การกำหนดมาตรฐานขั้นต่ำในการควบคุมภายในและการรักษาความปลอดภัยในการประมวลผลข้อมูล

Line

ข่าวกฏหมายและประกาศ Thursday October 22, 1992 16:20 —ประกาศธนาคารแห่งประเทศไทย

ธนาคารแห่งประเทศไทย 22 ตุลาคม 2535 เรียน ผู้จัดการ บริษัทเงินทุน บริษัทเงินทุนหลักทรัพย์ทุกบริษัท และบริษัทเครดิตฟองซิเอร์ ทุกบริษัท ที่ธปท.งศ.(ว) 1805/2535 เรื่อง การกำหนดมาตรฐานขั้นต่ำในการควบคุมภายในและ การรักษาความปลอดภัยเกี่ยวกับการประมวลผลข้อมูลด้วยระบบคอมพิวเตอร์ ในปัจจุบันสถาบันการเงิน ได้นำคอมพิวเตอร์มาใช้ในการประมวลผลข้อมูล หรือใช้เป็นเครื่องมือที่สำคัญในการให้บริการทางการเงินใหม่ ๆ ซึ่งอาจก่อให้เกิดความเสี่ยง และความเสียหายแก่การดำเนินธุรกิจของสถาบันการเงินได้ หากมิได้มีการตระเตรียมในการควบคุม และตรวจสอบไว้ล่วงหน้า อย่างมีประสิทธิภาพเพียงพอ อาทิเช่น รายการทางการเงินผิดพลาด การตัดสินใจผิดพลาดการทุจริต หรือธุรกิจหยุดชะงัก สถาบันการเงินจึงควรมีการบริหาร และการควบคุมงานด้านคอมพิวเตอร์อย่างมีระบบ และมีประสิทธิภาพ ให้เหมาะสมตามสภาพแวดล้อมที่ได้เปลี่ยนแปลงไปในการประมวลผลข้อมูลด้วยคอมพิวเตอร์ ธนาคารจึงกำหนดมาตรฐานขั้นต่ำ ในการควบคุมภายในและการรักษาความปลอดภัยเกี่ยวกับการประมวลผลข้อมูลด้วยระบบคอมพิวเตอร์ เพื่อให้สถาบันการเงินได้ใช้เป็นแนวปฏิบัติและสามารปรับใช้ให้เหมาะสมกับสภาพโครงสร้างธุรกิจและสิ่งแวดล้อม อันจะช่วยป้องกันหรือบรรเทาความเสียหายที่อาจเกิดจากการนำคอมพิวเตอร์มาใช้ในการประมวลผลข้อมูลให้มีความปลอดภัย และมั่นคงอย่างเพียงพอได้ตามสมควร สถาบันการเงิน ที่มีแนวทางการควบคุมงานด้านคอมพิวเตอร์แล้ว มาตรฐานขั้นต่ำ ในการควบคุมภายในฯ ตามเอกสารแนบนี้ จะทำให้สถาบันการเงิน สามารถเปรียบเทียบแนวทางการปฏิบัติที่ถูกต้องและเหมาะสมได้ จึงเรียนมาเพื่อทราบและถือปฏิบัติต่อไป ขอแสดงความนับถือ วิจิตร สุพินิจ ผู้ว่าการ สิ่งที่ส่งมาด้วย มาตรฐานขั้นต่ำในการควบคุมภายในและการรักษาความปลอดภัยเกี่ยวกับการประมวลผลข้อมูลด้วยระบบคอมพิวเตอร์ ส่วนงานพิเศษ ฝ่ายกำกับและตรวจสอบสถาบันการเงิน โทร. 2823322 ต่อ 2825 มาตราฐานขั้นต่ำการควบคุมภายในและการรักษาความปลอดภัย เกี่ยวกับการประมวลผลข้อมูลด้วยระบบควมพิวเตอร์ ————————————————— 1. บทนำ การนำระบบคอมพิวเตอร์มาใช้ในการประกอบธุรกิจ และการประมวลผลข้อมูลของสถาบันการเงินอาจก่อให้เกิดความเสียหายที่จะกระทบการดำเนินงานและความมั่นคงของสถาบันการเงินได้ อันเนื่องจากสาเหตุที่สำคัญ 4 ประการ คือ 1.1 การพัฒนางานคอมพิวเตอร์ หรือใช้งานได้ไม่ตรงกับความต้องการ 1.2 ระบบคอมพิวเตอร์เสียหายถูกทำลายโดยอุบัติเหตุหรือเจตนากระทำ 1.3 การทุจริตในระบบคอมพิวเตอร์ (Computer frauds) 1.4 ความผิดพลาดที่เกิดจากการกระทำของพนักงานปฎิบัติงานคอมพิวเตอร์ ดังนั้น การจัดให้มีระบบการควบคุมภายในและการรักษาความปลอดภัยที่เหมาะสมจะสามารถป้องกันหรือจำกัดความเสียหายให้อยู่ในขอบข่ายที่ยอมรับได้ 2. การประมวลผลข้อมูลด้วยระบบควมพิวเตอร์ของสถาบันการเงิน ประเภทระบบการประมวลผลข้อมูล ด้วยระบบคอมพิวเตอร์หลัก หมายถึง ระบบประมวผลข้อมูลของสถาบันการเงิน ซึ่งมีฝ่าย หรือแผนกคอมพิวเตอร์รับผิดชอบงานประมวลผลข้อมูลให้แก่ฝ่ายงานอื่น ๆ ในบริษัท ระบบประมวลผลข้อมูลหลักยังอาจแบงย่อยออกเป็น 3 ขนาด คือ 2.1 การประมวลผลข้อมูลด้วยระบบควมพิวเตอร์หลัก หมายถึง ระบบประมวลผลข้อมูลของสถาบันการเงิน ซึ่งมีฝ่ายหรือแผนกคอมพิวเตอร์รับผิดชอบงานประมวลผลข้อมูลให้แก่ฝ่ายงานอื่น ๆ ในบริษัท ระบบ ประมวลผลข้อมูลหลักยังอาจแบ่งย่อยออกเป็น 3 ขนาด คือ 2.1.1 ระบบประมวลผลข้อมูลขนาดเล็ก หมายถึง ระบบประมวลผลข้อมูลของสถาบันการเงิน ซึ่งปกติใช้คอมพิวเตอร์ขนาดเล็ก (Minicomputer system) ในการประมวลผล โดยมีบริษัทผู้ผผลิต หรือผู้ขายเครื่องคอมพิวเตอร์เป็นผู้พัฒนา หรือจัดหาโปรแกรมระบบงาน (Application programs) ให้ทั้งหมดรวมทั้งการฝึกอบรมพนักงานหรือที่เรียกว่า ระบบ turn Key 2.1.2 ระบบประมวลผลข้อมูลขนาดกลาง หมายถึง ระบบประมวลผลข้อมูลของสถาบันการเงิน ซึ่งปกติใช้คอมพิวเตอร์ขนาดเล็ก และขนาดกลางในการประมวลผลข้อมูล (Minicomputer และ Superminicomputer) ในการบริหารงานระบบประมวลผลข้อมูลอาจจะมีคณะกรรมการคอมพิวเตอร์ (EDP Steering Committee) ทำหน้าที่กำหนดนโยบาย แผนงานและควบคุมดูแลการดำเนินงานด้านคอมพิวเตอร์ของบริษัท 2.1.3 ระบบประมวลผลข้อมูลขนาดใหญ่ หมายถึง ระบบประมวลผลข้อมูลของสถาบันการเงิน ซึ่งปกติจะใช้คอมพิวเตอร์ขนาดใหญ่ (Mainframe หรือ Large Scale computer) ในการประมวลผลข้อมูล มีคณะกรรมการคอมพิวเตอร์ทำหน้าที่บริหารงานระบบประมวลผลของบริษัท กำหนดนโยบาย เป้าหมายแผนงาน และควบคุมดูแลการดำเนินงานด้านคอมพิวเตอร์ของบริษัทให้เป็นไปตามมาตรฐานสากล รวมทั้งมีการแบ่งแยกหน้าที่งานประมวลผลข้อมูลและมีเจ้าหน้าที่ที่มีความรู้ทางเทคนิคและความชำนาญเฉพาะด้าน 2.2 การประมวลผลข้อมูลด้วยไมโครคอมพิวเตอร์ เป็นระบบการประมวลผลข้อมูลด้วยคอมพิวเตอร์ที่มีขนาดเล็กที่สุด สำหรับใช้ประจำส่วนงานและหน่วยงานต่าง ๆ ในบริษัท (End user) ปกติจะใช้กับงานโปรแกรมสำเร็จ เช่น LOTUS 1-2-3, DBASE III, และ WORD PROCESSING เป็นต้น 3. มาตรฐานการควบคุมภายในและการรักษาความปลอดภัยเกี่ยวกับการประมวลผลข้อมูลด้วยคอมพิวเตอร์ ธนาคารแห่งประเทศไทยกำหนดแนวทางให้สถาบันการเงินที่ใช้ระบบคอมพิวเตอร์ฯ ในการให้บริการทางธุรกิจและการประมวลผลข้อมูล ต้องจัดให้มีการควบคุมภายในและการรักษาความปลอดภัยให้เหมาะสม เพื่อป้องกันหรือลดความเสี่ยงต่อความเสียหายที่อาจเกิดขึ้นได้ โดยมีรายละเอียดดังนี้ 3.1 การควบคุมการประมวลผลข้อมูลด้วยระบบคอมพิวเตอร์หลัก 3.1.1 การบริหารงานทั่วไป (1) การจัดองค์การ ให้สถาบันการเงินจัดให้มีฝ่ายงานที่รับผิดชอบระบบการประมวลผลข้อมูลด้วยพิวเตอร์เป็นเอกเทศจากฝ่ายอื่น ๆ และมีการแบ่งแยกหน้าที่ความรับผิดชอบภายในฝ่ายงานอย่างชัดเจน (2) การวางแผน ให้สถาบันการเงินกำหนดนโยบาย และจัดทำแผนงานเกี่ยวกับการจัดหาเครื่องคอมพิวเตอร์ โปรแกรมระบบเครื่อง โปรแกรมระบบงาน และบุคลากรที่จะรองรับความต้องการภายในองค์กรและการบริหารลูกค้าในระยะสั้นและระยะยาว ตลอดจนควบคุมดูแลให้มีการปฎิบัติงานเป็นไปตามแผนงานที่วางไว้ (3) ระเบียบปฎิบัติงาน ให้สถาบันการเงินกำหนดะเบียบปฎิบัติงาน สำหรับหน่วยงานในฝ่ายประมวลผลข้อมูลฯ เพื่อเป็นแนวปฎิบัติและใช้ฝึกอบรมพนักงานใหม่ (4) การรายงานผลการปฎฺิบัติงาน ให้สถาบันการเงินจัดทำรายงานผลการปฎิบัติงานเป็นระยะตามความเหมาะสม โดยมีเนื้อหาครอบคลุมถึงการปฎิบัติงานประมวลผล การพัฒนาระบบงานการพนักงานและเรื่องทั่ว ๆ ไป 3.1.2 การพัฒนาระบบงานและโปรแกรม สถาบันการเงินอาจกระทำการพัฒนาระบบงานด้วยตนเอง หรือว่าจ้างให้บุคคลภายนอกเป็นผู้พัฒนาหรือจัดหาโปรแกรมระบบงานสำเร็จให้ (1) ในการพัฒนาระบบงานด้วยตนเอง ให้สถาบันการเงินกำหนดมาตรฐาน และวิธีการปฎิบัติงาน โดยมีสาระสำคัญดังนี้ (1.1) การศึกษาเบื้องต้นเกี่ยวกับความเป็นไปได้ทางเทคนิคและความคุ้มค่าของระบบงาน เพื่อพิจารณาความเหมาะสม ที่จะดำเนินการพัฒนาในขั้นรายละเอียดต่อไป หรือไม่ (Feasibility study) (1.2) การวิเคราะห์ และกำหนดลักษณะระบบงานที่ผู้ใช้งานต้องการ เพื่อจัดทำรายละเอียด ระบบงาน และโปรแกรมต่อไป (System requirements) (1.3) การกำหนดรายละเอียดของระบบงาน เพื่อจัดทำโปรแกรมคำสั่งงาน ทดสอบและนำระบบงานออกใช้ (System design) (1.4) การจัดทำโปรแกรมระบบงาน (programming) ในแต่ละโปรแกรมระบบงานควรมีคำสั่งงานที่เกี่ยวกับการเช็คสอบความครบถ้วนของจำนวนข้อมูล (Control totals techniquse) การเช็คสอบความถูกต้องของข้อมูล (Data input editing) และการเช็คสอบความถูกต้องของแฟ้มข้อมูลที่ใช้ในการประมวลผล (File label checking) (1.5) การทดสอบโปรแกรมระบบงาน (System testing) เพื่อพิสูจน์ว่าการออกแบบ และจัดทำโปรแกรมระบบงานถูกต้องตรงตามความต้องการของผู้ใช้ ก่อนที่จะนำไปติดตั้งใช้งานต่อไป (1.6) การนำระบบออกใช้งาน (System implementation) ให้มีการสอบทาน เพื่อให้มั่นใจว่าอยู่ในสภาพพร้อมใช้งาน (1.7) การประเมินผลการปฎิบัติงาน (System evaluation) ให้มีการประเมินผลการปฎิบัติงานระบบใหม่ รวมทั้งค่าใช้จ่ายที่เกิดขึ้นจริงกับที่ประมาณการและปัญหาในการปฎิบัติงาน ภายหลังได้มีปฎิบัติงานไปแล้วระยะหนึ่ง (1.8) การปรับปรุงแก้ไขโปรแกรมระบบงาน (System maintenance) ทุกครั้งที่จะปรับปรุงแก้ไขโปรแกรมระบบงาน ให้มีการควบคุมขั้นตอนการปฎิบัติงานอย่างเข้มงวดเช่นเดียวกับการพัฒนาระบบงานใหม่ เพื่อป้องกันความผิดพลาดและการกระทำการทุจริต (2) การว่าจ้างให้บุคคลภายนอกเป็นผู้พัฒนาหรือจัดซื้อโปรแกรมระบบงานสำเร็จ ให้สถาบันการเงินกำหนดมาตรฐานในการจัดหาโปรแกรมระบบงาน ดังนี้ (2.1) กำหนดคุณสมบัติและลักษณะความต้องการเกี่ยวกับข้อมูลนำเข้า การรายงานรวมทั้งการควบคุมความถูกต้องและความปลอดภัยของข้อมูลและโปรแกรมระบบงาน (2.2) วิเคราะห์ผลประโยชน์กับค่าใช้จ่ายระหว่างการว่าจ้าง หรือจัดซื้อโปรแกรมระบบงานภายนอก (2.3) วิเคราะห์ฐานะการเงิน ชื่อเสียง และความพร้อมทางเทคนิคของผู้ผลิตหรือผู้ขาย ที่จะให้การสนับสนุนภายหลังการขายหรือเมื่อมีปัญหา (2.4)วิเคราะห์ความเพียงพอ และความสมบูรณ์ ของเอกสารประกอบการใช้โปรแกรมระบบงาน (2.5) วิเคราะห์แผนการฝึกอบรมของผู้ผลิตหรือผู้ขาย 3.1.3 เอกสารสนับสนุนการปฎิบัติงานระบบประมวลผลข้อมูล ให้สถาบันการเงินจัดให้มีเอกสารสนับสนุนการปฎิบัติงานด้านคอมพิวเตอร์ และควบคุมดูแลให้มีการจัดเอกสารตามมาตรฐานที่กำหนด โดยมีรายละเอียดดังนี้ (1) เอกสารสนับสนุนการปฎิบัติงาน (1.1) มาตรฐานและระเบียบปฎิบัติงานประมวลผลข้อมูล เป็นแนวปฎิบัติทั่ว ๆ ไปเกี่ยวกับการออกแบบระบบงาน การจัดทำโปรแกรมระบบงาน การใช้เครื่องคอมพิวเตอร์ และอุปกรณ์ประกอบ การเตรียมข้อมูลและป้อนข้อมูลเข้าเครื่อง การประมวลผลข้อมูล การรวบรวมและตรวจสอบความถูกต้องของรายงานผลลัพธ์จากการประมวลผล (1.2) เอกสารสนับสนุนระบบงาน เพื่อเป็นคู่มือใช้ประกอบการทำงาน เพื่อให้การประมวลผลข้อมูลเป็นไปด้วยความถูกต้องและลดปัญหาในการปฎิบัติงาน เอกสารที่ควรประกอบอยู่ในคู่มือระบบงาน ได้แก่ ก. รายละเอียดเกี่ยวกับระบบงาน (System documentation) ซึ่งประกอบด้วย คำอธิบายลักษณะงาน (System narrative) ผังระบบงาน (System flowchart) ผังข้อมูล (Record layout) ลักษณะแฟ้มข้อมูล (File description) ลักษณะรายงาน (Print layout) การควบคุมในระบบ (Control function) รหัสประเภทรายงาน บัญชี และอื่น ๆ ข. รายละเอียดเกี่ยวกับโปรแกรมระบบงาน (Program documentation) ซึ่งประกอบด้วย คำอธิบายลักษณะของโปรแกรม (Program description) ผังขั้นตอนการทำงานของโปรแกรม (Program flowchart) สำเนาโปรแกรมชุดปัจจุบัน (Program listing) และการควบคุมในโปรแกรม (Programmed controls) ค. รายละเอียดวิธีการปฎิบัติสำหรับพนักงานเครื่องคอมพิวเตอร์ (Operation documentation) ซึ่งอธิบายวัตถุประสงค์ของโปรแกรมระบบงาน แฟ้มข้อมูลที่ใช้ในการประมวลผล รูปแบบของข้อมูลนำเข้าและผลลัพธ์ (Input form & output formats) ชุดคำสั่งงานประมวลผล (Job comand language) วิธีปฎิบัติเมื่อโปรแกรมทำงานผิดพลาดและเครื่องหยุดทำงาน โดยกระทันหัน (Program error & halts) รวมทั้งวิธีปฎิบัติงานเมื่อเกิดกรณีฉุกเฉิน ง. รายละเอียดวิธีการปฎิบัติงานสำหรับผู้ใช้ข้อมูล (User documentation) ซึ่งควรอธิบายถึงลักษณะของข้อมูลที่ต้องนำเข้าเครื่อง (Input) ลักษณะและจำนวนรายงานที่ได้จากการประมวลผล (Output) วิธีปฎิบัติในการควบคุมและการตรวจสอบความถูกต้องของข้อมูลนำเข้าและรายงานและวิธีปฎิบัติเมื่อพบข้อผิดพลาด (2) การควบคุมดูแลเอกสารสนับสนุนการปฎิบัติงาน จัดให้มีสถานที่เก็บ โดยเฉพาะโดยอาจรวมไว้ในที่เดียวกับแฟ้มข้อมูลและโปรแกรม และมีระบบการควบคุมแลการนำออกใช้งานหรือการปรับปรุงเอกสารให้ถูกต้องทันสมัยอยู่เสมอ รวมทั้งจัดทำสำเนาไว้อย่างน้อย 1 ชุด และเก็บรักษาไว้ในที่ปลอดภัยแยกจากสถานที่ทำการ เพื่อว่าเมื่อเกิดกรณีฉุกเฉินจะสามารถนำมาใช้ในการปฎิบัติงานทดแทนได้ 3.1.4 การปฎิบัติการประมวลผล ให้สถาบันการเงินกำหนดระเบียบปฎิบัติทั่วไปเกี่ยวกับการใช้เครื่อง ดังนี้ (1) การรักษาความสะอาดเรียบร้อยภายในสถานที่ทำงาน เพื่อป้องกันฝุ่นละอองและการเกิดเพลิงไหม้ (2) การบำรุงรักษาเครื่องคอมพิวเตอร์ เพื่อป้องกันมิให้เครื่องคอมพิวเตอร์เสื่อมสภาพเร็วกว่าเวลาอันสมควร (3) การแบ่งแยกและสับเปลี่ยนหน้าที่ เพื่อป้องกันการทุจริตและลดความผิดพลาดและยังเป็นการสร้างระบบการสอบยันความถูกต้องในการปฎิบัติงาน โดยมิให้พนักงานผู้หนึ่งผู้ใดปฎิบัติงานหลายอย่าง สำหรับในหน่วยงานประมวลผลข้อมูลขนาดเล็กไม่สามารถแบ่งแยกหน้าที่ได้อย่างสมบูรณ์ และจำเป็นต้องมอบหมายให้พนักงานปฎิบัติมากกว่า 1 อย่าง ครบกำหนดให้มีการหมุนเวียนสับเปลี่ยนหน้าที่ และติดตามดูแลการปฎิบัติงานอย่างใกล้ชิด (4) การควบคุมการใช้เครื่องคอมพิวเตอร์ประมวลผล กำหนดให้พนักงานถือปฎิบัติตามคู่มือของบริษัทผู้ผลิต คู่มือระบบงาน และตารางปฎิบัติงานโดยเคร่งครัด (5) การจัดทำตารางปฎิบัติงานประมวลผล จัดทำตารางกำหนดการใช้เครื่องประมวลผลข้อมูล ประจำวัน ประจำสัปดาห์ และประจำเดือน เพื่อช่วยควบคุมให้การใช้เครื่องเป็นไปด้วยความมีประสิทธิภาพและงานเสร็จทันเวลาที่กำหนด (6) การควบคุมการปฎิบัติงานของพนักงานประมวลผลข้อมูล เพื่อกำหนดของเขตการปฎิบัติงานของพนักงานประมวลผลมิให้ปฎิบัติงาน ที่อาจเกิดความเสียหายต่อเครื่องคอมพิวเตอร์โปรแกรมและข้อมูล (7) การควบคุมการใช้แฟ้มข้อมูล โปรแกรม และคู่มือปฎิบัติงาน เพื่อป้องกันการใช้ โดยไม่ได้รับอนุญาต หรือเกิดการสูญหาย จึงควรมีการควบคุมการจัดเก็บ ดังนี้ (7.1) แฟ้มข้อมูลและโปรแกรมที่บรรจุอยู่ในม้วนเทปหรือจานแม่เหล็กและเอกสารคู่มือปฎิบัติงาน ควรแยกเก็บไว้ในสถานที่ ซึ่งปลอดภัยและมีการควบคุมการนำออกไปใช้ (7.2) แฟ้มข้อมูลและโปรแกรมที่เก็บอยู่ในเครื่องคอมพิวเตอร์ควรใช้โปรแกรมพิเศษควบคุมการใช้งาน 3.1.5 การประมวลในระบบสื่อสาร ในสถาบันการเงินที่มีการนำระบบสื่อสารมาใช้งานประมวลผลข้อมูล จัดให้มีการควบคุมดังนี้ (1) การควบคุมความปลอดภัยเครื่องเทอร์มินัล (Terminal security) ให้ทำทั้งที่ตัวเครื่องฯ และการใช้โปรแกรมควบคุมการใช้เสียง เพื่อป้องกันมิให้ผู้ที่ไม่มีสิทธิ์และบุคคลภายนอกเข้าไปใช้ได้ และจำกัดสิทธิของผู้ใช้เครื่องฯ ให้อยู่ภายในขอบเขตที่ได้รับมอบหมาย (2) การควบคุมการรับส่งข้อมูล (Transmission controls) การป้องกันมิให้ข้อมูลผิดพลาดหรือคลาดเคลื่อนจากการสื่อสารข้อมูล ดังนี้ (2.1) การควบคุมเอกสารที่เกี่ยวกับระบบสื่อสารและผังแสดงที่ตั้งเครื่องมือสื่อสารและสายสื่อสาร มิให้ผู้ที่ไม่มีหน้าที่เกี่ยวข้องนำไปใช้งานได้ และไม่ควรให้สายโทรศัพท์ที่ใช้งานระบบออนไลน์ปรากฎแก่สายตาบุคคลทั่วไปหรือมีเครื่องหมายพิเศษ (2.2) แปลงรหัสประจำตัวผู้มีสิทธิเข้าถึงข้อมูล และตัวข้อมูลสำคัญในระบบให้อยู่ในรูปแบบ ซึ่งหากมีการรั่วไหลแล้วบุคคลภายนอกไม่สามารถนำไปใช้ประโยชน์ได้ (2.3) มีการพิสูจน์ความถูกต้องของแหล่งที่มาของข้อมูลนำเข้า เพื่อให้มั่นใจได้ว่าข้อมูลที่ได้รับนั้นถูกต้อง เช่น เติมรหัสต่อท้ายข้อมูล เป็นต้น (2.4) มีการให้ลำดับเลขมายกำกับข้อมูล วันที่และเวลาที่ได้รับข้อมูลแต่ละรายการจากเทอร์มินัลแต่ละเครื่อง เพื่อให้สามารถตรวจสอบการสูญหาย หรือการซ้ำซ้อนของข้อมูลใน ระบบสื่อสารได้ (2.5) กำหนดให้ระบบคอมพิวเตอร์สามารถหยุดการติดต่อกับเทอร์มินัลได้ โดยอัตโดนมัติ ในกรณีที่ขาดการติดต่อกับระบบคอมพิวเตอร์เป็นระยะเวลานาน เพื่อป้องกันมิให้บุคคลภายนอกหรือผู้ที่ไม่มีส่วนเกี่ยวข้องสวมรอยเข้าใช้งาน (2.6) มีการควบคุมการใช้เครื่องเทอร์มินัลให้อยู่ภายในกำหนดเวลา (3) การเตรียมการเมื่อระบบสื่อสารขัดข้อง ในกรณีที่ใช้ระบบสื่อสารข้อมูลทางโทรศัพท์ สถาบันการเงินควรพิจารณากำหนดอุปกรณ์สื่อสารและคู่สายโทรศัพท์รองไว้ใช้งานในกรณีฉุกเฉิน วิธีปฎิบัติในการใช้ระบบสื่อสารชุดสำรอง และมีการทดสอบเป็นครั้งคราว เพื่อให้แน่ใจว่าสามารถปฎิบัติได้เมื่อเกิดกรณีฉุกเฉิน (3.1.6) การควบคุมความถูกต้องและน่าเชื่อถือของข้อมูล ให้สถาบันการเงินจัดให้มีการควบคุม เพื่อให้ข้อมูลถูกต้องและน่าเชื่อถือได้ ดังนี้ (1) การควบคุมการนำข้อมูลเข้าเครื่อง (Data entry controls) (1.1) มีการสะสมยอดรวมจำนวนข้อมูลทั้งหมดก่อนหน้าและหลังจากการป้อนรายการเข้าเครื่องเทอร์มินัล และเมื่อข้อมูลเข้าไปในคอมพิวเตอร์แล้ว (Batch Ttotal) เพื่อใช้ในการสอบทานความครบถ้วนของข้อมูล (1.2) มีการตรวจเช็กความถูกต้องของข้อมูลแต่ละรายการในขณะที่ทำการป้อนข้อมูล เพื่อป้องกันมิให้ข้อมูลที่ผิดพลาดหรือแปลกปลอมเข้าไปในคอมพิวเตอร์ ซึ่งยากต่อการค้นหาและแก้ไขในภายหลัง (1.3) มีรายงานคอมพิวเตอร์แสดงรายละเอียดข้อมูลทุกรายการที่เข้าไปในเครื่องคอมพิวเตอร์ เพื่อให้เช็คสอบความถูกต้องกับเอกสารหลักฐานเบื้องต้นที่ใช้ในการบันทึกรายการเช่นเดียวกับการบันทึกรายการในสมุดรายวันทั่วไป (2) การควบคุมการออกข้อมูลผลลัพธ์และรายงาน (Output controls) (2.1) มีการสอบทานความเรียบร้อยและความถูกต้องของข้อมูลผลลัพธ์ และรายงาน โดยตรวจสอบและกระทบกับยอดรวมของข้อมูลที่นำเข้าเครื่องเทอร์มินัล ยอดรวมข้อมูลที่นำเข้าคอมพิวเตอร์ ยอดรวมในบัญชีแยกประเภททั่วไป และยอดคงเหลือในงบทดลอง (2.2) มีการควบคุมการจัดส่งข้อมูลผลลัพธ์และรายงานให้ถึงมือผู้ใช้อย่างถูกต้อง และครบถ้วน โดยจัดทำทะเบียนบันทึกรายงานที่ได้รับการประมวลผลรายวัน รายสัปดาห์และรายเดือน ผู้รับหรือผู้ใช้รายงาน ลายมือชื่อและวันที่ที่รับรายงาน เพื่อป้องกันมิให้เกิดการสูญหาย หรือถูกนำไปใช้ในทางทุจริต (3) การควบคุมอุปกรณ์ที่ใช้บันทึกข้อมูล (Data file media controls) การป้องกันมิให้เกิดความเสียหายกับอุปกรณ์ที่ใช้บันทึกข้อมูลคอมพิวเตอร์ ประเภทจานแม่เหล็กและเทปแม่เหล็กกระทำได้ดังนี้ (3.1) เก็บรักษาไว้ในสถานที่ปลอดภัย มีการควบคุมอุณหภูมิ ความชื้น ฝุ่นละออง การป้องกันเพลิงไหม้ อุปกรณ์ดับเพลิง และจัดให้มีเจ้าหน้าที่เฉพาะควบคุมดูแลการนำออกไปใช้งานและมีการตรวจนับจำนวนคงเหลือเป็นครั้งคราว (3.2) จัดทำป้ายชื่อติดกำกับภายนอกอุปกรณ์บันทึกข้อมูล รวมทั้งบันทึกข้อมูลเกี่ยวกับชื่อแฟ้มข้อมูล วันที่ และจำนวนรายการข้อมูลทั้งหมดที่บรรจุอยู่ในแฟ้มข้อมูลไว้ที่บริเวณหัวและท้ายแฟ้มข้อมูลนั้นด้วย (3.3) มีอุปกรณ์บันทึกข้อมูลชุดสำเนา (Back-up file) แยกเก็บไว้ในที่ปลอดภัยห่างจากอาคารที่ทำการประมวลผลข้อมูล 3.1.7 การรักษาความปลอดภัย ให้สถาบันการเงินจัดมาตรการรักษาความปลอดภัย เพื่อมิให้การประมวลผลข้อมูลหยุดชะงักและเพื่อคุ้มครองป้องกันความเสียหายที่อาจเกิดกับเครื่องคอมพิวเตอร์ โปรแกรมและข้อมูลจากเหตุการณ์ที่เกิดขึ้น โดยไม่สามารถคาดการณ์ล่วงหน้าได้ หรือโดยการกระทำอย่างจงใจของบุคคลภายในหรือภายนอกบริษัท ดังนี้ (1) แผนรักษาความปลอดภัย ซึ่งประกอบด้วย การป้องกันความเสียหายที่จะมีต่อเครื่องคอมพิวเตอร์ โปรแกรม ข้อมูล และพนักงานปฎิบัติการคอมพิวเตอร์ รวมทั้งการปฎิบัติงานขณะที่เกิดความเสียหาย และการปฎิบัติการ เพื่อย้ายการประมวลผลข้อมูลไป ณ ที่แห่งใหม่ที่ได้จัดเตรียมไว้ (2) การป้องกันความเสียหายจากภัยพิบัติและสาเหตุอื่นๆ ภัยที่จะก่อให้เกิดความเสียหายต่อการประมวลผลข้อมูลด้วยคอมพิวเตอร์โดยทั่วไป ได้แก่ อุทกภัย อัคคีภัย การก่อวินาศกรรม กระแสไฟฟ้าดับหรือแรงดันตก การโจรกรรมเครื่องคอมพิวเตอร์ขัดข้องใช้การไม่ได้เป็นเวลานานสถาบันการเงินจึงควรกำหนด มาตรการป้องกันความเสียหายจากสาเหตุที่กล่าว (3) การจัดเตรียมระบบประมวลผลสำรอง จัดเตรียมระบบประมวลผลสำรองไว้ปฎิบัติในยามฉุกเฉิน ทั้งนี้ระบบประมวลผลสำรวจของสถาบันการเงินที่ประมวลผลข้อมูลด้วยคอมพิวเตอร์ขนาดเล็กอาจะเป็นระบบที่ปฎิบัติงาน โดยบุคคล (Manual system)หรือระบบคอมพิวเตอร์ (Computer system) ก็ได้ (3.1)ระบบประมวลผลด้วยคอมพิวเตอร์สำรอง ควรประกอบด้วยเครื่องคอมพิวเตอร์โปรแกรม และแฟ้มข้อมูลที่เตรียมไว้อีกอย่างน้อย 1 ชุด สำหรับปฎิบัติในกรณีฉุกเฉิน ทั้งนี้ในการจัดหาเครื่องคอมพิวเตอร์สำรอง สถาบันการเงินอาจทำข้อตกลงกับสถาบันการเงิน อื่นที่มีเครื่องคอมพิวเตอร์ ซึ่งสามารถใช้ร่วมกันได้หรือกับบริษัทผู้ผลิตหรือผู้ขาย (3.2) โปรแกรมและเอกสารสนับสนุนการปฎิบัติงานประมวลผล มีชุดสำรองเก็บไว้อย่างปลอดภัยนอกสถานที่ทำการ เพื่อป้องกันมิให้เสียหายไปพร้อมกับชุดใช้งานประจำ (3.3) แฟ้มข้อมูลชุดสำรอง มีให้เพียงพอสำหรับการสร้างข้อมูลให้เป็นปัจจุบัน และควรเก็บรักษาไว้นอกสถานที่ทำการเช่นเดียวกับโปรแกรมและเอกสารสนับสนุนการปฎิบัติงาน (4) การประกันภัย จัดให้มีการประกันภัย เพื่อคุ้มครองเสียหายที่อาจเกิดขึ้น โดยเฉพาะความเสียหายที่มีมูลค่าจำนวนเงินสูง เช่น เครื่องคอมพิวเตอร์ และ อุปกรณ์ที่จำเป็นในการประมวลผลข้อมูลและค่าใช้จ่ายพิเศษที่เกิดจากการประมวลผลข้อมูลด้วยคอมพิวเตอร์สำรอง เป็นต้น 3.1.8 การตรวจสอบงานคอมพิวเตอร์ ให้สถาบันการเงินจัดให้มีการตรวจสอบการปฎิบัติงานด้านคอมพิวเตอร์ของบริษัทเพื่อให้มั่นใจว่าการปฎิบัติงานประมวลผลข้อมูลเป็นไปตามนโยบาย มาตรฐานและระเบียบปฎิบัติงานที่บริษัทกำหนด รวมทั้งเครื่องคอมพิวเตอร์ โปรแกรม และแฟ้มข้อมูลได้รับการปฎิบัติอย่างถูกต้องและปลอดภัยข้อมูลผลลัพธ์ และรายงานที่ได้จากการประมวลผลมีความถูกต้อง เชื่อถือได้ (1) มอบหมายให้ผู้ตรวจสอบภายในหรือว่าจ้างให้ผู้สอบบัญชีภายนอกหรือร่วมกันตรวจสอบการประมวลผลข้อมูลด้วยระบบคอมพิวเตอร์ของบริษัท และให้รายงานผลการตรวจสอบ โดยตรงต่อคณะกรรมการบริษัท เพื่อให้มีความเป็นอิสระในการปฎิบัติงาน (2) กำหนดบทบาท มาตรฐาน และ วิธีปฎิบัติงานตรวจสอบด้านคอมพิวเตอร์ โดยละเอียดไว้ในคู่มือการตรวจสอบ เพื่อให้ตรวจสอบภายในถือปฎิบัติ และเพื่อใช้ประโยชน์ในการฝึกอบรมพนักงานใหม่ (3) การตรวจสอบด้านคอมพิวเตอร์ ให้มีขอบเขตการตรวจสอบที่ครอบคลุมถึงการพัฒนาระบบงานและโปรแกรม (System development & programming) การปฎิบัติงานประมวลผลข้อมูล (Computer operations) การรักษาความปลอดภัย การนำข้อมูลเข้า (Data entry)และการสอบทานความถูกต้องของข้อมูลผลลัพธ์และรายงานที่ได้จากการประมวลผล (Data output & report) (4) การปฎิบัติงานตรวจสอบในแต่ละเรื่องให้มีขั้นตอนการตรวจสอบอย่างน้อย 3 ขั้นตอน คือ (4.1) การสอบทานและวิเคราะห์ความเพียงพอเบื้องต้นของการควบคุมภายใน (4.2) การทดสอบการปฎิบัติงาน เพื่อประเมินประสิทธิภาพของการควบคุม (4.3)การทดสอบความถูกต้องของข้อมูลในกรณีที่เห็นว่าการควบคุมภายในที่ถือปฎิบัติไม่เพียงพอหรือไม่มีประสิทธิภาพ ในการทดสอบการควบคุม และทดสอบความถูกต้องของข้อมูล ผู้ตรวจสอบอาจใช้คอมพิวเตอร์ช่วยในการตรวจสอบก็ได้ ซึ่งจะทำให้สามารถขยายขอบเขตการทดสอบ และสามารถตรวจสอบการทำงานของโปรแกรมระบบงานและข้อมูลในเครื่องได้ โดยตรง แทนที่จะถูกจำกัดให้ตรวจสอบได้เพียงข้อมูลนำเข้าและข้อมูลผลลัพธ์ (5) การจัดทำรายงานผลการตรวจสอบ รายงานสรุปผลการตรวจสอบประกอบด้วยหัวข้อ ดังนี้ (5.1) เรื่องที่ตรวจสอบ (5.2) วันที่เริ่มตรวจสอบและวันที่ตรวจสอบเสร็จ (5.3) รายชื่อผู้ตรวจสอบ (5.4) ขอบเขตและวัตถุประสงค์ในการตรวจสอบ (5.5) ข้อสังเกตและข้อเสนอแนะ (5.6) รายละเอียดเอกสารประกอบผลการตรวจสอบ (6) การจัดทำกระดาษทำการกำหนดมาตรฐาน ของการจัดทำกระดาษทำการประกอบด้วย (6.1) แผนการตรวจสอบ (6.2) ขอบเขตและวัตถุประสงค์ของการตรวจสอบ (6.3) การบรรยายสรุปวิธีการปฎิบัติงานและการควบคุมภายใน (6.4) แบบสอบถาม และวิธีการอื่น ๆ ที่ใช้ในการตรวจสอบ (6.5) บันทึกสรุปข้อสังเกตและปัญหาที่พบระหว่างการตรวจสอบ (6.6) หัวข้อการประชุมหรือการหารือร่วมกับส่วนงานที่ถูกตรวจสอบ (7) การติดตามผลการตรวจสอบ กำหนดให้ส่วนงานที่ถูกตรวจสอบตอบชี้แจงการปรับปรุงแก้ไขตามข้อแนะนำของผู้ตรวจสอบ และให้ฝ่ายตรวจสอบติดตามผลการดำเนินงานแก้ไข ดังกล่าว เสนอคณะกรรมการบริษัทต่อไป 3.2 การควบคุมการประมวลผลข้อมูลด้วยไมโครคอมพิวเตอร์ ให้สถาบันการเงินกำหนดให้มีการควบคุมการประมวลผลข้อมูลด้วยไมโครคอมพิวเตอร์ ดังนี้ 3.2.1 การรักษาความปลอดภัยเครื่องไมโครคอมพิวเตอร์ ให้สถาบันการเงินติดตั้งไมโครคอมพิวเตอร์ไว้ในสถานที่ที่สามารถควบคุมการเข้าออก เพื่อป้องกันการโจรกรรมตัวเครื่อง และมิให้บุคคลภายนอกหรือผู้ที่ไม่มีส่วนเกี่ยวข้องเข้าไปใช้เครื่อง และมอบหมายให้หน่วยงานเจ้าของเครื่องเป็นผู้รับผิดชอบการใช้งานและดูแลรักษาเครื่อง 3.2.2 การควบคุมความปลอดภัยของแฟ้มข้อมูลและโปรแกรม ให้สถาบันการเงินควบคุมแฟ้มข้อมูลและโปรแกรม เพื่อป้องกันมิให้เกิดความสูญหาย เนื่องจากการสูญหาย ถูกทำลาย ถูกแก้ไขหรือถูกถ่ายสำเนา โดยไม่ได้รับอนุญาต ดังนี้ (1) แฟ้มข้อมูลและโปรแกรมที่บรรจุอยู่ในจานแม่เหล็ก (Floppy diskette) ขณะที่ยังไม่ได้ใช้งานควรเก็บไว้ในสถานที่ที่ปลอดภัย สามารถควบคุมและป้องกันมิให้ผู้ที่ไม่มีสิทธินำออกไปใช้งานได้และปิดสลากภายนอกแฟ้มข้อมูลและโปรแกรมทุกแผ่น เพื่อป้องกันการนำไปใช้ผิดพลาด (2) แฟ้มข้อมูลและโปรแกรมที่อยู่ในเครื่อง (Hard disks) ขณะที่ยังไม่ได้ใช้งาน ให้ปิดเครื่องและล็อคกุญแจประจำเครื่อง เพื่อป้องกันมิให้ผู้ไม่มีสิทธิ์ไปใช้เครื่องและข้อมูลในเครื่อง กรณีเป็นไมโครคอมพิวเตอร์ที่ใช้ร่วมกันหลายงานและหลายคน ให้กำหนดรหัสประจำตัวผู้มีสิทธิเข้าถึงแฟ้มข้อมูลและโปรแกรม (Identification code) และ รหัสการใช้งาน (Password) ซึงระบุขอบเขตของการใช้งานแฟ้มข้อมูลและโปรแกรม ดังกล่าว (3) จัดทำสำเนาแฟ้มข้อมูลและโปรแกรมที่สำคัญ ๆ ไว้ใช้ทดแทนในกรณีที่แฟ้มข้อมูลและโปรแกรมที่ใช้อยู่ปัจจุบันสูญหาย หรือเสียหายจน ใช้การไม่ได้ เพื่อป้องกันมิให้การประมวลผลข้อมูลด้วยไมโครคอมพิวเตอร์หยุดชะงัก (4)มีเอกสารประกอบระบบงานที่ใช้ไมโครคอมพิวเตอร์ อาทิเช่น ลักษณะของงานลักษณะของแฟ้มข้อมูล ขั้นตอนการเตรียมข้อมูลนำเข้า การประมวลผลข้อมูล ลักษณะของผลลัพธ์หรือรายงานที่ได้ และการตรวจสอบความถูกต้องของข้อมูลและรายงาน เป็นต้น 3.2.3 การตรวจสอบการประมวลผลข้อมูลด้วยไมโครคอมพิวเตอร์ ให้สถาบันการเงินมอบหมายให้ผู้ตรวจสอบภายในหรือหน่วยงานที่ไม่เกี่ยวข้องกับการประมวลผลข้อมูล ตรวจสอบการรักษาความปลอดภัยไมโครคอมพิวเตอร์ แฟ้มข้อมูลและโปรแกรมการจัดทำสำเนาแฟ้มข้อมูลและโปรแกรมและตรวจสอบความถูกต้องของข้อมูลและรายงานที่ได้จากการประมวลผล
แท็ก ระบบคอมพิวเตอร์   ข้อมูล   เครดิต   ธปท.  

Copyright © 2007-2025 Dataxet Limited (บริษัท ดาต้าเซ็ต จำกัด). All Rights Reserved. S236 (12.8) | ข้อตกลงการใช้บริการ

เว็บไซต์นี้มีการใช้งานคุกกี้ ศึกษารายละเอียดเพิ่มเติมได้ที่ นโยบายความเป็นส่วนตัว และ ข้อตกลงการใช้บริการ รับทราบ