การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ

การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ

ธนาคารแห่งประเทศไทย (ธปท.) ให้ความสำคัญกับการกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk) ของผู้ให้บริการที่เกี่ยวข้องกับระบบชำระเงิน (ผู้ให้บริการระบบการชำระเงิน ผู้ประกอบธุรกิจระบบการชำระเงิน และผู้ประกอบธุรกิจบริการการชำระเงิน (e-Payment) เพื่อให้สามารถบริหารจัดการความเสี่ยงด้าน IT ได้อย่างรัดกุมเพียงพอ มีความมั่นคงปลอดภัย สามารถรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันการณ์ ส่งผลให้ระบบการชำระเงินของประเทศมีเสถียรภาพ และยืดหยุ่น (Resiliency) เพียงพอต่อการรองรับการใช้บริการจากประชาชนได้อย่างต่อเนื่อง

เทคโนโลยีทางการเงินได้พัฒนาอย่างรวดเร็ว มีบริการทางการเงินที่หลากหลาย

รวมทั้งมีปริมาณและมูลค่าการทำธุรกรรมผ่าน mobile application ตลอดจนมีระบบการชำระเงินที่เติบโตขึ้นแบบก้าวกระโดดในช่วง 2-3 ปีที่ผ่านมา อีกทั้งในปัจจุบัน IT ได้เข้ามามีบทบาทสำคัญต่อการดำเนินธุรกิจ โดยนำมาใช้เป็นโครงสร้างพื้นฐานสำคัญที่ช่วยเพิ่มประสิทธิภาพ ลดต้นทุนในการดำเนินงาน รวมถึงอำนวยความสะดวกและช่วยให้สามารถเข้าถึงบริการทางการเงินได้มากยิ่งขึ้น ดังนั้นความเสี่ยงทางด้าน IT จึงเป็นสิ่งสำคัญที่ต้องมีการกำกับดูแลที่มีประสิทธิภาพและรัดกุม เพื่อสร้างความเชื่อมั่นต่อประชาชนผู้ใช้บริการให้ได้รับบริการการชำระเงินที่สะดวก ปลอดภัย และมีเสถียรภาพ

Financial Security in IT aspect

ธปท. จึงให้ความสำคัญกับการบริหารจัดการความเสี่ยงด้าน IT

รวมถึงยกระดับการควบคุมด้าน IT Security ของผู้ให้บริการที่เกี่ยวข้องกับระบบชำระเงินให้รัดกุม เท่าทันกับความเสี่ยงและรูปแบบการปฏิบัติงานที่เปลี่ยนไป ผ่านกระบวนการและเครื่องมือต่าง ๆ

IT laws and regulations

กฎเกณฑ์

การออกประกาศ (Notification) แนวนโยบาย (Policy) แนวปฏิบัติ (Guideline) และแบบประเมินตนเอง (Self-assessment)
IT Audit

การตรวจสอบ

การตรวจสอบคุณภาพการกำกับดูแลและการดำเนินการด้าน IT
Governance

การกำกับดูแล

การกำกับดูแลการเปลี่ยนแปลงด้าน IT ที่มีนัยสำคัญที่เกี่ยวข้องกับการให้บริการการชำระเงิน รวมถึงการออกผลิตภัณฑ์ใหม่ เป็นต้น

ตลอดจนติดตามเหตุการณ์ผิดปกติที่มีนัยสำคัญที่อาจส่งผลกระทบต่อการให้บริการหรือดำเนินธุรกิจของผู้ให้บริการและผู้ประกอบธุรกิจในวงกว้าง (enterprise wide impact) และผลกระทบต่อระบบการชำระเงินในวงกว้าง (payment system wide impact) เพื่อให้มั่นใจว่าผู้ให้บริการที่เกี่ยวข้องกับระบบชำระเงิน (e-Payment) มีระดับมาตรฐานการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและไซเบอร์ (IT and cyber risk management) ที่ทัดเทียมมาตรฐานสากล รวมถึงมีความพร้อมเพื่อรองรับการขยายตัวของปริมาณธุรกรรมและบริการทางการเงินที่หลากหลายในอนาคตต่อไป

 

 

 

 

โดยการกำกับดูแลตั้งอยู่บนหลักการพื้นฐาน 3 ประการ

ทั้ง 3 หลักการนี้เป็นเป้าหมายเพื่อผลักดันให้ผู้ให้บริการที่เกี่ยวข้องกับระบบชำระเงินให้ความสำคัญกับการบริหารจัดการความเสี่ยงด้าน IT สามารถบริหารจัดการความเสี่ยงได้อย่างเหมาะสมสอดคล้องตามระดับความเสี่ยงขององค์กร

ดูแลและบริหารจัดการความเสี่ยงด้าน IT

ดูแลและบริหารจัดการความเสี่ยงด้าน IT

1. ดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของผู้ให้บริการที่เกี่ยวข้องกับระบบชำระเงิน และบุคคลภายนอกที่ใช้บริการ เชื่อมต่อระบบเทคโนโลยีสารสนเทศหรือเข้าถึงข้อมูลสำคัญ (Third party) ของผู้ให้บริการที่เกี่ยวข้องกับระบบชำระเงิน อย่างมีประสิทธิภาพและรัดกุม ภายใต้กรอบหลักการที่สำคัญ 3 ประการ คือ (1) การรักษาความลับของระบบและข้อมูล (confidentiality) (2) ความถูกต้องเชื่อถือได้ของระบบและข้อมูล (integrity) และ (3) ความพร้อมใช้งานของเทคโนโลยีสารสนเทศ (availability) โดยอยู่บนพื้นฐานของการคุ้มครองข้อมูลและรักษาผลประโยชน์ของประชาชนผู้ใช้บริการ
กำกับดูแลความเสี่ยงด้าน IT

กำกับดูแลความเสี่ยงด้าน IT

2. กำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศให้สอดคล้องกับลักษณะการดำเนินธุรกิจ ปริมาณธุรกรรม ความซับซ้อนของเทคโนโลยีสารสนเทศ และความเสี่ยงที่เกี่ยวข้อง เช่น ความเสี่ยงด้านปฏิบัติการ ความเสี่ยงด้านกลยุทธ์ ความเสี่ยงด้านชื่อเสียง และความเสี่ยงด้านกฎหมาย รวมถึงให้ความสำคัญกับการกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศโดยถือเป็นส่วนหนึ่งของการบริหารความเสี่ยงในภาพรวมของสถาบันการเงิน (Enterprise Risk Management: ERM) และ
มีโครงสร้าง 3 lines of defense

มีโครงสร้าง 3 lines of defense

3. มีโครงสร้างการกำกับดูแลในภาพรวมที่เอื้อต่อการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศอย่างเหมาะสม และสอดคล้องตามหลักการแบ่งแยกหน้าที่ความรับผิดชอบ 3 ระดับ (three lines of defense)

ที่ผ่านมาในปี 2564 ธปท. ยังได้ยกระดับมาตรฐานการบริหารจัดการความเสี่ยงด้าน IT และไซเบอร์ สำหรับผู้ให้บริการที่เกี่ยวข้องกับระบบชำระเงิน ให้ทัดเทียมมาตรฐานสากล

โดยออกเกณฑ์การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT risk management) และแนวปฏิบัติการบริหารความเสี่ยงด้านไซเบอร์ขั้นต่ำ (cyber hygiene) สำหรับผู้ให้บริการที่เกี่ยวข้องกับระบบชำระเงินนำไปปฏิบัติอีกด้วย

Financial Security in IT aspect

การใช้งานคุกกี้ของ ธปท.

ธปท. มีการใช้คุกกี้ที่จำเป็นต่อการใช้งานหรือให้บริการเว็บไซต์ รวมทั้งมีการใช้คุกกี้อื่น (อาทิ คุกกี้เพื่อการใช้งานเว็บไซต์ คุกกี้เพื่อวิเคราะห์การประเมินผลใช้งานและการโฆษณา) เพื่อช่วยปรับปรุงหรือเพิ่มประสิทธิภาพในการทำงานหรือการให้บริการเว็บไซต์ได้ดียิ่งขึ้น โดยหากท่านคลิก “ยอมรับการใช้งานคุกกี้ทุกประเภท” ถือว่าท่านยอมรับการใช้งานคุกกี้อื่นนอกจากคุกกี้ที่จำเป็นด้วย ซึ่งท่านสามารถศึกษารายละเอียดเกี่ยวกับคุกกี้เพิ่มเติมได้จาก นโยบายการใช้คุกกี้ของ ธปท.

คุกกี้ที่จำเป็นคุกกี้อื่นทางเลือก
ยอมรับปฏิเสธ
ยอมรับยอมรับ

คุกกี้ที่จำเป็นต่อการใช้งานหรือให้บริการเว็บไซต์

คุกกี้ประเภทนี้มีความจำเป็นต่อการใช้งานหรือการให้บริการพื้นฐานของเว็บไซต์ ธปท. เพื่อให้ท่านสามารถเข้าใช้งานในส่วนต่าง ๆ ของเว็บไซต์ได้อย่างปลอดภัย และมีประสิทธิภาพ

คุกกี้อื่นเพื่อการใช้งานเว็บไซต์และเพื่อการวิเคราะห์

คุกกี้ประเภทนี้จะช่วยให้เว็บไซต์ของ ธปท. จดจำผู้ใช้งาน และตัวเลือกต่าง ๆ ที่ท่านได้ตั้งค่าไว้ รวมทั้งช่วยให้เว็บไซต์ส่งมอบคุณสมบัติและเนื้อหาเพิ่มเติมให้ตรงกับการใช้งานของท่านได้ นอกจากนี้ คุกกี้ดังกล่าวยังทำให้เห็นการปฏิสัมพันธ์ของท่านในการใช้บริการเว็บไซต์ของ ธปท. และใช้วิเคราะห์ข้อมูลการใช้งาน เพื่อการปรับปรุงการทำงานของเว็บไซต์ และการนำเสนอบริการบนเว็บไซต์

คำค้นหาล่าสุด

คำค้นหายอดนิยม

แก้หนี้ยั่งยืน EXCHANGE RATE อัตราแลกเปลี่ยน gdp เงินเฟ้อ