Page 98 - พระราชบัญญัติ15.5x23
P. 98
แนวปฏิบัติการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ
ที่เกี่ยวข้องกับการให้บริการการช าระเงินทางอิเล็กทรอนิกส์ของสถาบันการเงินเฉพาะกิจ
เพื่อสนับสนุนให้การประกอบธุรกิจของผู้ให้บรการการช าระเงินทางอเล็กทรอนกส์
ิ
ิ
ิ
ที่เป็นสถาบันการเงินเฉพาะกิจ เป็นไปอย่างมีประสิทธิภาพ ปลอดภัย ถูกต้อง และน่าเชื่อถือ ธนาคารแห่ง
ิ
ั
ิ
้
ประเทศไทยไดจัดท าแนวปฏบัตเพื่อเป็นแนวทางในการก าหนดมาตรการการรกษาความมั่นคงปลอดภัย
ิ
ิ
ิ
ี้
ิ
ทางระบบสารสนเทศที่เกี่ยวข้องกับการให้บรการการช าระเงินทางอเล็กทรอนกส์ แนวปฏบัตนเป็นเพียง
ิ
ั
กรอบแนวทางทั่วไป ผู้ให้บรการอาจก าหนดมาตรการการรกษาความมั่นคงปลอดภยที่แตกตางจากแนว
ิ
ั
่
้
ิ
ปฏบัตฉบับนี้ไดหากสามารถป้องกันความเสี่ยงทางระบบสารสนเทศไดอยางมีประสิทธิภาพเพียงพอ และ
ิ
้
่
อยู่ในมาตรฐานที่ยอมรับได้ นอกจากนี้ ผู้ให้บริการต้องพิจารณาปรับใช้และก าหนดรายละเอยดของมาตรการ
ี
ิ
การรักษาความมั่นคงปลอดภยทางระบบสารสนเทศของให้บรการให้เหมาะสมกับประเภทและความซับซ้อน
ั
ของธุรกิจตนเองด้วย
สาระส าคัญของแนวปฏิบัติฉบับนี้ประกอบด้วย
๑. การควบคุมการเข้าถึง และการพิสูจน์ตัวตนผู้ใช้
ิ
้
ื
ผู้ให้บรการตองค านงถึงการก าหนดบุคลากรหรอหนวยงานทางเทคโนโลย ี
่
ึ
์
้
ั
สารสนเทศและการแบ่งแยกหนาที่ให้เหมาะสม การควบคุมการเข้าถึงระบบสารสนเทศ การพิสูจนตวตน
ผู้ใช้ และการป้องกันการปฏิเสธการรับผิด ดังน ี้
๑.๑ การก าหนดบุคลากรหรือหน่วยงานทางระบบสารสนเทศ และการ
แบ่งแยกอ านาจหน้าที่ที่เหมาะสมในการบริหารจัดการทางระบบสารสนเทศของผู้ให้บริการ
ผู้ให้บรการตองก าหนดหนาที่และความรบผิดชอบของบุคลากรหรอ
ั
้
้
ื
ิ
ั
่
ิ
้
ู
หนวยงานที่ดแลเกี่ยวกับความมั่นคงปลอดภยทางระบบสารสนเทศของผู้ให้บรการ โดยสรางความ
ั
ตระหนัก ให้ความรู้และให้มีการอบรม ตลอดจนจัดให้มีกระบวนการทางวินยเพื่อลงโทษในกรณีฝ่าฝืนหรอ
ื
ละเมิดระเบียบปฏิบัติเกี่ยวกับความมั่นคงปลอดภัย
แนวปฏิบัต ิ
(๑) ก าหนดหน้าที่ความรับผิดชอบ และแบ่งแยกหน้าที่ในการปฏิบัติงาน
ด้านต่างๆ ที่เกี่ยวกับความมั่นคงปลอดภยทางระบบสารสนเทศของผู้ให้บรการออกจากกนให้ชัดเจน ให้มี
ั
ั
ิ
การถ่วงดุลอ านาจ เพื่อป้องกันความเสี่ยงในการปฏิบัติการที่อาจเกิดขึ้น
(๒) มีการอบรม เพิ่มเติมความรู้แก่บุคลากรเก่า และใหม่อย่างสม่ าเสมอ
(๓) จัดให้มีกระบวนการทางวินย เพื่อลงโทษบุคลากรที่ฝ่าฝืน ละเมิด
ั
นโยบายหรือระเบียบปฏิบัติเกี่ยวกับความมั่นคงปลอดภัยทางระบบสารสนเทศของผู้ให้บริการ
๑.๒ การควบคุมการเข้าถึงระบบสารสนเทศ
ั
ิ
้
ิ
ิ
ผู้ให้บรการตองจัดให้มีขั้นตอนปฏบัตเป็นลายลักษณ์อกษรส าหรบการ
ั
ิ
ควบคุม และจ ากัดสิทธิการใช้ระบบสารสนเทศที่เกยวกับการให้บรการและข้อมูลตามความจ าเป็นในการ
ี่
ใช้งานป้องกันการลักลอบการเข้าถึงระบบโดยผู้ที่ไม่มีสิทธิ ทั้งจากภายในและภายนอกองค์กร
หน้า | 87
