)

2.2.4 ก าหนดแนวทางการควบคมดแลรกษาความปลอดภยสอบนทกขอมลระหวางขนสง (physical media transfer) เพอใหมการควบคมการเขาถงสอทมขอมลส าคญในระหวางการขนสง

2.2.5 ก าหนดมาตรฐานและระเบยบวธปฏบตการท าลายขอมล (information disposal) ครอบคลม ขอบเขตหนาทความรบผดชอบของหนวยงานทเกยวของ วธการท าลายขอมลใหสอดคลองกบระดบความส าคญ ของขอมล โดยมกระบวนการควบคมการท าลายขอมล ทครอบคลมการอนมตจากหนวยงานเจาของขอมลกอนด าเนนการ การควบคมการท าลายในลกษณะ dual control การสอบทานการปฏบตงานโดยหวหนางาน รวมทงจดใหมการจดท าทะเบยนการท าลายขอมลส าคญ โดยระบผรบผดชอบในการท าลายขอมล วนท เวลา ชนดของสอบนทกขอมล serial number และวธการทใชท าลายขอมล การบรหารจดการการเขารหสขอมล (cryptography)

2.2.6 ก าหนดมาตรฐานและระเบยบวธปฏบตการบรหารจดการการเขารหสขอมล ครอบคลม ขอบเขตหนาท ความรบผดชอบของหนวยงานทเกยวของ วธการเขารหสขอมล (cryptographic algorithm) ทสอดคลอง ตามระดบความส าคญของขอมล และการบรหารจดการกญแจเขารหสขอมล (key management)

2.2.7 ก าหนดใหมการเขารหสขอมลส าคญและชองทางการสอสารทใชรบสงขอมลส าคญกบภายนอก 2.2.8 วธการเขารหสขอมล ควรใชมาตรฐานการเขารหสขอมลทเชอถอไดและเปนมาตรฐานสากล เชน การเขารหส

ขอมลแบบสมมาตร (เชน AES) การเขารหสขอมลแบบอสมมาตร (เชน public key cryptography) เปนตน โดยมการทบทวนประสทธภาพของวธการเขารหสขอมลอยางสม าเสมอ เพอใหมนใจวาวธการเขารหสขอมล ทใชงานยงคงมความแขงแรงเพยงพอ

2.2.9 การบรหารจดการกญแจเขารหสขอมล (key management) ควรก าหนดกระบวนการทมความรดกมปลอดภยครอบคลมตงแต การสรางและตดตง การจดเกบ และการยกเลกกญแจเขารหสขอมล

การสรางและตดตงกญแจเขารหสขอมล มการควบคมสภาพแวดลอมในการสรางรหสทมความรดกมปลอดภย เชน เลอกใชผใหบรการออกใบรบรอง

(Certification Authority) ทนาเชอถอ มขนตอนการท าลายหลกฐานทใชหลงจากสรางกญแจแลวเสรจ กญแจเขารหสขอมล จะตองไมมพนกงานหรอบคคลใดบคคลหนงรรหสทงหมด

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 18

ก าหนดขนาดของกญแจเขารหสขอมลทมความยาวเพยงพอในการปองกนการถกถอดรหส เชน การถกโจมตแบบ brute force เปนตน

การแลกเปลยนกญแจตองผานกระบวนการและชองทางทปลอดภย ก าหนดไมใหใชกญแจเขารหสขอมลเดยวกนกบหลายระบบงาน

การจดเกบกญแจเขารหสขอมล มการรกษาความปลอดภยของกญแจเขารหสขอมลทงดาน physical และ logical โดยใชอปกรณ

รกษาความปลอดภย HSM หรออปกรณทท าหนาทในลกษณะเดยวกน มการส ารองขอมลกญแจเขารหสขอมล โดยวธการเกบรกษากญแจเขารหสขอมลชดส ารองตองม

การรกษาความปลอดภยในระดบเดยวกบกญแจเขารหสขอมลชดหลก การเปลยนและเพกถอนกญแจเขารหสขอมล

ก าหนดเกณฑและแนวทางในการเปลยนและเพกถอนกญแจเขารหสขอมล เชน กรณกญแจหมดอายลาสมย หรอไมปลอดภย เปนตน

ก าหนดกระบวนการท าลายกญแจ โดยตองมนใจวาไมสามารถน ากญแจนนมาใชงานไดอก

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 19

2.3 การควบคมการเขาถง (Access Control)

วตถประสงค เพอให สง. มการบรหารจดการบญชสทธสงและสทธของผใชงานมประสทธภาพเปนไปตามหลก ความจ าเปนของการใชงานและสอดคลองกบหลกการแบงแยกงานดานเทคโนโลยสารสนเทศทด โดยสามารถ ปองกนการเขาถงโดยไมไดรบอนญาต

2.3.1 แนวทางการควบคมการเขาถง ให สง. ปฏบตตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices) Phase 1: ธรกรรมฝาก ถอน โอน

2.4 การรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and Environmental Security)

วตถประสงค เพอให สง. มการรกษาความมนคงปลอดภยและความพรอมใชงานของศนยคอมพวเตอร และพนทส าคญทเกยวของกบระบบเทคโนโลยสารสนเทศเพยงพอรองรบธรกจอยางตอเนอง

2.4.1 สง. ควรจดใหศนยคอมพวเตอรส ารองแยกออกจากศนยคอมพวเตอรหลก ซงควรมระยะหางทเพยงพอและ ไมใชระบบสาธารณปโภคจากแหลงเดยวกน เพอกระจายความเสยงและปองกนไมใหไดรบผลกระทบเดยวกน เชน ระบบไฟฟาหรอระบบโทรคมนาคมขดของ การประทวงหรอจลาจล ภยพบตทางธรรมชาต เปนตน

2.4.2 สง. ควรมการรกษาสภาพแวดลอมและการรกษาความปลอดภยของศนยคอมพวเตอรส ารองอยางเพยงพอตามนโยบายหรอมาตรฐานการรกษาความปลอดภยของ สง. เพอไมใหระบบเทคโนโลยสารสนเทศทส าคญ มความเสยงตอความพรอมใชงาน

2.4.3 แนวทางการรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม ให สง. ปฏบตตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices) Phase 1: ธรกรรมฝาก ถอน โอน

2.5 การรกษาความมนคงปลอดภยของระบบเครอขายสอสาร (Communications Security)

วตถประสงค เพอให สง. มโครงสรางของระบบเครอขายสอสารทมนคงปลอดภย มการออกแบบระบบเครอขายสอสารทเหมาะสมตามมาตรฐานสากล และมการปองกนหรอเฝาระวงการบกรกหรอภยคกคามในรปแบบตาง ๆ

2.5.1 ก าหนดมาตรฐานและระเบยบวธปฏบตในการรบสงขอมลผานระบบเครอขายสอสารในองคกร และ ระหวางเครอขายสอสารภายในองคกรกบระบบเครอขายสอสารภายนอกองคกรใหมความมนคงปลอดภย โดยควรจดใหมแนวทางปองกนการเปลยนแปลงแกไข ท าความเสยหายหรอเขาถงขอมลโดยไมไดรบอนญาต และมกระบวนการตรวจสอบผใชงานอยางเขมงวด

2.5.2 แนวทางการรกษาความมนคงปลอดภยของระบบเครอขายสอสาร ให สง. ปฏบตตามแนวปฏบตทด ส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices) Phase 1: ธรกรรมฝาก ถอน โอน

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 20

2.6 การรกษาความมงคงปลอดภยในการปฏบตงานดานเทคโนโลยสารสนเทศ (IT Operations Security)

2.6.1 การบรหารจดการการเปลยนแปลง (Change Management)

วตถประสงค เพอให สง. มการบรหารจดการการเปลยนแปลงดานเทคโนโลยสารสนเทศสอดคลองตามมาตรฐานสากล โดยมการควบคมทรดกมปลอดภยเปนไปตามวตถประสงคทก าหนดไวอยางครบถวนถกตอง

2.6.1.1 ก าหนดมาตรฐานและระเบยบวธปฏบตการบรหารจดการการเปลยนแปลงอยางเปนลายลกษณอกษร เพอควบคมการเปลยนแปลงโครงสรางพนฐานดานเทคโนโลยสารสนเทศใหมความรดกมเพยงพอ เชน การน าระบบขนใชงานจรง การตงคาระบบ การตดตง patch บนระบบทใหบรการจรง เปนตน

2.6.1.2 ก าหนดบทบาทหนาทและความรบผดชอบของผบรหารทไดรบมอบหมายหรอคณะกรรมการบรหารจดการการเปลยนแปลง (Change Advisory Board: CAB) ซงควรประกอบดวยผบรหารจากหนวยงานเทคโนโลยสารสนเทศ และหนวยงานผใชงานเทคโนโลยสารสนเทศทเกยวของเพอท าหนาทประเมนผลกระทบและพจารณาเหตผลความจ าเปนกอนอนมตใหด าเนนการเปลยนแปลงระบบ ปองกนการแกไขเปลยนแปลง โดยไมไดรบอนญาตและไมใหเกดผลกระทบทอาจเกดกบระบบทเกยวของ โดยครอบคลมอยางนอย ดงน ผลการประเมนความเสยงและผลกระทบของการเปลยนแปลง โดยมหนวยงานเจาของระบบและ

ผมหนาทเกยวของท าการประเมนองคประกอบทเกยวของ ไดแก ระบบโครงสรางพนฐาน เครอขายสอสาร และการเชอมตอกบระบบอน เพอใหมนใจไดวาการเปลยนแปลงนน ไมกระทบตอการรกษา ความปลอดภย ความถกตองเชอถอได ความพรอมใชของระบบ

ผลการทดสอบ เพอใหมนใจวาระบบไดผานการทดสอบอยางครบถวนเหมาะสมตามมาตรฐานและระเบยบวธปฏบตของ สง.

ขอจ ากดหรอปญหาตาง ๆ ทพบในระหวางการทดสอบไดรบการแกไขอยางเหมาะสม แผนยอนกลบ (roll back plan) กรณทท าการเปลยนแปลงไมส าเรจ เพอรองรบปญหาขดของ

ระหวางการเปลยนแปลง ตารางเวลาการเปลยนแปลงในภาพรวม (change calendar) เพอบรหารทรพยากรและลดความเสยง

หรอผลกระทบทอาจเกดขน นอกจากน ผบรหารทไดรบมอบหมายหรอ CAB ควรมการตดตามผลหลงการเปลยนแปลงระบบ

(post implementation review) เพอใหมนใจไดวาการเปลยนแปลงนนเปนไปตามวตถประสงคทก าหนด 2.6.1.3 ผทเกยวของในกระบวนการบรหารจดการการเปลยนแปลงควรมการแบงแยกหนาทอยางเหมาะสม

(segregation of duties) เพอไมใหบคคลใดบคคลหนงสามารถปฏบตงานไดตงแตตนจนจบกระบวนการ เชน ผมสทธรองขอ ผทมอ านาจในการอนมตการเปลยนแปลง ผทสามารถด าเนนการเปลยนแปลงระบบ เปนตน

2.6.1.4 มหลกเกณฑในการจดประเภทการเปลยนแปลงระบบตามความเสยงและความส าคญทชดเจน เชน การเปลยนแปลงมาตรฐานทไดรบอนมตเปนการทวไป (standard change) การเปลยนแปลงทตอง ขออนมตตามกระบวนการปกต (normal change) และการเปลยนแปลงทตองด าเนนการอยางเรงดวน (emergency change) โดย สง. ควรก าหนดกระบวนการและขนตอนในการจดการการเปลยนแปลง ตามแตละประเภทอยางเหมาะสม

2.6.1.5 กรณการเปลยนแปลงทตองด าเนนการอยางเรงดวน ควรมกระบวนการในการพจารณาความเสยง และผลกระทบ รวมถงขออนมตจากผบรหารทไดรบมอบหมายใหสามารถตดสนใจไดกรณเรงดวน โดยภายหลงด าเนนการใหมการรายงานผบรหารทเกยวของและ CAB ไดรบทราบโดยเรว

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 21

2.6.1.6 ค าขอการเปลยนแปลง (change request) ควรไดรบการอนมตจากหนวยงานเจาของระบบ (system owner) เพอใหมนใจไดวาการขอเปลยนแปลงไดรบการพจารณาความจ าเปนอยางเหมาะสมจากหนวยงานเจาของระบบ

2.6.1.7 มระบบหรอทะเบยนในการจดเกบค าขอเปลยนแปลงและเอกสารรายละเอยดทเกยวของเพอใชควบคม การปฏบตงานตงแตตนจนจบกระบวนการ และสามารถใชในการตดตามและสอบทานการปฏบตงานได

2.6.1.8 มการจดเกบการเปลยนแปลงของโครงสรางพนฐานดานเทคโนโลยสารสนเทศ (version control) เชน การน าระบบขนใชงานจรง การตงคาระบบ การตดตง patch บนระบบทใหบรการจรง เปนตน เพอควบคมความเสยงในการเปลยนแปลงและลดขอผดพลาดทอาจเกดขน

2.6.1.9 มการประเมนผลกระทบหรอท าการทดสอบบนระบบทมสภาพแวดลอมใกลเคยงกบระบบทใหบรการจรง กอนน าไปตงคาบนระบบทใหบรการจรง เพอลดความเสยงและผลกระทบทอาจเกดขน

2.6.2 การบรหารจดการการตงคาระบบ (system configuration management)

วตถประสงค เพอให สง. มกระบวนการควบคมการเปลยนแปลงการตงคาระบบทมความรดกมปลอดภย และเปนไปตามมาตรฐาน

2.6.2.1 จดท าเอกสาร minimum baseline standard เพอใชเปนมาตรฐานการตงคาของระบบปฏบตการ ระบบฐานขอมล และอปกรณเครอขายสอสารตาง ๆ อยางเปนลายลกษณอกษร โดยมการทบทวน ปรบปรงเอกสารใหเปนปจจบนอยางสม าเสมอ

2.6.2.2 การเปลยนแปลงการตงคาบนระบบทใหบรการจรง ตองผานกระบวนการบรหารจดการการเปลยนแปลง ท สง. ก าหนด เพอปองกนความเสยงหรอขอผดพลาดในการปฏบตงาน

2.6.2.3 มการจดเกบการเปลยนแปลงของการตงคาระบบของทกอปกรณ ระบบและระบบงาน (system configuration version control) โดยมการรกษาความปลอดภยทรดกมเพยงพอ

2.6.2.4 มการสอบทานการตงคาจากหนวยงานทมหนาทควบคมดแลความปลอดภยหรอความเสยงดานเทคโนโลยอยางสม าเสมอ เพอใหสอดคลองตามมาตรฐานของ สง.

2.6.2.5 กรณมความจ าเปนตองตงคาทไมเปนไปตามเอกสาร minimum baseline standard ควรผานกระบวนการขออนมตยกเวน (exception) เพอประเมนความเสยงและพจารณาแนวทางควบคมความเสยงทเพยงพอเหมาะสมกอนด าเนนการ

2.6.3 การบรหารจดการ patch (patch management)

วตถประสงค เพอให สง. มการบรหารจดการ patch โดยมการควบคมทรดกมปลอดภย และตดตง ไดอยางเหมาะสมทนการณ

2.6.3.1 ก าหนดมาตรฐานและระเบยบวธปฏบตในกระบวนการบรหารจดการ patch ทครอบคลม การตรวจสอบความถกตองของ patch และการประเมนความเสยงและความจ าเปนในการตดตง patch ใหมจากผผลตอยางเหมาะสมทนการณ

2.6.3.2 มการจดเกบการเปลยนแปลงการตดตงของทกอปกรณ ระบบและระบบงาน (patch version control) โดยมการรกษาความปลอดภยทรดกมเพยงพอ

2.6.3.3 มกระบวนการทดสอบ patch ทออกใหมทกครงกอนน าไปตดตงบนระบบทใหบรการจรง 2.6.3.4 การตดตง patch บนระบบทใหบรการจรง ตองผานกระบวนการบรหารจดการการเปลยนแปลงท สง. ก าหนด

เพอปองกนความเสยงหรอขอผดพลาดในการปฏบตงาน

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 22

2.6.3.5 มการทบทวนและปรบปรงกระบวนการบรหารจดการ patch อยางสม าเสมอ เพอใหมนใจไดวา สง. สามารถทดสอบและตดตง patch ดานการรกษาความปลอดภย ไดทนตอสถานการณทเปลยนไปและสามารถรองรบความเสยงทเพมขนไดอยางรวดเรว

2.6.4 การจดเกบขอมลบนทกเหตการณ (logging)

วตถประสงค เพอให สง. มขอมลบนทกเหตการณทครบถวนเพยงพอและปลอดภย สามารถใชตดตาม ตรวจสอบรองรอยการเขาถงและการใชงานระบบหรอขอมลของผใชงาน รวมทงใชเปนหลกฐานการท าธรกรรม ทางอเลกทรอนกสตามทกฎหมายก าหนด

2.6.4.1 มการจดเกบขอมลบนทกเหตการณของเครองแมขาย ระบบงาน อปกรณเครอขายสอสารทส าคญดวย วธการทปลอดภย โดยมรายละเอยดทครบถวนเพยงพอทจะใชเปนหลกฐานในการตรวจสอบทสามารถระบ ตวบคคลผกระท าได และจดเกบยอนหลงเปนระยะเวลาอยางนอย 90 วน หรอตามกฎหมายทเกยวของก าหนด บนทกรองรอยกจกรรมการท าธรกรรม (transaction log) บนทกการเขาถง (access log) บนทกการด าเนนงาน (activity log) ทส าคญ โดยอยางนอยตองครอบคลม - การเปลยนแปลงแกไขโครงสรางฐานขอมล และการเปลยนแปลงแกไขขอมล

(update/ insert/ delete) ในตารางทส าคญ - การเปลยนแปลงการตงคาความปลอดภยของระบบ - การเขาถง object ทส าคญของระบบ - การเปลยนแปลงแกไขบญชและสทธของผใชงาน

2.6.4.2 มการใชระบบในการควบคมคาเวลาของเครองแมขาย ระบบงาน อปกรณเครอขายสอสารใหตรงกบ เครองแมขาย Network Time Protocol : NTP (clock synchronization) เพอใหคาเวลาในการบนทกเหตการณมความถกตองในลกษณะ real-time ซงเครองแมขาย NTP ตองรบสญญาณนาฬกาจากแหลง ทมความนาเชอถอ

2.6.4.3 ขอมลการบนทกเหตการณของอปกรณส าคญควรจดเกบไวทเครองแมขายทแยกเฉพาะ อยางนอยครอบคลม access log และ activity log โดยมการรกษาความปลอดภยทรดกมเพยงพอในการปองกนการเปลยนแปลง แกไข หรอท าลาย

2.6.4.4 มการสอบทานบนทกการเขาถง (access Log) และบนทกการด าเนนงาน (activity log) ของผปฏบตงานดานเทคโนโลยสารสนเทศทมสทธสงอยางสม าเสมอ เชน system administrator หรอ system operator เปนตน เพอใหมนใจไดวาผปฏบตงานเขาถงและปฏบตงานตามขอบเขตหนาททไดรบมอบหมาย

2.6.5 การบรหารจดการขดความสามารถของระบบ (Capacity Management)

วตถประสงค เพอให สง. สามารถบรหารทรพยากรดานเทคโนโลยสารสนเทศไดอยางเพยงพอรองรบ ตอการด าเนนธรกจ และสามารถวางแผนการจดการเทคโนโลยสารสนเทศใหรองรบการใชงานในอนาคต

2.6.5.1 ก าหนดมาตรฐานและระเบยบวธปฏบตเรองการบรหารจดการขดความสามารถของระบบ เพอประเมนและตดตามดแลความเพยงพอของโครงสรางพนฐานดานเทคโนโลยสารสนเทศทครอบคลมถง ระบบคอมพวเตอร ระบบฐานขอมล ระบบเครอขายสอสาร และระบบสาธารณปโภคทเกยวของกบงานเทคโนโลยสารสนเทศ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 23

2.6.5.2 มการประเมนแนวโนมการใชทรพยากรดานเทคโนโลยสารสนเทศเพอวางแผนรองรบการใชงานในอนาคต (capacity planning) โดยครอบคลมทงระบบหลกและระบบส ารอง

2.6.5.3 มกระบวนการหรอเครองมอในการตดตามประสทธภาพและความเพยงพอของการใชทรพยากร ดานเทคโนโลยสารสนเทศของระบบ เชน ระบบ core banking ระบบการช าระเงน ระบบทใหบรการ ทางการเงนอเลกทรอนกส เปนตน เพอบรหารจดการทรพยากรดานเทคโนโลยสารสนเทศไดอยางทนทวงท และสามารถตอบสนองความตองการในการด าเนนงานทางธรกจอยางตอเนอง

2.6.5.4 มการก าหนดตวชวดการใชทรพยากรดานเทคโนโลยสารสนเทศ (threshold และ trigger) ในระดบตาง ๆ เพอใหมการแจงเตอนผเกยวของอยางทนทวงท และสามารถวเคราะหปญหาและแนวทางการรบมอทเหมาะสม รวมถงการประสานงานกบหนวยงานทงภายในและภายนอกกรณเกดเหตขดของ

2.6.5.5 จดท ารายงานความเพยงพอของทรพยากรดานเทคโนโลยสารสนเทศน าเสนอตอคณะกรรมการทไดรบมอบหมายหรอผบรหารระดบสงทเกยวของรบทราบอยางสม าเสมอ เพอใหมการก ากบดแลความพรอม และความเพยงพอของระบบในการรองรบการใหบรการทางธรกจไดอยางตอเนอง รวมทงเพอพจารณาแนวทางลดความเสยงไดทนการณ

2.6.6 การตดตามดแลระบบและเฝาระวงภยคกคาม (Security Monitoring)

วตถประสงค เพอให สง. สามารถตรวจจบ ปองกนและรบมอเหตการณผดปกตไดอยางทนทวงท โดยมกระบวนการตดตามดแลความมนคงปลอดภยของระบบ รวมถงเฝาระวงภยคกคามอยางตอเนอง

2.6.6.1 ก าหนดมาตรฐานและระเบยบวธปฏบตในการตดตามดแลระบบและเฝาระวงภยคกคาม เพอใหม การตดตามดแลความปลอดภยของระบบอยางตอเนอง

2.6.6.2 ก าหนดกระบวนการหรอเครองมอในการตรวจจบเหตการณผดปกตทกระทบตอความปลอดภยของระบบ ทส าคญอยางทนทวงท ครอบคลมระบบงานและระบบเครอขายสอสารทงในเชง physical และ logical เชน ศนยคอมพวเตอร ระบบ core banking ระบบการช าระเงน และระบบทใหบรการทางการเงนอเลกทรอนกส เปนตน เพอใหรบทราบความผดปกตหรอภยคกคาม และสามารถด าเนนการปองกนหรอรบมอไดอยางเหมาะสม

2.6.6.3 มกระบวนการหรอเครองมอในการรบขอมลจากแหลงขอมลทเชอถอได มการวเคราะหและจดการขอมล ภยคกคามทอาจเกดขนอยางตอเนอง ครอบคลม ลกษณะการโจมต ความเปนไปไดทจะเกดเหตการณ ภยคกคาม รวมถงวธการรบมอกบภยคกคามนน เพอน ามาใชสนบสนนการรบมอตอภยคกคามทางไซเบอร

2.6.6.4 ก าหนดใหมผรบผดชอบในการประสานงานแลกเปลยนขอมลภยคกคาม ระหวาง สง. และหนวยงาน ทเกยวของ รวมทงมกระบวนการและชองทางในการรายงาน แลกเปลยน ตดตาม เพอปองกนรบมอและแกไขภยคกคาม

2.6.6.5 ในกรณทพบภยคกคามทสงผลกระทบอยางมนยส าคญ สง. ควรจดใหมการรายงานผบรหารหรอคณะกรรมการทเกยวของ รวมทงมการรายงานหนวยงานก ากบดแลทเกยวของ รวมทงจดใหมกระบวนการตรวจพสจนพยานหลกฐานทางดจทล (digital forensic) โดยผทมความเชยวชาญ เพอใหทราบสาเหตหรอชองโหวของระบบ และสามารถด าเนนการปดชองโหวและปองกนความเสยงทอาจเกดขนอก

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 24

2.6.7 การบรหารจดการชองโหวและการทดสอบเจาะระบบ (Vulnerability Management and Penetration Test)

วตถประสงค เพอให สง. ไดรบทราบถงชองโหวดานการรกษาความปลอดภยของระบบ และสามารถด าเนนการปรบปรงแกไขปองกนความเสยงจากภยคกคามใหม ๆ ทอาจเกดขนไดอยางทนการณ

2.6.7.1 ก าหนดมาตรฐานและระเบยบวธปฏบตการบรหารจดการชองโหวและการทดสอบเจาะระบบ การบรหารจดการชองโหว (Vulnerability Management)

2.6.7.2 มกระบวนการและเครองมอในการประเมนชองโหว (vulnerability assessment) โดย สง. ควรก าหนดขอบเขตและความถของการประเมนชองโหวใหครอบคลมทกระบบงานอยางสม าเสมอตามระดบความเสยง ส าหรบระบบบงานส าคญควรจดท าอยางนอยปละ 1 ครงและเมอมการเปลยนแปลงอยางมนยส าคญ

2.6.7.3 มการรายงานผลการประเมนชองโหวไปยงผรบผดชอบ รวมทงมการตดตามการด าเนนการปรบปรงแกไข และน าเสนอความคบหนาการด าเนนการตอคณะกรรมการหรอผบรหารทไดรบมอบหมาย การทดสอบเจาะระบบ (Penetration Test)

2.6.7.4 มการทดสอบเจาะระบบ (penetration test) โดยผเชยวชาญทมความอสระ ครอบคลมระบบงานและระบบเครอขายกบระบบทมการเชอมตอกบเครอขายสาธารณะ (internet facing) อยางนอยปละ 1 ครงและเมอมการเปลยนแปลงอยางมนยส าคญ

2.6.7.5 มการรายงานผลการทดสอบเจาะระบบไปยงผรบผดชอบ รวมทงมการตดตามการด าเนนการปรบปรงแกไข และน าเสนอความคบหนาการด าเนนการตอคณะกรรมการหรอผบรหารทไดรบมอบหมาย

2.6.7.6 มกระบวนการรวบรวมและวเคราะหชองโหวทางดานเทคนคทตรวจพบ เพอก าหนดเปนมาตรการรกษาความมนคงปลอดภยของระบบงานทจะมการพฒนาในอนาคต

2.6.8 การส ารองขอมล (Data Backup)

วตถประสงค เพอใหมนใจวา สง. มขอมลส ารองทมความพรอมใชงานในกรณระบบและขอมลหลก เกดเหตขดของหรอไดรบความเสยหายจนไมสามารถใชงานไดตามปกต

2.6.8.1 ก าหนดมาตรฐานและระเบยบวธปฏบตการส ารองขอมล เพอใหมขอมลส ารองพรอมใชและมความปลอดภย โดยควรครอบคลมอยางนอย วธการ เทคโนโลยและรอบระยะเวลาทใชในการส ารองขอมล โดยควรสอดคลองกบเปาหมาย

ระยะเวลาสงสดทยอมใหขอมลเสยหาย (Recovery Point Objective : RPO) ทก าหนด รอบระยะเวลาและวธการทดสอบความพรอมใชของขอมลส ารอง

2.6.8.2 มกระบวนการส ารองทงระบบ (full backup) ทกครงภายหลงจากทมการเปลยนแปลงระบบปฏบตการ และระบบงาน เพอใหระบบส ารองมความเปนปจจบน

2.6.8.3 มระบบหรอทะเบยนควบคมการจดเกบและเรยกใชงานสอบนทกขอมลตามประเภทของสอทจดเกบ โดยมการระบขอมล ชอ วนท และชวงเวลาทจดเกบ ทสามารถตดตามตรวจสอบได

2.6.8.4 มการจดเกบสอบนทกขอมลส ารองไวนอกศนยคอมพวเตอรหลกหรอนอกสถานทปฏบตงานหลก โดยมการรกษาสภาพแวดลอมและการควบคมความปลอดภยในการเขาถงขอมลทจดเกบไว เทยบเคยง กบศนยคอมพวเตอรหลก

2.6.8.5 จดใหมการสอบทานการส ารองขอมล เพอใหมนใจวามการส ารองขอมลครบถวนถกตอง พรอมใชงาน และปลอดภยตามมาตรฐานและระเบยบวธปฏบตของ สง.

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 25

2.6.9 การรกษาความปลอดภยในอปกรณทใชปฏบตงาน (Endpoint Security)

วตถประสงค เพอใหอปกรณทใชปฏบตงานมความปลอดภยและไมเปนชองทางทท าใหขอมลส าคญ ของ สง. รวไหลหรอมการเขาใชงานโดยไมไดรบอนญาต

2.6.9.1 ก าหนดมาตรฐานและระเบยบวธปฏบตการรกษาความปลอดภยในอปกรณทใชปฏบตงานเปนลายลกษณอกษร ทงอปกรณของ สง. และอปกรณสวนตว (Bring Your Own Device : BYOD) เชน personal computer, notebook, tablet, smartphone, removable media เปนตน เพอให สง. มแนวทางทใชในการควบคมความเสยงจากการใชงานอปกรณดงกลาว

2.6.9.2 ก าหนด Security Baseline ส าหรบอปกรณทใชปฏบตงานของ สง. เพอปองกนความเสยงทอปกรณเหลานนอาจเปนชองทางในการแพรกระจายของโปรแกรมไมประสงคด (malware) และการรวไหลของขอมลส าคญตามระดบความเสยงทเหมาะสม โดยอยางนอยครอบคลม ดงน ตดตงระบบปฏบตการและโปรแกรมพนฐานทใชในการปฏบตงานบนเครองคอมพวเตอร (personal

computer, notebook) โดยมกระบวนการหรอเครองมอในการควบคมและตดตามไมใหผใชงานสามารถตดตงโปรแกรมอน ๆ นอกเหนอจาก สง. ก าหนด

ตดตงโปรแกรมรกษาความปลอดภย เชน anti-Virus/ anti-malware, Host-based Intrusion Prevention System (HIPS) เปนตน โดยมการปรบปรงประสทธภาพของการปองกนโปรแกรม ไมประสงคด (malware) ใหเพยงพอและเปนปจจบน เพอใหเทาทนในการปองกนภยคกคามใหม ๆ

ควบคมไมใหมการจดเกบขอมลทมระดบชนความลบสงสดในเครองคอมพวเตอรของผใชงาน แตหาก มความจ าเปนตองจดเกบ ตองมการรกษาความปลอดภยทรดกมเพยงพอ เชน มการเขารหส เปนตน

มกระบวนการหรอเครองมอในการตรวจจบ (detect) คดกรอง (filter) สกดกน (block) เพอปองกนขอมลส าคญรวไหล (Data Leakage Prevention : DLP)

จ ากดการเขาถง shared drive หรอ shared folder ตามความจ าเปนในการใชงานเทานน การควบคมการใชงานอนเตอรเนต โดย สง. ควรมเครองมอในการควบคมใหอปกรณทสามารถเชอมตอ

อนเตอรเนตเขาถงเฉพาะเวบไซตทไดรบอนญาตเทานน รวมถงมการจ ากดการดาวนโหลดหรออพโหลดขอมลจากอนเตอรเนต

การควบคมการใชสอบนทกขอมลพกพา (removable media) เชน ก าหนดแนวทางการอนญาต ใหใชงาน Universal Serial Bus (USB) หรอ external harddisk เปนตน

การควบคมการใช Email เชน ก าหนดแนวทางการใชงาน Email เปนตน 2.6.9.3 มกระบวนการบรหารจดการอปกรณสวนตว (Bring Your Own Device : BYOD) ตงแตการลงทะเบยน

การตออาย และการยกเลกการใชงาน BYOD อยางนอยครอบคลมดงน หลกเกณฑการอนญาตใหใชงาน BYOD การควบคมการใช BYOD ในการเขาถงระบบเครอขายสอสาร ระบบงานและขอมล ของ สง. มกระบวนการตรวจสอบ วเคราะห และตดตามความเสยงของอปกรณทน ามาใชงานใน สง. ก าหนดรหสผานเพอใชในการลอคหรอปลดลอคในการเขาถงอปกรณสวนตว กรณเครองคอมพวเตอร (personal computer, notebook) ตองตดตง anti-virus/ anti-malware

หรอโปรแกรมตามท สง. ก าหนด

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 26

ไมอนญาตใหอปกรณโทรศพทเคลอนท (tablet, smartphone) ทถกปรบแตง (rooted หรอ jailbroken) ลงทะเบยนใชงาน BYOD

ใชวธการพสจนตวตนอปกรณทเชอถอไดขององคกร เชน trusted root certification authorities, digital certificate เปนตน

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 27

2.7 การจดหาและการพฒนาระบบ (System Acquisition and Development)

วตถประสงค เพอใหมนใจไดวากระบวนการจดหาและการพฒนาระบบ มการควบคมการรกษาความปลอดภยอยางรดกมและสอดคลองตามหลกการควบคมทเปนมาตรฐานสากล

2.7.1 การจดหาระบบ (System Acquisition) 2.7.1.1 มหลกเกณฑการพจารณาคดเลอกระบบและผใหบรการ เพอใชเปนแนวทางในการปฏบตงาน

ซงควรครอบคลมอยางนอย ดงน รายละเอยดทวไป เชน หมายเลขอางองของซอฟตแวร (software license) ฟงกชนการท างาน

ประสทธภาพของระบบ เปนตน ความมนคงปลอดภยของระบบ ฐานะการเงน ชอเสยง และความสามารถดานเทคนค การไดรบการรบรองตามมาตรฐานสากลหรอมาตรฐานดานเทคโนโลยสารสนเทศทเกยวของทไดรบ

การยอมรบโดยทวไป (certificate) การสนบสนนและการบ ารงรกษาระบบ สญญาและขอตกลงการรบฝากทรพยสน (escrow agreement) ตามระดบความส าคญของระบบ ความนาเชอถอของระบบและผใหบรการ ผลการจดท า proof of concept ในกรณทเปนระบบส าคญ

2.7.1.2 สง. ควรควบคมดแลผใหบรการปฏบตตามมาตรฐานและระเบยบวธปฏบตการออกแบบและพฒนาระบบ 2.7.1.3 สง. ก าหนดมาตรฐานและระเบยบวธปฏบตในการตรวจสอบและสงมอบระบบเทคโนโลยสารสนเทศ

2.7.2 การพฒนาระบบเทคโนโลยสารสนเทศ (System Development) 2.7.2.1 ก าหนดมาตรฐานและระเบยบวธปฏบตในการออกแบบและพฒนาระบบอยางเปนลายลกษณอกษร

โดยค านงถงการรกษาความมนคงปลอดภย ครอบคลมกระบวนการตงแตจดท าความตองการ (requirement) การออกแบบ การพฒนา และการทดสอบระบบกอนใชงานจรง

2.7.2.2 มการสรางความตระหนกและใหความรกบผพฒนาโปรแกรมอยางสม าเสมอ เพอเสรมสรางทกษะ ในดานการออกแบบและพฒนาโปรแกรมอยางปลอดภย (secure software development)

2.7.2.3 ก าหนดใหหนวยงานธรกจทเกยวของสอบทานความถกตองครบถวนตามความตองการของหนวยงานธรกจ (business requirement) โดยครอบคลมการรกษาความปลอดภยตามนโยบายหรอมาตรฐานท สง. ก าหนด (security requirement) และ sign off กอนเรมออกแบบระบบ การออกแบบระบบ

2.7.2.4 จดท าเอกสารรายละเอยดคณสมบตทางเทคนค (technical specification) โดยครอบคลมการรกษา ความมนคงปลอดภยตามนโยบายหรอมาตรฐานท สง. ก าหนด (security specification) รวมทงจดใหม การสอบทานความถกตองครบถวนและ sign off จากผทเกยวของกอนเรมพฒนาระบบ

2.7.2.5 จดท าขอบเขตการทดสอบใหครอบคลมฟงกชนและเงอนไขตาง ๆ ดานประสทธภาพ ตามความตองการของหนวยงานธรกจ (business requirement) รวมถงการควบคมความมนคงปลอดภยตามนโยบายหรอมาตรฐานท สง. ก าหนด เพอเปนแนวทางการพฒนาระบบและสอบทานผลการทดสอบกอนทจะออกใชงานจรง (exit criteria)

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 28

การพฒนาระบบ

2.7.2.6 มการแบงแยกสภาพแวดลอมของระบบงานทใชส าหรบการพฒนา (development) การทดสอบ (testing) และระบบทใหบรการจรง (production) ออกจากกน เพอควบคมการทดสอบและลดผลกระทบทอาจเกดขนจากการน าระบบขนใชงานจรง

2.7.2.7 มการควบคมเครองทไมไดอยบนระบบทใหบรการจรง (non-production) ใหมความปลอดภยเพยงพอ ตามระดบความเสยงเพอปองกนการเขาถงโดยไมไดรบอนญาต

2.7.2.8 มกระบวนการหรอเครองมอในการควบคมเวอรชนของค าสงในการเขยนโปรแกรม (source code version control)

2.7.2.9 มการควบคมไมใหมการตดตงเครองมอการพฒนาระบบ (development tools) และเครองมอแปลโปรแกรม (compilers) ไวบนระบบทใหบรการจรง เพอปองกนความเสยงทอาจถกปรบเปลยนหรอตดตงโปรแกรม โดยไมไดรบอนญาต การทดสอบระบบ

2.7.2.10 บทบาทหนาท และความรบผดชอบของผทเกยวของในกระบวนการพฒนาระบบควรเปนไปตามหลกการแบงแยกหนาทอยางเหมาะสม (segregation of duties) เพอไมใหบคคลใดบคคลหนงสามารถปฏบตงาน ไดตงแตตนจนจบกระบวนการ เชน ควรแยกผพฒนาระบบ ออกจากผน าระบบขนใชงานจรง เปนตน

2.7.2.11 มการทดสอบบนสภาพแวดลอมใกลเคยงระบบทใหบรการจรง เพอลดความเสยงของการเปลยนแปลงบนระบบทใหบรการจรง

2.7.2.12 การทดสอบระบบทไดรบการพฒนาหรอเปลยนแปลง ควรครอบคลม unit test system and integration test user acceptance test performance test security test ตาม security specification ทงน สง. ควรจดใหมกระบวนการและเอกสารการ sign off ผลการทดสอบระบบจากฝายงานทเกยวของ ทผานตาม exit criteria อยางครบถวน กอนน าระบบขนใชงานจรง

2.7.2.13 มกระบวนการสอบทาน test scenario หรอ test case เพอใหมนใจวามความครอบคลมเพยงพอ 2.7.2.14 การพฒนาหรอการเปลยนแปลงระบบทเกยวของกบการใหบรการ การท าธรกรรมทางอเลกทรอนกส

หรอระบบทมการเชอมโยงกบระบบอนจ านวนมาก สง. ควรจดใหมการทดสอบประสทธภาพ (performance test) เพอใหมนใจไดวาระบบมเสถยรภาพเพยงพอในการรองรบการใชงานจ านวนมาก

2.7.2.15 มการทดสอบระบบรกษาความปลอดภยควรครอบคลมการประเมนชองโหว (vulnerability assessment) ของระบบงาน และกรณเปนระบบทเชอมตอกบภายนอก ควรมการท าทดสอบเจาะระบบ (penetration test) เพอใหสามารถตรวจพบชองโหวและด าเนนการปรบปรงแกไขไดกอนเรมใหบรการจรง

2.7.2.16 มการสอบทานค าสงในการเขยนโปรแกรม (source code review) อยางเปนอสระ ทกครงท สง. มการพฒนาหรอเปลยนแปลงระบบในสวนทเปนการท าธรกรรมส าคญ รวมถงระบบ internet banking และ mobile banking เพอระบชองโหวดานความมนคงปลอดภย

2.7.2.17 มแนวทางการควบคมการรกษาความปลอดภยและความลบของขอมลส าคญทน าไปใชในการทดสอบ เชน data masking เปนตน เพอปองกนความเสยงในการรวไหลของขอมลส าคญดงกลาว

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 29

2.7.2.18 มกระบวนการในการจดการขอผดพลาดหรอขอบกพรอง (defect) ของระบบทพบในการทดสอบ เพอพจารณาแนวทางปรบปรงหรอลดความเสยงหรอผลกระทบของขอผดพลาดหรอขอบกพรอง ทมตอความปลอดภย ความถกตองเชอถอได และความพรอมใชของระบบ

2.7.2.19 มการจดท าคมอและอบรมผใชงานระบบ เพอใหมความเขาใจฟงกชนการท างานและมการใชงานระบบ อยางปลอดภย รวมถงจดใหมคมอการดแลระบบและอบรมผดแลระบบ เพอสามารถตรวจสอบและ จดการแกไขปญหาได

2.7.2.20 หลงจากน าระบบขนใชงานจรง สง. ควรพจารณาจดใหมการทดสอบจรงในวงจ ากด (pilot test) ส าหรบ ฟงกชนการท างานทส าคญ รวมทงจดใหมการตดตามการใชงานระบบหลงจากใหบรการจรงอยางใกลชด ตามระยะเวลาทเหมาะสม เพอใหมนใจตอความปลอดภย ความถกตองเชอถอได และความพรอมใชของระบบ การน าระบบขนใชงานจรง (system deployment)

2.7.2.21 การน าระบบขนใชงานจรง ตองผานกระบวนการบรหารจดการการเปลยนแปลงท สง. ก าหนด เพอปองกนความเสยงหรอขอผดพลาดในการปฏบตงาน

2.7.2.22 มการจดเกบการเปลยนแปลง (version control) ของระบบงานขนใชงานจรงทงหมด โดยมการรกษา ความปลอดภยทรดกมเพยงพอ

2.7.2.23 ระบบงานส ารองควรปรบปรงใหมความเปนปจจบน เพอใหมความพรอมใชงานเมอเกดเหตฉกเฉน

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 30

2.8 การบรหารจดการเหตการณผดปกตและปญหาดานเทคโนโลยสารสนเทศ (IT Incident and Problem Management)

2.8.1 การบรหารจดการเหตการณผดปกตดานเทคโนโลยสารสนเทศ (IT Incident Management)

วตถประสงค เพอให สง. มแนวทางในการบรหารจดการเหตการณผดปกตดานเทคโนโลยสารสนเทศ ซงรวมถงเหตการณผดปกตจากภยคกคามทางไซเบอรอยางเหมาะสมทนการณ ใหสามารถจดการแกไข ปญหาใหกลบสสภาพปกตไดอยางรวดเรวและจ ากดความเสยหายทสงผลกระทบตอธรกจของ สง.

2.8.1.1 ก าหนดมาตรฐานและระเบยบวธปฏบตการบรหารจดการเหตการณผดปกตดานเทคโนโลยสารสนเทศ ควรครอบคลมตงแตกระบวนการหรอเครองมอในการบนทกเหตการณผดปกต การก าหนดประเภท การจดระดบความรนแรง การวเคราะหหาสาเหต การด าเนนการแกไข การตดตามแกไข การรายงานเหตการณผดปกต

2.8.1.2 ก าหนดหลกเกณฑการสงตอเหตการณผดปกต (escalation) และรายงานความคบหนาเหตการณผดปกต ใหผเกยวของ ผบรหารระดบสง คณะกรรมการทเกยวของหรอคณะกรรมการสถาบนการเงนไดรบทราบ ใหสอดคลองกบระดบความรนแรงของเหตการณผดปกต

2.8.1.3 การจดระดบความรนแรงของปญหา ควรพจารณาอยางนอยใหครอบคลม ผลกระทบตอการใหบรการ ผลกระทบตอผใชงาน โดยกรอบระยะเวลาในการแกไขเหตการณผดปกตควรค านงถงเปาหมายระยะเวลา ในการกคนระบบ (Recovery Time Objective : RTO) และเปาหมายระยะเวลาสงสดทยอมใหธรกจหยดชะงก (Maximum Tolerance Period of Disruption : MTPD) เพอทจะสามารถตดสนใจใช แผนส ารองอยางเหมาะสมทนการณ

2.8.1.4 จดใหมศนยรบแจงเหตการณผดปกต โดยท าหนาทในการบนทกและแกไขในเบองตน หรอสงตอเหตการณผดปกต ไปยงหนวยงานดานเทคโนโลยสารสนเทศทเกยวของ

2.8.1.5 จดท าแผนการรบมอกบเหตการณผดปกต (incident response plan) ตามความส าคญของเหตการณ เพอใหสามารถรบมอและตอบสนองตอเหตการณไดอยางรวดเรวและทนการณ โดยอยางนอยแผนควร ระบกระบวนการรบมอและชองทางประสานงานจากผเชยวชาญทงภายในและภายนอก และมแนวทาง การตรวจสอบ วเคราะหหาสาเหต และประเมนผลกระทบ

2.8.1.6 จดท ารายงานเหตการณผดปกต เสนอตอคณะกรรมการสถาบนการเงน คณะกรรมการทไดรบมอบหมาย หรอผบรหารระดบสงทไดรบมอบหมาย โดยครอบคลม วน เวลา เหตการณ ความเสยหาย การวเคราะหสาเหตทแทจรง การวเคราะหผลกระทบ การแกไขปญหาและแนวทางหรอแผนด าเนนการเพอปองกนเหตการณผดปกตในอนาคต และในกรณทเปนความเสยหายสงผลกระทบตอชอเสยงและการด าเนนธรกจของ สง. อยางมนยส าคญ ใหรายงานตอคณะกรรมการของ สง. ทราบดวย

2.8.1.7 ในกรณทเกดปญหาหรอเหตการณทมนยส าคญในการใชเทคโนโลยสารสนเทศซงสงผลกระทบตอการใหบรการ ระบบงาน หรอชอเสยงของสถาบนการเงน รวมถงกรณเทคโนโลยสารสนเทศทส าคญของ สง. ถกโจมตหรอถกขโจมตจากภยคกคามทางไซเบอร และเปนปญหาหรอเหตการณทสถาบนการเงนตองรายงานตอผบรหารในต าแหนงสงสดของ สง. ทราบ โดยให สง. รายงานปญหาหรอเหตการณดงกลาวมายงฝายตรวจสอบเทคโนโลยสารสนเทศ สายนโยบายระบบการช าระเงนและเทคโนโลยทางการเงน ธนาคารแหงประเทศไทย ทนทเมอเกดหรอรบรปญหาหรอเหตการณนน และใหสถาบนการเงนแจงสาเหตและการแกไขปญหาเพมเตมภายหลง

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 31

2.8.1.8 มกระบวนการบรหารภาวะวกฤต (crisis management) เพอรองรบกรณเหตการณผดปกตดานเทคโนโลยสารสนเทศเพมระดบความรนแรงหรอมความยดเยอ สง. จดใหมคณะกรรมการบรหารภาวะวกฤต (crisis management committee) โดยประกอบดวย

ผบรหารระดบสง (C-level) จากฝายงานตาง ๆ เพอใหสามารถพจารณาประเมนสถานการณได อยางครอบคลม และตดสนใจแกไขสถานการณไดอยางรวดเรวทนการณ บรรเทาผลกระทบหรอ ความเสยหายและสามารถด าเนนธรกจไดอยางตอเนอง ตลอดจนการก ากบดแลการด าเนนการตาง ๆ จนสถานการณกลบสภาวะปกต

จดตงศนยบญชาการ ก าหนดขนตอนการสงการและการตดสนใจทชดเจน ก าหนดทมงานรบผดชอบด าเนนการดานตาง ๆ ไดแก ดานสถานท ดานบคลากร ดานเทคโนโลย

สารสนเทศ ดานความปลอดภย ดานสอสารองคกร เปนตน ในการประเมนลกษณะและผลกระทบ ของความเสยหายทเกดขน พจารณาแนวทางบรรเทาผลกระทบและแนวทางรองรบธรกจอยางตอเนอง ซงครอบคลมการกคนระบบ เพอน าเสนอตอคณะกรรมการบรหารภาวะวกฤต ในการพจารณาตดสนใจด าเนนการใชแผนรองรบการด าเนนธรกจอยางตอเนอง

จดท าแผนการสอสารภาวะวกฤต (crisis communication plan) ครอบคลมการสอสารไปยง ผทเกยวของ (call tree) รวมทงลกคาประชาชนทไดรบผลกระทบ

2.8.2 การบรหารจดการปญหาดานเทคโนโลยสารสนเทศ (IT Problem Management)

วตถประสงค เพอให สง. มกระบวนการตดตามหาสาเหตทแทจรง ใหมแนวทางปองกนไมใหเกด เหตการณผดปกตซ าในอนาคต

2.8.2.1 มมาตรฐานและระเบยบวธปฏบตการบรหารจดการปญหาดานเทคโนโลยสารสนเทศ เพอใหมการน าเหตการณผดปกตทยงไมทราบสาเหตทแทจรง (unknown root cause) เหตการณผดปกตทเกดขนซ า (repeated incident) มาวเคราะหและพจารณาแนวทางแกไขปญหาจากสาเหตทแทจรง (root cause)

2.8.2.2 มกระบวนการหรอเครองมอในการบนทกปญหา หลกเกณฑในการจดประเภทปญหา การจดล าดบความส าคญ วเคราะห และจดใหมการตดตามการแกไขปญหาเพอใหปญหาไดรบการแกไข

2.8.2.3 มกระบวนการหรอเครองมอบนทกปญหาทเคยเกดขน เพอใหเปนแหลงขอมลความรใหสามารถสบคนเหตการณปญหาและแนวทางการแกไขปญหาไดในภายหลงอยางรวดเรวและมประสทธภาพ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 32

2.9 การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ

วตถประสงค เพอให สง. มแนวทางรองรบเหตการณผดปกตทระบบเกดหยดชะงกหรอเกดความเสยหาย โดยทธรกจด าเนนการตอไปไดอยางตอเนองและสามารถกคนระบบใหกลบคนสสภาพปกตภายในระยะเวลาทยอมรบได

นโยบายการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ 2.9.1 ก าหนดนโยบายการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ โดยค านงความสอดคลองกบนโยบาย

การบรหารความตอเนองของธรกจและนโยบายการบรหารความเสยงของ สง. 2.9.2 นโยบายดงกลาวตองไดรบอนมตจากคณะกรรมการของ สง. และไดรบการทบทวนอยางนอยปละ 1 ครง

และเมอมการเปลยนแปลงทสงผลกระทบกบแผนฯ เชน มการเปลยนแปลงกลยทธทางธรกจ นโยบาย การบรหารความเสยงโดยรวม สภาพแวดลอมของการด าเนนธรกจหรอทรพยากรหรอโครงสรางระบบ IT เปนตน

2.9.3 นโยบายการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ ควรครอบคลมอยางนอย บทบาทหนาทและความรบผดชอบของคณะกรรมการ ผบรหารระดบสง และผเกยวของ การประเมนความเสยง การวเคราะหผลกระทบทางธรกจและก าหนดเปาหมายในการกคนระบบเทคโนโลยสารสนเทศ การจดระดบความส าคญของระบบงาน การก าหนดกลยทธแผนฉกเฉนดานเทคโนโลยสารสนเทศ การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ การสอสารและการฝกอบรมแผนฉกเฉนดานเทคโนโลยสารสนเทศ การทดสอบ การปรบปรงและการสอบทานแผนฉกเฉนดานเทคโนโลยสารสนเทศ

การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ

2.9.4 มการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศอยางเปนลายลกษณอกษร โดยตองไดรบการอนมตจากคณะกรรมการของ สง. โดยจดใหมการทบทวนอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ

2.9.5 จดใหมคณะท างานหรอหนวยงานทรบผดชอบในการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศไว อยางเปนลายลกษณอกษร โดยมผบรหารและบคลากรของหนวยงานดานตาง ๆ ทเกยวของเขารวมดวย เชน ดานเทคโนโลยสารสนเทศ ดานธรกจ และดานสอสารองคกร เปนตน

2.9.6 การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ ควรค านงถงลกษณะการด าเนนธรกจ ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศ เหตการณความเสยหายตาง ๆ และความเสยงทเกยวของในการด าเนนธรกจของ สง. เชน ความเสยงดานปฏบตการ (operational risk) ความเสยงดานชอเสยง (reputational risk) ความเสยงจากการพงพาองคกรอนในการด าเนนธรกจ (interdependency risk) ความเสยงจากการกระจกตวของระบบงานหรอทรพยากรทส าคญ (concentration risk) และความเสยงทมผลกระทบตอ สง. ผใชบรการ ผมสวนไดเสยและระบบสถาบนการเงน (systemic risk)

2.9.7 กระบวนการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ ควรครอบคลมการด าเนนการ ดงน (1) การประเมนความเสยง (risk analysis) เพอให สง. สามารถระบเหตการณความเสยงซงสงผล

กระทบตอการหยดชะงกของกระบวนการและระบบเทคโนโลยสารสนเทศ โดยมแนวทางด าเนนการอยางเหมาะสมเพยงพอดงน

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 33

ระบเหตการณความเสยง (risk scenarios) ทอาจท าใหกระบวนการและระบบเทคโนโลยสารสนเทศหยดชะงก ทงจากภายในและภายนอก เชน การโจมตดานไซเบอร เปนตน

ประเมนความเสยงโดยพจารณาการควบคมทมอย รวมถงผลกระทบและโอกาสทจะเกดขน พรอมทงก าหนดกระบวนการและทรพยากรทจะใชในการควบคมความเสยง

จดท าแผนในการจดการความเสยง เพอปรบปรงกระบวนการและจดเตรยมทรพยากรทจ าเปน ในการควบคมความเสยงใหอยในระดบทยอมรบได

(2) การวเคราะหผลกระทบทางธรกจ (business impact analysis) เพอใหทราบถงความส าคญของระบบเทคโนโลยสารสนเทศทมผลตอการด าเนนธรกจของ สง. รวมถงผลกระทบจากการหยดชะงกและความเชอมโยงของการด าเนนธรกจกบระบบเทคโนโลยสารสนเทศ โดยมแนวทางด าเนนการดงน ระบระบบเทคโนโลยสารสนเทศทงหมดของ สง. และทรพยากรทมการเชอมโยงพงพาระหวางกน

(dependency) วเคราะหผลกระทบทเกดจากการหยดชะงกของเทคโนโลยสารสนเทศ โดยค านงถงเปาหมาย

ระยะเวลาสงสดทยอมใหธรกจหยดชะงก (Maximum Tolerance Period of Disruption : MTPD) ก าหนดเปาหมายระยะเวลาในการกคนระบบ (Recovery Time Objective : RTO) และ

เปาหมายระยะเวลาสงสดทยอมใหขอมลเสยหาย (Recovery Point Objective : RPO) (3) การจดล าดบความส าคญของระบบงาน โดยค านงถงทรพยากร ระยะเวลาในการกคนระบบ

เปาหมายของระบบงานและขอมลทควรกไดภายหลงเกดการหยดชะงก และทรพยากรทางเทคโนโลยสารสนเทศขนต าทจ าเปนตองใชในการกคนระบบ ทงน สง. ควรพจารณาใหระบบการช าระเงนหรอระบบทมผลกระทบกบระบบ สง. เปนวงกวางเปนระบบทมความส าคญสงสด

(4) การก าหนดกลยทธแผนฉกเฉนดานเทคโนโลยสารสนเทศ สง. ตองมการก าหนดกลยทธแผนฉกเฉนดานเทคโนโลยสารสนเทศและแนวทางจดเตรยมทรพยากรระบบเทคโนโลยสารสนเทศทเหมาะสมตามการจดล าดบความส าคญของระบบงาน โดยพจารณาอยางนอยครอบคลม เปาหมายระยะเวลาทไดจากการวเคราะหผลกระทบทางธรกจ เชน RTO, RPO เปนตน ปจจยส าคญทสนบสนนใหแผนเปนไปตามกลยทธ เชน เทคโนโลยในการส ารองและกคนขอมล

ความพรอมใชของสถานทปฏบตงานส ารอง เปนตน เพอให สง. มทศทางในการพฒนาแผนฉกเฉนดานเทคโนโลยสารสนเทศทบรรลเปาหมายทก าหนดไว

ทรพยากรและงบประมาณ เพอจดเตรยมระบบเทคโนโลยสารสนเทศใหสอดคลองตามแผนกลยทธและกจกรรมทตองด าเนนการทงหมด

(5) การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ แผนฉกเฉนดานเทคโนโลยสารสนเทศควรมการระบกระบวนการและขนตอนสนบสนนการปฏบตทชดเจน เพอใหสามารถด าเนนการไดอยางรวดเรวและงายตอการปฏบต รวมทงมความยดหยนในการตอบสนองตอเหตการณตาง ๆ ทอาจเกดขน อยางนอยครอบคลม ชอแผน วตถประสงค ขอบเขต และความสมพนธกบแผนอน ๆ ทเกยวของ ผงโครงสรางของการบงคบบญชาในการด าเนนงานตามแผน ผปฏบตหนาทและความรบผดชอบ

และผปฏบตทท าหนาทแทนในกรณทผปฏบตหนาทไมสามารถปฏบตงานได รวมถงการบนทก การเปลยนแปลงของแผน

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 34

รายละเอยดของระบบเทคโนโลยสารสนเทศ เชน โครงสรางสถาปตยกรรม แผนภาพระบบเครอขายสอสาร เปนตน

ขนตอนในการประกาศใชแผนฉกเฉนดานเทคโนโลยสารสนเทศ การตอบสนองตอเหตการณฉกเฉนและแผนการสอสารใหหนวยงานทเกยวของรบทราบ

ขนตอนในการด าเนนการกคนระบบ โดยควรระบรายละเอยดอยางชดเจนและเพยงพอ เพอใหสามารถใชเปน checklist ควบคมไมใหมการขามหรอละเลยขนตอนทก าหนดไว ทงน สง. ควรจดท าเอกสารหรอคมอประกอบการกคนในแตละระบบ ในกรณทมการปรบปรง หรอเพมเตมขนตอนนอกเหนอจากทระบในแผนขณะปฏบตงานจรง สง. ควรมกระบวนการรายงานและขออนมตจากผบรหารตามทก าหนดในโครงสรางการบงคบบญชา พรอมทงน า ขนตอนดงกลาวมาปรบปรงแผนใหเปนปจจบน

ขนตอนในการกลบคนสภาวะปกต (return to normal) และการประกาศยกเลกแผนฉกเฉน ดานเทคโนโลยสารสนเทศ

แผนฉกเฉนดานเทคโนโลยสารสนเทศ พรอมเอกสารประกอบการท างานภายใตแผนฉกเฉน ดานเทคโนโลยสารสนเทศ ควรจดเกบไวในสถานทปลอดภยและมความพรอมใชในสถานทปฏบตงานหลกและส ารอง

(6) การสอสารและการฝกอบรมแผนฉกเฉนดานเทคโนโลยสารสนเทศ สง. ตองจดใหมการสอสารแผนฉกเฉนดานเทคโนโลยสารสนเทศ และจดใหมการฝกอบรมแกบคลากรผมสวนเกยวของ ในการสอสารแผนฯ ตองมการระบแนวทางสอสารทชดเจนใหบคลากรทกคนทมสวนเกยวของได

รบทราบถงรายละเอยดในการจดท าแผน ขนตอนการด าเนนงานตามแผน จดใหมการฝกอบรมแกบคลากรผมสวนเกยวของกบการด าเนนงานตามแผนอยางนอยปละ 1 ครง

โดยอยางนอยควรครอบคลม วตถประสงคของแผน ขนตอนการปฏบตงานตามแผน การประสานงานและการสอสารกนระหวางกลม ขนตอนในการรายงาน ระบบรกษาความปลอดภย กระบวนการเฉพาะของแตละกลมด าเนนงาน และความรบผดชอบของแตละบคคล เปนตน

(7) การทดสอบ การปรบปรงและการสอบทานแผนฉกเฉนดานเทคโนโลยสารสนเทศ จดใหมแผนงานเพอทดสอบแผนฉกเฉนดานเทคโนโลยสารสนเทศประจ าป โดยมรายละเอยด

อยางนอยครอบคลมสถานการณจ าลอง รปแบบการทดสอบ วน เวลา สถานทในการทดสอบ บทบาทหนาทของผทเกยวของ ทงนแผนงานเพอทดสอบแผนฉกเฉนดานเทคโนโลยสารสนเทศประจ าปในภาพรวมควรไดรบการอนมตจากคณะกรรมการทไดรบมอบหมาย

จดใหมการทดสอบแผนฉกเฉนดานเทคโนโลยสารสนเทศทงในระดบหนวยงานและระดบองคกร อยางนอยปละ 1 ครง โดยเฉพาะระบบงานหรอขอมลทมผลกระทบตอการใหบรการลกคาหรอ ตอ สง. ทงระบบ เชน ระบบเงนฝาก ระบบการโอนและช าระเงนระหวาง สง. เปนตน นอกจากนอาจพจารณาการทดสอบระบบส ารองในลกษณะเสมอนจรง (DR live test) เพอใหมนใจวาระบบส ารองสามารถรองรบใหธรกจสามารถด าเนนไดอยางตอเนอง

กรณระบบงานมการเชอมโยงเครอขายสอสารหรอใชบรการจากหนวยงานภายนอก สง. ควรม การทดสอบแผนฉกเฉนรวมกบหนวยงานภายนอกทเกยวของดวย เพอใหมนใจวาระบบเทคโนโลยสารสนเทศของ สง. มความพรอมใชงานรวมกบระบบเทคโนโลยสารสนเทศของหนวยงานภายนอก

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 35

มการรายงานผลการทดสอบตอคณะกรรมการของ สง. โดยมรายละเอยดอยางนอยครอบคลม วตถประสงค ขอบเขตการทดสอบ สถานการณจ าลอง ระยะเวลาทใชในการกคนระบบเทยบกบเปาหมายทก าหนด ขอผดพลาดและปญหาหรออปสรรคทพบ พรอมทงแนวทางปรบปรงแกไข

สง. ควรจดใหมการทบทวนและปรบปรงแผนฉกเฉนดานเทคโนโลยสารสนเทศอยางนอย ปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ เชน การเปลยนแปลงบคลากร ทมหนาทรบผดชอบในการด าเนนงานตามแผน การเปลยนสภาพแวดลอมของระบบเทคโนโลยสารสนเทศ เปนตน เพอใหแผนฉกเฉนดานเทคโนโลยสารสนเทศเปนปจจบน

สง. อาจจดใหมการสอบทานแผนฉกเฉนดานเทคโนโลยสารสนเทศโดยหนวยงานภายนอกหรอภายในทมความเปนอสระ เพอยนยนถงความเหมาะสมของขนตอนตาง ๆ ในการจดท าแผนใหสามารถใชงานไดจรง

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 36

2.10 การบรหารจดการผใหบรการภายนอก (Third Party Management)

วตถประสงค เพอให สง. มแนวทางการบรหารจดการผใหบรการภายนอก หรอพนธมตรทางธรกจทม การเชอมตอกบระบบเทคโนโลยสารสนเทศของ สง. หรอสามารถเขาถงขอมลส าคญหรอลกคาของ สง.

2.10.1 ก าหนดมาตรฐานและระเบยบวธปฏบตในการบรหารจดการผใหบรการภายนอก เพอควบคมใหมการรกษาความมนคงปลอดภยทรพยสนของ สง. โดยอยางนอยครอบคลม กอนใชบรการ สง. ด าเนนการระบและประเมนความเสยงทอาจเกดขนกบขอมลหรอระบบเทคโนโลย

สารสนเทศทผใหบรการภายนอกสามารถเขาถง โดยอยางนอยควรพจารณา ขอบเขต เหตผลและ ความจ าเปนในการเขาถงขอมลหรอระบบเทคโนโลยสารสนเทศ ขอจ ากดหรอขอตกลงในการเปลยนแปลงผใหบรการภายนอกหรอพนธมตรทางธรกจและการยกเลกหรอสนสดสญญา (exit strategy)

ขอก าหนดในการรกษาความมนคงปลอดภยของหนวยงานภายนอก รวมถง sub-contract ตองปฏบต โดยควรสอดคลองตามนโยบายการรกษาความมนคงปลอดภยท สง. ก าหนด

ขอตกลงการไมเปดเผยขอมล (non disclosure agreement) สญญาการใหบรการและเงอนไขระหวาง สง. และผใหบรการภายนอก สอดคลองตามนโยบาย

การรกษาความมนคงปลอดภยท สง. ก าหนด เชน การท าลายขอมลของ สง. หรอลกคาทงหมด เมอสนสดการใชบรการ ความรบผดชอบตอการรวไหลของขอมลอนเนองมาจากการน าขอมลไปใชนอกเหนอจากทระบไวในสญญาหรอขอตกลงในการใหบรการ เปนตน

มกระบวนการตดตาม ประเมน ทบทวน และรายงานผลการปฏบตงานของหนวยงานภายนอก 2.10.2 ในกรณท สง. ใชบรการเทคโนโลยสารสนเทศจากผใหบรการภายนอก (IT Outsourcing) ให สง. ปฏบต

ตามประกาศธนาคารแหงประเทศไทยวาดวยเรองการใชบรการจากผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ (IT outsourcing)

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 37

3. การบรหารจดการโครงการดานเทคโนโลยสารสนเทศ (IT Project Management) วตถประสงค เพอให สง. มการบรหารจดการความเสยงของการด าเนนโครงการดานเทคโนโลยสารสนเทศ อยางมประสทธภาพและไมกอใหเกดผลกระทบตอการด าเนนการตามแผนกลยทธทางธรกจ

3.1 ก าหนดกรอบการบรหารจดการโครงการ (project management framework) ทชดเจนเปนลายลกษณอกษร เพอเปนแนวทางด าเนนโครงการจดหาหรอพฒนาระบบเทคโนโลยสารสนเทศ โดยควรครอบคลมดงน 3.1.1 โครงสรางการควบคมและก ากบดแลโครงการ (project governance) ทชดเจน

เพอใหมการควบคมดแลโครงการใหส าเรจเปนไปตามแผนงานทก าหนด คณะกรรมการก ากบดแลโครงการ มบทบาทหนาทและความรบผดชอบในการก ากบดแล

ใหโครงการส าเรจเปนไปตามเปาหมายทก าหนด มการตดตามความคบหนา ปญหาและ อปสรรคของโครงการ เพอใหค าแนะน าและพจารณาตดสนใจการด าเนนงานทส าคญ โดยควรประกอบดวยผบรหารจากหนวยงานตาง ๆ ทเกยวของ และเจาของโครงการหรอผสนบสนนโครงการ (project owner/ project sponsor) มสวนรวมในการตดสนใจ รวมทงคณะกรรมการก ากบดแลโครงการควรมการประชมอยางสม าเสมอ เพอควบคมดแลโครงการทส าคญใหเปนไปตามแผนงานทก าหนด

หนวยงานหรอทมงานดแลภาพรวมโครงการ (project management office) มบทบาทหนาทและความรบผดชอบในการก าหนดรปแบบ กระบวนการและเครองมอ ทเปนมาตรฐานในการบรหารจดการและตดตามโครงการ รวมทงตดตาม รายงานภาพรวมโครงการส าคญของ สง. ใหกบคณะกรรมการของ สง. และผบรหารระดบสงทเกยวของไดรบทราบ เพอตดตามและสนบสนนใหบรหารจดการโครงการส าเรจลลวงสอดคลองกบเปาหมาย ในระดบกลยทธของ สง. ตามแผนงานทก าหนด

ผจดการโครงการ (project manager) มบทบาทหนาทและความรบผดชอบในการบรหารจดการโครงการ ครอบคลม ก าหนดแผนงานโครงการ วเคราะหผลกระทบ และจดใหมแนวทางรองรบหรอแผนส ารองกรณโครงการประสบปญหาหรอลาชา รวมทงรายงานใหคณะกรรมการก ากบดแลโครงการพจารณาตดสนใจแกไขปญหาไดทนการณ เพอใหโครงการสามารถสงมอบ ไดอยางถกตองครบถวนส าเรจตามแผนงานทก าหนด โดยผจดการโครงการ ตองมความรความสามารถและประสบการณในการบรหารโครงการทเพยงพอ

3.1.2 แนวทางการบรหารจดการโครงการ ควรก าหนดครอบคลมอยางนอย ดงน ระเบยบขนตอนการบรหารจดการโครงการ ครอบคลมตงแต กอนเรมโครงการ การด าเนนการ

และควบคมโครงการ การปดโครงการ และการสอบทานโครงการ ปจจยและเกณฑในการประเมนหรอจดระดบความส าคญของโครงการทชดเจน รวมถงขอบเขต

อ านาจหนาทในการอนมตและก ากบดแลโครงการตามระดบความส าคญของโครงการ รปแบบของเอกสารหรอผลลพธทเปนมาตรฐาน ทตองสงมอบในแตละขนตอนอยางชดเจน

เชน แผนการด าเนนโครงการ รายงานความคบหนา รายงานการปดโครงการ เปนตน

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 38

การเรมโครงการ 3.2 มการประเมนความจ าเปนและประโยชนทคาดวาจะไดรบ ประเมนความเสยงและผลกระทบทอาจเกดขนตอ

ฝายงานอนและระบบทเกยวของ รวมทงเลอกใชเทคโนโลยทเหมาะสม ทงนโครงการตองมเปาหมายทชดเจน (project objective) สอดคลองกบกลยทธขององคกรและค านงถงการรกษาความมนคงปลอดภย

3.3 มแผนการด าเนนโครงการ ทมรายละเอยดครบถวนเพยงพอตอการบรหารจดการโครงการ อยางนอยครอบคลม เปาหมายโครงการ ทรพยากร (resources) ทใช บทบาทหนาท ความรบผดชอบของทมงานในการด าเนนโครงการ โดยทมงานจะตองมประสทธภาพ

และมความรความเชยวชาญเพยงพอในการด าเนนโครงการ ขอบเขตและระยะเวลาของการด าเนนโครงการในแตละขนตอน ผลงานทจะสงมอบในแตละขนตอน ขอก าหนดเงอนไขทเกยวของกบโครงการ เชน ขอก าหนดของผวาจาง ภาระผกพน ขอจ ากด เปนตน

3.4 มการน าเสนอแผนการด าเนนโครงการ เพอขออนมตโครงการตอคณะกรรมการของ สง. คณะกรรมการ ทไดรบมอบหมาย หรอผบรหารระดบสง ตามขอบเขตในการอนมตทก าหนดไว การด าเนนการและควบคมโครงการ

3.5 มการบนทกและจดเกบขอมลโครงการของแตละโครงการอยางเพยงพอเพอใชตดตามดแลและสามารถตรวจสอบยอนหลงได

3.6 มการประเมนและตดตามการด าเนนโครงการอยางตอเนองและครอบคลมขอบเขต ระยะเวลา และทรพยากรทวางแผนไว ในกรณทมการเปลยนแปลงขอบเขต ระยะเวลาและหรอทรพยากร หรอยกเลกโครงการ ควรมการน าเสนอเพอขออนมตการเปลยนแปลงหรอยกเลกโครงการ

3.7 มการรายงานความคบหนา ปญหา อปสรรคและขอจ ากดในการด าเนนโครงการ ตอคณะกรรมการก ากบดแลโครงการหรอผบรหารทไดรบมอบหมายอยางเปนประจ า เพอสามารถใหค าแนะน าและแนวทางในการแกไขปญหาทจะลดความเสยงทอาจเกดขนอยางทนทวงท โดยโครงการทสงผลกระทบตอธรกจของ สง. อยางมนยส าคญ ควรน าเสนอแกคณะกรรมการของ สง. ดวย การปดโครงการ

3.8 มการสรปประโยชนทไดรบจากโครงการเทยบกบเปาหมายทก าหนด 3.9 มการรวบรวมปญหา อปสรรคจากการบรหารจดการโครงการ เพอน ามาเปนสงทไดเรยนร (lesson learned)

ใชส าหรบวเคราะห ปรบปรง และพฒนากระบวนการหรอเครองมอในการบรหารจดการโครงการตอไป ใหมประสทธภาพมากขน การสอบทานโครงการ

3.10 มการสอบทานโครงการทส าคญ โดยหนวยงานอสระ เพอใหมนใจไดวาโครงการสอดคลองกบเปาหมายของโครงการ นโยบาย มาตรฐาน ระเบยบและวธปฏบตของ สง. รวมทงกฎหมายและหลกเกณฑทเกยวของ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 39

เอกสารอางอง Control Objectives for Information and related Technology 5 for Risk (COBIT 5 for risk)

การบรหารความเสยงดานเทคโนโลยสารสนเทศ

ISO27001:2013 Information technology - Security techniques – Information Security Management Systems – Requirement มาตรฐานดานการจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศ

ISO27005:2011 Information technology - Security techniques – Information Security Risk Management หลกการบรหารความเสยงดานเทคโนโลยสารสนเทศ

ISO31000:2009 Risk Management – Principles and Guideline มาตรฐานการบรหารความเสยง

ISO21500:2012 Guidance on Project Management การบรหารจดการโครงการ

มาตรฐานการตรวจสอบดานเทคโนโลยสารสนเทศของ Federal Financial Institution Examination Council (FFIEC) ซงเปนองคกรทก ากบดแล สง. ในสหรฐอเมรกา

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page I

ISO 27036

CSA-STAR

COBIT

ISO 27017 NIST

Third Party Risk Management Implementation Guideline

แนวปฏบตการบรหารจดการความเสยงจากบคคลภายนอก

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page II

สารบญ

Executive Summary 1

ขอบเขตและหลกการ 2

แนวปฏบตการบรหารจดการความเสยงจากบคคลภายนอก 4

สวนท 1 : การกากบดแลการบรหารจดการความเสยงจากบคคลภายนอก (Risk Governance) 5

1. บทบาทหนาทและความรบผดชอบของคณะกรรมการหรอผบรหารระดบสงทไดรบมอบหมาย 5

2. จดโครงสรางองคกรใหมการถวงดล 5

3. การบรหารจดการบคลากรทเกยวของ 7

4. การคมครองลกคาของสถาบนการเงน 7

5. นโยบายการบรหารจดการความเสยงจากบคคลภายนอก 8

6. การตรวจสอบ 9

สวนท 2 : การบรหารจดการความเสยงจากบคคลภายนอก (Third Party Risk Management) 9

7. การประเมนความเสยงจากการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก 10

8. การคดเลอกบคคลภายนอก 11

9. การจดทาสญญาหรอขอตกลงการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก 12

10. การตดตามผลการปฏบตงานของบคคลภายนอก 13

11. การยกเลกและการสนสดสญญาหรอขอตกลง 13

12. การรกษาความมนคงปลอดภยดาน IT ในการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก 14

สวนท 3 : การรายงานตอธนาคารแหงประเทศไทย 20

เอกสารอางอง 21

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 1

Executive Summary

ปจจบนสถาบนการเงน (สง.) มการนาเทคโนโลยสารสนเทศมาใชเปนกลไกหลกในการดาเนนธรกจ และเพอใหสามารถปรบตวไดรวดเรวและมความยดหยนในการนาเทคโนโลยมาใชใหสอดรบกบการเปลยนแปลงอยางรวดเรวของเทคโนโลย สง. จงมการใชบรการจากผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศมากขน ตลอดจนมการเปดระบบเทคโนโลยสารสนเทศใหเชอมตอหรอแลกเปลยนขอมลกบบคคลหรอองคกรภายนอกมากขนเพอเพมโอกาสและศกยภาพในการดาเนนธรกจ

ธนาคารแหงประเทศไทย (ธปท.) เหนถงความจาเปนดงกลาว และตระหนกถงความเสยงทอาจเพมขน ทงความเสยงดานกลยทธ (Strategic Risk) ความเสยงจากภยทางไซเบอร ความเสยงดานขอมล ตลอดจนความเสยงจากการพงพาผใหบรการหรอจากการเชอมตอกบบคคลภายนอก ตลอดจนความเสยงดานกฎหมายหรอกฎเกณฑทเกยวของ อนอาจสงผลตอความตอเนองในการดาเนนธรกจของ สง. ความปลอดภยของขอมลและระบบ และความเ ชอมนของประชาชน

ธปท. กากบดแลความเสยงจากบคคลภายนอก (Third Party Risk Management) ภายใตประกาศ ธปท. เรอง หลกเกณฑการกากบดแลความเสยงดานเทคโนโลยสารสนเทศ (Information Technology Risk) ของสถาบนการเงน นอกจากนเพอยกระดบการดแลเรองดงกลาวของ สง. ใหครอบคลม เขมแขง และรดกมตามมาตรฐานสากล ธปท. ไดจดทาแนวปฏบตการบรหารจดการความเสยงจากบ คคล ภ า ย นอก ( Third Party Risk Management Implementaion Guideline: แนวปฏบตฯ) เพอให สง. มแนวปฏบตในการปฏบตตามประกาศและสามารถดแลความเสยงจากบคคลภายนอกไดอยางมประสทธผล

แนวปฏบตฯ ฉบบน ครอบคลมบคคลภายนอก ใน 3 กรณ ไดแก 1) กรณการใชบรการงานดานเทคโนโลยสารสนเทศจากบคคลภายนอก (IT Outsourcing และ Cloud Computing) 2) กรณการเชอมตอระบบเทคโนโลยสารสนเทศของ สง. กบบคคลภายนอก เชน การเชอมตอระบบเทคโนโลยสารสนเทศเพอรวมใหบรการกบพนธมตรทาง

ธรกจ การเชอมตอกบบรการเครอขายสาธารณะหรอกบ ผใหบรการระบบชาระเงนกลาง เปนตน และ 3) กรณการทสามารถเขาถงขอมลสาคญของ สง. หรอขอมลลกคาของ สง. จากบคคลภายนอก ทงน “บคคลภายนอก” ไมครอบคลมถงลกคาของสถาบนการเงน เนองจาก สง. ตองดแลความมนคงปลอดภยของระบบในการใหบรการลกคาตามหวขออนในประกาศและแนวปฏบต ธปท. เรอง หลกเกณฑการกากบดแลความเส ยงด านเทคโนโล ยสารสนเทศ ( Information Technology Risk) ของสถาบนการเงนแลว

แนวปฏบตฯ แบงเปน 2 สวน สวนแรกเปน การกา กบดแลการบรหารจดการความเสยง (Risk Governance) ประกอบดวย การกาหนดบทบาทหนาทและความรบผดชอบของคณะกรรมการหรอผบรหารระดบสง การจดโครงสรางองคกรใหถวงดลตามหลก 3 Lines of defence และการบรหารจดการบคลากร การคมครองลกคาของ สง. การจดใหมนโยบายการบรหารจดการความเสยงจากบคคลภายนอก และการตรวจสอบ

สวนทสองเปนการบรหารจดการความเส ยง ( Third Party Risk Management) ป ร ะ ก อ บ ด ว ย การประเมนความเสยง การคดเลอกบคคลภายนอก การทาสญญาหรอขอตกลง การตดตามผลการปฏบตงานของบคคลภายนอก การยกเลกและการสนสดสญญาหรอขอตกลงกบบคคลภายนอก รวมทงการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศและจากภยคกคามไซเบอร จากการใชบรการ การ เ ชอมตอหรอการ เข าถงจากบคคลภายนอก

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 2

ขอบเขตและหลกการ

แนวปฏบตฉบบนจดทาขนเพอใหสถาบนการเงนใชเปนแนวทางในการบรหารจดการความเสยงจากการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก ใหมความเสยงในระดบทสถาบนการเงนยอมรบได บนพนฐานทสถาบนการเงนตองรบผดชอบตอการดาเนนธรกจและการใหบรการแกลกคา และคงไวซงความนาเชอถอ ชอเสยง ประสทธภาพและความมนคงปลอดภยดานเทคโนโลยสารสนเทศในการใหบรการ โดยมขอบเขตและหลกการครอบคลม ดงน

1. ขอบเขตและคาจากดความ

“บคคลภายนอก” หมายความวา บคคลหรอนตบคคลภายนอก ซงเปนผใหบรการดานเทคโนโลยสารสนเทศ หรอเปนผทมการเชอมตอกบระบบเทคโนโลยสารสนเทศของสถาบนการเงน หรอเปนผทสามารถเขาถงขอมลสาคญของสถาบนการเงนหรอขอมลของลกคาทควบคมโดยสถาบนการเงนได โดยกรณสาขาของธนาคารพาณชยตางประเทศใหรวมถงสานกงานใหญหรอสาขาอนในตางประเทศทเปนนตบคคลเดยวกนดวย ทงน บคคลภายนอกไมครอบคลมถงลกคาทใชผลตภณฑและบรการของสถาบนการเงน

“การใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก” หมายความวา การใชบรการงานดานเทคโนโลยสารสนเทศจากบคคลภายนอก (IT Outsourcing) หรอการเชอมตอระบบเทคโนโลยสารสนเทศกบบคคลภายนอก หรอการทบคคลภายนอกสามารถเขาถงขอมลสาคญของสถาบนการเงนหรอขอมลของลกคาทควบคมโดยสถาบนการเงนได เชน การใชบรการศนยคอมพวเตอรและงานดานดแลระบบประมวลผล การใชบรการ Cloud Computing จากผใหบรการภายนอก การเชอมตอระบบเทคโนโลยสารสนเทศกบพนธมตรทางธรกจเพอใหบรการรวมกน การเชอมตอกบผใหบรการเครอขายสาธารณะหรอผใหบรการระบบชาระเงนกลาง การวาจางผลตบตรเครดตหรอการวาจางพมพใบแจงยอดรายการบตรเครดต เปนตน

2. หลกการในการบรหารจดการความเสยงจากบคคลภายนอก

สถาบนการเงนตองจดใหมการกากบดแลความเสยง กระบวนการบรหารความเสยง และการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ และการรกษาความปลอดภยจากภยไซเบอร สอดคลองตามระดบความเสยงและระดบความมนยสาคญ ดงน

1) มการกาหนดบทบาท หนาท และความรบผดชอบระหวางสถาบนการเงนและบคคลภายนอกอยางชดเจนและเปนลายลกษณอกษร

2) มการกากบดแล ตดตาม และบรหารจดการความเสยงจากการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกทสอดคลองตามระดบความเสยงและระดบความมนยสาคญของการใชบรการหรอการเชอมตอ เพอใหอยในระดบความเสยงทสถาบนการเงนยอมรบได

3) มการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ และการรกษาความปลอดภยจากภยไซเบอรตามมาตรฐานสากลทยอมรบโดยทวไป และตามมาตรฐานหรอแนวทางทสถาบนการเงนกาหนด โดยดานการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ ครอบคลม การรกษาความลบของระบบและขอมล (Confidentiality) ความถกตองเชอถอไดของระบบและขอมล (Integrity) และความพรอมใชงานดานเทคโนโลยสารสนเทศ (Availability)

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 3

4) มการเตรยมความพรอมรบมอตอเหตการณทอาจเกดขนและมผลกระทบตอสถาบนการเงนอยางมนยสาคญ ตองสามารถดาเนนธรกจไดอยางตอเนอง (Business Continuity) และมขอมลพรอมใชในการดาเนนธรกจ ใหบรการแกลกคา และเมอธนาคารแหงประเทศไทยรองขอ (Data Availability)

สอบถามเพมเตมตดตอฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ โทร. 0 2283 5827

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 4

แนวปฏบตการบรหารจดการความเสยงจากบคคลภายนอก

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 5

สวนท 1 : การกากบดแลการบรหารจดการความเสยงจากบคคลภายนอก (Risk Governance)

สถาบนการเงน (สง.) ตองจดใหมการกากบดแลการบรหารจดการความเสยงจากการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก โดยประกอบดวย การกาหนดบทบาทหนาทและ ความรบผดชอบของคณะกรรมการหรอผบรหารระดบสงของสถาบนการเงนในการกากบดแล การจดใหมโครงสรางองคกรทมการถวงดลในเรองการบรหารจดการความเสยงจากบคคลภายนอก การบรหารจดการบคลากรทเกยวของ การคมครองลกคา การจดใหมนโยบายการบรหารจดการความเสยงจากบคคลภายนอก และการตรวจสอบ ดงน

1. บทบาทหนาทและความรบผดชอบของคณะกรรมการหรอผบรหารระดบสงทไดรบมอบหมาย

1.1 ดแลใหการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกสอดคลองกบกลยทธ ในการดาเนนธรกจ มการบรหารความเสยงใหอยในระดบทสถาบนการเงนยอมรบได (Risk Appetite) และไมขดตอกฎหมายและกฏเกณฑทเกยวของ

1.2 ดแลใหมนโยบาย ครอบคลมการบรหารจดการความเสยงจากบคคลภายนอก เพยงพอกบระดบความเสยงและระดบความมนยสาคญของการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกอยางชดเจนและเปนลายลกษณอกษร อาจเปนนโยบายทจดทาขนเฉพาะหรอรวมอยในนโยบายทสถาบนการเงนมอยแลว รวมทงจดทามาตรฐานและระเบยบวธปฏบตทสอดรบกบนโยบายดงกลาว จดใหมการนาไปปฏบตอยางทวถง นอกจากน ดแลใหมการทบทวนและประเมนประสทธภาพของนโยบาย มาตรฐานและระเบยบวธปฏบตดงกลาวอยางสมาเสมออยางนอยปละ 1 ครง และเมอมการเปลยนแปลงอยางมนยสาคญ

1.3 จดใหมการกากบและควบคมดแลการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกใหเปนไปตามนโยบาย มาตรฐานและระเบยบวธปฏบตทกาหนด และพจารณาใหความเหนชอบตอการใชบรการ การเชอมตอหรอการเขาถงขอมลทมนยสาคญ

2. จดโครงสรางองคกรใหมการถวงดล

สถาบนการเงนควรจดโครงสรางองคกร และหนาทความรบผดชอบทเกยวกบการบรหารจดการบคคลภายนอกใหมการถวงดลตามหลก 3 Lines of Defence โดยมการแบงแยกหนาทความรบผดชอบอยางชดเจนและมการถวงดลในการทาหนาทของหนวยงานททาหนาทปฏบตงาน (1st line) บรหารความเสยงและกากบดแลการปฏบตตามกฎหมายและกฏเกณฑ (2nd line) และการตรวจสอบ (3rd line)

ทงน กรณทสถาบนการเงนมโครงสรางการกากบดแลความเสยงดานเทคโนโลยสารสนเทศรวมกบบรษทในกลมธรกจเดยวกนหรอบรษททมความเกยวของ การพจารณาโครงสรางการกากบดแลตามหลกการแบงแยกหนาทความรบผดชอบตาม 3 Lines of Defence ใหสามารถพจารณาโดยดจากภาพรวมทงหมดของกลมธรกจเดยวกนหรอบรษททมความเกยวของได อยางไรกด สถาบนการเงนและคณะกรรมการของสถาบนการเงนในประเทศไทยยงคงตองรบผดชอบตอการกากบดแลความเสยงดานเทคโนโลยสารสนเทศเสมอนสถาบนการเงนดาเนนการเอง

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 6

2.1 หนาทของหนวยงานททาหนาทปฏบตงานกบบคคลภายนอก (1st line)

เพอใหการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกมประสทธภาพ มการบรหารจดการความเสยงและการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศตามนโยบาย มาตรฐาน และระเบยบวธปฏบตทสถาบนการเงนกาหนด 1st line ควรมหนาทครอบคลม ดงน

2.1.1 ประเมนความเสยงจากการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก และประเมนศกยภาพของบคคลภายนอก (Due Diligence) กอนเรมหรอตอสญญาหรอขอตกลงการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก

2.1.2 จดใหมกรอบและแนวทางการประเมน ควบคม และตดตามผลจากการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกอยางสมาเสมอและตอเนอง ทงดานประสทธภาพและการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (CIA) รวมถงการดแลคมครองขอมลสวนบคคลดวย

2.1.3 ตดตามการเปลยนแปลง ปญหาและเหตการณผดปกตสาคญทเกดขนอนสบเนองหรอเกยวเนองกบการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก เพอดแลใหการดาเนนการของบคคลภายนอกเปนไปตามทระบในสญญาหรอขอตกลงการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก

2.1.4 รายงานผลการปฏบตงาน ผลการประเมนความเสยง ปญหาและเหตการณผดปกตจากการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกทสงผลกระทบตอสถาบนการเงนอยางมนยสาคญตอคณะกรรมการหรอผบรหารระดบสงทไดรบมอบหมาย อยางเพยงพอตอเนอง ทนการณ และสอดรบกบระดบความเสยง

2.2 หนาทของหนวยงานททาหนาทบรหารความเสยง และการกากบดแลการปฏบตตามกฎหมาย และกฎเกณฑ (2nd line)

เพอใหการบรหารจดการความเสยงจากการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกมประสทธภาพ มความมนคงปลอดภยตามกรอบการบรหารความเสยงของสถาบนการเงน ตลอดจนปฏบตตามกฎหมายและกฎเกณฑทเกยวของ 2nd line ควรมหนาทครอบคลม ดงน

2.2.1 จดใหมกรอบและกระบวนการบรหารความเสยงจากการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกตามมาตรฐานสากลทเปนทยอมรบโดยทวไป ประกอบไปดวย การประเมนความเสยง การจดการความเสยง การตดตามทบทวนความเสยง และการรายงานความเสยง

2.2.2 ตดตามดแลให 1st line มการบรหารความเสยงจากการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก และใหมการรายงานความเสยงดงกลาวมายง 2nd line เพอรวบรวมและเชอมโยงความเสยงดงกลาวกบความเสยงดานอนของสถาบนการเงน ตลอดจนชแนะและใหคาปรกษาในการบรหารจดการความเสยงของ 1st line

2.2.3 ตดตามความเสยง และทบทวนการควบคมและการบรหารจดการความเสยง ซงรวมถงการทบทวนปจจยเสยง ดชนชวดความเสยงดานเทคโนโลยสารสนเทศทสาคญ (IT Key Risk Indicators) และกระบวนการควบคมและบรหารจดการความเสยง เพอใหมนใจวาสถาบน

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 7

การเงนมความเสยงจากการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกในระดบความเสยงทสถาบนการเงนยอมรบได รวมทงนาเสนอผลการบรหารความเสยงดงกลาวตอคณะกรรมการหรอผบรหารระดบสงทไดรบมอบหมาย

2.2.4 กากบดแลการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกใหเปนไปตามกฎหมายและกฏเกณฑทเกยวของ รวมถงดแลใหเปนไปตามนโยบาย มาตรฐานระเบยบปฏบตของสถาบนการเงน ตลอดจนมาตรฐานสากลทสถาบนการเงนอางองหรอนามาบงคบใช และนาเสนอรายงานผลการปฏบตตามกฎหมายและกฏเกณฑในการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกตอคณะกรรมการหรอผบรหารระดบสงทไดรบมอบหมาย

2.3 หนาทการตรวจสอบ ( 3rd line)

เพอใหมนใจวาการทาหนาท 1st line และ 2nd line ในการควบคมดแล และบรหารจดการความเสยงจากการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกของสถาบนการเงนเปนไปตามนโยบาย มาตรฐาน ระเบยบปฏบตทเกยวของ 3nd line ควรมหนาทครอบคลม ดงน

2.3.1 จดใหมการตรวจสอบการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก โดยผตรวจสอบภายในหรอผตรวจสอบภายนอกทเปนอสระ เพอตรวจสอบการปฏบตงานของหนวยงานททาหนาท 1st line และ 2nd line และบคคลภายนอก วามการปฏบตตามนโยบาย มาตรฐาน ระเบยบปฏบตของสถาบนการเงน สญญาหรอขอตกลงการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก และการปฏบตตามกฎหมายและกฎเกณฑทเกยวของ

2.3.2 รายงานผลการตรวจสอบตอคณะกรรมการตรวจสอบ และจดเกบรายงานดงกลาวไวท สง. เพอพรอมสาหรบการตรวจสอบหรอเมอรองขอโดยธนาคารแหงประเทศไทย หรอหนวยงานกากบดแลทเกยวของ

3. การบรหารจดการบคลากรทเกยวของ

การใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก ทาใหบทบาทหนาท รวมถงความรความเชยวชาญในการปฏบตงานเปลยนแปลงจากท สง. เคยดาเนนการ สง. จงควรจดสรรบคลากร สรางความเขาใจและความตระหนกกอนการเปลยนแปลง รวมถงพฒนาความรความเชยวชาญของบคลากร ทเกยวของ ใหเพยงพอในการปฏบตงานรองรบการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกอยางมประสทธภาพ เชน จดใหมการพฒนาทกษะความรของพนกงานทเกยวของครอบคลมการบรหารจดการความเสยงจากบคคลภายนอก การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ กรณการใช Cloud Computing ควรเสรมสรางทกษะความรใหแกผบรหารและพนกงาน ทเกยวของใหสามารถปฏบตงานไดตามมาตรฐานและแนวปฏบตทดของผใหบรการ Cloud Computing เปนตน

4. การคมครองลกคาของสถาบนการเงน

กรณท สง. มการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก เพอใหบรการแกลกคา สง. ตองดาเนนการ ดงน

4.1 ดแลและบรหารจดการบคคลภายนอกในการเขาถง การใช และการดแลรกษาขอมลลกคาอยางรดกม เพอใหขอมลลกคาไดรบการดแลอยางปลอดภย โดยคานงถงความเปนสวนตว และเปนไปตาม

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 8

กฎหมายอนทเกยวของ เชน กฎหมายคมครองขอมลสวนบคคล เปนตน รวมทงสอดคลองกบมาตรฐานขนตาสาหรบการดแลขอมลของลกคา (Data Privacy) ตามประกาศ ธปท. วาดวยการบรหารจดการดานการใหบรการแกลกคาอยางเปนธรรม (Market Conduct)

4.2 ดแลการแกไขปญหาและจดการเรองรองเรยนใหแกลกคาอยางรบผดชอบและเปนธรรมใหสอดคลองกบมาตรฐานขนตาสาหรบการแกไขปญหาและจดการเรองรองเรยน (Problem and Complaint Handling) ตามประกาศ ธปท. วาดวยการบรหารจดการดานการใหบรการแกลกคาอยางเปนธรรม (Market Conduct)

5. นโยบายการบรหารจดการความเสยงจากบคคลภายนอก

5.1 สง. ตองกาหนดนโยบายทครอบคลมถงการบรหารจดการความเสยงจากบคคลภายนอกอยางชดเจนเปนลายลกษณอกษร โดยอาจเปนนโยบายทจดทาขนเฉพาะหรอรวมอยในนโยบายทสถาบนการเงนมอยแลว

5.2 นโยบายการบรหารจดการความเสยงจากบคคลภายนอกควรสอดคลองกบนโยบายอนทเกยวของของ สง. เชน นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ เปนตน

5.3 นโยบายการบรหารจดการความเสยงจากบคคลภายนอกตองไดรบอนมตจากคณะกรรมการหรอผบรหารระดบสงทไดรบมอบหมาย และไดรบการทบทวนอยางนอยปละ 1 ครง และเมอมการเปลยนแปลงอยางมนยสาคญ รวมทงควรจดชแจงและสอสารนโยบายใหผเกยวของไดรบทราบอยางทวถงและควบคมดแลใหปฏบตตามนโยบาย

5.4 นโยบายการบรหารจดการความเสยงจากบคคลภายนอก ควรครอบคลม (1) โครงสรางการกากบดแล บทบาทหนาทของผเกยวของในการกากบดแลและบรหารจดการ

ความเสยงจากบคคลภายนอก (2) หลกเกณฑการจดระดบความเสยงและระดบความมนยสาคญของการใชบรการ การเชอมตอ

หรอการเขาถงขอมลจากบคคลภายนอก (3) การบรหารจดการความเสยงทครอบคลมวงจรการบรหารจดการบคคลภายนอก (Third Party

Management Life Cycle) และแนวทางการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศทครอบคลมตามหลก CIA

(4) หลกเกณฑการขออนมตความเหนชอบ และการรายงานตอคณะกรรมการหรอผบรหารระดบสงทไดรบมอบหมาย

(5) การตรวจสอบการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก (6) การเตรยมความพรอมรบมอตอเหตการณทอาจเกดขนและมผลกระทบตอสถาบนการเงน

อยางมนยสาคญ เพอใหสถาบนการเงนสามารถดาเนนธรกจไดอยางตอเนอง ซงรวมถง การมขอมลพรอมใชสาหรบการดาเนนธรกจและการใหบรการแกลกคา

(7) การคมครองลกคาของสถาบนการเงน

5.5 สง. ควรจดใหมมาตรฐานและระเบยบวธปฏบต เพอสนบสนนการดาเนนการตามนโยบายการบรหารจดการความเสยงจากบคคลภายนอก ใหสอดคลองกบระดบความเสยงและความมนยสาคญ รวมถงมาตรฐานสากลทยอมรบโดยทวไป

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 9

6. การตรวจสอบ

สง. ควรดาเนนการใหธนาคารแหงประเทศไทย ผตรวจสอบภายใน หรอผตรวจสอบภายนอกทไดรบ การแตงตงจาก สง. สามารถเขาตรวจสอบบคคลภายนอก ในสวนทเกยวของกบการใชบรการ การเชอมตอหรอการเขาถงขอมลของ สง. ได เชน ระบเงอนไขในสญญาหรอขอตกลง เปนตน และจดใหมการตรวจสอบการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกใหสอดคลองกบระดบความเสยงและความมนยสาคญ โดยการใชบรการ การเชอมตอหรอการเขาถงขอมลทมนยสาคญควรไดรบการตรวจสอบอยางนอยปละ 1 ครง และเมอพบเหตการณผดปกตทมนยสาคญ

ทงน หากมเหตจาเปนท สง. ไมสามารถดาเนนการตรวจสอบ ระบสทธหรอเงอนไขการตรวจสอบในสญญาหรอขอตกลงได สง. ควรมแนวทางทจะใชประเมนหรอตดตามการดาเนนงานและการควบคมภายในของบคคลภายนอก ใหรดกมเพยงพอสอดคลองกบระดบความเสยง และความมนยสาคญของการใชบรการ การเชอมตอหรอการเขาถงขอมล โดย สง. อาจใชผลการตรวจสอบดานเทคโนโลยสารสนเทศของบคคลภายนอกทไดรบการรบรองจากผตรวจสอบภายนอกทมความเปนอสระและไดมาตรฐานสากล เชน ผลการตรวจสอบตามมาตรฐาน SSAE 18 (SOC 2 Type 2 Report) หรอ PCI-DSS Attestation of Compliance (AOC) เปนตน และรบทราบโดยคณะกรรมการหรอผบรหารระดบสงทไดรบมอบหมายแลวได

สวนท 2 : การบรหารจดการความเสยงจากบคคลภายนอก (Third Party Risk Management)

สง. ตองจดใหมการกากบดแลการบรหารจดการความเสยงจากบคคลภายนอกอยางรดกมเพยงพอและตอเนอง และดแลใหสอดคลองตามกรอบและกระบวนการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศของ สง. (IT Risk Management) เพอใหความเสยงอยในระดบทสถาบนการเงนยอมรบได โดยกาหนดใหมระเบยบวธปฏบตทชดเจนและเปนลายลกษณอกษร ครอบคลมวฏจกรการบรหารจดการบคคลภายนอก (Third Party Management Life Cycle) ตงแตการประเมนความเสยง การคดเลอกบคคลภายนอก การจดทาสญญาหรอขอตกลง การตดตามผลการปฏบตงานอยางตอเนอง และการยกเลก/สนสดสญญาหรอขอตกลง รวมถงการรกษาความมนคงปลอดภยดาน IT

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 10

7. การประเมนความเสยงจากการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก

7.1 สง. ตองประเมนความเสยงและผลกระทบทงกอนการใชบรการ การเชอมตอหรอการเขาถงจากบคคลภายนอก และเมอมการเปลยนแปลงทสาคญ รวมถงประเมนเปนประจาตามรอบระยะเวลาทสอดคลองกบระดบความเสยงและความมนยสาคญของการใชบรการ การเชอมตอหรอการเขาถงขอมล ซงตองมผลประเมนเปนลายลกษณอกษร โดยคานงถงความเสยงดงตอไปน (1) ความเสยงดานกลยทธ (Strategic Risk) (2) ความเสยงจากการกากบดแลและบรหารจดการบคคลภายนอกทไมครอบคลมและรดกมเพยงพอ (3) ความเสยงดานชอเสยง (Reputation Risk) เชน ระบบหรอบรการทดาเนนการรวมกบ

บคคลภายนอกเกดขดของ สงผลกระทบตอการใหบรการ รวมถงชอเสยงและความนาเชอถอของสถาบนการเงน เปนตน

(4) ความเสยงดานเทคโนโลยสารสนเทศและภยทางไซเบอร เชน ระบบขดของหรอหยดบรการโดยมสาเหตจากบคคลภายนอก ระบบของบคคลภายนอกมชองโหวดานความปลอดภยทาใหขอมล เกดการสญหายหรอรวไหล บคคลภายนอกใชงานสทธสงเกนกวาทไดรบอนญาต การจดเตรยมทรพยากรระบบไมเพยงพอ เปนตน

(5) ความเสยงดานกฎหมาย และกฎเกณฑทเกยวของทงในประเทศและตางประเทศ เชน การปฏบตไมถกตองตามพระราชบญญตธรกรรมทางอเลกทรอนกส พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พระราชบญญตคมครองขอมลสวนบคคล พระราชบญญต การรกษาความมนคงปลอดภยไซเบอร พระราชบญญตลขสทธ และ The EU General Data Protection Regulation (GDPR) เปนตน

(6) ความเสยงของประเทศทบคคลภายนอกตงอยหรอประกอบธรกจ (Country /Cross Border Risk) ทงในดานการเมอง เศรษฐกจและสงคม เชน การไมสามารถเขาถงขอมลอนเนองมาจากการขดของหรอการปดกนเครอขายสอสารระหวางประเทศ เปนตน

(7) ความเสยงทเกยวของกบสญญาหรอขอตกลง เชน ความครอบคลม ชดเจน และความครบถวนสมบรณของสญญาหรอขอตกลง เปนตน

(8) ความเสยงจากการพงพาบคคลภายนอกรายใดรายหนง (Third Party/Vendor Locked-in) โดยการพงพาบคคลภายนอกรายใดรายหนงเปนหลก อาจทาใหมขอจากดในการเปลยนแปลงเทคโนโลยผใหบรการหรอพนธมตร และขอจากดในการนาระบบหรอขอมลกลบมาดาเนนการเอง

(9) ความเสยงจากการกระจกตว (Concentration Risk) เชน สง. และบรษทในกลมธรกจเดยวกน ใชบรการจากบคคลภายนอกเพยงรายเดยว (Single Provider) เปนตน

(10) ความเสยงจากบคคลภายนอกวาจางผอนดาเนนการแทน (Subcontractor) เชน Subcontractor ปฏบตงานบกพรอง เปนตน

7.2 สง. ตองจดใหมการควบคมและบรหารจดการความเสยงครอบคลมวฏจกรการบรหารจดการบคคลภายนอก (Third Party Management Life Cycle) ตงแตการคดเลอก การจดทาสญญาหรอขอตกลง การตดตามผลการปฏบตงานอยางตอเนอง ตลอดจนการยกเลก/สนสดสญญาหรอขอตกลง รวมถงการรกษาความมนคงปลอดภยดาน IT ตามทกลาวตอไปในขอ 8 – 12

7.3 การจดระดบความเสยงและระดบความมนยสาคญ สง. ตองกาหนดหลกเกณฑทชดเจน และจดทาทะเบยนการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก ใหครอบคลมครบถวน

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 11

ตามหลกเกณฑท สง. กาหนด โดยควรมรายละเอยดครอบคลมตามทกลาวในขอ 12.1 (2) เพอ สง. สามารถใชบรหารจดการความเสยง ตดตาม และตรวจสอบการปฏบตงานของบคคลภายนอกไดครบถวนตอเนอง

8. การคดเลอกบคคลภายนอก

8.1 สง. ตองกาหนดใหมระเบยบวธปฏบตและหลกเกณฑในการพจารณาคดเลอกบคคลภายนอก อยางชดเจนและเปนลายลกษณอกษร โดยใหมขอมลทเพยงพอสาหรบสนบสนนการพจารณาตดสนใจใชบรการ เชอมตอหรอใหเขาถงขอมลกบบคคลภายนอก เพอสามารถคดเลอกบคคลภายนอกทมความเหมาะสมตามวตถประสงคการดาเนนการของ สง.

8.2 การตดสนใจใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก ทมความเสยงหรอ มนยสาคญตองไดรบความเหนชอบจากคณะกรรมการหรอผบรหารระดบสงทไดรบมอบหมาย

8.3 สง. ตองทาการประเมนศกยภาพบคคลภายนอก (Due Diligence) โดยพจารณาประเมนใหครอบคลมตามระดบความมนยสาคญและความเสยงทเกยวของของการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก ในเรองดงตอไปน (1) ฐานะทางการเงน ชอเสยง ความรความเชยวชาญ ประสบการณและความสามารถในการ

ใหบรการของบคคลภายนอกในชวงทผานมา (2) ธรรมาภบาลและวฒนธรรมองคกรของบคคลภายนอก (3) การบรหารจดการความเสยง การควบคมภายใน การตรวจสอบภายใน และการตดตามผล

การปฏบตงาน (4) การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (5) การบรหารจดการความตอเนองทางธรกจ และความพรอมรบมอภยหรอเหตการณตาง ๆ (6) การปฏบตตามกฎหมายและกฎเกณฑทเกยวของ เชน การขอตรวจสอบเอกสารหลกฐาน

หรอใบรบรองจากบคคลภายนอกในการดาเนนการตามกฎหมายและกฎเกณฑทเกยวของ เปนตน (7) การปฏบตตามมาตรฐานสากลดานเทคโนโลยสารสนเทศ เชน การขอตรวจสอบการไดรบ

การรองรบตามมาตรฐาน ISO 27001 เปนตน โดยการรบรองการปฏบตตามมาตรฐานสากลควรพจารณาวาบคคลภายนอกไดรบการรบรองการใหบรการในสวนทสาคญ เชน ศนยคอมพวเตอร และ/หรอ ไดรบการรบรองครอบคลมทงองคกร

(8) ปจจยภายนอกทอาจกระทบตอการใหบรการของบคคลภายนอก เชน สถานการณทางการเมอง สภาวะเศรษฐกจ ขอจากดดานกฎหมายของประเทศทบคคลภายนอกตงอยหรอประกอบธรกจ

(9) การใชเทคโนโลยแบบเปด (Open Technology) เพอใหสามารถนาระบบไปใชงานหรอเชอมโยงกบระบบอนได (Interoperability) และลดขอจากดในการยายหรอเปลยนแปลงเทคโนโลยผใหบรการหรอพนธมตร รวมถงขอจากดในการนาระบบหรอขอมลกลบมาดาเนนการเอง เชน การใชรปแบบการรบสงขอมลกบบคคลภายนอกทเปนมาตรฐานแบบเปด (Open Standard หรอ Open Source) เปนตน

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 12

9. การจดทาสญญาหรอขอตกลงการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก

9.1 สง. ตองจดทาสญญาหรอขอตกลงการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกอยางเปนลายลกษณอกษร และจดเกบสญญาหรอขอตกลงดงกลาวไวท สง. เพอสามารถบงคบใชไดตามกฎหมาย และพรอมสาหรบการตรวจสอบ หรอเมอรองขอโดยธนาคารแหงประเทศไทย

9.2 สง. ตองระบรายละเอยดและกาหนดเงอนไขทสาคญในสญญาหรอขอตกลงกบบคคลภายนอก อยางชดเจน โดยพจารณาใหครอบคลมตามระดบความเสยงและความมนยสาคญของการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก ดงน (1) ขอบเขตการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก (2) บทบาท หนาท และความรบผดชอบของบคคลภายนอก และ สง. (3) มาตรฐานการปฏบตงานขนตาของบคคลภายนอก เชน มาตรฐานการควบคมภายใน มาตรฐาน

การรกษาความลบของระบบและขอมล (Confidentiality) ความถกตองเชอถอไดของระบบและขอมล (Integrity) และความพรอมใชงานดานเทคโนโลยสารสนเทศ (Availability) และมาตรฐานการคมครองลกคาของ สง. เปนตน

(4) แผนฉกเฉนดานเทคโนโลยสารสนเทศสาหรบการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกควรสอดคลองกบแผนฉกเฉนดานเทคโนโลยสารสนเทศของ สง.

(5) การตดตามและรายงานผลการปฏบตงานของบคคลภายนอก (Ongoing Monitoring) ซงครอบคลมถงการแจงการเปลยนแปลงหรอเหตการณทสาคญ และรายงานปญหาผดปกต ทเกดจากการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก

(6) การคมครองขอมลสวนบคคลทงขอมลของ สง. และขอมลของลกคา ตองกาหนดใหเปนไปตามกฎหมายและกฎเกณฑทเกยวของ

(7) การทาลายขอมลเมอสนสดหรอยกเลกการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก เชน การกาหนดใหบคคลภายนอกตองออกหนงสอรบรองการทาลายขอมลของ สง.

(8) เงอนไขหรอสทธของ สง. ในการขอเปลยนแปลง ยตหรอยกเลกสญญาหรอขอตกลง กรณทเกดการเปลยนแปลงหรอเกดการละเมดสญญาหรอขอตกลง เชน การเปลยนเจาของกจการ การละเมดความปลอดภยหรอการรกษาความลบ และการทบคคลภายนอกอยระหวางกระบวนการพทกษทรพย/การชาระบญช/ลมละลาย เปนตน

(9) แนวทางการระงบขอพพาท และความรบผดตอความเสยหาย (10) การระบสทธในการเขาตรวจสอบโดยสถาบนการเงน ธนาคารแหงประเทศไทย ผตรวจสอบ

ภายนอกทไดรบการแตงตงจาก สง. หรอ ธปท. ใหสามารถเขาตรวจสอบการดาเนนงานและการควบคมภายในของบคคลภายนอกในสวนทเกยวของกบการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกของ สง.

9.3 ในกรณเปนการใชบรการงานดานเทคโนโลยสารสนเทศจากบคคลภายนอก (IT Outsourcing) ทมนยสาคญ สง. ควรกาหนดสทธของ สง. ในการพจารณาอนมตกรณบคคลภายนอกวาจางผรบเหมาชวง (Subcontract) และขอกาหนดทบคคลภายนอกตองรบผดชอบตอผลการปฏบตงานของผรบเหมาชวง

9.4 กรณการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกทตงอยในตางประเทศ สญญาหรอขอตกลงในการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกควรพจารณาถง

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 13

ความเสยงและอปสรรคทอาจเกดขนจากประเทศทบคคลภายนอกตงอยหรอประกอบธรกจ (Country Risk) ดวย

10. การตดตามผลการปฏบตงานของบคคลภายนอก

10.1 สง. ตองกาหนดผรบผดชอบและจดการตดตามผลการปฏบตงานของบคคลภายนอกอยางตอเนอง โดยพจารณาตามระดบความเสยงและระดบความมนยสาคญของการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก เชน กาหนดใหบคคลภายนอกรายงานผลการปฏบตงานอยางสมาเสมอ กาหนดการประชมตดตามอยางสมาเสมอและตอเนอง การเขาสงเกตการณ การดาเนนงานของบคคลภายนอก เปนตน

10.2 สง. ตองกาหนดใหบคคลภายนอกรายงานเหตการณผดปกตทเกดขนระหวางการดาเนนงานทเกยวของกบการใชบรการ การเชอมตอหรอการเขาถงขอมลของ สง. ให สง. ไดรบทราบอยางทนการณ เพอประเมนผลกระทบทมตอ สง. ทงน กรณประเมนวาผลกระทบทเกดขนมผลตอการดาเนนธรกจของ สง. อยางมนยสาคญ สง. ตองมสวนรวมในการตดสนใจแกไขเหตการณผดปกต

10.3 สง. ตองทบทวนการประเมนศกยภาพ การประเมนผลการปฏบตงาน และการประเมนความเสยงของการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกทงในดานประสทธภาพ การรกษาความมนคงปลอดภยเทคโนโลยสารสนเทศ และการปฏบตตามกฎหมาย เมอจะตอสญญาและเมอถงรอบระยะเวลาท สง. กาหนด ทงน การใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกทมนยสาคญควรกาหนดใหดาเนนการอยางนอยปละครง รวมถงใหรายงานผลการประเมนดงกลาวตอคณะกรรมการหรอผบรหารระดบสงทไดรบมอบหมาย

11. การยกเลกและการสนสดสญญาหรอขอตกลง

11.1 จดใหมมาตรฐานหรอระเบยบปฏบตวาดวยการยกเลกและสนสดสญญาหรอขอตกลง เพอเปน กรอบแนวทางการยกเลกหรอสนสดสญญาหรอขอตกลง โดยคานงถงความตอเนองในการใหบรการ และความมนคงปลอดภยดานเทคโนโลยสารสนเทศ ทงน มาตรฐานหรอระเบยบปฏบตดงกลาว ควรครอบคลม บทบาทหนาทคณะกรรมการและหนวยงานทเกยวของ กระบวนการและการควบคมภายใน เชน การสารองขอมลกอนการยกเลก การลบหรอนากลบทรพยสนสาคญของ สง. (ตวอยางเชน ขอมล กญแจการเขารหสขอมล และบญชผใชงาน) เปนตน

11.2 การพจารณายกเลกหรอสนสดสญญาหรอขอตกลง สง. ควรประเมนผลกระทบและความเสยงท อาจเกดขนจากการยกเลกและสนสดสญญาหรอขอตกลง และดาเนนการตามมาตรฐานหรอระเบยบปฏบตวาดวยการยกเลกและสนสดสญญาหรอขอตกลง และกาหนดกลยทธและแผนงาน การยกเลกและสนสดสญญาหรอขอตกลง (Exit Strategy and Exit Plan) ทชดเจน เพอใหมนใจวาการยกเลกหรอสนสดสญญาหรอขอตกลงเปนไปอยางมประสทธภาพและไดเตรยมความพรอมตอผลกระทบทอาจเกดขน เชน การหยดใหบรการของระบบทสงผลกระทบกบลกคาหรอผใชบรการ การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ เปนตน

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 14

12. การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศในการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก

สง. ควรดแลใหมนใจวาการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก มการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ เปนไปตามกรอบหลกการทสาคญ 3 ประการ คอ การรกษาความลบของระบบและขอมล (Confidentiality) ความถกตองเชอถอไดของระบบและขอมล (Integrity) และความพรอมใชงานดานเทคโนโลยสารสนเทศ (Availability) หรอ CIA สอดคลองตามนโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security Policy) และมาตรฐานสากลดานความมนคงปลอดภยเทคโนโลยสารสนเทศทเกยวของ เชน ISO/IEC 27001, ISO/IEC 27017 เปนตน โดยควรปฏบตตามแนวปฏบตของธนาคารแหงประเทศไทย เรอง การบรหารความเสยงดานเทคโนโลยสารสนเทศ (IT Risk Management Implementation Guideline) รวมถงมาตรฐานสากลทางดาน การปองกนและรบมอภยไซเบอรทเปนมาตรฐานสากลทยอมรบโดยทวไป โดยพจารณาใหสอดคลองตามระดบความเสยงและระดบความมนยสาคญของการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก ทงน ในกรณทมการใชบรการ Cloud Computing สง. ควรนาแนวปฏบตทดของ ผใหบรการ Cloud Computing มาเปนแนวทางในการปฏบตงานและควบคมดแลเพอใหระบบท ใชบรการ Cloud Computing มความมนคงปลอดภยดานเทคโนโลยสารสนเทศ และควรดาเนนการตามแนวทางการควบคมเพมเตม ดงตอไปน

12.1 การจดทาทะเบยนการใชบรการ การเชอมตอ หรอการเขาถงขอมลจากบคคลภายนอกและทะเบยนทรพยสนดานเทคโนโลยสารสนเทศทเกยวของ

(1) จดใหมหนวยงานผรบผดชอบในการจดทา และปรบปรงทะเบยนการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก และทะเบยนทรพยสนดานเทคโนโลยสารสนเทศทเกยวของ เพอให สง. สามารถนามาใชระบความเสยงจากการใชบรการ การเชอมตอหรอ การเขาถงขอมลจากบคคลภายนอกไดอยางชดเจน และสามารถบรหารจดการทรพยสนดานเทคโนโลยสารสนเทศไดอยางปลอดภยและทนการณ เชน ใชพจารณาความเสยงทเกยวของเมอเกดเหตการณภยไซเบอร หรอใชวางแผนรองรบเมอใกลสนสดสญญาหรอขอตกลง เปนตน

(2) ทะเบยนการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก และทะเบยนทรพยสนดานเทคโนโลยสารสนเทศทเกยวของ ควรครอบคลม

ชอบคคลภายนอก

ประเภทของบคคลภายนอก เชน บคคลภายนอกทอยในกลมของ สง. บคคลภายนอก ทอยนอกกลมของ สง. และ Regulator เปนตน

ชอบรการ/ระบบงาน

ลกษณะและขอบเขตของงาน

ประเภทของการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก เชน IT Outsourcing Cloud Computing บรการรวมกบพนธมตรทางธรกจ การใชบรการเครอขายสาธารณะ การใชบรการของผใหบรการระบบชาระเงนกลาง เปนตน

ระดบความเสยง และระดบความมนยสาคญของการใชบรการ การเชอมตอหรอ การเขาถงขอมลจากบคคลภายนอก

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 15

ทตงศนยคอมพวเตอรหลกและสารองของบคคลภายนอกทประมวลผล จดเกบขอมล หรอดาเนนการใด ๆ เกยวกบขอมลหรอระบบงานใหแก สง.

วนเรมตนและสนสดสญญาหรอขอตกลงการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก

การรบรองตามมาตรฐานสากลดาน IT ทเกยวของ (ถาม)

รายละเอยดทรพยสนทเกยวของกบการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก เชน ขอมลทนาไปจดเกบหรอประมวลผล ระดบชนความลบขอมล เปนตน

12.2 การรกษาความมนคงปลอดภยของขอมล (Information Security)

(1) ทาการเขารหสขอมลทอยภายใตการดแลของบคคลภายนอกใหเปนไปตามนโยบายและมาตรฐานของ สง. สอดคลองกบมาตรฐานสากลตามระดบชนของขอมล (Information Classification) และพจารณาใหครอบคลมทงขอมลทอยบนอปกรณทใชปฏบตงาน (Data at Endpoint) ขอมลทอยระหวางการรบสงผานเครอขาย (Data in Transit) และขอมลทอยบนระบบงานและสอบนทกขอมล (Data at Rest) ซงรวมถงขอมลสารอง

(2) บรหารจดการกญแจการเขารหสขอมลของ สง. ดวยตนเอง ซงควรควบคมในทกขนตอน ตลอดวงจรการบรหารจดการกญแจการเขารหส (Lifecycle of Cryptographic Keys) ตงแตการสราง การจดเกบ การใชงาน การสารอง การเพกถอน และการตออายของกญแจเขารหสขอมล

(3) สรางกญแจการเขารหสดวยตนเอง ทงน หาก สง. ไมสามารถสรางกญแจการเขารหสดวยตนเองได สง. ควรมนใจไดวากญแจการเขารหสของบคคลภายนอกไมมการนามาใชรวมกบผใชบรการรายอน และทราบถงรายละเอยดเกยวกบระบบการบรหารจดการกญแจเขารหสขอมลของบคคลภายนอก ไดแก

ประเภทของกญแจเขารหสขอมล

รายละเอยดของระบบ รวมถงกระบวนการควบคมการเขารหสขอมลในแตละขนตอนตลอดวงจรการบรหารจดการกญแจการเขารหส

ขอแนะนาการใชงานและการควบคมการเขารหสขอมล

(4) เกบกญแจการเขารหสขอมลในอปกรณรกษาความปลอดภย เชน Hardware Security Module (HSM) เปนตน และดแลรกษาความปลอดภยอปกรณ HSM ดวยการจดตงในโซนเครอขายทปลอดภยและจากดการเชอมตอกบระบบงานอนทไมเกยวของ

(5) สอบทานการปฏบตงานการบรหารจดการการเขารหสขอมลทงทดาเนนการโดย สง. และ โดยบคคลภายนอก ใหครอบคลมการสอบทานชองโหวและความเสยงของการเขารหสขอมล โดยพจารณาใหมความปลอดภยสอดคลองกบมาตรฐานสากลทยอมรบโดยทวไป เชน อลกอรธมการเขารหส (Encryption Algorithm) และขนาดความยาวของกญแจเขารหสขอมล เปนตน

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 16

12.3 การควบคมการเขาถง (Access Control)

(1) กาหนดกระบวนการจดการและควบคมดแลสทธในการเบกใชและการเขาถงระบบและขอมลของ สง. ทชดเจนเปนลายลกษณอกษร เปนไปตามนโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ ท สง. กาหนด รวมทงตามมาตรฐานสากลทเปนทยอมรบโดยทวไป

(2) กาหนดบทบาท หนาท และความรบผดชอบของผมสทธเขาใชงานระบบและผใชงานทไดรบสทธสงใหชดเจน

(3) ควบคมดแลการใหสทธแกบคคลภายนอก โดยจากดสทธตามบทบาทหนาท และความจาเปนในการใชงาน มการอนมตการเบกใชงาน เพอไมใหบคคลใดบคคลหนงปฏบตงานไดตงแตตน จนจบกระบวนการ

(4) มระบบหรอกระบวนการตดตามระหวางการใชงานบญชผใชงานทมสทธสงสด รวมทง ควรตดตามและสอบทานสถานะสทธและการใชงานหรอการเขาถงระบบขอมล ตามรอบระยะเวลาทสอดคลองกบความเสยงและความสาคญของสทธอยางเปนประจา เพอใหมนใจวาการใชงานสทธเปนไปตามขอบเขต และความจาเปนในการใชงาน

(5) กาหนดวธการระบและพสจนตวตนผใชงาน ดวยวธการทรดกมเพยงพอ สอดคลองกบมาตรฐานนโยบายท สง. กาหนด หรอมาตรฐานสากลทเปนทยอมรบโดยทวไป

(6) ในกรณทบคคลภายนอกเชอมตอเพอเขาถงระบบงานของ สง. ผานชองทางการเขาถงระบบงานระยะไกล (System Remote Access) สง. ควรมกระบวนการบรหารจดการ การเขาถงระยะไกลดวยวธการทปลอดภย ดงน

มการขออนมตกอนการเขาถงระบบงานระยะไกล (System Remote Access) ของบญชผใชงานสทธสงอยางเครงครด โดยใหใชเฉพาะกรณทมความจาเปนเทานน และจากดระยะเวลาในการเขาถงระบบงาน

มการพสจนตวตนผใชงานแบบ Two-Factors Authentication และการเชอมตอผาน Virtual Private Network (VPN)

มการควบคมการเขาใชงาน โดยจากดการเขาใชงานไดเฉพาะอปกรณทไดรบอนญาตเทานน หรอใชเทคโนโลยบรหารจดการเครองคอมพวเตอรแบบเสมอน (Virtual Desktops Infrastructure) เพอลดความเสยงจากการตด Malware หรอการเขาถงระบบงาน ทไมเหมาะสม

สามารถระบและสอบทานแหลงทมาของอปกรณหรอระบบปลายทางทเขาเชอมตอกบระบบเครอขายของ สง. แบบระยะไกล

มการสอบทานการเขาถงระบบงานระยะไกล โดยบญชผใชงานสทธสงดวยบคคลหรอหนวยงานทมความเปนอสระและมความรความเชยวชาญเพยงพอ

(7) ดแลใหบคคลภายนอกจดเกบบนทกขอมลประวตของการพสจนตวตนและการเขาถง (Access Log) บนทกการดาเนนงาน (Activity Log) ตามระยะเวลาทกฎหมายกาหนด โดยมการสอบทานขอมลการบนทกเหตการณตามรอบระยะเวลาทสอดคลองกบความเสยง

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 17

และความสาคญอยางเปนประจา เพอใหมนใจวาบคคลภายนอกปฏบตงานเปนไปตามขอตกลงและมาตรฐานการรกษาความปลอดภยดานเทคโนโลยสารสนเทศของ สง.

12.4 การรกษาความมนคงปลอดภยของระบบเครอขายสอสาร (Communications Security)

(1) มการรกษาความปลอดภยในการรบสงขอมลผานระบบเครอขายสอสารกบบคคลภายนอก เปนไปตามนโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ รวมทง ตามมาตรฐานสากลทยอมรบโดยทวไป

(2) ดแลใหบคคลภายนอก มระบบหรอกระบวนการสาหรบคดกรอง Traffic ทสงผานระบบเครอขาย ตรวจจบ แจงเตอน และสามารถยบยงการบกรกหรอตอบโตการโจมตไดโดยอตโนมตแบบตอเนองบนระบบเครอขายใหเพยงพอเหมาะสมตามระดบความเสยงและระดบความมนยสาคญ ของการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก เชน มเครองมอ ทใชตรวจหาและแจงเตอนทสามารถยบยงการบกรก หรอตอบโตการโจมตไดโดยอตโนมตบนระบบเครอขาย (Network Intrusion Detection and Prevention Systems : NIDPS) เครองมอปองกนการโจมตเวบไซต (Web Application Firewall : WAF) มาตรการปองกนการโจมตแบบ Distributed Denial of Services (DDoS) และระบบปองกนขอมลรวไหล (Data Leakage Prevention Systems : DLPS) และมการตรวจจบไวรส หรอมลแวรตาง ๆ ทอาจบกรกเขาสเครอขาย เปนตน

(3) กรณการใชบรการ Cloud Computing ผใหบรการ Cloud Computing ควรแบงแยกสภาพแวดลอมของสถาบนการเงนจากผใชบรการรายอนทอยในสภาพแวดลอมบน Cloud Computing รวมกน

12.5 การบรหารจดการการเปลยนแปลง (Change Management)

(1) กาหนดกระบวนการและแนวทางบรหารจดการการเปลยนแปลงรวมกบบคคลภายนอก เพอให สง. สามารถประเมนผลกระทบและเตรยมแนวทางรองรบ เชน เมอมการเปลยนแปลงระบบของผใหบรการ Cloud Computing และกระทบกบการใหบรการของ สง.

(2) ใหบคคลภายนอกแจงการเปลยนแปลงดานเทคโนโลยสารสนเทศทมผลกระทบกบการใหบรการของ สง. ให สง. ไดทราบลวงหนาในระยะเวลาทตกลงรวมกน เพอให สง. พจารณาแนวทางลดผลกระทบตอการใหบรการลกคาของ สง.

12.6 การบรหารจดการการตงคาระบบ (System Configuration Management)

กรณบคคลภายนอกมหนาทเปลยนแปลงการตงคาระบบงาน สง. ควรกาหนดมาตรฐานการตงคาระบบงานใหปลอดภยเพยงพอตามมาตรฐานดานความปลอดภยเทคโนโลยสารสนเทศของ สง. เชน คา System Configuration ของระบบปฏบตการ และการตงคาความปลอดภยของอปกรณเครอขาย เปนตน

12.7 การบรหารจดการขดความสามารถของระบบ (Capacity Management)

(1) มกระบวนการตดตาม ประเมนประสทธภาพและความเพยงพอของทรพยากรดานเทคโนโลยสารสนเทศ ของการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอกอยางเพยงพอ

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 18

และตอเนอง ตลอดจนรายงานผลการตดตามและประเมนดงกลาวใหคณะกรรมการหรอผบรหารระดบสงทไดรบมอบหมายทราบอยางสมาเสมอ เพอใหมการกากบดแลความพรอมใชและความเพยงพอของระบบในการรองรบการใหบรการทางธรกจไดอยางตอเนอง รวมทงเพอพจารณาแนวทางลดความเสยงไดทนการณ

(2) มการกาหนดตวชวดการใชทรพยากรดานเทคโนโลยสารสนเทศ (Threshold และ Trigger) ในระดบตาง ๆ และกาหนดกระบวนการรายงานและแจงเตอน ปญหาหรอเหตการณผดปกตทเกดจากการใหบรการหรอเชอมตอกบบคคลภายนอก แนวทางการประสานงานกบหนวยงานทงภายในและภายนอกกรณเกดเหตขดของ ใหเพยงพอเหมาะสมตามระดบความเสยงและระดบความมนยสาคญของบรการ เพอให สง. ทราบอยางทนการณ

12.8 การจดเกบขอมลบนทกเหตการณ (Logging)

ดแลใหมนใจวาบคคลภายนอกมการจดเกบขอมลบนทกเหตการณทครบถวนเพยงพอและปลอดภย เพอ สง. ใชตดตามตรวจสอบรองรอยการเขาถงและการใชงานระบบหรอขอมลของผใชงาน รวมทงใชเปนหลกฐานการทาธรกรรมทางอเลกทรอนกสตามทกฎหมายกาหนด

12.9 การตดตามดแลระบบและเฝาระวงภยคกคาม (Security Monitoring)

(1) ดแลบคคลภายนอกใหตดตามดแลระบบและเฝาระวงภยคกคามอยางรดกมเพยงพอและตอเนอง รวมทงระบบ/บรการทมนยสาคญ ควรมการตรวจจบเหตการณผดปกตทกระทบตอความปลอดภยทงในระดบ System, Network และ Application เพอรบมอภยคกคามไดอยางทนการณ

(2) จดใหมการวเคราะหขอมลบนทกเหตการณ (Logging) ของระบบ/บรการทใชหรอเชอมตอกบบคคลภายนอก เพอปองกนและตรวจจบการบกรก

12.10 การบรหารจดการชองโหวและการทดสอบเจาะระบบ (Vulnerability Management and Penetration Testing)

(1) ดแลใหบคคลภายนอกมการบรหารจดการชองโหวและการทดสอบเจาะระบบ (Vulnerability Management and Penetration Testing) ตามมาตรฐานสากลทเปนทยอมรบโดยทวไปและสอดคลองกบนโยบายระเบยบวธปฏบตของ สง.

(2) สอบทานขอบเขตและผลการทดสอบเจาะระบบของบคคลภายนอกเพอใหมนใจวาการทดสอบดงกลาวครอบคลมระบบทงหมดท สง. ใชบรการหรอเชอมตอกบบคคลภายนอก และครอบคลมภยคกคามทสาคญ

12.11 การสารองขอมล (Data Backup)

กรณท สง. ใชบรการหรอเชอมตอกบบคคลภายนอก ซงมการจดเกบขอมลของ สง. หรอขอมลลกคา สง. ควรกาหนดมาตรฐานวธปฏบตในการสารองขอมล ใหบคคลภายนอกปฏบตใหสอดคลองกบมาตรฐานของ สง. ครอบคลม

ขอบเขต/รายละเอยดของการสารองขอมลและรอบเวลาสารองขอมล

วธการ/เทคโนโลยการสารองขอมล และรปแบบขอมล (Data Format)

ระยะเวลาในการเกบรกษาขอมลสารอง

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 19

การตรวจสอบความถกตองครบถวนของขอมลสารอง

ขนตอนและวธการกขอมล

การสอบทานการสารองขอมล (Restore)

สถานทจดเกบขอมลสารอง

12.12 การบรหารจดการเหตการณผดปกตดานเทคโนโลยสารสนเทศ (IT Incident Management)

(1) มการระบหนาทและความรบผดชอบของ สง. และบคคลภายนอกอยางชดเจน ในการบรหารจดการเหตการณผดปกตดานเทคโนโลยสารสนเทศ รวมถงกาหนดระดบความรนแรงของเหตการณผดปกตดงกลาว และกาหนดใหแจง สง. ทราบเหตการณผดปกตทเกดขนและเกยวของกบ สง. อยางเพยงพอและทนการณ

(2) หากเหตการณผดปกตทเกดขนนนมผลกระทบตอการดาเนนธรกจของ สง. อยางมนยสาคญ สง. ควรมสวนรวมในการตดสนใจแกไขเหตการณผดปกต

(3) กาหนดใหบคคลภายนอกจดใหมชองทาง ระบบ หรอเครองมอเพอรองรบกรณ สง. ตรวจพบและตองการรายงานเหตการณผดปกตดานเทคโนโลยสารสนเทศใหบคคลภายนอกทราบ และเพอชวยให สง. ตดตามสถานการณและการแกไขของบคคลภายนอกตอเหตการณผดปกต ทเกยวของกบ สง. ไดอยางทนการณ

(4) กาหนดใหบคคลภายนอกมผประสานงานอยางเปนทางการ เพอประสานงานกบ สง. ใน การตอบสนองตอเหตการณผดปกตดานเทคโนโลยสารสนเทศไดอยางทนการณ

12.13 การบรหารความตอเนองทางธรกจ (Business Continuity Management)

(1) มแผนรองรบการดาเนนธรกจอยางตอเนอง (Business Continuity Plan) และแผนฉกเฉนดานเทคโนโลยสารสนเทศ (Disaster Recovery Plan) ทครอบคลมถงการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก เพอใหมแนวทางรองรบตอเหตการณทอาจเกดขนและมผลกระทบตอ สง. อยางมนยสาคญ เพอสามารถดาเนนธรกจอยางตอเนอง

(2) แผนรองรบการดาเนนธรกจอยางตอเนองและแผนฉกเฉนดานเทคโนโลยสารสนเทศควรคานงถงปจจยสาคญหรอความเสยงทอาจเกดขนและสงผลตอการหยดชะงกจากการใชบรการ การเชอมตอหรอการเขาถงขอมลจากบคคลภายนอก ผลกระทบทมตอการดาเนนธรกจของ สง. และ การตดตอสอสารระหวางบคคลภายนอกกบ สง. รวมถงการรายงานปญหาหรอเหตการณผดปกต ใหคณะกรรมการหรอผบรหารระดบสงทไดรบมอบหมายทราบอยางทนการณตามความสาคญและระดบความรนแรงหรอผลกระทบของเหตการณ

(3) ประเมนและทดสอบการปฏบตตามแผนรองรบการดาเนนธรกจอยางตอเนอง และแผนฉกเฉนดานเทคโนโลยสารสนเทศ เพอใหสามารถใชปฏบตงานไดจรง รวมถงสอบทานแผนของบคคลภายนอก เพอพจารณาความสอดคลองกบแผนของ สง. เชน ความสอดคลองกนของขอบเขต คานยามและการกาหนดระยะเวลาทสาคญ : Maximum Tolerable Period of Disruption (MTPD), Recovery Time Objective (RTO) และ Recovery Point Objective (RPO) เปนตน

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 20

(4) หาก สง. สามารถเขารวมทดสอบกบบคคลภายนอกได สง. ควรเขารวมทดสอบการปฏบตตามแผนรองรบการดาเนนธรกจอยางตอเนอง และแผนฉกเฉนดานเทคโนโลยสารสนเทศกบบคคลภายนอก เพอประเมนความพรอมของบคคลภายนอกในการกคนระบบงานตามกรอบ MTPD, RTO และ RPO ทกาหนดไว

(5) ทมบรหารจดการในสภาวะวกฤต (Crisis Management Team) ของ สง. ควรไดรบทราบถงรายละเอยดแผนรองรบการดาเนนธรกจอยางตอเนอง และแผนฉกเฉนดานเทคโนโลยสารสนเทศของบคคลภายนอก เพอเตรยมความพรอมในการบรหารจดการในสวนทเกยวของ

(6) รวบรวมปญหาทพบระหวางการทดสอบแผนรองรบการดาเนนธรกจอยางตอเนองและ แผนฉกเฉนดานเทคโนโลยสารสนเทศ และปรบปรงแกไขรวมกบบคคลภายนอก

สวนท 3 : การรายงานตอธนาคารแหงประเทศไทย

สถาบนการเงนตองจดสงรายงานบคคลภายนอกทสถาบนการเงนใชบรการงานดานเทคโนโลย

สารสนเทศ (IT Outsourcing) และพนธมตรทางธรกจทมนยสาคญ ใหธนาคารแหงประเทศไทยตามทกาหนด

ในคมอประชาชนเปนรายไตรมาส

Third Party Risk Management Implementation Guideline ฝายกากบและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ

Page 21

เอกสารอางอง

ISO/IEC 27017:2016 Information technology - Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for Cloud services ของ the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC)

ISO/IEC 27036:2014 Information technology - Security techniques – Information Security for Supplier Relationship ของ the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC)

Vendor Management Using COBIT 5 ของ Information Systems Audit and Control Association Inc. (ISACA)

Special Publication 800-146 Cloud Computing Synopsis and Recommendation ของ National Institute of Standards and Technology (NIST)

Cloud Controls Matrix Version 3.0.1 ของ Cloud Security Alliance

Third-Party Relationships ของ Office of the Comptroller of the Currency (OCC) สหรฐอเมรกา

FG16/5: Guidance for firms outsourcing to the ‘cloud’ and other third party IT services ของ Financial Conduct Authority (FCA) สหราชอาณาจกร

Cyber Resilience: Range of Practices ของ Basel Committee on Banking Supervision