ประกาศธนาคารแห่งประเทศไทย
ที่ สนช. 11/2561
เรื่อง นโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ
อื่นๆ - 1. เหตุผลในการออกประกาศ
เพื่อให้มีมาตรฐานในการกําหนดนโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ สําหรับการให้บริการระบบการชําระเงินที่มีความสําคัญ ระบบการชําระเงินภายใต้การกํากับ และบริการการชําระเงินภายใต้การกํากับ ตามกฎหมายว่าด้วยระบบการชําระเงิน และเพื่อใช้เป็นแนวทางกําหนดวิธีปฏิบัติในการตรวจสอบและรักษาความมั่นคงปลอดภัยของระบบสารสนเทศที่เกี่ยวข้องกับระบบการชําระเงินที่มีความสําคัญ ระบบการชําระเงินภายใต้การกํากับ และบริการการชําระเงินภายใต้การกํากับ ให้มีความน่าเชื่อถือ มีความมั่นคงปลอดภัย และสามารถให้บริการได้อย่างต่อเนื่อง
ธนาคารแห่งประเทศไทยได้กําหนดกรอบนโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ ประกอบด้วย 1) การควบคุมการเข้าถึง และการพิสูจน์ตัวตนผู้ใช้2) การรักษาความลับของข้อมูล และความถูกต้องเชื่อถือได้ของระบบสารสนเทศ 3) การรักษาสภาพความพร้อมใช้งานของการให้บริการ 4) การตรวจสอบความมั่นคงปลอดภัยทางระบบสารสนเทศเพื่อใช้เป็นแนวทางในการกําหนดมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศที่เกี่ยวข้องกับระบบการชําระเงินที่มีความสําคัญ ระบบการชําระเงินภายใต้การกํากับ และบริการการชําระเงินภายใต้การกํากับ เพื่อให้ครอบคลุมและป้องกันความเสี่ยงทางระบบสารสนเทศได้อย่างมีประสิทธิภาพตามแนวทางที่เป็นมาตรฐานสากล นอกจากนี้ ผู้ให้บริการระบบการชําระเงินที่มีความสําคัญ และผู้ประกอบธุรกิจระบบการชําระเงินและบริการการชําระเงินภายใต้การกํากับต้องพิจารณาปรับใช้และกําหนดรายละเอียดของมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศของผู้ให้บริการหรือผู้ประกอบธุรกิจให้เหมาะสมกับประเภทและความชับซ้อนของบริการตนเองด้วย
อื่นๆ - 2. อํานาจตามกฎหมาย
อาศัยอํานาจตามความในมาตรา 7 และมาตรา 24 แห่งพระราชบัญญัติว่าด้วยระบบการชําระเงิน พ.ศ. 2560 ธนาคารแห่งประเทศไทยกําหนดนโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศให้ผู้ให้บริการระบบการชําระเงินที่มีความสําคัญ ผู้ประกอบธุรกิจระบบการชําระเงินภายใต้การกํากับ และผู้ประกอบธุรกิจบริการการชําระเงินภายใต้การกํากับ ตามความในประกาศฉบับนี้
อื่นๆ - 3. ขอบเขตการบังคับใช้
ประกาศฉบับนี้ให้ใช้บังคับกับผู้ให้บริการระบบการชําระเงินที่มีความสําคัญผู้ประกอบธุรกิจระบบการชําระเงินภายใต้การกํากับ และผู้ประกอบธุรกิจบริการการชําระเงินภายใต้การกํากับตามกฎหมายว่าด้วยระบบการชําระเงิน
อื่นๆ - 4. เนื้อหา
4.1 นิยาม
ในประกาศฉบับนี้
"ผู้ให้บริการ" หมายความว่า ผู้ให้บริการระบบการชําระเงินที่มีความสําคัญตามกฎหมายว่าด้วยระบบการชําระเงิน
"ผู้ประกอบธุรกิจ " หมายความว่า ผู้ประกอบธุรกิจระบบการชําระเงินภายใต้การกํากับ และผู้ประกอบธุรกิจบริการการชําระเงินภายใต้การกํากับ ตามกฎหมายว่าด้วยระบบการชําระเงิน
"สมาชิก" หมายความว่า ผู้ใช้บริการที่ยินยอมผูกพันตามหลักเกณฑ์ในการใช้บริการระบบการชําระเงินที่มีความสําคัญ
"ผู้ใช้บริการ" หมายความว่า ผู้ใช้บริการจากผู้ประกอบธุรกิจที่ได้รับอนุญาตหรือขึ้นทะเบียนตามกฎหมายว่าด้วยระบบการชําระเงิน
4.2 นโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ
ผู้ให้บริการระบบการชําระเงินที่มีความสําคัญ ผู้ประกอบธุรกิจระบบการชําระเงินภายใต้การกํากับ และผู้ประกอบธุรกิจบริการการชําระเงินภายใต้การกํากับ ต้องถือปฏิบัติตามนโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ ดังนี้
4.2.1 นโยบายการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ
(1) ผู้ให้บริการหรือผู้ประกอบธุรกิจจะต้องจัดทํานโยบายการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศเป็นลายลักษณ์อักษร โดยได้รับการพิจารณาอนุมัติจากคณะกรรมการบริษัท ทั้งนี้ ผู้ให้บริการหรือผู้ประกอบธุรกิจจะต้องเผยแพร่นโยบายดังกล่าว และอบรมให้แก่บุคลากรที่เกี่ยวข้องเพื่อถือปฏิบัติ รวมทั้งจัดให้มีการทบทวนหรือปรับปรุงนโยบายให้เหมาะสมกับสถานการณ์อย่างสม่ําเสมอ
(2) นโยบายการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศที่เกี่ยวข้องกับระบบการชําระเงินที่มีความสําคัญ การให้บริการระบบการชําระเงินภายใต้การกํากับ และการให้บริการการชําระเงินภายใต้การกํากับ แล้วแต่กรณี อย่างน้อยต้องครอบคลุมในเรื่องดังต่อไปนี้
(2.1) การควบคุมการเข้าถึง และการพิสูจน์ตัวตนผู้ใช้
(2.2) การรักษาความลับของข้อมูล และความถูกต้องเชื่อถือได้ของระบบสารสนเทศ
(2.3) การรักษาสภาพความพร้อมใช้งานของการให้บริการ
(2.4) การตรวจสอบความมั่นคงปลอดภัยทางระบบสารสนเทศ
4.2.2 มาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ
ผู้ให้บริการหรือผู้ประกอบธุรกิจต้องจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศที่เกี่ยวข้องกับระบบการชําระเงินที่มีความสําคัญ ระบบการชําระเงินภายใต้การกํากับ และบริการการชําระเงินภายใต้การกํากับ แล้วแต่กรณี ให้สอดคล้องกับนโยบายที่ได้กําหนดขึ้น และมาตรการดังกล่าวจะต้องเหมาะสมกับลักษณะของการให้บริการ โดยครอบคลุมถึงการควบคุมการเข้าถึงและการพิสูจน์ตัวตนผู้ใช้ การรักษาความลับของข้อมูล การรักษาความถูกต้องเชื่อถือได้ของระบบสารสนเทศ การรักษาสภาพความพร้อมใช้งานของการให้บริการ มีการแก้ไขปัญหาและการรายงาน รวมถึงจัดให้มีการตรวจสอบความมั่นคงปลอดภัยทางระบบสารสนเทศอย่างสม่ําเสมออย่างน้อยปีละ 1 ครั้ง ตลอดจนจัดให้มีกระบวนการดูแลโดยคณะกรรมการบริษัทหรือผู้บริหารระดับสูงเพื่อให้มีการปฏิบัติตามมาตรการที่กําหนด ทั้งนี้ การตรวจสอบความมั่นคงปลอดภัยทางระบบสารสนเทศของผู้ให้บริการระบบการชําระเงินที่มีความสําคัญ ผู้ประกอบธุรกิจระบบการชําระเงินภายใต้การกํากับและผู้ประกอบธุรกิจบริการการชําระเงินภายใต้การกํากับ ให้ปฏิบัติตามประกาศธนาคารแห่งประเทศไทยที่เกี่ยวข้องกับหลักเกณฑ์การกํากับดูแลด้วย
นอกจากนี้ ผู้ให้บริการหรือผู้ประกอบธุรกิจต้องดําเนินการทบทวนหรือปรับปรุงมาตรการตามระยะเวลาที่กําหนดหรือเมื่อมีการเปลี่ยนแปลงที่ส่งผลกระทบกับนโยบายและมาตรการที่ได้กําหนดไว้ ตลอดจนจัดอบรมและให้ความรู้แก่บุคลากรที่เกี่ยวข้อง
ทั้งนี้ ธปท. ได้จัดทําแนวปฏิบัติการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศเพื่อเป็นแนวทางในการกําหนดมาตรการการรักษาความมั่นคงบ่ลอดภัยทางระบบสารสนเทศให้น่าเชื่อถือและให้เป็นที่ยอมรับของผู้ใช้บริการ โดยการกําหนดมาตรการการรักษาความมั่นคงปลอดภัยของผู้ให้บริการหรือผู้ประกอบธุรกิจแต่ละรายอาจแตกต่างกันได้ เพื่อให้ครอบคลุมและป้องกันความเสี่ยงทางระบบสารสนเทศได้อย่างมีประสิทธิภาพตามแนวทางที่เป็นมาตรฐานสากล
อื่นๆ - 5. บทเฉพาะกาล
ผู้ซึ่งให้บริการระบบการชําระเงินที่มีความสําคัญ หรือผู้ซึ่งประกอบกิจการระบบการชําระเงินภายใต้การกํากับ หรือผู้ซึ่งประกอบกิจการบริการการชําระเงินภายใต้การกํากับ อยู่ก่อนวันที่ประกาศนี้มีผลใช้บังคับ หากไม่สามารถเสนอนโยบายการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศให้คณะกรรมการบริษัทพิจารณาอนุมัติ ตามข้อ 4.2.1 (1) ให้ได้รับการยกเว้นการปฏิบัติตามหลักเกณฑ์ดังกล่าว แต่ทั้งนี้ ต้องเนินการให้เป็นไปตามหลักเกณฑ์ดังกล่าวภายใน 90 วันนับแต่วันที่ได้รับอนุญาตหรือขึ้นทะเบียน แล้วแต่กรณี
อื่นๆ - 6. วันเริ่มต้นบังคับใช้
ประกาศนี้ให้ใช้บังคับตั้งแต่วันที่ 16 เมษายน 2561 เป็นต้นไป
ผู้มีอํานาจลงนาม - ประกาศ ณ วันที่ 16 เมษายน 2561
(นางฤชุกร สิริโยธิน)
รองผู้ว่าการ ด้านเสถียรภาพสถาบันการเงิน
ผู้ว่าการแทน
ธนาคารแห่งประเทศไทย