2

ฝนสป00-คส50001-25601220

นอกจากน ธนาคารแหงประเทศไทยยงเนนใหสถาบนการเงนมการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ การบรหารความเสยงดานเทคโนโลยสารสนเทศ การปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ การตรวจสอบดานเทคโนโลยสารสนเทศ และการบรหารจดการโครงการดานเทคโนโลยสารสนเทศ อยางมประสทธภาพและรดกม โดยอยภายใตกรอบหลกการทส าคญ 3 ประการ คอ (1) การรกษาความลบของระบบและขอมล (confidentiality) (2) ความถกตองเชอถอไดของระบบและขอมล (integrity) และ (3) ความพรอมใชงานของเทคโนโลยสารสนเทศ (availability) รวมถงอยบนพนฐานของการคมครองขอมลและรกษาผลประโยชนของลกคา ซงสถาบนการเงนตองมการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศใหสอดคลองกบลกษณะการด าเนนธรกจ ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศ และความเสยงทเกยวของ เชน ความเสยงดานปฏบตการ ความเสยงดานกลยทธ ความเสยงดานชอเสยง และความเสยงดานกฎหมาย

ทงน ในกรณทสถาบนการเงนเกดปญหาหรอเหตการณทมนยส าคญในการใชเทคโนโลยสารสนเทศ ซงสงผลกระทบตอการใหบรการ ระบบ หรอชอเสยงของสถาบนการเงน โดยรวมถงกรณทเทคโนโลยสารสนเทศทส าคญของสถาบนการเงนถกโจมตหรอถกขโจมตจากภยคกคามทางไซเบอร และเปนปญหาหรอเหตการณทสถาบนการเงนตองรายงานใหผบรหารในต าแหนงสงสดของสถาบนการเงนทราบ ใหสถาบนการเงนตองรายงานมายงธนาคารแหงประเทศไทยทนทเมอเกดหรอรบรเหตการณนน และเมอสถาบนการเงนมการน าเทคโนโลยใด ๆ มาใชเปนครงแรก หรอมการเปลยนแปลงการใชเทคโนโลยทมผลกระทบหรอมความเสยงอยางมนยส าคญตอการด าเนนธรกจ สถาบนการเงนจะตองไดรบอนญาตจากธนาคารแหงประเทศไทยกอนด าเนนการดงกลาว

2. อ านาจตามกฎหมาย

อาศยอ านาจตามความในมาตรา 41 แหงพระราชบญญตธรกจสถาบนการเงน พ.ศ. 2551 ธนาคารแหงประเทศไทยออกหลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ (Information Technology Risk) ของสถาบนการเงน ใหสถาบนการเงนถอปฏบตตามทก าหนดในประกาศน

3. ประกาศทยกเลก

ประกาศธนาคารแหงประเทศไทย ท สนส. 26/2551 เรอง การอนญาตใหธนาคารพาณชยใหบรการการเงนทางอเลกทรอนกส ลงวนท 3 สงหาคม 2551

4. ขอบเขตการบงคบใช

ประกาศฉบบนใหใชบงคบกบสถาบนการเงนตามกฎหมายวาดวยธรกจสถาบนการเงนทกแหง

5. เนอหา

5.1 ใหยกเลกความในขอ 5.2 การรกษาความปลอดภย และขอ 5.3 การควบคมภายในของประกาศธนาคารแหงประเทศไทยท สนส. 27/2551 เรอง การอนญาตใหบรษทเงนทนและบรษทเครดต ฟองซเอรใหบรการการเงนทางอเลกทรอนกส ลงวนท 3 สงหาคม 2551 และใหบรษทเงนทนและบรษทเครดตฟองซเอรปฏบตตามหลกเกณฑทก าหนดในประกาศฉบบนแทน

3

ฝนสป00-คส50001-25601220

5.2 ค าจ ากดความ

“ความเสยงดานเทคโนโลยสารสนเทศ” หมายความวา ความเสยงทอาจเกดขนจากการใชเทคโนโลยสารสนเทศในการด าเนนธรกจ ซงจะมผลกระทบตอระบบหรอการปฏบตงานของสถาบนการเงน รวมถงความเสยงทเกดจากภยคกคามทางไซเบอร (cyber threat)

“เทคโนโลยสารสนเทศ” (Information Technology - IT) หมายความวา เทคโนโลยสารสนเทศทน ามาใชในการด าเนนธรกจ ซงครอบคลมถง ขอมล ระบบปฏบตการ (operating system) ระบบงาน (application system) ระบบฐานขอมล (database system) อปกรณคอมพวเตอร (hardware) และระบบเครอขายสอสาร (communication) เปนตน

“คณะกรรมการของสถาบนการเงน” หมายความวา คณะกรรมการของสถาบนการเงนทจดทะเบยนในประเทศไทย หรอคณะผบรหารทมอ านาจหนาทรบผดชอบทเกยวของของสาขาของธนาคารพาณชยตางประเทศ

5.3 หลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ

5.3.1 ธรรมาภบาลดานเทคโนโลยสารสนเทศ (IT governance)

(1) บทบาทหนาทและความรบผดชอบของคณะกรรมการของสถาบนการเงน

คณะกรรมการของสถาบนการเงนตองมองคประกอบตามประกาศธนาคารแหงประเทศไทยวาดวยหลกเกณฑดานธรรมาภบาลของสถาบนการเงน โดยมกรรมการทมความรหรอประสบการณดานเทคโนโลยสารสนเทศอยางนอย 1 ทาน เพอใหคณะกรรมการของสถาบนการเงนสามารถก าหนดทศทางและก ากบดแลใหสถาบนการเงนมการใชเทคโนโลยสารสนเทศใหสอดรบกบกลยทธในการด าเนนธรกจของสถาบนการเงน มความรเทาทนความเสยงและพฒนาการดานเทคโนโลย ทเปลยนแปลงไป ซงจะชวยใหคณะกรรมการของสถาบนการเงนสามารถก ากบดแลการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศไดอยางมประสทธภาพ

นอกจากน กรรมการของสถาบนการเงนตองไดรบการอบรมใหความรเกยวกบเทคโนโลยสารสนเทศและความเสยงทเกยวของอยางเพยงพอตามระยะเวลาทเหมาะสม เพอใหคณะกรรมการของสถาบนการเงนมความรความเขาใจเกยวกบเทคโนโลยสารสนเทศและความเสยงทเกยวของเพอประโยชนในการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศของสถาบนการเงน คณะกรรมการของสถาบนการเงนมบทบาทหนาทและความรบผดชอบทเกยวของกบการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศอยางนอยดงตอไปน

(1.1) ดแลใหมการใชเทคโนโลยทสอดรบกบกลยทธในการด าเนนธรกจของสถาบนการเงน และดแลใหการใชเทคโนโลยของสถาบนการเงนมความยดหยนเพยงพอทจะรองรบการเปลยนแปลงดานเทคโนโลยและการเปลยนแปลงการด าเนนธรกจในอนาคต

(1.2) ดแลใหมการบรหารความเสยงดานเทคโนโลยสารสนเทศ ซงเปนความเสยงทส าคญ โดยถอเปนสวนหนงของการบรหารความเสยงในภาพรวมของสถาบนการเงน (Enterprise Risk Management : ERM)

4

ฝนสป00-คส50001-25601220

(1.3) ดแลใหมการก าหนด (1) นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT security policy) ซงรวมถงนโยบายในการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ และ (2) นโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ (IT risk management policy) โดยนโยบายดงกลาวตองสอดคลองกบลกษณะการด าเนนธรกจ ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศ และความเสยงทเกยวของ รวมทงท าหนาทในการอนมตนโยบายดงกลาว

(1.4) ดแลใหมการน า (1) นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT security policy) และ (2) นโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ (IT risk management policy) ทไดอนมต มาจดท าระเบยบวธปฏบตและกระบวนการในการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศและการบรหารความเสยงดานเทคโนโลยสารสนเทศ รวมถงดแลใหมการน าไปปฏบตอยางเหมาะสม และมการทบทวนและประเมนประสทธภาพของนโยบายดงกลาวอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ

(1.5) ดแลใหมการตดตาม ตรวจสอบ และรายงานตอคณะกรรมการของสถาบนการเงน คณะกรรมการทไดรบมอบหมาย หรอผบรหารระดบสงของสถาบนการเงนอยางเหมาะสม ในเรองทเกยวของกบการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ ผลการทดสอบและการปฏบตตามแผนฉกเฉนดานเทคโนโลยสารสนเทศ และการบรหารความเสยงดานเทคโนโลยสารสนเทศ เชน ผลการบรหารความเสยงดานเทคโนโลยสารสนเทศในภาพรวมของสถาบนการเงน ขอมลเกยวกบปญหาหรอเหตการณทางดานเทคโนโลยสารสนเทศทสงผลกระทบในวงกวางหรอสงผลกระทบตอชอเสยงของสถาบนการเงน

(1.6) ดแลและสนบสนนใหมการสอสารกบบคลากรของสถาบนการเงน เพอใหตระหนกถงความส าคญของความเสยงดานเทคโนโลยสารสนเทศ และใหเขาใจถงการใชเทคโนโลยสารสนเทศทถกตอง เพอชวยลดความเสยงดานเทคโนโลยสารสนเทศ

(2) โครงสรางการก ากบดแล

(2.1) โครงสรางองคกร

สถาบนการเงนตองจดใหมโครงสรางองคกรทเออตอการบรหารความเสยงดานเทคโนโลยสารสนเทศทเหมาะสม และสอดคลองตามหลกการแบงแยกหนาทความรบผดชอบ 3 ระดบ (three lines of defence) โดยมการแบงแยกหนาทความรบผดชอบอยางชดเจนระหวาง การท าหนาท (1) ปฏบตงานดานเทคโนโลยสารสนเทศ (2) บรหารความเสยงดานเทคโนโลยสารสนเทศ และ (3) ตรวจสอบดานเทคโนโลยสารสนเทศ นอกจากน สถาบนการเงนตองจดใหมการถวงดลอ านาจกนอยางอสระ โดยเฉพาะการท าหนาทตรวจสอบดานเทคโนโลยสารสนเทศตองมความเปนอสระจากการท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศและการท าหนาทบรหารความเสยงดานเทคโนโลยสารสนเทศ

ทงน สถาบนการเงนอาจจดใหมผบรหารระดบสงหรอหวหนาสายงานทท าหนาทบรหารจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงน (IT security) โดยควรมความเปนอสระจากหนวยงานทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศ และควรเปนผทมความรความสามารถดานเทคโนโลยสารสนเทศและดานการบรหารจดการและรบมอกบ ภยคกคามทางไซเบอร เชน ไดรบการรบรองความรความสามารถตามมาตรฐานสากล

5

ฝนสป00-คส50001-25601220

(2.2) คณะกรรมการทท าหนาทก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ

(2.2.1) สถาบนการเงนตองจดใหมคณะกรรมการทท าหนาทบรหารจดการ รวมถงก ากบดแลการปฏบตงานดานเทคโนโลยสารสนเทศ เชน IT steering committee

(2.2.2) สถาบนการเงนตองจดใหมคณะกรรมการทท าหนาทก ากบดแลการบรหารความเสยงดานเทคโนโลยสารสนเทศ ใหเปนไปตามนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศทก าหนดไว

(2.2.3) สถาบนการเงนตองจดใหมคณะกรรมการทท าหนาทก ากบดแลใหมการตรวจสอบดานเทคโนโลยสารสนเทศ ซงการตรวจสอบครอบคลมถงการปฏบตงานดานเทคโนโลยสารสนเทศและการบรหารความเสยงดานเทคโนโลยสารสนเทศ รวมทงก ากบดแลใหมการสอบทานการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ

(3) การบรหารจดการบคลากร

สถาบนการเงนตองมการบรหารจดการบคลากรทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศ บรหารความเสยงดานเทคโนโลยสารสนเทศ และตรวจสอบดานเทคโนโลยสารสนเทศ รวมถงบคลากรทใชเทคโนโลยสารสนเทศในการปฏบตงานประจ าวน (user) อยางเหมาะสม โดยตองค านงถงความรความสามารถของบคลากร ปรมาณงาน และการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ โดยสถาบนการเงนตองจดใหมการด าเนนการอยางนอยในเรองดงตอไปน

(3.1) การบรหารจดการบคลากรทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศ บรหารความเสยงดานเทคโนโลยสารสนเทศ และตรวจสอบดานเทคโนโลยสารสนเทศ จะตองครอบคลมในเรองดงตอไปน

(3.1.1) กระบวนการคดเลอกบคลากร เพอใหไดบคลากรทมคณสมบตเหมาะสม มความรหรอประสบการณเพยงพอในการปฏบตหนาทตามทไดรบมอบหมาย โดยอาจพจารณาการไดรบการรบรองความรความสามารถตามมาตรฐานทรบรองทวไป (certificate) เฉพาะดานทเกยวของกบงานดานเทคโนโลยสนเทศทไดรบมอบหมายนน

(3.1.2) ความเพยงพอของบคลากร เพอใหมปรมาณบคลากรทเพยงพอกบปรมาณการใชเทคโนโลยสารสนเทศของสถาบนการเงน

(3.1.3) มาตรการในการสรางและสงเสรมความตระหนกถงความส าคญของความเสยงดานเทคโนโลยสารสนเทศ เพอใหบคลากรมการตระหนกถงบทบาทหนาทและความรบผดชอบของตน และมาตรการดแลใหบคลากรปฏบตตามหนาทและรบผดชอบตามทก าหนดไว

(3.2) การอบรมใหความรแกคณะกรรมการของสถาบนการเงน ผบรหารระดบสง และบคลากรทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศ บรหารความเสยงดานเทคโนโลยสารสนเทศ และตรวจสอบดานเทคโนโลยสารสนเทศ อยางเพยงพอตามระยะเวลาทเหมาะสม โดยครอบคลมเนอหาตาง ๆ ทเกยวของ เชน พฒนาการดานเทคโนโลย ภยคกคามทางไซเบอร การบรหารความเสยงดานเทคโนโลยสารสนเทศ หรอหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ เพอใหคณะกรรมการ

6

ฝนสป00-คส50001-25601220

ของสถาบนการเงน ผบรหารระดบสง และบคลากรมความรและทกษะทเพยงพอตอการก ากบดแลหรอปฏบตงานในสวนทเกยวของ

(3.3) ขอก าหนดหรอเงอนไขในสญญาจางงานของบคลากรควรระบในเรองความรบผดชอบเกยวกบการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงนอยางชดเจน เพอปองกนการรวไหลของขอมลหรอความเสยหายทอาจเกดขนตอทรพยสนดานเทคโนโลยสารสนเทศของสถาบนการเงน

(3.4) การบรหารจดการสทธของบคลากรทเกยวของกบเทคโนโลยสารสนเทศ โดยตองมการปรบปรงใหเปนปจจบน โดยเฉพาะเมอมการเปลยนแปลงต าแหนงงานหรอสนสดการจางงาน เชน ทบทวนสทธในการเขาถงขอมล รวมทงตองมการสอสารใหผทเกยวของทราบถงการเปลยนแปลงสทธ หนาท และความรบผดชอบดงกลาว

(4) การสงเสรมใหบคลากรตระหนกถงความเสยงดานเทคโนโลยสารสนเทศ (IT risk awareness)

สถาบนการเงนตองจดใหมการสอสารและใหความรแกบคลากรทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศ บรหารความเสยงดานเทคโนโลยสารสนเทศ และตรวจสอบดานเทคโนโลยสารสนเทศ รวมถงบคลากรทใชเทคโนโลยสารสนเทศในการปฏบตงานประจ าวนอยางเพยงพอและเหมาะสม เพอใหบคลากรมความเขาใจและตระหนกถงความส าคญของความเสยงดานเทคโนโลยสารสนเทศและการใชเทคโนโลยสารสนเทศอยางปลอดภย เชน การจดอบรมใหความรแกบคลากรเกยวกบการใชงานอปกรณคอมพวเตอรทมการเชอมตอกบอนเทอรเนตทถกตอง และการซกซอมแผนเพอเตรยมความพรอมรบมอกบการโจมตทางไซเบอร

(5) นโยบายทเกยวของกบการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ

(5.1) สถาบนการเงนตองจดใหม (1) นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT security policy) และ (2) นโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ (IT risk management) ทเปนลายลกษณอกษร และอยภายใตกรอบหลกการทส าคญ 3 ประการ คอ (1) การรกษาความลบของระบบและขอมล (confidentiality) (2) ความถกตองเชอถอไดของระบบและขอมล (integrity) และ (3) ความพรอมใชงานของเทคโนโลยสารสนเทศ (availability) โดยนโยบายดงกลาวตองสอดคลองกบกลยทธของสถาบนการเงนในการน าเทคโนโลยสารสนเทศมาใชในการด าเนนธรกจและนโยบายการบรหารความเสยงของสถาบนการเงน รวมทงสอดคลองกบแนวทาง การบรหารความเสยงและการรกษาความมนคงปลอดภยตามมาตรฐานสากลหรอมาตรฐานทไดรบการยอมรบโดยทวไป

นอกจากน การก าหนดนโยบายดงกลาวตองค านงถงลกษณะการด าเนนธรกจ ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศ และความเสยงทเกยวของ รวมทงความเสยงจากการใชเทคโนโลยสารสนเทศภายในองคกรและความเสยงจากการใชบรการจากผใหบรการภายนอกดวย

7

ฝนสป00-คส50001-25601220

(5.2) สถาบนการเงนตองจดใหมการทบทวนนโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศและนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ อยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ

5.3.2 การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT security)

เพอใหสถาบนการเงนมการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศทมประสทธภาพ สถาบนการเงนตองน านโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศมาจดท าระเบยบวธปฏบตและกระบวนการในการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงน โดยครอบคลมอยางนอยในเรองดงตอไปน

(1) การบรหารจดการทรพยสนดานเทคโนโลยสารสนเทศ (IT asset management)

สถาบนการเงนตองจดใหมการบรหารจดการทรพยสนดานเทคโนโลยสารสนเทศทเหมาะสม โดยตองมการจดท าทะเบยนรายการทรพยสนดานเทคโนโลยสารสนเทศ เพอใหสามารถระบรายการทรพยสนดานเทคโนโลยสารสนเทศไดอยางครบถวน และสามารถน าไปใชในการก าหนดแนวทางการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศไดอยางเหมาะสม รวมถงตองจดใหมการบ ารงรกษาทรพยสนดานเทคโนโลยสารสนเทศอยางสม าเสมอ เพอใหมความพรอมใชงานและสามารถรองรบการด าเนนธรกจไดอยางตอเนอง

(2) การรกษาความมนคงปลอดภยของขอมล (information security)

สถาบนการเงนตองจดใหมการรกษาความมนคงปลอดภยของขอมล ทงในการรบสงขอมลผานเครอขายสอสารและการจดเกบขอมลบนระบบงานและสอบนทกขอมลตาง ๆ มการจดชนความลบของขอมล (information classification) มการเกบรกษาและท าลายขอมลใหเหมาะสมกบชนความลบ และมการบรหารจดการการเขารหสขอมล (cryptography) ทเชอถอไดและเปนมาตรฐาน สากล เพอรกษาความมนคงปลอดภยและความลบของขอมล

(3) การควบคมการเขาถง (access control)

สถาบนการเงนตองจดใหมการควบคมการเขาถงระบบปฏบตการ ระบบงาน และระบบฐานขอมล โดยก าหนดใหมการบรหารจดการสทธและตรวจสอบยนยนตวตนตามสทธทก าหนดไวตามความจ าเปนในการใชงานและระดบความเสยง เพอปองกนการเขาถงและเปลยนแปลงระบบหรอขอมลโดยผทไมมสทธหรอไมไดรบอนญาต

(4) การรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (physical and environmental security)

สถาบนการเงนตองจดใหมการรกษาความมนคงปลอดภยของศนยคอมพวเตอร สถานทปฏบตงานทเกยวของกบเทคโนโลยสารสนเทศ และพนททเกยวของกบเทคโนโลยสารสนเทศทส าคญ รวมทงมระบบการปองกนและกระบวนการในการบ ารงรกษาอปกรณคอมพวเตอร และระบบสาธารณปโภค (facility) ทเกยวของกบเทคโนโลยสารสนเทศ เพอปองกนความเสยหายทอาจเกดขนจากการบกรกหรอจากภยธรรมชาต และใหมความพรอมใชงานสามารถรองรบการด าเนนธรกจอยางตอเนอง

8

ฝนสป00-คส50001-25601220

(5) การรกษาความมนคงปลอดภยของระบบเครอขายสอสาร (communications security)

สถาบนการเงนตองจดใหมการรกษาความมนคงปลอดภยของระบบเครอขายสอสารของสถาบนการเงน เพอใหระบบเครอขายสอสารและขอมลทมการรบสงผานเครอขายสอสารมความมนคงปลอดภย และสามารถปองกนการบกรกหรอภยคกคามทอาจเกดขน

(6) การรกษาความมนคงปลอดภยในการปฏบตงานดานเทคโนโลยสารสนเทศ (IT operations security)

สถาบนการเงนตองจดใหมการรกษาความมนคงปลอดภยในการปฏบตงานดานเทคโนโลยสารสนเทศ เพอใหการปฏบตงานดานเทคโนโลยสารสนเทศมความมนคงปลอดภย โดยตองครอบคลมอยางนอยในเรองดงตอไปน

(6.1) การบรหารจดการขดความสามารถของระบบ และระบบสาธารณปโภค (capacity management) เชน การประเมนแนวโนมการใชทรพยากรดานเทคโนโลยสารสนเทศ เพอใหสามารถบรหารทรพยากรดานเทคโนโลยสารสนเทศไดอยางเพยงพอตอการรองรบการด าเนนธรกจและสามารถวางแผนการจดการเทคโนโลยสารสนเทศใหรองรบการใชงานในอนาคต

(6.2) การรกษาความมนคงปลอดภยของเครองแมขาย (server) และอปกรณทใชปฏบตงานของผใชเทคโนโลยสารสนเทศ (endpoint) เชน การตดตงโปรแกรมปองกนไวรสหรอระบบตรวจจบการแฝงตวของโปรแกรมไมประสงคด (malware) หรอการโจมตดวยรปแบบตาง ๆ เพอปองกนการรวไหลของขอมลหรอการเขาใชงานโดยไมไดรบอนญาต

(6.3) การส ารองขอมล (data backup) ดวยวธการและระยะเวลา ทเหมาะสม เชน การส ารองขอมลประจ าวน เพอใหมขอมลส ารองทมความพรอมใชงานในกรณทระบบและขอมลหลกเกดเหตขดของหรอไดรบความเสยหาย

(6.4) การจดเกบขอมลบนทกเหตการณ (logging) ของเครองแมขาย ระบบงาน และอปกรณเครอขายทส าคญ เชน การจดเกบและสอบทานบนทกการเขาถงระบบ (access log) และบนทกการด าเนนงาน (activity log) เพอใหสามารถตดตามและตรวจสอบการเขาถงและการใชงานระบบหรอขอมลและใชเปนหลกฐานการท าธรกรรมทางอเลกทรอนกสใหแกผใชบรการ

(6.5) การตดตามดแลระบบและเฝาระวงภยคกคาม (security monitoring) โดยมกระบวนการหรอเครองมอในการตรวจจบเหตการณผดปกตหรอภยคกคามทมผลกระทบตอความมนคงปลอดภยของระบบทส าคญ เชน เครองมอในการตดตามและวเคราะหภยคกคามทางไซเบอรอยางตอเนอง เพอใหสามารถตรวจจบ ปองกน และรบมอเหตการณผดปกตและภยคกคามไดอยางทนทวงท

(6.6) การบรหารจดการชองโหว (vulnerability management) ของระบบทเหมาะสมตามระดบความเสยง เพอใหทราบถงชองโหวและสามารถด าเนนการแกไขและปองกนภยคกคามทอาจเกดขนไดอยางทนการณ โดยสถาบนการเงนตองมการประเมนชองโหวของระบบงานส าคญทกระบบอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ

9

ฝนสป00-คส50001-25601220

(6.7) การทดสอบเจาะระบบ (penetration test) โดยจดใหมผเชยวชาญภายในหรอภายนอกทมความเปนอสระท าหนาททดสอบเจาะระบบ โดยเฉพาะระบบงาน (application) และระบบเครอขาย (network) ทมการเชอมตอกบระบบเครอขายสอสารสาธารณะ (internet facing) สม าเสมออยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ เพอใหทราบถงชองโหวและสามารถด าเนนการแกไขและปองกนภยคกคามทอาจเกดขนไดอยางทนการณ

(6.8) การบรหารจดการการเปลยนแปลง (change management) โดยจดใหมกระบวนการในการบรหารจดการการเปลยนแปลงและควบคมการเปลยนแปลงอยางรดกมและเพยงพอ เชน การน าระบบขนใชงานจรง (system deployment) การตงคาระบบ (system configuration) การตดตง patch เพอใหการเปลยนแปลงเปนไปตามวตถประสงคทก าหนดไวอยางถกตองครบถวน และปองกนการเปลยนแปลงโดยทไมไดรบอนญาต

(6.9) การบรหารจดการการตงคาระบบ (system configuration management) โดยจดใหมกระบวนการในการควบคมการตงคาของระบบทใชงานจรง และมการสอบทานการตงคาอยางสม าเสมอ เพอปองกนขอผดพลาดในการปฏบตงาน

(6.10) การบรหารจดการ patch (patch management) โดยจดใหมกระบวนการในการควบคมการตดตง patch ของระบบทใชงานจรง เพอใหสามารถตดตง patch ทส าคญในการรกษาความมนคงปลอดภยไดอยางทนการณ

(7) การจดหาและการพฒนาระบบ (system acquisition and development)

(7.1) การจดหาระบบ (system acquisition)

สถาบนการเงนตองก าหนดหลกเกณฑทชดเจนและเหมาะสมในการคดเลอกระบบและผใหบรการ เชน ความนาเชอถอของระบบและผใหบรการ การไดรบการรบรองตามมาตรฐานสากลหรอมาตรฐานดานเทคโนโลยสารสนเทศทเกยวของทไดรบการยอมรบโดยทวไป (certificate) ความมนคงปลอดภยของระบบ การสนบสนนและการบ ารงรกษาระบบ เพอใหมนใจวาระบบและผใหบรการสามารถตอบสนองตอความตองการในการด าเนนธรกจของสถาบนการเงนได รวมถงตองค านงถงความยดหยนในการเปลยนแปลงผใหบรการ การเปลยนแปลงเทคโนโลย หรอการเปลยนแปลงกลยทธในการด าเนนธรกจในอนาคต

(7.2) การพฒนาระบบ (system development)

สถาบนการเงนตองจดใหมการออกแบบ พฒนา และทดสอบระบบ เพอใหมนใจวาระบบมความถกตอง มนคงปลอดภย เชอถอได พรอมใชงาน และมความยดหยนเพยงพอทจะรองรบการปรบปรงเปลยนแปลงระบบในอนาคต โดยสถาบนการเงนตองจดใหมอยางนอยในเรองดงตอไปน

– เอกสารรายละเอยดคณสมบตทางเทคนค (technical specification) โดยครอบคลมถงเรองการรกษาความมนคงปลอดภย ซงรวมถงกระบวนการในการทดสอบ การดแล และการตดตามความมนคงปลอดภยในการใชงาน

10

ฝนสป00-คส50001-25601220

– กระบวนการหรอเครองมอในการควบคมเวอรชนของค าสงในการเขยนโปรแกรม (source code version control)

– การแบงแยกบทบาทหนาทและความรบผดชอบของผทเกยวของในกระบวนการพฒนาระบบ เชน การแบงแยกระหวางผพฒนาระบบและผน าระบบขนใชงานจรง

– การแบงแยกสภาพแวดลอมของระบบงานทใชส าหรบการพฒนา (development) และการทดสอบ (testing) ออกจากระบบงานทใหบรการจรง (production)

– การทดสอบระบบกอนการใชงานจรง เชน ทดสอบการท างานของแตละระบบ (unit test) ทดสอบการท างานรวมกนของระบบตาง ๆ (system integration test) ทดสอบความพรอมใชงานตามกระบวนการและความตองการของผใชงาน (user acceptance test) และทดสอบความปลอดภยของระบบ (security test) ตามกระบวนการในการรกษาความมนคงปลอดภย ทก าหนดในเอกสารรายละเอยดคณสมบตทางเทคนค (technical specification)

– การพฒนาหรอการเปลยนแปลงระบบทเกยวของกบการให บรการหรอการท าธรกรรมทางอเลกทรอนกส สถาบนการเงนตองจดใหมการทดสอบประสทธภาพ (performance test)

– แนวทางในการควบคมการรกษาความมนคงปลอดภยและความลบของขอมลส าคญทน าไปใชในการทดสอบ

– การจดท าคมอและอบรมผใชงานระบบและผดแลระบบ

(8) การบรหารจดการเหตการณผดปกตและปญหา (IT incident and problem management)

สถาบนการเงนตองจดใหมการบรหารจดการเหตการณผดปกตและปญหาทเกดจากการใชเทคโนโลยสารสนเทศอยางเหมาะสมและทนทวงท โดยมการบนทก วเคราะห และรายงานเหตการณผดปกตและปญหา และการแกไข ใหคณะกรรมการของสถาบนการเงน คณะกรรมการทไดรบมอบหมาย หรอผบรหารระดบสงทไดรบมอบหมาย ทราบในระยะเวลาทเหมาะสม นอกจากน สถาบนการเงนตองมการวเคราะหสาเหตทแทจรง (root cause) ของปญหา เพอหาแนวทางแกไขจากสาเหตทแทจรง และปองกนไมใหเกดเหตการณผดปกตซ าในอนาคต

(9) การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ

(9.1) สถาบนการเงนตองจดใหมคณะท างานหรอหนวยงานทรบผดชอบในการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศอยางเปนลายลกษณอกษรใหเปนไปตามนโยบายทก าหนดไว และแผนฉกเฉนดานเทคโนโลยสารสนเทศดงกลาวตองไดรบอนมตโดยคณะกรรมการของสถาบนการเงน

(9.2) ในการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ สถาบนการเงนตองค านงถงลกษณะการด าเนนธรกจ ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศ และความเสยงทเกยวของในการด าเนนธรกจของสถาบนการเงน รวมทงการบรหารความเสยงทอาจเกดจากเหตการณความเสยหายตาง ๆ และความเสยงทวไป เชน ความเสยงดานปฏบตการ (operational risk) ความเสยงดานชอเสยง (reputational risk) และความเสยงอนทเกยวของ เชน ความเสยงจากการพงพาองคกรอน

11

ฝนสป00-คส50001-25601220

ในการด าเนนธรกจ (interdependency risk) ความเสยงจากการกระจกตวของระบบงานหรอทรพยากรทส าคญ (concentration risk) และความเสยงทมผลกระทบตอสถาบนการเงน ผใชบรการ ผมสวนไดเสย และระบบสถาบนการเงน (systemic risk)

(9.3) แผนฉกเฉนดานเทคโนโลยสารสนเทศตองมความเปนไปไดในทางปฏบต สามารถน ามาใชรองรบความเสยหายทเกดขนไดจรง และสอดคลองกบแนวปฏบตของธนาคารแหงประเทศไทย เรอง การบรหารความตอเนองทางธรกจ (Business Continuity Management : BCM) และการจดท าแผนรองรบการด าเนนธรกจอยางตอเนอง (Business Continuity Plan : BCP) โดยแผนฉกเฉนดงกลาวควรครอบคลมถงการก าหนดระยะเวลาในการกคนระบบ (recovery time objective : RTO) และระยะเวลาสงสดทยอมใหขอมลเสยหาย (recovery point objective : RPO) ทสอดคลองกบความส าคญของระบบ รวมทงการก าหนดระยะเวลาสงสดทยอมใหธรกจหยดชะงก (maximum tolerance period of disruption : MTPD) เพอรองรบการด าเนนธรกจอยางตอเนองของสถาบนการเงน และรองรบการเกดเหตการณผดปกตตาง ๆ ทอาจสงผลใหเกดการหยดชะงกหรอเกดความเสยหายตอระบบ เชน ภยคกคามทางไซเบอร ภยธรรมชาต เพอใหสถาบนการเงนด าเนนการกระบบและกลบสการท างานไดตามปกตใหเรวทสด

(9.4) สถาบนการเงนตองจดท าคมอหรอเอกสารประกอบการด าเนนการตามแผนฉกเฉนดานเทคโนโลยสารสนเทศ รวมทงประชาสมพนธแผนและฝกอบรมเพอใหพนกงานทกคน ทมสวนเกยวของกบการด าเนนการตามแผนฉกเฉนดานเทคโนโลยสารสนเทศมความเขาใจและสามารถปฏบตตามแผนได

(9.5) สถาบนการเงนตองจดใหมการทบทวนและทดสอบการปฏบตตามแผนฉกเฉนดานเทคโนโลยสารสนเทศอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ

(9.6) สถาบนการเงนตองจดใหมศนยคอมพวเตอรส ารอง (disaster recovery site) ทมความพรอมใชงานและสามารถปฏบตงานทดแทนไดเมอศนยคอมพวเตอรหลก (primary site) หยดชะงก โดยสถาบนการเงนควรพจารณาใหศนยคอมพวเตอรส ารองอยหางจากศนยคอมพวเตอรหลกเพยงพอทจะมใหเกดปญหาหรอไดรบผลกระทบในลกษณะเดยวกนในชวงเวลาเดยวกน เชน ระบบไฟฟาขดของ และภยธรรมชาต

(10) การบรหารจดการผใหบรการภายนอก (third party management)

ในกรณทสถาบนการเงนมการจดจางผใหบรการภายนอก หรอมพนธมตรทางธรกจทมการเชอมตอกบระบบเทคโนโลยสารสนเทศของสถาบนการเงน หรอสามารถเขาถงขอมลส าคญของสถาบนการเงนหรอของลกคาของสถาบนการเงนได สถาบนการเงนตองมการจดท าสญญาหรอขอตกลงการใหบรการโดยระบหนาท ความรบผดชอบ และเงอนไขในการใหบรการอยางชดเจน เชน การท าลายขอมลของสถาบนการเงนหรอของลกคาทงหมดเมอสนสดสญญาหรอเลกใชบรการ ความรบผดชอบตอการรวไหลของขอมลอนเนองมาจากการน าขอมลไปใชนอกเหนอจากทระบไวในสญญาหรอขอตกลงการใหบรการ

นอกจากน ในการจดจางผใหบรการภายนอกหรอมพนธมตรทางธรกจในการรวมพฒนาหรอใหบรการทางการเงน สถาบนการเงนตองค านงถงความตอเนองในการด าเนนธรกจของสถาบนการเงน ขอจ ากดหรอขอตกลงในการเปลยนแปลงผใหบรการภายนอกหรอพนธมตรทางธรกจ

12

ฝนสป00-คส50001-25601220

และการยกเลกหรอสนสดสญญา (exit strategy) เพอใหสถาบนการเงนสามารถด าเนนธรกจไดอยางตอเนอง และพรอมรบการเปลยนแปลงดานเทคโนโลยทอาจเกดขนในอนาคต

ทงน ในกรณทสถาบนการเงนใชบรการเทคโนโลยสารสนเทศจากผใหบรการภายนอก (IT Outsourcing) ใหสถาบนการเงนปฏบตตามประกาศธนาคารแหงประเทศไทยวาดวยเรองการใชบรการจากผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ (IT Outsourcing) ในการประกอบธรกจของสถาบนการเงนดวย

5.3.3 การบรหารความเสยงดานเทคโนโลยสารสนเทศ (IT risk management)

เพอใหสถาบนการเงนสามารถบรหารความเสยงดานเทคโนโลยสารสนเทศไดอยางมประสทธภาพ สถาบนการเงนตองก าหนดนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศใหครอบคลมเรองโครงสรางองคกรและบทบาทหนาทของผทเกยวของในการบรหารความเสยงดานเทคโนโลยสารสนเทศ และตองน านโยบายดงกลาวมาจดท าระเบยบวธปฏบตและกระบวนการในการบรหารความเสยงดานเทคโนโลยสารสนเทศของสถาบนการเงน โดยครอบคลมอยางนอยในเรองดงตอไปน

(1) การประเมนความเสยง (risk assessment)

(1.1) การระบความเสยง (risk identification)

สถาบนการเงนตองระบถงความเสยงดานเทคโนโลยสารสนเทศ ซงรวมถงภยคกคามทางไซเบอร และชองโหวตาง ๆ โดยความเสยงดงกลาวอาจมสาเหตมาจากกระบวนการปฏบตงาน ระบบงาน บคลากร หรอปจจยภายนอก

(1.2) การวเคราะหความเสยง (risk analysis)

สถาบนการเงนตองเขาใจและวเคราะหความเสยงดานเทคโนโลยสารสนเทศ เพอหาแนวทางในการจดการความเสยงทเหมาะสม

(1.3) การประเมนคาความเสยง (risk evaluation)

สถาบนการเงนตองประเมนถงโอกาสทความเสยงดานเทคโนโลยสารสนเทศจะเกดขนและผลกระทบตอการปฏบตงานและการด าเนนธรกจ รวมถงก าหนดระดบความเสยงดานเทคโนโลยสารสนเทศทยอมรบได (IT risk appetite)

(2) การจดการความเสยง (risk treatment)

สถาบนการเงนตองมแนวทางในการจดการ ควบคม และปองกนความเสยงทเหมาะสมสอดคลองกบผลการประเมนความเสยงดานเทคโนโลยสารสนเทศ เพอใหความเสยงทเหลออย (residual risk) อยในระดบความเสยงดานเทคโนโลยสารสนเทศทยอมรบได โดยตองค านงถงความสมดลระหวางตนทนในการปองกนความเสยงและผลประโยชนทคาดวาจะไดรบ

นอกจากน สถาบนการเงนตองจดใหมการก าหนดดชนชวดความเสยงดานเทคโนโลยสารสนเทศ (IT key risk indicators) ทเกยวของกบการด าเนนธรกจ ใหสอดคลองกบความส าคญของเทคโนโลยสารสนเทศแตละงาน เพอใชในการตดตามและทบทวนความเสยง

13

ฝนสป00-คส50001-25601220

(3) การตดตามและทบทวนความเสยง (risk monitoring and review)

สถาบนการเงนตองจดใหมกระบวนการทมประสทธภาพในการตดตามและทบทวนความเสยงดานเทคโนโลยสารสนเทศ เพอใหอยภายใตระดบความเสยงดานเทคโนโลยสารสนเทศทยอมรบไดทก าหนดไว

(4) การรายงานความเสยง (risk reporting)

สถาบนการเงนตองมการรายงานผลการบรหารความเสยงดานเทคโนโลยสารสนเทศและแนวโนมของความเสยงดานเทคโนโลยสารสนเทศทอาจเกดขน ตอคณะกรรมการของสถาบนการเงน หรอคณะกรรมการทไดรบมอบหมายในระยะเวลาทเหมาะสม

ทงน สถาบนการเงนตองจดใหมการทบทวนระเบยบวธปฏบตและกระบวนการในการบรหารความเสยงดานเทคโนโลยสารสนเทศ อยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ

5.3.4 การปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ (IT compliance)

สถาบนการเงนตองจดใหมการก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ (IT compliance) เชน กฎหมายวาดวยธรกรรมทางอเลกทรอนกส กฎหมายวาดวยการกระท าความผดเกยวกบคอมพวเตอร กฎหมายวาดวยระบบการช าระเงน เพอปองกนการละเมดหรอการไมปฏบตตามกฎหมายและหลกเกณฑของหนวยงานก ากบดแลทเกยวของ

5.3.5 การตรวจสอบดานเทคโนโลยสารสนเทศ (IT audit)

(1) สถาบนการเงนตองจดใหมผตรวจสอบดานเทคโนโลยสารสนเทศทมความร ประสบการณ และความเชยวชาญเกยวกบการตรวจสอบดานเทคโนโลยสารสนเทศ ซงอาจเปนผตรวจสอบภายใน ผตรวจสอบภายนอก หรอผเชยวชาญภายนอกทมความเปนอสระจากหนวยงานทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศและหนวยงานทท าหนาทบรหารความเสยงดานเทคโนโลยสารสนเทศ

(2) สถาบนการเงนตองจดใหมแผนงานและขอบเขตการตรวจสอบดานเทคโนโลยสารสนเทศทสอดคลองกบความส าคญและความเสยงของการใชเทคโนโลยสารสนเทศของสถาบนการเงน และนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ โดยแผนงานและขอบเขตการตรวจสอบดงกลาวตองไดรบความเหนชอบจากคณะกรรมการตรวจสอบ และตองครอบคลมถงเทคโนโลยสารสนเทศทส าคญของสถาบนการเงน ทงน สถาบนการเงนตองจดใหมการทบทวนแผนงานและขอบเขตการตรวจสอบดงกลาวอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ

(3) สถาบนการเงนตองจดใหมการตรวจสอบดานเทคโนโลยสารสนเทศอยางนอยปละ 1 ครง ตามแผนงานและขอบเขตทก าหนดตามขอ (2) และเมอมเหตการณผดปกต ในเทคโนโลยสารสนเทศทมนยส าคญ

14

ฝนสป00-คส50001-25601220

(4) สถาบนการเงนตองจดใหมผเชยวชาญภายนอกทเปนอสระท าหนาทประเมนระบบหรอเทคโนโลยทมความส าคญ ซงสถาบนการเงนเหนวามความจ าเปนตองประเมน แตสถาบนการเงนมขอจ ากด หรอผตรวจสอบดานเทคโนโลยสารสนเทศของสถาบนการเงนตามขอ (1) ไมสามารถประเมนได เชน การประเมนระบบทมความซบซอนหรอมการใชเทคโนโลยใหม หรอการประเมนความสามารถของระบบในการปรบเปลยนเพอรองรบการท าธรกจของสถาบนการเงนในอนาคตภายใตสภาวะการเปลยนแปลงทางเทคโนโลยทรวดเรว

(5) สถาบนการเงนตองจดท ารายงานผลการตรวจสอบดานเทคโนโลยสารสนเทศและเสนอตอคณะกรรมการตรวจสอบ ตลอดจนจดเกบรายงานผลการตรวจสอบดงกลาวไว ทสถาบนการเงน พรอมไวส าหรบการตรวจสอบหรอเมอรองขอโดยธนาคารแหงประเทศไทย

(6) สถาบนการเงนตองจดใหมการตดตามประเดนจากการตรวจสอบดานเทคโนโลยสารสนเทศ และรายงานประเดนส าคญใหกบคณะกรรมการตรวจสอบและฝายงานทเกยวของทราบ

5.3.6 การบรหารจดการโครงการดานเทคโนโลยสารสนเทศ (IT project management)

(1) สถาบนการเงนตองจดใหมการศกษาความจ าเปนและประโยชนทคาดวาจะไดรบของโครงการทมการน าเทคโนโลยสารสนเทศมาใชในการด าเนนธรกจกอนเรมโครงการ โดยตองม การพจารณาเลอกใชเทคโนโลยอยางเหมาะสม และมการประเมนความเสยงและผลกระทบทอาจเกดขนกบฝายงานอนและระบบทเกยวของ รวมทงตองมการจดล าดบความส าคญของโครงการและน าเสนอขออนมตโครงการตอคณะกรรมการของสถาบนการเงน คณะกรรมการทไดรบมอบหมาย หรอผบรหารระดบสง ตามขอบเขตอ านาจในการอนมตทก าหนดไว

(2) สถาบนการเงนตองมการก าหนดกรอบการบรหารจดการโครงการ (project management framework) ทชดเจนเปนลายลกษณอกษร เพอใชเปนแนวทางในการบรหารจดการโครงการ (project management) โดยครอบคลมขนตอนตงแตการเรมโครงการ การด าเนนการและการควบคมโครงการ การปดโครงการ และการสอบทานโครงการ รวมทงตองมการก าหนดโครงสรางการควบคมและก ากบดแลโครงการทชดเจน (project governance) โดยสถาบนการเงนตองจดใหมอยางนอยในเรองตอไปน

(2.1) คณะกรรมการก ากบดแลโครงการ เพอท าหนาทในการก ากบดแลความคบหนา ใหค าแนะน า และพจารณาตดสนใจการด าเนนงานในโครงการทส าคญ เพอใหการด าเนนงานของโครงการเปนไปตามแผนงานทก าหนด ทงน คณะกรรมการก ากบดแลโครงการควรประกอบดวยผบรหารหรอผแทนจากฝายงานตาง ๆ ทเกยวของ

(2.2) หนวยงานหรอทมงานดแลภาพรวมของโครงการ (Project Management Office : PMO) เพอท าหนาทในการก าหนดรปแบบ กระบวนการ และเครองมอทเปนมาตรฐานในการบรหารจดการและตดตามความคบหนาของโครงการ รวมทงรายงานความคบหนาและภาพรวมของโครงการทส าคญของสถาบนการเงนตอคณะกรรมการของสถาบนการเงน คณะกรรมการ ทไดรบมอบหมายในการก ากบดแลโครงการ หรอผบรหารระดบสงทเกยวของทราบ เพอใหโครงการบรรลวตถประสงคตามเปาหมายทวางไว

15

ฝนสป00-คส50001-25601220

(2.3) ผจดการโครงการ (project manager) เพอท าหนาทในการบรหารจดการโครงการแตละโครงการตามขนตอนการบรหารจดการโครงการ และสงมอบงานในแตละขนตอนตามรปแบบ กระบวนการ และเครองมอ ตามทหนวยงานหรอทมงานดแลภาพรวมของโครงการก าหนด เพอใหสามารถสงมอบโครงการไดอยางถกตองครบถวนตามแผนงานทก าหนด

5.4 การรายงานตอธนาคารแหงประเทศไทย

สถาบนการเงนตองรายงานตอธนาคารแหงประเทศไทยในกรณทเกดปญหาหรอเหตการณทมนยส าคญในการใชเทคโนโลยสารสนเทศซงสงผลกระทบตอการใหบรการ ระบบงาน หรอชอเสยงของสถาบนการเงน รวมถงกรณเทคโนโลยสารสนเทศทส าคญของสถาบนการเงนถกโจมตหรอถกขโจมตจากภยคกคามทางไซเบอร และเปนปญหาหรอเหตการณทสถาบนการเงนตองรายงานตอผบรหารในต าแหนงสงสดของสถาบนการเงนทราบ โดยใหสถาบนการเงนรายงานปญหาหรอเหตการณดงกลาวมายงฝายตรวจสอบเทคโนโลยสารสนเทศ สายนโยบายระบบการช าระเงนและเทคโนโลยทางการเงน ธนาคารแหงประเทศไทย ทนทเมอเกดหรอรบรปญหาหรอเหตการณนน และใหสถาบนการเงนแจงสาเหตและการแกไขปญหาเพมเตมภายหลง

5.5 การขออนญาตการน าเทคโนโลยมาใชหรอการเปลยนแปลงการใชเทคโนโลย

ในกรณทสถาบนการเงนมการน าเทคโนโลยใด ๆ มาใชเปนครงแรก หรอมการเปลยนแปลงการใชเทคโนโลยทมผลกระทบหรอมความเสยงอยางมนยส าคญตอการด าเนนธรกจ ใหสถาบนการเงนยนแผนการน าเทคโนโลยมาใชหรอการเปลยนแปลงการใชเทคโนโลยทไดรบความเหนชอบจากคณะกรรมการของสถาบนการเงนหรอคณะกรรมการทไดรบมอบหมาย ตอฝายก ากบธรกจสถาบนการเงน สายนโยบายสถาบนการเงน ธนาคารแหงประเทศไทยเพอขออนญาตกอนด าเนนการ ซงแผนดงกลาวอยางนอยตองระบถงเหตผลและความจ าเปน รายละเอยดการใชเทคโนโลยสารสนเทศ การคมครองผใชบรการ แผนฉกเฉนดานเทคโนโลยสารสนเทศ และผลการประเมนความเสยงและแนวทางการบรหารความเสยงทผาน การพจารณาและลงนามรบทราบเปนลายลกษณอกษรจากหนวยงานทท าหนาทบรหารความเสยงของสถาบนการเงน รวมถงเอกสารทเกยวของอนใดทธนาคารแหงประเทศไทยอาจรองขอเพมเตม โดยธนาคารแหงประเทศไทยจะพจารณาใหแลวเสรจภายใน 30 วนท าการนบแตวนทไดรบค าขอและเอกสารถกตองครบถวน

ทงน หากสถาบนการเงนมขอสงสยเกยวกบการพจารณาการน าเทคโนโลยมาใชหรอการเปลยนแปลงการใชเทคโนโลยทมผลกระทบหรอมความเสยงอยางมนยส าคญตอการด าเนนธรกจ ใหสถาบนการเงนหารอมายงฝายก ากบธรกจสถาบนการเงน สายนโยบายสถาบนการเงน ธนาคารแหงประเทศไทยกอนด าเนนการ

5.6 การขอผอนผนการปฏบตตามหลกเกณฑ

ในกรณทสถาบนการเงนใดไมสามารถปฏบตตามหลกเกณฑทก าหนดตามประกาศ ฉบบนได ใหสถาบนการเงนยนขออนญาตผอนผนการปฏบตตามหลกเกณฑดงกลาวมายงฝายก ากบธรกจสถาบนการเงน สายนโยบายสถาบนการเงน ธนาคารแหงประเทศไทย เปนรายกรณ พรอมแสดงเหตผลและความจ าเปน รวมถงแผนในการด าเนนการเพอใหสามารถปฏบตตามหลกเกณฑทก าหนดไดตอไป ทงน ธนาคารแหงประเทศไทยจะพจารณาใหแลวเสรจภายใน 30 วนท าการนบแตวนทไดรบค าขอและเอกสารถกตองครบถวน

ค ำถำม – ค ำตอบแนบทำยประกำศ เรอง หลกเกณฑกำรก ำกบดแลควำมเสยงดำนเทคโนโลยสำรสนเทศ

(Information Technology Risk) ของสถำบนกำรเงน ลงวนท 20 ธนวำคม 2560

ขอ ประเดนค ำถำม แนวค ำตอบ

ธรรมำภบำลดำนเทคโนโลยสำรสนเทศ (IT governance) 1. ในกรณทสถาบนการเงนไมมกรรมการทม

ความรดานเทคโนโลยสารสนเทศ (Information Technology : IT) แตสถาบนการเงนมการจดอบรมดาน IT ใหแกกรรมการของสถาบนการเงนแทน จะถอวาสถาบนการเงนปฏบตตามหลกเกณฑของประกาศฉบบนแลวหรอไม

สถาบนการเงนตองมกรรมการทมความรหรอประสบการณดาน IT อยางนอย 1 ทานในคณะกรรมการของสถาบนการเงน เพอชวยใหความเหนในการก าหนดทศทางและก ากบดแลใหสถาบนการเงนมการใช IT ใหสอดรบกบ กลยทธในการด าเนนธรกจ และมการก ากบดแลการบรหารจดการความเสยงดาน IT ไดอยางมประสทธภาพ โดยจบการศกษาในสาขาทเกยวของกบ IT หรอมประสบการณในการท างานทเกยวของกบ IT ซงการอบรมดาน IT นนอาจไมเพยงพอเนองจากเปนการเสรมความรและความตระหนกรใหกรรมการเทาทนตอสถานการณความเสยงและเทคโนโลยทเปลยนแปลงไปมากขนเทานน

2. กรรมการทมความรหรอประสบการณดาน IT อยางนอย 1 ทานทธนาคารแหงประเทศไทยก าหนดนน ตองเปนกรรมการอสระ หรอเปนกรรมการทไมเปนผบรหารดวยหรอไม

ธนาคารแหงประเทศไทยไมไดก าหนดวากรรมการทมความรหรอประสบการณดาน IT ตองเปนกรรมการอสระ กรรมการทไมเปนผบรหาร หรอกรรมการทเปนผบรหาร

3. ในกรณทคณะกรรมการของสถาบนการเงนมอบหมายหนาทก ากบดแลและสนบสนน การบรหารความเสยงดาน IT ใหคณะกรรมการชดยอย เชน คณะกรรมการบรหารความเสยง ในการท าหนาทก ากบดแล อนมตโครงการและนโยบายทเกยวของกบการก ากบดแลดาน IT รวมทงตดตามการน านโยบายไปใชอยางเหมาะสมแทนแลว สถาบนการเงนยงคงตองสรรหาและคดเลอกบคคลทมความรหรอประสบการณดาน IT เขาเปนหนงในกรรมการในคณะกรรมการของสถาบนการเงนอกหรอไม

คณะกรรมการของสถาบนการเงนไมสามารถมอบหมายใหคณะกรรมการชดยอยท าหนาทในการอนมตนโยบายทเกยวของกบการก ากบดแลความเสยงดาน IT แตสามารถมอบหมายใหคณะกรรมการชดยอยด าเนนการในสวนของการดแลและตดตามการน านโยบายทไดรบอนมตไวแลวไปใชอยางเหมาะสมได โดยตองมการรายงานใหคณะกรรมการของสถาบนการเงนทราบในการด าเนนการในเรองดงกลาว ดงนน สถาบนการเงนยงคงตองสรรหาและคดเลอกบคคลทมความรหรอประสบการณดาน IT เขาเปนหนงในกรรมการในคณะกรรมการของสถาบนการเงนเพอใหคณะกรรมการของสถาบนการเงนท าหนาทไดตามบทบาททประกาศก าหนดไดอยางมประสทธภาพ

4. ในกรณทสาขาของธนาคารพาณชยตางประเทศ หรอธนาคารพาณชยทเปนบรษทลกของธนาคารพาณชยตางประเทศ มคณะกรรมการชดตาง ๆ รวมทงโครงสรางการก ากบดแลความเสยงดาน IT ทงระดบการปฏบตงาน (1st line) ระดบการบรหารความเสยง (2nd line) และระดบการตรวจสอบ (3rd line) อยทตางประเทศ โดยมหนวยงาน

การพจารณาโครงสรางการก ากบดแลความเสยงดาน IT ใหพจารณาทโครงสรางการก ากบดแลโดยรวมของ สาขาของธนาคารพาณชยตางประเทศหรอธนาคารพาณชยทเปนบรษทลกของธนาคารพาณชยตางประเทศ ทงหนวยงานทอยตางประเทศและในประเทศไทย ดงนน หากโครงสรางดงกลาวมการแบงแยกหนาทระหวาง (1) ปฏบตงานดาน IT (2) บรหารความเสยงดาน IT

2

ขอ ประเดนค ำถำม แนวค ำตอบ ปฏบตงานดาน IT ทอยในประเทศไทยเปน สวนหนงของ 1st line ของธนาคารพาณชยแมทอยในตางประเทศนน การมโครงสรางในลกษณะดงกลาว ถอวาสาขาของธนาคารพาณชยตางประเทศหรอธนาคารพาณชยทเปนบรษทลกของธนาคารพาณชยตางประเทศ มโครงสรางตามทธนาคารแหงประเทศไทยก าหนดแลวหรอไม

และ (3) ตรวจสอบดาน IT และมคณะกรรมการทท าหนาทก ากบดแลความเสยงดาน IT ตามหลกเกณฑทก าหนดในขอ 5.3.1 (2.1) และ (2.2) กถอวาสาขาของธนาคารพาณชยตางประเทศหรอธนาคารพาณชยทเปนบรษทลกของธนาคารพาณชยตางประเทศนนมการจดโครงสรางทสอดคลองกบหลกเกณฑของธนาคารแหงประเทศไทยแลว

5. ในกรณของสาขาของธนาคารพาณชยตางประเทศหรอธนาคารพาณชยทเปนบรษทลกของธนาคารพาณชยตางประเทศ (subsidiary) ซงปจจบนมการใชนโยบายทเกยวของกบการก ากบดแลความเสยงดาน IT ทก าหนดโดยธนาคารพาณชยแมทอยในตางประเทศ สาขาของธนาคารพาณชยตางประเทศหรอธนาคารพาณชยทเปนบรษทลกของธนาคารพาณชยตางประเทศยงจ าเปนตองมนโยบายในเรองดงกลาวทไดรบอนมตจากคณะผบรหารทมอ านาจหนาทรบผดชอบทเกยวของกบสาขาของธนาคารพาณชยตางประเทศนนหรอคณะกรรมการของธนาคารพาณชยทเปนบรษทลกอกหรอไม

สาขาของธนาคารพาณชยตางประเทศหรอธนาคารพาณชยทเปนบรษทลกของธนาคารพาณชยตางประเทศสามารถน านโยบายทเกยวของกบการก ากบดแลความเสยงดาน IT ทส านกงานใหญหรอธนาคารพาณชยแมทอย ในตางประเทศก าหนดมาปรบใชได โดยตองมนใจวา นโยบายดงกลาวครอบคลมตามหลกเกณฑทธนาคารแหงประเทศไทยก าหนด ทงน คณะผบรหารทมอ านาจหนาทรบผดชอบทเกยวของของสาขาของธนาคารพาณชยตางประเทศนนหรอคณะกรรมการของธนาคารพาณชยทเปนบรษทลกตองอนมตนโยบายดงกลาวดวย

กำรรกษำควำมมนคงปลอดภยดำนเทคโนโลยสำรสนเทศ (IT Security) 6. การก าหนดกระบวนการจดการการเขาถงขอมล

สามารถท าไดโดยหนวยงานทปฏบตงานดาน IT (IT operation) หรอจ าเปนตองแยกเปนหนวยงานอสระอกหนวยงานหนงออกจากหนวยงานทปฏบตงานดาน IT

สถาบนการเงนสามารถก าหนดโครงสรางของหนวยงานทท าหนาทจดการการเขาถงขอมลไดเองโดยธนาคารแหงประเทศไทยไมไดก าหนดใหตองอยในความรบผดชอบของหนวยงานใดเปนการเฉพาะ ซงใหขนอยกบการจดสรรงานของสถาบนการเงนแตละแหงและเปนไปตามหลกการแบงแยกหนาททด

7. ในกรณธนาคารพาณชยทเปนบรษทลกของธนาคารพาณชยตางประเทศ ซงมการใชระบบ core banking และระบบทเกยวของจากธนาคารพาณชยแมทอยในตางประเทศนน ธนาคารพาณชยทเปนบรษทลกสามารถใชผลการทดสอบเจาะระบบของธนาคารพาณชยแมทอยในตางประเทศ ไดหรอไม

ธนาคารพาณชยทเปนบรษทลกของธนาคารพาณชยตางประเทศสามารถใชผลการทดสอบของธนาคารพาณชยแมทอยในตางประเทศได โดยผลการทดสอบตองครอบคลมระบบงานส าคญทธนาคารพาณชยทเปนบรษทลกของธนาคารพาณชยตางประเทศใชงานอยทงหมด

8. ในกรณทสถาบนการเงนมศนยคอมพวเตอรหลก และศนยคอมพวเตอรส ารองอยหนงแหงแลว จ าเปนหรอไมทตองมศนยคอมพวเตอรส ารองแหงทสอง

สถาบนการเงนตองก าหนดนโยบายในการจดตงศนยคอมพวเตอรส ารอง โดยควรค านงถงความจ าเปน ความเสยง และความเหมาะสมในการจดตงศนยคอมพวเตอรส ารองแหงทสอง

3

ขอ ประเดนค ำถำม แนวค ำตอบ 9. ในกรณทสถำบนกำรเงนมนโยบำย

กำรบรหำรควำมตอเนองทำงธรกจ (Business Continuity Management : BCM) ทครอบคลมถงกำรจดท ำแผนฉกเฉนดำน IT และไดรบควำมเหนชอบจำกคณะกรรมกำรทไดรบมอบหมำยแลว สถำบนกำรเงนสำมำรถใชนโยบำย BCM ดงกลำวแทนกำรจดท ำแผนฉกเฉนดำน IT ทก ำหนดอยในประกำศขอ 5.3.2 (9) ไดหรอไม (เพมเตมเมอ 27 กมภำพนธ 2562)

สถำบนกำรเงนสำมำรถใชนโยบำย BCM ของสถำบนกำรเงน แทนกำรจดท ำแผนฉกเฉนดำน IT ได หำกนโยบำย BCM ดงกลำว ครอบคลมถง กำรจดท ำแผนฉกเฉนดำน IT ซงมวตถประสงคเพอใหสถำบนกำรเงนมแนวทำงรองรบเหตกำรณผดปกตทระบบเกดหยดชะงกหรอเกดควำมเสยหำย โดยทธรกจด ำเนนกำรตอไปไดอยำงตอเนอง และสำมำรถกคนระบบใหกลบคนสสภำพปกตภำยในระยะเวลำทยอมรบได

กำรปฏบตตำมกฎหมำยและหลกเกณฑทเกยวของกบเทคโนโลยสำรสนเทศ (IT compliance) 10. งานก ากบดแลการปฏบตตามกฎหมายและ

หลกเกณฑทเกยวของกบ IT (IT compliance) ตองแยกออกจากหนวยงานก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑอน ๆ(compliance) หรอไม และผทท าหนาทก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบ IT ตองมคณสมบตอยางไร

ผทท าหนาท IT compliance อาจอยในหนวยงาน หรอทมงานทอยในฝายก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑอน ๆ ทปจจบนมอยแลวได โดยผท ท าหนาทน ตองเปนผทมความรและเขาใจในกฎหมายหรอหลกเกณฑทเกยวของกบการใชเทคโนโลยของสถาบนการเงน

11. สาขาของธนาคารพาณชยตางประเทศ หรอธนาคารพาณชยทเปนบรษทลกของธนาคารพาณชยตางประเทศ สามารถใชหนวยงานก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบ IT (IT compliance) ของธนาคารพาณชยแมในตางประเทศ ไดหรอไม หรอตองจดตงหนวยงานหรอทมงานขนใหมในประเทศไทยโดยเฉพาะ

สาขาของธนาคารพาณชยตางประเทศ หรอธนาคารพาณชยทเปนบรษทลกของธนาคารพาณชยตางประเทศสามารถใชหนวยงาน IT compliance ของส านกงานใหญหรอธนาคารพาณชยแมในตางประเทศได ทงน หนวยงาน IT compliance ของส านกงานใหญหรอธนาคารพาณชยแมในตางประเทศ ตองมความรและเขาใจในกฎหมายหรอหลกเกณฑทเกยวของกบการใชเทคโนโลยของสถาบนการเงนของประเทศไทย ซงอาจมความแตกตางจากกฎหมายหรอหลกเกณฑทก ากบดแลส านกงานใหญหรอธนาคารพาณชยแมทอยในตางประเทศ

กำรตรวจสอบดำนเทคโนโลยสำรสนเทศ (IT audit) 12. หนวยงานใดของสถาบนการเงนตองท าหนาท

ด าเนนการจางผเชยวชาญภายนอกทจะท าหนาทประเมนระบบหรอเทคโนโลยทมความส าคญตามประกาศก าหนด

ธนาคารแหงประเทศไทยไมไดก าหนดหนวยงานท ท าหนาทด าเนนการจางผเชยวชาญภายนอก ทงน สถาบนการเงนตองก าหนดนโยบายในเรองการจดจางผเชยวชาญภายนอกดงกลาว โดยนโยบายนนตอง สอดคลองกบนโยบายอนทเกยวของของสถาบนการเงน

4

ขอ ประเดนค ำถำม แนวค ำตอบ 13. ตามทธนาคารแหงประเทศไทยไดมการสอสาร

ในการจดประชมชแจงรางประกาศธนาคารแหงประเทศไทย เรอง หลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ (Information Technology Risk) ของสถาบนการเงน (ประกาศ IT Risk) เมอวนท 23 สงหาคม 2560 ซงเนอหาสวนหนงไดสอสารถงการยกเลกประกาศธนาคารแหงประเทศไทย ท สนส. 26/2551 เรอง การอนญาตใหธนาคารพาณชยใหบรการการเงนทางอเลกทรอนกส หลงจากประกาศ IT Risk บงคบใชนน หมายความวาธนาคารพาณชยสามารถเตรยมความพรอม เพอปฏบตตามประกาศ IT Risk โดยไมตองท า การตรวจสอบระบบการใหบรการโอนเงน ทางอเลกทรอนกสโดยผตรวจสอบบญชภายนอกในรอบป 2560 และในชวงเดอนมกราคม – มนาคม 2561 ตามประกาศธนาคารแหง ประเทศไทย ท สนส. 26/2551 ไดหรอไม (เพมเตมเมอ 30 เมษายน 2561)

ธนาคารแหงประเทศไทยพจารณาผอนผนใหธนาคารพาณชยสามารถด าเนนการตรวจสอบดานเทคโนโลยสารสนเทศ (IT audit) ตามหลกเกณฑทระบในประกาศ IT Risk แทนการตรวจสอบระบบการใหบรการโอนเงนทางอเลกทรอนกสตามประกาศธนาคารแหงประเทศไทย ท สนส. 26/2551 ในชวงป 2560 – มนาคม 2561 เนองจากธนาคารพาณชยไดรบทราบเกยวกบการยกเลกประกาศธนาคารแหงประเทศไทย ท สนส. 26/2551 และด าเนนการเตรยมความพรอมทจะมการปฏบตตามประกาศ IT Risk ฉบบใหมแทน (ซงประกาศ IT Risk ไมไดมการก าหนดเปนการเฉพาะใหตรวจสอบระบบ การใหบรการโอนเงนทางอเลกทรอนกสโดยผตรวจสอบบญชภายนอก แตก าหนดใหธนาคารพาณชยตองจดใหมแผนงานและขอบเขตการตรวจสอบดานเทคโนโลยสารสนเทศทสอดคลองกบความส าคญและความเสยงของการใชเทคโนโลยสารสนเทศของธนาคารพาณชย โดยใชผตรวจสอบดานเทคโนโลยสารสนเทศทมความรและความเชยวชาญเกยวกบการตรวจสอบดานเทคโนโลยสารสนเทศ ซงอาจเปนผตรวจสอบภายใน ผตรวจสอบภายนอก หรอผเชยวชาญภายนอกทมความเปนอสระ) อกทงเพอเปนการลดภาระและคาใชจายของธนาคารพาณชย ในการตรวจสอบระบบการใหบรการโอนเงนดงกลาว

14. ตำมทก ำหนดใหสถำบนกำรเงนตองจดใหมกำรตรวจสอบดำนเทคโนโลยสำรสนเทศ อยำงนอยปละ 1 ครง (ตำมประกำศขอ 5.3.5 (3)) นน หำกสถำบนกำรเงนม กำรจดท ำแผนและขอบเขตกำรตรวจสอบดำน IT จำกกำรประเมนควำมเสยงและควำมส ำคญของกำรใชเทคโนโลย ท ำให มงำนดำน IT บำงเรองทมรอบระยะเวลำกำรตรวจสอบเกนกวำ 1 ป จงขอทรำบวำสถำบนกำรเงนสำมำรถตรวจสอบตำมแผนและรอบเวลำดงกลำวไดหรอไม (เพมเตมเมอ 27 กมภำพนธ 2562)

สถำบนกำรเงนสำมำรถจดใหมกำรตรวจสอบตำมแผนดงกลำวได หำกสถำบนกำรเงนมกำรประเมนควำมส ำคญและควำมเสยงของกำรใชเทคโนโลยสำรสนเทศเพอก ำหนดแผนงำนและขอบเขต กำรตรวจสอบ และแผนงำนและขอบเขต กำรตรวจสอบดงกลำวไดรบควำมเหนชอบจำกคณะกรรมกำรตรวจสอบแลว (ตำมประกำศขอ 5.3.5 (2)) โดยขอใหสถำบนกำรเงนจดเกบ ผลกำรประเมนและเหตผลประกอบกำรประเมน เพอใหธนำคำรแหงประเทศไทยสำมำรถตรวจสอบได

5

ขอ ประเดนค ำถำม แนวค ำตอบ กำรบรหำรจดกำรโครงกำรดำนเทคโนโลยสำรสนเทศ (IT project management) 15. หนวยงานหรอทมงานดแลภาพรวมของโครงการ

(Project Management Office : PMO) สามารถเปนหนวยงานหรอทมงานทดแลภาพรวมของโครงการทครอบคลมทงดาน IT และ Non IT ไดหรอไม และสาขาธนาคารพาณชยตางประเทศทอยในประเทศไทยสามารถใชหนวยงานหรอทมงานดแลภาพรวมของโครงการของส านกงานใหญประจ าภมภาค (regional) แทนการจดตงหนวยงานหรอทมงานขนใหมเพอท าหนาทน ไดหรอไม

PMO สามารถเปนหนวยงานหรอทมงานทดแลภาพรวมทงโครงการดาน IT และ โครงการทเปน Non IT ไดและสามารถใช PMO ของส านกงานใหญประจ าภมภาค (regional) ได โดยไมตองจดตงหนวยงานหรอทมงานขนใหมเพอท าหนาทนในประเทศไทย อยางไรกด PMO ของส านกงานใหญประจ าภมภาคตองตดตามความคบหนาและภาพรวมของโครงการดาน IT ทส าคญของสาขาธนาคารพาณชยตางประเทศทอยในประเทศไทย และรายงานตอคณะกรรมการทไดรบมอบหมายในการก ากบดแลโครงการหรอผบรการระดบสงทเกยวของทราบใหครบถวน เพอใหโครงการบรรลวตถประสงคตามเปาหมายทวางไว

กำรขออนญำตกำรเปลยนแปลงกำรใชเทคโนโลย 16. หากสถาบนการเงนจะน าเทคโนโลยใหมมาใช

ซงจะมผลกระทบอยางมนยส าคญในการด าเนนธรกจ แตเปนเทคโนโลยทบรษทในกลมธรกจทางการเงนมการใชงานอยแลว สถาบนการเงนจ าเปนตองขออนญาตจากธนาคารแหงประเทศไทยหรอไม

สถาบนการเงนตองขออนญาตจากธนาคารแหงประเทศไทยตามหลกเกณฑก าหนด เนองจากธนาคารแหงประเทศไทยตองพจารณาความเสยงและผลกระทบจากการทสถาบนการเงนน าเทคโนโลยดงกลาวมาใช

17. การเปลยนแปลงการใชเทคโนโลยในลกษณะใดทธนาคารแหงประเทศไทยถอวามนยส าคญ และตองยนขออนญาตตอธนาคารแหงประเทศไทยตามทก าหนดในประกาศ

การพจารณาวาการเปลยนแปลงการใชเทคโนโลยทมนยส าคญ ใหสถาบนการเงนพจารณาความเสยงหรอผลกระทบประการใดประการหนงดงตอไปน (1) กอใหเกดความเสยงและผลกระทบตอสถาบนการเงนในวงกวาง (bank wide impact) เชน การเปลยนแปลงระบบทใหบรการแกผใชบรการของสถาบนการเงน และประชาชนทวไปในวงกวาง (2) กอใหเกดความเสยงและผลกระทบตอระบบ สถาบนการเงน หรอธรกจอนในวงกวาง (banking system wide impact) เชน การเปลยนแปลงระบบงานทเชอมตอกบระบบช าระเงนกลาง ทงน หากสถาบนการเงนมขอสงสยเกยวกบการพจารณาการเปลยนแปลงการใชเทคโนโลยทมผลกระทบหรอ มความเสยงอยางมนยส าคญตอการด าเนนธรกจใหสถาบนการเงนหารอมายงฝายก ากบธรกจสถาบนการเงน สายนโยบายสถาบนการเงน ธนาคารแหงประเทศไทยกอนด าเนนการ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page I

ISO 27001

COBIT COSO

ฝายตรวจสอบเทคโนโลยสารสนเทศ

สายนโยบายระบบการช าระเงนและเทคโนโลยทางการเงน

IT Risk Management Implementation Guideline แนวปฏบตในการบรหารความเสยงดานเทคโนโลยสารสนเทศ

ISO 27001

ISO 31000

ISO 21500

COBIT5 ISO

27005

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page II

สารบญ

Executive Summary 1

หลกการบรหารความเสยงดานเทคโนโลยสารสนเทศ 2

ความเชอมโยงประกาศและแนวปฏบตทเกยวของ 4

แนวปฏบตในการบรหารความเสยงดานเทคโนโลยสารสนเทศ 5

ความเสยงทเกยวของกบเทคโนโลยสารสนเทศ 6

1. การก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ 7

2. การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security) 16

3. การบรหารจดการโครงการดานเทคโนโลยสารสนเทศ (IT Project Management) 37

เอกสารอางอง 39

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 1

Executive Summary

ปจจบน การด าเนนธรกจของสถาบนการเงน (สง.) ก าลงเขาสยค digital โดยอาศยเทคโนโลยสารสนเทศเปน ตวขบเคลอนและมบทบาทส าคญเปนโครงสรางพนฐาน ทชวยเสรมสรางประสทธภาพในกระบวนการด าเนนงาน ใหรองรบกลยทธทางธรกจ อกท งการพฒนานวตกรรม ทางการเงนผ านชองทางอ เล กทรอน กส ย งเป นกลไก ในการพฒนาประเทศทส าคญ ชวยลดตนทนและเพมศกยภาพในการแขงขน เพอสามารถใหบรการลกคาไดอยางสะดวกรวดเรว ตอบสนองความตองการของลกคาทหลากหลายไดอยางทวถง

การใชเทคโนโลยสารสนเทศของ สง. จงนบเปนโจทยททาทาย ภายใตบรบทของสภาวะแวดลอมดานธรกจการเงน ในปจจบนทมความผนผวนสงและยากตอการคาดเดา ตงแต การก าหนดยทธศาสตรในการพฒนาเทคโนโลยสารสนเทศเพอเปนตวขบเคลอนธรกจ รวมทงการเปลยนแปลงอยางรวดเรวของเทคโนโลยท สง. ตองปรบตวใหเทาทน และความเสยง ในการเผชญภยคกคามทางไซเบอรทนบวนมแนวโนมเพมขน มววฒนาการทซบซอนขน สงผลกระทบทมความรนแรงและเปนวงกวางมากขน ดงเชน เหตการณภยคกคามทางไซเบอร ทเกดขนทวโลก ไมวาจะกรณการโจมตดวย DDoS จนท าใหระบบใชงานไมได หรอโปรแกรม Malware ทเขาแทรกแซงระบบใหสงค าสงโอนเงน เปนตน จงเหนไดวาปจจบน สง. ก าลงเผชญกบความเสยง ดานเทคโนโลยสารสนเทศในหลายมตมากขน หาก สง. ไมม การปรบตวใหเทาทนกบการเปลยนแปลง หรอไมมการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศท เพยงพอ อาจน าไปสความเสยงดานอนทส าคญดวย โดยปจจบนความเสยงดานเทคโนโลยสารสนเทศ ไมเปนเพยงสวนหนงของความเสยงดานปฏบตการอกตอไป แตกลายเปนหนงในความเสยงทางธรกจทส าคญทสามารถสงผลกระทบตอความเชอมนของลกคาทมตอการใชบรการทางการเงน รวมทง อาจสงผลกระทบตอ กลยทธทางธรกจ การปฏบตตามกฎระเบยบตาง ๆ ภาพลกษณชอเสยงของ สง.

ดงนน สง. จงจ าเปนตองมการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศอยางเปนระบบและตอเน อง ซงธนาคารแหงประเทศไทยตระหนกถงความส าคญและ ความจ าเปนในการยกระดบความพรอมรบมอตอความเสยงท สง. ก าลงเผชญ เพอให สง. มการก ากบดแลและบรหารจดการทรพยากรเทคโนโลยสารสนเทศ ทงบคลากร กระบวนการ และการน าเทคโนโลยสารสนเทศมาใช ภายใตการบรหารความเสยงอยางเหมาะสมและเพยงพอรองรบตามระดบความเสยงท สง. มโดยเรมตงแตคณะกรรมการของ สง. และผบรหารระดบสงทใหความส าคญในการผลกดนและยกระดบการบรหารความเสยงดานเทคโนโลยสารสนเทศโดยสรางวฒนธรรมและพฤตกรรมรวมของทกคนในองคกรใหตระหนกถงความเสยงอยางรอบดานและเปนรปธรรม การสรางธรรมาภบาลทดในองคกรโดยมโครงสรางและบทบาทหนาทความรบผดชอบอยางเหมาะสม การก าหนดกรอบการบรหารความเสยงดานเทคโนโลยสารสนเทศทชดเจนเพอใหมการประเมน และตดตามความเสยงอยางตอเนอง และเทาทนกบความเสยงรปแบบใหมทอาจเกดขน การขบเคลอนธรกจโดยค านงถงการใชเทคโนโลยสารสนเทศอยางเหมาะสมและปลอดภย รวมถง การดแลใหมบคลากรของ สง. มความรความเชยวชาญอยางเพยงพอ ตลอดจนมการเสรมสรางความรความเขาใจทางดานเทคโนโลยทางการเงนใหกบประชาชนอยางตอเนอง

ธนาคารแหงประเทศไทยจงไดจดท าประกาศ เรอง หลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ พรอมท งไดจดท าแนวปฏบต ในการบรหารความเส ยง ดานเทคโนโลยสารสนเทศทสอดคลองกบประกาศดงกลาว โดยอางองมาตรฐานสากลทยอมรบโดยทวไป ดงแสดงในเอกสารอางอง ทงน ธนาคารแหงประเทศไทยมงหวงให แนวปฏบตนเกดประโยชนในวงกวางและ สง. สามารถน าไปใชเปนแนวทางปฏบตในการบรหารความเสยงดานเทคโนโลยสารสนเทศ เพอสรางความมนคงปลอดภยและความเชอมนใหกบองคกร ระบบการเงน รวมทงลกคาประชาชนตอไป

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 2

หลกการบรหารความเสยงดานเทคโนโลยสารสนเทศ สรปหลกการบรหารความเสยงดานเทคโนโลยสารสนเทศ มดงน 1. การใชเทคโนโลยสารสนเทศสอดคลองกบกลยทธในการด าเนนธรกจและการเปลยนแปลง

ปจจบนเทคโนโลยสารสนเทศเขามามบทบาทส าคญตอการด าเนนธรกจของสถาบนการเงนมากขน โดยเปนโครงสรางพนฐานทส าคญทรองรบกลยทธในการด าเนนธรกจ ชวยเพมประสทธภาพ ลดตนทนในการด าเนนงาน และเพมศกยภาพในการแขงขน ตอบสนองตอความตองการของลกคาทตองการผลตภณฑและบรการทหลากหลายไดอยางสะดวกและรวดเรว นอกจากน สง. ยงตองเตรยมความพรอมของระบบเทคโนโลยสารสนเทศใหพรอมรบการเปลยนแปลงทเปนไปอยางรวดเรวเพอรองรบการด าเนนธรกจในอนาคต

2. คณะกรรมการของ สง. และผบรหารระดบสงมบทบาทส าคญในการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ การบรหารความเสยงดานเทคโนโลยสารสนเทศ ตองมการก ากบดแลในระดบองคกร โดยเปนความรบผดชอบ

ของคณะกรรมการของ สง. ทตองสนบสนนและผลกดนใหองคกรมกลยทธและนโยบายดานเทคโนโลยสารสนเทศทเพมประสทธภาพใหแกการด าเนนธรกจ ความสามารถในการแขงขน มความมนคงปลอดภยและพรอมรบมอภยคกคามทางเทคโนโลยและภยคกคามทางไซเบอรทอาจเกดขน รวมทงผลกดนใหองคกรมการสรางความตระหนกในการบรหารความเสยงดานเทคโนโลยสารสนเทศ(IT risk awareness) อยางตอเนองและมประสทธภาพ

3. ความเสยงดานเทคโนโลยสารสนเทศเปนความเสยงในระดบองคกร (enterprise wide risk) เนองจากเทคโนโลยสารสนเทศกลายเปนโครงสรางพนฐานส าคญรองรบกระบวนการทางธรกจและการปฏบตงาน

ดานตาง ๆ ของ สง. ดงนนการบรหารความเสยงดานเทคโนโลยสารสนเทศ ไมไดเปนความรบผดชอบอยเพยงหนวยงานดานเทคโนโลยสารสนเทศเทานน แตเปนเรองทบคลากรทกระดบและทกฝายในองคกรตองใหความตระหนกและมแนวทาง การบรหารความเสยงทเกดจากการใชเทคโนโลยสารสนเทศครอบคลมทงในเชงกลยทธและเชงปฏบตการเพอใหมการปองกน ตดตาม และรบมอความเสยงทอาจเกดขน ดวยเหตน สง. จ าเปนตองมกรอบการบรหารความเสยงดานเทคโนโลยสารสนเทศ อยางครอบคลมทวทงองคกรและเหมาะสมกบระดบความเสยงทยอมรบได โดยครอบคลมการก าหนดนโยบายและบทบาทหนาทความรบผดชอบ การพฒนากระบวนการและเครองมอ รวมถงการพฒนาความรและความเชยวชาญในดานการบรหารความเสยงดานเทคโนโลยสารสนเทศอยางเพยงพอและทวถง

4. มการก ากบดแลเปนไปตามหลก 3 lines of defence โครงสรางการก ากบดแลการปฏบตงานและการบรหารความเสยงดานเทคโนโลยสารสนเทศ จ าเปนตองสอดคลอง

ตามหลก 3 lines of defence เพอใหสอดคลองตามหลกการถวงดล (check and balance) และมการแบงแยกหนาทความรบผดชอบอยางชดเจน (segregation of duties) ในการปฏบตงาน การบรหารความเสยง การก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑ และการตรวจสอบดานเทคโนโลยสารสนเทศ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 3

5. การรกษาความมนคงปลอดภยและการบรหารความเสยงดานเทคโนโลยสารสนเทศสอดคลอง กบความเสยงทเพมขน ความเสยงทเกดจากเทคโนโลยสารสนเทศหากไมไดรบการบรหารจดการและควบคมอยางเพยงพอ

อาจท าใหเกดชองโหวดานการรกษาความปลอดภย ความถกตองเชอถอได และความพรอมใชของระบบในการใหบรการ แกธรกจและการด าเนนงานของ สง. ซงอาจน าไปสความเสยงดานความนาเชอถอ ชอเสยง ภาพลกษณ การปฏบต ตามกฎหมายและหลกเกณฑทเกยวของ

6. การบรหารจดการโครงการดานเทคโนโลยสารสนเทศอยางรดกมและมประสทธภาพ ความตองการของลกคาทตองการผลตภณฑและบรการทหลากหลาย รวมทงการเปลยนแปลงของเทคโนโลย

สารสนเทศทเปนไปอยางรวดเรว ท าให สง. ตองบรหารจดการทรพยากรทมอยอยางจ ากดใหมประสทธภาพสงสด ดงนน หาก สง. ไมสามารถบรหารจดการโครงการพฒนาระบบไดอยางมประสทธภาพ ท าใหไมสามารถสงมอบโครงการได ตามเปาหมายทก าหนด สงผลใหเกดความเสยงทโครงการดานเทคโนโลยสารสนเทศไมแลวเสรจตามก าหนดเวลา โครงการไมมคณภาพ รวมถงโครงการไมสอดรบกบกลยทธทางธรกจของ สง. นอกจากนในบางกรณอาจสงผลให สง. ไมสามารถปฏบตไดตามกฎหมายและหลกเกณฑทเกยวของของผก ากบดแลได

7. มการพฒนาความรความสามารถ (capability) ของบคลากร ดวยววฒนาการของเทคโนโลยและความเสยงซงมความซบซอนมากขน สง. จ าเปนตองมการพฒนาความร

ดานเทคโนโลยอยางตอเนอง เพอเพมมมมองความรและความเชยวชาญของบคลากรในการระบ ประเมน ควบคม ตดตาม และรบมอความเสยงจากภยทเกยวของกบการใชเทคโนโลยสารสนเทศ นอกจากน การด าเนนธรกจในยคดจทล ท าใหความเสยงดานเทคโนโลยสารสนเทศไมไดจ ากดอยเพยงระดบปฏบตการเทานน แตยงสงผลตอการด าเนนกลยทธของธรกจ ดงนนคณะกรรมการ ผบรหารระดบสง และบคลากรทกระดบจงจ าเปนตองไดรบการพฒนาความรดานเทคโนโลยสารสนเทศและความเสยงตอธรกจรวมถงตดตามภยคกคามทางไซเบอร เพอใหมความรเทาทนภยคกคามใหม ๆ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 4

ความเชอมโยงประกาศและแนวปฏบตทเกยวของ

สอบถามเพมเตมตดตอฝายตรวจสอบเทคโนโลยสารสนเทศ 02-283-6448

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 5

แนวปฏบตในการบรหารความเสยงดานเทคโนโลยสารสนเทศ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 6

ความเสยงทเกยวของกบเทคโนโลยสารสนเทศ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 7

1. การก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ

1.1 บทบาทหนาทและความรบผดชอบของคณะกรรมการของ สง.

วตถประสงค เพอใหคณะกรรมการของ สง. ก ากบดแลและสนบสนนใหองคกรมการบรหารความเสยง ดานเทคโนโลยสารสนเทศอยางเพยงพอเหมาะสมและสอดคลองกบการด าเนนธรกจ

1.1.1 คณะกรรมการของ สง. ประกอบดวยกรรมการทมความรหรอประสบการณดานเทคโนโลยสารสนเทศ อยางนอย 1 ทาน เพอใหคณะกรรมการของ สง. สามารถก าหนดทศทางและก ากบดแลให สง. มการใชเทคโนโลยสารสนเทศใหสอดรบกบกลยทธการด าเนนธรกจของ สง. มความรเทาทนความเสยงและพฒนาการดานเทคโนโลยทเปลยนแปลงไป

1.1.2 ดแลใหมการใชเทคโนโลยทสอดรบกบกลยทธในการด าเนนธรกจของสถาบนการเงน และดแลใหการใชเทคโนโลยของสถาบนการเงนมความยดหยนเพยงพอทจะรองรบการเปลยนแปลงดานเทคโนโลยและ การเปลยนแปลงการด าเนนธรกจในอนาคต

1.1.3 ดแลใหมการบรหารความเสยงดานเทคโนโลยสารสนเทศ ในฐานะทเปนความเสยงทส าคญ โดยถอเปน สวนหนงของการบรหารความเสยงในภาพรวมของ สง. (Enterprise Risk Management : ERM)

1.1.4 ดแลใหมการก าหนดนโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT security policy) ซงรวมถงนโยบายในการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ และนโยบายการบรหารความเสยง ดานเทคโนโลยสารสนเทศ (IT risk management policy) โดยนโยบายดงกลาวตองสอดคลองกบลกษณะการด าเนนธรกจ ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศและความเสยงทเกยวของ รวมทงท าหนาทในการอนมตนโยบายดงกลาวดวย

1.1.5 ดแลใหมมาตรฐาน ระเบยบวธปฏบต กระบวนการ เครองมอ และบคลากรในการรกษาความมนคงปลอดภย และการบรหารความเสยงดานเทคโนโลยสารสนเทศ เปนไปตามนโยบายขอ 1.1.4 รวมถงดแลใหมการน าไปปฏบตอยางเหมาะสม และมการทบทวนและประเมนประสทธภาพนโยบายดงกลาวอยางนอยปละ 1 ครง และเมอมการเปลยนแปลงอยางมนยส าคญ

1.1.6 ดแลใหมการตดตาม ตรวจสอบและรายงานตอคณะกรรมการของ สง. คณะกรรมการทไดรบมอบหมายหรอผบรหารระดบสงของ สง. อยางเหมาะสม ในเรองทเกยวของกบการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ ผลการทดสอบและการปฏบตตามแผนฉกเฉนดานเทคโนโลยสารสนเทศ และการบรหาร ความเสยงดานเทคโนโลยสารสนเทศ เชน ผลการบรหารความเสยงดานเทคโนโลยสารสนเทศในภาพรวม ของ สง. ขอมลเกยวกบปญหาหรอเหตการณทางดานเทคโนโลยสารสนเทศทสงผลกระทบในวงกวางหรอสงผลกระทบตอชอเสยงของ สง.

1.1.7 ดแลและสนบสนนใหมการสอสารกบบคลากรของ สง. เพอใหตระหนกถงความส าคญของความเสยงและ การบรหารความเสยงดานเทคโนโลยสารสนเทศ รวมทงเขาใจการใชเทคโนโลยสารสนเทศอยางปลอดภย เพอชวยลดความเสยงดานเทคโนโลยสารสนเทศ

1.1.8 คณะกรรมการของ สง. ตองไดรบการอบรมใหความรเกยวกบเทคโนโลยสารสนเทศอยางเพยงพอตามระยะเวลา ทเหมาะสม เพอใหมความรความเขาใจดานเทคโนโลยสารสนเทศทเพยงพอตอการก ากบดแลและการบรหารความเสยงดานเทคโนโลยสารสนเทศของ สง. ใหทนกบภยคกคามใหม รวมถงการพจารณาเชงกลยทธ ในการน าเทคโนโลยมาใชในการขบเคลอนธรกจ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 8

1.2 โครงสรางการก ากบดแล

วตถประสงค เพอใหมโครงสรางและบทบาทหนาทในการก ากบดแลการด าเนนงานและการบรหาร ความเสยงดานเทคโนโลยสารสนเทศ ทเหมาะสมสอดคลองตามหลก 3 lines of defence

คณะกรรมการทท าหนาทก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ 1.2.1 สง. ควรจดตงคณะกรรมการทท าหนาทก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ โดยค านงถง

การถวงดลอ านาจอยางเปนอสระ อยางนอยครอบคลม คณะกรรมการบรหารจดการและก ากบดแลการปฏบตงานดานเทคโนโลยสารสนเทศ

(เชน IT Steering Committee หรอคณะกรรมการทไดรบมอบหมาย เปนตน) เพอดแลใหมการก าหนดกลยทธ นโยบาย และแผนงานดานเทคโนโลยสารสนเทศทสอดคลองกบกลยทธของ สง. รวมทงก ากบดแลและตดตามการด าเนนงานและการบรหารความเสยงดานเทคโนโลยสารสนเทศ นอกจากน สง. อาจพจารณาใหมคณะกรรมการทดแลงานเฉพาะดานเพมเตม หากเหนวางานดงกลาวมนยส าคญหรอ มผลกระทบสงตอ สง. เชน คณะกรรมการหรออนกรรมการดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศ เปนตน

คณะกรรมการก ากบดแลการบรหารความเสยงดานเทคโนโลยสารสนเทศ (เชน คณะกรรมการบรหารความเสยง คณะกรรมการบรหารความเสยงดานปฏบตการ คณะกรรมการบรหารความเสยงดานเทคโนโลยสารสนเทศ หรอคณะกรรมการทไดรบมอบหมาย เปนตน) เพอดแล ใหมการก าหนดนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ รวมทงก ากบดแลและตดตามใหเปนไปตามนโยบายทก าหนดไว โดยมการเชอมโยงกบความเสยงในภาพรวมของ สง. (enterprise risk management)

คณะกรรมการก ากบดแลการตรวจสอบดานเทคโนโลยสารสนเทศ (เชน คณะกรรมการตรวจสอบ หรอคณะกรรมการทไดรบมอบหมาย เปนตน) เพอให สง. มการตรวจสอบดานเทคโนโลยสารสนเทศอยางเปนอสระ ครอบคลมถงการปฏบตงานและการบรหารความเสยง ดานเทคโนโลยสารสนเทศ รวมทง การก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของ กบเทคโนโลยสารสนเทศ

โครงสรางองคกร 1.2.2 สง. ควรจดใหมโครงสรางองคกรและหนาทความรบผดชอบเปนลายลกษณอกษร โดยสอดคลองตามหลก

การถวงดล (check and balance) และการแบงแยกหนาทความรบผดชอบอยางชดเจน (segregation of duties) ระหวางการท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศ บรหารความเสยงดานเทคโนโลยสารสนเทศ และตรวจสอบดานเทคโนโลยสารสนเทศ

1.2.3 สง. ควรดแลใหมทรพยากรเพยงพอทจะสนบสนนการปฏบตงาน การบรหารความเสยง การก ากบดแล การปฏบตตามกฎหมายและหลกเกณฑ และการตรวจสอบดานเทคโนโลยสารสนเทศ สอดคลองตาม ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศ และความเสยงทเกยวของ เชน จดใหมบคลากร ทมความรความเชยวชาญและมเครองมอหรอระบบทชวยสนบสนนการปฏบตงาน เปนตน

1.2.4 สง. อาจพจารณาจดใหมผบรหารระดบสงหรอหวหนาสายงานทท าหนาทบรหารจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศของสถาบนการเงน (IT security) โดยควรมความเปนอสระจากหนวยงานทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศ และควรเปนผทมความรความสามารถดานเทคโนโลยสารสนเทศและ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 9

ดานการบรหารจดการและรบมอกบภยคกคามทางไซเบอร เชน ไดรบการรบรองความรความสามารถ ตามมาตรฐานสากล เปนตน

1.2.5 หนวยงานทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศและผใชงานระบบเทคโนโลยสารสนเทศ (หนวยงานทท าหนาทเปน 1st line of defence) เชน หนวยงานดานเทคโนโลยสารสนเทศ หนวยงานอนทเปนผใชงานระบบ เปนตน หนวยงานทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศ มหนาทปฏบตงานตามทไดรบมอบหมาย

รวมทงประเมนความเสยงและการควบคมดานเทคโนโลยสารสนเทศ จดใหมแนวทางการควบคม ตดตามและรายงานการปฏบตงานดานเทคโนโลยสารสนเทศ โดยน าเสนอตอคณะกรรมการทไดรบมอบหมายและผบรหารระดบสงทเกยวของ อยางนอยครอบคลม - รายงานผลการปฏบตงานดานเทคโนโลยสารสนเทศ (IT operations) เชน สถานะความเพยงพอ

ของทรพยากรดานเทคโนโลยสารสนเทศ (capacity and system utilization) เหตการณผดปกต และปญหาดานเทคโนโลยสารสนเทศ (IT incident and problem) ระดบการใหบรการงาน ดานเทคโนโลยสารสนเทศ (service availability) เปนตน

- รายงานความคบหนา ปญหาและอปสรรคในการด าเนนโครงการดานเทคโนโลยสารสนเทศ ในภาพรวมและรายโครงการทส าคญ

- รายงานการตดตามและเฝาระวงภยคกคามความมนคงปลอดภยดานเทคโนโลยสารสนเทศ รวมทงแนวโนมความเสยงและภยคกคามทอาจจะเกดขนและสงผลกระทบตอ สง.

- รายงานผลการประเมนความเสยง การตดตามความเสยง และแนวทางการควบคมทเกยวของ - รายงานความคบหนาการปฏบตตามกฎหมายและหลกเกณฑทเกยวของ - รายงานผลการใชบรการงานดานเทคโนโลยสารสนเทศจากผใหบรการภายนอก

ผใชงานระบบเทคโนโลยสารสนเทศ มหนาทปฏบตตามนโยบายและระเบยบวธปฏบตทเกยวของกบความมนคงปลอดภยดานเทคโนโลยสารสนเทศ รวมทงมสวนรวมรบผดชอบในการประเมนและจดการความเสยงดานเทคโนโลยสารสนเทศทเกยวของจากการใชงานระบบ

1.2.6 หนวยงานทท าหนาทบรหารความเสยงดานเทคโนโลยสารสนเทศ (หนวยงานทท าหนาทเปน 2nd line of defence) เชน หนวยงานบรหารความเสยง และหนวยงานก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑ เปนตน หนวยงานทท าหนาทบรหารความเสยง มหนาทก าหนดกรอบและกระบวนการบรหารความเสยง

ดานเทคโนโลยสารสนเทศ สนบสนนใหมการประเมนความเสยงเปนไปตามกรอบการบรหารความเสยง ทก าหนด พรอมทงใหค าปรกษา ตดตามความเสยงและทบทวนการควบคมความเสยงดานเทคโนโลยสารสนเทศใหอยในระดบความเสยงทยอมรบได ของหนวยงานทท าหนาทเปน 1st line of defence โดยมการรวบรวมและเชอมโยงความเสยงดานเทคโนโลยสารสนเทศกบความเสยงดานอนของ สง. และน าเสนอผลการบรหารความเสยงตอคณะกรรมการทท าหนาทก ากบดแลความเสยง

หนวยงานทท าหนาทก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ มหนาทก าหนดกระบวนการตดตามดแล ใหค าปรกษา สอบทานและรายงานการปฏบต ตามกฎหมายและหลกเกณฑทเกยวของ และน าเสนอตอคณะกรรมการทเกยวของ เชน กฏหมายวาดวยธรกรรมทางอเลกทรอนกส กฎหมายวาดวยการกระท าความผดเกยวกบคอมพวเตอร กฎหมายวาดวยระบบการช าระเงน เปนตน เพอปองกนการละเมดหรอการไมปฏบตตามกฎหมายและหลกเกณฑ ของหนวยงานก ากบดแลทเกยวของ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 10

1.2.7 หนวยงานทท าหนาทตรวจสอบดานเทคโนโลยสารสนเทศ (หนวยงานทท าหนาทเปน 3rd line of defence) ซงอาจเปนผตรวจสอบภายในหรอผตรวจสอบภายนอกทมความเปนอสระจากหนวยงานทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศและหนวยงานทท าหนาทบรหารความเสยงดานเทคโนโลยสารสนเทศ เชน หนวยงานตรวจสอบภายใน เปนตน หนวยงานทท าหนาทตรวจสอบ มหนาทตรวจสอบการปฏบตงานและการบรหารความเสยงของ

หนวยงานทท าหนาท 1st line และ 2nd line of defence รวมถงงานอน ๆ ทเกยวของ เชน การใชบรการจากผใหบรการภายนอกดานเทคโนโลยสารสนเทศ เปนตน เพอสอบทานใหมนใจวา มการปฏบตทเปนไปตามนโยบาย มาตรฐาน และระเบยบปฏบตดานเทคโนโลยสารสนเทศ

กรณ สง. มขอจ ากดดานบคลากรทไมเพยงพอหรอมความรความเชยวชาญดานการตรวจสอบ เทคโนโลยสารสนเทศทไมเพยงพอ อาจพจารณาวาจางผตรวจสอบภายนอกทมความเปนอสระ และไดรบมาตรฐานสากลทยอมรบโดยทวไปในการตรวจสอบเทคโนโลยสารสนเทศ ด าเนนการแทนได

มกระบวนการตรวจสอบดานเทคโนโลยสารสนเทศ ทครอบคลมอยางนอย ดงน - การวางแผนงานและก าหนดขอบเขตการตรวจสอบ (planning and scoping) ครอบคลม

และสอดคลองกบความส าคญและความเสยงของการใชงานเทคโนโลยสารสนเทศของ สง. และนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ โดยแผนงานและขอบเขตการตรวจสอบตองไดรบความเหนชอบจากคณะกรรมการตรวจสอบ และมการทบทวนอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ

- การตรวจสอบ (execution) อยางนอยปละ 1 ครงตามแผนงานและขอบเขตทก าหนด และพจารณาใหมการตรวจสอบเมอมเหตการณผดปกตในงานดานเทคโนโลยสารสนเทศทมนยส าคญ นอกจากน แนวทางการตรวจสอบควรเปนไปตามมาตรฐานท สง. ก าหนด ซงสอดคลองกบกฎหมายและหลกเกณฑทเกยวของ รวมถงมาตรฐานสากลทยอมรบโดยทวไป

- การวเคราะห (analysis) น าขอมลทไดจากการตรวจสอบมาวเคราะห เพอสรปผลการตรวจสอบ และอาจพจารณาการขยายขอบเขตการตรวจสอบเพมเตม หากมความจ าเปน เชน พบขอบงชถงความเสยงทอาจกระทบตอ สง. อยางมนยส าคญ

- การรายงานและตดตามผลการตรวจสอบ (reporting and follow up) มการสรปผลการตรวจสอบและประเดนทตองแกไขกบผบรหารของหนวยงานผรบตรวจและจดท ารายงานผลการตรวจสอบ เพอน าเสนอตอคณะกรรมการตรวจสอบและแจงใหผบรหารระดบสง ทเกยวของรบทราบ ตลอดจนจดเกบรายงานผลการตรวจสอบไวท สง. พรอมไว ส าหรบการตรวจสอบหรอเมอรองขอโดยธนาคารแหงประเทศไทย นอกจากน สง. ตองจดใหมการตดตามการแกไขประเดนทตรวจพบภายในระยะเวลาทก าหนดและรายงานตอคณะกรรมการตรวจสอบ

สง. ควรจดใหมผเชยวชาญภายนอกทเปนอสระท าหนาทประเมนระบบหรอเทคโนโลยทมความส าคญ ซง สง. เหนวามความจ าเปนตองประเมน แตมขอจ ากดหรอผตรวจสอบดานเทคโนโลยสารสนเทศ ของ สง. ไมสามารถประเมนได เชน การประเมนระบบทมความซบซอนหรอมการใชเทคโนโลยใหม หรอ การประเมนความสามารถของระบบในการปรบเปลยนเพอรองรบการท าธรกจของ สง. ในอนาคต ภายใตสภาวะการเปลยนแปลงทางเทคโนโลยทรวดเรว

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 11

1.3 การบรหารจดการบคลากร

วตถประสงค เพอให สง. มบคลากรทมความรและความเชยวชาญเพยงพอในการปฏบตงานทเกยวของ กบงานดานเทคโนโลยสารสนเทศ โดยบคลากรทกระดบมความตระหนกถงการรกษาความมนคงปลอดภย ดานเทคโนโลยสารสนเทศของ สง.

1.3.1 มกระบวนการบรหารจดการบคลากรอยางเหมาะสม ครอบคลม การคดเลอกบคลากรทมความรความสามารถเพยงพอ การวาจางบคลากรทเปนไปตามขอก าหนดหรอเงอนไขดานความปลอดภยเทคโนโลยสารสนเทศ การพฒนาความรความเชยวชาญดานเทคโนโลยสารสนเทศ การสงเสรมใหบคลากรตระหนกถงความเสยงดานเทคโนโลยสารสนเทศ การเปลยนแปลงหรอสนสดการวาจางบคลากร รวมทงการดแลบคลากรใหเพยงพอกบปรมาณการใชเทคโนโลยสารสนเทศ

1.3.2 สง. อาจพจารณาการไดรบการรบรองความรความสามารถตามมาตรฐานทรบรองทวไป (certificate) เฉพาะดานทเกยวของกบงานดานเทคโนโลยสนเทศ เพอใหไดบคลากรทมคณสมบตเหมาะสม มความร หรอประสบการณเพยงพอในการปฏบตหนาทตามทไดรบมอบหมาย

1.3.3 หนวยงานทรพยากรบคคล ควรตรวจสอบประวตของบคลากรกอนการวาจางตามความเสยงของต าแหนงงานและหนาทความรบผดชอบ เชน ประวตการศกษา ประวตการท างาน ประวตอาชญากรรม ขอมลเครดตบโร เปนตน

1.3.4 มขอก าหนดหรอเงอนไขการวาจางงาน โดยกลาวถงบทบาทหนาทความรบผดชอบ การปฏบตตามนโยบายและขอก าหนดทเกยวของกบการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศของ สง. เพอปองกนการรวไหลของขอมลหรอความเสยหายทอาจเกดขนตอทรพยสนดานเทคโนโลยสารสนเทศของ สง.

1.3.5 ใหบคลากรและผใหบรการภายนอกทไดรบการวาจางท าความเขาใจ รบทราบและลงนามยอมรบเงอนไข การวาจางงาน นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศของ สง. และขอตกลง การไมเปดเผยขอมล (non disclosure agreement) กอนเรมปฏบตงาน

1.3.6 ก าหนดโปรแกรมการอบรมและพฒนาความรความเชยวชาญดานเทคโนโลยสารสนเทศ (training program) ทครอบคลม การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ การบรหารความเสยงดานเทคโนโลยสารสนเทศ หรอหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ ใหแกบคลากรทกระดบ โดยมการวดประสทธผลของหลกสตรฝกอบรมทจดขน เชน หลกสตรฝกอบรมบคลากรทเกยวของดานเทคโนโลยสารสนเทศ (1st line of defence) ใหมความร

และความเชยวชาญทเพยงพอตอการปฏบตงานและการใชงาน หลกสตรฝกอบรมบคลากรทเกยวของกบงานดานการบรหารความเสยงดานเทคโนโลยสารสนเทศ

(2nd line of defence) และการตรวจสอบดานเทคโนโลยสารสนเทศ (3rd line of defence) ใหมความรและความเชยวชาญเพยงพอทจะระบ ประเมน และใหขอเสนอแนะในการปรบปรงประสทธภาพของการจดการความเสยงดานเทคโนโลยสารสนเทศแกหนวยงานทท าหนาท 1st line of defence

1.3.7 ก าหนดโปรแกรมในการเสรมสรางความตระหนก (awareness program) เรองการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ ความเสยงดานเทคโนโลยสารสนเทศ การใชงานระบบอยางปลอดภย เชน การทดสอบเรอง social engineering และ phishing การซกซอมแผนเพอเตรยมความพรอมรบมอ กบการโจมตทางไซเบอร เปนตน โดยโปรแกรมดงกลาวควรครอบคลมตงแตระดบคณะกรรมการ ผบรหารระดบสง และบคลากรทกระดบ รวมถงบคคลภายนอกทเกยวของ รวมทงมการจดกจกรรมเสรมสราง ความตระหนกอยางตอเนอง นอกจากน สง. ควรจดใหมการประชาสมพนธเพอสรางความรหรอสรางความตระหนกในการใชงานบรการทางอเลกทรอนกสอยางปลอดภย ใหแกลกคาของ สง. ทราบอยางสม าเสมอดวย

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 12

1.3.8 มกระบวนการรองรบเมอมการเปลยนแปลงหรอสนสดการจางงาน เชน การคนสนทรพยของ สง. การบรหารจดการสทธตองมการปรบปรงใหเปนปจจบน โดยเฉพาะเมอมการเปลยนแปลงต าแหนงงานหรอสนสดการจางงาน รวมทงตองมการสอสารใหผเกยวของรบทราบถงการเปลยนแปลงสทธ หนาทและความรบผดชอบ เปนตน

1.4 นโยบายทเกยวของกบการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ

วตถประสงค เพอให สง. มการบรหารความเสยงดานเทคโนโลยสารสนเทศอยางมประสทธภาพและ สอดคลองกบความเสยงดานเทคโนโลยสารสนเทศของ สง.

1.4.1 สง. ควรก าหนดใหมนโยบายเปนลายลกษณอกษรและอยใตกรอบหลกการทส าคญ 3 ประการ คอ การรกษาความลบของระบบและขอมล (confidentiality) ความถกตองเชอถอไดของระบบและขอมล (integrity) และ ความพรอมใชงานของเทคโนโลยสารสนเทศ อยางนอยครอบคลมนโยบายดงตอไปน นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT security policy) นโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ (IT risk management policy) นโยบายการใชบรการจากผใหบรการภายนอกดานเทคโนโลยสารสนเทศ (IT outsourcing policy)

1.4.2 นโยบายดงกลาวควรสอดคลองกบกลยทธในการน าเทคโนโลยมาใชในการด าเนนธรกจ นโยบายการบรหารความเสยงของ สง. รวมทงสอดคลองกบแนวทางบรหารความเสยงและการรกษาความมนคงปลอดภย ตามมาตรฐานสากลหรอมาตรฐานทไดรบการยอมรบโดยทวไป

1.4.3 นโยบายดงกลาวตองไดรบอนมตจากคณะกรรมการของ สง. และไดรบการทบทวนอยางนอยปละ 1 ครง และเมอมการเปลยนแปลงอยางมนยส าคญ รวมทงควรจดใหมการชแจงและสอสารนโยบายใหผเกยวของ ไดรบทราบอยางทวถงและมการควบคมดแลใหมการปฏบตตามนโยบายไดอยางถกตองครบถวน

1.4.4 นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT security policy) ควรรวมถงการรกษาความมนคงปลอดภยไซเบอร โดยครอบคลมอยางนอย การบรหารจดการทรพยสนดานเทคโนโลยสารสนเทศ (IT asset management) การรกษาความมนคงปลอดภยของขอมล (information security) การควบคมการเขาถง (access control) การรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (physical and environmental security) การรกษาความมนคงปลอดภยของระบบเครอขายสอสาร (communications security) การรกษาความมงคงปลอดภยในการปฏบตงานดานเทคโนโลยสารสนเทศ (IT operations security) การจดหาและการพฒนาระบบเทคโนโลยสารสนเทศ (system acquisition and development) การบรหารจดการเหตการณผดปกตและปญหาดานเทคโนโลยสารสนเทศ (IT incident and problem

management) การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ การบรหารจดการผใหบรการภายนอก (third party management)

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 13

1.4.5 นโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ (IT risk management policy) โดยครอบคลมอยางนอย โครงสรางองคกร บทบาทหนาทของผเกยวของในการบรหารความเสยงดานเทคโนโลยสารสนเทศ จดท าหลกเกณฑ ระเบยบวธปฏบตและกระบวนการในการบรหารความเสยงดานเทคโนโลยสารสนเทศ ดงน

(1) การประเมนความเสยง (risk assessment) (1.1) การระบความเสยง (risk identification)

สง. ควรจดใหมการระบเหตการณความเสยงดานเทคโนโลยสารสนเทศทอาจจะเกดขนหรอทเกดขนจรง รวมถงภยคกคามทางไซเบอรและชองโหวตาง ๆ ทสงผลกระทบตอ การด าเนนธรกจของ สง. โดยเหตการณความเสยงดานเทคโนโลยสารสนเทศ ควรระบ อยางนอยครอบคลม ผกระท าใหเกดความเสยงและเหตการณความเสยง เชน ผไมประสงคด ภยคกคาม

หรอชองโหว เปนตน ประเภทของความเสยง เชน ความเสยงดานการปฏบตงานเทคโนโลยสารสนเทศ

ความเสยงดานโปรแกรม ความเสยงดานขอมล ความเสยงดานบคลากร ความเสยง ดานอปกรณเทคโนโลยสารสนเทศ ความเสยงดานการบรหารโครงการ เปนตน

วน เวลา สถานท ชวงเวลาหรอระยะเวลาทเกดเหตการณผดปกตหรอความเสยง ดานเทคโนโลยสารสนเทศ (ถาม)

สาเหตของการเกดเหตการณ เชน กระบวนการปฏบตงาน ระบบงาน บคลากร ปจจยภายนอก เปนตน

ผลกระทบตอทรพยสน ทรพยากร การปฏบตงานดานเทคโนโลยสารสนเทศ และการด าเนนธรกจของ สง. ทงน ผทมสวนรวมในการระบความเสยงดานเทคโนโลยสารสนเทศควรมความร

และความเขาใจถงเหตการณความเสยงดานเทคโนโลยสารสนเทศทไดระบไวเปนอยางด (1.2) การวเคราะหความเสยง (risk analysis)

สง. ควรจดใหมการวเคราะหความเสยงดานเทคโนโลยสารสนเทศ เพอหาแนวทาง ในการจดการความเสยงทเหมาะสม โดยควรด าเนนการ ดงน ก าหนดเจาของความเสยงดานเทคโนโลยสารสนเทศ (risk owner) ระบการควบคมทมอยในปจจบน (existing control) พจารณาและคนหาสาเหตและสถานการณทเปนไปได วเคราะหผลกระทบทเกดขนจากเหตการณความเสยงดานเทคโนโลยสารสนเทศ

(1.3) การประเมนคาความเสยง (risk evaluation) สง. ควรประเมนถงโอกาสทความเสยงดานเทคโนโลยสารสนเทศจะเกดขนและ

ผลกระทบตอการปฏบตงานและการด าเนนธรกจ เพอจดล าดบในการบรหารความเสยง ดานเทคโนโลยสารสนเทศ โดยควรด าเนนการ ดงน ก าหนดเกณฑการประเมนความเสยงดานโอกาสและผลกระทบ เชน ดานการเงน

ดานปฏบตการ เปนตน ก าหนดระดบความเสยงดานเทคโนโลยสารสนเทศทยอมรบได (IT risk appetite)

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 14

ประเมนคาโอกาสและผลกระทบของเหตการณความเสยงทอาจเกดขน เพอระบ ระดบคาความเสยงของแตละเหตการณความเสยงดานเทคโนโลยสารสนเทศ

จดล าดบความเสยงดานเทคโนโลยสารสนเทศแสดงในแผนภาพความเสยง ดานเทคโนโลยสารสนเทศ

(2) การจดการความเสยง (risk treatment) สง. ควรจดใหมแนวทางในการจดการ ควบคม และปองกนความเสยงดานเทคโนโลยสารสนเทศ

ทเหมาะสมและสอดคลองกบผลการประเมนความเสยงดานเทคโนโลยสารสนเทศ เพอใหความเสยง ทเหลออย (residual risk) อยในระดบความเสยงดานเทคโนโลยสารสนเทศทยอมรบได (IT risk appetite) โดยควรครอบคลมอยางนอย ดงน ก าหนดแนวทางในการจดการและควบคมความเสยงดานเทคโนโลยสารสนเทศ โดยการเลอก

แนวทางในการจดการและควบคมความเสยงดานเทคโนโลยสารสนเทศ ควรพจารณาถง ความคมคาและวธการทเหมาะสมส าหรบ สง. เชน การหยดหรอหลกเลยงความเสยง การลดหรอบรรเทาโอกาสเกดความเสยง การลดหรอบรรเทาผลกระทบทเกดขน การแบง หรอโอนความเสยงใหหนวยงานอน การยอมรบความเสยงไวโดยแจงเหตผลใหผบรหารทราบเพอตดสนใจในการยอมรบความเสยง เปนตน

ระบรายละเอยดของงานทตองด าเนนการ ผรบผดชอบ ระยะเวลาทใชในการด าเนนการ ประเมนระดบคาความเสยงทเหลออย (residual risk) วาอยในระดบความเสยงทยอมรบได จดท าแผนการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ โดยจดล าดบความส าคญ

ในการด าเนนการ น าเสนอและขออนมตแผนการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ ด าเนนการสอสารแผนการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ

นอกจากน สง. ควรจดใหมการก าหนดดชนชวดความเสยงดานเทคโนโลยสารสนเทศ (IT key risk indicators) ใหสอดคลองกบความส าคญของงานเทคโนโลยสารสนเทศ แตละงานเพอใชตดตามและทบทวนความเสยง

(3) การตดตามและทบทวนความเสยง (risk monitoring and review) สง. ควรก าหนดผรบผดชอบและจดใหมกระบวนการในการตดตามดชนชวดความเสยง

ดานเทคโนโลยสารสนเทศ (IT key risk indicators) ตามทก าหนดและทบทวนความเสยง ดานเทคโนโลยสารสนเทศ ใหอยภายใตระดบความเสยงดานเทคโนโลยสารสนเทศทยอมรบได (IT risk appetite) โดยควรจดใหมการจดเกบและบนทกขอมลอยางเปนระบบ เพอใชตดตามและทบทวนความเสยงไดอยางมประสทธภาพ ครอบคลมอยางนอย การตดตามความคบหนาของการด าเนนงานตามแผนการบรหารจดการความเสยง

ดานเทคโนโลยสารสนเทศอยางตอเนอง ประสานงานรวมกบผรบผดชอบและผบรหารถงสถานะด าเนนงาน อปสรรคและขอจ ากดทเกดขน ศกษาและวเคราะหเหตการณความเสยงทเกดขน รวมทงตดตามแนวโนมของเหตการณ

ความเสยงดานเทคโนโลยสารสนเทศทอาจเกดขนกบ สง. และองคกรอน รายงานความคบหนาของแผนการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ

ตามรอบทก าหนด

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 15

(4) การรายงานความเสยง (risk reporting) สง. ควรจดใหมกระบวนการน าเสนอผลการบรหารความเสยงดานเทคโนโลยสารสนเทศ

พรอมทงรายงานผลการประเมนและการบรหารความเสยงดานเทคโนโลยสารสนเทศโดยเชอมโยง กบความเสยงในระดบองคกร รวมทงรายงานแนวโนมความเสยงดานเทคโนโลยสารสนเทศทอาจจะเกดขน ตอคณะกรรมการของ สง. หรอคณะกรรมการทไดรบมอบหมาย อยางนอยไตรมาสละ 1 ครง และเมอมการเปลยนแปลงอยางมนยส าคญ เพอใหมนใจวา สง. มการบรหารความเสยง ดานเทคโนโลยสารสนเทศทเหมาะสมและตอเนอง โดยการรายงานควรครอบคลมอยางนอย สถานะและผลลพธการด าเนนงานตามแผนการบรหารจดการความเสยงดานเทคโนโลย

สารสนเทศประจ าป ผลการประเมนและการจดการความเสยงดานเทคโนโลยสารสนเทศ โดยเชอมโยงกบ

ความเสยงในระดบองคกร รายงานดชนชวดความเสยงดานเทคโนโลยสารสนเทศ และรายงานสรปเหตการณผดปกต แนวโนมความเสยงดานเทคโนโลยสารสนเทศทอาจจะเกดขนกบ สง. ความคบหนาของการด าเนนงานตามแผนการบรหารจดการความเสยง

ทงน สง. ควรจดใหมการทบทวนหลกเกณฑ ระเบยบวธปฏบตและกระบวนการในการบรหารความเสยงดานเทคโนโลยสารสนเทศ อยางนอยปละ 1 ครงและทกครงทมการเปลยนแปลงอยางมนยส าคญ

1.4.6 นโยบายการใชบรการจากผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ (IT outsourcing policy)

โดยครอบคลมอยางนอย หลกเกณฑการแบงประเภทของการใชบรการจากผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ แนวทางการบรหารจดการความเสยง แนวทางการคดเลอกผใหบรการ และแนวทางการประเมน

ประสทธภาพของผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ แนวทางการรกษาความมนคงปลอดภยของระบบงานและขอมล การรายงานผลการประเมนความเสยงและประสทธภาพการด าเนนงานของผใหบรการภายนอก

ดานงานเทคโนโลยสารสนเทศ การตรวจสอบผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ การคมครองผใชบรการของ สง. จากการใชบรการผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 16

2. การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security)

2.1 การบรหารจดการทรพยสนดานเทคโนโลยสารสนเทศ (IT Asset Management)

วตถประสงค เพอให สง. มการจดท าทะเบยนรายการทรพยสนดานเทคโนโลยสารสนเทศอยางครบถวนและควบคม ดแลทรพยสนดานเทคโนโลยสารสนเทศใหมความพรอมใชงานและสามารถรองรบการด าเนนธรกจไดอยางตอเนอง

2.1.1 ก าหนดมาตรฐานและระเบยบวธปฏบตการบรหารจดการทรพยสนดานเทคโนโลยสารสนเทศ ครอบคลม การจดท าทะเบยนรายการทรพยสน การปรบปรงทะเบยนรายการทรพยสน การยกเลกและเรยกคนทรพยสน

2.1.2 จดใหมหนวยงานผรบผดชอบในการจดท า ปรบปรงทะเบยนรายการทรพยสนดานเทคโนโลยสารสนเทศ และบ ารงรกษาทรพยสนดานเทคโนโลยสารสนเทศอยางสม าเสมอ รวมทงวางแผนรองรบทรพยสนดานเทคโนโลยสารสนเทศทใกลจะสนสดตามอายการใชงาน (end of life) หรอสนสดการใหบรการ (end of support) จากผผลตไดอยางเหมาะสมทนการณ

2.1.3 มการจดท าทะเบยนรายการทรพยสนดานเทคโนโลยสารสนเทศ (IT inventory list) ของฮารดแวร (hardware) และซอฟตแวร (software) ทรองรบระบบเทคโนโลยสารสนเทศของ สง. อยางครบถวนและเปนลายลกษณอกษร โดยครอบคลมอยางนอย ดงน ชอเครองแมขาย ชอระบบปฎบตการ (operating system) และเวอรชน ชอระบบงาน (application) และเวอรชน เจาของทรพยสน (owner) ประเภทของอปกรณ ยหอ รายละเอยดทางเทคนค (specification) หมายเลขอางองของฮารดแวร (serial number) และหมายเลขอางองของซอฟตแวร (software license) สถานทตง วนทเรมตดตง ประเภทการครอบครอง (ซอหรอเชา) รายละเอยดผใหบรการหรอผบ ารงรกษา วนทบ ารงรกษาลาสด วนสนสดการใชงานตามสญญา (warranty) และวนสนสดการรบประกนการใชงาน (support contract) วนสนสดการใหบรการจากผผลต (end of support)

2.1.4 มการปรบปรงทะเบยนรายการทรพยสนดานเทคโนโลยสารสนเทศใหเปนปจจบนอยางตอเนอง โดยมการตรวจสอบทรพยสนดานเทคโนโลยสารสนเทศทมอยจรงกบทะเบยนรายการอยางสม าเสมออยางนอยปละ 1 ครง

2.1.5 มกระบวนการในการยกเลกและเรยกคนทรพยสน (return asset) เมอสนสดการใชงานครอบคลมทงทรพยสนดานเทคโนโลยสารสนเทศทใชงานภายใน สง. และกรณทผใหบรการภายนอกมการใชงานทรพยสนของ สง. ทนททมการยกเลกสญญาจางดวย

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 17

2.2 การรกษาความมนคงปลอดภยของขอมล (Information Security)

วตถประสงค เพอให สง. มการรกษาความมนคงปลอดภยและความลบของขอมล ครอบคลมการรบสงขอมล ผานเครอขายสอสาร การจดเกบหรอใชงานบนระบบและสอบนทกขอมลตางๆ

การรกษาความมนคงปลอดภยของขอมล (information security) 2.2.1 ก าหนดใหมเจาของขอมล (information owner) รบผดชอบในการก าหนดผใชงาน สทธการเขาถงและ

การใชงานขอมลอยางปลอดภย 2.2.2 ก าหนดหลกเกณฑการจดชนความลบของขอมล (information classification) โดยควรระบชนความลบ

ของขอมล (labeling) อยางชดเจน 2.2.3 ก าหนดแนวทางการรกษาความมนคงปลอดภยของขอมลทสอดคลองตามชนความลบ ครอบคลม

ขอมลทอยบนอปกรณทใชปฏบตงาน (data at endpoint) ขอมลทอยระหวางการรบสงผานเครอขาย (data in transit) ขอมลทอยบนระบบงานและสอบนทกขอมล (data at rest)

2.2.4 ก าหนดแนวทางการควบคมดแลรกษาความปลอดภยสอบนทกขอมลระหวางขนสง (physical media transfer) เพอใหมการควบคมการเขาถงสอทมขอมลส าคญในระหวางการขนสง

2.2.5 ก าหนดมาตรฐานและระเบยบวธปฏบตการท าลายขอมล (information disposal) ครอบคลม ขอบเขตหนาทความรบผดชอบของหนวยงานทเกยวของ วธการท าลายขอมลใหสอดคลองกบระดบความส าคญ ของขอมล โดยมกระบวนการควบคมการท าลายขอมล ทครอบคลมการอนมตจากหนวยงานเจาของขอมลกอนด าเนนการ การควบคมการท าลายในลกษณะ dual control การสอบทานการปฏบตงานโดยหวหนางาน รวมทงจดใหมการจดท าทะเบยนการท าลายขอมลส าคญ โดยระบผรบผดชอบในการท าลายขอมล วนท เวลา ชนดของสอบนทกขอมล serial number และวธการทใชท าลายขอมล การบรหารจดการการเขารหสขอมล (cryptography)

2.2.6 ก าหนดมาตรฐานและระเบยบวธปฏบตการบรหารจดการการเขารหสขอมล ครอบคลม ขอบเขตหนาท ความรบผดชอบของหนวยงานทเกยวของ วธการเขารหสขอมล (cryptographic algorithm) ทสอดคลอง ตามระดบความส าคญของขอมล และการบรหารจดการกญแจเขารหสขอมล (key management)

2.2.7 ก าหนดใหมการเขารหสขอมลส าคญและชองทางการสอสารทใชรบสงขอมลส าคญกบภายนอก 2.2.8 วธการเขารหสขอมล ควรใชมาตรฐานการเขารหสขอมลทเชอถอไดและเปนมาตรฐานสากล เชน การเขารหส

ขอมลแบบสมมาตร (เชน AES) การเขารหสขอมลแบบอสมมาตร (เชน public key cryptography) เปนตน โดยมการทบทวนประสทธภาพของวธการเขารหสขอมลอยางสม าเสมอ เพอใหมนใจวาวธการเขารหสขอมล ทใชงานยงคงมความแขงแรงเพยงพอ

2.2.9 การบรหารจดการกญแจเขารหสขอมล (key management) ควรก าหนดกระบวนการทมความรดกมปลอดภยครอบคลมตงแต การสรางและตดตง การจดเกบ และการยกเลกกญแจเขารหสขอมล

การสรางและตดตงกญแจเขารหสขอมล มการควบคมสภาพแวดลอมในการสรางรหสทมความรดกมปลอดภย เชน เลอกใชผใหบรการออกใบรบรอง

(Certification Authority) ทนาเชอถอ มขนตอนการท าลายหลกฐานทใชหลงจากสรางกญแจแลวเสรจ กญแจเขารหสขอมล จะตองไมมพนกงานหรอบคคลใดบคคลหนงรรหสทงหมด

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 18

ก าหนดขนาดของกญแจเขารหสขอมลทมความยาวเพยงพอในการปองกนการถกถอดรหส เชน การถกโจมตแบบ brute force เปนตน

การแลกเปลยนกญแจตองผานกระบวนการและชองทางทปลอดภย ก าหนดไมใหใชกญแจเขารหสขอมลเดยวกนกบหลายระบบงาน

การจดเกบกญแจเขารหสขอมล มการรกษาความปลอดภยของกญแจเขารหสขอมลทงดาน physical และ logical โดยใชอปกรณ

รกษาความปลอดภย HSM หรออปกรณทท าหนาทในลกษณะเดยวกน มการส ารองขอมลกญแจเขารหสขอมล โดยวธการเกบรกษากญแจเขารหสขอมลชดส ารองตองม

การรกษาความปลอดภยในระดบเดยวกบกญแจเขารหสขอมลชดหลก การเปลยนและเพกถอนกญแจเขารหสขอมล

ก าหนดเกณฑและแนวทางในการเปลยนและเพกถอนกญแจเขารหสขอมล เชน กรณกญแจหมดอายลาสมย หรอไมปลอดภย เปนตน

ก าหนดกระบวนการท าลายกญแจ โดยตองมนใจวาไมสามารถน ากญแจนนมาใชงานไดอก

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 19

2.3 การควบคมการเขาถง (Access Control)

วตถประสงค เพอให สง. มการบรหารจดการบญชสทธสงและสทธของผใชงานมประสทธภาพเปนไปตามหลก ความจ าเปนของการใชงานและสอดคลองกบหลกการแบงแยกงานดานเทคโนโลยสารสนเทศทด โดยสามารถ ปองกนการเขาถงโดยไมไดรบอนญาต

2.3.1 แนวทางการควบคมการเขาถง ให สง. ปฏบตตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices) Phase 1: ธรกรรมฝาก ถอน โอน

2.4 การรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and Environmental Security)

วตถประสงค เพอให สง. มการรกษาความมนคงปลอดภยและความพรอมใชงานของศนยคอมพวเตอร และพนทส าคญทเกยวของกบระบบเทคโนโลยสารสนเทศเพยงพอรองรบธรกจอยางตอเนอง

2.4.1 สง. ควรจดใหศนยคอมพวเตอรส ารองแยกออกจากศนยคอมพวเตอรหลก ซงควรมระยะหางทเพยงพอและ ไมใชระบบสาธารณปโภคจากแหลงเดยวกน เพอกระจายความเสยงและปองกนไมใหไดรบผลกระทบเดยวกน เชน ระบบไฟฟาหรอระบบโทรคมนาคมขดของ การประทวงหรอจลาจล ภยพบตทางธรรมชาต เปนตน

2.4.2 สง. ควรมการรกษาสภาพแวดลอมและการรกษาความปลอดภยของศนยคอมพวเตอรส ารองอยางเพยงพอตามนโยบายหรอมาตรฐานการรกษาความปลอดภยของ สง. เพอไมใหระบบเทคโนโลยสารสนเทศทส าคญ มความเสยงตอความพรอมใชงาน

2.4.3 แนวทางการรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม ให สง. ปฏบตตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices) Phase 1: ธรกรรมฝาก ถอน โอน

2.5 การรกษาความมนคงปลอดภยของระบบเครอขายสอสาร (Communications Security)

วตถประสงค เพอให สง. มโครงสรางของระบบเครอขายสอสารทมนคงปลอดภย มการออกแบบระบบเครอขายสอสารทเหมาะสมตามมาตรฐานสากล และมการปองกนหรอเฝาระวงการบกรกหรอภยคกคามในรปแบบตาง ๆ

2.5.1 ก าหนดมาตรฐานและระเบยบวธปฏบตในการรบสงขอมลผานระบบเครอขายสอสารในองคกร และ ระหวางเครอขายสอสารภายในองคกรกบระบบเครอขายสอสารภายนอกองคกรใหมความมนคงปลอดภย โดยควรจดใหมแนวทางปองกนการเปลยนแปลงแกไข ท าความเสยหายหรอเขาถงขอมลโดยไมไดรบอนญาต และมกระบวนการตรวจสอบผใชงานอยางเขมงวด

2.5.2 แนวทางการรกษาความมนคงปลอดภยของระบบเครอขายสอสาร ให สง. ปฏบตตามแนวปฏบตทด ส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices) Phase 1: ธรกรรมฝาก ถอน โอน

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 20

2.6 การรกษาความมงคงปลอดภยในการปฏบตงานดานเทคโนโลยสารสนเทศ (IT Operations Security)

2.6.1 การบรหารจดการการเปลยนแปลง (Change Management)

วตถประสงค เพอให สง. มการบรหารจดการการเปลยนแปลงดานเทคโนโลยสารสนเทศสอดคลองตามมาตรฐานสากล โดยมการควบคมทรดกมปลอดภยเปนไปตามวตถประสงคทก าหนดไวอยางครบถวนถกตอง

2.6.1.1 ก าหนดมาตรฐานและระเบยบวธปฏบตการบรหารจดการการเปลยนแปลงอยางเปนลายลกษณอกษร เพอควบคมการเปลยนแปลงโครงสรางพนฐานดานเทคโนโลยสารสนเทศใหมความรดกมเพยงพอ เชน การน าระบบขนใชงานจรง การตงคาระบบ การตดตง patch บนระบบทใหบรการจรง เปนตน

2.6.1.2 ก าหนดบทบาทหนาทและความรบผดชอบของผบรหารทไดรบมอบหมายหรอคณะกรรมการบรหารจดการการเปลยนแปลง (Change Advisory Board: CAB) ซงควรประกอบดวยผบรหารจากหนวยงานเทคโนโลยสารสนเทศ และหนวยงานผใชงานเทคโนโลยสารสนเทศทเกยวของเพอท าหนาทประเมนผลกระทบและพจารณาเหตผลความจ าเปนกอนอนมตใหด าเนนการเปลยนแปลงระบบ ปองกนการแกไขเปลยนแปลง โดยไมไดรบอนญาตและไมใหเกดผลกระทบทอาจเกดกบระบบทเกยวของ โดยครอบคลมอยางนอย ดงน ผลการประเมนความเสยงและผลกระทบของการเปลยนแปลง โดยมหนวยงานเจาของระบบและ

ผมหนาทเกยวของท าการประเมนองคประกอบทเกยวของ ไดแก ระบบโครงสรางพนฐาน เครอขายสอสาร และการเชอมตอกบระบบอน เพอใหมนใจไดวาการเปลยนแปลงนน ไมกระทบตอการรกษา ความปลอดภย ความถกตองเชอถอได ความพรอมใชของระบบ

ผลการทดสอบ เพอใหมนใจวาระบบไดผานการทดสอบอยางครบถวนเหมาะสมตามมาตรฐานและระเบยบวธปฏบตของ สง.

ขอจ ากดหรอปญหาตาง ๆ ทพบในระหวางการทดสอบไดรบการแกไขอยางเหมาะสม แผนยอนกลบ (roll back plan) กรณทท าการเปลยนแปลงไมส าเรจ เพอรองรบปญหาขดของ

ระหวางการเปลยนแปลง ตารางเวลาการเปลยนแปลงในภาพรวม (change calendar) เพอบรหารทรพยากรและลดความเสยง

หรอผลกระทบทอาจเกดขน นอกจากน ผบรหารทไดรบมอบหมายหรอ CAB ควรมการตดตามผลหลงการเปลยนแปลงระบบ

(post implementation review) เพอใหมนใจไดวาการเปลยนแปลงนนเปนไปตามวตถประสงคทก าหนด 2.6.1.3 ผทเกยวของในกระบวนการบรหารจดการการเปลยนแปลงควรมการแบงแยกหนาทอยางเหมาะสม

(segregation of duties) เพอไมใหบคคลใดบคคลหนงสามารถปฏบตงานไดตงแตตนจนจบกระบวนการ เชน ผมสทธรองขอ ผทมอ านาจในการอนมตการเปลยนแปลง ผทสามารถด าเนนการเปลยนแปลงระบบ เปนตน

2.6.1.4 มหลกเกณฑในการจดประเภทการเปลยนแปลงระบบตามความเสยงและความส าคญทชดเจน เชน การเปลยนแปลงมาตรฐานทไดรบอนมตเปนการทวไป (standard change) การเปลยนแปลงทตอง ขออนมตตามกระบวนการปกต (normal change) และการเปลยนแปลงทตองด าเนนการอยางเรงดวน (emergency change) โดย สง. ควรก าหนดกระบวนการและขนตอนในการจดการการเปลยนแปลง ตามแตละประเภทอยางเหมาะสม

2.6.1.5 กรณการเปลยนแปลงทตองด าเนนการอยางเรงดวน ควรมกระบวนการในการพจารณาความเสยง และผลกระทบ รวมถงขออนมตจากผบรหารทไดรบมอบหมายใหสามารถตดสนใจไดกรณเรงดวน โดยภายหลงด าเนนการใหมการรายงานผบรหารทเกยวของและ CAB ไดรบทราบโดยเรว

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 21

2.6.1.6 ค าขอการเปลยนแปลง (change request) ควรไดรบการอนมตจากหนวยงานเจาของระบบ (system owner) เพอใหมนใจไดวาการขอเปลยนแปลงไดรบการพจารณาความจ าเปนอยางเหมาะสมจากหนวยงานเจาของระบบ

2.6.1.7 มระบบหรอทะเบยนในการจดเกบค าขอเปลยนแปลงและเอกสารรายละเอยดทเกยวของเพอใชควบคม การปฏบตงานตงแตตนจนจบกระบวนการ และสามารถใชในการตดตามและสอบทานการปฏบตงานได

2.6.1.8 มการจดเกบการเปลยนแปลงของโครงสรางพนฐานดานเทคโนโลยสารสนเทศ (version control) เชน การน าระบบขนใชงานจรง การตงคาระบบ การตดตง patch บนระบบทใหบรการจรง เปนตน เพอควบคมความเสยงในการเปลยนแปลงและลดขอผดพลาดทอาจเกดขน

2.6.1.9 มการประเมนผลกระทบหรอท าการทดสอบบนระบบทมสภาพแวดลอมใกลเคยงกบระบบทใหบรการจรง กอนน าไปตงคาบนระบบทใหบรการจรง เพอลดความเสยงและผลกระทบทอาจเกดขน

2.6.2 การบรหารจดการการตงคาระบบ (system configuration management)

วตถประสงค เพอให สง. มกระบวนการควบคมการเปลยนแปลงการตงคาระบบทมความรดกมปลอดภย และเปนไปตามมาตรฐาน

2.6.2.1 จดท าเอกสาร minimum baseline standard เพอใชเปนมาตรฐานการตงคาของระบบปฏบตการ ระบบฐานขอมล และอปกรณเครอขายสอสารตาง ๆ อยางเปนลายลกษณอกษร โดยมการทบทวน ปรบปรงเอกสารใหเปนปจจบนอยางสม าเสมอ

2.6.2.2 การเปลยนแปลงการตงคาบนระบบทใหบรการจรง ตองผานกระบวนการบรหารจดการการเปลยนแปลง ท สง. ก าหนด เพอปองกนความเสยงหรอขอผดพลาดในการปฏบตงาน

2.6.2.3 มการจดเกบการเปลยนแปลงของการตงคาระบบของทกอปกรณ ระบบและระบบงาน (system configuration version control) โดยมการรกษาความปลอดภยทรดกมเพยงพอ

2.6.2.4 มการสอบทานการตงคาจากหนวยงานทมหนาทควบคมดแลความปลอดภยหรอความเสยงดานเทคโนโลยอยางสม าเสมอ เพอใหสอดคลองตามมาตรฐานของ สง.

2.6.2.5 กรณมความจ าเปนตองตงคาทไมเปนไปตามเอกสาร minimum baseline standard ควรผานกระบวนการขออนมตยกเวน (exception) เพอประเมนความเสยงและพจารณาแนวทางควบคมความเสยงทเพยงพอเหมาะสมกอนด าเนนการ

2.6.3 การบรหารจดการ patch (patch management)

วตถประสงค เพอให สง. มการบรหารจดการ patch โดยมการควบคมทรดกมปลอดภย และตดตง ไดอยางเหมาะสมทนการณ

2.6.3.1 ก าหนดมาตรฐานและระเบยบวธปฏบตในกระบวนการบรหารจดการ patch ทครอบคลม การตรวจสอบความถกตองของ patch และการประเมนความเสยงและความจ าเปนในการตดตง patch ใหมจากผผลตอยางเหมาะสมทนการณ

2.6.3.2 มการจดเกบการเปลยนแปลงการตดตงของทกอปกรณ ระบบและระบบงาน (patch version control) โดยมการรกษาความปลอดภยทรดกมเพยงพอ

2.6.3.3 มกระบวนการทดสอบ patch ทออกใหมทกครงกอนน าไปตดตงบนระบบทใหบรการจรง 2.6.3.4 การตดตง patch บนระบบทใหบรการจรง ตองผานกระบวนการบรหารจดการการเปลยนแปลงท สง. ก าหนด

เพอปองกนความเสยงหรอขอผดพลาดในการปฏบตงาน

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 22

2.6.3.5 มการทบทวนและปรบปรงกระบวนการบรหารจดการ patch อยางสม าเสมอ เพอใหมนใจไดวา สง. สามารถทดสอบและตดตง patch ดานการรกษาความปลอดภย ไดทนตอสถานการณทเปลยนไปและสามารถรองรบความเสยงทเพมขนไดอยางรวดเรว

2.6.4 การจดเกบขอมลบนทกเหตการณ (logging)

วตถประสงค เพอให สง. มขอมลบนทกเหตการณทครบถวนเพยงพอและปลอดภย สามารถใชตดตาม ตรวจสอบรองรอยการเขาถงและการใชงานระบบหรอขอมลของผใชงาน รวมทงใชเปนหลกฐานการท าธรกรรม ทางอเลกทรอนกสตามทกฎหมายก าหนด

2.6.4.1 มการจดเกบขอมลบนทกเหตการณของเครองแมขาย ระบบงาน อปกรณเครอขายสอสารทส าคญดวย วธการทปลอดภย โดยมรายละเอยดทครบถวนเพยงพอทจะใชเปนหลกฐานในการตรวจสอบทสามารถระบ ตวบคคลผกระท าได และจดเกบยอนหลงเปนระยะเวลาอยางนอย 90 วน หรอตามกฎหมายทเกยวของก าหนด บนทกรองรอยกจกรรมการท าธรกรรม (transaction log) บนทกการเขาถง (access log) บนทกการด าเนนงาน (activity log) ทส าคญ โดยอยางนอยตองครอบคลม - การเปลยนแปลงแกไขโครงสรางฐานขอมล และการเปลยนแปลงแกไขขอมล

(update/ insert/ delete) ในตารางทส าคญ - การเปลยนแปลงการตงคาความปลอดภยของระบบ - การเขาถง object ทส าคญของระบบ - การเปลยนแปลงแกไขบญชและสทธของผใชงาน

2.6.4.2 มการใชระบบในการควบคมคาเวลาของเครองแมขาย ระบบงาน อปกรณเครอขายสอสารใหตรงกบ เครองแมขาย Network Time Protocol : NTP (clock synchronization) เพอใหคาเวลาในการบนทกเหตการณมความถกตองในลกษณะ real-time ซงเครองแมขาย NTP ตองรบสญญาณนาฬกาจากแหลง ทมความนาเชอถอ

2.6.4.3 ขอมลการบนทกเหตการณของอปกรณส าคญควรจดเกบไวทเครองแมขายทแยกเฉพาะ อยางนอยครอบคลม access log และ activity log โดยมการรกษาความปลอดภยทรดกมเพยงพอในการปองกนการเปลยนแปลง แกไข หรอท าลาย

2.6.4.4 มการสอบทานบนทกการเขาถง (access Log) และบนทกการด าเนนงาน (activity log) ของผปฏบตงานดานเทคโนโลยสารสนเทศทมสทธสงอยางสม าเสมอ เชน system administrator หรอ system operator เปนตน เพอใหมนใจไดวาผปฏบตงานเขาถงและปฏบตงานตามขอบเขตหนาททไดรบมอบหมาย

2.6.5 การบรหารจดการขดความสามารถของระบบ (Capacity Management)

วตถประสงค เพอให สง. สามารถบรหารทรพยากรดานเทคโนโลยสารสนเทศไดอยางเพยงพอรองรบ ตอการด าเนนธรกจ และสามารถวางแผนการจดการเทคโนโลยสารสนเทศใหรองรบการใชงานในอนาคต

2.6.5.1 ก าหนดมาตรฐานและระเบยบวธปฏบตเรองการบรหารจดการขดความสามารถของระบบ เพอประเมนและตดตามดแลความเพยงพอของโครงสรางพนฐานดานเทคโนโลยสารสนเทศทครอบคลมถง ระบบคอมพวเตอร ระบบฐานขอมล ระบบเครอขายสอสาร และระบบสาธารณปโภคทเกยวของกบงานเทคโนโลยสารสนเทศ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 23

2.6.5.2 มการประเมนแนวโนมการใชทรพยากรดานเทคโนโลยสารสนเทศเพอวางแผนรองรบการใชงานในอนาคต (capacity planning) โดยครอบคลมทงระบบหลกและระบบส ารอง

2.6.5.3 มกระบวนการหรอเครองมอในการตดตามประสทธภาพและความเพยงพอของการใชทรพยากร ดานเทคโนโลยสารสนเทศของระบบ เชน ระบบ core banking ระบบการช าระเงน ระบบทใหบรการ ทางการเงนอเลกทรอนกส เปนตน เพอบรหารจดการทรพยากรดานเทคโนโลยสารสนเทศไดอยางทนทวงท และสามารถตอบสนองความตองการในการด าเนนงานทางธรกจอยางตอเนอง

2.6.5.4 มการก าหนดตวชวดการใชทรพยากรดานเทคโนโลยสารสนเทศ (threshold และ trigger) ในระดบตาง ๆ เพอใหมการแจงเตอนผเกยวของอยางทนทวงท และสามารถวเคราะหปญหาและแนวทางการรบมอทเหมาะสม รวมถงการประสานงานกบหนวยงานทงภายในและภายนอกกรณเกดเหตขดของ

2.6.5.5 จดท ารายงานความเพยงพอของทรพยากรดานเทคโนโลยสารสนเทศน าเสนอตอคณะกรรมการทไดรบมอบหมายหรอผบรหารระดบสงทเกยวของรบทราบอยางสม าเสมอ เพอใหมการก ากบดแลความพรอม และความเพยงพอของระบบในการรองรบการใหบรการทางธรกจไดอยางตอเนอง รวมทงเพอพจารณาแนวทางลดความเสยงไดทนการณ

2.6.6 การตดตามดแลระบบและเฝาระวงภยคกคาม (Security Monitoring)

วตถประสงค เพอให สง. สามารถตรวจจบ ปองกนและรบมอเหตการณผดปกตไดอยางทนทวงท โดยมกระบวนการตดตามดแลความมนคงปลอดภยของระบบ รวมถงเฝาระวงภยคกคามอยางตอเนอง

2.6.6.1 ก าหนดมาตรฐานและระเบยบวธปฏบตในการตดตามดแลระบบและเฝาระวงภยคกคาม เพอใหม การตดตามดแลความปลอดภยของระบบอยางตอเนอง

2.6.6.2 ก าหนดกระบวนการหรอเครองมอในการตรวจจบเหตการณผดปกตทกระทบตอความปลอดภยของระบบ ทส าคญอยางทนทวงท ครอบคลมระบบงานและระบบเครอขายสอสารทงในเชง physical และ logical เชน ศนยคอมพวเตอร ระบบ core banking ระบบการช าระเงน และระบบทใหบรการทางการเงนอเลกทรอนกส เปนตน เพอใหรบทราบความผดปกตหรอภยคกคาม และสามารถด าเนนการปองกนหรอรบมอไดอยางเหมาะสม

2.6.6.3 มกระบวนการหรอเครองมอในการรบขอมลจากแหลงขอมลทเชอถอได มการวเคราะหและจดการขอมล ภยคกคามทอาจเกดขนอยางตอเนอง ครอบคลม ลกษณะการโจมต ความเปนไปไดทจะเกดเหตการณ ภยคกคาม รวมถงวธการรบมอกบภยคกคามนน เพอน ามาใชสนบสนนการรบมอตอภยคกคามทางไซเบอร

2.6.6.4 ก าหนดใหมผรบผดชอบในการประสานงานแลกเปลยนขอมลภยคกคาม ระหวาง สง. และหนวยงาน ทเกยวของ รวมทงมกระบวนการและชองทางในการรายงาน แลกเปลยน ตดตาม เพอปองกนรบมอและแกไขภยคกคาม

2.6.6.5 ในกรณทพบภยคกคามทสงผลกระทบอยางมนยส าคญ สง. ควรจดใหมการรายงานผบรหารหรอคณะกรรมการทเกยวของ รวมทงมการรายงานหนวยงานก ากบดแลทเกยวของ รวมทงจดใหมกระบวนการตรวจพสจนพยานหลกฐานทางดจทล (digital forensic) โดยผทมความเชยวชาญ เพอใหทราบสาเหตหรอชองโหวของระบบ และสามารถด าเนนการปดชองโหวและปองกนความเสยงทอาจเกดขนอก

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 24

2.6.7 การบรหารจดการชองโหวและการทดสอบเจาะระบบ (Vulnerability Management and Penetration Test)

วตถประสงค เพอให สง. ไดรบทราบถงชองโหวดานการรกษาความปลอดภยของระบบ และสามารถด าเนนการปรบปรงแกไขปองกนความเสยงจากภยคกคามใหม ๆ ทอาจเกดขนไดอยางทนการณ

2.6.7.1 ก าหนดมาตรฐานและระเบยบวธปฏบตการบรหารจดการชองโหวและการทดสอบเจาะระบบ การบรหารจดการชองโหว (Vulnerability Management)

2.6.7.2 มกระบวนการและเครองมอในการประเมนชองโหว (vulnerability assessment) โดย สง. ควรก าหนดขอบเขตและความถของการประเมนชองโหวใหครอบคลมทกระบบงานอยางสม าเสมอตามระดบความเสยง ส าหรบระบบบงานส าคญควรจดท าอยางนอยปละ 1 ครงและเมอมการเปลยนแปลงอยางมนยส าคญ

2.6.7.3 มการรายงานผลการประเมนชองโหวไปยงผรบผดชอบ รวมทงมการตดตามการด าเนนการปรบปรงแกไข และน าเสนอความคบหนาการด าเนนการตอคณะกรรมการหรอผบรหารทไดรบมอบหมาย การทดสอบเจาะระบบ (Penetration Test)

2.6.7.4 มการทดสอบเจาะระบบ (penetration test) โดยผเชยวชาญทมความอสระ ครอบคลมระบบงานและระบบเครอขายกบระบบทมการเชอมตอกบเครอขายสาธารณะ (internet facing) อยางนอยปละ 1 ครงและเมอมการเปลยนแปลงอยางมนยส าคญ

2.6.7.5 มการรายงานผลการทดสอบเจาะระบบไปยงผรบผดชอบ รวมทงมการตดตามการด าเนนการปรบปรงแกไข และน าเสนอความคบหนาการด าเนนการตอคณะกรรมการหรอผบรหารทไดรบมอบหมาย

2.6.7.6 มกระบวนการรวบรวมและวเคราะหชองโหวทางดานเทคนคทตรวจพบ เพอก าหนดเปนมาตรการรกษาความมนคงปลอดภยของระบบงานทจะมการพฒนาในอนาคต

2.6.8 การส ารองขอมล (Data Backup)

วตถประสงค เพอใหมนใจวา สง. มขอมลส ารองทมความพรอมใชงานในกรณระบบและขอมลหลก เกดเหตขดของหรอไดรบความเสยหายจนไมสามารถใชงานไดตามปกต

2.6.8.1 ก าหนดมาตรฐานและระเบยบวธปฏบตการส ารองขอมล เพอใหมขอมลส ารองพรอมใชและมความปลอดภย โดยควรครอบคลมอยางนอย วธการ เทคโนโลยและรอบระยะเวลาทใชในการส ารองขอมล โดยควรสอดคลองกบเปาหมาย

ระยะเวลาสงสดทยอมใหขอมลเสยหาย (Recovery Point Objective : RPO) ทก าหนด รอบระยะเวลาและวธการทดสอบความพรอมใชของขอมลส ารอง

2.6.8.2 มกระบวนการส ารองทงระบบ (full backup) ทกครงภายหลงจากทมการเปลยนแปลงระบบปฏบตการ และระบบงาน เพอใหระบบส ารองมความเปนปจจบน

2.6.8.3 มระบบหรอทะเบยนควบคมการจดเกบและเรยกใชงานสอบนทกขอมลตามประเภทของสอทจดเกบ โดยมการระบขอมล ชอ วนท และชวงเวลาทจดเกบ ทสามารถตดตามตรวจสอบได

2.6.8.4 มการจดเกบสอบนทกขอมลส ารองไวนอกศนยคอมพวเตอรหลกหรอนอกสถานทปฏบตงานหลก โดยมการรกษาสภาพแวดลอมและการควบคมความปลอดภยในการเขาถงขอมลทจดเกบไว เทยบเคยง กบศนยคอมพวเตอรหลก

2.6.8.5 จดใหมการสอบทานการส ารองขอมล เพอใหมนใจวามการส ารองขอมลครบถวนถกตอง พรอมใชงาน และปลอดภยตามมาตรฐานและระเบยบวธปฏบตของ สง.

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 25

2.6.9 การรกษาความปลอดภยในอปกรณทใชปฏบตงาน (Endpoint Security)

วตถประสงค เพอใหอปกรณทใชปฏบตงานมความปลอดภยและไมเปนชองทางทท าใหขอมลส าคญ ของ สง. รวไหลหรอมการเขาใชงานโดยไมไดรบอนญาต

2.6.9.1 ก าหนดมาตรฐานและระเบยบวธปฏบตการรกษาความปลอดภยในอปกรณทใชปฏบตงานเปนลายลกษณอกษร ทงอปกรณของ สง. และอปกรณสวนตว (Bring Your Own Device : BYOD) เชน personal computer, notebook, tablet, smartphone, removable media เปนตน เพอให สง. มแนวทางทใชในการควบคมความเสยงจากการใชงานอปกรณดงกลาว

2.6.9.2 ก าหนด Security Baseline ส าหรบอปกรณทใชปฏบตงานของ สง. เพอปองกนความเสยงทอปกรณเหลานนอาจเปนชองทางในการแพรกระจายของโปรแกรมไมประสงคด (malware) และการรวไหลของขอมลส าคญตามระดบความเสยงทเหมาะสม โดยอยางนอยครอบคลม ดงน ตดตงระบบปฏบตการและโปรแกรมพนฐานทใชในการปฏบตงานบนเครองคอมพวเตอร (personal

computer, notebook) โดยมกระบวนการหรอเครองมอในการควบคมและตดตามไมใหผใชงานสามารถตดตงโปรแกรมอน ๆ นอกเหนอจาก สง. ก าหนด

ตดตงโปรแกรมรกษาความปลอดภย เชน anti-Virus/ anti-malware, Host-based Intrusion Prevention System (HIPS) เปนตน โดยมการปรบปรงประสทธภาพของการปองกนโปรแกรม ไมประสงคด (malware) ใหเพยงพอและเปนปจจบน เพอใหเทาทนในการปองกนภยคกคามใหม ๆ

ควบคมไมใหมการจดเกบขอมลทมระดบชนความลบสงสดในเครองคอมพวเตอรของผใชงาน แตหาก มความจ าเปนตองจดเกบ ตองมการรกษาความปลอดภยทรดกมเพยงพอ เชน มการเขารหส เปนตน

มกระบวนการหรอเครองมอในการตรวจจบ (detect) คดกรอง (filter) สกดกน (block) เพอปองกนขอมลส าคญรวไหล (Data Leakage Prevention : DLP)

จ ากดการเขาถง shared drive หรอ shared folder ตามความจ าเปนในการใชงานเทานน การควบคมการใชงานอนเตอรเนต โดย สง. ควรมเครองมอในการควบคมใหอปกรณทสามารถเชอมตอ

อนเตอรเนตเขาถงเฉพาะเวบไซตทไดรบอนญาตเทานน รวมถงมการจ ากดการดาวนโหลดหรออพโหลดขอมลจากอนเตอรเนต

การควบคมการใชสอบนทกขอมลพกพา (removable media) เชน ก าหนดแนวทางการอนญาต ใหใชงาน Universal Serial Bus (USB) หรอ external harddisk เปนตน

การควบคมการใช Email เชน ก าหนดแนวทางการใชงาน Email เปนตน 2.6.9.3 มกระบวนการบรหารจดการอปกรณสวนตว (Bring Your Own Device : BYOD) ตงแตการลงทะเบยน

การตออาย และการยกเลกการใชงาน BYOD อยางนอยครอบคลมดงน หลกเกณฑการอนญาตใหใชงาน BYOD การควบคมการใช BYOD ในการเขาถงระบบเครอขายสอสาร ระบบงานและขอมล ของ สง. มกระบวนการตรวจสอบ วเคราะห และตดตามความเสยงของอปกรณทน ามาใชงานใน สง. ก าหนดรหสผานเพอใชในการลอคหรอปลดลอคในการเขาถงอปกรณสวนตว กรณเครองคอมพวเตอร (personal computer, notebook) ตองตดตง anti-virus/ anti-malware

หรอโปรแกรมตามท สง. ก าหนด

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 26

ไมอนญาตใหอปกรณโทรศพทเคลอนท (tablet, smartphone) ทถกปรบแตง (rooted หรอ jailbroken) ลงทะเบยนใชงาน BYOD

ใชวธการพสจนตวตนอปกรณทเชอถอไดขององคกร เชน trusted root certification authorities, digital certificate เปนตน

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 27

2.7 การจดหาและการพฒนาระบบ (System Acquisition and Development)

วตถประสงค เพอใหมนใจไดวากระบวนการจดหาและการพฒนาระบบ มการควบคมการรกษาความปลอดภยอยางรดกมและสอดคลองตามหลกการควบคมทเปนมาตรฐานสากล

2.7.1 การจดหาระบบ (System Acquisition) 2.7.1.1 มหลกเกณฑการพจารณาคดเลอกระบบและผใหบรการ เพอใชเปนแนวทางในการปฏบตงาน

ซงควรครอบคลมอยางนอย ดงน รายละเอยดทวไป เชน หมายเลขอางองของซอฟตแวร (software license) ฟงกชนการท างาน

ประสทธภาพของระบบ เปนตน ความมนคงปลอดภยของระบบ ฐานะการเงน ชอเสยง และความสามารถดานเทคนค การไดรบการรบรองตามมาตรฐานสากลหรอมาตรฐานดานเทคโนโลยสารสนเทศทเกยวของทไดรบ

การยอมรบโดยทวไป (certificate) การสนบสนนและการบ ารงรกษาระบบ สญญาและขอตกลงการรบฝากทรพยสน (escrow agreement) ตามระดบความส าคญของระบบ ความนาเชอถอของระบบและผใหบรการ ผลการจดท า proof of concept ในกรณทเปนระบบส าคญ

2.7.1.2 สง. ควรควบคมดแลผใหบรการปฏบตตามมาตรฐานและระเบยบวธปฏบตการออกแบบและพฒนาระบบ 2.7.1.3 สง. ก าหนดมาตรฐานและระเบยบวธปฏบตในการตรวจสอบและสงมอบระบบเทคโนโลยสารสนเทศ

2.7.2 การพฒนาระบบเทคโนโลยสารสนเทศ (System Development) 2.7.2.1 ก าหนดมาตรฐานและระเบยบวธปฏบตในการออกแบบและพฒนาระบบอยางเปนลายลกษณอกษร

โดยค านงถงการรกษาความมนคงปลอดภย ครอบคลมกระบวนการตงแตจดท าความตองการ (requirement) การออกแบบ การพฒนา และการทดสอบระบบกอนใชงานจรง

2.7.2.2 มการสรางความตระหนกและใหความรกบผพฒนาโปรแกรมอยางสม าเสมอ เพอเสรมสรางทกษะ ในดานการออกแบบและพฒนาโปรแกรมอยางปลอดภย (secure software development)

2.7.2.3 ก าหนดใหหนวยงานธรกจทเกยวของสอบทานความถกตองครบถวนตามความตองการของหนวยงานธรกจ (business requirement) โดยครอบคลมการรกษาความปลอดภยตามนโยบายหรอมาตรฐานท สง. ก าหนด (security requirement) และ sign off กอนเรมออกแบบระบบ การออกแบบระบบ

2.7.2.4 จดท าเอกสารรายละเอยดคณสมบตทางเทคนค (technical specification) โดยครอบคลมการรกษา ความมนคงปลอดภยตามนโยบายหรอมาตรฐานท สง. ก าหนด (security specification) รวมทงจดใหม การสอบทานความถกตองครบถวนและ sign off จากผทเกยวของกอนเรมพฒนาระบบ

2.7.2.5 จดท าขอบเขตการทดสอบใหครอบคลมฟงกชนและเงอนไขตาง ๆ ดานประสทธภาพ ตามความตองการของหนวยงานธรกจ (business requirement) รวมถงการควบคมความมนคงปลอดภยตามนโยบายหรอมาตรฐานท สง. ก าหนด เพอเปนแนวทางการพฒนาระบบและสอบทานผลการทดสอบกอนทจะออกใชงานจรง (exit criteria)

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 28

การพฒนาระบบ

2.7.2.6 มการแบงแยกสภาพแวดลอมของระบบงานทใชส าหรบการพฒนา (development) การทดสอบ (testing) และระบบทใหบรการจรง (production) ออกจากกน เพอควบคมการทดสอบและลดผลกระทบทอาจเกดขนจากการน าระบบขนใชงานจรง

2.7.2.7 มการควบคมเครองทไมไดอยบนระบบทใหบรการจรง (non-production) ใหมความปลอดภยเพยงพอ ตามระดบความเสยงเพอปองกนการเขาถงโดยไมไดรบอนญาต

2.7.2.8 มกระบวนการหรอเครองมอในการควบคมเวอรชนของค าสงในการเขยนโปรแกรม (source code version control)

2.7.2.9 มการควบคมไมใหมการตดตงเครองมอการพฒนาระบบ (development tools) และเครองมอแปลโปรแกรม (compilers) ไวบนระบบทใหบรการจรง เพอปองกนความเสยงทอาจถกปรบเปลยนหรอตดตงโปรแกรม โดยไมไดรบอนญาต การทดสอบระบบ

2.7.2.10 บทบาทหนาท และความรบผดชอบของผทเกยวของในกระบวนการพฒนาระบบควรเปนไปตามหลกการแบงแยกหนาทอยางเหมาะสม (segregation of duties) เพอไมใหบคคลใดบคคลหนงสามารถปฏบตงาน ไดตงแตตนจนจบกระบวนการ เชน ควรแยกผพฒนาระบบ ออกจากผน าระบบขนใชงานจรง เปนตน

2.7.2.11 มการทดสอบบนสภาพแวดลอมใกลเคยงระบบทใหบรการจรง เพอลดความเสยงของการเปลยนแปลงบนระบบทใหบรการจรง

2.7.2.12 การทดสอบระบบทไดรบการพฒนาหรอเปลยนแปลง ควรครอบคลม unit test system and integration test user acceptance test performance test security test ตาม security specification ทงน สง. ควรจดใหมกระบวนการและเอกสารการ sign off ผลการทดสอบระบบจากฝายงานทเกยวของ ทผานตาม exit criteria อยางครบถวน กอนน าระบบขนใชงานจรง

2.7.2.13 มกระบวนการสอบทาน test scenario หรอ test case เพอใหมนใจวามความครอบคลมเพยงพอ 2.7.2.14 การพฒนาหรอการเปลยนแปลงระบบทเกยวของกบการใหบรการ การท าธรกรรมทางอเลกทรอนกส

หรอระบบทมการเชอมโยงกบระบบอนจ านวนมาก สง. ควรจดใหมการทดสอบประสทธภาพ (performance test) เพอใหมนใจไดวาระบบมเสถยรภาพเพยงพอในการรองรบการใชงานจ านวนมาก

2.7.2.15 มการทดสอบระบบรกษาความปลอดภยควรครอบคลมการประเมนชองโหว (vulnerability assessment) ของระบบงาน และกรณเปนระบบทเชอมตอกบภายนอก ควรมการท าทดสอบเจาะระบบ (penetration test) เพอใหสามารถตรวจพบชองโหวและด าเนนการปรบปรงแกไขไดกอนเรมใหบรการจรง

2.7.2.16 มการสอบทานค าสงในการเขยนโปรแกรม (source code review) อยางเปนอสระ ทกครงท สง. มการพฒนาหรอเปลยนแปลงระบบในสวนทเปนการท าธรกรรมส าคญ รวมถงระบบ internet banking และ mobile banking เพอระบชองโหวดานความมนคงปลอดภย

2.7.2.17 มแนวทางการควบคมการรกษาความปลอดภยและความลบของขอมลส าคญทน าไปใชในการทดสอบ เชน data masking เปนตน เพอปองกนความเสยงในการรวไหลของขอมลส าคญดงกลาว

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 29

2.7.2.18 มกระบวนการในการจดการขอผดพลาดหรอขอบกพรอง (defect) ของระบบทพบในการทดสอบ เพอพจารณาแนวทางปรบปรงหรอลดความเสยงหรอผลกระทบของขอผดพลาดหรอขอบกพรอง ทมตอความปลอดภย ความถกตองเชอถอได และความพรอมใชของระบบ

2.7.2.19 มการจดท าคมอและอบรมผใชงานระบบ เพอใหมความเขาใจฟงกชนการท างานและมการใชงานระบบ อยางปลอดภย รวมถงจดใหมคมอการดแลระบบและอบรมผดแลระบบ เพอสามารถตรวจสอบและ จดการแกไขปญหาได

2.7.2.20 หลงจากน าระบบขนใชงานจรง สง. ควรพจารณาจดใหมการทดสอบจรงในวงจ ากด (pilot test) ส าหรบ ฟงกชนการท างานทส าคญ รวมทงจดใหมการตดตามการใชงานระบบหลงจากใหบรการจรงอยางใกลชด ตามระยะเวลาทเหมาะสม เพอใหมนใจตอความปลอดภย ความถกตองเชอถอได และความพรอมใชของระบบ การน าระบบขนใชงานจรง (system deployment)

2.7.2.21 การน าระบบขนใชงานจรง ตองผานกระบวนการบรหารจดการการเปลยนแปลงท สง. ก าหนด เพอปองกนความเสยงหรอขอผดพลาดในการปฏบตงาน

2.7.2.22 มการจดเกบการเปลยนแปลง (version control) ของระบบงานขนใชงานจรงทงหมด โดยมการรกษา ความปลอดภยทรดกมเพยงพอ

2.7.2.23 ระบบงานส ารองควรปรบปรงใหมความเปนปจจบน เพอใหมความพรอมใชงานเมอเกดเหตฉกเฉน

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 30

2.8 การบรหารจดการเหตการณผดปกตและปญหาดานเทคโนโลยสารสนเทศ (IT Incident and Problem Management)

2.8.1 การบรหารจดการเหตการณผดปกตดานเทคโนโลยสารสนเทศ (IT Incident Management)

วตถประสงค เพอให สง. มแนวทางในการบรหารจดการเหตการณผดปกตดานเทคโนโลยสารสนเทศ ซงรวมถงเหตการณผดปกตจากภยคกคามทางไซเบอรอยางเหมาะสมทนการณ ใหสามารถจดการแกไข ปญหาใหกลบสสภาพปกตไดอยางรวดเรวและจ ากดความเสยหายทสงผลกระทบตอธรกจของ สง.

2.8.1.1 ก าหนดมาตรฐานและระเบยบวธปฏบตการบรหารจดการเหตการณผดปกตดานเทคโนโลยสารสนเทศ ควรครอบคลมตงแตกระบวนการหรอเครองมอในการบนทกเหตการณผดปกต การก าหนดประเภท การจดระดบความรนแรง การวเคราะหหาสาเหต การด าเนนการแกไข การตดตามแกไข การรายงานเหตการณผดปกต

2.8.1.2 ก าหนดหลกเกณฑการสงตอเหตการณผดปกต (escalation) และรายงานความคบหนาเหตการณผดปกต ใหผเกยวของ ผบรหารระดบสง คณะกรรมการทเกยวของหรอคณะกรรมการสถาบนการเงนไดรบทราบ ใหสอดคลองกบระดบความรนแรงของเหตการณผดปกต

2.8.1.3 การจดระดบความรนแรงของปญหา ควรพจารณาอยางนอยใหครอบคลม ผลกระทบตอการใหบรการ ผลกระทบตอผใชงาน โดยกรอบระยะเวลาในการแกไขเหตการณผดปกตควรค านงถงเปาหมายระยะเวลา ในการกคนระบบ (Recovery Time Objective : RTO) และเปาหมายระยะเวลาสงสดทยอมใหธรกจหยดชะงก (Maximum Tolerance Period of Disruption : MTPD) เพอทจะสามารถตดสนใจใช แผนส ารองอยางเหมาะสมทนการณ

2.8.1.4 จดใหมศนยรบแจงเหตการณผดปกต โดยท าหนาทในการบนทกและแกไขในเบองตน หรอสงตอเหตการณผดปกต ไปยงหนวยงานดานเทคโนโลยสารสนเทศทเกยวของ

2.8.1.5 จดท าแผนการรบมอกบเหตการณผดปกต (incident response plan) ตามความส าคญของเหตการณ เพอใหสามารถรบมอและตอบสนองตอเหตการณไดอยางรวดเรวและทนการณ โดยอยางนอยแผนควร ระบกระบวนการรบมอและชองทางประสานงานจากผเชยวชาญทงภายในและภายนอก และมแนวทาง การตรวจสอบ วเคราะหหาสาเหต และประเมนผลกระทบ

2.8.1.6 จดท ารายงานเหตการณผดปกต เสนอตอคณะกรรมการสถาบนการเงน คณะกรรมการทไดรบมอบหมาย หรอผบรหารระดบสงทไดรบมอบหมาย โดยครอบคลม วน เวลา เหตการณ ความเสยหาย การวเคราะหสาเหตทแทจรง การวเคราะหผลกระทบ การแกไขปญหาและแนวทางหรอแผนด าเนนการเพอปองกนเหตการณผดปกตในอนาคต และในกรณทเปนความเสยหายสงผลกระทบตอชอเสยงและการด าเนนธรกจของ สง. อยางมนยส าคญ ใหรายงานตอคณะกรรมการของ สง. ทราบดวย

2.8.1.7 ในกรณทเกดปญหาหรอเหตการณทมนยส าคญในการใชเทคโนโลยสารสนเทศซงสงผลกระทบตอการใหบรการ ระบบงาน หรอชอเสยงของสถาบนการเงน รวมถงกรณเทคโนโลยสารสนเทศทส าคญของ สง. ถกโจมตหรอถกขโจมตจากภยคกคามทางไซเบอร และเปนปญหาหรอเหตการณทสถาบนการเงนตองรายงานตอผบรหารในต าแหนงสงสดของ สง. ทราบ โดยให สง. รายงานปญหาหรอเหตการณดงกลาวมายงฝายตรวจสอบเทคโนโลยสารสนเทศ สายนโยบายระบบการช าระเงนและเทคโนโลยทางการเงน ธนาคารแหงประเทศไทย ทนทเมอเกดหรอรบรปญหาหรอเหตการณนน และใหสถาบนการเงนแจงสาเหตและการแกไขปญหาเพมเตมภายหลง

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 31

2.8.1.8 มกระบวนการบรหารภาวะวกฤต (crisis management) เพอรองรบกรณเหตการณผดปกตดานเทคโนโลยสารสนเทศเพมระดบความรนแรงหรอมความยดเยอ สง. จดใหมคณะกรรมการบรหารภาวะวกฤต (crisis management committee) โดยประกอบดวย

ผบรหารระดบสง (C-level) จากฝายงานตาง ๆ เพอใหสามารถพจารณาประเมนสถานการณได อยางครอบคลม และตดสนใจแกไขสถานการณไดอยางรวดเรวทนการณ บรรเทาผลกระทบหรอ ความเสยหายและสามารถด าเนนธรกจไดอยางตอเนอง ตลอดจนการก ากบดแลการด าเนนการตาง ๆ จนสถานการณกลบสภาวะปกต

จดตงศนยบญชาการ ก าหนดขนตอนการสงการและการตดสนใจทชดเจน ก าหนดทมงานรบผดชอบด าเนนการดานตาง ๆ ไดแก ดานสถานท ดานบคลากร ดานเทคโนโลย

สารสนเทศ ดานความปลอดภย ดานสอสารองคกร เปนตน ในการประเมนลกษณะและผลกระทบ ของความเสยหายทเกดขน พจารณาแนวทางบรรเทาผลกระทบและแนวทางรองรบธรกจอยางตอเนอง ซงครอบคลมการกคนระบบ เพอน าเสนอตอคณะกรรมการบรหารภาวะวกฤต ในการพจารณาตดสนใจด าเนนการใชแผนรองรบการด าเนนธรกจอยางตอเนอง

จดท าแผนการสอสารภาวะวกฤต (crisis communication plan) ครอบคลมการสอสารไปยง ผทเกยวของ (call tree) รวมทงลกคาประชาชนทไดรบผลกระทบ

2.8.2 การบรหารจดการปญหาดานเทคโนโลยสารสนเทศ (IT Problem Management)

วตถประสงค เพอให สง. มกระบวนการตดตามหาสาเหตทแทจรง ใหมแนวทางปองกนไมใหเกด เหตการณผดปกตซ าในอนาคต

2.8.2.1 มมาตรฐานและระเบยบวธปฏบตการบรหารจดการปญหาดานเทคโนโลยสารสนเทศ เพอใหมการน าเหตการณผดปกตทยงไมทราบสาเหตทแทจรง (unknown root cause) เหตการณผดปกตทเกดขนซ า (repeated incident) มาวเคราะหและพจารณาแนวทางแกไขปญหาจากสาเหตทแทจรง (root cause)

2.8.2.2 มกระบวนการหรอเครองมอในการบนทกปญหา หลกเกณฑในการจดประเภทปญหา การจดล าดบความส าคญ วเคราะห และจดใหมการตดตามการแกไขปญหาเพอใหปญหาไดรบการแกไข

2.8.2.3 มกระบวนการหรอเครองมอบนทกปญหาทเคยเกดขน เพอใหเปนแหลงขอมลความรใหสามารถสบคนเหตการณปญหาและแนวทางการแกไขปญหาไดในภายหลงอยางรวดเรวและมประสทธภาพ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 32

2.9 การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ

วตถประสงค เพอให สง. มแนวทางรองรบเหตการณผดปกตทระบบเกดหยดชะงกหรอเกดความเสยหาย โดยทธรกจด าเนนการตอไปไดอยางตอเนองและสามารถกคนระบบใหกลบคนสสภาพปกตภายในระยะเวลาทยอมรบได

นโยบายการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ 2.9.1 ก าหนดนโยบายการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ โดยค านงความสอดคลองกบนโยบาย

การบรหารความตอเนองของธรกจและนโยบายการบรหารความเสยงของ สง. 2.9.2 นโยบายดงกลาวตองไดรบอนมตจากคณะกรรมการของ สง. และไดรบการทบทวนอยางนอยปละ 1 ครง

และเมอมการเปลยนแปลงทสงผลกระทบกบแผนฯ เชน มการเปลยนแปลงกลยทธทางธรกจ นโยบาย การบรหารความเสยงโดยรวม สภาพแวดลอมของการด าเนนธรกจหรอทรพยากรหรอโครงสรางระบบ IT เปนตน

2.9.3 นโยบายการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ ควรครอบคลมอยางนอย บทบาทหนาทและความรบผดชอบของคณะกรรมการ ผบรหารระดบสง และผเกยวของ การประเมนความเสยง การวเคราะหผลกระทบทางธรกจและก าหนดเปาหมายในการกคนระบบเทคโนโลยสารสนเทศ การจดระดบความส าคญของระบบงาน การก าหนดกลยทธแผนฉกเฉนดานเทคโนโลยสารสนเทศ การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ การสอสารและการฝกอบรมแผนฉกเฉนดานเทคโนโลยสารสนเทศ การทดสอบ การปรบปรงและการสอบทานแผนฉกเฉนดานเทคโนโลยสารสนเทศ

การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ

2.9.4 มการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศอยางเปนลายลกษณอกษร โดยตองไดรบการอนมตจากคณะกรรมการของ สง. โดยจดใหมการทบทวนอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ

2.9.5 จดใหมคณะท างานหรอหนวยงานทรบผดชอบในการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศไว อยางเปนลายลกษณอกษร โดยมผบรหารและบคลากรของหนวยงานดานตาง ๆ ทเกยวของเขารวมดวย เชน ดานเทคโนโลยสารสนเทศ ดานธรกจ และดานสอสารองคกร เปนตน

2.9.6 การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ ควรค านงถงลกษณะการด าเนนธรกจ ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศ เหตการณความเสยหายตาง ๆ และความเสยงทเกยวของในการด าเนนธรกจของ สง. เชน ความเสยงดานปฏบตการ (operational risk) ความเสยงดานชอเสยง (reputational risk) ความเสยงจากการพงพาองคกรอนในการด าเนนธรกจ (interdependency risk) ความเสยงจากการกระจกตวของระบบงานหรอทรพยากรทส าคญ (concentration risk) และความเสยงทมผลกระทบตอ สง. ผใชบรการ ผมสวนไดเสยและระบบสถาบนการเงน (systemic risk)

2.9.7 กระบวนการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ ควรครอบคลมการด าเนนการ ดงน (1) การประเมนความเสยง (risk analysis) เพอให สง. สามารถระบเหตการณความเสยงซงสงผล

กระทบตอการหยดชะงกของกระบวนการและระบบเทคโนโลยสารสนเทศ โดยมแนวทางด าเนนการอยางเหมาะสมเพยงพอดงน

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 33

ระบเหตการณความเสยง (risk scenarios) ทอาจท าใหกระบวนการและระบบเทคโนโลยสารสนเทศหยดชะงก ทงจากภายในและภายนอก เชน การโจมตดานไซเบอร เปนตน

ประเมนความเสยงโดยพจารณาการควบคมทมอย รวมถงผลกระทบและโอกาสทจะเกดขน พรอมทงก าหนดกระบวนการและทรพยากรทจะใชในการควบคมความเสยง

จดท าแผนในการจดการความเสยง เพอปรบปรงกระบวนการและจดเตรยมทรพยากรทจ าเปน ในการควบคมความเสยงใหอยในระดบทยอมรบได

(2) การวเคราะหผลกระทบทางธรกจ (business impact analysis) เพอใหทราบถงความส าคญของระบบเทคโนโลยสารสนเทศทมผลตอการด าเนนธรกจของ สง. รวมถงผลกระทบจากการหยดชะงกและความเชอมโยงของการด าเนนธรกจกบระบบเทคโนโลยสารสนเทศ โดยมแนวทางด าเนนการดงน ระบระบบเทคโนโลยสารสนเทศทงหมดของ สง. และทรพยากรทมการเชอมโยงพงพาระหวางกน

(dependency) วเคราะหผลกระทบทเกดจากการหยดชะงกของเทคโนโลยสารสนเทศ โดยค านงถงเปาหมาย

ระยะเวลาสงสดทยอมใหธรกจหยดชะงก (Maximum Tolerance Period of Disruption : MTPD) ก าหนดเปาหมายระยะเวลาในการกคนระบบ (Recovery Time Objective : RTO) และ

เปาหมายระยะเวลาสงสดทยอมใหขอมลเสยหาย (Recovery Point Objective : RPO) (3) การจดล าดบความส าคญของระบบงาน โดยค านงถงทรพยากร ระยะเวลาในการกคนระบบ

เปาหมายของระบบงานและขอมลทควรกไดภายหลงเกดการหยดชะงก และทรพยากรทางเทคโนโลยสารสนเทศขนต าทจ าเปนตองใชในการกคนระบบ ทงน สง. ควรพจารณาใหระบบการช าระเงนหรอระบบทมผลกระทบกบระบบ สง. เปนวงกวางเปนระบบทมความส าคญสงสด

(4) การก าหนดกลยทธแผนฉกเฉนดานเทคโนโลยสารสนเทศ สง. ตองมการก าหนดกลยทธแผนฉกเฉนดานเทคโนโลยสารสนเทศและแนวทางจดเตรยมทรพยากรระบบเทคโนโลยสารสนเทศทเหมาะสมตามการจดล าดบความส าคญของระบบงาน โดยพจารณาอยางนอยครอบคลม เปาหมายระยะเวลาทไดจากการวเคราะหผลกระทบทางธรกจ เชน RTO, RPO เปนตน ปจจยส าคญทสนบสนนใหแผนเปนไปตามกลยทธ เชน เทคโนโลยในการส ารองและกคนขอมล

ความพรอมใชของสถานทปฏบตงานส ารอง เปนตน เพอให สง. มทศทางในการพฒนาแผนฉกเฉนดานเทคโนโลยสารสนเทศทบรรลเปาหมายทก าหนดไว

ทรพยากรและงบประมาณ เพอจดเตรยมระบบเทคโนโลยสารสนเทศใหสอดคลองตามแผนกลยทธและกจกรรมทตองด าเนนการทงหมด

(5) การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ แผนฉกเฉนดานเทคโนโลยสารสนเทศควรมการระบกระบวนการและขนตอนสนบสนนการปฏบตทชดเจน เพอใหสามารถด าเนนการไดอยางรวดเรวและงายตอการปฏบต รวมทงมความยดหยนในการตอบสนองตอเหตการณตาง ๆ ทอาจเกดขน อยางนอยครอบคลม ชอแผน วตถประสงค ขอบเขต และความสมพนธกบแผนอน ๆ ทเกยวของ ผงโครงสรางของการบงคบบญชาในการด าเนนงานตามแผน ผปฏบตหนาทและความรบผดชอบ

และผปฏบตทท าหนาทแทนในกรณทผปฏบตหนาทไมสามารถปฏบตงานได รวมถงการบนทก การเปลยนแปลงของแผน

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 34

รายละเอยดของระบบเทคโนโลยสารสนเทศ เชน โครงสรางสถาปตยกรรม แผนภาพระบบเครอขายสอสาร เปนตน

ขนตอนในการประกาศใชแผนฉกเฉนดานเทคโนโลยสารสนเทศ การตอบสนองตอเหตการณฉกเฉนและแผนการสอสารใหหนวยงานทเกยวของรบทราบ

ขนตอนในการด าเนนการกคนระบบ โดยควรระบรายละเอยดอยางชดเจนและเพยงพอ เพอใหสามารถใชเปน checklist ควบคมไมใหมการขามหรอละเลยขนตอนทก าหนดไว ทงน สง. ควรจดท าเอกสารหรอคมอประกอบการกคนในแตละระบบ ในกรณทมการปรบปรง หรอเพมเตมขนตอนนอกเหนอจากทระบในแผนขณะปฏบตงานจรง สง. ควรมกระบวนการรายงานและขออนมตจากผบรหารตามทก าหนดในโครงสรางการบงคบบญชา พรอมทงน า ขนตอนดงกลาวมาปรบปรงแผนใหเปนปจจบน

ขนตอนในการกลบคนสภาวะปกต (return to normal) และการประกาศยกเลกแผนฉกเฉน ดานเทคโนโลยสารสนเทศ

แผนฉกเฉนดานเทคโนโลยสารสนเทศ พรอมเอกสารประกอบการท างานภายใตแผนฉกเฉน ดานเทคโนโลยสารสนเทศ ควรจดเกบไวในสถานทปลอดภยและมความพรอมใชในสถานทปฏบตงานหลกและส ารอง

(6) การสอสารและการฝกอบรมแผนฉกเฉนดานเทคโนโลยสารสนเทศ สง. ตองจดใหมการสอสารแผนฉกเฉนดานเทคโนโลยสารสนเทศ และจดใหมการฝกอบรมแกบคลากรผมสวนเกยวของ ในการสอสารแผนฯ ตองมการระบแนวทางสอสารทชดเจนใหบคลากรทกคนทมสวนเกยวของได

รบทราบถงรายละเอยดในการจดท าแผน ขนตอนการด าเนนงานตามแผน จดใหมการฝกอบรมแกบคลากรผมสวนเกยวของกบการด าเนนงานตามแผนอยางนอยปละ 1 ครง

โดยอยางนอยควรครอบคลม วตถประสงคของแผน ขนตอนการปฏบตงานตามแผน การประสานงานและการสอสารกนระหวางกลม ขนตอนในการรายงาน ระบบรกษาความปลอดภย กระบวนการเฉพาะของแตละกลมด าเนนงาน และความรบผดชอบของแตละบคคล เปนตน

(7) การทดสอบ การปรบปรงและการสอบทานแผนฉกเฉนดานเทคโนโลยสารสนเทศ จดใหมแผนงานเพอทดสอบแผนฉกเฉนดานเทคโนโลยสารสนเทศประจ าป โดยมรายละเอยด

อยางนอยครอบคลมสถานการณจ าลอง รปแบบการทดสอบ วน เวลา สถานทในการทดสอบ บทบาทหนาทของผทเกยวของ ทงนแผนงานเพอทดสอบแผนฉกเฉนดานเทคโนโลยสารสนเทศประจ าปในภาพรวมควรไดรบการอนมตจากคณะกรรมการทไดรบมอบหมาย

จดใหมการทดสอบแผนฉกเฉนดานเทคโนโลยสารสนเทศทงในระดบหนวยงานและระดบองคกร อยางนอยปละ 1 ครง โดยเฉพาะระบบงานหรอขอมลทมผลกระทบตอการใหบรการลกคาหรอ ตอ สง. ทงระบบ เชน ระบบเงนฝาก ระบบการโอนและช าระเงนระหวาง สง. เปนตน นอกจากนอาจพจารณาการทดสอบระบบส ารองในลกษณะเสมอนจรง (DR live test) เพอใหมนใจวาระบบส ารองสามารถรองรบใหธรกจสามารถด าเนนไดอยางตอเนอง

กรณระบบงานมการเชอมโยงเครอขายสอสารหรอใชบรการจากหนวยงานภายนอก สง. ควรม การทดสอบแผนฉกเฉนรวมกบหนวยงานภายนอกทเกยวของดวย เพอใหมนใจวาระบบเทคโนโลยสารสนเทศของ สง. มความพรอมใชงานรวมกบระบบเทคโนโลยสารสนเทศของหนวยงานภายนอก

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 35

มการรายงานผลการทดสอบตอคณะกรรมการของ สง. โดยมรายละเอยดอยางนอยครอบคลม วตถประสงค ขอบเขตการทดสอบ สถานการณจ าลอง ระยะเวลาทใชในการกคนระบบเทยบกบเปาหมายทก าหนด ขอผดพลาดและปญหาหรออปสรรคทพบ พรอมทงแนวทางปรบปรงแกไข

สง. ควรจดใหมการทบทวนและปรบปรงแผนฉกเฉนดานเทคโนโลยสารสนเทศอยางนอย ปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ เชน การเปลยนแปลงบคลากร ทมหนาทรบผดชอบในการด าเนนงานตามแผน การเปลยนสภาพแวดลอมของระบบเทคโนโลยสารสนเทศ เปนตน เพอใหแผนฉกเฉนดานเทคโนโลยสารสนเทศเปนปจจบน

สง. อาจจดใหมการสอบทานแผนฉกเฉนดานเทคโนโลยสารสนเทศโดยหนวยงานภายนอกหรอภายในทมความเปนอสระ เพอยนยนถงความเหมาะสมของขนตอนตาง ๆ ในการจดท าแผนใหสามารถใชงานไดจรง

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 36

2.10 การบรหารจดการผใหบรการภายนอก (Third Party Management)

วตถประสงค เพอให สง. มแนวทางการบรหารจดการผใหบรการภายนอก หรอพนธมตรทางธรกจทม การเชอมตอกบระบบเทคโนโลยสารสนเทศของ สง. หรอสามารถเขาถงขอมลส าคญหรอลกคาของ สง.

2.10.1 ก าหนดมาตรฐานและระเบยบวธปฏบตในการบรหารจดการผใหบรการภายนอก เพอควบคมใหมการรกษาความมนคงปลอดภยทรพยสนของ สง. โดยอยางนอยครอบคลม กอนใชบรการ สง. ด าเนนการระบและประเมนความเสยงทอาจเกดขนกบขอมลหรอระบบเทคโนโลย

สารสนเทศทผใหบรการภายนอกสามารถเขาถง โดยอยางนอยควรพจารณา ขอบเขต เหตผลและ ความจ าเปนในการเขาถงขอมลหรอระบบเทคโนโลยสารสนเทศ ขอจ ากดหรอขอตกลงในการเปลยนแปลงผใหบรการภายนอกหรอพนธมตรทางธรกจและการยกเลกหรอสนสดสญญา (exit strategy)

ขอก าหนดในการรกษาความมนคงปลอดภยของหนวยงานภายนอก รวมถง sub-contract ตองปฏบต โดยควรสอดคลองตามนโยบายการรกษาความมนคงปลอดภยท สง. ก าหนด

ขอตกลงการไมเปดเผยขอมล (non disclosure agreement) สญญาการใหบรการและเงอนไขระหวาง สง. และผใหบรการภายนอก สอดคลองตามนโยบาย

การรกษาความมนคงปลอดภยท สง. ก าหนด เชน การท าลายขอมลของ สง. หรอลกคาทงหมด เมอสนสดการใชบรการ ความรบผดชอบตอการรวไหลของขอมลอนเนองมาจากการน าขอมลไปใชนอกเหนอจากทระบไวในสญญาหรอขอตกลงในการใหบรการ เปนตน

มกระบวนการตดตาม ประเมน ทบทวน และรายงานผลการปฏบตงานของหนวยงานภายนอก 2.10.2 ในกรณท สง. ใชบรการเทคโนโลยสารสนเทศจากผใหบรการภายนอก (IT Outsourcing) ให สง. ปฏบต

ตามประกาศธนาคารแหงประเทศไทยวาดวยเรองการใชบรการจากผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ (IT outsourcing)

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 37

3. การบรหารจดการโครงการดานเทคโนโลยสารสนเทศ (IT Project Management) วตถประสงค เพอให สง. มการบรหารจดการความเสยงของการด าเนนโครงการดานเทคโนโลยสารสนเทศ อยางมประสทธภาพและไมกอใหเกดผลกระทบตอการด าเนนการตามแผนกลยทธทางธรกจ

3.1 ก าหนดกรอบการบรหารจดการโครงการ (project management framework) ทชดเจนเปนลายลกษณอกษร เพอเปนแนวทางด าเนนโครงการจดหาหรอพฒนาระบบเทคโนโลยสารสนเทศ โดยควรครอบคลมดงน 3.1.1 โครงสรางการควบคมและก ากบดแลโครงการ (project governance) ทชดเจน

เพอใหมการควบคมดแลโครงการใหส าเรจเปนไปตามแผนงานทก าหนด คณะกรรมการก ากบดแลโครงการ มบทบาทหนาทและความรบผดชอบในการก ากบดแล

ใหโครงการส าเรจเปนไปตามเปาหมายทก าหนด มการตดตามความคบหนา ปญหาและ อปสรรคของโครงการ เพอใหค าแนะน าและพจารณาตดสนใจการด าเนนงานทส าคญ โดยควรประกอบดวยผบรหารจากหนวยงานตาง ๆ ทเกยวของ และเจาของโครงการหรอผสนบสนนโครงการ (project owner/ project sponsor) มสวนรวมในการตดสนใจ รวมทงคณะกรรมการก ากบดแลโครงการควรมการประชมอยางสม าเสมอ เพอควบคมดแลโครงการทส าคญใหเปนไปตามแผนงานทก าหนด

หนวยงานหรอทมงานดแลภาพรวมโครงการ (project management office) มบทบาทหนาทและความรบผดชอบในการก าหนดรปแบบ กระบวนการและเครองมอ ทเปนมาตรฐานในการบรหารจดการและตดตามโครงการ รวมทงตดตาม รายงานภาพรวมโครงการส าคญของ สง. ใหกบคณะกรรมการของ สง. และผบรหารระดบสงทเกยวของไดรบทราบ เพอตดตามและสนบสนนใหบรหารจดการโครงการส าเรจลลวงสอดคลองกบเปาหมาย ในระดบกลยทธของ สง. ตามแผนงานทก าหนด

ผจดการโครงการ (project manager) มบทบาทหนาทและความรบผดชอบในการบรหารจดการโครงการ ครอบคลม ก าหนดแผนงานโครงการ วเคราะหผลกระทบ และจดใหมแนวทางรองรบหรอแผนส ารองกรณโครงการประสบปญหาหรอลาชา รวมทงรายงานใหคณะกรรมการก ากบดแลโครงการพจารณาตดสนใจแกไขปญหาไดทนการณ เพอใหโครงการสามารถสงมอบ ไดอยางถกตองครบถวนส าเรจตามแผนงานทก าหนด โดยผจดการโครงการ ตองมความรความสามารถและประสบการณในการบรหารโครงการทเพยงพอ

3.1.2 แนวทางการบรหารจดการโครงการ ควรก าหนดครอบคลมอยางนอย ดงน ระเบยบขนตอนการบรหารจดการโครงการ ครอบคลมตงแต กอนเรมโครงการ การด าเนนการ

และควบคมโครงการ การปดโครงการ และการสอบทานโครงการ ปจจยและเกณฑในการประเมนหรอจดระดบความส าคญของโครงการทชดเจน รวมถงขอบเขต

อ านาจหนาทในการอนมตและก ากบดแลโครงการตามระดบความส าคญของโครงการ รปแบบของเอกสารหรอผลลพธทเปนมาตรฐาน ทตองสงมอบในแตละขนตอนอยางชดเจน

เชน แผนการด าเนนโครงการ รายงานความคบหนา รายงานการปดโครงการ เปนตน

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 38

การเรมโครงการ 3.2 มการประเมนความจ าเปนและประโยชนทคาดวาจะไดรบ ประเมนความเสยงและผลกระทบทอาจเกดขนตอ

ฝายงานอนและระบบทเกยวของ รวมทงเลอกใชเทคโนโลยทเหมาะสม ทงนโครงการตองมเปาหมายทชดเจน (project objective) สอดคลองกบกลยทธขององคกรและค านงถงการรกษาความมนคงปลอดภย

3.3 มแผนการด าเนนโครงการ ทมรายละเอยดครบถวนเพยงพอตอการบรหารจดการโครงการ อยางนอยครอบคลม เปาหมายโครงการ ทรพยากร (resources) ทใช บทบาทหนาท ความรบผดชอบของทมงานในการด าเนนโครงการ โดยทมงานจะตองมประสทธภาพ

และมความรความเชยวชาญเพยงพอในการด าเนนโครงการ ขอบเขตและระยะเวลาของการด าเนนโครงการในแตละขนตอน ผลงานทจะสงมอบในแตละขนตอน ขอก าหนดเงอนไขทเกยวของกบโครงการ เชน ขอก าหนดของผวาจาง ภาระผกพน ขอจ ากด เปนตน

3.4 มการน าเสนอแผนการด าเนนโครงการ เพอขออนมตโครงการตอคณะกรรมการของ สง. คณะกรรมการ ทไดรบมอบหมาย หรอผบรหารระดบสง ตามขอบเขตในการอนมตทก าหนดไว การด าเนนการและควบคมโครงการ

3.5 มการบนทกและจดเกบขอมลโครงการของแตละโครงการอยางเพยงพอเพอใชตดตามดแลและสามารถตรวจสอบยอนหลงได

3.6 มการประเมนและตดตามการด าเนนโครงการอยางตอเนองและครอบคลมขอบเขต ระยะเวลา และทรพยากรทวางแผนไว ในกรณทมการเปลยนแปลงขอบเขต ระยะเวลาและหรอทรพยากร หรอยกเลกโครงการ ควรมการน าเสนอเพอขออนมตการเปลยนแปลงหรอยกเลกโครงการ

3.7 มการรายงานความคบหนา ปญหา อปสรรคและขอจ ากดในการด าเนนโครงการ ตอคณะกรรมการก ากบดแลโครงการหรอผบรหารทไดรบมอบหมายอยางเปนประจ า เพอสามารถใหค าแนะน าและแนวทางในการแกไขปญหาทจะลดความเสยงทอาจเกดขนอยางทนทวงท โดยโครงการทสงผลกระทบตอธรกจของ สง. อยางมนยส าคญ ควรน าเสนอแกคณะกรรมการของ สง. ดวย การปดโครงการ

3.8 มการสรปประโยชนทไดรบจากโครงการเทยบกบเปาหมายทก าหนด 3.9 มการรวบรวมปญหา อปสรรคจากการบรหารจดการโครงการ เพอน ามาเปนสงทไดเรยนร (lesson learned)

ใชส าหรบวเคราะห ปรบปรง และพฒนากระบวนการหรอเครองมอในการบรหารจดการโครงการตอไป ใหมประสทธภาพมากขน การสอบทานโครงการ

3.10 มการสอบทานโครงการทส าคญ โดยหนวยงานอสระ เพอใหมนใจไดวาโครงการสอดคลองกบเปาหมายของโครงการ นโยบาย มาตรฐาน ระเบยบและวธปฏบตของ สง. รวมทงกฎหมายและหลกเกณฑทเกยวของ

IT Risk Management Implementation Guideline ฝายตรวจสอบเทคโนโลยสารสนเทศ

Page 39

เอกสารอางอง Control Objectives for Information and related Technology 5 for Risk (COBIT 5 for risk)

การบรหารความเสยงดานเทคโนโลยสารสนเทศ

ISO27001:2013 Information technology - Security techniques – Information Security Management Systems – Requirement มาตรฐานดานการจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศ

ISO27005:2011 Information technology - Security techniques – Information Security Risk Management หลกการบรหารความเสยงดานเทคโนโลยสารสนเทศ

ISO31000:2009 Risk Management – Principles and Guideline มาตรฐานการบรหารความเสยง

ISO21500:2012 Guidance on Project Management การบรหารจดการโครงการ

มาตรฐานการตรวจสอบดานเทคโนโลยสารสนเทศของ Federal Financial Institution Examination Council (FFIEC) ซงเปนองคกรทก ากบดแล สง. ในสหรฐอเมรกา