法律人 LawPlayer logo

資料由法律人 LawPlayer整理提供·กฎหมายไทย / LawPlayer จากสำนักงานคณะกรรมการกฤษฎีกา

adminRule

ประกาศสำนักงานคณะกรรมการ ก.ล.ต ที่ สธ. 37/2559 เรื่อง ข้อกำหนดในรายละเอียดเกี่ยวกับการจัดให้มีระบบเทคโนโลยีสารสนเทศ

เลขที่
วันที่ประกาศ
จำนวนมาตรา
25
มาตรา อารัมภบท

ประกาศสํานักงานคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์

ที่ สธ. 37/2559

เรื่อง ข้อกําหนดในรายละเอียดเกี่ยวกับการจัดให้มี

ระบบเทคโนโลยีสารสนเทศ

อาศัยอํานาจตามความในข้อ 5(1) ประกอบกับข้อ 12 วรรคหนึ่ง (11) และ (12) และข้อ 14 แห่งประกาศคณะกรรมการกํากับตลาดทุน ที่ ทธ. 35/2556 เรื่อง มาตรฐานการประกอบธุรกิจ โครงสร้างการบริหารงาน ระบบงาน และการให้บริการของผู้ประกอบธุรกิจหลักทรัพย์และผู้ประกอบธุรกิจสัญญาซื้อขายล่วงหน้า ลงวันที่ 6 กันยายน พ.ศ. 2556 สํานักงานออกประกาศไว้ดังต่อไปนี้

มาตรา ข้อ ๑

ข้อ ๑ ประกาศนี้ให้ใช้บังคับตั้งแต่วันที่ 1 กันยายน พ.ศ. 2560 เป็นต้นไป

มาตรา ข้อ ๒

ข้อ ๒ ในประกาศนี้

“ประกาศมาตรฐานการประกอบธุรกิจ” หมายความว่า ประกาศคณะกรรมการกํากับตลาดทุน ที่ ทธ. 35/2556 เรื่อง มาตรฐานการประกอบธุรกิจ โครงสร้างการบริหารงาน ระบบงาน และการให้บริการของผู้ประกอบธุรกิจหลักทรัพย์และผู้ประกอบธุรกิจสัญญาซื้อขายล่วงหน้า ลงวันที่ 6 กันยายน พ.ศ. 2556

“โปรแกรมสําเร็จรูป” หมายความว่า ระบบการคํานวณที่แสดงผลเป็นการวิเคราะห์เพื่อให้คําแนะนําเกี่ยวกับคุณค่าหรือความเหมาะสมในการลงทุนในหลักทรัพย์หรือสัญญาซื้อขายล่วงหน้า

“ทรัพย์สินสารสนเทศ” หมายความว่า

(1) ทรัพย์สินสารสนเทศประเภทระบบ ได้แก่ ระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ

(2) ทรัพย์สินสารสนเทศประเภทอุปกรณ์ ได้แก่ ตัวเครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ เครื่องบันทึกข้อมูล และอุปกรณ์อื่นใด

(3) ทรัพย์สินสารสนเทศประเภทข้อมูล ได้แก่ ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์ และข้อมูลคอมพิวเตอร์

มาตรา ข้อ ๓

ข้อ ๓ ประกาศนี้ให้ใช้บังคับกับผู้ที่ได้รับใบอนุญาตประกอบธุรกิจหลักทรัพย์หรือธุรกิจสัญญาซื้อขายล่วงหน้าประเภทดังต่อไปนี้

(1) การเป็นนายหน้าซื้อขายหลักทรัพย์ การค้าหลักทรัพย์ หรือการจัดจําหน่ายหลักทรัพย์

(2) การเป็นที่ปรึกษาการลงทุนที่มีการวางแผนการลงทุนให้แก่ลูกค้า หรือใช้โปรแกรมสําเร็จรูปประกอบการให้บริการแก่ลูกค้า

(3) การจัดการกองทุนรวม แต่ไม่รวมถึงการจัดการกองทุนรวมเพื่อผู้ลงทุนซึ่งเป็นคนต่างด้าว

(4) การจัดการกองทุนส่วนบุคคล

(5) กิจการการยืมและให้ยืมหลักทรัพย์

(6) การให้สินเชื่อเพื่อธุรกิจหลักทรัพย์

(7) การเป็นตัวแทนซื้อขายสัญญาซื้อขายล่วงหน้า

(8) การเป็นที่ปรึกษาสัญญาซื้อขายล่วงหน้าที่มีการวางแผนการลงทุนให้แก่ลูกค้า หรือใช้โปรแกรมสําเร็จรูปประกอบการให้บริการแก่ลูกค้า

(9) การเป็นผู้จัดการเงินทุนสัญญาซื้อขายล่วงหน้า

ในกรณีที่ผู้ประกอบธุรกิจตามวรรคหนึ่งเป็นธนาคารพาณิชย์ตามกฎหมายว่าด้วยธุรกิจสถาบันการเงิน บริษัทประกันชีวิตตามกฎหมายว่าด้วยการประกันชีวิต หรือสถาบันการเงินที่จัดตั้งขึ้นตามกฎหมายอื่น ให้ปฏิบัติตามประกาศนี้เฉพาะข้อ 11 และข้อ 23(4)

มาตรา ข้อ ๔

ข้อ ๔ ข้อกําหนดในรายละเอียดตามประกาศนี้ กําหนดขึ้นเพื่อให้ผู้ประกอบธุรกิจปฏิบัติตามประกาศมาตรฐานการประกอบธุรกิจ ในส่วนที่เกี่ยวกับระบบเทคโนโลยีสารสนเทศที่มีประสิทธิภาพในเรื่องดังต่อไปนี้ ให้เป็นไปในแนวทางเดียวกัน

(1) การกํากับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศระดับองค์กร ให้เป็นไปตามหมวด 1

(2) การกําหนดนโยบาย มาตรการ โครงสร้างการบริหารจัดการ เพื่อรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ให้เป็นไปตามหมวด 2

(3) การบริหารจัดการทรัพย์สินสารสนเทศและการควบคุมการเข้าถึงข้อมูลและระบบสารสนเทศ ให้เป็นไปตามหมวด 3

(4) การรักษาความมั่นคงปลอดภัยด้านการสื่อสารข้อมูลสารสนเทศผ่านระบบเครือข่ายคอมพิวเตอร์และการรักษาความมั่นคงปลอดภัยในการปฏิบัติงานที่เกี่ยวข้องกับระบบสารสนเทศ ให้เป็นไปตามหมวด 4

(5) หลักเกณฑ์เพิ่มเติมอื่น ๆ ให้เป็นไปตามหมวด 5

สารสนเทศระดับองค์กร

มาตรา ข้อ ๕

ข้อ ๕ ผู้ประกอบธุรกิจต้องจัดให้มีนโยบายเป็นลายลักษณ์อักษรในการกํากับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศอย่างน้อยในเรื่องดังต่อไปนี้ ทั้งนี้ นโยบายดังกล่าวต้องได้รับความเห็นชอบจากคณะกรรมการของผู้ประกอบธุรกิจหรือคณะกรรมการที่ได้รับมอบหมายจากคณะกรรมการของผู้ประกอบธุรกิจ

(1) การบริหารและจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ซึ่งครอบคลุมถึงการระบุความเสี่ยง การประเมินความเสี่ยง และการควบคุมความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้

(2) การจัดสรรและบริหารทรัพยากรด้านเทคโนโลยีสารสนเทศ ซึ่งครอบคลุมถึงการจัดสรรทรัพยากรให้เพียงพอต่อการดําเนินธุรกิจ และการกําหนดแนวทางเพื่อรองรับในกรณีที่

ไม่สามารถจัดสรรทรัพยากรได้เพียงพอตามที่กําหนดไว้

(3) การจัดให้มีนโยบายและมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามข้อ 8 และข้อ 9

มาตรา ข้อ ๖

ข้อ ๖ ผู้ประกอบธุรกิจต้องจัดให้มีการกํากับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศตามหลักเกณฑ์ดังต่อไปนี้ ทั้งนี้ เพื่อให้เป็นไปตามนโยบายการกํากับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศของผู้ประกอบธุรกิจที่กําหนดไว้ตามข้อ 5

(1) สื่อสารนโยบายการกํากับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศให้แก่บุคลากรของผู้ประกอบธุรกิจที่เกี่ยวข้องอย่างทั่วถึงในลักษณะที่สามารถเข้าถึงได้ง่าย เพื่อให้บุคลากรดังกล่าวเข้าใจและสามารถปฏิบัติตามนโยบายดังกล่าวได้อย่างถูกต้อง

(2) กําหนดขั้นตอนและวิธีปฏิบัติงานให้เป็นไปตามนโยบายการกํากับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศ

(3) ทบทวนหรือปรับปรุงนโยบายการกํากับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศ อย่างน้อยปีละ 1 ครั้ง โดยต้องทบทวนโดยไม่ชักช้าเมื่อมีเหตุการณ์ใด ๆ ซึ่งอาจส่งผลกระทบต่อการกํากับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศอย่างมีนัยสําคัญ และต้องปรับปรุงขั้นตอนและวิธีปฏิบัติงานให้สอดคล้องกับนโยบายที่มีการเปลี่ยนแปลงด้วย

(4) จัดให้มีการรายงานการปฏิบัติตามนโยบายการกํากับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศ ให้คณะกรรมการของผู้ประกอบธุรกิจทราบอย่างน้อยปีละ1 ครั้ง และในกรณีที่มีเหตุการณ์ใด ๆ ซึ่งอาจส่งผลกระทบต่อการปฏิบัติตามนโยบายดังกล่าวอย่างมีนัยสําคัญ ต้องรายงานให้คณะกรรมการของผู้ประกอบธุรกิจทราบโดยไม่ชักช้าด้วย

(5) จัดให้มีระบบการควบคุมภายในสําหรับการปฏิบัติงานให้เป็นไปตามนโยบายการกํากับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศ อย่างน้อยดังนี้

(ก) มีการตรวจสอบภายในและการสอบทานการปฏิบัติงานให้เป็นไปตามนโยบายดังกล่าวอย่างเป็นระบบ

(ข) มีการปรับปรุงแก้ไขข้อบกพร่อง และติดตามการปรับปรุงแก้ไขดังกล่าวอย่างเป็นระบบ

เพื่อรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ

มาตรา ข้อ ๗

ข้อ ๗ ในหมวดนี้

“การปฏิบัติงานจากเครือข่ายภายนอกบริษัท” (teleworking) หมายความว่า การปฏิบัติงานที่มีการเข้าถึงระบบสารสนเทศที่มีความสําคัญโดยไม่ผ่านการเชื่อมต่อกับระบบเครือข่ายคอมพิวเตอร์ภายในของผู้ประกอบธุรกิจโดยตรง

“การใช้งานอุปกรณ์เคลื่อนที่” หมายความว่า การปฏิบัติงานที่มีการใช้อุปกรณ์เคลื่อนที่ (mobile device) เพื่อเข้าถึงระบบสารสนเทศที่มีความสําคัญโดยผ่านการเชื่อมต่อกับระบบเครือข่ายคอมพิวเตอร์ภายในของผู้ประกอบธุรกิจโดยตรง

มาตรา ข้อ ๘

ข้อ ๘ ผู้ประกอบธุรกิจต้องจัดให้มีการกําหนดนโยบายอย่างน้อยในเรื่องดังต่อไปนี้ ไว้เป็นลายลักษณ์อักษร เพื่อรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (information security policy)

(1) นโยบายการใช้งานระบบสารสนเทศร่วมกันบนระบบเครือข่ายคอมพิวเตอร์เพื่อการประมวลผลตามความต้องการของผู้ใช้งาน (cloud computing) ซึ่งครอบคลุมถึงวิธีการคัดเลือกและประเมินผู้ให้บริการ การทบทวนคุณสมบัติของผู้ให้บริการ ข้อกําหนดเกี่ยวกับการใช้บริการ และการตรวจสอบบันทึกหลักฐานต่าง ๆ ที่อาจส่งผลกระทบต่อการใช้บริการ

(2) นโยบายการใช้งานระบบการเข้ารหัสข้อมูลและการบริหารกุญแจเข้ารหัสข้อมูล ที่สามารถป้องกันการเข้าถึงหรือเปลี่ยนแปลงแก้ไขข้อมูลที่เป็นความลับหรือมีความสําคัญ

(3) นโยบายการรับส่งข้อมูลสารสนเทศผ่านระบบเครือข่ายภายในองค์กร และระหว่างเครือข่ายภายในองค์กรกับระบบเครือข่ายภายนอกองค์กร ให้มีความมั่นคงปลอดภัย

(4) นโยบายควบคุมการเข้าถึงข้อมูลและสิ่งอํานวยความสะดวกในการประมวลผลข้อมูลต่าง ๆ (information processing facilities) ให้สอดคล้องกับข้อกําหนดด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ

(5) นโยบายเพื่อรองรับในกรณีที่ผู้ประกอบธุรกิจแต่งตั้งบุคคลอื่นเป็นผู้รับดําเนินการในงานที่เกี่ยวกับระบบสารสนเทศของผู้ประกอบธุรกิจ ซึ่งครอบคลุมถึงวิธีการคัดเลือกและประเมินผู้รับดําเนินการ การทบทวนคุณสมบัติของผู้รับดําเนินการ และการมีข้อกําหนดเกี่ยวกับการใช้บริการ เพื่อลดความเสี่ยงจากการเข้าถึงทรัพย์สินสารสนเทศอย่างไม่เหมาะสม

เพื่อประโยชน์ตามวรรคหนึ่ง (4) คําว่า “สิ่งอํานวยความสะดวกในการประมวลผลข้อมูล” หมายความว่า อุปกรณ์ ระบบงาน หรือสภาพแวดล้อม ที่จําเป็นหรือมีส่วนช่วยให้การประมวลผลข้อมูลเป็นไปอย่างครบถ้วน ถูกต้อง และมีประสิทธิภาพ เช่น อุปกรณ์หรือโปรแกรมประมวลผลข้อมูล ระบบเครือข่ายคอมพิวเตอร์ ขั้นตอน หรือสถานที่ประมวลผลข้อมูล

มาตรา ข้อ ๙

ข้อ ๙ ผู้ประกอบธุรกิจต้องจัดให้มีมาตรการอย่างน้อยในเรื่องดังต่อไปนี้ เพื่อรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ

(1) มาตรการรักษาความปลอดภัยที่รัดกุมเพียงพอสําหรับข้อมูลที่เป็นความลับหรือมีความสําคัญ ในกรณีที่มีการปฏิบัติงานจากเครือข่ายภายนอกบริษัทหรือมีการใช้งานอุปกรณ์เคลื่อนที่ โดยกรณีที่เป็นการใช้งานอุปกรณ์เคลื่อนที่ ต้องจัดให้มีการลงทะเบียนอุปกรณ์เคลื่อนที่ก่อนการใช้งาน และทบทวนทะเบียนดังกล่าวอย่างน้อยปีละ 1 ครั้งและเมื่อมีการเปลี่ยนอุปกรณ์เคลื่อนที่

(2) มาตรการในการใช้งานระบบสารสนเทศร่วมกันบนระบบเครือข่ายคอมพิวเตอร์เพื่อการประมวลผลตามความต้องการของผู้ใช้งานตามนโยบายที่กําหนดไว้ในข้อ 8(1) ที่ครอบคลุม

เรื่องดังนี้

(ก) ข้อตกลงร่วมกันระหว่างผู้ให้บริการและผู้ใช้บริการซึ่งมีรายละเอียดในเรื่องดังต่อไปนี้เป็นอย่างน้อย

1. หน้าที่และความรับผิดชอบของผู้ให้บริการ รวมถึงความรับผิดต่อผู้ประกอบธุรกิจในกรณีที่ผู้ให้บริการไม่สามารถปฏิบัติตามข้อตกลงได้

2. ขั้นตอนการปฏิบัติงานที่เป็นไปตามมาตรฐานการรับรองความมั่นคงปลอดภัยด้านสารสนเทศในระดับสากล

3. มาตรการการรักษาความมั่นคงปลอดภัย การควบคุมการเข้าถึง และการเปิดเผยข้อมูลสารสนเทศ

4. การตรวจสอบการปฏิบัติงานจากผู้ตรวจสอบที่เป็นอิสระ

5. เงื่อนไขในกรณีที่ผู้ให้บริการจะให้ผู้ให้บริการรายอื่นรับดําเนินการช่วง (subcontract of the cloud provider) และข้อกําหนดความรับผิดต่อความเสียหายที่อาจเกิดขึ้นจากการดําเนินการของผู้ให้บริการรายอื่น

(ข) คุณสมบัติด้านความปลอดภัยของผู้ให้บริการรายอื่นที่รับดําเนินการช่วงซึ่งเทียบเท่ากับผู้ให้บริการหรือเป็นไปตามมาตรฐานสากล

(ค) การติดตาม ประเมิน และทบทวนการให้บริการของผู้ให้บริการ

(ง) ขั้นตอนในการโอนย้ายข้อมูลไปยังผู้ให้บริการรายใหม่ ในกรณีที่มีการเปลี่ยนตัวผู้ให้บริการ

มาตรา ข้อ ๑๐

ข้อ ๑๐ ผู้ประกอบธุรกิจต้องจัดให้มีโครงสร้างการบริหารงานเพื่อรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (organization of information security) ตามหลักเกณฑ์ดังต่อไปนี้

(1) กําหนดรายละเอียดเกี่ยวกับหน้าที่และความรับผิดชอบในการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศเป็นลายลักษณ์อักษร และแนวทางในการปฏิบัติหน้าที่ ให้กับบุคลากรของผู้ประกอบธุรกิจ

(2) สอบทานการปฏิบัติงานเพื่อป้องกันความเสี่ยงในการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศที่อาจเกิดขึ้นในการปฏิบัติหน้าที่

(3) จัดให้มีช่องทางในการติดต่อสํานักงาน หน่วยงานกํากับดูแลด้านเทคโนโลยีสารสนเทศ และหน่วยงานของผู้ให้บริการที่สนับสนุนการทํางานระบบสารสนเทศของผู้ประกอบธุรกิจ โดยต้องปรับปรุงรายชื่อและช่องทางสําหรับติดต่อดังกล่าวให้เป็นปัจจุบัน

มาตรา ข้อ ๑๑

ข้อ ๑๑ ผู้ประกอบธุรกิจต้องมีการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ (information security incident management) ให้เป็นไปตามหลักเกณฑ์ดังต่อไปนี้

(1) กําหนดขั้นตอนและกระบวนการในการบริหารจัดการเหตุการณ์ที่ส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ

(2) กําหนดผู้มีหน้าที่รับผิดชอบในการบริหารจัดการเหตุการณ์ที่ส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ

(3) รายงานต่อผู้มีหน้าที่รับผิดชอบในการบริหารจัดการเหตุการณ์ตาม (2) และสํานักงานโดยไม่ชักช้าเมื่อเกิดเหตุการณ์ดังกล่าว

(4) ทดสอบขั้นตอนและกระบวนการในการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศตาม (1) อย่างน้อยปีละ 1 ครั้ง โดยอย่างน้อยต้องครอบคลุมถึงการบริหารจัดการความเสี่ยงไซเบอร์ (cyber security drill)

(5) พิจารณาทบทวนขั้นตอนและกระบวนการในการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ หลังจากที่มีการทดสอบตาม (4) แล้วอย่างน้อยปีละ 1 ครั้ง

(6) จัดให้มีการประเมินผลการทดสอบตาม (4) และประเมินผลพิจารณาทบทวนตาม (5) โดยต้องรายงานผลต่อคณะกรรมการของผู้ประกอบธุรกิจหรือคณะกรรมการที่ได้รับมอบหมายจากคณะกรรมการของผู้ประกอบธุรกิจอย่างน้อยปีละ 1 ครั้ง ทั้งนี้ การดําเนินการดังกล่าวต้องกระทําโดยบุคคลที่เป็นอิสระจากผู้มีหน้าที่รับผิดชอบในการบริหารจัดการเหตุการณ์ตาม (2)

(7) จัดเก็บเอกสารหลักฐานที่เกี่ยวข้องกับการดําเนินการในการบริหารจัดการเหตุการณ์ดังกล่าวเป็นระยะเวลาไม่น้อยกว่า 2 ปีนับแต่วันที่จัดทําเอกสารนั้น โดยต้องเก็บรักษาไว้ในลักษณะที่พร้อมให้สํานักงานสามารถเรียกดูและตรวจสอบได้โดยไม่ชักช้า

เพื่อประโยชน์ตามวรรคหนึ่ง (4) ให้คําว่า “ความเสี่ยงไซเบอร์” หมายความว่า ภัยคุกคามที่ส่งผลกระทบ หรือสร้างความเสียหาย หรือก่อให้เกิดความเสี่ยงต่อการประกอบธุรกิจของผู้ประกอบธุรกิจ ซึ่งเกิดจากการใช้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคม หรือการให้บริการโดยปกติของดาวเทียม

มาตรา ข้อ ๑๒

ข้อ ๑๒ ผู้ประกอบธุรกิจต้องมีการบริหารความต่อเนื่องทางธุรกิจในด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (information security of business continuity management) ให้เป็นไปตามหลักเกณฑ์ดังต่อไปนี้

(1) กําหนดมาตรการรองรับสําหรับกรณีที่อาจเกิดเหตุการณ์ไม่พึงประสงค์

(2) กําหนดขั้นตอน กระบวนการดําเนินการ และการควบคุม เกี่ยวกับความมั่นคงปลอดภัยของระบบสารสนเทศให้สอดคล้องกับแผนบริหารความต่อเนื่องทางธุรกิจ

(3) กําหนดระยะเวลาในการกลับคืนสู่สภาพการดําเนินงานปกติของระบบสารสนเทศและจัดลําดับการกู้คืนระบบงานสารสนเทศที่มีความสําคัญให้สอดคล้องกับผลกระทบที่อาจเกิดขึ้น

(4) มีระบบสารสนเทศสํารองที่อยู่ในสภาพพร้อมใช้งาน ซึ่งต้องสอดคล้องกับระยะเวลาในการกลับคืนสู่สภาพการดําเนินงานตามปกติของระบบสารสนเทศตาม (3)

มาตรา ข้อ ๑๓

ข้อ ๑๓ ผู้ประกอบธุรกิจต้องสร้างความตระหนักรู้เกี่ยวกับนโยบายและมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศให้แก่บุคลากรของผู้ประกอบธุรกิจและบุคคลภายนอก (human resource security) ที่มีการปฏิบัติงานโดยมีการเข้าถึงข้อมูลหรือระบบงานภายในองค์กร และดําเนินการให้บุคลากรดังกล่าวสามารถปฏิบัติหน้าที่ได้ตามนโยบายและมาตรการที่กําหนด ทั้งนี้ ตามหลักเกณฑ์ดังต่อไปนี้

(1) ให้ความรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศที่เกี่ยวข้องกับการปฏิบัติหน้าที่แก่บุคลากรของผู้ประกอบธุรกิจและบุคคลภายนอกที่ปฏิบัติงานดังกล่าว

(2) สื่อสารให้บุคลากรของผู้ประกอบธุรกิจและบุคคลภายนอกที่ปฏิบัติงานดังกล่าว ระมัดระวังและงดเว้นการใช้งานระบบสารสนเทศในลักษณะที่อาจก่อให้เกิดความเสียหายแก่ผู้ประกอบธุรกิจ หรือตลาดทุนโดยรวม หรือกระทบต่อความมั่นคงของประเทศ และต้องรายงานผู้มีหน้าที่รับผิดชอบในการบริหารจัดการเหตุการณ์ที่ส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศโดยไม่ชักช้าเมื่อพบความผิดปกติใด ๆ อย่างมีนัยสําคัญ

(3) กําหนดมาตรการในการลงโทษบุคลากรที่มีพฤติกรรมฝ่าฝืนหรือไม่ปฏิบัติตามนโยบายหรือหลักเกณฑ์เกี่ยวกับการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ

การเข้าถึงข้อมูลและระบบสารสนเทศ

มาตรา ข้อ ๑๔

ข้อ ๑๔ ในการบริหารจัดการทรัพย์สินสารสนเทศและการควบคุมการเข้าถึงข้อมูลและระบบสารสนเทศ ให้ผู้ประกอบธุรกิจปฏิบัติตามหลักเกณฑ์ดังต่อไปนี้

(1) มีการบริหารจัดการทรัพย์สินสารสนเทศ ตามข้อ 15 ถึงข้อ 17

(2) มีมาตรการเพื่อสร้างความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อมของทรัพย์สินสารสนเทศ ตามข้อ 18

(3) มีมาตรการเพื่อสร้างความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อมของทรัพย์สินสารสนเทศประเภทอุปกรณ์ ตามข้อ 19

(4) มีการควบคุมการเข้าถึงระบบและข้อมูลสารสนเทศ ตามข้อ 20

มาตรา ข้อ ๑๕

ข้อ ๑๕ ผู้ประกอบธุรกิจต้องมีการบริหารจัดการทรัพย์สินสารสนเทศ (asset management) ให้เป็นไปตามหลักเกณฑ์ดังต่อไปนี้

(1) กําหนดบุคคลหรือหน่วยงานที่มีหน้าที่ดูแลรับผิดชอบทรัพย์สินสารสนเทศแต่ละประเภทตลอดอายุการใช้งานของทรัพย์สินดังกล่าว

(2) มีข้อกําหนดการใช้งานทรัพย์สินสารสนเทศที่เหมาะสม

(3) มีการทบทวนหน้าที่ความรับผิดชอบที่มีต่อทรัพย์สินสารสนเทศให้สอดคล้องกับหน้าที่ของผู้ปฏิบัติงานเมื่อมีการเปลี่ยนแปลงหน้าที่และความรับผิดชอบ

มาตรา ข้อ ๑๖

ข้อ ๑๖ ในการบริหารจัดการทรัพย์สินสารสนเทศที่เป็นทรัพย์สินสารสนเทศประเภทระบบหรืออุปกรณ์ ผู้ประกอบธุรกิจต้องมีการจัดทําและจัดเก็บทะเบียนทรัพย์สินดังกล่าว ตลอดจนทบทวนทะเบียนดังกล่าวอย่างน้อยปีละ 1 ครั้งหรือเมื่อมีการเปลี่ยนแปลงทรัพย์สินสารสนเทศอย่างมีนัยสําคัญด้วย

มาตรา ข้อ ๑๗

ข้อ ๑๗ ในการบริหารจัดการทรัพย์สินสารสนเทศที่เป็นทรัพย์สินสารสนเทศประเภทข้อมูล ผู้ประกอบธุรกิจต้องดําเนินการจัดประเภทข้อมูลดังกล่าวตามระดับชั้นความลับและจัดประเภททรัพย์สินสารสนเทศอื่น ๆ ตามระดับความสําคัญ เพื่อให้ทรัพย์สินสารสนเทศได้รับการปกป้องในระดับที่เหมาะสมตามระดับชั้นความลับหรือระดับความสําคัญ แล้วแต่กรณีด้วย และในกรณีที่เป็นข้อมูลสารสนเทศ ผู้ประกอบธุรกิจต้องมีกระบวนการป้องกันการเปิดเผย เปลี่ยนแปลงแก้ไข หรือสร้างความเสียหายต่อข้อมูลสารสนเทศที่สําคัญ ที่ถูกจัดเก็บในสื่อบันทึกข้อมูลด้วย

มาตรา ข้อ ๑๘

ข้อ ๑๘ ผู้ประกอบธุรกิจต้องมีมาตรการเพื่อสร้างความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม (physical and environmental security) ของทรัพย์สินสารสนเทศตามหลักเกณฑ์ดังต่อไปนี้

(1) ประเมินความเสี่ยงและความสําคัญของทรัพย์สินสารสนเทศ

(2) กําหนดพื้นที่หวงห้ามและพื้นที่สําหรับจัดวางทรัพย์สินสารสนเทศที่มีความสําคัญให้มีความมั่นคงปลอดภัยและป้องกันมิให้บุคคลที่ไม่เกี่ยวข้องเข้าถึงพื้นที่ดังกล่าว

มาตรา ข้อ ๑๙

ข้อ ๑๙ ในกรณีที่เป็นทรัพย์สินสารสนเทศประเภทอุปกรณ์ นอกจากมาตรการเพื่อสร้างความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อมของทรัพย์สินสารสนเทศตามข้อ 18 แล้วผู้ประกอบธุรกิจต้องป้องกันทรัพย์สินดังกล่าวมิให้เกิดความเสียหาย สูญหาย ถูกโจรกรรม เข้าถึง หรือถูกใช้งานโดยบุคคลที่ไม่เกี่ยวข้อง เพื่อให้สามารถปฏิบัติงานได้อย่างต่อเนื่อง

มาตรา ข้อ ๒๐

ข้อ ๒๐ ผู้ประกอบธุรกิจต้องมีการควบคุมการเข้าถึงระบบและข้อมูลสารสนเทศ (access control) ให้เป็นไปตามหลักเกณฑ์ดังต่อไปนี้

(1) มีการบริหารจัดการบัญชีผู้ใช้งานโดยจํากัดการเข้าถึงข้อมูลสารสนเทศ ให้สามารถเข้าถึงได้เฉพาะบุคคลที่ได้รับสิทธิการเข้าถึงดังนี้

(ก) มีการลงทะเบียนบัญชีผู้ใช้งานระบบสารสนเทศ

(ข) มีการจัดสรรสิทธิการเข้าถึงระดับสูงอย่างจํากัดและมีการควบคุมการเข้าถึงสิทธิดังกล่าวอย่างเคร่งครัด

(ค) มีขั้นตอนการบริหารจัดการในการกําหนดรหัสผ่านอย่างเหมาะสม

(ง) มีการติดตามและทบทวนระดับสิทธิการเข้าถึงอย่างสม่ําเสมอ

(2) มีข้อกําหนดให้ผู้ใช้งานปฏิบัติตามขั้นตอนการใช้งานและดูแลรับผิดชอบรหัสผ่านอย่างมั่นคงปลอดภัย

(3) มีการป้องกันมิให้มีการเข้าถึงระบบสารสนเทศและโปรแกรมประยุกต์(application software) โดยไม่ได้รับอนุญาต ดังนี้

(ก) ควบคุมการเข้าถึงข้อมูลสารสนเทศและฟังก์ชั่นต่าง ๆ ในโปรแกรมประยุกต์ของผู้ใช้งานและผู้ดูแลระบบสารสนเทศ ให้สอดคล้องกับสิทธิที่ได้รับ

(ข) ควบคุมการเข้าใช้งานระบบสารสนเทศและโปรแกรมประยุกต์

(ค) จัดให้มีระบบการบริหารจัดการรหัสผ่านที่มีความมั่นคงปลอดภัย

(ง) จํากัดการใช้งานโปรแกรมอรรถประโยชน์ต่าง ๆ (utility program) และจํากัดการเข้าถึงชุดคําสั่งควบคุมการทํางานของโปรแกรมอย่างเข้มงวด

ผ่านระบบเครือข่ายคอมพิวเตอร์และการรักษา

ความมั่นคงปลอดภัยในการปฏิบัติงาน

ที่เกี่ยวข้องกับระบบสารสนเทศ

มาตรา ข้อ ๒๑

ข้อ ๒๑ ผู้ประกอบธุรกิจต้องมีมาตรการรักษาความมั่นคงปลอดภัยในการสื่อสารข้อมูล และการปฏิบัติงานในเรื่องดังต่อไปนี้

(1) การสื่อสารข้อมูลสารสนเทศผ่านระบบเครือข่ายคอมพิวเตอร์ตามข้อ 22

(2) การปฏิบัติงานที่เกี่ยวข้องกับระบบสารสนเทศ ตามข้อ 23

มาตรา ข้อ ๒๒

ข้อ ๒๒ ผู้ประกอบธุรกิจต้องมีมาตรการรักษาความมั่นคงปลอดภัยด้านการสื่อสารข้อมูลสารสนเทศผ่านระบบเครือข่ายคอมพิวเตอร์ (communications security) ให้เป็นไปตามหลักเกณฑ์ดังต่อไปนี้

(1) มีการบริหารจัดการและควบคุมระบบเครือข่ายคอมพิวเตอร์อย่างมั่นคงและปลอดภัย โดยต้องสามารถป้องกันมิให้เกิดการกระทําที่มีความเสี่ยงต่อข้อมูลสารสนเทศผ่านระบบเครือข่ายคอมพิวเตอร์

(2) จัดทําข้อตกลงการใช้บริการผ่านระบบเครือข่ายคอมพิวเตอร์ที่เกี่ยวกับวิธีการบริหารจัดการ คุณภาพการให้บริการ และกระบวนการรักษาความมั่นคงปลอดภัยของระบบเครือข่ายคอมพิวเตอร์กับผู้รับดําเนินการ

(3) แบ่งแยกระบบเครือข่ายคอมพิวเตอร์ตามความเหมาะสม โดยระบุขอบเขตของระบบเครือข่ายย่อยอย่างชัดเจน และมีกระบวนการควบคุมการเข้าถึงขอบเขตดังกล่าวอย่างเหมาะสม

(4) กําหนดมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลสารสนเทศที่มีการรับส่งผ่านระบบเครือข่ายคอมพิวเตอร์

(5) ดําเนินการให้บุคลากรของผู้ประกอบธุรกิจและผู้รับดําเนินการ (ถ้ามี) มีข้อตกลงเกี่ยวกับการรักษาความลับหรือไม่เปิดเผยข้อมูลที่มีความสําคัญ

มาตรา ข้อ ๒๓

ข้อ ๒๓ ผู้ประกอบธุรกิจต้องมีมาตรการรักษาความมั่นคงปลอดภัยในการปฏิบัติงานที่เกี่ยวข้องกับระบบสารสนเทศ (operations security) ตามหลักเกณฑ์ดังต่อไปนี้

(1) กําหนดขั้นตอนการปฏิบัติงานที่เกี่ยวข้องกับระบบสารสนเทศเพื่อให้การปฏิบัติงานนั้นเป็นไปอย่างถูกต้องและมั่นคงปลอดภัย

(2) มีมาตรการป้องกันและตรวจสอบโปรแกรมไม่ประสงค์ดี (malware) และมาตรการในการแก้ไขระบบสารสนเทศให้สามารถกลับมาใช้งานได้ตามปกติ

(3) มีการสํารองข้อมูลสําคัญทางธุรกิจ ระบบปฏิบัติการ โปรแกรมประยุกต์ระบบงานคอมพิวเตอร์ และชุดคําสั่งที่ใช้ทํางาน ไว้อย่างครบถ้วน และต้องมีการทดสอบข้อมูลสํารองและกระบวนการกู้คืนข้อมูลอย่างน้อยปีละ 1 ครั้ง

(4) จัดเก็บและบันทึกหลักฐาน (logs) ต่าง ๆ ให้ครบถ้วนและเพียงพอสําหรับการตรวจสอบการล่วงรู้ข้อมูลภายในระหว่างหน่วยงานและบุคลากร การสอบทานการใช้งานข้อมูลและระบบสารสนเทศตามหน้าที่ที่ผู้ปฏิบัติงานได้รับมอบหมาย การตรวจสอบการเข้าใช้งานระบบสารสนเทศโดยบุคคลที่ไม่มีหน้าที่เกี่ยวข้อง การตรวจสอบและป้องกันการใช้งานระบบสารสนเทศที่มีความผิดปกติหรือไม่เป็นไปตามกฎหมายหรือกฎเกณฑ์ที่เกี่ยวข้อง และการตรวจสอบตัวตนของลูกค้าที่ทํารายการซื้อขายผ่านระบบอิเล็กทรอนิกส์ ทั้งนี้ ตามตารางแสดงรายละเอียดการจัดเก็บหลักฐานที่แนบท้ายประกาศนี้โดยต้องมีการติดตามและวิเคราะห์หลักฐานที่จัดเก็บสําหรับการใช้งานสารสนเทศที่มีความสําคัญให้สอดคล้องกับการประเมินความเสี่ยงขององค์กร

(5) มีขั้นตอนควบคุมการติดตั้งซอฟท์แวร์บนระบบงาน และมีมาตรการจํากัดการติดตั้งซอฟท์แวร์โดยผู้ใช้งาน เพื่อให้ระบบปฏิบัติงานต่าง ๆ มีความถูกต้องครบถ้วนและน่าเชื่อถือ

(6) มีระบบในการบริหารจัดการกรณีช่องโหว่ทางเทคนิค (technical vulnerability management) ที่อาจเกิดขึ้นอย่างเพียงพอและเหมาะสมดังนี้

(ก) มีการทดสอบการเจาะระบบ (penetration test) กับระบบงานที่มีความสําคัญที่เชื่อมต่อกับระบบเครือข่ายภายนอก (untrusted network) โดยบุคคลที่เป็นอิสระจากหน่วยงานที่รับผิดชอบด้านเทคโนโลยีสารสนเทศ และเป็นไปตามการวิเคราะห์ความเสี่ยงและผลกระทบทางธุรกิจ (risk and business impact analysis) ดังนี้

1. กรณีที่เป็นระบบงานสําคัญที่ประเมินแล้วมีความสําคัญสูง ต้องทดสอบอย่างน้อยทุก 3 ปีและเมื่อมีการเปลี่ยนแปลงระบบงานดังกล่าวอย่างมีนัยสําคัญ

2. กรณีที่เป็นระบบงานที่มีความสําคัญอื่น ๆ ต้องทดสอบอย่างน้อยทุก 6 ปี

(ข) มีการประเมินช่องโหว่ของระบบ (vulnerability assessment) กับระบบงานที่มีความสําคัญทุกระบบอย่างน้อยปีละ 1 ครั้งและเมื่อมีการเปลี่ยนแปลงระบบงานดังกล่าวอย่างมีนัยสําคัญและรายงานผลไปยังหน่วยงานกํากับดูแลการปฏิบัติงานหรือหน่วยงานตรวจสอบภายในโดยไม่ชักช้า

(7) มีการตรวจสอบระบบสารสนเทศดังนี้

(ก) วางแผนการตรวจสอบระบบสารสนเทศให้สอดคล้องกับความเสี่ยงที่ได้ประเมินไว้

(ข) กําหนดขอบเขตในการตรวจสอบระบบสารสนเทศทางเทคนิคให้ครอบคลุมถึงจุดเสี่ยงที่สําคัญ โดยการตรวจสอบดังกล่าวต้องไม่กระทบต่อการปฏิบัติงาน

(ค) ตรวจสอบระบบสารสนเทศนอกเวลาทํางาน ในกรณีที่การตรวจสอบนั้นอาจส่งผลกระทบต่อความพร้อมในการใช้งานระบบดังกล่าว

มาตรา ข้อ ๒๔

ข้อ ๒๔ ผู้ประกอบธุรกิจต้องจัดหา พัฒนา และดูแลรักษาระบบสารสนเทศ (system acquisition, development and maintenance) ตามหลักเกณฑ์ดังต่อไปนี้

(1) มีข้อกําหนดในการจัดหา พัฒนา และดูแลรักษาระบบสารสนเทศให้มีความมั่นคงปลอดภัย เมื่อมีระบบสารสนเทศใหม่หรือมีการปรับปรุงระบบเดิม

(2) จัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลสารสนเทศ ในกรณีที่มีการเข้าถึงระบบการให้บริการการใช้งาน (application service)

(3) มีการควบคุมการพัฒนาหรือการแก้ไขเปลี่ยนแปลงระบบสารสนเทศในทุกขั้นตอนให้เป็นไปตามขั้นตอนการควบคุมความมั่นคงปลอดภัยด้านสารสนเทศที่กําหนดไว้

(4) มีการทดสอบระบบสารสนเทศที่ได้รับการพัฒนาหรือแก้ไขเปลี่ยนแปลง เพื่อให้มั่นใจได้ว่าระบบสารสนเทศดังกล่าวทํางานได้อย่างมีประสิทธิภาพ สามารถประมวลผลได้อย่างถูกต้องครบถ้วน และเป็นไปตามความต้องการของผู้ใช้งาน

(5) ปรับปรุงแผนบริหารความต่อเนื่องทางธุรกิจให้สอดคล้องกับการพัฒนาหรือการแก้ไขเปลี่ยนแปลงระบบสารสนเทศ

(6) มีการควบคุมบุคลากร ขั้นตอน และเทคโนโลยีสําหรับการพัฒนาระบบสารสนเทศให้มีความมั่นคงปลอดภัยตลอดขั้นตอนการพัฒนาระบบ

(7) มีการดูแล ติดตาม และควบคุมการพัฒนาระบบสารสนเทศของผู้รับดําเนินการให้เป็นไปตามข้อตกลงการใช้บริการ

(8) มีการทดสอบการทํางานของระบบสารสนเทศที่ได้รับการพัฒนา โดยผู้ใช้งานหรือผู้ทดสอบที่เป็นอิสระจากผู้พัฒนาระบบสารสนเทศดังกล่าว

มาตรา ข้อ ๒๕

ข้อ ๒๕ ในกรณีที่ผู้ประกอบธุรกิจแต่งตั้งบุคคลอื่นเป็นผู้รับดําเนินการในงานที่เกี่ยวกับระบบสารสนเทศของผู้ประกอบธุรกิจ ผู้ประกอบธุรกิจต้องดําเนินการให้เป็นไปตามหลักเกณฑ์ดังต่อไปนี้

(1) มีข้อตกลงและกระบวนการควบคุมเกี่ยวกับการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศอย่างเป็นลายลักษณ์อักษรในการใช้บริการจากผู้รับดําเนินการ โดยผู้ประกอบธุรกิจและผู้รับดําเนินการ ต้องมีการลงนามร่วมกันในข้อตกลงและกระบวนการดังกล่าว

(2) มีการติดตาม ประเมิน ทบทวน และตรวจสอบผู้รับดําเนินการอย่างสม่ําเสมอ

(3) มีการประเมินความเสี่ยงและกําหนดกระบวนการบริหารจัดการความเสี่ยงในกรณีที่ผู้รับดําเนินการมีการเปลี่ยนแปลงกระบวนการ ขั้นตอน หรือวิธีการปฏิบัติงานในการรักษาความมั่นคงปลอดภัยในการปฏิบัติงาน หรือเปลี่ยนตัวผู้รับดําเนินการ

(4) มีมาตรการตรวจสอบดูแลให้ผู้รับดําเนินการปฏิบัติตามหลักเกณฑ์การปฏิบัติงานที่คณะกรรมการ ก.ล.ต. คณะกรรมการกํากับตลาดทุน หรือสํานักงาน กําหนดเกี่ยวกับงานที่รับดําเนินการ รวมทั้งระเบียบวิธีปฏิบัติที่ผู้ประกอบธุรกิจกําหนดขึ้นเพื่อให้เป็นไปตามหลักเกณฑ์ดังกล่าว โดยอย่างน้อยมาตรการดังกล่าวต้องสามารถควบคุมให้ผู้รับดําเนินการไม่มีลักษณะที่จะทําให้มีเหตุอันควรเชื่อได้ว่ามีข้อบกพร่องหรือมีความไม่เหมาะสมเกี่ยวกับการควบคุมและการปฏิบัติงานอันดีของธุรกิจ

(5) มีแผนรองรับในกรณีที่เกิดเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ (incident response policy)

(6) กําหนดสิทธิในการเข้าตรวจสอบกระบวนการปฏิบัติงานของผู้รับดําเนินการและควบคุมให้การปฏิบัติงานเป็นไปตามข้อตกลงที่กําหนดไว้ เว้นแต่ในกรณีที่ผู้รับดําเนินการมีข้อจํากัดในการเข้าตรวจสอบการปฏิบัติงานดังกล่าว ผู้ประกอบธุรกิจต้องมีมาตรการเพื่อให้มั่นใจได้ว่าสามารถควบคุมการปฏิบัติงานของผู้รับดําเนินการให้เป็นไปตามข้อตกลงที่กําหนดไว้ได้

(7) มีข้อกําหนดให้ผู้รับดําเนินการยินยอมให้สํานักงานเรียกดู ตรวจสอบเอกสารหลักฐานที่เกี่ยวข้อง หรือสามารถเข้าตรวจสอบการปฏิบัติงานของผู้รับดําเนินการ

ผู้มีอํานาจลงนาม - ประกาศ ณ วันที่ 12 กันยายน พ.ศ. 2559

(นายรพี สุจริตกุล)

เลขาธิการ

สํานักงานคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์

25 มาตรา

อ้างอิงกฎหมายนี้

ประกาศสำนักงานคณะกรรมการ ก.ล.ต ที่ สธ. 37/2559 เรื่อง ข้อกำหนดในรายละเอียดเกี่ยวกับการจัดให้มีระบบเทคโนโลยีสารสนเทศ (Office of the Council of State). Retrieved via LawPlayer, https://lawplayer.com/th/act/pythainlp_f3dac6cd7fd0c529

ที่มา: ระบบกลางกฎหมาย law.go.th (สำนักงานคณะกรรมการกฤษฎีกา).

Thai official texts excluded from copyright (Copyright Act B.E. 2537 s.7);開放資料層 CC BY 署名

本頁資料來源:สำนักงานคณะกรรมการกฤษฎีกา (OCS)·整理提供:法律人 LawPlayer· lawplayer.com