แนวปฏ บ ตท ด ส าหร บการควบค มความเส ยงของระบบงานเทคโนโลย สารสนเทศท สน บสน นธ รก จหล ก (IT Best Practices)

Transcription

1 แนวปฏ บ ต ท ด ส าหร บการควบค มความเส ยงของระบบงานเทคโนโลย สารสนเทศท สน บสน นธ รก จหล ก (IT Best Practices) ISO COSO COBIT แนวปฏ บ ตท ด ส าหร บการควบค มความเส ยงของระบบงานเทคโนโลย สารสนเทศท สน บสน นธ รก จหล ก (IT Best Practices) Phase 1: ธ รกรรมฝาก ถอน และโอนเง น ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ สายก าก บสถาบ นการเง น พฤศจ กายน 2556 ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page I

2 สารบ ญ Executive Summary 1 สร ปกระบวนการในการจ ดท าแนวปฏ บ ต ท ด (IT Best Practices) 3 ส วนท 1 : แนวปฏ บ ต ท ด ส าหร บการควบค มความเส ยงของกระบวนการท าธ รก จหล ก 5 Phase 1: ธ รกรรมฝาก ถอน และโอนเง น 1.1 การเป ด/ป ดระบบงานท สาขา การเป ดบ ญช เง นฝาก การฝาก การถอน และการโอนเง น การควบค มเพ มเต มท ส าค ญ 23 ส วนท 2 : แนวปฏ บ ต ท ด ส าหร บการควบค มความเส ยงของระบบ IT ท สน บสน นธ รก จหล ก 24 Phase 1: ธ รกรรมฝาก ถอน และโอนเง น 2.1 ศ นย คอมพ วเตอร (Data Center) ระบบเคร อข ายส อสาร (Network) ระบบ Core Banking ระบบงานการให บร การแก ล กค า เคร องคอมพ วเตอร ส วนบ คคลท สาขา ATM Application Control ต Automatic Teller Machine (ATM) อ ปกรณ Hardware Security Machine (HSM) Internet Banking Application Control Internet Banking Security 49 ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page II

3 เหต ผลความจ าเป น ป จจ บ นระบบเทคโนโลย สารสนเทศ (IT) เป น โครงสร างพ นฐานส าค ญท ใช รองร บกลย ทธ และ กระบวนการด าเน นธ รก จด านต าง ๆ (Business Process) ของธนาคารพาณ ชย (ธพ.) ซ งจ ดอ อนหร อช องโหว ของระบบ IT อาจม ผลต อความปลอดภ ย ความถ กต อง ความต อเน องต อการ ให บร การทางการเง นแก ล กค าประชาชน และอาจส งผลกระทบ ถ งภาพล กษณ ความน าเช อถ อของ ธพ. ได อย างไรก ตาม ระบบ IT ของ ธพ. แต ละแห งท ใช รองร บการให บร การทางการเง นพ นฐาน เช น ธ รกรรมเง น ฝาก ถอนและโอนเง น ย งม มาตรฐานการควบค มภายในท แตกต างหลากหลาย ด งน น การม มาตรฐานแนวปฏ บ ต การ ควบค มภายในท ด สอดคล องก บมาตรฐานสากลท ได ร บการ ยอมร บโดยท วไป ส าหร บใช ในการควบค มความเส ยงของ ระบบ IT จะช วยให การพ ฒนาโครงสร างพ นฐานระบบ IT เอ อต อการสน บสน นกลย ทธ การขยายธ รก จของ ธพ. ในอนาคต สร างความม นใจในการใช บร การของล กค าประชาชน ตลอดจนพ ฒนาการก าก บด แลสถาบ นการเง นของ ธปท. ให ท นก บว ว ฒนาการและความเส ยงท เปล ยนแปลงด วยเช นก น ในป 2556 ธปท. จ งจ ดให ม โครงการจ ดท า แนวปฏ บ ต ท ด ส าหร บการควบค มความเส ยง (IT Best Practices) ด าน Operational/ IT Risk Management ของ ธพ. เช อมโยงก บธ รก จหล ก โดยใน Phase 1 ได จ ดท า แนวปฏ บ ต ท ด ส าหร บการควบค มความเส ยงรองร บธ รกรรม ด านเง นฝาก ถอน และโอนเง น ผ านช องทางสาขา ATM และ Internet Banking โดยม บร ษ ท Deloitte Touche Executive Summary Tohmastsu (บร ษ ท Delloitte) เป นท ปร กษาโครงการ เพ อให IT Best Practices เป นท ยอมร บและสอดคล องก บ มาตรฐานสากลท เก ยวข อง นอกจากน ธพ. ไทยท กแห งเห นด วยและ ให ความร วมม อและความค ดเห นท เป นประโยชน อย างย ง ท ช วยให แนวปฏ บ ต ท ด ฉบ บน ม ความช ดเจน ย ดหย น เป นไปตาม หล กสากลท น าไปปฏ บ ต ได และเหมาะสมก บระบบ ธพ. ไทย สร ปสาระส าค ญของ IT Best Practices การจ ดท า IT Best Practices ท ด ต องอาศ ยพ นฐาน ความเข าใจในกระบวนการทางธ รก จ (Business Process) ท เก ยวข องก บการท าธ รกรรมเง นฝาก ถอน และโอนเง น โครงสร างและกระบวนการของระบบ IT (IT Process) ท สน บสน นธ รก จด งกล าว เพ อน ามาประเม นความเส ยงของ กระบวนการทางธ รก จ (Operational Risk) ตามมาตรฐาน Basel II และก าหนดแนวปฏ บ ต การควบค มภายในท ด ด งน น สาระของ IT Best Practices จ งแบ งออกเป น 2 ส วน ค อ แนวปฏ บ ต ท ด ส าหร บการควบค มความเส ยงของ กระบวนการท าธ รก จหล ก และแนวปฏ บ ต ท ด ส าหร บการ ควบค มความเส ยงของระบบ IT ท ใช รองร บธ รกรรมด านเง น ฝาก ถอน และโอนเง น โดยกรอบในการจ ดท าจะอ างอ งหล ก มาตรฐานสากล เก ยวก บการควบค มภายในและระบบ IT เช น กรอบแนวทางการตรวจสอบเทคโนโลย Global Technology Audit Guide (GTAG) และกรอบการควบค มด านความปลอดภ ย เทคโนโลย สารสนเทศ ISO27001 เป นต น ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 1

4 ซ งท ง 3 ด าน สอดคล องก บหล กการตรวจสอบ IT (Security Integrity Availability : SIA) ของ ธปท. ในป จจ บ น ประโยชน ของการจ ดท า IT Best Practices 1. แนวปฏ บ ต ท ด ส าหร บการควบค มความเส ยง ของกระบวนการท าธ รก จหล ก (ฝาก ถอน และโอนเง น) จ ดท าครอบคล มกระบวนการเป ด/ป ดสาขา การเป ดบ ญช เง นฝาก และการท าธ รกรรมฝาก ถอนและโอนเง นผ านช องทาง สาขา ATM และ Internet Banking โดยม การควบค ม ความเส ยงท ด เช น การใช เคร องม อพ ส จน ต วตนล กค าจาก บ ตรประชาชนอ เล กทรอน กส การก าหนดส ทธ ให แก พน กงาน เท าท จ าเป นตามบทบาทหน าท การพ ส จน ต วตนของผ อน ม ต รายการด วยว ธ การท ปลอดภ ย เป นต น ซ งอาจเป นได ท ง การควบค มด วยระบบ IT (Application Controls) และ/หร อ การควบค มด วยระเบ ยบว ธ ปฏ บ ต งาน (Operation Controls) 2. แนวปฏ บ ต ท ด ส าหร บการควบค มระบบ IT ท สน บสน นธ รก จหล ก จะครอบคล มโครงสร างระบบ IT ท ส าค ญซ งประกอบด วย Data Center ระบบเคร อข ายส อสาร (Network) ระบบ Core Banking และระบบช องทางการ ให บร การต าง ๆ โดยการควบค มระบบ IT ท ด จะครอบคล ม เร องส าค ญ 3 เร อง ได แก (1) Access Control ค อ การควบค ม ระบบ IT เพ อป องก นการถ กบ กร กและเข าถ งโดยไม ได ร บ อน ญาต เช น การพ ส จน ต วตนของผ เข าใช งานระบบ IT การให ส ทธ แก ผ ใช งานตามความจ าเป น (2) Security Management ค อ การบร หารจ ดการระบบ IT ให ม ความปลอดภ ย เพ อให ระบบและข อม ลม ความถ กต อง เช น การต งค าความปลอดภ ย ระบบ IT การควบค มการแก ไขหร อเปล ยนแปลงระบบ IT และ (3) Availability Management ค อ การบร หารจ ดการระบบ IT ให ม ความพร อมในการรองร บการท าธ รกรรมอย างต อเน อง เช น การจ ดเตร ยมระบบ IT และข อม ลช ดส ารอง เป นต น ธปท. ม งหว งให IT Best Practices น เก ดประโยชน ใน วงกว าง โดย ธพ. สามารถน าแนวปฏ บ ต ท ด น ไปประเม นความ เส ยงและการควบค มด วยตนเอง (Self Control System) ตลอดจนการน าไปใช เป น benchmark เพ อการพ ฒนาปร บปร ง ระบบ IT ให ม ความปลอดภ ย ความถ กต อง และความพร อมใช งานเท ยบเค ยงแนวปฏ บ ต ท เป นมาตรฐานสากล นอกจากน IT Best Practices จะช วยยกระด บโครงสร างพ นฐานระบบ IT ของ ธพ. ไทย ท งระบบให ม มาตรฐานท ด ย งข นในการรองร บ การขยายธ รก จและการเพ มประส ทธ ภาพในการให บร การทาง การเง นแก ล กค าประชาชน ตลอดจนเพ มศ กยภาพทางการ แข งข นให เท ยบเค ยงก บ ธพ. ต างประเทศ นอกจากน IT Best Practices สามารถน ามาใช พ ฒนา แนวทางการตรวจสอบด าน IT ของ ธปท. ให ม ความท นสม ยและ ช วยผล กด นให ธพ. ปร บปร งระบบ IT ให สอดคล องก บ มาตรฐานสากลต อไป อย างไรก ด ธปท. ตระหน กด ว า ธพ. ไทย แต ละแห งม ความพร อมในการพ ฒนาด าน IT แตกต างก น ซ งเป นผลมาจากการม นโยบายการท าธ รก จ แผนการลงท น ปร มาณธ รกรรม และผลกระทบในเช งธ รก จแตกต างก น ด งน น การด าเน นโครงการใน Phase 2 ป 2557 ธปท. จะศ กษา จ ดท าแนวปฏ บ ต ท ยอมร บได (Acceptable Practices) และประเม น Gap ร วมก บ ธพ. แต ละแห ง เพ อเป นแนวทาง ให ธปท. และ ธพ. ร วมก นพ จารณาความเหมาะสมของการ จ ดท าแผนพ ฒนาปร บปร งระบบ IT ของตนเองให ได ตาม มาตรฐานสากล ท งในระยะส นและระยะยาวต อไป อน ง แนวปฏ บ ต การควบค มภายในท ด ฉบ บน ได จ ดท า ให ม ความเหมาะสมก บล กษณะธ รก จและบร การของ ธพ. ไทย ซ งอาจม ความแตกต างและย งไม ครอบคล มผล ตภ ณฑ และบร การ การเง นของ ธพ. ในต างประเทศ ด งน น จ งจ าเป นต องปร บปร ง IT Best Practices ให ม ความท นสม ยต อร ปแบบบร การทาง การเง นใหม ๆ การเปล ยนแปลงของเทคโนโลย และการท จร ตผ าน ทางธนาคารอ เล กทรอน กส ท ม การพ ฒนาอย างรวดเร วด วยเช นก น ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 2

5 สร ปกระบวนการในการจ ดท าแนวปฏ บ ต ท ด (IT Best Practices) 1. การก าหนดขอบเขตการจ ดท าแนวปฏ บ ต ท ด ครอบคล มการท าธ รกรรมฝาก ถอน และโอนเง น ผ านช องทาง สาขา ATM และ Internet Banking ซ ง ธปท. ได ว าจ างบร ษ ท Deloitte ท าหน าท ให ค าปร กษาแก ธปท. ในท กกระบวนการจ ดท าแนวปฏ บ ต ท ด ฉบ บน 2. การเตร ยมความพร อมผ ตรวจสอบ ธปท. เตร ยมความพร อมผ ตรวจสอบ ธปท. ให เข าใจแนวทางการรวบรวมข อม ล การจ ดท า Business Process Flows IT Process Flows การระบ ความเส ยง และแนวปฏ บ ต ท ด 3. การรวบรวมข อม ล เพ อจ ดท าแนวปฏ บ ต ท ด ศ กษาและรวบรวมข อม ลกระบวนการทางธ รก จท เก ยวข องก บการท าธ รกรรมฝาก ถอน และโอนเง น และ โครงสร างระบบ IT ท เก ยวข องก บการท าธ รกรรมด งกล าวในล กษณะ End-to-End Process ของ ธพ. ไทย ท กแห ง 4. การยกร างแนวปฏ บ ต ท ด การยกร างแนวปฏ บ ต ท ด จ ดท าโดยคณะท างานภายใน ธปท. ประกอบด วย ฝ ายตรวจสอบความเส ยงและ เทคโนโลย สารสนเทศ ฝ ายตรวจสอบ 1 ฝ ายตรวจสอบ 2 และฝ ายเทคโนโลย สารสนเทศ โดยม การ ด าเน นงาน ด งน 4.1 น าข อม ลท รวบรวมได ในข อ 3 มาประมวลผล และว เคราะห เพ อจ ดท า Business Process Flows และ IT Process Flows ท เป น Benchmark ของระบบ ธพ. ไทย ตารางระบ ความเส ยงอ างอ งประเภทความเส ยงด านปฏ บ ต การตามมาตรฐาน Basel II และ ร างแนวปฏ บ ต ท ด ท ควบค มความเส ยง อ างอ งตามกรอบมาตรฐานสากลเก ยวก บการควบค ม ภายใน โดยแยกได เป น ด าน Business Process อ างอ งมาตรฐานด งน (1) มาตรฐานของ The Committee of Sponsoring Organizations of the Treadway Commission (COSO) ซ งเป นคณะกรรมการท จ ดท าแนวปฏ บ ต ด านการบร หารความเส ยง องค กร (Enterprise Risk Management : ERM) การควบค มภายใน และการป องก น ท จร ต ท ได ร บการยอมร บในระด บสากล (2) Global Technology Audit Guide (GTAG) ซ งเป นกรอบแนวทางการตรวจสอบ เทคโนโลย สารสนเทศของหน วยงาน Institute of Internal Auditors (IIA) ซ งเป นองค กร ว ชาช พการตรวจสอบภายในซ งม สมาช กท วโลก ด าน IT Process อ างอ งมาตรฐานด งน (1) Control Objectives for Information and Related Technology (COBIT) หร อ กรอบการบร หารจ ดการด านเทคโนโลย สารสนเทศของหน วยงาน The Information ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 3

6 Systems Audit and Control Association (ISACA) ซ งเป นองค กรระด บสากลท ม ง พ ฒนาความร และการปฏ บ ต งานท ด ด านเทคโนโลย สารสนเทศ (2) ISO27001 (Information Security) ซ งเป นกรอบการควบค มด านความปลอดภ ย เทคโนโลย สารสนเทศของหน วยงาน International Organization for Standardization (ISO) หร อองค กรมาตรฐานสากลซ งเป นองค กรระหว างประเทศ ท าหน าท ก าหนด มาตรฐานสากลต างๆ ท เก ยวข องก บธ รก จ และอ ตสาหกรรม รวมท งมาตรฐานด าน เทคโนโลย สารสนเทศด วย (3) มาตรฐานการตรวจสอบด านเทคโนโลย สารสนเทศของ Federal Financial Institutions Examination Council (FFIEC) ซ งเป นองค กรท ออกมาตรฐานการตรวจสอบ เพ อก าก บ ด แลสถาบ นการเง นในสหร ฐฯ 4.2 ร บฟ งความค ดเห นต อร างแนวปฏ บ ต ท ด จาก ธพ. ไทย ท กแห ง พบว า ธพ. ไทยท กแห งเห นด วยส งถ ง ร อยละ 94 ของข อปฏ บ ต ของ IT Best Practices ท งหมด ส วนท เหล ออ กร อยละ 6 ม ข อห วงใยในบาง เร องท ต องใช เง นลงท นส ง หร อม ทางเล อกอ นช วยชดเชยได (Manual Control) ซ ง ธปท. ได ร วมก บ ท ปร กษาได ปร บปร งให ม ความย ดหย นมากข นแล ว 5. การ Finalize แนวปฏ บ ต ท ด ฉบ บน ธปท. ได ปร บปร งร างแนวปฏ บ ต ท ด ตามความเห นท ได ร บจาก ธพ. เพ อให ม ความช ดเจน ย ดหย น สามารถ น าไปปฏ บ ต จร ง และสอดคล องก บมาตรฐานสากล โดยบร ษ ท Deloitte ได สร ปความเห นว า แนวปฏ บ ต ท ด ฉบ บน ม มาตรฐานสอดคล องก บมาตรฐานสากล และ/หร อมาตรฐานของธนาคารช นน าในกล มประเทศอาเซ ยน ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 4

7 ส วนท 1 แนวปฏ บ ต ท ด ส าหร บการควบค มความเส ยง ของกระบวนการท าธ รก จหล ก Phase 1: ธ รกรรมฝาก ถอน และโอนเง น ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 5

8 ตารางการระบ ความเส ยงส าหร บกระบวนการท าธ รก จหล ก (Business Process) Risks การฉ อโกงโดยบ คคลภายใน (Internal Fraud) เช น - การท าธ รกรรมโดยไม ได ร บอน ญาต - การปลอมแปลงต าง ๆ - การบ นท กธ รกรรมไม ถ กต อง - การล กลอบใช บ ญช ของผ อ น การปลอมเป นบ คคลอ น การฉ อโกงโดยบ คคลภายนอก (External Fraud) เช น - การปลอมแปลงเป นบ คคลอ น - การโจรกรรมหร อการย กยอกทร พย - การใช ธนบ ตรปลอม ความเส ยหายจากการปฏ บ ต การ การส งมอบ และการ จ ดกระบวนการ (Execution Delivery and Process Management) เช น - ความผ ดพลาดในการน าข อม ลเข าส ระบบการเก บ ร กษา หร อการด งข อม ล - การปฏ บ ต งานผ ดพลาด (Human Error) การเป ด/ป ด ระบบงานท สาขา การเป ดบ ญช เง นฝาก การฝาก/ถอน/ โอนเง น ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 6

9 1.1 การเป ด/ป ดระบบงานท สาขา ต วอย าง Flowchart กระบวนการท างาน การเป ดระบบงานท สาขา ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 7

10 การป ดระบบงานท สาขา ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 8

11 ตารางการควบค มท ส าค ญ การเป ด/ป ดระบบงานท สาขา ว ตถ ประสงค เพ อให การด าเน นงานของธนาคารเก ยวก บการเป ด/ป ดระบบงานท สาขากระท าโดยเจ าหน าท ท ร บ มอบอ านาจ การปฏ บ ต งานของสาขาในการให บร การล กค าม ความปลอดภ ยตามหล กมาตรฐานสากล ม ความถ ก ต องเช อถ อได และสามารถให บร การได อย างต อเน อง ข นตอน แนวปฏ บ ต ท ด การเป ด/ป ดระบบ ม ระบบการควบค มเอกสารส าค ญเก ยวก บบ ญช เง นฝาก เช น - ยอดสม ดค ฝากคงเหล อ - ยอดบ ตรอ เล กทรอน กส คงเหล อ - Post Date Cheque ท ครบก าหนดฝาก - อ น ๆ ก อนการป ดระบบจะต องจ ดการเร องด งต อไปน ให แล วเสร จก อน (หากไม แล วเสร จ ระบบจะไม อน ญาตให ป ดระบบ) - จ ดการให ยอดเง นคงเหล อในระบบของผ ร กษาเง น และผ ร บจ ายเง นเท าก บศ นย - จ ดการกรณ ท ม ค าความแตกต างระหว างระบบสาขาและระบบ Core Banking - ท ารายการส งเง นสดท งหมดเข าห องม นคง - การกระทบ Slip ท งหมดก บยอดรวมท บ นท กในระบบ ม การก าหนดส ทธ การเป ด/ป ดเคร องแม ข ายสาขาแก ผ ท ม อ านาจอน ม ต เท าน น ม การต งค าระบบให ม การแจ งเต อนสถานะการส งรายการบ นท กบ ญช จากสาขาไป ส าน กงานใหญ ท งในกรณ ส าเร จและไม ส าเร จ การท ารายการเบ กเง นสด ม การก าหนดส ทธ เฉพาะ Teller ประจ าสาขา ให เบ กเง นสดจาก Cashier ได เท าน น ม การก าหนดให การเบ กเง นสดท าผ านระบบเท าน น ม การต งค าระบบให แสดงยอดเง นสดคงเหล อของสาขา ซ งสามารถเร ยกด ได โดย Cashier และ/หร อ ผ บร หารสาขา ม การต งค าระบบให แสดงยอดเง นสดคงเหล อของเคร อง Teller ม การก าหนดส ทธ การเบ กเง นสดในระบบจากห องม นคงแก Cashier เท าน น การอน ม ต รายการเบ ก เง นสด/การอน ม ต การ ค นเง นสด ม การต งค าระบบบ งค บให ม การอน ม ต การท ารายการเบ ก/ค นเง นสดก อนท ข อม ลจะถ ก บ นท กในระบบ (Teller เบ ก/ค นเง นสดจาก Cashier และ Cashier เบ ก/ค นเง นสด จากห องม นคง) ม การพ ส จน ต วตนของผ ท ม อ านาจอน ม ต ในระบบท ปลอดภ ย เช น การใช Two-Factor Authentication หร อการสแกนลายน วม อของผ ท ม อ านาจอน ม ต ม การก าหนดส ทธ การอน ม ต การท ารายการในระบบให แก ผ ท ม อ านาจอน ม ต เท าน น ม การต งค าระบบให ปฏ เสธการท ารายการและอน ม ต รายการโดยใช รห สผ ใช งาน เด ยวก น ม การแยกหน าท การท างานระหว าง Teller Cashier ผ ท ม อ านาจอน ม ต และผ บร หาร สาขาอย างช ดเจน ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 9

12 ข นตอน แนวปฏ บ ต ท ด การจ ดเก บเง นสด ม การจ ดเก บเง นสดไว ในห องม นคง และควบค มการร บ - จ ายโดยว ธ Dual Control โดยม ผ บร หารสาขาหร อเท ยบเท าปฏ บ ต งานร วมก บ Cashier การตรวจธนบ ตรปลอม ม เคร องม อตรวจน บและตรวจสอบธนบ ตรปลอม การท ารายการค นเง นสด ม การต งค าระบบให Teller ตรวจสอบการกระทบยอด ด งน - ยอดเง นสดของรายการท เก ดข นในระบบเปร ยบเท ยบก บยอดเง นสดท น บได ท Teller กรอกข อม ล - ยอดเง นสดเก น/เง นขาด ม การก าหนดให การค นเง นสดท าผ านระบบเท าน น ม การต งค าระบบให แสดงยอดเง นสดคงเหล อของสาขา ม การต งค าให Cashier จะท าการส งเง นค นเข าห องม นคงได ก ต อเม อ Teller ท กคนท า รายการค นเง นสด ณ ส นว นครบแล วเท าน น ม การก าหนดส ทธ การค นเง นสดในระบบ โดยแยกเป น Teller ค นเง นให Cashier และ Cashier ค นเง นเข าห องม นคง การเก บหล กฐาน ม การเก บหล กฐานการเบ กเง นสด/ส งเง นสดค นห องม นคงในระบบ และม เอกสารท ม การลงนามร วมก นระหว าง Cashier ก บผ บร หารสาขา ม การเก บหล กฐานการเบ กเง นสด/ค นเง นสดระหว าง Cashier และ Teller ในระบบ และม เอกสารท ลงนามร วมก นระหว าง Teller ก บ Cashier หมายเหต : 1) ผ ท ม อ านาจอน ม ต หมายถ ง เจ าหน าท ท ร บมอบอ านาจจากธนาคาร และม ต าแหน งส งกว า Teller 2) Two-Factor Authentication หมายถ ง ว ธ การพ ส จน ต วตนของผ ท ารายการโดยใช ข อม ล 2 อย าง ประกอบก น ซ งข อม ลด งกล าวม 3 ประเภท ได แก 1) Something You Know เช น User ID และ Password เป นต น 2) Something You Have เช น บ ตรอน ม ต รายการ เป นต น และ 3) Something You Are เช น ลายน วม อ เป นต น ต วอย างการใช Two-Factor Authentication เช น การท ผ ท ม อ านาจอน ม ต ร ดบ ตรอน ม ต รายการพร อม การกรอก Password เพ ออน ม ต รายการ เป นต น ข อส งเกต: แนวปฏ บ ต ข างต นเป นแนวปฏ บ ต ท ด ตามมาตรฐานสากล อย างไรก ตาม ธพ. แต ละแห งม นโยบายการท าธ รก จ แผนการลงท นด าน IT ปร มาณ ธ รกรรม และผลกระทบในเช งธ รก จแตกต างก น โดยโครงการใน Phase 2 ป 2557 ธปท. จะศ กษาจ ดท าแนวปฏ บ ต ท ยอมร บได (Acceptable Practices) และประเม น Gap ร วมก บ ธพ. แต ละแห ง เพ อเป นแนวทางให ธปท. และ ธพ. ร วมก นพ จารณาความเหมาะสมของการจ ดท าแผนพ ฒนา ปร บปร งระบบ IT ของตนเองให ได ตามมาตรฐานสากล ท งในระยะส นและระยะยาวต อไป ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 10

13 1.2 การเป ดบ ญช เง นฝาก ต วอย าง Flowchart กระบวนการท างาน การเป ดบ ญช แนวปฏ บ ต ท ด ส าหร บการควบค มความเส ยงของระบบงานเทคโนโลย สารสนเทศท สน บสน นธ รก จหล ก (IT Best Practices) ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 11

14 ตารางการควบค มท ส าค ญ การเป ดบ ญช ว ตถ ประสงค เพ อให การด าเน นงานของธนาคารเก ยวก บการเป ดบ ญช เง นฝากของล กค ากระท าโดยเจ าหน าท ท ได ร บมอบอ านาจ ม กระบวนการพ ส จน ต วตนของผ เป ดบ ญช จากหล กฐานท เช อถ อได ตามหล กมาตรฐานสากล ม การป องก นการท จร ตจากการเป ดบ ญช และม การควบค มเพ อป องก นความผ ดพลาดจากการปฏ บ ต งาน ข นตอน แนวปฏ บ ต ท ด การพ ส จน ต วตนของ เจ าของบ ญช การตรวจสอบเอกสารแสดงต วตน และข อม ลในเอกสารแสดงต วตนท ล กค าน ามา เป ดบ ญช เพ อให แน ใจว าเอกสารม ความถ กต อง และระบ ต วตนล กค าได อย างถ กต อง ตามความเป นจร ง ม การต งค าระบบให ตรวจสอบจากบ ตรประชาชนท เป นบ ตรอ เล กทรอน กส (ในกรณ ท ล กค าม บ ตรประชาชนแบบอ เล กทรอน กส เท าน น) ม การตรวจสอบเอกสารเพ มเต มกรณ น าบ ตรประชาชนท ไม เป นอ เล กทรอน กส มาพ ส จน ต วตนเพ อเป ดบ ญช เช น บ ตรข าราชการ บ ตรพน กงานร ฐว สาหก จ บ ตรพน กงาน องค การของร ฐ ใบอน ญาตข บรถ กรณ เป นล กค าเด มให ตรวจสอบสม ดค ฝาก ลายม อช อ และร ปถ ายในระบบฐานข อม ลของธนาคาร การตรวจสอบฐานข อม ลต าง ๆ ก อนการเป ดบ ญช เพ อให เป นไปตามข อกฎหมายท ก าหนด ม การต งค าระบบให ตรวจสอบฐานข อม ล AML โดยอ ตโนม ต ม การต งค าระบบให ตรวจสอบฐานข อม ล Watchlist โดยอ ตโนม ต การปฏ เสธการเป ดบ ญช ม การต งค าระบบให ปฏ เสธการท ารายการให ก บผ ท ถ กข นบ ญช เป นผ ก อการร าย หร อ ผ ต องห ามตามกฎหมาย การควบค มอ นๆท เก ยวข องก บการพ ส จน ต วตน ม การต งค าระบบให จ ดท า KYC จากข อม ลท ได จากล กค า เพ อจ ดระด บความเส ยงของ ล กค าโดยอ ตโนม ต การท ารายการ ม การก าหนดส ทธ การท ารายการเป ดบ ญช ในระบบให แก เจ าหน าท เป ดบ ญช (ผ ท ร บมอบ อ านาจ) เท าน น ความถ กต องและครบถ วนของข อม ลท Input ม การต งค าระบบให ด งข อม ลท ใช เป ดบ ญช จากบ ตรอ เล กทรอน กส ท ออกโดยราชการ เป นฐานข อม ลในการท ารายการ ม การต งค าระบบให บ งค บกรอกข อม ลส าค ญให ครบถ วน ม การต งค าระบบให ตรวจสอบความถ กต องของข อม ลท กรอก ระบบ Generate เลขท บ ญช ท เป ดใหม ให โดยอ ตโนม ต การเก บต วอย างลายม อช อ ม การเก บข อม ลลายม อช อในร ปแบบอ เล กทรอน กส เพ อลดความเส ยงการปลอมแปลง ลายม อช อ ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 12

15 ข นตอน แนวปฏ บ ต ท ด ม การจ าก ดการเข าถ งข อม ลลายม อช อโดยผ ท ร บมอบอ านาจเท าน น การเก บเอกสารค าขอเป ดบ ญช ม การเก บค าขอเป ดบ ญช ในร ปแบบอ เล กทรอน กส และจ าก ดการเข าถ งข อม ลโดยผ ท ร บ มอบอ านาจเท าน น เพ อลดความเส ยงการปลอมแปลงลายม อช อ ม ข นตอนให ล กค าตรวจสอบความถ กต องและลงนามเอกสารค าขอเป ดบ ญช การผ กเลขท บ ญช ก บสม ดค ฝาก ม การต งค าระบบให ปฏ เสธท กคร งท ม การผ กบ ญช ก บสม ดค ฝากผ ดประเภท เช น เป ดบ ญช ออมทร พย แต ใช สม ดบ ญช ฝากประจ า ม การต งค าระบบให ปฏ เสธท กคร งท ม การผ กบ ญช ก บสม ดค ฝากท ไม ม ในทะเบ ยน สม ดค ฝากของสาขาท ท าการเป ดบ ญช เง นฝาก ม การผ กเลขท บ ญช และสม ดค ฝากโดยการใช เคร องม อช วยในการ Input เลขท บ ญช เช น การใช แถบแม เหล กหล งสม ดค ฝาก การอน ม ต รายการ ม การต งค าระบบบ งค บให ม การอน ม ต การท ารายการก อนท รายการเป ดบ ญช จะถ ก บ นท กในระบบ ม การพ ส จน ต วตนของผ ท ม อ านาจอน ม ต ในระบบท ปลอดภ ย เช น การใช Two-Factor Authentication หร อการสแกนลายน วม อของผ ม อ านาจอน ม ต ระบบก าหนดส ทธ การอน ม ต การท ารายการให ก บผ ท ม อ านาจอน ม ต เท าน น ระบบปฏ เสธการท ารายการและอน ม ต รายการโดยใช รห สผ ใช งานเด ยวก น ม การตรวจสอบความถ กต อง และความครบถ วนของการท ารายการท ก ๆ ส นว นโดย ผ ท ม อ านาจอน ม ต (ไม เป นคนเด ยวก บผ เป ดบ ญช และผ อน ม ต การเป ดบ ญช ) การตรวจสอบความ ถ กต องและครบถ วน ก อนให หล กฐานแก ผ มา ท ารายการ การแก ไขรายการเป ด บ ญช ม การตรวจสอบความถ กต องก อนให หล กฐานแก ผ มาท ารายการ และความครบถ วนของ การจ ายสม ดค ฝากท ก ๆ ส นว นโดย ผ ท ม อ านาจอน ม ต สม ดค ฝากม ข อความแสดงประเภทของบ ญช เลขท บ ญช ช อบ ญช ช อสาขา ให เจ าของ บ ญช ร บทราบอย างช ดเจน ม ข นตอนให ล กค าลงนามในการร บสม ดค ฝาก ม การต งค าระบบให บ งค บให ม การอน ม ต การแก ไขรายการ ก อนข อม ลถ กบ นท กในระบบ ม การพ ส จน ต วตนของผ ท ม อ านาจอน ม ต ในระบบท ปลอดภ ย เช น การใช Two-Factor Authentication หร อการสแกนลายน วม อของผ ม อ านาจอน ม ต ม การก าหนดส ทธ การอน ม ต การท ารายการในระบบให แก ผ ท ม อ านาจอน ม ต เท าน น ม การต งค าระบบให ปฏ เสธการท ารายการและอน ม ต รายการโดยใช รห สผ ใช งานเด ยวก น การแก ไขต องท าโดยความเห นชอบพร อมก นของผ ท ารายการ ผ ท ม อ านาจอน ม ต และ เจ าของบ ญช ม การตรวจสอบความถ กต อง และความครบถ วนของการท ารายการท ก ๆ ส นว นโดยผ ท ม อ านาจอน ม ต ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 13

16 ข นตอน แนวปฏ บ ต ท ด การแก ไขฐานข อม ล CIF กรณ เคยเป นล กค า ธนาคารแล วมาเป ด บ ญช ใหม ถ าข อม ลล กค าไม ตรงก บฐานข อม ลเด มของธนาคาร ให ผ ท ร บมอบอ านาจระม ดระว งใน การตรวจสอบข อม ลส าค ญ เช น ท อย หมายเลขโทรศ พท และหากล กค าต องการแก ไข ม การต งค าระบบให อน ม ต รายการแก ไขข อม ลล กค าโดยผ ท ม อ านาจอน ม ต หมายเหต : 1) ผ ท ม อ านาจอน ม ต หมายถ ง เจ าหน าท ท ร บมอบอ านาจจากธนาคาร และม ต าแหน งส งกว า เจ าหน าท เป ดบ ญช เง นฝาก 2) Two-Factor Authentication หมายถ ง ว ธ การพ ส จน ต วตนของผ ท ารายการโดยใช ข อม ล 2 อย าง ประกอบก น ซ งข อม ลด งกล าวม 3 ประเภท ได แก 1) Something You Know เช น User ID และ Password เป นต น 2) Something You Have เช น บ ตรอน ม ต รายการ เป นต น และ 3) Something You Are เช น ลายน วม อ เป นต น ต วอย างการใช Two-Factor Authentication เช น การท ผ ท ม อ านาจอน ม ต ร ดบ ตรอน ม ต รายการ พร อมการกรอก Password เพ ออน ม ต รายการ เป นต น ข อส งเกต: แนวปฏ บ ต ข างต นเป นแนวปฏ บ ต ท ด ตามมาตรฐานสากล อย างไรก ตาม ธพ. แต ละแห งม นโยบายการท าธ รก จ แผนการลงท นด าน IT ปร มาณ ธ รกรรม และผลกระทบในเช งธ รก จแตกต างก น โดยโครงการใน Phase 2 ป 2557 ธปท. จะศ กษาจ ดท าแนวปฏ บ ต ท ยอมร บได (Acceptable Practices) และประเม น Gap ร วมก บ ธพ. แต ละแห ง เพ อเป นแนวทางให ธปท. และ ธพ. ร วมก นพ จารณาความเหมาะสมของการจ ดท าแผนพ ฒนา ปร บปร งระบบ IT ของตนเองให ได ตามมาตรฐานสากล ท งในระยะส นและระยะยาวต อไป ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 14

17 1.3 การฝาก การถอน และการโอนเง น ต วอย าง Flowchart กระบวนการท างาน การฝากเง นสด แนวปฏ บ ต ท ด ส าหร บการควบค มความเส ยงของระบบงานเทคโนโลย สารสนเทศท สน บสน นธ รก จหล ก (IT Best Practices) ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 15

18 การฝากเช ค ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 16

19 การถอนเง นสด ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 17

20 การโอนเง นผ านสาขา ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 18

21 ตารางการควบค มท ส าค ญ การฝาก การถอน และการโอนเง น ว ตถ ประสงค เพ อให การด าเน นงานของธนาคารเก ยวก บการท าธ รกรรมของล กค าจากการฝาก/ถอน/โอนเง น กระท าโดยเจ าหน าท ท ได ร บมอบอ านาจ ม กระบวนการปฏ บ ต งานท ถ กต องตามหล กมาตรฐานสากล และเป นไป ตามกฎหมายท เก ยวข อง ข นตอน แนวปฏ บ ต ท ด การตรวจสอบความ ถ กต อง ครบถ วนของส ง ท ร บฝาก/น าส งให ล กค า การพ ส จน ต วตนของ เจ าของบ ญช ม เคร องม อตรวจน บความครบถ วนของธนบ ตรท ฝาก/ธนบ ตรท จะส งมอบให ล กค า ม เคร องม อตรวจน บและตรวจสอบธนบ ตรปลอม ม การตรวจสอบความสมบ รณ และถ กต องของเช คโดย Teller (ผ ท ร บมอบอ านาจ) (เฉพาะกรณ ฝากเง น) การตรวจสอบเอกสารเจ าของบ ญช ให เป นไปตามมาตรฐานสากล และกฎหมายท เก ยวข อง เช น พรบ. ป องก นและปราบปรามการฟอกเง น ม การต งค าระบบให ตรวจสอบจากบ ตรประชาชนท เป นบ ตรอ เล คทรอน กส (กรณ ท ล กค าม บ ตรประชาชนแบบอ เล คทรอน กส เท าน น) ม การตรวจสอบเอกสารเพ มเต มกรณ น าบ ตรประชาชนท ไม เป นอ เล กทรอน กส มาพ ส จน ต วตนเพ อถอน/โอนเง น เช น บ ตรข าราชการ บ ตรพน กงานร ฐว สาหก จ บ ตรพน กงาน องค การของร ฐ ใบอน ญาตข บรถ กรณ เป นล กค าเด มให ตรวจสอบสม ดค ฝาก ลายม อช อและร ปถ ายในระบบฐานข อม ลของธนาคาร ม การตรวจสอบสม ดค ฝาก (Passbook) ท กคร งกรณ ท เป นผล ตภ ณฑ เง นฝากท ม สม ดค ฝาก ม ระบบงานท รองร บการปฏ บ ต งานตามท กฎหมายก าหนด เช น การรายงานธ รกรรม ตาม พรบ. ป องก นและปราบปรามการฟอกเง น เป นต น การควบค มเพ มเต มกรณ ท เจ าของบ ญช ไม ได มาท ารายการด วยตนเอง ระบบก าหนดให ผ ท ม อ านาจอน ม ต รายการต องอน ม ต รายการถอน/โอน ท เจ าของ บ ญช ไม ได มาท ารายการด วยตนเอง ม การตรวจสอบหล กฐานพ ส จน ต วตนของผ ร บมอบฉ นทะ ได แก บ ตรประชาชน และ หน งส อมอบฉ นทะ การตรวจสอบลายม อช อในฐานข อม ลของธนาคาร ระบบม การแสดงลายม อช อล กค าเจ าของบ ญช โดยอ ตโนม ต เม อ Input ข อม ล เช น เลขท บ ญช (ต องม การเก บลายม อช อเข าระบบอ เล คทรอน กส ในข นตอนการเป ดบ ญช ) ม การต งค าระบบให บ งค บให ม การย นย นการตรวจลายม อช อโดยผ ท ร บมอบอ านาจ การค ดค าธรรมเน ยม ม การต งค าระบบให ค ดค าธรรมเน ยมอ ตโนม ต ม ระเบ ยบการแจ งค าธรรมเน ยมให ผ ท มาท ารายการทราบก อนท ารายการ การท ารายการ ส ทธ การเข าท ารายการของผ ท ร บมอบอ านาจ ม การก าหนดส ทธ การท ารายการในระบบให แก ผ ท ร บมอบอ านาจประจ าสาขาเท าน น ความถ กต องและครบถ วนของข อม ลท Input ม การใช เคร องม อแทนการ Input ข อม ลเลขท บ ญช เช น แถบแม เหล กหล งสม ดค ฝาก ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 19

22 ข นตอน แนวปฏ บ ต ท ด ม การต งค าระบบบ งค บให Input ข อม ลของบ ญช ท ท ารายการ เช น ยอดคงค างหล งส ด ในสม ดค ฝาก เพ อป องก นการท ารายการถอน/โอนเง นโดยไม ม สม ดค ฝาก กรณ ใช เช คในการถอนเง น ม การต งค าระบบให ปฏ เสธการน าเง นตามเช คเข าบ ญช เง น ฝากส าหร บ 1) Post Date Cheque 2) Expired Cheque (เฉพาะกรณ ถอนเง น) ม การต งค าระบบให บ งค บ Input ข อม ลส าค ญให ครบถ วน (เช น เลขท บ ญช จ านวน เง นท ต องการฝาก/ถอน/โอน) ม การต งค าระบบให ตรวจสอบความถ กต องของข อม ลท Input (เช น ตรวจ Check Digit จากเลขท บ ญช แล วแสดงช อบ ญช ) ม การต งค าระบบให ปฏ เสธการท ารายการท ม จ านวนเง นมากกว าท สามารถถอนหร อ โอนได (เฉพาะกรณ ถอน/โอนเง น) ม การตรวจสอบความถ กต องของข อม ลท พ มพ จากระบบลงบนใบน าฝาก/ใบถอน/ใบ ค าขอโอนเง น ก บข อม ลในใบน าฝาก/ใบถอน/ใบค าขอโอนเง นก อนเสร จส นการท า รายการ การ Input อ ตราดอกเบ ยเง นฝาก (ส าหร บล กค าท ได อ ตราดอกเบ ยพ เศษ) (เฉพาะ กรณ ฝากเง น) ม การต งค าระบบให ปฏ เสธอ ตราดอกเบ ยท เก นกว าช วงอ ตราดอกเบ ยท ก าหนด การท ารายการเก ยวก บเช ค (เฉพาะกรณ ฝากเง น) ม ระบบตรวจสอบ Post Date Cheque ม การต งค าระบบให ปฏ เสธ Expired Cheque ม ระบบการจ ดการ Post Date Cheque (เช น บ นท ก เร ยกด ข อม ล) ม การต งค าระบบให ปฏ เสธเช คท ถ กอาย ด ม การต งค าระบบให แสดงเหต ผลในการปฏ เสธการน าเง นตามเช คเข าบ ญช การย นย นการท ารายการ ม การต งค าระบบให ส งข อความแจ งย นย นการท ารายการให แก เจ าของบ ญช ในกรณ ท เป นธ รกรรมท ม ความเส ยงส ง เช น กรณ มอบฉ นทะให ถอน/โอนเง นจ านวนมาก เพ อ แจ งเต อนและป องก นความเส ยหายท อาจเก ดข นอ ก หากรายการด งกล าวไม ได ร บการ มอบฉ นทะจากเจ าของบ ญช (เฉพาะกรณ ถอน/โอนเง น) ม การต งค าระบบบ งค บให ผ ท ร บมอบอ านาจย นย นรายการก อนบ นท กรายการในระบบ เช น แสดงรายการให ตรวจสอบอ กคร งก อนกด Confirm ม การต งค าระบบให ม การแจ งเต อนสถานะของรายการท งในกรณ ท ารายการส าเร จ และไม ส าเร จ เช น แสดงข อความ "Success" เม อการท ารายการส าเร จ ปร มาณเง นสดท ผ ท ร บมอบอ านาจสามารถเก บร กษาได ม การต งค าระบบให บ งค บให ม การอน ม ต การท ารายการต อหร อปฏ เสธการท ารายการ เม อจ านวนเง นสดท เคร องผ ท ร บมอบอ านาจเก นกว าก าหนด การอน ม ต รายการ ม การพ ส จน ต วตนของผ ท ม อ านาจอน ม ต ในระบบท ปลอดภ ย เช น การใช Two-Factor Authentication หร อการสแกนลายน วม อของผ ม อ านาจอน ม ต ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 20

23 ข นตอน แนวปฏ บ ต ท ด ระบบก าหนดส ทธ การอน ม ต การท ารายการให ก บผ ท ม อ านาจอน ม ต เท าน น ระบบปฏ เสธการท ารายการและอน ม ต รายการโดยใช รห สผ ใช งานเด ยวก น ระบบปฏ เสธรายการฝาก/ถอน/โอนเง นท จ านวนเง นเก นก าหนดตามส ทธ ของผ ท ร บ มอบอ านาจ และการ Input อ ตราดอกเบ ยเง นฝากพ เศษโดยไม ได ร บอน ม ต (Teller ต องขออน ม ต รายการจากผ ท ม อ านาจอน ม ต รายการก อน จ งจะท ารายการได ) ระบบม การจ ดเก บข อม ลการอน ม ต รายการ ระบบปฏ เสธรายการถอน/โอนเง นจากบ ญช ท ไม เคล อนไหวเป นระยะเวลานาน (Dormant Account) ของผ ร บมอบอ านาจ (Teller ต องขออน ม ต รายการจากผ ม อ านาจอน ม ต รายการก อนถ งจะท ารายการได ) (เฉพาะกรณ ถอน/โอนเง น) การพ มพ หล กฐานการ ท ารายการ ใบน าฝาก/ใบถอน/ใบค าขอโอนเง น ม ข อม ลท ใช เป นหล กฐานในใบน าฝาก/ใบถอน/ใบค าขอโอนเง น ด งน - ว นและเวลาท ท ารายการ - สถานท ท ท ารายการ - เลขท บ ญช ท ท ารายการ - ช อบ ญช - ประเภทของรายการ - อ ตราดอกเบ ย (กรณ เง นฝากประจ า) - จ านวนเง นท ท ารายการ - รห สผ ใช งานของผ ท ร บมอบอ านาจ - รห สผ ใช งานของผ ท ม อ านาจอน ม ต (ในกรณ ท ม การอน ม ต รายการ) จ ดให ม การให หล กฐานการร บ Post Date Cheque แก ผ มาท ารายการ (เฉพาะกรณ ฝากเง น) รายละเอ ยดท พ มพ ลงในสม ดค ฝาก ม ข อม ลท พ มพ ในสม ดค ฝากด งน - ว นท ท ารายการ - ประเภทรายการ - อ ตราดอกเบ ย (กรณ เง นฝากประจ า) - จ านวนเง นท ท ารายการ - ยอดคงเหล อ - รห สใช งานของผ ท ร บมอบอ านาจ การพ มพ ปร บสม ดค ฝาก ม การต งค าระบบให ปฏ เสธการปร บยอดเง นคงค างกรณ สม ดค ฝากท ม เลขท บ ญช ไม ส มพ นธ ก บเลขท บ ญช ท ด าเน นรายการอย (เช น ระบบตรวจสอบก บข อม ลเลขท บ ญช ในแถบแม เหล กหล งสม ดค ฝาก) ม ไฟส ญญาณแจ งล าด บการพ มพ สม ดค ฝากในกรณ ท ผ ท ร บมอบอ านาจใช เคร องพ มพ เด ยวก นเก นกว า 1 คน ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 21

24 ข นตอน แนวปฏ บ ต ท ด ม การต งค าระบบให ข นข อความแจ งเต อนท หน าจอผ ท ร บมอบอ านาจให ปร บสม ดค ฝาก ม ระบบควบค มการพ มพ สม ดค ฝากให ต อเน องจากข อม ลล าส ดท ปรากฏในสม ดค ฝาก การตรวจสอบความ ถ กต องและครบถ วน ก อนให หล กฐานแก ผ มา ท ารายการ การแก ไขรายการ ม การตรวจสอบการบ นท กรายการในหล กฐานท ารายการท กใบโดยผ อ น (ตรวจสอบ รายการท ระบบพ มพ ในใบน าฝาก ใบถอน ใบค าขอโอนเง น ก บข อม ลในใบด งกล าว) ม การกระทบยอดระหว างใบน าฝาก ใบถอน ใบค าขอโอนเง น ก บยอดเง นในระบบโดย ผ ท ร บมอบอ านาจ และผ ท ม อ านาจอน ม ต การอน ม ต ก อนการแก ไขรายการ ม การต งค าระบบให บ งค บให ม การอน ม ต การแก ไขรายการก อนข อม ลท แก ไขถ กบ นท ก ในระบบ ม การพ ส จน ต วตนของผ ท ม อ านาจอน ม ต ในระบบท ปลอดภ ย เช น การใช Two-Factor Authentication หร อการสแกนลายน วม อของผ ม อ านาจอน ม ต ระบบก าหนดส ทธ การอน ม ต การท ารายการให ก บผ ท ม อ านาจอน ม ต เท าน น ระบบจะปฏ เสธการท ารายการและอน ม ต รายการโดยใช รห สผ ใช งานเด ยวก น การควบค มอ น ๆ เก ยวก บการแก ไขรายการ การแก ไขต องท าโดยความเห นชอบพร อมก นของผ ท ร บมอบอ านาจ ผ ท ม อ านาจอน ม ต และเจ าของบ ญช ม การตรวจสอบความถ กต อง และความครบถ วนของการท ารายการท ก ๆ ส นว นโดย ผ ท ม อ านาจอน ม ต หมายเหต : 1) ผ ท ม อ านาจอน ม ต หมายถ ง เจ าหน าท ท ร บมอบอ านาจจากธนาคาร และม ต าแหน งส งกว า Teller 2) Two-Factor Authentication หมายถ ง ว ธ การพ ส จน ต วตนของผ ท ารายการโดยใช ข อม ล 2 อย าง ประกอบก น ซ งข อม ลด งกล าวม 3 ประเภท ได แก 1) Something You Know เช น User ID และ Password เป นต น 2) Something You Have เช น บ ตรอน ม ต รายการ เป นต น และ 3) Something You Are เช น ลายน วม อ เป นต น ต วอย างการใช Two-Factor Authentication เช น การท ผ ท ม อ านาจอน ม ต ร ดบ ตรอน ม ต รายการ พร อมการกรอก Password เพ ออน ม ต รายการ เป นต น ข อส งเกต: แนวปฏ บ ต ข างต นเป นแนวปฏ บ ต ท ด ตามมาตรฐานสากล อย างไรก ตาม ธพ. แต ละแห งม นโยบายการท าธ รก จ แผนการลงท นด าน IT ปร มาณธ รกรรม และผลกระทบในเช งธ รก จแตกต างก น โดยโครงการใน Phase 2 ป 2557 ธปท. จะศ กษาจ ดท าแนวปฏ บ ต ท ยอมร บได (Acceptable Practices) และประเม น Gap ร วมก บ ธพ. แต ละแห ง เพ อเป นแนวทางให ธปท. และ ธพ. ร วมก นพ จารณาความเหมาะสมของการจ ดท าแผนพ ฒนา ปร บปร งระบบ IT ของตนเองให ได ตามมาตรฐานสากล ท งในระยะส นและระยะยาวต อไป ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 22

25 1.4 การควบค มเพ มเต มท ส าค ญ ตารางการควบค มท ส าค ญ การควบค มเพ มเต มท ส าค ญ ว ตถ ประสงค เพ อให ธนาคารม การควบค มเพ มเต มท ส าค ญตามมาตรฐานสากล ซ งเป นการควบค มเสร มจากการ ควบค มหล กตามท ได กล าวไว ในข อ ท งน มาตรฐานการควบค มเพ มเต มท ส าค ญอาจม การปร บเปล ยนไปตาม ว ว ฒนาการและเทคโนโลย สารสนเทศในอนาคต แนวปฏ บ ต ท ด ธนาคารควรม ระบบ Fraud Monitoring ท สามารถเฝ าระว งและต ดตามพฤต กรรมการด าเน นการใด ๆ และการท า ธ รกรรมท น าสงส ยและ/หร อเข าข ายเป นการท จร ต ครอบคล มท กช องทางของการท าธ รกรรม ได แก สาขา ATM และ Internet Banking โดยระบบควรม ความสามารถอย างน อยด งต อไปน 1. ว เคราะห ร ปแบบการท จร ตท เก ดจากบ คคลภายในและภายนอก รวมท งการท จร ตท เก ดจากหลายช องทาง ร วมก น (Cross Channel Fraud) เช น การโอนเง นจาก Internet Banking หลายๆ คร ง แล วไปถอนเง นออกผ านต ATM ท นท การเข าด ข อม ลล กค าของพน กงานท ไม ได ร บมอบอ านาจ การท ารายการเพ อตนเองของผ ท ได ร บมอบอ านาจหร อผ ท ม อ านาจอน ม ต 2. แจ งเต อนในท นท ท ตรวจพบร ปแบบการท จร ต เพ อให เจ าหน าท ด าเน นการจ าก ดความเส ยหายไม ให ส งผล กระทบล กลามเป นวงกว าง 3. ม ฟ งก ช นให เจ าหน าท ท ได ร บมอบอ านาจด าเน นการปร บเปล ยนเง อนไขของระบบ (Fraud Detection Rules) เพ อปร บปร งประส ทธ ภาพในการต ดตามตรวจสอบรายการท จร ตให สามารถต ดตามร ปแบบการท จร ต ใหม ๆได โดยระบบม การควบค มและจ าก ดส ทธ ในการปร บเปล ยนเง อนไขเฉพาะผ ท ได ร บมอบหมายเท าน น หมายเหต : ผ ท ม อ านาจอน ม ต หมายถ ง เจ าหน าท ท ร บมอบอ านาจจากธนาคาร และม ต าแหน งส งกว า Teller ข อส งเกต: แนวปฏ บ ต ข างต นเป นแนวปฏ บ ต ท ด ตามมาตรฐานสากล อย างไรก ตาม ธพ. แต ละแห งม นโยบายการท าธ รก จ แผนการลงท นด าน IT ปร มาณ ธ รกรรม และผลกระทบในเช งธ รก จแตกต างก น โดยโครงการใน Phase 2 ป 2557 ธปท. จะศ กษาจ ดท าแนวปฏ บ ต ท ยอมร บได (Acceptable Practices) และประเม น Gap ร วมก บ ธพ. แต ละแห ง เพ อเป นแนวทางให ธปท. และ ธพ. ร วมก นพ จารณาความเหมาะสมของการจ ดท าแผนพ ฒนาปร บปร งระบบ IT ของตนเองให ได ตามมาตรฐานสากล ท งในระยะส นและระยะยาวต อไป ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 23

26 ส วนท 2 แนวปฏ บ ต ท ด ส าหร บการควบค มความเส ยงของระบบ IT ท สน บสน นธ รก จหล ก Phase 1 : ธ รกรรมฝาก ถอน และโอนเง น ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 24

27 สร ปความหมายโดยย อของค าศ พท ท ส าค ญ ศ นย คอมพ วเตอร (Data Center) ศ นย รวมของเคร องและอ ปกรณ คอมพ วเตอร ส าค ญของธนาคารท ใช ประมวลผลกลางรองร บการด าเน นธ รก จและการให บร การของธนาคาร เช น ระบบ Core Banking เป นต น ระบบเคร อข ายส อสาร (Network) ระบบเคร องม อส อสารท ใช รองร บการเช อมโยงเคร องคอมพ วเตอร อ ปกรณ ระบบงาน และช องทางบร การจากท ต าง ๆ เข าหาก น ระบบ Core Banking ระบบประมวลผลกลางท ม ความส าค ญอย างย งส าหร บรองร บการ ประมวลผลธ รกรรมหล กของธนาคาร เช น ธ รกรรมฝาก ถอน และโอนเง น เป นต น รวมท งสามารถรองร บการท าธ รกรรมจากช องทางต าง ๆ ของ ธนาคาร เช น สาขา ATM และ Internet Banking เป นต น ระบบงานการให บร การแก ล กค า เคร องคอมพ วเตอร อ ปกรณ หร อระบบท ใช ร บรายการธ รกรรมของล กค า เพ อส งไปประมวลผลท ระบบประมวลผลกลาง เช น เคร องคอมพ วเตอร ท เจ าหน าท สาขาใช ปฏ บ ต งาน ต ATM ระบบ Internet Banking เป นต น Hardware Security Module (HSM) อ ปกรณ ท ใช ในการสร างและตรวจสอบความถ กต องของรห สในการท า ธ รกรรม Network Time Protocol (NTP) Server เคร อง server ท ใช ปร บเท ยบเวลา (Time Synchronization) ก บเวลา มาตรฐานสากล เพ อให เวลาของเคร องและอ ปกรณ คอมพ วเตอร ของ ธนาคารถ กต องตรงก บเวลามาตรฐานของกรมอ ทกศาสตร Secure Socket Layer (SSL) ช องทางการร บส งข อม ลท ม ความปลอดภ ย Two-Factor Authentication (2FA) ว ธ การพ ส จน ต วตนของผ ท ารายการโดยใช ข อม ล 2 อย าง ประกอบก น ซ ง ข อม ลด งกล าวม 3 ประเภท ได แก 1) Something You Know เช น User ID และ Password เป นต น 2) Something You Have เช น บ ตร ATM รห สย นย นการท ารายการท ได ร บจากธนาคาร (One Time Password (OTP)) เป นต น และ 3) Something You Are เช น ลายน วม อ เป นต น ต วอย างการใช Two-Factor Authentication เช น การใช บ ตร ATM ค ก บ รห ส PIN ในการท ารายการท ต ATM และการใช User ID และ Password ควบค ก บรห ส OTP ในการท ารายการโอนเง นผ าน Internet Banking เป นต น One Time Password (OTP) รห สผ านท ใช เพ ยงคร งเด ยวส าหร บย นย นการท าธ รกรรมผ าน Internet หร อ Mobile Banking ท อาจส งให ล กค าทางม อถ อก อนอน ม ต ท ารายการ Token อ ปกรณ สร างและ/หร อร บรห ส OTP ท ม ความปลอดภ ยส ง ส าหร บใช ใน การย นย นต วตนของล กค าท ท าธ รกรรมทางการเง นผ าน Internet และ/ หร อ Mobile Banking โดยสามารถป องก นการถ กล กลอบโอนเง นออก จากบ ญช โดยกล มม จฉาช พท ม ความเช ยวชาญด านคอมพ วเตอร ได Service Level Agreement (SLA) ส ญญาหร อข อตกลงการให บร การ ระหว างผ ร บบร การและผ ให บร การ ซ ง อาจเป นสถาบ นการเง นก บผ ให บร การภายนอก หร อหน วยงานธ รก จก บ หน วยงาน IT หมายเหต : ความหมายของค าศ พท น เป นความหมายโดยย อท จ ดท าข นเพ อม งเน นให ผ อ านสามารถเข าใจได ง ายและใช อ างอ งเฉพาะในแนวปฏ บ ต ฉบ บน ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 25

28 แผนภาพแสดง High-Level IT System Process Flow ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 26

29 ประเภทความเส ยง การฉ อโกงโดยบ คคลภายใน (Internal Fraud) เช น - การเข าถ ง การขโมย การเปล ยนแปลงแก ไข หร อ การท าลายข อม ลระบบงาน/ ข อม ลโดยไม ได ร บ อน ญาต (Hacking) การฉ อโกงโดยบ คคลภายนอก (External Fraud) เช น - การเข าถ ง การขโมย การปลอมแปลง หร อการ ท าลายข อม ลระบบงาน/ ข อม ลโดยไม ได ร บ อน ญาต หร อภ ยค กคามร ปแบบต าง ๆ (Hacking) ความเส ยหายต อทร พย ส น (Damage to Physical Assets) เช น - ภ ยพ บ ต ทางธรรมชาต - การก อการร าย การท ธ รก จหย ดชะง กและระบบงานข ดข องโดยไม สามารถใช งานได ตามปกต (Business Disruption and System Failures) เช น - ระบบงานล าสม ย - การปฏ บ ต งานผ ดพลาด (Human Error) ตารางการระบ ความเส ยงขององค ประกอบด าน IT ศ นย คอมพ วเตอร (Data Center) ระบบเคร อข าย ส อสาร (Network) ระบบ Core Banking ระบบงานการ ให บร การแก ล กค า 1 1 ระบบงานการให บร การแก ล กค า หมายถ ง ระบบงานสาขาและเคร องคอมพ วเตอร ท ใช ปฏ บ ต งาน (PC Teller) ระบบและเคร อง Automatic Teller Machine (ATM) และระบบ Internet Banking ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 27

30 2.1 ศ นย คอมพ วเตอร (Data Center) การควบค มการเข าถ งศ นย คอมพ วเตอร ทางกายภาพ (Physical Access Control) ว ตถ ประสงค เพ อป องก นและเฝ าระว งร กษาความปลอดภ ยศ นย คอมพ วเตอร (ศ นย ฯ) และพ นท ส าค ญภายในศ นย ฯ จากการเข าถ งโดยไม ได ร บอน ญาต การท าลายทร พย ส น ความเส ยหาย และภ ยค กคามร ปแบบต างๆ แนวปฏ บ ต ท ด - ม การควบค มทางกายภาพและม ระบบควบค มการเข าถ งต วอาคารศ นย คอมพ วเตอร หล ก (ศ นย ฯ) และพ นท ส าค ญ ต างๆ ภายในศ นย ฯ ได แก ห องจ ดเก บเคร องประมวลผล ห องจ ดเก บอ ปกรณ เคร อข าย ห องจ ดเก บส อบ นท กข อม ล ห องจ ดเก บอ ปกรณ สาธารณ ปโภค และห องปฏ บ ต งาน เป นต น (พ นท ส าค ญฯ) ให เข าถ งได เฉพาะบ คคลท ได ร บ อน ญาตตามส ทธ ท ได ร บมอบหมายเท าน น โดยระบบควบค มควรม ความสามารถอ น ๆ ด งต อไปน - การใช Two-Factor Authentication ในการพ ส จน ต วตนของผ เข าออกพ นท ส าค ญภายในศ นย ฯ ได แก ห องจ ดเก บเคร องประมวลผล ห องจ ดเก บอ ปกรณ เคร อข าย ห องจ ดเก บส อบ นท กข อม ล เช น Access Card Door + PIN รวมถ งระบบการควบค มการเข าออกสามารถป องก นการหม นเว ยนบ ตร (Pass Back) และการแอบล กลอบเข ามาพร อมผ ม ส ทธ (Piggy Back) - สามารถบ นท กและจ ดเก บ Log Files ของการเข าถ งศ นย ฯ และพ นท ส าค ญภายในศ นย ฯ ได อย าง ถ กต องแม นย า และม รายละเอ ยดเพ ยงพอส าหร บใช เป นหล กฐานในการตรวจสอบท สามารถระบ ต ว บ คคลผ กระท าได โดยเก บย อนหล งเป นระยะเวลาอย างน อย 90 ว น ไว ในสถานท ท ม ความม นคง ปลอดภ ย - สามารถแจ งเต อนผ เก ยวข องเม อเก ดเหต ผ ดปกต ได อย างท นการณ ตลอด 24x7 ชม. เช น เม อพบการ พยายามเข าถ งพ นท ส าค ญภายในศ นย ฯ โดยผ ไม ได ร บอน ญาต การผ านเข า-ออกศ นย ฯ ทางประต หน ไฟ การเป ดประต ค างไว เป นต น นอกจากน ม การควบค มการเข าถ งทางกายภาพพ นท รอบนอกศ นย ฯ ท เหมาะสม เช น ม ก าแพงหร อร ว ท ม นคง ม เจ าหน าท ตรวจสอบการผ านเข า-ออกและม การตรวจสอบยานพาหนะ เป นต น อ กท งม การแบ งแยกพ นท ลานจอดรถบ คคลภายนอก (Visitor Parking Area) รวมถ งพ นท / อ ปกรณ ท ใช ในการขนส งส นค า (Loading Docks) ออกจากบร เวณศ นย ฯ - ม การต ดต งกล องวงจรป ดบร เวณรอบนอกอาคารศ นย ฯ ประต ทางเข าศ นย ฯ และภายในศ นย ฯ อย างท วถ ง เพ อใช เป นเคร องม อส าค ญในการต ดตามการเข า-ออก และการกระท าต างๆ ภายในศ นย โดยเก บบ นท กภาพจากกล อง วงจรป ดไว เป นระยะเวลาอย างน อย 90 ว น และให ภาพท จ ดเก บม ความช ดเจนเพ ยงพอท จะใช ในการพ ส จน หล กฐาน - ม เจ าหน าท ด แลร กษาความปลอดภ ยศ นย ฯ เฝ าระว งผ านระบบกล องวงจรป ด (CCTV) ตลอดเวลา (24x7) - ห ามไม ให น าอ ปกรณ คอมพ วเตอร หร ออ ปกรณ ท สามารถบ นท กภาพ/เส ยงได เข ามาภายในพ นท ส าค ญภายในศ นย ฯ ได แก ห องจ ดเก บเคร องประมวลผล ห องจ ดเก บอ ปกรณ เคร อข าย ห องจ ดเก บส อบ นท กข อม ล เว นแต จะได ร บ อน ญาตโดยผ ท ม อ านาจอน ม ต - เคร องประมวลผลและอ ปกรณ เคร อข ายควรถ กจ ดเก บอย ในต Rack ท ม การป ดล อกอย ตลอดเวลา และการเข าถ ง ต องเป นแบบ Dual Control ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 28

31 - ม กระบวนการจ ดการส ทธ และหน วยงานท ร บผ ดชอบช ดเจน ในการเข าถ งศ นย ฯ และพ นท ส าค ญฯ ให เป นไปตาม หล กความจ าเป น ถ กต อง และเป นป จจ บ น ด งน - ม การจ ดท าตารางการควบค มการให ส ทธ ท สอดคล องก บต าแหน งหน าท งานเพ อใช เป นแนวทางการ ก าหนดส ทธ อย างเป นระบบและเป นป จจ บ น (Authorization Matrix) และม การทบทวนตาราง ควบค มการให ส ทธ (Authorization Matrix) ท กคร งท ม การเปล ยนแปลงหร อเป นประจ าอย างน อยท ก 6 เด อน - การอน ม ต การเข าถ งศ นย ฯ และพ นท ส าค ญต างๆ ภายในศ นย ฯ ต องด าเน นการโดยผ ท ม อ านาจอน ม ต และสอดคล องตามตารางการควบค มการให ส ทธ - ม การปร บปร ง/ ยกเล กส ทธ การเข า ออกศ นย ฯ ท นท ท พน กงานลาออก โยกย าย หร อเปล ยนหน าท ความร บผ ดชอบ - ม การทบทวนส ทธ การเข า-ออกศ นย ฯ โดยผ ท ม อ านาจอน ม ต อย างสม าเสมอ อย างน อยท ก 6 เด อน - การเข าถ งโดยพน กงานท ไม ได ม หน าท ปฏ บ ต งานประจ าภายในศ นย ฯ หร อบ คคลภายนอกม กระบวนการในการ ควบค มการเข าถ งแบบช วคราว ด งน - ม การอน ม ต โดยผ ม อ านาจอน ม ต ก อนท กคร ง - ม การมอบหมายให ม เจ าหน าท ศ นย ฯ ต ดตาม (Escort) ผ เข าถ งแบบช วคราวตลอดระยะเวลาท เข ามา ปฏ บ ต งานภายในศ นย ฯ - ม เจ าหน าท ควบค มการลงบ นท กเข า-ออกศ นย ฯ โดยม ข นตอนและเคร องม อท สามารถระบ ต วตนของผ ท ได ร บอน ญาตให เข าถ งศ นย ฯ แบบช วคราว พร อมท งจ ดท าทะเบ ยนค มส าหร บลงบ นท กการเข า-ออก ศ นย ฯ ท ม รายละเอ ยดเพ ยงพอส าหร บใช เป นหล กฐานในการตรวจสอบท สามารถระบ ต วบ คคลได - ม กระบวนการสอบทาน Log Files ตลอดจนทะเบ ยนค มการเข า-ออกศ นย ฯ โดยผ ท ม อ านาจอน ม ต อย างสม าเสมอ อย างน อยท ก 30 ว น เพ อต ดตามการเข าถ งศ นย ฯ ท ผ ดปกต เช น ช วงเวลาหร อความถ ท ผ ดปกต หร อการพยายาม เข าถ งโดยบ คคลไม เหมาะสม การบร หารจ ดการศ นย ฯ (Facility Management) ว ตถ ประสงค เพ อให ศ นย คอมพ วเตอร และระบบเทคโนโลย สารสนเทศม ความพร อมใช งานรองร บธ รก จอย างต อเน อง แนวปฏ บ ต ท ด - จ ดให ม การประเม นความเส ยงของศ นย ฯ ครอบคล มป จจ ยเส ยงอย างน อยในเร องความปลอดภ ยของพ นท รอบนอก ศ นย ฯ ต วอาคารศ นย ฯ และภายในศ นย ฯ ความพร อมใช ของระบบสาธารณ ปโภค ประส ทธ ภาพระบบป องก นภ ย ต างๆ และความเพ ยงพอของการปฏ บ ต งานภายในศ นย ฯ การประเม นความเส ยงควรด าเน นการอย างน อยเป น ประจ าท กป และเม อม การเปล ยนแปลงท ส าค ญ โดยม การบ นท กไว เป นลายล กษณ อ กษรและน าเสนอต อ คณะกรรมการท ได ร บมอบหมายเพ อร บทราบและ/ หร อขออน ม ต แผนป ด/ ลดความเส ยง - ในการสร างศ นย ฯ สถานท ต งไม อย ในพ นท เส ยงภ ย เช น ต งอย ใกล ป มน าม น ป มแก ส หร อทางด วน ควรก าหนดเป น ป จจ ยหน งของการพ จารณาท ต งของศ นย ฯ ส าหร บกรณ ศ นย ฯ ในป จจ บ นควรจ ดให ม มาตรการรองร บเหต ฉ กเฉ น จากภ ยพ บ ต ต างๆ ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 29

32 - สถานท ต งศ นย ฯ อย แยกจากอาคารส าน กงาน (Stand Alone) โดยม การออกแบบโครงสร างอาคาร สถานท และ การต ดต งระบบสาธารณ ปโภคท เหมาะสม - โครงสร างต วอาคารศ นย ฯ ถ กออกแบบให สามารถรองร บภ ยต างๆ ในระด บท เหมาะสม ปลอดภ ย และยากต อการ ท าลาย ด งน - การบ กร ก การท บท าลาย และการรองร บแรงระเบ ด - การป องก นอ คค ภ ย ผน งภายนอกศ นย ฯ สามารถก นไฟได อย างน อย 4 ช วโมง ผน งภายในท ก นพ นท ส าค ญสามารถก นไฟได อย างน อย 2 ช วโมง และผน งก นพ นท อ นๆ สามารถก นไฟได อย างน อย 1 ช วโมง - ระบบไฟฟ าส าหร บศ นย คอมพ วเตอร - เส นทางจ ายไฟจากภายนอกมาย งศ นย ฯ ม จ านวนเส นทางจ ายไฟ (Feeders) จากสถาน จ ายไฟของการ ไฟฟ า (Substation) มาย งศ นย ฯ อย างน อย 2 เส นทาง โดยม การจ ายไฟพร อมก นท ง 2 เส นทาง (Active/Active) - เส นทางจ ายไฟภายในศ นย ฯ ม จ านวนเส นทางจ ายไฟภายในศ นย ฯ ต งแต อ ปกรณ ร บไฟฟ าแรงส ง (High Voltage), หม อแปลงไฟฟ า (Transformer), อ ปกรณ สล บการร บกระแสไฟฟ า (Automatic Transfer Switch (ATS)) และอ ปกรณ ปร บแรงด นและส ารองไฟฟ า (Uninterrupted Power Supply (UPS)) ไปจนถ งอ ปกรณ ภายในศ นย ฯ อย างน อย 2 เส นทาง โดยม การจ ายไฟพร อมก นท ง 2 เส นทาง (Active/Active) - อ ปกรณ คอมพ วเตอร และอ ปกรณ สาธารณ ปโภคภายในศ นย ฯ ควรรองร บกระแสไฟฟ าจากสองเส นทาง (Dual Sources) แต หากอ ปกรณ ใดไม สามารถร บไฟจาก 2 เส นทางได ต องม การต ดต งอ ปกรณ Static Transfer Switch (STS) 1 - ม การต ดต งอ ปกรณ ระบบไฟฟ า เช น High Voltage, Transformer, ATS เพ อรองร บการท างานของ อ ปกรณ ส าค ญในศ นย ฯ แบบ 2 ช ด โดยแต ละช ดม เส นทางการเด นกระแสไฟแยกจากก นและต งอย คน ละห อง (Compartmentalization) หากอ ปกรณ ช ดใดช ดหน งหย ดชะง ก/ บ าร งร กษา อ กช ดต อง สามารถจ ายไฟแทนได อย างต อเน อง ท งน แต ละช ดควรต ดต งให ครอบคล มความเส ยงจากกรณ ท เคร อง ใดเคร องหน งในช ดหย ดชะง ก/ บ าร งร กษา เคร องท เหล อต องสามารถรองร บการให บร การได อย าง ต อเน อง (เป นโครงสร างแบบ 2(n+1)) - ม การต ดต งอ ปกรณ UPS และ Generator เพ อรองร บการท างานของอ ปกรณ ส าค ญในศ นย ฯ แบบ 2 ช ด โดยแต ละช ดม เส นทางการเด นกระแสไฟแยกจากก นและต งอย คนละห อง (Compartmentalization) หากอ ปกรณ UPS/Generator ช ดใดช ดหน งหย ดชะง ก/ บ าร งร กษา อ ก ช ดต องสามารถจ ายไฟแทนได อย างต อเน อง ท งน แต ละช ดควรต ดต งให ครอบคล มความเส ยงจากกรณ ท เคร องใดเคร องหน งในช ดหย ดชะง ก/ บ าร งร กษา เคร องท เหล อต องสามารถรองร บการให บร การได อย างต อเน อง ท งน ควรม การจ ดการค า Utilization ท เหมาะสมเพ อให ระบบท างานได อย างต อเน อง และม ประส ทธ ภาพ - เม อเก ดเหต การณ ไฟฟ าข ดข อง UPS ควรรองร บการให บร การอย างน อย 15 นาท 2 และเพ ยงพอท จะ รองร บการให บร การระหว างท รอการท างานของเคร องป นไฟ (Generator) (โครงสร าง UPS และ Generator เป นแบบ 2(n+1)) 1 Static Transfer Switch ค อ อ ปกรณ ท ท าหน าท ให อ ปกรณ อ น ๆ ท ร บกระแสไฟฟ าได เพ ยงทางเด ยว (Single Source) สามารถสล บไปร บไฟจากอ กทางได คล ายอ ปกรณ ท ร บไฟได แบบสองเส นทาง (Dual Source) ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 30

33 - ม การส ารองน าม นไว ในระด บท เพ ยงพอให อ ปกรณ Generator สามารถจ ายไฟให ศ นย ฯ ได อย าง ต อเน องเป นระยะเวลาอย างน อย 4 ว น 3 และม มาตรการในการด าเน นการเพ อขนส งน าม นมาย งศ นย ฯ เพ มเต มเพ อการให บร การอย างต อเน อง - อ ปกรณ ระบบไฟฟ า เช น High Voltage, Transformer, ATS, UPS และ Generator ต ดต งในห องท แยกจากห องจ ดเก บอ ปกรณ อ นๆ โดยม การควบค มอ ณหภ ม ความช น และม การระบายอากาศท เหมาะสม - ระบบท าความเย นและควบค มความช น - ม การต ดต งระบบท าความเย นและควบค มความช น (ระบบท าความเย นฯ ) เช น Precision Air Conditioner, Computer Room Air Conditioner (CRAC) เพ อรองร บพ นท ส าค ญฯ โดยม เคร อง ส ารองเพ อรองร บการท างานในกรณ ท เคร องหล กช าร ดหร อหย ดชะง กหร อบ าร งร กษา เคร องท เหล อ ต องสามารถรองร บการให บร การได อย างต อเน อง - ระบบไฟฟ าและระบบท อน าเย น (Chiller System) ท รองร บระบบท าความเย นฯ ควรม ระบบส ารอง สามารถรองร บการให บร การได อย างต อเน อง โดยระบบท าความเย นฯ ควรควบค มอ ณหภ ม ให อย ใน ระหว าง C o และความช นท 40-55% 4 ส าหร บห องท ต องการควบค มความเย นและความช นให เหมาะสม เช น ห องจ ดเก บเคร องประมวลผล ห องจ ดเก บอ ปกรณ เคร อข าย ห องจ ดเก บส อบ นท กข อม ล เป นต น - ม การต ดต งระบบตรวจว ดอ ณหภ ม และความช น โดยต ดต งให ครอบคล มพ นท ส าค ญฯ และม การเฝ า ระว งร กษาระด บอ ณหภ ม และความช นให อย ในระด บท เหมาะสม - ระบบป องก น/ ระง บอ คค ภ ย และระบบตรวจจ บน าร วซ ม - ม การต ดต งระบบป องก น/ ระง บอ คค ภ ย (Fire Protection and Suppression System) ได แก อ ปกรณ ตรวจจ บคว นและความร อน (Smoke & Heat Detector) และระบบระง บอ คค ภ ย โดยต ดต ง ให ครอบคล มท กพ นท - ถ งด บเพล งแบบม อถ อ (Hand-held Fire Extinguisher) จะต องต ดต งให ครอบคล มพ นท ภายในศ นย ฯ ในต าแหน งท เหมาะสม มองเห นง าย สะดวกในการใช งาน และม ค าแนะน าว ธ การใช งานอย างช ดเจน - ม การต ดต งระบบตรวจจ บน าร วซ ม (Water Leak Detection System) โดยต ดต งให ครอบคล มพ นท ส าค ญฯ - การบ าร งร กษา - ม กระบวนการ และเจ าหน าท ร บผ ดชอบในการตรวจเช คประจ าว น (Daily Checklist) ของระบบ สาธารณ ปโภคท ส าค ญในศ นย ฯ ได แก สภาพแวดล อมของสถานท จ ดเก บอ ปกรณ และการท างานของ อ ปกรณ ต างๆ ได แก High Voltage, Transformer, UPS, Generator, ATS, Precision Air Conditioner, Chiller และอ ปกรณ ส าค ญอ นๆ - ม การจ ดให ผ ผล ตหร อผ เช ยวชาญมาท าการตรวจเช ค บ าร งร กษา (Preventive Maintenance) และ แก ไขเม อเก ดป ญหา (Corrective Maintenance) ระบบสาธารณ ปโภคท ส าค ญ เช น อ ปกรณ UPS แบตเตอร ของอ ปกรณ UPS, อ ปกรณ Generator, Chiller System, ระบบป องก น/ ระง บอ คค ภ ย 2 มาตรฐาน TIA-942 ในเร องการระยะเวลาการส ารองไฟฟ าของแบตเตอร ใน UPS (Tier 4) 3 มาตรฐาน TIA-942 ในเร องการส ารองน าม นของอ ปกรณ generator ส าหร บจ ายไฟท full load 4 มาตรฐาน TIA-942 ในเร องการควบค มอ ณหภ ม และความช น ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 31

34 และระบบตรวจจ บน าร วซ ม ตามรอบระยะเวลาท ผ ผล ตแนะน า - ม การทดสอบการใช งานระบบสาธารณ ปโภคอย างสม าเสมอ โดยในการทดสอบควรพ งระว งไม ให การ ทดสอบน นกระทบต อการด าเน นงานปกต ของธนาคาร - ม ระบบศ นย กลางในการต ดตามสถานะของระบบสาธารณ ปโภคท ส าค ญภายในศ นย ฯ เช น อ ปกรณ UPS, แบตเตอร ของอ ปกรณ UPS, อ ปกรณ Generator, Chiller System, ระบบป องก น/ ระง บ อ คค ภ ย และระบบตรวจจ บน าร วซ ม โดยม เจ าหน าท เฝ าระว งระบบตลอด 24 ชม. และม ระบบแจ ง เต อนอ ตโนม ต ให ผ เก ยวข องทราบท นท เม อม เหต ผ ดปกต ข อส งเกต: แนวปฏ บ ต ข างต นเป นแนวปฏ บ ต ท ด ตามมาตรฐานสากล อย างไรก ตาม ธพ. แต ละแห งม นโยบายการท าธ รก จ แผนการลงท นด าน IT ปร มาณธ รกรรม และผลกระทบในเช งธ รก จแตกต างก น โดยโครงการใน Phase 2 ป 2557 ธปท. จะศ กษาจ ดท าแนวปฏ บ ต ท ยอมร บได (Acceptable Practices) และประเม น Gap ร วมก บ ธพ. แต ละแห ง เพ อเป นแนวทางให ธปท. และ ธพ. ร วมก นพ จารณาความเหมาะสมของการจ ดท าแผนพ ฒนาปร บปร งระบบ IT ของตนเองให ได ตาม มาตรฐานสากล ท งในระยะส นและระยะยาวต อไป ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 32

35 2.2 ระบบเคร อข ายส อสาร (Network) Network Access Control ว ตถ ประสงค เพ อให โครงสร างของระบบเคร อข ายส อสารม ความม นคงปลอดภ ย โดยม การออกแบบระบบเคร อข าย ท เหมาะสมตามมาตรฐานสากล และม การป องก น/เฝ าระว งภ ยบ กร กหร อภ ยค กคามร ปแบบต างๆ แนวปฏ บ ต ท ด - ม การแบ งแยกเคร อข ายส วนท เป น Private Network และ Public Network ออกจากก น - ม การจ ดต งโซนเคร อข าย Demilitarized Zone (DMZ) 5 เพ อรองร บระบบงานท ต องม การให บร การ ต ดต อส อสาร หร อแลกเปล ยนข อม ลก บภายนอก เช น ระบบงาน Internet Banking ระบบงาน เป นต น โดยไม จ ดวาง Server ท เป นระบบฐานข อม ลส าค ญไว ในโซนด งกล าว - ม การจ ดแบ งเคร อข ายอย างเหมาะสม โดยค าน งถ ง ระด บความส าค ญของระบบงาน ระด บความส าค ญของข อม ลท ถ กประมวลผล รวมถ งความจ าเป นในการเช อมต อจากระบบงานอ นๆ หร อจากภายนอกองค กร และจ ดให ม การ ควบค มการเช อมต อจากระบบงานต างๆ มาย งระบบงานท ม ความส าค ญอย างเข มงวด - ในจ ดท ม การแบ งแยกเคร อข ายท พ จารณาว าม ความส าค ญและม ความเส ยง ควรต ดต งอ ปกรณ ร กษาความปลอดภ ย เคร อข ายท ม ความสามารถในการควบค มและค ดกรอง Traffic ท ส งผ านระบบเคร อข าย การเฝ าระว งการบ กร ก การป องก นการบ กร ก และการตรวจจ บไวร ส หร อม ลแวร ต างๆ ท อาจบ กร กเข าส เคร อข าย - ม การใช อ ปกรณ ร กษาความปลอดภ ยเคร อข ายเพ อค ดกรอง Traffic ในระด บ Application ในจ ดท ม การเช อมต อ ก บ Internet เช น การใช Web Application Firewall เป นต น - กรณ ม การแบ งแยกเคร อข ายเป นหลายช น ควรใช อ ปกรณ ร กษาความปลอดภ ยเคร อข ายท ต างย ห อก นในแต ละจ ด เพ อเพ มประส ทธ ภาพในการค ดกรอง Traffic ท ส งผ านระบบเคร อข าย - ม การควบค ม และจ าก ดให เฉพาะอ ปกรณ ท ได ร บอน ญาตเท าน นท สามารถเข าถ งระบบเคร อข ายได รวมถ งม การ ระบ ต วตนของอ ปกรณ ท มาเช อมต อก บระบบเคร อข ายอย างเหมาะสม - ม การจ าก ดให เฉพาะบ คคลท ได ร บมอบอ านาจเท าน นท สามารถเข าถ งระบบเคร อข าย โดยจ าก ดส ทธ ในการเข าถ ง ระบบเคร อข ายให อย ในส วนท ม ความจ าเป น และเหมาะสมตามหน าท การท างานเท าน น - การเข าถ งอ ปกรณ เคร อข าย และอ ปกรณ ร กษาความปลอดภ ยเพ อบร หารจ ดการค าต างๆ ควรท าผ านเคร อข าย เฉพาะท แยกออกจากเคร อข ายปกต เพ อลดความเส ยงในการเปล ยนแปลงอ ปกรณ เคร อข ายและอ ปกรณ ร กษา ความปลอดภ ยเคร อข ายโดยบ คคลท ไม ได ร บอน ญาต - กรณ ท ต องม การเช อมต อมาจากเคร อข ายจากระยะไกล (Remote Access) เพ อท าการแก ไขและ/หร อต ง ค าพาราม เตอร ของเคร องแม ข าย อ ปกรณ เคร อข าย หร อโปรแกรมระบบงาน ควรม การระบ ต วตนและพ ส จน ต วตน ของบ คคลในล กษณะ Two-Factors Authentication และกระท าผ านช องทางท ม ความปลอดภ ย เช น SSH, VPN หร อ SSL/TLS เป นต น - ม การเปล ยน Default Password ของอ ปกรณ เคร อข าย และอ ปกรณ ร กษาความปลอดภ ยเคร อข าย ให เป นไปตาม นโยบายรห สผ าน 5 Demilitarized Zone (DMZ) ค อ ระบบเคร อข ายส อสารท เป นส วนท เช อมต อก บเคร อข ายสาธารณะภายนอก เช น อ นเทอร เน ต โดยจะม การต ดต งระบบร กษาความปลอดภ ยเอาไว เพ อป องก นการบ ก ร กจากภายนอกเข ามาส ระบบเคร อข ายภายใน ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 33

36 2.2.2 Network Security Management ว ตถ ประสงค เพ อให อ ปกรณ ระบบเคร อข ายม การร กษาความปลอดภ ยและม ความถ กต องเช อถ อได แนวปฏ บ ต ท ด - ม การต งค าอ ปกรณ ร กษาความปลอดภ ยเคร อข ายเพ อควบค มให ระบบงานต ดต อส อสารก นได ตามความจ าเป น รวมถ งม การปร บแต งค า (Tuning) เพ อเพ มประส ทธ ภาพในการด กจ บภ ยบ กร กและม การทบทวนการต งค าอย าง สม าเสมอหร ออย างน อยป ละ 2 คร ง หร อเม อม การบ กร กร ปแบบใหม ๆ - ม การใช ระบบในการควบค มค าเวลาของเคร องประมวลผล ให ตรงก บเคร องเซ ร ฟเวอร NTP (Clock Synchronization) เพ อให ค าเวลาในการบ นท กเหต การณ (Log) ม ความถ กต องในล กษณะ Real-Time ซ ง เซ ร ฟเวอร NTP ต องร บส ญญาณนาฬ กาจากสถาบ นท ม ความน าเช อถ อ ยกต วอย างเช น กรมอ ทกศาสตร (กองท พเร อ) หร อ สถาบ นมาตรว ทยา (กระทรวงว ทยาศาสตร และเทคโนโลย ) - ม กระบวนการหร อเคร องม อในการตรวจสอบการเปล ยนแปลงต างๆ ท เก ดข นก บอ ปกรณ เคร อข าย และอ ปกรณ ร กษาความปลอดภ ยเคร อข ายท พ จารณาว าม ความส าค ญหร อม ความเส ยง เช น การเปล ยนแปลง Service การ เปล ยนแปลง Port และม การแจ งเต อนไปย งผ ท ได ร บมอบอ านาจ - ม กระบวนการบร หารจ ดการการเปล ยนแปลงการต งค าอ ปกรณ เคร อข าย และอ ปกรณ ร กษาความปลอดภ ย เคร อข ายอย างเป นข นตอน ซ งครอบคล ม - การประเม นผลกระทบท เก ยวข อง - การทดสอบ - แผนย อนกล บ - การอน ม ต โดยผ ท ม อ านาจอน ม ต - การต ดตามผลหล งการต ดต ง (Post Implementation Review) - ม การจ าก ดส ทธ ในการเปล ยนแปลงการต งค าของอ ปกรณ เคร อข าย และอ ปกรณ ร กษาความปลอดภ ยเคร อข าย และการเข าถ งหน าจอการบร หารจ ดการระบบเคร อข าย (Configuration Page) เฉพาะผ ท ร บมอบอ านาจเท าน น - ม กระบวนการประเม นช องโหว (Vulnerability Assessment) ของอ ปกรณ เคร อข ายและอ ปกรณ ร กษาความ ปลอดภ ยเคร อข ายท พ จารณาว าม ความส าค ญหร อม ความเส ยงอย างน อยท ก 6 เด อน และเม อม การเปล ยนแปลงท ม น ยส าค ญ โดยผ เช ยวชาญ และม การรายงานไปย งผ ท ร บมอบอ านาจเพ อด าเน นการแก ไข หร อป ดช องโหว - ส าหร บระบบงานท ต องม การต ดต อส อสาร หร อแลกเปล ยนข อม ลผ านระบบ Internet ควรทดสอบเจาะระบบ เคร อข าย (Network Penetration Test) โดยผ เช ยวชาญ อย างน อยป ละคร ง และ/หร อท กคร งท ม การ เปล ยนแปลงค าความปลอดภ ย หร อม การเปล ยนแปลงความเส ยงทางเทคโนโลย ท ม น ยส าค ญ รวมท งควรจะม การ พ จารณาความเหมาะสมของการเปล ยนผ เช ยวชาญท ท าการทดสอบด วย เพ อให ม ม มมองท แตกต างในการบร หาร จ ดการความเส ยง - ม การต ดต ง Software Updates/ Patch ท จ าเป นแก อ ปกรณ เคร อข าย และอ ปกรณ ร กษาความปลอดภ ย เคร อข าย ตามค าแนะน าของผ ผล ต โดยการต ดต งต องผ านกระบวนการบร หารจ ดการการเปล ยนแปลง (Change Management) อย างเป นข นตอน ฝ ายตรวจสอบความเส ยงและเทคโนโลย สารสนเทศ Page 34