Page 175 - รายงานการพัฒนาอย่างยั่งยืน ประจำปี 2563
P. 175
แนวทางการบริหารจัดการ
ธนาคารได้มีการเพิ่มศักยภาพโครงสร้างพื้นฐาน โดยเฉพาะการพัฒนาและวางระบบโครงสร้างพื้นฐานทางด้าน IT ให้มี
ความมั่นคง ปลอดภัย และเอื้อต่อการดำาเนินธุรกิจนั้น ธนาคารได้มีการกำาหนดแนวการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
ขององค์กร (Information Security Management) ดังนี้
1. มีระเบียบธนาคารว่าด้วยนโยบายความมั่นคงปลอดภัยสารสนเทศที่มีการทบทวนทุกปี
2. มีกระบวนการบริหารจัดการความมั่นคงฯ และมีคำาสั่งธนาคารประกาศวิธีปฏิบัติตามนโยบายฯ
3. มีการถ่ายทอดกระบวนการบริหารจัดการความมั่นคงฯ ทั่วทั้งองค์กรด้วย
• จัดทำาสื่อการเรียนรู้และสร้างความตระหนักด้านความมั่นคงปลอดภัยไซเบอร์
• การสร้างความตระหนักด้านความมั่นคงปลอดภัยไซเบอร์ ต่อคณะกรรมการธนาคาร
• สร้างความตระหนักด้านความมั่นคงปลอดภัยไซเบอร์ด้วย Infographic และ VDO Clip เพื่อประชาสัมพันธ์ให้กับ
พนักงาน ลูกค้า และประชาชนทั่วอย่างต่อเนื่อง
4. มีการประเมินผลลัพธ์กระบวนการบริหารจัดการความมั่นคงฯ เช่น การทำา Cyber drill ด้วยการทดสอบ e-mail phishing
ทั้งองค์กร และกิจกรรม Cyber war games
5. นำาผลการประเมินผลลัพธ์มาทบทวนกระบวนการบริหารจัดการความมั่นคงฯ เป็นประจำาทุกปีและเชื่อมโยงไปสู่การจัดทำา
แผนยุทธศาสตร์ของธนาคาร
การบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร
(Information Security Risk Management)
IT Risk Management
Standard Framework 3 Line of defense
Stakeholder Needs
Board of Director
Regulatory Governance Objective: Value Creation
Benefits Risk Resource
Realisation Optimisation Optimisation
ITSC ROC AC
สนส. 19/2560
Best Practice 1 st Line: 2 nd Line: 3 rd Line:
Enterprise Risk IT Operation IT Risk IT Audit
เป้าหมายการดำาเนินงาน Strategic Environmental Market Operational Compliance Risk Management Process
Risk
Risk
Risk
Risk
Risk
Policy, Procedure Scope, Context, Criteria
I&T-related Risk
• IT Risk Management • Risk Assessment
Cyber and
IT Program
ระเบียบ 644 I&T Benefit/Value Project-delivery IT Operations information Identification Analysis Evalution
Risk
Risk
Risk
Enablement
and Service
คำาสั่ง 48/2562 Risk Risk delivery Risk Security Risk
• IT Security Risk Treatment
ระเบียบ 644 Risk Scenarios Treat Transfer
คำาสั่ง 48/2562
nd
Source: Risk IT Framework, 2 Edition (ISACA), COBIT 5 (ISACA) Terminate Take
รายงานการพัฒนาอย่างยั่งยืนประจำาปี 2563 171
