法律人 LawPlayer logo

資料由法律人 LawPlayer整理提供·กฎหมายไทย / LawPlayer จากสำนักงานคณะกรรมการกฤษฎีกา

adminRule

ประกาศธนาคารแห่งประเทศไทย ที่ สรข. 4/2560 เรื่อง มาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ของคอมพิวเตอร์ลูกข่ายระบบบาทเนต

เลขที่
วันที่ประกาศ
จำนวนมาตรา
4
มาตรา อารัมภบท

ประกาศธนาคารแห่งประเทศไทย

ที่ สรข. 4 /2560

เรื่อง มาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

ของคอมพิวเตอร์ลูกข่ายระบบบาทเนต

อื่นๆ - 1. เหตุผลในการออกประกาศ

ธนาคารแห่งประเทศไทย (ธปท.) ตระหนักถึงความเสี่ยงด้านความปลอดภัย (Security Risk) ของข้อมูล ระบบ และเครือข่ายที่ใช้ในการให้บริการโอนเงินผ่านระบบบาทเนต ซึ่งเป็นระบบการชําระเงินที่มีความสําคัญของประเทศ และเห็นว่ามาตรฐาน ISO/EC 27001 เป็นมาตรฐานที่มุ่งเน้นด้านการรักษาและเสริมสร้างความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กรและใช้เป็นแนวทางกําหนดวิธีปฏิบัติในการตรวจสอบและรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ

ธปท. จึงออกประกาศฉบับนี้เพื่อให้คอมพิวเตอร์ลูกข่ายของระบบบาทเนตผ่านการรับรองตามมาตรฐาน ISO/EC 27001 ซึ่งจะเป็นการยกระดับความมั่นคงปลอดภัยคอมพิวเตอร์ลูกข่ายของระบบบาทเนต ให้มีความน่าเชื่อถือและสามารถให้บริการได้อย่างต่อเนื่องเป็นไปตามมาตรฐานสากล

อื่นๆ - 2. อํานาจตามกฎหมาย

เพื่ออนุวัติตามข้อ 15 แห่งระเบียบธนาคารแห่งประเทศไทย ว่าด้วยการบริการบาทเนต พ.ศ. 2549

อื่นๆ - 3. ขอบเขตการบังคับใช้

ประกาศฉบับนี้ใช้บังคับกับผู้ใช้บริการบาทเนตตามระเบียบธนาคารแห่งประเทศไทยว่าด้วยการบริการบาทเนต

อื่นๆ - 4. เนื้อหา

มาตรา ข้อ 1

ข้อ 1 ในประกาศฉบับนี้

"คอมพิวเตอร์ลูกข่าย" หมายถึง ระบบคอมพิวเตอร์ของผู้ใช้บริการบาทเนตสําหรับการปฏิบัติงานจริงและสําหรับเป็นชุดสํารองที่ใช้เชื่อมโยงกับระบบบาทเนตของ ธปท. ได้แก่ ระบบคอมพิวเตอร์สําหรับบริการด้านการเงินด้วยวิธีอิเล็กทรอนิกส์ (Electronic Financial Services) หรือระบบงานคอมพิวเตอร์อื่นที่เชื่อมโยงเพื่อการรับส่งข้อมูลโดยตรงกับระบบคอมพิวเตอร์แม่ข่ายของ ธปท. (Host to Host) ทั้งนี้ ไม่รวมถึงระบบคอมพิวเตอร์สําหรับการส่งข้อความผ่านสวิฟท์ (SWIFT)

"ผู้ตรวจสอบอิสระ" หมายถึง ผู้ตรวจสอบงานด้านเทคโนโลยีสารสนเทศ ซึ่งอาจเป็นผู้ตรวจสอบภายในที่มีความเป็นอิสระจากหน่วยงานที่ทําหน้าที่ปฏิบัติงานด้านเทคโนโลยีสารสนเทศและหน่วยงานที่ทําหน้าที่ด้านบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ หรือผู้ตรวจสอบภายนอกซึ่งสามารถดําเนินการตรวจประเมินระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ตามมาตรฐาน ISO/EC 27001 (Information Security Management) โดยผ่านการรับรองหรือได้รับใบประกาศนียบัตรด้านความมั่นคงปลอดภัยระดับสากล เช่น Certified Information System Auditor (CISA), Certified Information Security Manager (CISM), Certified Information Security Professional (CISSP)

"หน่วยงานรับรองระบบสารสนเทศ (Certification Body)" หมายถึง หน่วยงานที่ทําหน้าที่ตรวจรับรองระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001

"การตรวจประเมิน (Assessment)" หมายถึง การตรวจประเมินระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001 โดยผู้ตรวจสอบอิสระ

"การตรวจรับรอง (Certification)" หมายถึง การตรวจรับรองระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/EC 27001 โดยหน่วยงานรับรองระบบสารสนเทศ

มาตรา ข้อ 2

ข้อ 2 ผู้ใช้บริการบาทเนตต้องดําเนินการให้คอมพิวเตอร์ลูกข่ายของตนผ่านการตรวจรับรองตามแนวทางใดแนวทางหนึ่ง ดังนี้

(1) ผ่านการตรวจรับรองภายในปี 2560 หรือ

(2) ผ่านการตรวจประเมินภายในปี 2560 และผ่านการตรวจรับรองภายในปี 2561

กรณีสถาบันที่เข้าเป็นผู้ใช้บริการบาทเนตภายหลังจากวันที่ประกาศนี้ใช้บังคับ ให้สถาบันนั้นดําเนินการให้คอมพิวเตอร์ลูกข่ายผ่านการตรวจประเมินภายใน 180 วันนับจากวันที่เป็นผู้ใช้บริการบาทเนตและต้องผ่านการตรวจรับรองภายใน 1 ปีนับจากวันที่ผ่านการตรวจประเมิน

ทั้งนี้ เมื่อผู้ใช้บริการบาทเนตได้ดําเนินการตามวรรคหนึ่ง หรือวรรคสองแล้วแต่กรณีแล้วให้จัดส่งเอกสารการตรวจประเมิน หรือการตรวจรับรองที่ได้รับจากการดําเนินการข้างต้น มาที่ ธปท. โดยเร็ว

มาตรา ข้อ 3

ข้อ 3 ผู้ใช้บริการบาทเนตต้องรักษาสถานภาพการตรวจรับรองระบบบริหารจัตการความมั่นคงปลอดภัยสารสนทศตามมาตรฐาน ISO/EC 27001 ของคอมพิวเตอร์ลูกข่ายของตน โดยหน่วยงานรับรองระบบสารสนเทศตามข้อ 2 อย่างต่อเนื่อง

ทั้งนี้ ให้จัดส่งเอกสารการตรวจรับรองตามวรรคหนึ่ง มาที่ ธปท. โดยเร็ว

มาตรา ข้อ 4

ข้อ 4 กรณีผู้ใช้บริการบาทเนตไม่สามารถดําเนินการตามที่กําหนดในข้อ 2 หรือข้อ 3 ข้างต้นได้ ให้ส่งหนังสือขอผ่อนผันพร้อมชี้แจงเหตุผลและความจําเป็น แนวทางแก้ไข และกําหนดเวลาที่จะดําเนินการให้แล้วเสร็จให้ ธปท. ทราบโดยเร็ว โดย ธปท. อาจพิจารณาขยายระยะเวลาให้หรือไม่ก็ได้ตามที่เห็นสมควร

อื่นๆ - 5.วันเริ่มต้นบังคับใช้

ประกาศนี้ให้ใช้บังคับตั้งแต่วันที่ประกาศเป็นต้นไป

ผู้มีอํานาจลงนาม - ประกาศ ณ วันที่ 23 พฤษภาคม 2560

(นายวิรไท สันติประภพ)

ผู้ว่าการ

ธนาคารแห่งประเทศไทย

4 มาตรา

อ้างอิงกฎหมายนี้

ประกาศธนาคารแห่งประเทศไทย ที่ สรข. 4/2560 เรื่อง มาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ของคอมพิวเตอร์ลูกข่ายระบบบาทเนต (Office of the Council of State). Retrieved via LawPlayer, https://lawplayer.com/th/act/pythainlp_2e59d1a6eb28de5b

ที่มา: ระบบกลางกฎหมาย law.go.th (สำนักงานคณะกรรมการกฤษฎีกา).

Thai official texts excluded from copyright (Copyright Act B.E. 2537 s.7);開放資料層 CC BY 署名

本頁資料來源:สำนักงานคณะกรรมการกฤษฎีกา (OCS)·整理提供:法律人 LawPlayer· lawplayer.com