ประกาศแนวปฏิบัติ
ที่ นป. 3/2559
เรื่อง แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสารสนเทศ
______________________
ตามที่ประกาศคณะกรรมการกำกับตลาดทุน ที่ ทธ. 35/2556 เรื่อง มาตรฐานการประกอบธุรกิจ โครงสร้างการบริหารงาน ระบบงาน และการให้บริการของผู้ประกอบธุรกิจหลักทรัพย์และผู้ประกอบธุรกิจสัญญาซื้อขายล่วงหน้า ลงวันที่ 6 กันยายน พ.ศ. 2556 (ประกาศที่ ทธ. 35/2556) และประกาศสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ที่ สธ. 37/2559 เรื่อง ข้อกำหนดในรายละเอียดเกี่ยวกับการจัดให้มีระบบเทคโนโลยีสารสนเทศ ลงวันที่ 12 กันยายน พ.ศ. 2559 (ประกาศที่ สธ. 37/2559) กำหนดให้ผู้ประกอบธุรกิจต้องจัดให้มีนโยบาย มาตรการ และระบบงานในการกำกับดูแลและบริหารจัดการเทคโนโลยี และการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ โดยต้องดำเนินการควบคุมดูแล ติดตาม และตรวจสอบให้มีการปฏิบัติตามนโยบาย มาตรการ และระบบงานดังกล่าว ตลอดจนมีการทบทวนความเหมาะสมของเรื่องดังกล่าวเป็นประจำนั้น
เพื่อประโยชน์ในการปฏิบัติตามข้อกำหนดข้างต้นของผู้ประกอบธุรกิจ สำนักงานโดยอาศัยอำนาจตามข้อ 5(3) ประกอบกับข้อ 12 วรรคหนึ่ง (11) และ (12) และข้อ 14 ของประกาศที่ ทธ. 35/2556 จึงออกประกาศแนวปฏิบัติไว้ดังต่อไปนี้
ข้อ 1 แนวปฏิบัตินี้เป็นแนวทางเกี่ยวกับเรื่องดังต่อไปนี้
(1) การจัดให้มีนโยบาย มาตรการ และระบบงานเกี่ยวกับการกำกับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศระดับองค์กรที่ดี และระบบงานในการรักษาความมั่นคปลอดภัยของระบบสารสนเทศ
(2) การควบคุมดูแล ติดตาม และตรวจสอบให้มีการปฏิบัติตามนโยบาย มาตรการ และระบบงานตาม (1)
(3) การทบทวนความเหมาะสมของ (1)
ในกรณีที่ผู้ประกอบธุรกิจได้ปฏิบัติตามแนวทางตามวรรคหนึ่งจนครบถ้วน สำนักงานจะพิจารณาว่าผู้ประกอบธุรกิจได้ปฏิบัติตามประกาศที่ ทธ. 35/2556 และประกาศที่ สธ. 37/2559 แล้ว ทั้งนี้ หากผู้ประกอบธุรกิจดำเนินการต่างจากแนวปฏิบัตินี้ ผู้ประกอบธุรกิจมีภาระที่จะต้องพิสูจน์ให้เห็นได้ว่าการดำเนินการนั้นยังคงอยู่ภายใต้หลักการและข้อกำหนดของประกาศที่ ทธ. 35/2556 ในส่วนที่เกี่ยวกับระบบเทคโนโลยีสารสนเทศ และประกาศที่ สธ. 37/2559
ข้อ 2 แนวทางปฏิบัติตามข้อ 1 วรรคหนึ่งมีรายละเอียดตามที่กำหนดในภาคผนวกที่แนบท้ายประกาศแนวปฏิบัตินี้ ทั้งนี้ รายละเอียดดังกล่าวได้แก่เรื่องดังต่อไปนี้
(1) หมวดที่ 1 การกำกับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศระดับองค์กรที่ดี (governance of enterprise IT)
(2) หมวดที่ 2 การรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ (IT security) โดยมีรายละเอียดดังต่อไปนี้
2.1 แนวทางปฏิบัติเพิ่มเติมเกี่ยวกับนโยบายและมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (information security policy)
2.2 การจัดโครงสร้างความมั่นคงปลอดภัยของระบบสารสนเทศ (organization of information security)
2.3 การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร (human resource security)
2.4 การบริหารจัดการทรัพย์สินสารสนเทศ (asset management)
2.5 การควบคุมการเข้าถึงข้อมูลและระบบสารสนเทศ (access control)
2.6 การควบคุมการเข้ารหัสข้อมูล (cryptographic control)
2.7 การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม (physical and environmental security)
2.8 การรักษาความมั่นคงปลอดภัยในการปฏิบัติงานที่เกี่ยวข้องกับระบบสารสนเทศ (operations security)
2.9 การรักษาความมั่นคงปลอดภัยด้านการสื่อสารข้อมูลสารสนเทศผ่านระบบเครือข่ายคอมพิวเตอร์ (communications security)
2.10 การจัดหา พัฒนา และดูแลรักษาระบบสารสนเทศ (system acquisition, development and maintenance)
2.11 การใช้บริการระบบสารสนเทศจากผู้รับดำเนินการ (IT outsourcing)
2.12 การบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ (information security incident management)
2.13 การบริหารความต่อเนื่องทางธุรกิจในด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (information security aspects of business continuity management)
ประกาศ ณ วันที่ 12 กันยายน พ.ศ. 2559
(นายรพี สุจริตกุล)
เลขาธิการ
สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์