法律人 LawPlayer logo

資料由法律人 LawPlayer整理提供·กฎหมายไทย / LawPlayer จากสำนักงานคณะกรรมการกฤษฎีกา

adminRule

ประกาศธนาคารแห่งประเทศไทย ที่ สนช. 11/2561 เรื่อง นโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ

เลขที่
วันที่ประกาศ
จำนวนมาตรา
1
มาตรา ทั้งฉบับ

ประกาศธนาคารแห่งประเทศไทย

ที่ สนช. 11/2561

เรื่อง นโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ

อื่นๆ - 1. เหตุผลในการออกประกาศ

เพื่อให้มีมาตรฐานในการกําหนดนโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ สําหรับการให้บริการระบบการชําระเงินที่มีความสําคัญ ระบบการชําระเงินภายใต้การกํากับ และบริการการชําระเงินภายใต้การกํากับ ตามกฎหมายว่าด้วยระบบการชําระเงิน และเพื่อใช้เป็นแนวทางกําหนดวิธีปฏิบัติในการตรวจสอบและรักษาความมั่นคงปลอดภัยของระบบสารสนเทศที่เกี่ยวข้องกับระบบการชําระเงินที่มีความสําคัญ ระบบการชําระเงินภายใต้การกํากับ และบริการการชําระเงินภายใต้การกํากับ ให้มีความน่าเชื่อถือ มีความมั่นคงปลอดภัย และสามารถให้บริการได้อย่างต่อเนื่อง

ธนาคารแห่งประเทศไทยได้กําหนดกรอบนโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ ประกอบด้วย 1) การควบคุมการเข้าถึง และการพิสูจน์ตัวตนผู้ใช้2) การรักษาความลับของข้อมูล และความถูกต้องเชื่อถือได้ของระบบสารสนเทศ 3) การรักษาสภาพความพร้อมใช้งานของการให้บริการ 4) การตรวจสอบความมั่นคงปลอดภัยทางระบบสารสนเทศเพื่อใช้เป็นแนวทางในการกําหนดมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศที่เกี่ยวข้องกับระบบการชําระเงินที่มีความสําคัญ ระบบการชําระเงินภายใต้การกํากับ และบริการการชําระเงินภายใต้การกํากับ เพื่อให้ครอบคลุมและป้องกันความเสี่ยงทางระบบสารสนเทศได้อย่างมีประสิทธิภาพตามแนวทางที่เป็นมาตรฐานสากล นอกจากนี้ ผู้ให้บริการระบบการชําระเงินที่มีความสําคัญ และผู้ประกอบธุรกิจระบบการชําระเงินและบริการการชําระเงินภายใต้การกํากับต้องพิจารณาปรับใช้และกําหนดรายละเอียดของมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศของผู้ให้บริการหรือผู้ประกอบธุรกิจให้เหมาะสมกับประเภทและความชับซ้อนของบริการตนเองด้วย

อื่นๆ - 2. อํานาจตามกฎหมาย

อาศัยอํานาจตามความในมาตรา 7 และมาตรา 24 แห่งพระราชบัญญัติว่าด้วยระบบการชําระเงิน พ.ศ. 2560 ธนาคารแห่งประเทศไทยกําหนดนโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศให้ผู้ให้บริการระบบการชําระเงินที่มีความสําคัญ ผู้ประกอบธุรกิจระบบการชําระเงินภายใต้การกํากับ และผู้ประกอบธุรกิจบริการการชําระเงินภายใต้การกํากับ ตามความในประกาศฉบับนี้

อื่นๆ - 3. ขอบเขตการบังคับใช้

ประกาศฉบับนี้ให้ใช้บังคับกับผู้ให้บริการระบบการชําระเงินที่มีความสําคัญผู้ประกอบธุรกิจระบบการชําระเงินภายใต้การกํากับ และผู้ประกอบธุรกิจบริการการชําระเงินภายใต้การกํากับตามกฎหมายว่าด้วยระบบการชําระเงิน

อื่นๆ - 4. เนื้อหา

4.1 นิยาม

ในประกาศฉบับนี้

"ผู้ให้บริการ" หมายความว่า ผู้ให้บริการระบบการชําระเงินที่มีความสําคัญตามกฎหมายว่าด้วยระบบการชําระเงิน

"ผู้ประกอบธุรกิจ " หมายความว่า ผู้ประกอบธุรกิจระบบการชําระเงินภายใต้การกํากับ และผู้ประกอบธุรกิจบริการการชําระเงินภายใต้การกํากับ ตามกฎหมายว่าด้วยระบบการชําระเงิน

"สมาชิก" หมายความว่า ผู้ใช้บริการที่ยินยอมผูกพันตามหลักเกณฑ์ในการใช้บริการระบบการชําระเงินที่มีความสําคัญ

"ผู้ใช้บริการ" หมายความว่า ผู้ใช้บริการจากผู้ประกอบธุรกิจที่ได้รับอนุญาตหรือขึ้นทะเบียนตามกฎหมายว่าด้วยระบบการชําระเงิน

4.2 นโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ

ผู้ให้บริการระบบการชําระเงินที่มีความสําคัญ ผู้ประกอบธุรกิจระบบการชําระเงินภายใต้การกํากับ และผู้ประกอบธุรกิจบริการการชําระเงินภายใต้การกํากับ ต้องถือปฏิบัติตามนโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ ดังนี้

4.2.1 นโยบายการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ

(1) ผู้ให้บริการหรือผู้ประกอบธุรกิจจะต้องจัดทํานโยบายการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศเป็นลายลักษณ์อักษร โดยได้รับการพิจารณาอนุมัติจากคณะกรรมการบริษัท ทั้งนี้ ผู้ให้บริการหรือผู้ประกอบธุรกิจจะต้องเผยแพร่นโยบายดังกล่าว และอบรมให้แก่บุคลากรที่เกี่ยวข้องเพื่อถือปฏิบัติ รวมทั้งจัดให้มีการทบทวนหรือปรับปรุงนโยบายให้เหมาะสมกับสถานการณ์อย่างสม่ําเสมอ

(2) นโยบายการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศที่เกี่ยวข้องกับระบบการชําระเงินที่มีความสําคัญ การให้บริการระบบการชําระเงินภายใต้การกํากับ และการให้บริการการชําระเงินภายใต้การกํากับ แล้วแต่กรณี อย่างน้อยต้องครอบคลุมในเรื่องดังต่อไปนี้

(2.1) การควบคุมการเข้าถึง และการพิสูจน์ตัวตนผู้ใช้

(2.2) การรักษาความลับของข้อมูล และความถูกต้องเชื่อถือได้ของระบบสารสนเทศ

(2.3) การรักษาสภาพความพร้อมใช้งานของการให้บริการ

(2.4) การตรวจสอบความมั่นคงปลอดภัยทางระบบสารสนเทศ

4.2.2 มาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ

ผู้ให้บริการหรือผู้ประกอบธุรกิจต้องจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศที่เกี่ยวข้องกับระบบการชําระเงินที่มีความสําคัญ ระบบการชําระเงินภายใต้การกํากับ และบริการการชําระเงินภายใต้การกํากับ แล้วแต่กรณี ให้สอดคล้องกับนโยบายที่ได้กําหนดขึ้น และมาตรการดังกล่าวจะต้องเหมาะสมกับลักษณะของการให้บริการ โดยครอบคลุมถึงการควบคุมการเข้าถึงและการพิสูจน์ตัวตนผู้ใช้ การรักษาความลับของข้อมูล การรักษาความถูกต้องเชื่อถือได้ของระบบสารสนเทศ การรักษาสภาพความพร้อมใช้งานของการให้บริการ มีการแก้ไขปัญหาและการรายงาน รวมถึงจัดให้มีการตรวจสอบความมั่นคงปลอดภัยทางระบบสารสนเทศอย่างสม่ําเสมออย่างน้อยปีละ 1 ครั้ง ตลอดจนจัดให้มีกระบวนการดูแลโดยคณะกรรมการบริษัทหรือผู้บริหารระดับสูงเพื่อให้มีการปฏิบัติตามมาตรการที่กําหนด ทั้งนี้ การตรวจสอบความมั่นคงปลอดภัยทางระบบสารสนเทศของผู้ให้บริการระบบการชําระเงินที่มีความสําคัญ ผู้ประกอบธุรกิจระบบการชําระเงินภายใต้การกํากับและผู้ประกอบธุรกิจบริการการชําระเงินภายใต้การกํากับ ให้ปฏิบัติตามประกาศธนาคารแห่งประเทศไทยที่เกี่ยวข้องกับหลักเกณฑ์การกํากับดูแลด้วย

นอกจากนี้ ผู้ให้บริการหรือผู้ประกอบธุรกิจต้องดําเนินการทบทวนหรือปรับปรุงมาตรการตามระยะเวลาที่กําหนดหรือเมื่อมีการเปลี่ยนแปลงที่ส่งผลกระทบกับนโยบายและมาตรการที่ได้กําหนดไว้ ตลอดจนจัดอบรมและให้ความรู้แก่บุคลากรที่เกี่ยวข้อง

ทั้งนี้ ธปท. ได้จัดทําแนวปฏิบัติการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศเพื่อเป็นแนวทางในการกําหนดมาตรการการรักษาความมั่นคงบ่ลอดภัยทางระบบสารสนเทศให้น่าเชื่อถือและให้เป็นที่ยอมรับของผู้ใช้บริการ โดยการกําหนดมาตรการการรักษาความมั่นคงปลอดภัยของผู้ให้บริการหรือผู้ประกอบธุรกิจแต่ละรายอาจแตกต่างกันได้ เพื่อให้ครอบคลุมและป้องกันความเสี่ยงทางระบบสารสนเทศได้อย่างมีประสิทธิภาพตามแนวทางที่เป็นมาตรฐานสากล

อื่นๆ - 5. บทเฉพาะกาล

ผู้ซึ่งให้บริการระบบการชําระเงินที่มีความสําคัญ หรือผู้ซึ่งประกอบกิจการระบบการชําระเงินภายใต้การกํากับ หรือผู้ซึ่งประกอบกิจการบริการการชําระเงินภายใต้การกํากับ อยู่ก่อนวันที่ประกาศนี้มีผลใช้บังคับ หากไม่สามารถเสนอนโยบายการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศให้คณะกรรมการบริษัทพิจารณาอนุมัติ ตามข้อ 4.2.1 (1) ให้ได้รับการยกเว้นการปฏิบัติตามหลักเกณฑ์ดังกล่าว แต่ทั้งนี้ ต้องเนินการให้เป็นไปตามหลักเกณฑ์ดังกล่าวภายใน 90 วันนับแต่วันที่ได้รับอนุญาตหรือขึ้นทะเบียน แล้วแต่กรณี

อื่นๆ - 6. วันเริ่มต้นบังคับใช้

ประกาศนี้ให้ใช้บังคับตั้งแต่วันที่ 16 เมษายน 2561 เป็นต้นไป

ผู้มีอํานาจลงนาม - ประกาศ ณ วันที่ 16 เมษายน 2561

(นางฤชุกร สิริโยธิน)

รองผู้ว่าการ ด้านเสถียรภาพสถาบันการเงิน

ผู้ว่าการแทน

ธนาคารแห่งประเทศไทย

1 มาตรา

อ้างอิงกฎหมายนี้

ประกาศธนาคารแห่งประเทศไทย ที่ สนช. 11/2561 เรื่อง นโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ (Office of the Council of State). Retrieved via LawPlayer, https://lawplayer.com/th/act/pythainlp_285772c5dd52ff32

ที่มา: ระบบกลางกฎหมาย law.go.th (สำนักงานคณะกรรมการกฤษฎีกา).

Thai official texts excluded from copyright (Copyright Act B.E. 2537 s.7);開放資料層 CC BY 署名

本頁資料來源:สำนักงานคณะกรรมการกฤษฎีกา (OCS)·整理提供:法律人 LawPlayer· lawplayer.com