เมื่อวันที่ 15 สิงหาคม 2562 ที่ผ่านมา ทางธนาคารแห่งประเทศไทย (ธปท.) มีประกาศเรื่อง "การประเมินความพร้อมการรับมือภัยคุกคามไซเบอร์"
โดยธปท. ได้กำหนดกรอบการประมเิน Cyber Resillience Assessment Framework ให้สถาบันการเงินใช้สำหรับประเมินระดับความเสี่ยงตั้งต้นด้านไซเบอร์ (Cyber Inherent Risk Assessment) และแนวทางการบริหารจัดการความเสี่ยงทางไซเบอร์และมาตรการควบคุมด้านการรักษาความมั่นคงปลอดภัยที่พึงมี (Maturity Level) ด้วยตนเอง
ซึ่งการประเมินระดับความเสี่ยงตั้งต้นด้านไซเบอร์ (Cyber Inherenet Risk Assessment) จะพิจารณาปัจจับความเสี่ยงพื้นฐานทาง IT 5 ด้าน
- ประเภทขอบเขตและปริมาณการใช้เทคโนโลยีสารสนเทศในรูปแบบต่างๆ
- ความหลากหลายของช่องทางการให้บริการ Electronics
- รูปแบบ ปริมาณและความซับซ้อนของ Product/Service จำนวนลูกค้าและปริมาณการใช้งาน
- ขนาดและลักษณะเฉพาะขององค์กร
- ประวัติภัยคุกคามทางไซเบอร์
เมื่อพิจารณาปัจจัยทั้ง 5 ด้านแล้ว ก็จะแบ่งเป็น 3 ระดับ ได้แก่ ต่ำ ปานกลางหรือสูง เพื่อกำหนดแนวทางการบริหารจัดการความเสี่ยงต่อไป
ส่วนแนวทางการบริหารจัดการความเสี่ยงทางไซเบอร์และมาตรการควบคุมด้านการรักษาความมั่นคงปลอดภัยที่พึงมี (Maturity Level) ก็จะมีการประเมินใน 6 ด้านคือ
- กรอบการดูแล (Governance)
- การระบุความเสี่ยง (Risk Identification)
- การป้องกัน (Protection)
- การเฝ้าระวังและตรวจจับ (Detection)
- การตอบสนองต่อเหตุการณ์และการกู้คืน (Response and Recovery)
- การบริหารความเสี่ยงด้านภัยคุกคามไซเบอร์ที่เกิดจากหน่วยงานภายนอก (Third party risk management)
โดยระดับความพร้อมในการบริหารจัดการความเสี่ยงจากภัยคุกคามไซเบอร์ (Maturity) แบ่งเป็น 3 ระดับ ได้แก่ Baseline Intermediate และ Advanced
ซึ่งสถาบันการเงินจะต้องประเมินอย่างน้อยปีละ 1 ครั้งหรือเมื่อมีการเปลี่ยนแปลงใดๆ ที่มีนัยสำคัญต่อโครงสร้าง IT โดยต้องส่งผลการประเมินมาที่ธปท. ภายใน 30 วันนับจากวันที่ 31 ธันวาคมของปีที่ประเมินหรือเมื่อธปท. ร้องขอ