Page 91 - พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ ขนาด A4
P. 91
แนวปฏิบัติการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ
ที่เกี่ยวข้องกับการให้บริการการช าระเงินทางอิเล็กทรอนิกส์ของสถาบันการเงินเฉพาะกิจ
็
ี่
์
ู้
เพื่อสนับสนุนให้การประกอบธุรกิจของผให้บริการการชาระเงินทางอิเลกทรอนิกสทเป็นสถาบัน
ิ
ื่
การเงินเฉพาะกิจ เป็นไปอย่างมีประสทธิภาพ ปลอดภัย ถูกตอง และน่าเชอถือ ธนาคารแห่งประเทศไทยได้จดท า
้
ั
แนวปฏิบัติเพื่อเป็นแนวทางในการก าหนดมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศที่เกี่ยวข้อง
กับการให้บริการการช าระเงินทางอิเล็กทรอนิกส์ แนวปฏิบัตินี้เป็นเพียงกรอบแนวทางทั่วไป ผู้ให้บริการอาจก าหนด
่
มาตรการการรักษาความมั่นคงปลอดภัยทแตกตางจากแนวปฏิบัตฉบับนี้ไดหากสามารถป้องกันความเสยงทาง
ิ
้
ี่
ี่
้
้
ู้
ิ
ระบบสารสนเทศไดอย่างมีประสทธิภาพเพียงพอ และอยู่ในมาตรฐานทยอมรับได นอกจากนี้ ผให้บริการตอง
้
ี่
้
พิจารณาปรับใชและก าหนดรายละเอียดของมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศของ
ผู้ให้บริการให้เหมาะสมกับประเภทและความซับซ้อนของธุรกิจตนเองด้วย
สาระส าคัญของแนวปฏิบัติฉบับนี้ประกอบด้วย
๑. การควบคุมการเข้าถึง และการพิสูจน์ตัวตนผู้ใช้
้
ู้
ผให้บริการตองคานึงถึงการก าหนดบุคลากรหรือหน่วยงานทางเทคโนโลยีสารสนเทศและการ
ั
ู้
้
ี่
ุ
ู
แบ่งแยกหน้าทให้เหมาะสม การควบคมการเข้าถึงระบบสารสนเทศ การพิสจน์ตวตนผใช และการป้องกันการ
ปฏิเสธการรับผิด ดังนี้
ื
๑.๑ การกาหนดบุคลากรหรอหน่วยงานทางระบบสารสนเทศ และการแบ่งแยกอ านาจ
หน้าที่ที่เหมาะสมในการบริหารจัดการทางระบบสารสนเทศของผู้ให้บริการ
ี่
ี่
ู
ิ
้
ผให้บริการตองก าหนดหน้าทและความรับผดชอบของบุคลากรหรือหน่วยงานทดแล
ู้
เกี่ยวกับความมั่นคงปลอดภัยทางระบบสารสนเทศของผให้บริการ โดยสร้างความตระหนัก ให้ความรู้และให้มีการ
ู้
อบรม ตลอดจนจัดให้มีกระบวนการทางวินัยเพื่อลงโทษในกรณีฝาฝืนหรือละเมิดระเบียบปฏิบัตเกี่ยวกับความมั่นคง
ิ
่
ปลอดภัย
แนวปฏิบัต ิ
ี่
่
(๑) ก าหนดหน้าทความรับผดชอบ และแบ่งแยกหน้าทในการปฏิบัตงานดานตาง ๆ ท ี่
ิ
้
ี่
ิ
เกี่ยวกับความมั่นคงปลอดภัยทางระบบสารสนเทศของผู้ให้บริการออกจากกันให้ชัดเจน ให้มีการถ่วงดุลอ านาจ เพื่อ
ป้องกันความเสี่ยงในการปฏิบัติการที่อาจเกิดขึ้น
(๒) มีการอบรม เพิ่มเติมความรู้แก่บุคลากรเก่า และใหม่อย่างสม่ าเสมอ
(๓) จัดให้มีกระบวนการทางวินัย เพื่อลงโทษบุคลากรที่ฝ่าฝืน ละเมิดนโยบายหรือระเบียบ
ปฏิบัติเกี่ยวกับความมั่นคงปลอดภัยทางระบบสารสนเทศของผู้ให้บริการ
๑.๒ การควบคุมการเข้าถึงระบบสารสนเทศ
์
ั
ผู้ให้บริการต้องจัดให้มีขั้นตอนปฏิบติเป็นลายลักษณอักษรสาหรับการควบคุม และจ ากัด
สิทธิการใช้ระบบสารสนเทศที่เกี่ยวกับการให้บริการและข้อมูลตามความจ าเป็นในการใช้งานป้องกันการลักลอบการ
เข้าถึงระบบโดยผู้ที่ไม่มีสิทธิ ทั้งจากภายในและภายนอกองค์กร
