Post on 26-Mar-2020
การรบฟงความเหนรางหลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ
(Information Technology Risk) ของสถาบนการเงน
ฝายนโยบายการก ากบสถาบนการเงน และ ฝายตรวจสอบเทคโนโลยสารสนเทศ
วนท 23 สงหาคม 2560
1
ประเดน
2
เหตผลในการออกหลกเกณฑ
สาระส าคญของหลกเกณฑ
1
2
หลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ (Information Technology Risk) ของสถาบนการเงน
Customers
Deposit
Loan
Trade Finance
Cash Management
Credit Card
Cheque
Products
AccessControlSystem
Server
CCTV
Network
Branch
EDC
ATM /CDM
Channels
Internet
ระบบประมวลผลของ สง. รองรบธรกจ (Data Center)
Payment Gateway
MobileRetail / Corp
3
ธรกจ สง. ในปจจบนขบเคลอนดวยเทคโนโลย
ไทยม cyber threat สงเปน “อนดบ 11 ของโลก”และ “อนดบ 5 ของเอเชย”
เปาหมายหลกของ Hacker คอ “ภาคการเงน”
ผลกระทบจากภยคกคามฯ : 689 ลานคน 126 พนลานบาทDDos attack / ransomware (Wannacry / Petya) / ต ATM ถก malware
อนๆ 48%
การเงน52%
ภยคกคามทางไซเบอรและผลกระทบเพมมากขน
เปาหมายของการก ากบดแล การเปลยนแปลงการด าเนนธรกจของ สง.
สง. มการใช IT ทสอดคลองกบกลยทธในการด าเนนธรกจ และพรอมรบการเปลยนแปลง
คณะกรรมการ สง. และผบรหารระดบสงมบทบาทส าคญในการก ากบดแลความเสยงดาน IT
สง. มการยกระดบความเสยงดาน IT เปนความเสยงทส าคญขององคกร (Enterprise-Wide-Risk)
สง. มการบรหารจดการโครงการดาน ITทรดกมและมประสทธภาพ
สง. มการรกษาความมนคงปลอดภย และการบรหารความเสยงดาน IT
ใหสอดคลองกบความเสยงทเพมมากขน
• หลกเกณฑปจจบนอาจไมเพยงพอรองรบการใช IT และความเสยงทมากขน
• ไมมเกณฑก ากบดแลการบรหารจดการ IT Risk แบบองครวม
4
การยกระดบแนวทางการก ากบดแลดาน IT
ปจจบน แนวทางการปรบปรง
ประกาศ ธปท. ท สนส. 26/2551เรอง การอนญาตให ธพ. ใหบรการ e-banking
การใหบรการ e-Banking
(1) ขอบเขตและเงอนไขในการใหบรการ e-Banking(2) หลกเกณฑการก ากบดแลการใหบรการ e-Banking
การรกษาความปลอดภยในการใหบรการ e-banking
(1) การรกษาความปลอดภยในการใหบรการ e-Banking(2) แผนฉกเฉนดาน IT
การใหบรการ e-Money
(1) คณลกษณะของ e-Money(2) หลกเกณฑการก ากบดแลการใหบรการ e-Money
ประกาศการใหบรการผานชองทางตาง ๆ
(1) ขอบเขตการใหบรการผานชองทางตาง ๆ ของ ธพ.(2) หลกเกณฑการก ากบดแลการใหบรการแตละชองทาง
ประกาศ IT risk ของ สง. (รบฟงความเหนครงน)
การรกษาความมนคงปลอดภยและการบรหารความเสยงดาน IT ของทงองคกร เชน IT Governance / การรกษาความปลอดภยดาน IT / การบรหารความเสยงดาน IT / การตรวจสอบงาน IT
ประกาศการใหบรการ e-Money (สนส. 18/2559)
(1) ขอบเขตการใหบรการ e-Money(2) หลกเกณฑการก ากบดแลการใหบรการ e-Money
1
แบงออกเปนประกาศ 3 ฉบบ ไดแก
2
3
5
การปรบปรงหลกเกณฑของ ธพ. ทเกยวของ
ปจจบน แนวทางการปรบปรง
ประกาศ ธปท. ท สนส. 27/2551เรอง การอนญาตให บง. บค. ใหบรการ e-banking
การใหบรการ e-Banking
(1) ขอบเขตและเงอนไขในการใหบรการ e-Banking(2) หลกเกณฑการก ากบดแลการใหบรการ e-Banking
การรกษาความปลอดภยในการใหบรการ e-banking
(1) การรกษาความปลอดภยในการใหบรการ e-Banking(2) แผนฉกเฉนดาน IT
ใชประกาศฉบบเดม
ประกาศ IT risk ของ สง. (รบฟงความเหนครงน)
การรกษาความมนคงปลอดภยและการบรหารความเสยงดาน IT ของทงองคกร เชน IT Governance / การรกษาความปลอดภยดาน IT / การบรหารความเสยงดาน IT / การตรวจสอบงาน IT
แบงออกเปนประกาศ 2 ฉบบ ไดแก
6
การปรบปรงหลกเกณฑของ บง. และ บค. ทเกยวของ
1
2
ภาพรวมการก ากบดแลความเสยงดาน IT ของ สง.
ประกาศ ธปท. เรอง หลกเกณฑการก ากบ
ดแลความเสยงดานเทคโนโลยสารสนเทศ
(Information Technology Risk) ของสถาบนการเงน
แนวปฏบตในการบรหารความเสยง
ดานเทคโนโลยสารสนเทศ (IT Risk Management
Implementation Guideline)
ISO / IEC 27001: 2013
มาตรฐานสากล
หลกเกณฑการก ากบดแลในตางประเทศ
สถาบนการเงนทกแหง และอาจพจารณาใชกบ SFIs ในอนาคต
สถาบนการเงนทกแหง และ SFIs
7
หลกเกณฑการก ากบดแลความเสยงดาน IT ของ สง.
CIAIT
ConfidentialityIntegrityAvailability
8
หลกเกณฑการก ากบดแลความเสยงดาน IT ของ สง.
สาระส าคญของประกาศ เรอง หลกเกณฑการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ (Information Technology Risk) ของ สง.
การก ากบดแลความเสยงดาน IT
IT Governance
การรายงานปญหาหรอเหตการณผดปกต
การขออนญาตกรณเปลยนแปลงการใชเทคโนโลยอยางมนยส าคญ
การขอผอนผนการปฏบตตามหลกเกณฑ
IT Security
IT Risk Management
IT Project Management
IT Compliance
IT Audit
บทบาทหนาทคณะกรรมการ / โครงสรางการก ากบดแล / การบรหารจดการบคลากร / การสงเสรมใหตระหนกถงความเสยงดาน IT / นโยบายทเกยวของกบ IT Risk
Asset management / Information / Access control / Physical and environmental / Communications / IT operations / Acquisition and development / Incident and problem management / Contingency plan / Supplier management
Assessment / Treatment / Monitoring and review / Reporting
Feasibility study / Project management framework
1
2
3
4
1.1
1.2
1.3
1.6
1.4
1.5
CIAIT
ConfidentialityIntegrityAvailability
1st line
2nd line
3rd line
9
หลกเกณฑทเกยวของ
บทบาทและหนาทของคณะกรรมการของ สง.
• มกรรมการอยางนอย 1 ทานทมความร / ประสบการณดาน IT• ดแลการใช IT ใหสอดรบกบ business strategy และพรอมรบการเปลยนแปลงทงดาน IT และดานธรกจ• ดแลใหมการบรหารความเสยงดาน IT โดยถอเปนสวนหนงของ Enterprise risk management : ERM• อนมตนโยบายดาน IT ดแลและตดตามการน าไปใชอยางเหมาะสม นโยบายการรกษาความมนคงปลอดภยดาน IT (IT security policy) รวมถงนโยบายการจดท าแผนฉกเฉน
ดาน IT
นโยบายการบรหารความเสยงดาน IT (IT risk management policy)
• ดแลใหมการตดตาม ตรวจสอบ และรายงานตอคณะกรรมการ สง. / คณะกรรมการทไดรบมอบหมาย / ผบรหารระดบสง
• สงเสรม IT awareness ในองคกรใหตระหนกถงความส าคญของความเสยง IT และใช IT ไดอยางถกตอง
คณะกรรมการตองไดรบการอบรมใหความรดาน ITอยางเพยงพอ เพอก ากบดแล IT อยางมประสทธภาพ
1
การก ากบดแลความเสยงดาน IT
IT Governance : ธรรมาภบาลดาน IT
1
1.1
• ประกาศ ธปท. ท สนส. 13/2552 เรอง ธรรมาภบาลของสถาบนการเงน • ประกาศ ธปท. ท สนส. 15/2552 เรอง อ านาจหนาทของกรรมการของสถาบนการเงนทธนาคารแหงประเทศไทยใหความส าคญสงสด
คณะกรรมการ สง. ตองมความรหรอประสบการณดาน IT อยางเพยงพอทจะก ากบดแลและสนบสนนใหองคกรมการบรหารความเสยงดาน IT ทเหมาะสมและสอดคลองกบการด าเนนธรกจ
• 3 lines of defence :มการถวงดลอยางอสระ โดยแบงแยกหนาทระหวาง (1) การปฏบตงานดาน IT (2) การบรหารความเสยงดาน ITและ (3) การตรวจสอบดาน IT
• IT committees : (1) คณะกรรมการทท าหนาทก ากบดแลการปฏบตงานดาน IT : ดแลการก าหนดกลยทธดาน IT / ดแลและ
ตดตามการปฏบตงานดาน IT ใหเปนไปตามกลยทธทก าหนด(2) คณะกรรมการทท าหนาทก ากบดแลการบรหารความเสยงดาน IT : ดแลการก าหนดนโยบายการบรหาร
ความเสยงดาน IT / ดแลและตดตามใหเปนไปตามนโยบายทก าหนด โดยเชอมโยงกบความเสยงในภาพรวมของ สง. / ดแลการปฏบตตามหลกเกณฑ (IT compliance)
(3) คณะกรรมการทท าหนาทก ากบดแลใหมการตรวจสอบดาน IT : ดแลการตรวจสอบการปฏบตงานดาน ITและการบรหารความเสยงดาน IT / สอบทานการปฏบตตามหลกเกณฑ
สนบสนนใหมผบรหารระดบสง หรอ หวหนาหนวยงานทท าหนาทบรหารจดการ IT Security (เชน CISO) เปนผทมความรความสามารถดาน IT security มความเปนอสระจากหนวยงานทปฏบตงานดาน IT
10
โครงสรางการก ากบดแล
2โครงสรางองคกรตองเออตอการบรหารความเสยงดาน IT ทเหมาะสม และสอดคลองตามหลก 3 lines of defence
การก ากบดแลความเสยงดาน IT
IT Governance : ธรรมาภบาลดาน IT
1
1.1
1st line : IT Operation 2nd line : IT Risk Management 3rd line : IT Audit
IT steering committee
ระบความเสยง
Head of Audit
ฝายตรวจสอบภายใน
ตรวจสอบตามแผนอยางนอยปละ 1 ครง และเมอมการเปลยนแปลงอยางมนยส าคญ
Chief IT Officer : CIO
Board of directors (BOD)
Optional
แนวทางการจดโครงสรางการก ากบดแลความเสยงดาน IT
Chief Risk Officer : CRO
ฝายบรหารความเสยง
วเคราะหความเสยง
ประเมนคาความเสยง
จดการความเสยง
ตดตามและทบทวนความเสยง
รายงานผลการบรหารความเสยง
รายงานผลการตรวจสอบและตดตามประเดนจากการตรวจสอบ
ฝายงาน IT
บรหารจดการทรพยสนดาน IT
จดหาและพฒนาระบบ
จดการเหตการณผดปกตและปญหา
จดท าแผนฉกเฉนดาน IT
บรหารจดการโครงการดาน IT
• ผบรหารระดบสง / หวหนาสายงาน ท าหนาทดแลงาน IT security : ก าหนดแนวทางดแล IT security / ควบคมใหมการปฏบตตาม / ตดตามดแลระบบ / เฝาระวงภยคกคาม
• มความเปนอสระจากหนวยงานทท าหนาทปฏบตงานดาน IT
Policy Day to day operation (SOC)
IT Compliance
เชน CISO
Head of Securityรกษาความมนคงปลอดภยดาน IT
CEO
รายงาน CEO/CRO
11
Risk committee
Audit committee
• มขอก าหนดในสญญาจางงานในเรองความรบผดชอบเกยวกบการรกษาความมนคงปลอดภยดาน IT หากมการเขาถงขอมล
• มการอบรมใหบคลากรมความรและทกษะทเพยงพอตอการปฏบตงานทเกยวของ • มการบรหารจดการสทธของบคลากรใหเปนปจจบน โดยเฉพาะเมอมการเปลยนแปลงต าแหนง / การจางงาน
บคลากร : ผบรหารระดบสง และบคลากรทใช IT ของ สง.
12
3
4
การบรหารจดการบคลากร
บคลากรตองมความรและความช านาญเพยงพอในการปฏบตงานทเกยวกบดาน IT และมปรมาณบคลากรเพยงพอ โดยบคลากรทกระดบมความตระหนกถงความส าคญของการรกษาความมนคงปลอดภยดาน IT
• มกระบวนการคดเลอกบคลากรดาน IT ทเหมาะสม ใหมความร / ประสบการณ เพยงพอตอการท าหนาทตามทไดรบมอบหมาย
• มบคลากรเพยงพอรองรบการใช IT ในปจจบนและตามแผนงานในอนาคต
บคลากรดาน IT : บคลากรทท าหนาทปฏบตงานดาน IT / บรหารความเสยงดาน IT / ตรวจสอบดาน IT
การสงเสรม IT risk awareness
คณะกรรมการและบคลากรทกระดบตองมความเขาใจและตระหนกถงความส าคญของความเสยงดาน IT และการใช IT อยางปลอดภย
การก ากบดแลความเสยงดาน IT
IT Governance : ธรรมาภบาลดาน IT
1
1.1
1
3rd line - IT Audit
Internet banking
Mobile banking
ATM / CDM
Branch
1st line - IT Operation IT security policy
ประกาศ ธปท. ท สนส. 19/2559IT Outsourcing
รางประกาศ Banking channel
แนวปฏบต BCM / BCP (3 ส.ค. 51)
2nd line - IT Risk Management & Compliance
IT contingency plan
Service provider
IT Outsourcing
IT Risk Mangement IT Compliance
ศนยคอมพวเตอรส ารอง
ศนยคอมพวเตอรหลก
Data Center
Network Equipment เชน firewall/ router
Servers ประมวลขอมลจากระบบตาง ๆ เชน Branch / ATM / Internet Banking
Core banking
หนาทและกระบวนการในการรกษาความมนคงปลอดภยและการบรหารความเสยง แบงตามหลกการ 3 lines of defence
13
การก ากบดแลความเสยงดาน IT1
หลกเกณฑทเกยวของ
Card (EDC)
Payment agent
IT asset management
2 4 5
32 Information security Access control
Information / Physical & environmental / Communications security
5 Communications security
6
7
8
9
10
IT operations securitySystem acquisition and developmentIT incident and problem management
Supplier management
ตรวจสอบการปฏบตงานของ IT Operation และ IT Risk Management
โครงสรางและหนาทในการดแลความเสยงดาน IT
IT Security1.2
การบรหารจดการทรพยสนดาน IT• จดท าทะเบยนทรพยสนดาน IT เพอใหสามารถระบรายการ
ทรพยสนใหครบถวน และน าไปใชในการก าหนดแนวทางการรกษาความมนคงปลอดภยไดอยางเหมาะสม
01
14
โครงสรางและหนาทในการดแลความเสยงดาน IT
การควบคมการเขาถง• ควบคมการเขาถงระบบปฏบตการ ระบบงาน และระบบจดการ
ฐานขอมล• จดการสทธและตรวจสอบยนยนตวตนตามสทธทก าหนด
03
การรกษาความมนคงปลอดภยของขอมล• จดชนความลบของขอมล• เกบรกษาและท าลายขอมลใหเหมาะสมกบชนความลบ• บรหารจดการการเขารหสขอมลทเชอถอไดและเปนมาตรฐานสากล
02
การรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม• รกษาความมนคงปลอดภยของศนยคอมพวเตอรและพนททเกยวของ• มระบบปองกนและกระบวนการในการบ ารงรกษาอปกรณและระบบ
เพอปองกนความเสยหายและใหมความพรอมใชงาน
04
การรกษาความมนคงปลอดภยของระบบเครอขาย• รกษาความมนคงปลอดภยระบบเครอขายของ สง.• สามารถปองกนการบกรกหรอภยคกคาม
05
การรกษาความมนคงปลอดภยในการปฏบตงานดาน IT• ก าหนดหนาทและขนตอนการปฏบตงานตาง ๆ ทางดาน IT06
การจดหาและการพฒนาระบบ• ก าหนดเกณฑในการคดเลอกระบบและผใหบรการทชดเจน• ออกแบบ พฒนา และทดสอบระบบ ใหมความมนคงปลอดภย
มความยดหยน และมการบ ารงรกษาอยางสม าเสมอ
07
การบรหารจดการเหตการณผดปกตและปญหา• บนทก วเคราะห และรายงานเหตการณผดปกต ปญหา และการแกไข• วเคราะหสาเหตทแทจรงของปญหา (root cause) และหาทาง
ปองกน
08
การจดท าแผนฉกเฉนดาน IT• มคณะท างาน / หนวยงานทรบผดชอบในการจดท าแผน• จดท าคมอ / เอกสารประกอบการด าเนนการตามแผนฉกเฉน• ทบทวนแผนและทดสอบการปฏบตตามแผนปละครง• มศนยคอมพวเตอรส ารองททดแทนศนยคอมพวเตอรหลกได
09
การบรหารจดการผใหบรการภายนอก / พนธมตรทางธรกจ• จดท าสญญา / ขอตกลงในการใหบรการ• ตองค านงถงความตอเนองและขอจ ากดเมอมการเปลยน / ยกเลก
10
1st line : IT Operation
15
การรกษาความมนคงปลอดภยในการปฏบตงานดาน IT• ก าหนดหนาทและขนตอนการปฏบตงานตาง ๆ ทางดาน IT06
6.1การก าหนดหนาทและขนตอนการปฏบตงานก าหนดหนาทและขนตอนการปฏบตงานดาน IT ใหชดเจน
6.2การบรหารจดการขดความสามารถของระบบบรหารจดการขดความสามารถของระบบ (capacity management) ใหเพยงพอรองรบธรกจ
6.3การรกษาความปลอดภยของ server / endpointปองกนการรวไหลของขอมลหรอการเขาใชงานโดยไมไดรบอนญาต
6.4การส ารองขอมล (data backup)ส ารองขอมล ดวยวธการและระยะเวลาทเหมาะสม ใหมขอมลส ารองพรอมใชงาน
6.5การจดเกบบนทกเหตการณ (logging)บนทกเหตการณ เพอใหตดตามและตรวจสอบการเขาถงและการใชงานของระบบและขอมล
6.6การตดตามดแลระบบและเฝาระวงภยคกคามตดตามดแลระบบ (security monitoring) และเฝาระวงภยคกคาม เพอใหรบมอไดทนทวงท
6.7การประเมนชองโหว (vulnerability assessment)ประเมนชองโหวของ server ระบบงาน และอปกรณเครอขายทส าคญสม าเสมอ
6.8การทดสอบเจาะระบบ (penetration test)ทดสอบเจาะระบบ โดยผเชยวชาญภายใน / ภายนอก ทมความเปนอสระ โดยเฉพาะระบบทเปน internet facing
6.9การบรหารจดการการเปลยนแปลงบรหารจดการและควบคมการเปลยนแปลง (change management) อยางรดกมเพยงพอ
6.10การบรหารจดการการตงคาระบบควบคมการตงคาของระบบทใชงานจรง (system configuration) และทดสอบการตงคาอยางสม าเสมอ
ก าหนดเกณฑทชดเจนในการคดเลอกระบบและผใหบรการ เพอใหมนใจไดวา• สามารถตอบสนองความตองการ
ในการด าเนนธรกจของ สง. ได• มความยดหยนตอการเปลยนแปลง
ผใหบรการ เทคโนโลย และกลยทธของ สง.
จดใหมการบ ารงรกษาอยางสม าเสมอ เพอใหมความพรอมใชงานและรองรบการด าเนนธรกจอยางตอเนอง
จดใหมการออกแบบ พฒนา และทดสอบระบบ เพอใหระบบมความมนคงปลอดภย และยดหยนเพยงพอทจะรองรบการเปลยนแปลงระบบในอนาคต โดยครอบคลมในเรอง • เอกสารรายละเอยดคณสมบตทางเทคนค • กระบวนการ / เครองมอในการควบคมเวอรชน• การแบงแยกบทบาทหนาทและความรบผดชอบ• การแบงแยกสภาพแวดลอมของระบบงาน• การทดสอบกอนใชงานจรง • การควบคมรกษาความมนคงปลอดภยและความลบ
ของขอมล • การจดท าคมอและอบรมผใชงานระบบและผรกษาระบบ
16
การจดหาและการพฒนาระบบ• ก าหนดเกณฑในการคดเลอกระบบและผใหบรการทชดเจน• ออกแบบ พฒนา และทดสอบระบบ ใหมความมนคงปลอดภย มความยดหยน และมการบ ารงรกษา
อยางสม าเสมอ
07
การบ ารงรกษาระบบ(system maintenance)
การพฒนาระบบ(system development)
การจดหาระบบ(system acquisition)
ผรบผดชอบในการจดท าแผน• มคณะท างาน/หนวยงานทรบผดชอบ
ในการจดท าแผนฉกเฉนดาน IT • จดท าแผนเปนลายลกษณอกษร
ใหสอดคลองตามนโยบายทก าหนด• แผนตองไดรบอนมตจาก
คณะกรรมการ สง.
แผนตองรองรบความเสยงโดยค านงถง• รปแบบและความซบซอน
ของการด าเนนธรกจของ สง. • การบรหารความเสยงทอาจ
เกดจากเหตการณความเสยหาย/ความเสยงอน
แผนตองมความเปนไปไดในทางปฏบต• รองรบความเสยหายทเกดขนไดจรง• สอดคลองกบแนวปฏบต BCM / BCP• มการก าหนดระยะเวลา RTO /
RPO / MTPD
คมอ / เอกสารประกอบการด าเนนการตามแผน • จดท าคมอ / เอกสารประกอบ
การด าเนนการตามแผน• ประชาสมพนธแผนและฝกอบรม
ใหแกพนกงานทเกยวของทกคน
การทบทวนและทดสอบการปฏบตตามแผน• ทบทวนและทดสอบ
การปฏบตตามแผนอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลง
ศนยคอมพวเตอรส ารอง• มความพรอมใชงาน• ปฏบตงานทดแทนเมอศนย
คอมพวเตอรหลกหยดชะงก • ตงอยหางจากศนยคอมพวเตอร
หลกเพยงพอ มใหเกดผลกระทบลกษณะเดยวกนพรอมกน
17
การจดท าแผนฉกเฉนดาน IT• มคณะท างาน / หนวยงานทรบผดชอบในการจดท าแผน• จดท าคมอ / เอกสารประกอบการด าเนนการตามแผนฉกเฉน• ทบทวนแผนและทดสอบการปฏบตตามแผนปละครง• มศนยคอมพวเตอรส ารองททดแทนศนยคอมพวเตอรหลกได
09
ผใหบรการภายนอกทอาจเขาถงขอมลส าคญของ สง.
การบรหารจดการผใหบรการภายนอก
• ผใหบรการภายนอกดานงานเทคโนโลยสารสนเทศ ตามประกาศ IT Outsourcing • ผใหบรการภายนอกอน • พนธมตรทางธรกจ เชน banking agent / FinTech ทมการเชอมโยง API กบขอมลของ สง.
• สญญาหรอขอตกลงตองระบหนาท ความรบผดชอบ เงอนไขในการใหบรการทเกยวของกบขอมลทส าคญ ความรบผดชอบตอการรวไหลของขอมล เชน การท าลายขอมลของ สง. / ลกคา เมอสนสดสญญาหรอเลกใชบรการ
• ค านงถงความตอเนองในการด าเนนธรกจของ สง. ขอจ ากดในการเปลยนแปลง / ยกเลกสญญา และพรอมรบการเปลยนแปลงดาน IT
18
การบรหารจดการผใหบรการภายนอก / พนธมตรทางธรกจ• จดท าสญญา / ขอตกลงในการใหบรการ• ตองค านงถงความตอเนองและขอจ ากดเมอมการเปลยน / ยกเลก
10
IT Risk Management – มการบรหารความเสยงอยางมประสทธภาพตาม IT risk management policy ทก าหนด
• ปฏบตตามกฎหมาย / หลกเกณฑทเกยวกบ IT เชน พ.ร.บ. ธรกรรมทางอเลกทรอนกส และ พ.ร.บ. ระบบการช าระเงน
IT compliance
การประเมนความเสยง (risk assessment)• ระบความเสยง (risk identification) : ระบความเสยง ภยคกคาม และชองโหวทส าคญ• วเคราะหความเสยง (risk analysis) : เขาใจและวเคราะหความเสยง เพอหาแนวทางจดการทเหมาะสม• ประเมนคาความเสยง (risk evaluation) : ประเมนโอกาสและผลกระทบตอการปฏบตงานและการด าเนนธรกจ
*** มการทบทวนระเบยบวธปฏบตและกระบวนการการบรหารความเสยงดาน IT อยางนอยปละ 1 ครง และทกครงทเปลยนแปลง ***
19
2nd line : IT Risk Management and Compliance
การจดการความเสยง (risk treatment)• มแนวทางในการจดการ ควบคม และปองกนความเสยงทเหมาะสม สอดคลองกบผลการประเมนความเสยง
การตดตามและทบทวนความเสยง (risk monitoring and review)• ตดตามและทบทวนความเสยง ใหอยในระดบความเสยงทยอมรบได (risk appetite)
การรายงานความเสยง (risk reporting)• รายงานผลการบรหารความเสยงและแนวโนมของความเสยงตอคณะกรรมการ สง.
IT Risk Management
IT Compliance
1.3
1.4
โครงสรางและหนาทในการดแลความเสยงดาน IT
IT Audit – มการตรวจสอบการปฏบตงานของ IT operation (1st line) และ IT risk management (2rd line)
ตองมความร ประสบการณ ความเชยวชาญ และ มความเปนอสระจากหนวยงานทท าหนาทปฏบตงานและบรหารความเสยง
ผตรวจสอบดาน IT
การตรวจสอบ
- ตรวจสอบดาน IT ตามแผนงานและขอบเขต อยางนอยปละ 1 ครง และเมอมเหตการณผดปกตทมนยส าคญ- ประเมนความมนคงปลอดภยในการใช IT อยางนอยทก 3 ป โดยผเชยวชาญภายนอกทมความเปนอสระ
รายงานการตรวจสอบ
จดท ารายงานผลการตรวจสอบเสนอตอคณะกรรมการตรวจสอบ และจดเกบให ธปท. ตรวจสอบหากรองขอ
แผนงานและขอบเขตการตรวจสอบ
สอดคลองกบความส าคญและความเสยงของการใช IT และ IT risk management policy โดยทบทวนอยางนอยปละ 1 ครง
ตดตามประเดนจากการตรวจสอบ และรายงานประเดนส าคญใหกบคณะกรรมการตรวจสอบและฝายงานทเกยวของ
การตดตามประเดนการตรวจสอบ
20
โครงสรางและหนาทในการดแลความเสยงดาน IT
3rd line : IT AuditIT Audit
1.5
ประเมนความจ าเปนและประโยชนทคาดวาจะไดรบ
จดล าดบความส าคญของโครงการ
จดล าดบความส าคญของโครงการ และเสนอขออนมตตอคณะกรรมการ สง. / คณะกรรมการทไดรบมอบหมาย / ผบรหารระดบสง
จดท ากรอบการบรหารโครงการ (IT project management framework)
Project manager
Project management office (PMO)
คณะกรรมการก ากบดแลโครงการ
ประเมนความเสยงและผลกระทบทอาจเกดขนตอฝายงานอนและระบบทเกยวของ และเลอกใชเทคโนโลยทเหมาะสม
บรหารจดการโครงการแตละโครงการ
ตดตามความคบหนาและรายงานความคบหนาของโครงการตอคณะกรรมการ สง. / คณะกรรมการก ากบดแลโครงการ /
ผบรหารระดบสง
ก ากบดแลความคบหนา ใหค าแนะน า พจารณาตดสนใจการด าเนนงานของโครงการทส าคญ
21
IT Project Management : การบรหารจดการโครงการดาน IT1.6
การก ากบดแลความเสยงดาน IT1
แผนการเปลยนแปลงการใชเทคโนโลยทมผลกระทบหรอมความเสยงอยางมนยส าคญ
รายละเอยดการใชเทคโนโลย การบรหารความเสยง
การคมครองลกคา แผนฉกเฉนดาน IT+
หยดใหบรการระบบชวคราว (Planned downtime)
เกดเหตการณท IT ทส าคญเกดปญหา / ขดของ สงผลกระทบตอผใชบรการในวงกวาง หรอเกดเหตการณท IT ทส าคญ ถกโจมตหรอถกขโจมต เชน การแพรกระจายไวรส / DDos attack / Web defacement
ยนขออนญาตมายง ธปท. กอนเปลยนแปลงการใชเทคโนโลย
รายงานทนทเมอเกด / รบรเหตการณ โดยสามารถแจงสาเหตและการแกไขปญหาเพมเตมภายหลงได
รายงานแผนหยด / ปดระบบลวงหนา 15 วน
22
การรายงานปญหาหรอเหตการณผดปกตจากการใช IT2
การขออนญาตกรณเปลยนแปลงการใชเทคโนโลยอยางมนยส าคญ3
23
1 มกราคม 2561
วนทมผลบงคบใช
• หาก สง. ไมสามารถปฏบตตามหลกเกณฑได ใหยนขอผอนผนมาเปนรายกรณ พรอมแสดงเหตผลและความจ าเปน และแผนการด าเนนการเพอใหปฏบตตามหลกเกณฑได
การขอผอนผนการปฏบตตามหลกเกณฑ4
24
สามารถสงความเหนมายงทมกลมธรกจและนวตกรรม
ฝายนโยบายการก ากบสถาบนการเงน
e-mail : CS&FITeam@bot.or.th
ภายในวนท 31 ส.ค. 2560