Sign In
ข่าว ก.ล.ต.
ก.ล.ต. ปรับปรุงเกณฑ์เพื่อยกระดับมาตรฐานความปลอดภัยระบบ IT ของผู้ประกอบธุรกิจภายใต้การกำกับดูแล



วันพฤหัสบดีที่ 3 พฤศจิกายน 2565 | ฉบับที่ 192 / 2565


ก.ล.ต. ออกประกาศปรับปรุงหลักเกณฑ์การจัดให้มีระบบเทคโนโลยีสารสนเทศ (เกณฑ์ IT) เพื่อยกระดับมาตรฐานด้านการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศของผู้ประกอบธุรกิจภายใต้การกำกับดูแล ของ ก.ล.ต. ทั้งภาคตลาดทุนและตลาดสินทรัพย์ดิจิทัลให้มีความปลอดภัยและเพื่อสร้างความเชื่อมั่นให้กับผู้ลงทุน โดยมีผลตั้งแต่วันที่ 1 กรกฎาคม 2566

สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ออกประกาศปรับปรุงหลักเกณฑ์การจัดให้มีระบบเทคโนโลยีสารสนเทศ เพื่อให้ผู้ประกอบธุรกิจภายใต้การกำกับดูแล ของ ก.ล.ต. ทั้งในภาคตลาดทุนและตลาดสินทรัพย์ดิจิทัล เช่น ผู้ประกอบธุรกิจหลักทรัพย์ ผู้ประกอบธุรกิจสัญญาซื้อขายล่วงหน้า ศูนย์รับฝากหลักทรัพย์ ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล ผู้ให้บริการระบบเสนอขายโทเคนดิจิทัล และผู้ให้บริการระบบคราวด์ฟันดิง มีระบบงานด้านเทคโนโลยีสารสนเทศที่มั่นคงปลอดภัยเพียงพอที่จะรองรับความเสี่ยงด้านเทคโนโลยีสารสนเทศที่เปลี่ยนแปลงไป และเท่าทันภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นในปัจจุบัน รวมทั้งสร้างความเชื่อมั่นให้กับประชาชนที่ใช้บริการ ซึ่งได้เปิดรับฟังความคิดเห็นจากผู้ที่เกี่ยวข้องเมื่อเดือนธันวาคม 2564 และพฤษภาคม 2565 พร้อมนำข้อเสนอแนะมาปรับปรุงหลักเกณฑ์ให้มีความเหมาะสมยิ่งขึ้น โดยมีสาระสำคัญดังนี้

     (1) กำหนดเกณฑ์การจัดระดับความเสี่ยงที่เกี่ยวข้องกับระบบเทคโนโลยีสารสนเทศ และกำหนดมาตรฐานการควบคุมและการกำกับดูแลด้านเทคโนโลยีสารสนเทศของผู้ประกอบธุรกิจให้สอดคล้องกับระดับความเสี่ยง และลักษณะการประกอบธุรกิจที่มีความหลากหลาย เช่น โครงสร้าง ขนาด และความซับซ้อนของเทคโนโลยีที่ใช้งาน 

     (2) มุ่งเน้นบทบาทหน้าที่และการมีส่วนร่วมของคณะกรรมการของผู้ประกอบธุรกิจ และโครงสร้างการกำกับดูแลการใช้เทคโนโลยีในการประกอบธุรกิจให้มีความปลอดภัย และมีการตรวจสอบด้านความมั่นคงปลอดภัย โดยผู้ตรวจสอบที่มีความเป็นอิสระและมีคุณสมบัติที่เหมาะสม

     (3) ปรับปรุงหลักเกณฑ์และแนวปฏิบัติให้สอดคล้องกับมาตรฐานสากล และหลักเกณฑ์การกำกับดูแลของหน่วยงานกำกับดูแลในภาคอุตสาหกรรมการเงิน

     (4) จัดให้มีข้อกำหนดด้านการบริหารคุณภาพและบริการของระบบเทคโนโลยีสารสนเทศเพิ่มเติม เช่น การบริหารจัดการโครงการด้านเทคโนโลยีสารสนเทศ และการบริหารจัดการด้านทรัพยากรระบบงาน (Capacity Management) 

     (5) ยกระดับมาตรการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศให้มีความเข้มแข็ง เพื่อป้องกันเหตุการณ์ภัยคุกคามทางไซเบอร์ และเพื่อให้สอดคล้องกับแนวทางกฎหมายไซเบอร์ เช่น การประเมินช่องโหว่ทางเทคนิค (Vulnerability Assessment) และการทดสอบการเจาะระบบ (Penetration Test)

     (6) ปรับปรุงข้อกำหนดในการบริหารจัดการบุคคลภายนอก (Third Party Management) โดยขยายขอบเขตให้ครอบคลุมผู้ให้บริการด้านเทคโนโลยีสารสนเทศ ผู้ที่มีการเชื่อมต่อกับระบบสารสนเทศของผู้ประกอบธุรกิจ และผู้ที่สามารถเข้าถึงหรือแลกเปลี่ยนข้อมูลสำคัญของผู้ประกอบธุรกิจหรือข้อมูลของลูกค้าที่อยู่ภายใต้ความรับผิดชอบของผู้ประกอบธุรกิจได้

ทั้งนี้ ประกาศดังกล่าวจะมีผลใช้บังคับตั้งแต่วันที่ 1 กรกฎาคม 2566 สำหรับข้อกำหนดเกี่ยวกับคุณสมบัติผู้ตรวจสอบด้านเทคโนโลยีสารสนเทศกำหนดให้มีผลใช้บังคับตั้งแต่วันที่ 1 มกราคม 2567 เพื่อให้ผู้ประกอบธุรกิจมีเวลาเตรียมความพร้อมทั้งในด้านบุคลากรและระบบงาน

________________________





ข่าวในหมวดเดียวกัน

ก.ล.ต. ประกาศผลการประกวดคลิป “รู้ทันมิจ ฉุกคิดก่อนลงทุน” ประชาชนรวมพลังเตือนภัยหลอกลงทุน
แอปพลิเคชัน “SEC Check First” สามารถเข้าใช้งานผ่านช่องทางแอปพลิเคชัน “ทางรัฐ” ได้แล้ววันนี้ เพื่อให้เช็กก่อนเชื่อไม่ตกเป็นเหยื่อการหลอกลงทุน
ก.ล.ต. ปรับปรุงหลักเกณฑ์การให้บริการธุรกรรมเกี่ยวกับ NVDR ของบริษัทหลักทรัพย์
ก.ล.ต. แจ้งผู้ถือหน่วยลงทุนของกองทุนรวมสิทธิการเช่าอสังหาริมทรัพย์เออร์บานา (URBNPF) เข้าร่วมการพบปะผู้ถือหน่วยลงทุน ในวันที่ 17 เมษายน 2567
ก.ล.ต. เปิดรับฟังความคิดเห็นต่อการปรับปรุงหลักเกณฑ์คุณสมบัติของผู้แทนผู้ถือหุ้นกู้

ก.ล.ต. ดูแลตลาดทุนเพื่อให้คุณมั่นใจ
ข่าว
สำนักงานคณะกรรมการกำกับหลักทรัพย์ตลาดหลักทรัพย์
ฝ่ายสื่อสารและบริการลงทุน
โทร. 0-2033-9502-5 E-mail: press@sec.or.th
ฉบับที่ 192 / 2565 วันพฤหัสบดีที่ 3 พฤศจิกายน 2565
ก.ล.ต. ปรับปรุงเกณฑ์เพื่อยกระดับมาตรฐานความปลอดภัยระบบ IT ของผู้ประกอบธุรกิจภายใต้การกำกับดูแล
ก.ล.ต. ออกประกาศปรับปรุงหลักเกณฑ์การจัดให้มีระบบเทคโนโลยีสารสนเทศ (เกณฑ์ IT) เพื่อยกระดับมาตรฐานด้านการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศของผู้ประกอบธุรกิจภายใต้การกำกับดูแล ของ ก.ล.ต. ทั้งภาคตลาดทุนและตลาดสินทรัพย์ดิจิทัลให้มีความปลอดภัยและเพื่อสร้างความเชื่อมั่นให้กับผู้ลงทุน โดยมีผลตั้งแต่วันที่ 1 กรกฎาคม 2566

สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ออกประกาศปรับปรุงหลักเกณฑ์การจัดให้มีระบบเทคโนโลยีสารสนเทศ เพื่อให้ผู้ประกอบธุรกิจภายใต้การกำกับดูแล ของ ก.ล.ต. ทั้งในภาคตลาดทุนและตลาดสินทรัพย์ดิจิทัล เช่น ผู้ประกอบธุรกิจหลักทรัพย์ ผู้ประกอบธุรกิจสัญญาซื้อขายล่วงหน้า ศูนย์รับฝากหลักทรัพย์ ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล ผู้ให้บริการระบบเสนอขายโทเคนดิจิทัล และผู้ให้บริการระบบคราวด์ฟันดิง มีระบบงานด้านเทคโนโลยีสารสนเทศที่มั่นคงปลอดภัยเพียงพอที่จะรองรับความเสี่ยงด้านเทคโนโลยีสารสนเทศที่เปลี่ยนแปลงไป และเท่าทันภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นในปัจจุบัน รวมทั้งสร้างความเชื่อมั่นให้กับประชาชนที่ใช้บริการ ซึ่งได้เปิดรับฟังความคิดเห็นจากผู้ที่เกี่ยวข้องเมื่อเดือนธันวาคม 2564 และพฤษภาคม 2565 พร้อมนำข้อเสนอแนะมาปรับปรุงหลักเกณฑ์ให้มีความเหมาะสมยิ่งขึ้น โดยมีสาระสำคัญดังนี้

     (1) กำหนดเกณฑ์การจัดระดับความเสี่ยงที่เกี่ยวข้องกับระบบเทคโนโลยีสารสนเทศ และกำหนดมาตรฐานการควบคุมและการกำกับดูแลด้านเทคโนโลยีสารสนเทศของผู้ประกอบธุรกิจให้สอดคล้องกับระดับความเสี่ยง และลักษณะการประกอบธุรกิจที่มีความหลากหลาย เช่น โครงสร้าง ขนาด และความซับซ้อนของเทคโนโลยีที่ใช้งาน 

     (2) มุ่งเน้นบทบาทหน้าที่และการมีส่วนร่วมของคณะกรรมการของผู้ประกอบธุรกิจ และโครงสร้างการกำกับดูแลการใช้เทคโนโลยีในการประกอบธุรกิจให้มีความปลอดภัย และมีการตรวจสอบด้านความมั่นคงปลอดภัย โดยผู้ตรวจสอบที่มีความเป็นอิสระและมีคุณสมบัติที่เหมาะสม

     (3) ปรับปรุงหลักเกณฑ์และแนวปฏิบัติให้สอดคล้องกับมาตรฐานสากล และหลักเกณฑ์การกำกับดูแลของหน่วยงานกำกับดูแลในภาคอุตสาหกรรมการเงิน

     (4) จัดให้มีข้อกำหนดด้านการบริหารคุณภาพและบริการของระบบเทคโนโลยีสารสนเทศเพิ่มเติม เช่น การบริหารจัดการโครงการด้านเทคโนโลยีสารสนเทศ และการบริหารจัดการด้านทรัพยากรระบบงาน (Capacity Management) 

     (5) ยกระดับมาตรการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศให้มีความเข้มแข็ง เพื่อป้องกันเหตุการณ์ภัยคุกคามทางไซเบอร์ และเพื่อให้สอดคล้องกับแนวทางกฎหมายไซเบอร์ เช่น การประเมินช่องโหว่ทางเทคนิค (Vulnerability Assessment) และการทดสอบการเจาะระบบ (Penetration Test)

     (6) ปรับปรุงข้อกำหนดในการบริหารจัดการบุคคลภายนอก (Third Party Management) โดยขยายขอบเขตให้ครอบคลุมผู้ให้บริการด้านเทคโนโลยีสารสนเทศ ผู้ที่มีการเชื่อมต่อกับระบบสารสนเทศของผู้ประกอบธุรกิจ และผู้ที่สามารถเข้าถึงหรือแลกเปลี่ยนข้อมูลสำคัญของผู้ประกอบธุรกิจหรือข้อมูลของลูกค้าที่อยู่ภายใต้ความรับผิดชอบของผู้ประกอบธุรกิจได้

ทั้งนี้ ประกาศดังกล่าวจะมีผลใช้บังคับตั้งแต่วันที่ 1 กรกฎาคม 2566 สำหรับข้อกำหนดเกี่ยวกับคุณสมบัติผู้ตรวจสอบด้านเทคโนโลยีสารสนเทศกำหนดให้มีผลใช้บังคับตั้งแต่วันที่ 1 มกราคม 2567 เพื่อให้ผู้ประกอบธุรกิจมีเวลาเตรียมความพร้อมทั้งในด้านบุคลากรและระบบงาน

________________________