ประกาศธนาคารแห่งประเทศไทย
ที่ สรข. 3 /2552
เรื่อง นโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ
ในการประกอบธุรกิจของผู้ให้บริการการชําระเงินทางอิเล็กทรอนิกส์
อื่นๆ - 1. เหตุผลในการออกประกาศ
เพื่อให้มีมาตรฐานในการกําหนดนโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศในการประกอบธุรกิจของผู้ให้บริการการชําระเงินทางอิเล็กทรอนิกส์ และใช้เป็นแนวทางกําหนดวิรีปฏิบัติในการตรวจสอบและรักษาความมั่นคงปลอดภัยของระบบสารสนเทศที่เกี่ยวข้องกับการให้บริการการชําระเงินทางอิเล็กทรอนิกส์ให้มีความน่าเชื่อถือ มีความมั่นคงปลอดภัยและสามารถให้บริการ ได้อย่างต่อเนื่อง
อื่นๆ - 2. อํานาจตามกฎหมาย
อาศัยอํานาจตามความในมาตรา 4 และมาตรา 10 แห่งพระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2551 ธนาคารแห่งประเทศไทย (ธปท.) จึงได้กําหนดหลักเกณฑ์ วิธีการ และเงื่อนไขในการควบคุมดูแลธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์
อื่นๆ - 3. ขอบเขตการบังคับใช้
ประกาศฉบับนี้ให้ใช้บังดับกับผู้ให้บริการตามพระราชกฤษฎีกาว่ด้วยการควบคุมดูแลธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2551
อื่นๆ - 4. เนื้อหา
ผู้ให้บริการตามพระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2551 ต้องถือปฏิบัติตามมาตรฐานนโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ ดังนี้
4.1 นโยบายการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ
(1) ผู้ให้บริการจะต้องจัดทํานโยบายการรักษาความมั่นคงปลอดภัยทางระบบสารสนทศเป็นลายลักษณ์อักษร โดยได้รับการพิจารณาอนุมัติจากคณะกรรมการบริหารหรือผู้บริหารระดับสูงของผู้ให้บริการ ทั้งนี้ ผู้ให้บริการจะต้องเผขแพร่นโยบายดังกล่าว และอบรมให้แก่บุคลากรที่เกี่ยวข้องเพื่อถือปฏิบัติ รวมทั้งจัดให้มีการทบทวนหรือปรับปรุงน โยบายให้เหมาะสมกับสถานการณ์อย่างสม่ําเสมอ
(2) นโยบายการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศที่เกี่ยวข้องกับการให้บริการ อย่างน้อยต้องครอบคลุมในเรื่อง ดังต่อไปนี้
(ก) การควบคุมการเข้าถึง และการพิสูจน์ตัวตนผู้ใช้
(ข) การรักษาความลับของข้อมูล และความถูกต้องเชื่อถือ ได้ของระบบสารสนเทศ
(ค) การรักษาสภาพความพร้อมใช้งานของการให้บริการ
(ง)การตรวจสอบความมั่นคงปลอดภัยทางระบบสารสนเทศ
4.2 มาตรการการรักษาความมั่นองปลอดภัยทางระบบสารสนเทศ
ผู้ให้บริการจะต้องจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศที่เกี่ยวข้องกับการให้บริการการชําระเงินทางอิเล็กทร่อนิกส์ให้สอดคล้องกับนโยบายที่ได้กําหนดขึ้น และมาตรการดังกล่าวจะต้องเหมาะสมกับลักษณะของธุรกิจ โคยครอบคลุมถึงการควบคุมการเข้าถึงและการพิสูจน์ตัวตนผู้ใช้ การรักษาดวามลับของข้อมูล การรักษาความถูกต้องเชื่อถือได้ของระบบสารสนเทศ การรักษาสภาพความพร้อมใช้งานของการให้บริการ การแก้ไขปัญหาและการรายงาน รวมถึงจัดให้มีการตรวจสอบความมั่นคงปลอดภัยทางระบบสารสนเทศอย่างสม่ําเสมออย่างน้อยปีละ 1 ครั้ง
ทั้งนี้ ผู้ให้บริการจะต้องคําเนินการทบทวนหรือปรับปรุงมาตรการตามระยะเวลาที่กําหนดหรือเมื่อมีการเปลี่ยนแปลงที่ส่งผลกระทบกับนโยบายและมาตรการที่ ได้กําหนดไว้ ตลอดจนจัดอบรมและให้ความรู้แก่บุคลากรที่เกี่ยวข้อง
อนึ่ง ธปท. ได้ขัดทําแนวปฏิบัติการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศที่เกี่ยวข้องกับการให้บริการการชําระเงินทางอิเล็กทรอนิกส์ ลงวันที่ 29 มกราคม 2552 (เอกสารแนบ) เพื่อเป็นแนวทางในการกําหนดมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศให้น่าเชื่อถือและให้เป็นที่ยอมรับของใช้บริการ ทั้งนี้ การกําหนดมาตรการการรักษาความมั่นคงปลอดภัยของผู้ให้บริการแต่ละรายอาจแตกต่างจากแนวปฏิบัติดังกล่าวได้ หากผู้ให้บริการเห็นว่าสามารถป้องกันความเสี่ยงทางระบบสารสนทศได้อย่างมีประสิทธิภาพเพียงพอ และอยู่ในมาตรฐานที่ยอมรับได้
อื่นๆ - 5. วันเริ่มต้นใช้บังคับ
ประกาศฉบับนี้ให้ใช้บังคับนับแต่วันที่ประกาศในราชกิจจานุเบกษาเป็นต้นไป
ผู้มีอํานาจลงนาม - ประกาศ ณ วันที่ 30 มกราคม 2552
(นางธาริษา วัฒนเกส)
ผู้ว่าการ
ธนาคารแห่งประเทศไทย