ก.ล.ต. เตรียมปรับปรุงหลักเกณฑ์ข้อกำหนดการจัดให้มีระบบเทคโนโลยีสารสนเทศ

สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) เปิดรับฟังความคิดเห็นการปรับปรุงหลักเกณฑ์การจัดให้มีระบบเทคโนโลยีสารสนเทศ เพื่อให้ผู้ประกอบธุรกิจสามารถบริหารจัดการความเสี่ยงในการใช้เทคโนโลยีสารสนเทศได้อย่างมีประสิทธิผล และมีความพร้อมรับมือต่อภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นอย่างต่อเนื่อง พร้อมทั้งสร้างความเชื่อมั่นของผู้ลงทุนในการใช้บริการและผลิตภัณฑ์ของภาคตลาดทุน

ก.ล.ต. มีแนวคิดปรับปรุงหลักเกณฑ์ข้อกำหนดการจัดให้มีระบบเทคโนโลยีสารสนเทศซึ่งใช้บังคับมาตั้งแต่ปี 2559 เพื่อให้สอดคล้องกับเทคโนโลยีในการประกอบธุรกิจที่เปลี่ยนแปลงไป การเพิ่มขึ้นของภัยคุกคามทางไซเบอร์ มาตรการป้องกันเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศของตลาดทุนในอดีต และการปรับปรุงเกณฑ์ด้านเทคโนโลยีสารสนเทศของหน่วยงานกำกับดูแลในภาคอุตสาหกรรมการเงินอื่น ๆ เพื่อเป็นการส่งเสริมและสนับสนุนให้ผู้ประกอบธุรกิจในตลาดทุนมีมาตรฐานความพร้อมรับมือภัยไซเบอร์ (cyber resilience) ในขณะที่ผู้ประกอบธุรกิจสามารถปฏิบัติตามเกณฑ์ได้อย่างมีประสิทธิภาพ

ก.ล.ต. จึงเสนอปรับปรุงหลักเกณฑ์ โดยมีรายละเอียดส่วนที่สำคัญ ดังนี้
(1) กำหนดระดับการควบคุมและการกำกับดูแลผู้ประกอบธุรกิจให้เหมาะสมกับระดับความเสี่ยง โดยจัดทำแนวปฏิบัติที่มีระดับแตกต่างกันเพื่อรองรับผู้ประกอบธุรกิจซึ่งมีความหลากหลายด้านธุรกิจ โครงสร้าง ขนาด และความซับซ้อนของเทคโนโลยีที่ใช้งาน ตลอดจนขยายขอบเขตการบังคับใช้ให้ครอบคลุมผู้ประกอบธุรกิจที่เกี่ยวข้อง
(2) มุ่งเน้นบทบาทหน้าที่และการมีส่วนร่วมของคณะกรรมการของผู้ประกอบธุรกิจ และโครงสร้างการกำกับดูแล (Governance) ด้านการใช้เทคโนโลยีในการประกอบธุรกิจให้มีความปลอดภัย มีประสิทธิภาพและประสิทธิผล และมีการตรวจสอบด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ โดยผู้ตรวจสอบที่มีความเป็นอิสระและมีคุณสมบัติเหมาะสม
(3) ปรับปรุงเนื้อหาของหลักเกณฑ์และแนวปฏิบัติให้สอดคล้องกับมาตรฐานสากล ตลอดจนสอดคล้องกับหลักเกณฑ์การกำกับดูแลของหน่วยงานกำกับดูแลในภาคอุตสาหกรรมการเงิน
(4) จัดให้มีข้อกำหนดเพิ่มเติมด้านการบริหารคุณภาพและบริการของระบบเทคโนโลยีสารสนเทศ เช่น การบริหารจัดการโครงการด้านเทคโนโลยีสารสนเทศ และการบริหารจัดการด้านทรัพยากรระบบงาน (Capacity Management) เป็นต้น
(5) ยกระดับมาตรการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศให้มีความเข้มแข็ง เพื่อป้องกันเหตุการณ์ด้านภัยคุกคามทางไซเบอร์ที่เคยเกิดขึ้นในภาคตลาดทุนในอดีต และเพื่อให้สอดคล้องกับแนวทางกฎหมายไซเบอร์ เช่น การประเมินช่องโหว่ทางเทคนิค (Vulnerability Assessment) และการทดสอบการเจาะระบบ (Penetration Test) เป็นต้น
(6) ปรับปรุงข้อกำหนดในการบริหารจัดการบุคคลภายนอก (3rd Party Management) โดยขยายขอบเขตให้ครอบคลุมผู้ให้บริการด้านเทคโนโลยีสารสนเทศ ผู้ที่มีการเชื่อมต่อกับระบบสารสนเทศของผู้ประกอบธุรกิจ และผู้ที่สามารถเข้าถึงหรือแลกเปลี่ยนข้อมูลสำคัญของผู้ประกอบธุรกิจหรือข้อมูลของลูกค้าที่อยู่ภายใต้ความรับผิดชอบของ
ผู้ประกอบธุรกิจได้

ทั้งนี้ ก.ล.ต. ได้เผยแพร่เอกสารรับฟังความคิดเห็นเกี่ยวกับการกำหนดแนวทางกำกับดูแลดังกล่าวไว้ที่เว็บไซต์ ก.ล.ต. https://www.sec.or.th/TH/Pages/PB_Detail.aspx?SECID=763 ผู้ที่เกี่ยวข้องและผู้สนใจสามารถแสดงความคิดเห็นได้ที่เว็บไซต์ หรือทาง e-mail: nakharin@sec.or.th , thanakornb@sec.or.th หรือ chat@sec.or.th จนถึงวันที่ 25 ธันวาคม 2564

ที่มา: ก.ล.ต.