สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ออกประกาศปรับปรุงหลักเกณฑ์ เรื่อง ข้อกำหนดในรายละเอียดเกี่ยวกับการจัดให้มีระบบเทคโนโลยีสารสนเทศ (ประกาศ IT) เพื่อให้สอดคล้องกับระดับความเสี่ยงของผู้ประกอบธุรกิจแต่ละกลุ่ม รองรับการเปลี่ยนแปลงของเทคโนโลยี รับมือภัยคุกคามทางไซเบอร์ และสอดคล้องมาตรฐานสากลที่ยอมรับ โดยมีผลตั้งแต่วันที่ 1 มกราคม 2568
ตามที่ ก.ล.ต. มีแนวคิดในการปรับปรุงหลักเกณฑ์การจัดให้มีระบบเทคโนโลยีสารสนเทศ (IT) ผู้ประกอบธุรกิจใน
ก.ล.ต. จึงออกประกาศ IT ฉบับแก้ไขเพิ่มเติม โดยมีรายละเอียดส่วนที่สำคัญดังนี้
(1) ปรับความถี่ของการจัดส่งรายงานผลการตรวจสอบด้าน IT ให้เหมาะสมกับขนาดและความเสี่ยงสำหรับผู้ประกอบธุรกิจขนาดเล็ก และผู้ประกอบธุรกิจที่มีความเสี่ยงระดับต่ำ โดยยังคงติดตามความเสี่ยงของผู้ประกอบธุรกิจดังกล่าวได้เมื่อเกิดเหตุการณ์ไม่พึงประสงค์
(2) ปรับกำหนดเวลาการจัดส่งรายงานผลการประเมินระดับความเสี่ยงตามแบบ RLA (Risk Level Assessment) และรายงานผลการตรวจสอบด้าน IT เป็นช่วงเวลาเดียวกัน โดยกำหนดให้จัดส่งภายในไตรมาสที่ 1 ของทุกปีปฏิทิน
(3) ปรับปรุงข้อกำหนดการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมกับความเสี่ยงของผู้ประกอบธุรกิจขนาดเล็ก (cyber hygiene) เช่น การปรับรอบความถี่การทดสอบการเจาะระบบ, การเพิ่มมาตรการควบคุมการเข้าถึงให้ครอบคลุมทั้งบัญชีผู้ใช้งานทั่วไปและบัญชีผู้ใช้งานสิทธิสูง และกำหนดให้ผู้ประกอบธุรกิจมีการบริหารจัดการเหตุการณ์ผิดปกติด้าน IT โดยครอบคลุมการวิเคราะห์สาเหตุ, การบันทึกข้อมูลเหตุการณ์ผิดปกติด้าน IT, และการรายงานเหตุการณ์ดังกล่าว
(4) ปรับปรุงขอบเขตการบังคับใช้สำหรับผู้ประกอบธุรกิจการเป็นที่ปรึกษาการลงทุนเพื่อให้ผู้ประกอบธุรกิจดังกล่าวมีมาตรการบริหารจัดการและควบคุมความเสี่ยงทางด้าน IT ที่เหมาะสมยิ่งขึ้น
(5) ปรับปรุงรายละเอียดอื่น ๆ ของหลักเกณฑ์เพื่อสื่อสารเจตนารมณ์และทำให้ผู้ประกอบธุรกิจสามารถนำไปปฏิบัติและจัดให้มีมาตรการควบคุมความเสี่ยงได้ดียิ่งขึ้น
ทั้งนี้ ประกาศดังกล่าวมีผลใช้บังคับตั้งแต่วันที่ 1 มกราคม 2568 เป็นต้นไป
โดย สำนักข่าวอินโฟเควสท์ (17 ธ.ค. 67)
Tags: ก.ล.ต., ตลาดทุน, ผู้ประกอบธุรกิจ