ข้อ ๒๓ ผู้ประกอบธุรกิจต้องมีมาตรการรักษาความมั่นคงปลอดภัยในการปฏิบัติงานที่เกี่ยวข้องกับระบบสารสนเทศ (operations security) ตามหลักเกณฑ์ดังต่อไปนี้
(1) กําหนดขั้นตอนการปฏิบัติงานที่เกี่ยวข้องกับระบบสารสนเทศเพื่อให้การปฏิบัติงานนั้นเป็นไปอย่างถูกต้องและมั่นคงปลอดภัย
(2) มีมาตรการป้องกันและตรวจสอบโปรแกรมไม่ประสงค์ดี (malware) และมาตรการในการแก้ไขระบบสารสนเทศให้สามารถกลับมาใช้งานได้ตามปกติ
(3) มีการสํารองข้อมูลสําคัญทางธุรกิจ ระบบปฏิบัติการ โปรแกรมประยุกต์ระบบงานคอมพิวเตอร์ และชุดคําสั่งที่ใช้ทํางาน ไว้อย่างครบถ้วน และต้องมีการทดสอบข้อมูลสํารองและกระบวนการกู้คืนข้อมูลอย่างน้อยปีละ 1 ครั้ง
(4) จัดเก็บและบันทึกหลักฐาน (logs) ต่าง ๆ ให้ครบถ้วนและเพียงพอสําหรับการตรวจสอบการล่วงรู้ข้อมูลภายในระหว่างหน่วยงานและบุคลากร การสอบทานการใช้งานข้อมูลและระบบสารสนเทศตามหน้าที่ที่ผู้ปฏิบัติงานได้รับมอบหมาย การตรวจสอบการเข้าใช้งานระบบสารสนเทศโดยบุคคลที่ไม่มีหน้าที่เกี่ยวข้อง การตรวจสอบและป้องกันการใช้งานระบบสารสนเทศที่มีความผิดปกติหรือไม่เป็นไปตามกฎหมายหรือกฎเกณฑ์ที่เกี่ยวข้อง และการตรวจสอบตัวตนของลูกค้าที่ทํารายการซื้อขายผ่านระบบอิเล็กทรอนิกส์ ทั้งนี้ ตามตารางแสดงรายละเอียดการจัดเก็บหลักฐานที่แนบท้ายประกาศนี้โดยต้องมีการติดตามและวิเคราะห์หลักฐานที่จัดเก็บสําหรับการใช้งานสารสนเทศที่มีความสําคัญให้สอดคล้องกับการประเมินความเสี่ยงขององค์กร
(5) มีขั้นตอนควบคุมการติดตั้งซอฟท์แวร์บนระบบงาน และมีมาตรการจํากัดการติดตั้งซอฟท์แวร์โดยผู้ใช้งาน เพื่อให้ระบบปฏิบัติงานต่าง ๆ มีความถูกต้องครบถ้วนและน่าเชื่อถือ
(6) มีระบบในการบริหารจัดการกรณีช่องโหว่ทางเทคนิค (technical vulnerability management) ที่อาจเกิดขึ้นอย่างเพียงพอและเหมาะสมดังนี้
(ก) มีการทดสอบการเจาะระบบ (penetration test) กับระบบงานที่มีความสําคัญที่เชื่อมต่อกับระบบเครือข่ายภายนอก (untrusted network) โดยบุคคลที่เป็นอิสระจากหน่วยงานที่รับผิดชอบด้านเทคโนโลยีสารสนเทศ และเป็นไปตามการวิเคราะห์ความเสี่ยงและผลกระทบทางธุรกิจ (risk and business impact analysis) ดังนี้
1. กรณีที่เป็นระบบงานสําคัญที่ประเมินแล้วมีความสําคัญสูง ต้องทดสอบอย่างน้อยทุก 3 ปีและเมื่อมีการเปลี่ยนแปลงระบบงานดังกล่าวอย่างมีนัยสําคัญ
2. กรณีที่เป็นระบบงานที่มีความสําคัญอื่น ๆ ต้องทดสอบอย่างน้อยทุก 6 ปี
(ข) มีการประเมินช่องโหว่ของระบบ (vulnerability assessment) กับระบบงานที่มีความสําคัญทุกระบบอย่างน้อยปีละ 1 ครั้งและเมื่อมีการเปลี่ยนแปลงระบบงานดังกล่าวอย่างมีนัยสําคัญและรายงานผลไปยังหน่วยงานกํากับดูแลการปฏิบัติงานหรือหน่วยงานตรวจสอบภายในโดยไม่ชักช้า
(7) มีการตรวจสอบระบบสารสนเทศดังนี้
(ก) วางแผนการตรวจสอบระบบสารสนเทศให้สอดคล้องกับความเสี่ยงที่ได้ประเมินไว้
(ข) กําหนดขอบเขตในการตรวจสอบระบบสารสนเทศทางเทคนิคให้ครอบคลุมถึงจุดเสี่ยงที่สําคัญ โดยการตรวจสอบดังกล่าวต้องไม่กระทบต่อการปฏิบัติงาน
(ค) ตรวจสอบระบบสารสนเทศนอกเวลาทํางาน ในกรณีที่การตรวจสอบนั้นอาจส่งผลกระทบต่อความพร้อมในการใช้งานระบบดังกล่าว