ประกาศแนวปฏิบัติที่ นป. 3/2559 เรื่อง แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสารสนเทศ

ข่าวหุ้น-การเงิน Monday September 12, 2016 15:50 —ประกาศ ก.ล.ต.

ประกาศแนวปฏิบัติ

ที่ นป. 3/2559

เรื่อง แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสารสนเทศ

______________________

ตามที่ประกาศคณะกรรมการกำกับตลาดทุน ที่ ทธ. 35/2556 เรื่อง มาตรฐานการประกอบธุรกิจ โครงสร้างการบริหารงาน ระบบงาน และการให้บริการของผู้ประกอบธุรกิจหลักทรัพย์และผู้ประกอบธุรกิจสัญญาซื้อขายล่วงหน้า ลงวันที่ 6 กันยายน พ.ศ. 2556 (ประกาศที่ ทธ. 35/2556) และประกาศสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ที่ สธ. 37/2559 เรื่อง ข้อกำหนดในรายละเอียดเกี่ยวกับการจัดให้มีระบบเทคโนโลยีสารสนเทศ ลงวันที่ 12 กันยายน พ.ศ. 2559 (ประกาศที่ สธ. 37/2559) กำหนดให้ผู้ประกอบธุรกิจต้องจัดให้มีนโยบาย มาตรการ และระบบงานในการกำกับดูแลและบริหารจัดการเทคโนโลยี และการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ โดยต้องดำเนินการควบคุมดูแล ติดตาม และตรวจสอบให้มีการปฏิบัติตามนโยบาย มาตรการ และระบบงานดังกล่าว ตลอดจนมีการทบทวนความเหมาะสมของเรื่องดังกล่าวเป็นประจำนั้น

เพื่อประโยชน์ในการปฏิบัติตามข้อกำหนดข้างต้นของผู้ประกอบธุรกิจ สำนักงานโดยอาศัยอำนาจตามข้อ 5(3) ประกอบกับข้อ 12 วรรคหนึ่ง (11) และ (12) และข้อ 14 ของประกาศที่ ทธ. 35/2556 จึงออกประกาศแนวปฏิบัติไว้ดังต่อไปนี้

ข้อ 1 แนวปฏิบัตินี้เป็นแนวทางเกี่ยวกับเรื่องดังต่อไปนี้

(1) การจัดให้มีนโยบาย มาตรการ และระบบงานเกี่ยวกับการกำกับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศระดับองค์กรที่ดี และระบบงานในการรักษาความมั่นคปลอดภัยของระบบสารสนเทศ

(2) การควบคุมดูแล ติดตาม และตรวจสอบให้มีการปฏิบัติตามนโยบาย มาตรการ และระบบงานตาม (1)

(3) การทบทวนความเหมาะสมของ (1)

ในกรณีที่ผู้ประกอบธุรกิจได้ปฏิบัติตามแนวทางตามวรรคหนึ่งจนครบถ้วน สำนักงานจะพิจารณาว่าผู้ประกอบธุรกิจได้ปฏิบัติตามประกาศที่ ทธ. 35/2556 และประกาศที่ สธ. 37/2559 แล้ว ทั้งนี้ หากผู้ประกอบธุรกิจดำเนินการต่างจากแนวปฏิบัตินี้ ผู้ประกอบธุรกิจมีภาระที่จะต้องพิสูจน์ให้เห็นได้ว่าการดำเนินการนั้นยังคงอยู่ภายใต้หลักการและข้อกำหนดของประกาศที่ ทธ. 35/2556 ในส่วนที่เกี่ยวกับระบบเทคโนโลยีสารสนเทศ และประกาศที่ สธ. 37/2559

ข้อ 2 แนวทางปฏิบัติตามข้อ 1 วรรคหนึ่งมีรายละเอียดตามที่กำหนดในภาคผนวกที่แนบท้ายประกาศแนวปฏิบัตินี้ ทั้งนี้ รายละเอียดดังกล่าวได้แก่เรื่องดังต่อไปนี้

(1) หมวดที่ 1 การกำกับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศระดับองค์กรที่ดี (governance of enterprise IT)

(2) หมวดที่ 2 การรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ (IT security) โดยมีรายละเอียดดังต่อไปนี้

2.1 แนวทางปฏิบัติเพิ่มเติมเกี่ยวกับนโยบายและมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (information security policy)

2.2 การจัดโครงสร้างความมั่นคงปลอดภัยของระบบสารสนเทศ (organization of information security)

2.3 การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร (human resource security)

2.4 การบริหารจัดการทรัพย์สินสารสนเทศ (asset management)

2.5 การควบคุมการเข้าถึงข้อมูลและระบบสารสนเทศ (access control)

2.6 การควบคุมการเข้ารหัสข้อมูล (cryptographic control)

2.7 การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม (physical and environmental security)

2.8 การรักษาความมั่นคงปลอดภัยในการปฏิบัติงานที่เกี่ยวข้องกับระบบสารสนเทศ (operations security)

2.9 การรักษาความมั่นคงปลอดภัยด้านการสื่อสารข้อมูลสารสนเทศผ่านระบบเครือข่ายคอมพิวเตอร์ (communications security)

2.10 การจัดหา พัฒนา และดูแลรักษาระบบสารสนเทศ (system acquisition, development and maintenance)

2.11 การใช้บริการระบบสารสนเทศจากผู้รับดำเนินการ (IT outsourcing)

2.12 การบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ (information security incident management)

2.13 การบริหารความต่อเนื่องทางธุรกิจในด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (information security aspects of business continuity management)

ประกาศ ณ วันที่ 12 กันยายน พ.ศ. 2559

(นายรพี สุจริตกุล)

เลขาธิการ

สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์


เว็บไซต์นี้มีการใช้งานคุกกี้ ศึกษารายละเอียดเพิ่มเติมได้ที่ นโยบายความเป็นส่วนตัว และ ข้อตกลงการใช้บริการ รับทราบ