法律人 LawPlayer logo

資料由法律人 LawPlayer整理提供·กฎหมายไทย / LawPlayer จากสำนักงานคณะกรรมการกฤษฎีกา

adminRule

ประกาศธนาคารแห่งประเทศไทย ที่ สรข. 5/2560 เรื่อง มาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของคอมพิวเตอร์ลูกข่ายระบบการหักบัญชีเช็คด้วยภาพเช็คและระบบการจัดเก็บภาพเช็ค

เลขที่
วันที่ประกาศ
จำนวนมาตรา
4
มาตรา อารัมภบท

ประกาศธนาคารแห่งประเทศไทย

ที่ สรข. 5 /2560

เรื่อง มาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

ของคอมพิวเตอร์ลูกข่ายระบบการหักบัญชีเช็คด้วยภาพเช็คและระบบการจัดเก็บภาพเช็ค

อื่นๆ - 1. เหตุผลในการออกประกาศ

ธนาคารแห่งประเทศไทย (ธปท.) ตระหนักถึงความเสี่ยงด้านความปลอดภัย (Security Risk) ของข้อมูล ระบบ และเครือข่ายที่ใช้ในระบบการหักบัญชีเช็คด้วยภาพเช็คและระบบการจัดเก็บภาพเช็ค(Imaged Cheque Clearing and Archive System: ICAS) ซึ่งเป็นระบบการชําระเงินที่มีความสําคัญของประเทศ และเห็นว่ามาตรฐาน ISO/EC 27001 เป็นมาตรฐานที่มุ่งเน้นด้านการรักษาและเสริมสร้างความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กรและใช้เป็นแนวทางกําหนดวิธีปฏิบัติในการตรวจสอบและรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ

ธปท. จึงออกประกาศฉบับนี้เพื่อให้คอมพิวเตอร์ลูกข่ายของระบบ ICAS ผ่านการรับรองตามมาตรฐาน ISO/EC 27001 ซึ่งจะเป็นการยกระดับความมั่นคงปลอดภัยคอมพิวเตอร์ลูกข่ายของระบบ ICAS ให้มีความน่าเชื่อถือและสามารถให้บริการได้อย่างต่อเนื่องเป็นไปตามมาตรฐานสากล

อื่นๆ - 2. อํานาจตามกฎหมาย

เพื่ออนุวัติตามข้อ 5 แห่งระเบียบธนาคารแห่งประเทศไทย ที่ สรข. 1/2554 ว่าด้วยระบบการหักบัญชีเช็คด้วยภาพเช็คและระบบการจัดการภาพเช็ค

อื่นๆ - 3. ขอบเขตการบังคับใช้

ประกาศฉบับนี้ใช้บังคับกับธนาคารสมาชิกตามระเบียบธนาคารแห่งประเทศไทยว่าด้วยระบบการหักบัญชีเช็คด้วยภาพเช็คและระบบการจัดเก็บภาพเช็ค

อื่นๆ - 4. เนื้อหา

มาตรา ข้อ 1

ข้อ 1 ในประกาศฉบับนี้

"คอมพิวเตอร์ลูกข่าย" หมายถึง ระบบคอมพิวเตอร์พร้อมติดตั้งอุปกรณ์และโปรแกรมเพื่อใช้งานระบบ ICAS และบริการด้านการเงินด้วยวิธีอิเล็กทรอนิกส์ของธนาคารสมาชิกสําหรับการปฏิบัติงานจริงและสําหรับเป็นชุดสํารองที่ใช้เชื่อมโยงกับระบบ CAS ของ ธปท. ซึ่งประกอบด้วยเครื่องรับส่งข้อมูลและภาพเช็ค (Imaged Cheque Member Gateway: ICMG) และเครื่องเพื่อการใช้งานระบบ ICAS ผ่านบริการด้านการเงินด้วยวิธีอิเล็กทรอนิกส์ (Electronic Financial Services)

"ผู้ตรวจสอบอิสระ" หมายถึง ผู้ตรวจสอบงานด้านเทคโนโลยีสารสนเทศ ซึ่งอาจเป็นผู้ตรวจสอบภายในที่มีความเป็นอิสระจากหน่วยงานที่ทําหน้าที่ปฏิบัติงานต้านเทคโนโลยีสารสนเทศและหน่วยงานที่ทําหน้าที่ด้านบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ หรือผู้ตรวจสอบภายนอกซึ่งสามารถดําเนินการตรวจประเมินระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ตามมาตรฐาน SONEC 27001 (Information Security Management) โดยผ่านการรับรองหรือได้รับใบประกาศนียบัตรด้านความมั่นคงปลอดภัยระดับสากล เช่น Certified Information System Auditor (CISA), Certified Information Security Manager (CISM), Certified Information Security Professional (CISSP)

"หน่วยงานรับรองระบบสารสนเทศ (Cortication Body)" หมายถึง หน่วยงานที่ทําหน้าที่ตรวจรับรองระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/EC 27001

"การตรวจประเมิน (Assessment)" หมายถึง การตรวจประเมินระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/EC 27001 โดยผู้ตรวจสอบอิสระ

"การตรวจรับรอง (Certification)" หมายถึง การตรวจรับรองระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/EC 27001 โดยหน่วยงานรับรองระบบสารสนเทศ

มาตรา ข้อ 2

ข้อ 2 ธนาคารสมาชิกต้องดําเนินการให้คอมพิวเตอร์ลูกข่ายของตนผ่านการตรวจรับรองตามแนวทางใดแนวทางหนึ่ง ดังนี้

(1) ผ่านการตรวจรับรองภายในปี 2560 หรือ

(2) ผ่านการตรวจประเมินภายในปี 2560 และผ่านการตรวจรับรองภายในปี 2561

กรณีธนาคารที่เข้าเป็นสมาชิกของระบบ ICAS ภายหลังจากวันที่ประกาศนี้ใช้บังคับให้ธนาคารนั้นดําเนินการให้คอมพิวเตอร์ลูกข่ายผ่านการตรวจประเมินภายใน 180 วันนับจากวันที่เป็นธนาคารสมาชิก และต้องผ่านการตรวจรับรองภายใน 1 ปีนับจากวันที่ผ่านการตรวจประเมินทั้งนี้ เมื่อธนาคารสมาชิกได้ดําเนินการตามวรรคหนึ่ง หรือวรรคสองแล้วแต่กรณีแล้วให้จัดส่งเอกสารการตรวจประเมิน หรือการตรวจรับรองที่ได้รับจากการดําเนินการข้างต้น มาที่ ธปท.โดยเร็ว

มาตรา ข้อ 3

ข้อ 3 ธนาคารสมาชิกต้องรักษาสถานภาพการตรวจรับรองระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/EC 27001 ของคอมพิวเตอร์ลูกข่ายของตน โดยหน่วยงานรับรองระบบสารสนเทศ ตามข้อ 2 ข้างต้นอย่างต่อเนื่อง

ทั้งนี้ ให้จัดส่งเอกสารการตรวจรับรองตามวรรคหนึ่ง มาที่ ธปท. โดยเร็ว

มาตรา ข้อ 4

ข้อ 4 กรณีธนาคารสมาชิกไม่สามารถดําเนินการตามที่กําหนดในข้อ 2 หรือข้อ 3 ข้างต้นได้ ให้ส่งหนังสือขอผ่อนผันพร้อมชี้แจงเหตุผลและความจําเป็น แนวทางแก้ไข และกําหนดเวลาที่จะดําเนินการให้แล้วเสร็จให้ ชปท. ทราบโดยเร็ว โดย ธปท. อาจพิจารณาขยายเวลาให้หรือไม่ก็ได้ตามที่เห็นสมควร

อื่นๆ - 5.วันเริ่มต้นบังคับใช้

ประกาศนี้ให้ใช้บังคับตั้งแต่วันที่ประกาศเป็นต้นไป

ผู้มีอํานาจลงนาม - ประกาศ ณ วันที่ 23 พฤษภาคม 2560

(นายวิรไท สันติประภพ)

ผู้ว่าการ

ธนาคารแห่งประเทศไทย

4 มาตรา

อ้างอิงกฎหมายนี้

ประกาศธนาคารแห่งประเทศไทย ที่ สรข. 5/2560 เรื่อง มาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของคอมพิวเตอร์ลูกข่ายระบบการหักบัญชีเช็คด้วยภาพเช็คและระบบการจัดเก็บภาพเช็ค (Office of the Council of State). Retrieved via LawPlayer, https://lawplayer.com/th/act/pythainlp_57492a73f302903b

ที่มา: ระบบกลางกฎหมาย law.go.th (สำนักงานคณะกรรมการกฤษฎีกา).

Thai official texts excluded from copyright (Copyright Act B.E. 2537 s.7);開放資料層 CC BY 署名

本頁資料來源:สำนักงานคณะกรรมการกฤษฎีกา (OCS)·整理提供:法律人 LawPlayer· lawplayer.com