Professional Documents
Culture Documents
BOT Cyber Resilience Framework 2019
BOT Cyber Resilience Framework 2019
ฝ่ายกากับและตรวจสอบความเสี่ยงด้านเทคโนโลยีสารสนเทศ
สายนโยบายระบบการชาระเงินและเทคโนโลยีทางการเงิน
1 สถาบั นการเงิน (สง.) ในกรอบการบริห ารจั ดการด้าน Cyber Resilience ฉบั บ นี้ หมายถึ ง ธนาคารพาณิชย์ สถาบั นการเงินเฉพาะกิจ ซึ่งรวมถึ ง
บริษัทหรือกลุ่มบริษัทด้านเทคโนโลยีสารสนเทศที่ สง. จัดตั้งขึ้นเพื่อทาหน้าที่บริหารจัดการด้านเทคโนโลยีสารสนเทศแทนหน่วยงานด้านเทคโนโลยี
สารสนเทศของ สง. เอง และให้รวมถึงผู้ให้บริการการชาระเงินทางอิเล็กทรอนิกส์ โดยอนุโลมด้วย
3. ลักษณะผลิตภัณฑ์และการให้บริการ
ระดับความเสี่ยง ผลการ
ปัจจัย การพิจารณา / เหตุผลประกอบ
ต่า ปานกลาง สูง ประเมิน
3.1 จานวนการให้บริการบัตร ได้แก่ น้อยกว่า 500,000 ใบ 500,000- มากกว่า 13,000,000 ใบ - การพิจารณา นับจานวนบัตรทั้งหมด (รวม Fleet Card,
บัตรATM บัตรเดบิต บัตรเครดิต 13,000,000 ใบ Virtual Debit/Credit Card) ที่มีในปัจจุบัน เฉพาะที่ สง.
บัตร Virtual Debit/Credit Card เป็นผู้ออกบัตรเอง ไม่รวมบัตรที่ออกโดยบริษัทในเครือ
และบัตรกดเงินสดอื่นๆ และไม่รวมบัตรเติมเงิน
1.4.2 กระบวนการตรวจสอบ
Maturity Level ระบบการควบคุมที่พึงมี
Baseline 1.4.2.1 สถาบันการเงินมีการทบทวนและปรับปรุงกระบวนการตรวจสอบ โดยคานึงถึงการเปลี่ยนแปลงระดับความเสี่ยงด้านไซเบอร์ของสถาบันการเงิน
Intermediate 1.4.2.2 สถาบั น การเงินมีการทบทวนและปรับปรุงกระบวนการตรวจสอบ โดยคานึงถึงการเปลี่ยนแปลงรูปแบบ ภัยคุกคามทางไซเบอร์
ในภาคธุรกิจการเงินที่กระทบ
Advanced 1.4.2.3 สถาบันการเงินมีการทบทวนและปรับปรุงกระบวนการตรวจสอบ โดยคานึงถึงการเปลี่ยนแปลงรูปแบบภัยคุกคามทางไซเบอร์ในภาคธุรกิจอืน่ ๆ
ที่เกี่ยวข้องที่กระทบ เช่น ธุรกิจโทรคมนาคม เป็นต้น
1.5 การบริหารจัดการบุคลากรและการฝึกอบรม
1.5.1 การบริหารจัดการบุคลากรที่เกี่ยวข้องกับงานความมั่นคงปลอดภัยไซเบอร์
Maturity Level ระบบการควบคุมที่พึงมี
Baseline 1.5.1.1 สถาบันการเงินกาหนดบทบาทหน้าที่และความรับผิดชอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ไว้ชัดเจน
1.5.1.2 สถาบันการเงินมีการกาหนดคุณสมบัติ ความรู้ และความเชี่ยวชาญของบุคลากรที่รับผิดชอบงานด้านการรักษาความมั่นคงปลอดภัย
ไซเบอร์ไว้ชัดเจน
1.5.1.3 สถาบั น การเงินมีกระบวนการตรวจสอบประวัติข องบุ คลากรก่อ นการว่าจ้า งตามความเสี ่ย งของตาแหน่ง งานและหน้า ที ่ค วาม
รับผิดชอบ เช่น ประวัติการศึกษา ประวัติการทางาน ประวัติอาชญากรรม ข้อมูลเครดิตบูโร ข้อมูลการทุจริต (ถ้ามี) เป็นต้น
1.5.1.4 ผู้บริหารและพนักงานที่ทาหน้าที่รักษาความมั่นคงปลอดภัยไซเบอร์มีคุณสมบัติ ความรู้ และความเชี่ยวชาญเป็นไปตามที่สถาบันการเงิน
กาหนดหรือสามารถปฎิบัติงานได้ตามหน้าที่และความรับผิดชอบที่ได้รับมอบหมาย
1.5.1.5 สถาบันการเงินมีกระบวนการจัดการหรือเฝ้าระวังพนักงานที่กาลังจะพ้นสภาพการเป็นพนักงานหรือบริษัทที่กาลังจะสิ้นสุดสัญญากับ
สถาบันการเงิน ในการเข้าถึงระบบงานและทรัพยากรที่สาคัญของสถาบันการเงิน
ทรัพย์สินสารสนเทศประเภทซอฟต์แวร์ (Software)
ระดับ
เลขทะเบียน ความมั่นคง วันที่ เลขทะเบียน
จานวน ประเภท รายละเอียด ผู้เป็นเจ้าของ
ทรัพย์สิน ชื่อซอฟต์แวร์ ผู้พัฒนา ปลอดภัย ที่เก็บซอฟต์แวร์ ลงทะเบียน ทรัพย์สินฮาร์ดแวร์
ลิขสิทธิ์ ซอฟต์แวร์ ซอฟต์แวร์ ซอฟต์แวร์
สารสนเทศ (สูงสุด/สูง/ ซอฟต์แวร์ (ใช้อ้างอิง)
ปานกลาง/ต่า)