นำส่งประกาศธนาคารแห่งประเทศไทย เรื่อง หลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทค

เรื่อง นำส่งประกาศธนาคารแห่งประเทศไทย เรื่อง หลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk) ของสถาบันการเงิน และแนวปฏิบัติการบริหารจัดการความเสี่ยงจากบุคคลภายนอก

เลขที่ ฝนส.(01) ว. 125/2562

วันที่ออกหนังสือเวียน 18 พฤศจิกายน 2562

วันที่มีผลบังคับใช้ 15 พฤศจิกายน 2562

วันที่สิ้นสุดผลบังคับใช้        -

สถาบันผู้เกี่ยวข้อง

1.ธนาคารพาณิชย์จดทะเบียนในประเทศ

2.ธนาคารพาณิชย์ที่จดทะเบียนในต่างประเทศ

3.บริษัทเครดิตฟองซิเอร์

4.บริษัทเงินทุน

วัตถุประสงค์/หลักการ/เหตุผล

สาระสำคัญ

สาระสำคัญของประกาศฉบับนี้ คือ สถาบันการเงินสามารถพิจารณาการนำเทคโนโลยีมาใช้ หรือการเปลี่ยนแปลงระบบหรือเทคโนโลยีด้วยตนเอง เพื่อรองรับรูปแบบทางธุรกิจและสอดคล้องกับเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็ว โดย

1. ธนาคารพาณิชย์ที่มีนัยต่อความเสี่ยงเชิงระบบในประเทศ (Domestic Systemically Important Banks: D-SIBs) และสถาบันการเงินที่มีความเสี่ยงตั้งต้นทางไซเบอร์ (cyber inherent risk) ในระดับสูง ต้องมีผู้บริหารระดับสูงที่ทำหน้าที่บริหารจัดการความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศของสถาบันการเงิน (Chief Information Security Officer : CISO)

2. ธนาคารพาณิชย์ต้องรายงานโครงการด้านเทคโนโลยีสารสนเทศที่มีนัยสำคัญประจำปีให้ธนาคารแห่งประเทศไทยทราบ โดยยกเลิกการขออนุญาตธนาคารแห่งประเทศไทยก่อนการนำเทคโนโลยีมาใช้ หรือก่อนการเปลี่ยนแปลงเทคโนโลยีที่มีนัยสำคัญ ทั้งนี้ สำหรับบริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ ยังคงให้ขออนุญาตการใช้หรือเปลี่ยนแปลงด้านเทคโนโลยีสารสนเทศที่มีนัยสำคัญ เว้นแต่ธนาคารแห่งประเทศไทยจะสั่งการเป็นอย่างอื่น

3. สถาบันการเงินที่มีโครงสร้างการกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศแบบรวมศูนย์สำหรับบริษัทในกลุ่มธุรกิจหรือบริษัทที่มีความเกี่ยวข้องกัน โดยให้บริษัทในกลุ่มธุรกิจเดียวกันหรือบริษัทที่มีความเกี่ยวข้องกันนั้นเป็นผู้ดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศแทน ซึ่งบริษัทดังกล่าวอาจอยู่ในประเทศหรือต่างประเทศก็ได้ สถาบันการเงินต้องแจ้งธนาคารแห่งประเทศไทยก่อนการใช้โครงสร้างการกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศดังกล่าว เช่น กรณีธนาคารพาณิชย์ที่เป็นบริษัทลูกของธนาคารพาณิชย์ต่างประเทศมีการกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศแบบรวมศูนย์อยู่ที่บริษัทแม่ในต่างประเทศ

นอกจากนี้ ธนาคารแห่งประเทศไทยได้รวมการกำกับดูแลผู้ใช้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศในการประกอบธุรกิจ (IT Outsourcing) ให้อยู่ภายใต้หลักเกณฑ์ฉบับนี้ และขอนำส่งแนวปฏิบัติการบริหารจัดการความเสี่ยงจากบุคคลภายนอก (Third Party Risk Management Implementation Guideline) ซึ่งเป็นแนวทางการบริหารจัดการความเสี่ยงบุคคลภายนอกมาพร้อมกัน เพื่อให้สถาบันการเงินใช้เป็นแนวทางปฏิบัติในกรณีที่มีการใช้บริการ การเชื่อมต่อ หรือการเข้าถึงข้อมูลจากบุคคลภายนอก โดยให้สถาบันการเงินพิจารณาปรับใช้อย่างเหมาะสมตามลักษณะการดำเนินธุรกิจ และสอดคล้องตามระดับความเสี่ยงและระดับความมีนัยสำคัญ

ที่มา: ธนาคารแห่งประเทศไทย

แท็ก ธนาคารแห่งประเทศไทย เทคโนโลยีสารสนเทศ