Cloud Computing Practice

สำนกงานคณะกรรมการกำกบหลกทรพยและตลาดหลกทรพย พฤศจกายน 2562

สารบญ 1. หลกการและเหตผล ......................................................................................................................................................... 1

1.1 วตถประสงค ......................................................................................................................................................... 1

1.2 การจดทำแนวทางการกำกบดแลและบรหารจดการเทคโนโลยสารสนเทศ Cloud Computing ของ ก .ต.ล . ...... 2

1.3 บทนยาม ............................................................................................................................................................... 3

2. แนวทางการกำกบดแลและบรหารจดการการใชบรการ Cloud Computing ............................................................ 5

2.1 การกำกบดแลและบรหารจดการการใชบรการ Cloud Computing (Governance of Cloud

Computing Service) ......................................................................................................................................... 5

2.2 การบรหารจดการผใหบรการ Cloud Computing (Cloud Service Provider Management) .......................... 8

2.2.1 การคดเลอกผใหบรการ (Due Diligence) ............................................................................................ 8

2.2.2 การทำสญญาและการทำขอตกลงการใชบรการ (Engage) ................................................................... 9

2.2.3 การใชงาน Cloud Computing (Operate) ...................................................................................... 11

2.2.4 การตดตามและประเมนผใหบรการ (Monitor).................................................................................. 15

2.2.5 การยกเลกหรอสนสดการใชบรการ (Exit) .......................................................................................... 16

1

1. หลกการและเหตผล

ในปจจบนมการประยกตใชงานเทคโนโลยสารสนเทศเปนสวนหนงในการสนบสนนและดำเนนกจกรรมสำคญ

ในการขบเคลอนธรกจในตลาดทน หนงในเทคโนโลยทมการประยกตใชอยางกวางขวาง คอ การใชบรการระบบประมวลผล

รวมกนผานเครอขายตามความตองการของผใชงาน (Cloud Computing) ทงเพอเพมขดความสามารถในการประมวลผล

และเพอเพมประสทธภาพและประสทธผลในการบรหารจดการตนทนดานเทคโนโลยอยางมนยสำคญ การประยกตใชงาน

Cloud Computing เปนรปแบบการใชงานระบบสารสนเทศรวมกนบนระบบเครอขายคอมพวเตอรเพอบรหารจดการ

ความตองการทรพยากรในการประมวลผลตามความตองการของผใชงาน ซงอาจมการกำหนดขอบเขตการใชงานทรพยากร

การประมวลผลดงกลาวอยางเฉพาะเจาะจงสำหรบผหนงผใด หรออาจมการใชงานรวมกนของกลมผใชงานและนตบคคล

เพอประสทธภาพในการใชบรหารจดการทรพยากรและตนทนอยางเหมาะสม การใชงานทรพยากรรวมกนบนเครอขายสงผล

ใหเกดความซบซอนดานเทคโนโลย รวมถงความเสยงอนอาจจะเกดขนตอสารสนเทศทถกจดเกบอยบนเครอขายทมการบรหาร

จดการโดยบคคลภายนอก หรอผใหบรการ Cloud Computing

เพอใหผประกอบธรกจในตลาดทนมความสามารถในการบรหารจดการทรพยากรดานเทคโนโลยสารสนเทศ

ไดอยางมประสทธภาพ ในขณะเดยวกนสามารถคงขดความสามารถในการบรหารจดการดานความมนคงปลอดภยสารสนเทศ

อนเปนสวนสำคญในการรกษาเสถยรภาพของตลาดทน สำนกงานคณะกรรมการกำกบหลกทรพยและตลาดหลกทรพย

(“สำนกงาน”) จงมการออกหลกเกณฑวาดวยการจดใหมระบบเทคโนโลยสารสนเทศและแนวปฏบตทเกยวของทมขอกำหนด

และหลกเกณฑในการรกษาความมนคงปลอดภยเทคโนโลยสารสนเทศทเกยวของกบการใชงาน Cloud Computing

คมอฉบบนจดทำขนเพอเปนแนวทางใหผประกอบธรกจในการทำความเขาใจความเสยงอนอาจจะเกดขน พรอมจดทำ

แนวทางการบรหารความเสยงและการควบคมดานความมนคงปลอดภยสารสนเทศ ในการใชงานระบบ Cloud Computing

ไดอยางมประสทธภาพและประสทธผล

1.1 วตถประสงค

แนวทางการกำกบดแลและบรหารจดการ Cloud Computing ไดจดทำขนเพอใหผประกอบธรกจใชเปนแนวทาง

ในการกำกบดแลและบรหารความปลอดภยจากการใชงาน Cloud Computing ไดแก

• กจกรรมทางดานสารสนเทศมความสอดคลองกบวตถประสงคขององคกร (Value Delivery)

• มการจดการความเสยงอยางเหมาะสม (Risk Optimization)

• มการจดการทรพยากรทางดานสารสนเทศเพอใหไดประโยชนสงสด (Resource Optimization)

• มการจดการดานความมนคงปลอดภยสารสนเทศ Cloud Computing

2

1.2 การจดทำแนวทางการกำกบดแลและบรหารจดการเทคโนโลยสารสนเทศ Cloud Computing ของ ก.ล.ต.

สำนกงานไดกำหนดแนวทางการกำกบดแลและบรหารจดการการใชงานระบบสารสนเทศรวมกนบนระบบ

เครอขายคอมพวเตอรตามความตองการของผใชงาน หรอ Cloud Computing โดยอางองกรอบมาตรฐานดานการบรหาร

จดการอนเปนสากล1 ทครอบคลมกระบวนการสำคญตงแตการกำหนดกรอบการกำกบดแลการใชงาน Cloud Computing

การกำหนดแนวทางเชงกลยทธในการใชงาน การกำกบผใหบรการ ตลอดจนการยกเลกหรอสนสดการใชงาน ซงเปนวงจร

การบรหารจดการ Cloud Computing ดงทแสดงในแผนภาพท 1

แผนภาพท 1 – วงจรการบรหารจดการการใชงาน Cloud Computing

1ISO/IEC 27017-2015 : Code of practice for information security controls based on ISO/IEC 27002 for cloud services NIST: National Institute of Standards and Technology : Guidelines on Security and Privacy in Public Cloud Computing SANS: Cloud Security Framework Audit Methods ISACA: IS Audit/Assurance Program – Cloud Computing, CSA: Cloud Security Alliance (https://cloudsecurityalliance.org)

3

1.3 บทนยาม

ผประกอบธรกจ หมายถง ผประกอบธรกจภายใตการกำกบดแลของสำนกงานคณะกรรมการกำกบหลกทรพยและตลาดหลกทรพยทไดรบใบอนญาตประกอบธรกจหลกทรพย หรอธรกจสญญาซอขายลวงหนาตามทระบไวในหลกเกณฑวาดวยการจดใหมระบบเทคโนโลยสารสนเทศ

ทรพยสนสารสนเทศ

หมายถง 1. ทรพยสนสารสนเทศประเภทระบบ ซงไดแก ระบบเครอขายคอมพวเตอร ระบบคอมพวเตอร ระบบงานคอมพวเตอร และ ระบบสารสนเทศ

2. ทรพยสนสารสนเทศประเภทอปกรณ ซงไดแก ตวเครองคอมพวเตอร อปกรณคอมพวเตอร เครองบนทกขอมล และ อปกรณอนใด

3. ทรพยสนสารสนเทศประเภทขอมล ซงไดแก ขอมลสารสนเทศ ขอมลอเลกทรอนกส และ ขอมลคอมพวเตอร

ทรพยสนสารสนเทศทมความสำคญ

หมายถง ทรพยสนสารสนเทศทเกยวของ หรอจำเปนตองใชประกอบกบงานทมความสำคญ ตามประกาศสำนกงาน

ระบบสารสนเทศทมความสำคญ

หมายถง ระบบสารสนเทศทรองรบการปฏบตงานทสำคญ เชน ระบบซอขาย ระบบปฏบตการ back office และระบบจดการลงทน เปนตน

ผใชงาน หมายถง พนกงานของผประกอบธรกจและบคลากรภายนอกทมการปฏบตงานโดยมการเขาถง ขอมลลบหรอระบบงานสำคญภายในองคกรโดยไมรวมถงลกคา

Cloud Computing

หมายถง รปแบบการใชงานระบบสารสนเทศรวมกนบนระบบเครอขายคอมพวเตอร เพอการประมวลผลตามความตองการของผใชงาน2

2 NIST: The NIST Definition of Cloud Computing

4

แผนภาพท 2 – ประเภทและรปแบบการใชงานระบบสารสนเทศรวมกนบนระบบเครอขาย

ประเภทของ Cloud Computing (Service Models)

1) Software-as-a-

Service (SaaS)

หมายถง บรการดานแอปพลเคชนททำงานบนโครงสรางพนฐานระบบ Cloud

Computing ซงผใชบรการสามารถเขาใชงานแอปพลเคชนผานเครอขายผาน

โปรแกรมบนอปกรณของผใชบรการ เชน เวบเบราวเซอร แอปพลเคชนบนมอถอ

เปนตน โดยผใหบรการทำหนาทบรหารจดการโครงสรางพนฐานระบบคลาวด

ซงครอบคลมถง ความปลอดภยทางกายภาพระบบปฏบตการ ระบบเครอขาย

ระบบจดเกบขอมล รวมถงคาพนฐานของแอปพลเคชน

2) Platform-as-a-

Service (PaaS)

หมายถง บรการดานแฟลตฟอรมททำงานบนโครงสรางพนฐานระบบคลาวด ซงผใชบรการ

สามารถเขาแฟลตฟอรมในการพฒนาแอปพลชน โดยผใหบรการทำหนาท

บรหารจดการโครงสรางพนฐานระบบคลาวด ซงครอบคลมถง ความปลอดภย

ทางกายภาพระบบปฏบตการ ระบบเครอขาย และระบบใหบรการ เชน

เวบเซอรวส ระบบจดการฐานขอมล เปนตน อยางไรกตาม การควบคมทเกยวกบ

การบรหารจดการแอปพลเคชน เชน การแกไขเปลยนแปลงโปรแกรม ผใชบรการ

จะเปนผดำเนนการ

3) Infrastructure-as-

a-Service (IaaS)

หมายถง บรการดานโครงสรางพนฐานระบบคลาวดทมการใชงานทรพยากรทางดานระบบ

สารสนเทศรวมกน เชน ระบบปฏบตการ ระบบเครอขาย หรอระบบจดเกบขอมล

โดยทางผใหบรการทำหนาทดแลทางกายภาพ และทรพยากรสารสนเทศทใชใน

การสนบสนนการทำงานของโครงสรางพนฐานระบบคลาวด

รปแบบของการนำไปใชงาน (Deployment Models)

1) Public Cloud หมายถง โครงสรางพนฐานระบบคลาวดทเปดใหใชงานผานเครอขายสาธารณะ

2) Private Cloud หมายถง โครงสรางพนฐานระบบคลาวดทจดเตรยมไวสำหรบการใชงานโดยหนวยงาน

ภายในองคกรเดยวกน

3) Hybrid Cloud หมายถง โครงสรางพนฐานระบบคลาวดทประกอบดวยโครงสรางพนฐานระบบคลาวด

ทแตกตางกนตงแตสองรปแบบขนไป (Public และ Private)

5

1. แนวทางการกำกบดแลและบรหารจดการการใชบรการ Cloud Computing

2.1 การกำกบดแลและบรหารจดการการใชบรการ Cloud Computing (Governance of Cloud Computing Services)

วตถประสงค

ปจจบนเทคโนโลย Cloud Computing เขามามบทบาทสำคญในการขบเคลอนธรกจ เพอชวยผประกอบการในการบรหารจดการเทคโนโลยไดอยางรวดเรว รวมถงการบรหารตนทนทมประสทธภาพและประสทธผล อยางไรกตามการใชงานระบบ Cloud Computing ทมการบรหารจดการโดยผใหบรการภายนอก และลกษณะการใชงานสภาพแวดลอมการประมวลผลรวมกนของผใชบรการ รวมถงการเชอมโยงและเขาถงผานเครอขายสาธารณะยงกอใหเกดความเสยงดานความมนคงปลอดภยสารสนเทศ และความมนคงปลอดภยทางไซเบอร อนอาจจะสงผลกระทบตอการดำเนนงานของผประกอบธรกจ ผลงทน และความเชอมนตอตลาดทนโดยรวมได ผบรหารระดบสงจงตองมบทบาทสำคญในการบรหารจดการเชงกลยทธในการนำเทคโนโลย Cloud Computing มาใชในการประกอบธรกจ รวมถงการกำหนดนโยบายใชงานเพอใหมนใจวาการนำเทคโนโลย Cloud Computing มาใชในการประกอบธรกจ ชวยใหผประกอบธรกจสามารถบรรลเปาหมายไดตามทกำหนดไว โดยมการใชทรพยากรและมการบรหารจดการความเสยงอยางเหมาะสม

คมอฉบบนจดทำขนเพอเปนแนวทางใหผประกอบธรกจในการประยกตใชงานระบบ Cloud Computing ดานการกำกบและบรหารจดการการใชบรการ Cloud Computing ทงนผประกอบธรกจควรกำหนดนโยบายการใชงานระบบ Cloud Computing ไวอยางเปนลายลกษณอกษร เพอรกษาความมนคงปลอดภยของระบบสารสนเทศ (Information Security Policy) จากการใชบรการทครอบคลมถงวธการคดเลอกและประเมนผใหบรการ การทบทวนคณสมบตของผใหบรการ ขอกำหนดเกยวกบการใชบรการและการตรวจสอบบนทกหลกฐานตางๆ ทอาจจะสงผลกระทบตอการใชบรการโดยมแนวทางดงตอไปน

แนวทางปฏบตทควรพจารณา

เพอใหการใชงาน Cloud Computing เปนไปอยางมประสทธภาพและประสทธผลและยงคงไวซงความสามารถใน

การบรหารความเสยงทางเทคโนโลยสารสนเทศตลอดจนความเสยงดานความมนคงปลอดภยทางไซเบอร ผประกอบธรกจควร

กำหนดนโยบายและกรอบการบรหารจดการการใชงานระบบ Cloud Computing ทชดเจน ประกอบดวย

• กำหนดกลยทธทชดเจนในการใชงานระบบ Cloud Computing เชน เหตผลและความจำเปนทางธรกจ ประโยชนและ

ตนทน การดำเนนการตามกฎหมายและขอบงคบทงภายในและภายนอกประเทศ ความเสยงและการบรหารความเสยง

ดานความมนคงปลอดภยสารสนเทศและความมนคงปลอดภยทางไซเบอร การจดการดานทรพยากรบคคลและองค

ความร เปนตน

• จดทำนโยบายการใชงาน Cloud Computing อยางเปนลายลกษณอกษร โดยนโยบายดงกลาวควรไดรบความเหนชอบ

จากคณะกรรมการของผประกอบธรกจ ทงนนโยบายฯควรประกอบไปดวยหวขอสำคญครอบคลมเรองดงตอไปน

o การกำหนดประเภทงานทจะใชบรการ

o ประเภทของการใชงานระบบ Cloud Computing ทสามารถใชงานได เชน Software-as-a-Service (SaaS),

Platform-as-a-Service (PaaS), และ/หรอ Infrastructure-as-a-Service (IaaS) และรปแบบของการใชบรการ

เชน Private, Public, และ/หรอ Hybrid

o ประเภทของขอมล รวมถงมาตรการและวธปฏบตในการรกษาความปลอดภยของขอมลแตละประเภท

ตามชนความลบของขอมล

6

o การประเมนความเสยงและการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศและความปลอดภย

ทางไซเบอรจากการใชงาน Cloud Computing

o การประเมนและการคดเลอกผใหบรการ

o การจดทำสญญาและขอตกลงการใหบรการ

o การตดตามและการกำกบดแลดานประสทธภาพและการปฏบตตามขอตกลงการใหบรการ

o การตดตามและการรายงานเหตการณผดปกตทเกดขนจากการใหบรการอยางสมำเสมอ

o การตรวจสอบโดยผตรวจสอบทเปนอสระ

o บทบาทหนาทความรบผดชอบของเจาหนาทผเกยวของ

ทงน การจดทำนโยบายการใชงาน Cloud Computing ดงกลาว ควรพจารณาถงเรองสำคญเพอกำหนดนโยบาย

และมาตรการควบคมทเหมาะสมประกอบไปดวยเรองดงตอไปน

o ขอมลทมการจดเกบบนระบบ Cloud Computing ทอาจมการเขาถงและบรหารจดการโดยผใหบรการ

o ประเภทของสนทรพยสารสนเทศ (assets) ทมการประมวลผล และบรหารจดการบนสภาพแวดลอมระบบ

Cloud Computing เชน ขอมลสารสนเทศ ระบบงาน เปนตน

o การประมวลผลบนระบบเสมอนทอาจมผใชงานรวมกนอยภายใตสภาพแวดลอมเดยวกน (Multi-tenant)

o กลมผใชงานระบบงานหรอบรการบน Cloud Computing และลกษณะการใชงานหรอบรการ

o การบรหารจดการกลมผดแลระบบ (Cloud Service Administrator) ทมสทธการเขาถงและใชงานระดบสง

(Privileged Access)

o พนทและประเทศทผใหบรการ Cloud Computing จดเกบขอมลและประมวลผล รวมถงการจดเกบขอมล

แบบชวคราว

• จดใหมการสอสารนโยบายการใชงาน Cloud Computing ไปยงพนกงานและเจาหนาททเกยวของ เชน พนกงานและ

ผบรหารหนวยงานทางธรกจ (Business unit) ผดแลระบบ (Administrator) ผพฒนาระบบและผพฒนาระบบการ

เชอมโยง (Developer & Integrator) ผใชงาน รวมถงพนกงานและเจาหนาททเกยวของ ใหตระหนกถงความมนคง

ปลอดภยจากการใชบรการ Cloud Computing ไดแก

o มาตรฐานและขนตอนการปฏบตงานในการใชบรการ Cloud Computing

o ความเสยงดานความมนคงปลอดภยสารสนเทศจากการใชงาน Cloud Computing และแนวทางการจดการความเสยง

o ความเสยงดานระบบงาน และเครอขายจากการใชงาน Cloud Computing

o ขอกำหนดทางกฎหมายทเกยวของ

• จดเตรยมและพฒนาองคความรดานการบรหารจดการ Cloud Computing ใหแกผดแลระบบ (Administrator) และ

บคลากรทเกยวของอยางเพยงพอ เชน การประเมนความเสยงและการบรหารจดการความเสยงจากการใชงานระบบ

Cloud Computing กรอบการกำกบดแลดานความมนคงปลอดภยระบบ Cloud Computing (Cloud Security

Framework) กรอบการกำกบดแลขอมล (Data Governance) เพอการรกษาความปลอดภยและการบรหารจดการ

ขอมลทจดเกบอยบนระบบ Cloud Computing เครองมอและกรรมวธการในการรกษาความปลอดภยของขอมล เชน

การเขารหสโทเคนขอมล (Data Tokenization) การลบการเชอมโยงถงบคคลไดหรอการลบอตลกษณบคคลออกไปจาก

ฐานขอมล (Data anonymization หรอ de-identification) เปนตน

• ทบทวนนโยบายการใช Cloud Computing อยางนอยปละ 1 ครง

7

• สอบทานและปรบปรงแนวทางการบรหารความเสยงดานเทคโนโลยสารสนเทศ ใหครอบคลมความเสยงจากการใชบรการ

Cloud Computing ทงในเรองของการระบความเสยง การประเมนความเสยง การควบคมความเสยงใหอยในระดบท

ยอมรบได และการกำหนดผรบผดชอบตอความเสยง โดยพจารณาถงความเสยงดานตาง ๆ ดงตอไปน

o ความเสยงดานกลยทธ เชน ความเสยงจากการพงพงผใหบรการภายนอกและความสามารถในการเปลยนแปลง

ผใหบรการ (vendor locked-in)

o ความเสยงดานปฏบตการ เชน ระบบประมวลผลผดพลาดจากระบบใหบรการหรอบคลากรผใหบรการ การใชงาน

เทคโนโลยรวมกน (Share technology risk) การละเมดขอกำหนดและขอตกลงการใชงาน Cloud Computing

หรอความเสยงจากการไมสามารถเขาถงขอมลหรอการจำกดการเขาถงของขอมลจากผใหบรการ

o ความเสยงดานกฎหมาย เชน การไมปฏบตตามกฎหมาย หลกเกณฑและขอกำหนดของทางการ ทงภายในประเทศ

และตางประเทศ

o ความเสยงดานความมนคงปลอดภยเทคโนโลยสารสนเทศ เชน การเรยกใชโปรแกรม (APIs) หรอชองทาง

บรหารจดการทไมปลอดภย

o ความเสยงดานขอมลสวนบคคล (data privacy) และการรกษาความปลอดภยของขอมล (data security)

o ความเสยงจากการใชผใหบรการภายนอกทมการใชผใหบรการภายนอกอนรบชวงจดการงาน (sub-contract)

• รายงานผลการประเมนความเสยงและแนวทางการบรหารความเสยงจากการใชบรการ Cloud Computing ใหแก

คณะกรรมการบรหารความเสยง หรอคณะกรรมการทไดรบมอบหมาย

ถงแมวากจกรรมการบรหารงานดานสารสนเทศของการใชบรการ (Cloud Computing) นนจะมการดำเนนงาน

โดยบรษทผใหบรการ หรอ Cloud Service Provider (CSP) แตอยางไรกตาม ผประกอบธรกจยงคงมภาระหนาทและ

ความรบผดชอบตอกจกรรมการบรหารงานดานสารสนเทศนน ๆ รวมถงมหนาทในการดำเนนกจกรรมการควบคมดาน

การรกษาความมนคงปลอดภยสารสนเทศทอยนอกเหนอขอตกลงการใหบรการ และรปแบบของการใชงาน Cloud

Computing (Deployment Model) ดงแสดงในตารางท 1 – ตวอยางบทบาทหนาทของผทเกยวของสำหรบรปแบบ

การใหบรการ Cloud Computing ดงนน ผประกอบธรกจจงจำเปนตองประเมนและจดใหมการควบคมการใชงานระบบ

ประมวลผลในสวนทรบผดชอบโดยผประกอบธรกจใหสอดคลองกบความเสยง และเปนไปตามทระบไวในหลกเกณฑวาดวย

การจดใหมระบบเทคโนโลยสารสนเทศและแนวปฏบตทเกยวของ ทงน กจกรรมดานเทคโนโลยสารสนเทศทอยภายใต

ความรบผดชอบของผใหบรการ Cloud Computing ผประกอบธรกจควรจดใหมการควบคมและตดตามผลการดำเนนงาน

โดยผใหบรการใหเปนไปตามขอตกลงการใหบรการ และสอดคลองกบมาตรฐานอนเปนทยอมรบในสากล เชน การใชรายงาน

การตรวจสอบโดยผตรวจสอบทเปนอสระ ทมหวขอและขอบเขตการตรวจสอบทสอดคลองกบขอบเขตการดำเนนงานและ

ภาระหนาทความรบผดชอบของผใหบรการ และสอดคลองกบหลกเกณฑวาดวยการจดใหมระบบเทคโนโลยสารสนเทศ

และแนวปฏบตทเกยวของของสำนกงาน

8

ตารางท 1 – ตวอยางบทบาทหนาทของผทเกยวของสำหรบรปแบบการใหบรการ Cloud Computing แตละรปแบบ

กจกรรมดานการบรหารเทคโนโลยสารสนเทศ

รปแบบการใหบรการ

(service model)

IaaS PaaS SaaS

Data ผประกอบธรกจ ผประกอบธรกจ CSP

Interfaces (APIs, GUIs) ผประกอบธรกจ ผประกอบธรกจ CSP

Applications ผประกอบธรกจ ผประกอบธรกจ CSP

Solution Stack (Programming languages) ผประกอบธรกจ ผประกอบธรกจ CSP

Operating Systems (OS) ผประกอบธรกจ CSP CSP

Virtual Machines ผประกอบธรกจ CSP CSP

Virtual network infrastructure ผประกอบธรกจ CSP CSP

Hypervisors CSP CSP CSP

Processing and Memory CSP CSP CSP

Data Storage (hard drives, removable disks, backups, etc.)

CSP CSP CSP

Network (interfaces and devices, communications infrastructure)

CSP CSP CSP

Physical facilities / data centers CSP CSP CSP

2.2 การบรหารจดการผใหบรการ Cloud Computing (Cloud Service Provider Management)

วตถประสงค

Cloud Computing เปนระบบใหบรการทมการบรหารจดการโดยผใหบรการภายนอก ผประกอบธรกจจงควร มแนวทางการจดการใหสอดคลองเหมาะสมในแตละขนตอนตงแตการประเมนและคดเลอกผใหบรการ (Due Diligence) การทำสญญาและขอตกลงการใหบรการ (Engage) การใชงาน (Operate) และการตดตามการใหบรการ (Monitor) โดยมแนวทางการดำเนนงานในแตละขนตอน ดงน

2.2.1 การประเมนและคดเลอกผใหบรการ (Due Diligence)

แนวทางปฏบตทควรพจารณา

• ผประกอบธรกจควรกำหนดกระบวนการและหลกเกณฑในการคดเลอกผใหบรการ Cloud Computing ทชดเจน และ

มการตรวจสอบความพรอมและพจารณาความเหมาะสมของผใหบรการเพอใหมนใจวาผใหบรการสามารถใหบรการได

อยางตอเนอง โดยคำนงถงปจจยสำคญ ไดแก ความรความสามารถ ประสบการณ ความสามารถทางการเงนทสามารถ

ในการใหบรการอยางตอเนอง

• ประเมนมาตรฐานดานการรกษาความมนคงปลอดภยเทคโนโลยสารสนเทศ ไดแก การรกษาความลบขอมล

(Confidentiality) ความถกตองเชอถอไดของขอมลและระบบสารสนเทศ (Integrity) และ ความตอเนองของการ

ใหบรการ (Availability) เชน ผลการประเมนมาตรฐานความปลอดภยทเปนทยอมรบในสากล ไดแก ISO27001,

ISO27017, PCI/DSS, TIA เปนตน

9

• ประเมนผลรายงานการตรวจสอบโดยผตรวจสอบทเปนอสระ ดานมาตรฐานความมนคงปลอดภยเทคโนโลยสารสนเทศ

เชน System and Organisation Control (SOC) Report โดยพจารณาถงขอบเขตการตรวจสอบ ระยะเวลาท

ครอบคลมในรายงานการตรวจสอบ ผลการตรวจสอบและประเดนสำคญในผลการตรวจสอบ ความสามารถและความ

นาเชอถอของผตรวจสอบ เปนตน ทงน ผประกอบธรกจควรพจารณาถงรายละเอยดประกอบในรายงานการตรวจสอบ

ไดแก

o ขอบเขตการตรวจสอบสอดคลองกบมาตรการรกษาความปลอดภยทอยในความรบผดชอบของผใหบรการ

o ขอบเขตการตรวจสอบสอดคลองกบมาตรฐานและขอกำหนดทเปนทยอมรบในสากล และสอดคลองกบหลกเกณฑ

วาดวยการจดใหมระบบเทคโนโลยสารสนเทศและแนวปฏบตทเกยวของ

• ประเมนความสอดคลองกนของแนวทางการรกษาความตอเนองของการใหบรการของผใหบรการระบบ Cloud

Computing และผลการประเมนผลกระทบทางธรกจ (Business Impact Analysis) ของระบบงานทจะมการใชบรการ

บนระบบ Cloud Computing อนประกอบไปดวย ระยะเวลาการหยดชะงกของระบบใหบรการทยอมรบได (Maximum

Tolerable Downtime: MTD) ระยะเวลาทยอมรบไดในการกคนระบบงานและขอมล (Recovery Time Objective:

RTO) และชดขอมลลาสดทจะกคนได (Recovery Point Objective: RPO)

• ประเมนความเสยงและแนวทางการบรหารความเสยงดานความมนคงปลอดภยเทคโนโลยสารสนเทศ และความตอเนอง

ในการใหบรการในกรณทผลการประเมนผใหบรการไมเปนไปตามขอกำหนดหรอมาตรฐานความปลอดภยทกำหนดไว

2.2.2 การทำสญญาและขอตกลงการใหบรการ (Engage)

ในการจดทำสญญาและขอตกลงการใหบรการ ผประกอบธรกจตองจดใหมเงอนไขและมาตรการเพอรกษาความมนคง

ปลอดภยของระบบสารสนเทศในการใชงานระบบสารสนเทศรวมกนบนระบบเครอขายคอมพวเตอรเพอการประมวลผลตาม

ความตองการของผใชงาน ทครอบคลมเงอนไขสำคญอยางนอย ดงน

ก. ขอตกลงรวมกนระหวางผใหบรการและผใชบรการซงมรายละเอยดในเรองดงตอไปนเปนอยางนอย

1. หนาทและความรบผดชอบของผใหบรการ รวมถงความรบผดชอบตอผประกอบธรกจในกรณทผใหบรการ

ไมสามารถปฏบตตามขอตกลงได

2. ขนตอนการปฏบตงานทเปนไปตามมาตรฐานการรบรองความมนคงปลอดภยดานสารสนเทศในระดบสากล

3. มาตรการรกษาความมนคงปลอดภย การควบคมการเขาถง และการเปดเผยขอมลสารสนเทศ

4. การตรวจสอบการปฏบตงานจากผตรวจสอบทเปนอสระ

5. เงอนไขในกรณทผใหบรการจะใหผใหบรการรายอนรบดำเนนการชวง (Subcontract of the cloud

provider) และขอกำหนดความรบผดตอความเสยหายทอาจเกดขนจากการดำเนนงานของผใหบรการรายอน

ข. คณสมบตดานความปลอดภยของผใหบรการรายอนทรบดำเนนการชวงซงเทยบเทากบผใหบรการ หรอ เปนไปตาม

มาตรฐานสากล

ค. การตดตาม ประเมน และทบทวนการใหบรการของผใหบรการ

ง. ขนตอนการโอนยายขอมลไปยงผใหบรการรายใหม ในกรณทมการเปลยนตวผใหบรการ

10

แนวทางปฏบตทควรพจารณา

• ผประกอบธรกจควรจดทำสญญาการใชบรการจากผใหบรการอยางเปนลายลกษณอกษร และมการจดทำขอตกลงการ

ใหบรการ (Service Level Agreement) อยางชดเจนครอบคลมประเดนทเกยวของดงตอไปน

o ขอบเขตการใหบรการ ประเภท และเงอนไขการใหบรการ

o เงอนไขความเปนเจาของขอมลของผใชบรการ สทธการใชและลขสทธทเกยวของ โดยผใชบรการควรเปนเจาของ

สทธในขอมล

o ขอกำหนดดานเงอนไขความรบผดชอบในกรณทผใหบรการไมสามารถใหบรการตามทกำหนดในขอตกลง ทงน

ผประกอบธรกจควรพจารณาถงเงอนไขการประเมนความเสยหาย รวมถงขอจำกดในกรณมเงอนไขการจำกด

ความรบผดในสญญาระหวางผใชบรการและผใหบรการ

o ขอกำหนดดานการเขาถงขอมลของผใหบรการ ประกอบดวยสทธการเขาถงและเงอนไขการเปดเผยขอมล

โดยผใหบรการจากความยนยอมของผใชบรการ หรอการเปดเผยขอมลโดยขอกำหนดทางกฎหมายของประเทศ

ทผใหบรการไปตงศนยขอมล ทงน ตองมการแจงใหผใชบรการรบทราบ

o ขอกำหนดดานการสำรองขอมลและการจดทำแผนสำรองฉกเฉน และแผนความตอเนองทางธรกจสำหรบ

การใหบรการ โดยมเงอนไขทชดเจนทางดาน

▪ สถานทในการกคนขอมล (Location)

▪ ระยะเวลากคนระบบใหบรการ (Service Restoration)

▪ ระยะเวลากคนขอมล (Recovery Time Objective: RTO)

▪ ชดขอมลลาสดทกคนได (Recovery Point Objective: RPO)

ทงน ในกรณเปาหมายดานการกคนขอมลไมเปนไปตามผลการประเมนผลกระทบทางธรกจของระบบใหบรการ ทใชงานระบบ Cloud Computing ผประกอบธรกจควรดำเนนการประเมนความเสยงและทำการควบคมเพมเตม

o ขอกำหนดและเงอนไขการสงมอบขอมลเมอมการยกเลก หรอสนสดการใชบรการ โดยพจารณาถง

▪ ระยะเวลา และ เงอนไขในการสงมอบขอมล

▪ รปแบบ (Format) ของขอมล

▪ เงอนไขและระยะเวลาในการเกบรกษาขอมลของผใชบรการ และการทำลายขอมลอยางปลอดภย

เมอสนสดระยะเวลาทกำหนด

o ขอกำหนดดานเงอนไขในกรณทผใหบรการจะใหผใหบรการรายอนรบดำเนนการชวง (Subcontract of the cloud

provider) ไดแก

▪ มาตรการรกษาความปลอดภยทเทยบเคยงกบผใหบรการ

▪ ความรบผดตอความเสยหายของผใหบรการทเกดขนจากผใหบรการรายอน

o ขอกำหนดและมาตรการปองกนการรวไหลของขอมลทอาจเกดขนจากผใหบรการ

o มาตรการรกษาความมนคงปลอดภยสารสนเทศทสอดคลองกบความเสยงและขอบเขตการใหบรการ

โดยควรพจารณาถง

▪ มาตรการรกษาความมนคงปลอดภยเครอขาย

▪ การวเคราะหขอมลและการเฝาระวงการโจมตทางเครอขาย

11

▪ การบรหารจดการบญชผใชงานของผใหบรการ และมาตรการรกษาความปลอดภยทเกยวของ เชน

นโยบายรหสผานและมาตรฐานการเขารหส

▪ มาตรฐานการเขารหสการสอสารขอมล

▪ การตดตามและตดตงชดปรบปรงซอฟตแวร (Patching)

▪ การจดเกบบนทกเหตการณ ประเภทของเหตการณ ระยะเวลาการจดเกบขอมล การปองกนการแกไข

เปลยนแปลงขอมล และหนาทความรบผดชอบในการวเคราะหเหตการณ

o ขอกำหนดดานสทธในการตรวจสอบ (Rights to Audit) ประกอบไปดวย

▪ เงอนไขการตรวจสอบโดยผประกอบธรกจหรอผตรวจสอบทเปนอสระประจำป หรอเมอมเหตการณ

อนนาเชอวามการดำเนนงานไมเปนไปตามมาตรฐานหรอขอกำหนด หรอเมอไดรบการรองขอโดย

เจาพนกงานตามทตามกฎหมายกำหนด

▪ เงอนไขการตรวจสอบเมอมการตรวจพบเหตการณอนนาเชอวามการละเมดมาตรการรกษา

ความปลอดภย หรอการรวไหลของขอมลความลบ

o เงอนไขการตรวจสอบและเปดเผยรายงานผลการตรวจสอบดานมาตรการรกษาความปลอดภยและการควบคม

ทเกยวของโดยผตรวจสอบทเปนอสระ อยางนอยปละ 1 ครง

o บทบาทหนาทความรบผดชอบของผประกอบธรกจและผใหบรการ ในกจกรรมการรกษาความมนคงปลอดภย

สารสนเทศ ซงพจารณาถงความรบผดชอบในกจกรรมดงตอไปน

▪ การปองกนโปรแกรมไมพงประสงค (Malware protection)

▪ การสำรองขอมล

▪ การควบคมดานเทคโนโลยการเขารหส

▪ การจดการชองโหวความปลอดภย (Vulnerability management) และการตดตงชดโปรแกรมแกไข

ขอบกพรอง (Patch)

▪ การจดการเหตการณผดปกต (Incident management)

▪ การทดสอบดานความปลอดภย

▪ การตรวจสอบ (Auditing)

▪ การจดเกบ การตรวจสอบ และการรกษาความปลอดภยบนทกเหตการณ

▪ การจดเกบและทำลายขอมลเมอมการยกเลกหรอสนสดสญญาใหบรการ

▪ กระบวนการการพสจนตวตนในการควบคมการเขาถง

o ชองทางตดตอและผรบผดชอบดานปญหาการใชงาน และเหตการณดานความมนคงปลอดภยสารสนเทศ

ของผใหบรการ

2.2.3 การใชงาน Cloud Computing (Operate)

เพอใหการปฏบตงานทางดานการใชบรการ Cloud Computing เปนไปตามหลกเกณฑวาดวยการจดใหมระบบเทคโนโลยสารสนเทศ ผประกอบธรกจควรจดใหมการบรหารจดการเทคโนโลยสารสนเทศอยางปลอดภย ตามหลกการทางดานการรกษาความมนคงปลอดภยเทคโนโลยสารสนเทศ 3 ประการ อนไดแก ความลบ (Confidentiality) ความถกตองของขอมล (Integrity) และความพรอมใชงาน (Availability) ทงนบทบาทหนาทในการดำเนนมาตรการรกษาความปลอดภย

12

ควรพจารณาตามบทบาทหนาทในกจกรรมดานเทคโนโลยสารสนเทศทแสดงรายละเอยดใน ตารางท 1 – ตวอยางบทบาทหนาทของผใหบรการโดยทวไป

กรณกจกรรมดานเทคโนโลยสารสนเทศอยในความรบผดชอบของผประกอบธรกจ ผประกอบธรกจมหนาทในการ จดใหมมาตรการรกษาความปลอดภยทกำหนดในหลกเกณฑวาดวยการจดใหมระบบเทคโนโลยสารสนเทศและแนวปฏบต ทเกยวของ ในกรณทกจกรรมดานเทคโนโลยสารสนเทศอยในความรบผดชอบของผใหบรการ ผประกอบธรกจมหนาทประเมนความเสยง กำกบ และตดตามใหมการดำเนนมาตรการรกษาความปลอดภยโดยผใหบรการอยางครบถวน ทงน ผประกอบธรกจควรพจารณาการควบคมเพมเตม หรอมาตรการเสรมดานความมนคงปลอดภยสำหรบการใชบรการ Cloud Computing ดงตอไปน

หวขอการควบคม มาตรการเสรมดานความปลอดภย การจดโครงสรางองคกร (Internal organization)

o มการกำหนดบทบาทหนาทความรบผดชอบดานการรกษาความมนคงปลอดภยสารสนเทศของผประกอบธรกจและผใหบรการอยางชดเจน

o มการกำหนดชองทางตดตอและผรบผดชอบดานปญหาการใชงาน และเหตการณ ดานความมนคงปลอดภยสารสนเทศของผใหบรการ

o มการจดทำรายชอหนวยงานทเกยวของในการกำกบดแล (Authorities) และชองทางตดตอ ทงในสวนของผประกอบธรกจ และผใหบรการครอบคลมถงหนวยงาน ทงภายในประเทศและตางประเทศทมการจดเกบขอมลและประมวลผลโดย ผใหบรการ

การบรหารทรพยสนสารสนเทศ (Asset management)

o มการจดทำรายการทรพยสนสารสนเทศและขอมลรายละเอยดของทรพยสนสารสนเทศทมการจดเกบและประมวลผลอยบนระบบ Cloud Computing เปนสวนหนงของรายการทรพยสน (Asset Inventory) ภายในกระบวนการบรหารจดการทรพยสนดานเทคโนโลยสารสนเทศและกระบวนการทเกยวของ

o ขอมลสารสนเทศและเอกสารทมการจดเกบบนระบบ Cloud Computing ควรไดรบการจดชนความลบขอมลและระบประเภท (Labelling) ตามนโยบาย การจดชนความลบขอมล

การควบคมการเขาถง (Access control)

o มการกำหนดการควบคมการเขาถงและสทธการใชงานและบรการทางเครอขายของระบบใหบรการ Cloud Computing ทมการใชงาน

o มการใชวธพสจนตวตนอยางเหมาะสม เชน การใชงาน multi-factor authentication สำหรบการเขาถงฟงกชนการบรหารระบบ (Administrator page)

o มการตรวจสอบวธและขนตอนการสงมอบรหสผาน (Secret authentication information) ของการใชงานระบบ Cloud Computing ของผใหบรการ อยางปลอดภย

o มการตรวจสอบความสามารถในการบรหารจดการและกำหนดสทธการเขาถงขอมลและบรการทอยบน ระบบ Cloud Computing ไดตามแนวทางและนโยบายการควบคมการเขาถง เชน การกำหนดสทธการเขาถงบรการ การกำหนดสทธการเขาถงฟงกชนตามอำนาจหนาทความรบผดชอบ การกำหนดสทธการเขาถงขอมล เปนตน

o มการตรวจสอบแนวทางการควบคมการใชงานโปรแกรมอรรถประโยชน (Utility Program) ในการเขาถงและบรหารจดการระบบ Cloud Computing (ถาม)

13

หวขอการควบคม มาตรการเสรมดานความปลอดภย การเขารหส (Cryptography)

o มการใชงานเทคโนโลยการเขารหสทสอดคลองกบความเสยงในกระบวนการรบสง และจดเกบขอมลบนระบบ Cloud Computing ทงในกรณมการดำเนนการ โดยผประกอบธรกจ หรอ ดำเนนการโดยผใหบรการ

o มการควบคมและจดการกญแจการเขารหส (Cryptographic key) ทมการใชงานในระบบ Cloud Computing ใหเปนตามนโยบายและกระบวนการบรหารจดการกญแจการเขารหส

o กรณการบรหารจดการกญแจการเขารหสดำเนนการโดยผใหบรการ ผประกอบธรกจควรรวบรวมขอมลและแนวทางการจดการกญแจการเขารหสทอยในความดแลของ ผใหบรการ ดงตอไปน ▪ ประเภทของกญแจการเขารหส ▪ กระบวนการบรหารจดการกญแจการเขารหส ไดแก การสราง การแกไข

เปลยนแปลง การจดเกบ การเขาถง การยกเลกและทำลายกญแจการเขารหส o กรณการบรหารจดการกญแจการเขารหสดำเนนการโดยผประกอบธรกจ ผใหบรการ

ไมควรไดรบสทธการเขาถง จดเกบ และบรหารจดการกญแจการเขารหส ความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and environmental security)

o ผประกอบธรกจควรสอบทานนโยบายและแนวทางการทำลาย (Dispose) และ การนำกลบมาใช (Reuse) ของอปกรณหรอทรพยากรดานสารสนเทศของผใหบรการ

การรกษาความมนคงปลอดภยในการปฏบตงาน (Operation security)

o ผประกอบธรกจควรกำหนดแนวทางการบรหารการแกไขเปลยนแปลง ทครอบคลมผลกระทบจากการแกไขเปลยนแปลงอนอาจจะเกดขนจากผใหบรการ

o ผประกอบธรกจควรมการตดตามการแกไขเปลยนแปลงใด ๆ อนอาจมการดำเนนการโดยผใหบรการ รวมถงการประเมนผลกระทบจากการเปลยนแปลงไดแก ▪ ประเภทของการแกไขเปลยนแปลง ▪ แผนการดำเนนการ และระยะเวลาการดำเนนการ ▪ รายละเอยดการแกไขเปลยนแปลง ▪ การตดตามการแจงเตอนการเรมดำเนนการและผลการดำเนนการ

o ในกรณมขอตกลงใหผใหบรการมความรบผดชอบในกจกรรมการสำรองขอมล ผประกอบธรกจควรดำเนนการสอบทานขนตอนและแนวทางการสำรองขอมล ทดำเนนการโดยผใหบรการใหมความสอดคลองกบนโยบายการสำรองขอมล ของผประกอบธรกจ

o ในกรณไมมขอตกลงใหผใหบรการดำเนนการสำรองขอมล ผประกอบธรกจควรจดใหมกระบวนการสำรองขอมลอยางเพยงพอ และสอดคลองกบนโยบายการสำรองขอมล

o ผประกอบธรกจควรกำหนดความตองการทางดานการจดเกบบนทกเหตการณ ทเกยวของกบระบบใหบรการ Cloud Computing และตรวจสอบการดำเนนการจดเกบบนทกเหตการณของผใหบรการ

14

หวขอการควบคม มาตรการเสรมดานความปลอดภย o กรณกจกรรมการบรหารจดการระบบ (Privileged Operation) อยภายใตความ

รบผดชอบของผประกอบธรกจ ผประกอบธรกจควรประเมนความเพยงพอของการจดเกบบนทกเหตการณทเกยวของกบกจกรรมการบรหารจดการระบบ และ/หรอประเมนความจำเปนในการดำเนนมาตรการเพมเตมเพอจดเกบและรกษาความปลอดภยบนทกเหตการณดงกลาว

o ผประกอบธรกจควรตรวจสอบแนวทางในการเทยบเวลา (Clock synchronization) ของผใหบรการ

o ผประกอบธรกจควรตรวจสอบและประเมนแนวทางการบรหารจดการชองโหว และการตดตงชดโปรแกรมแกไข (Patch) ของผใหบรการ

ความมนคงปลอดภยของ การสอสารขอมล (Communication security)

o ผประกอบธรกจควรประเมนและกำหนดความตองการทางดานการแบงแยกเครอขายและสภาพแวดลอมการใชงาน Cloud (Tenant isolation) ในสภาพแวดลอมทมการใชงานรวมกน (Multi-tenant) และตรวจสอบการดำเนนการของผใหบรการตามขอตกลงการใหบรการ

การจดหา พฒนา และดแลรกษาระบบสารสนเทศ (System acquisition, development and maintenance)

o ผประกอบธรกจควรดำเนนการประเมนความตองการดานการรกษาความมนคงปลอดภยสารสนเทศ ของการใชงาน Cloud Computing พรอมทงประเมนและตรวจสอบความสามารถของผใหบรการ cloud เปนสวนหนงในกจกรรมการประเมนและคดเลอกผใหบรการ (Due Diligence)

o กรณการใชงานในรปแบบ SaaS ผประกอบการควรประเมนและตรวจสอบผใหบรการดานการจดใหมขนตอนและแนวทางการพฒนาระบบอยางปลอดภย (Secure development procedure)

การบรหารจดการเหตการณทอาจสงผลกระทบตอความมนคงปลอดภยของระบบสารสนเทศ (Information security incident management)

o มการกำหนดบาทบาทและหนาทความรบผดชอบในกระบวนการบรหารจดการเหตการณอาจสงผลกระทบตอความมนคงปลอดภยของระบบสารสนเทศอยางชดเจนระหวางผประกอบธรกจและผใหบรการ ▪ ประเภทของเหตการณทจะมการรายงานไปยงผใชงาน Cloud Computing ▪ รายละเอยดขอมลและการตอบสนองตอเหตการณ ▪ กรอบระยะเวลาและขนตอนในการแจงเตอนเหตการณแกผใชบรการ ▪ รายละเอยดชองทางการตดตอ ผประสานงาน และผรบผดชอบตอเหตการณ ▪ แนวทางการแกไขปญหา

o มการกำหนดชองทางการตดตอและขนตอนในการรายงานเหตการณทอาจสงผลกระทบตอความมนคงปลอดภยของระบบสารสนเทศทตรวจพบโดยผประกอบธรกจ

o มการรายงานการตดตามและสถานการณดำเนนการแกไขปญหาทมการรายงานโดย ผประกอบธรกจ

o มการกำหนดขนตอนและเงอนไขในการรองขอหลกฐาน (Digital evidence) หรอขอมลทเกยวของอยางชดเจน

การปฏบตตามกฎเกณฑ (Compliance)

o ผประกอบธรกจควรพจารณาและประเมนขอกำหนดทางกฎหมายทผใหบรการ Cloud Computing อยภายใตการบงคบใช นอกเหนอจากขอกำหนดทางกฎหมาย ทใชบงคบผประกอบธรกจ

15

หวขอการควบคม มาตรการเสรมดานความปลอดภย o ผประกอบธรกจควรมมาตรการตรวจสอบดานสทธและเงอนไขการใชงานซอฟตแวร

(Software license) กอนดำเนนการตดตงลงบนระบบ Cloud Computing เพอปองกนความเสยงจากการละเมดเงอนไขการใชงาน

2.2.4 การตดตามและประเมนผใหบรการ (Monitor)

ผประกอบธรกจควรจดใหมการตดตาม ประเมน และทบทวนคณภาพของการใหบรการของผใหบรการ Cloud

Computing

แนวทางปฏบตทควรพจารณา

• ผประกอบธรกจควรกำหนดบทบาทหนาท และความรบผดชอบของบคลากรททำหนาทตดตาม ประเมน และทบทวน

การใหบรการอยางชดเจน เพอใหมนใจถงการปฏบตตามสญญาการใหบรการ และคณภาพของบรการ ตลอดจน

ความเสยงอนอาจจะเกดจากการใชบรการ

• ผประกอบธรกจควรจดใหมกระบวนการ ตดตาม ประเมน และทบทวนการใหบรการของผใหบรการใหเปนไปตาม

ขอกำหนดในขอตกลงระหวางผใหบรการและผใชบรการ Cloud (Cloud Service Agreement) ดงน

o ตดตามตรวจสอบประสทธภาพของการใหบรการ รวมทงมาตรการดานความมนคงปลอดภยใหสอดคลองกบ

ขอกำหนดตามสญญาตาง ๆ หรอขอตกลงในการใหบรการ ประกอบดวย

▪ รายงานการปฏบตตามระดบการใหบรการทจดเตรยมโดยบรษทผใหบรการ เชน รอยละของการ

ใหบรการอยางตอเนอง ระยะเวลาการตอบสนองและแกไขปญหาตามขอกำหนด การปรบปรงและตดตง

ชดโปรแกรมแกไขขอบกพรอง รายงานผลการสำรองขอมล เปนตน

▪ รายงานการตรวจสอบโดยผตรวจสอบทเปนอสระ โดยพจารณาถง

1. ประเภทของรายงาน เชน SOC1, SOC2, SOC3

2. ขอบเขตการตรวจสอบทครอบคลมถงมาตรการรกษาความปลอดภยตามขอตกลงการใหบรการหรอ

มาตรฐานอางองทเกยวของ

3. ขอบเขตระบบทอยภายใตการตรวจสอบทครอบคลมระบบใหบรการ

4. รายละเอยดวธการตรวจสอบและผลการตรวจสอบ

5. ระยะเวลาทครอบคลมภายใตการตรวจสอบ

6. ความสามารถและความนาเชอถอของผตรวจสอบ เปนตน

กรณรายงานการตรวจสอบโดยผตรวจสอบทเปนอสระมขอจำกด เชน ขอบเขตและวธการตรวจสอบ

ไมครอบคลมถงมาตรการรกษาความปลอดภย หรอไมแสดงรายละเอยดการควบคมและวธการตรวจสอบ

ผประกอบธรกจควรประเมนความเสยง และแนวทางการบรหารจดการความเสยงในกรณเกดความลมเหลว

ของการควบคม หรอมาตรการรกษาความปลอดภยดงกลาว

o ประเมนความเพยงพอของระบบงานของผใหบรการ (Capacity planning) อยางสมำเสมอ

▪ กรณการใชงานมลกษณะเปนการคดคาใชจายตามการใชงานจรง ผประกอบธรกจควรประเมน

ความถกตองของรายงานการใชงาน รวมถงการรบประกนตอความเพยงพอตอการใชงาน (Capacity

guarantee)

16

▪ กรณการใชงานมลกษณะการกำหนดเงอนไขการใชงานและทรพยากรทตายตว (Fixed capacity)

ผประกอบธรกจควรประเมนการใชงาน และประมาณการการใชงานทรพยากร เพอวางแผนการจดหา

และใชงานอยางเหมาะสม

o ทบทวนเงอนไขการใหบรการในกรณทมการเปลยนแปลง เพอใหมนใจไดวาการใหบรการยงคงสอดคลองกบการ

ใชงานและนโยบายดานความมนคงปลอดภยของระบบสารสนเทศของผประกอบธรกจ รวมทงกฎระเบยบ

ทเกยวของกบการทำธรกรรมดานการลงทนในตลาดทนไทยอยางสมำเสมอ เชน การถายโอนขอมลทสำคญ

ระหวางประเทศ (Cross-Border Data Transfers) แนวปฏบตทางดานการรกษาความมนคงปลอดภยสารสนเทศ

เปนตน

o ทบทวนคณสมบตของผใหบรการอยางตอเนอง เชน การตรวจสอบความมนคงในฐานะทางการเงน กระบวนการ

ปฏบตงาน และประสทธภาพการปฏบตงาน เปนตน

2.2.5 การยกเลกหรอสนสดการใชบรการ (Exit)

แนวทางปฏบตทควรพจารณา

• ผประกอบธรกจควรพจารณาความเสยงทเกยวของในการยกเลกการใชบรการระบบประมวลผลรวมกนผานเครอขาย

อยางรอบดานเพอกำหนดกลยทธและจดทำแผนการยกเลกการใชบรการอยางเหมาะสม เพอปองกนหรอลดผลกระทบ

อนอาจจะเกดขนจากความเสยง เชน ความเสยงดานการหยดชะงกของระบบใหบรการ ความเสยงดานความมนคงปลอดภย

สารสนเทศและความลบขอมล ความเสยงดานความถกตองของระบบประมวลผล เปนตน ทงน กระบวนการวางแผน

ในการยกเลกหรอการสนสดการใชบรการประกอบดวยขนตอนหลก 4 ขนตอนดงตอไปน

ขนตอนท 1 - การประเมนแนวทางการยกเลกหรอการสนสดการใชบรการ (Pre-assessment)

o ผประกอบธรกจควรประเมนความเปนไปได ความเสยง และแนวทางการยกเลกหรอสนสดการใชบรการ โดย

พจารณาถงเงอนไขและขอกำหนดทระบในสญญาการใชบรการ อนไดแก เงอนไขการยกเลกการใชบรการในกรณ

ตางๆ เชน การสนสดระยะเวลาการใชบรการ การบอกเลกการใหหรอใชบรการ การสนสดสญญาการใชบรการ

เนองจากการละเมดเงอนไขขอตกลง เปนตน

o ผประกอบธรกจควรประเมนเงอนไขทระบในสญญาการใชบรการทเกยวของในกระบวนการยกเลกการใชบรการ

ทสำคญ ไดแก บทบาทหนาทความรบผดชอบระหวางผใชบรการและผใหบรการในกระบวนการยกเลกหรอ

การสนสดการใชบรการ ความเปนเจาของขอมล เงอนไข รปแบบ และชองทางการสงมอบขอมล ระยะเวลาในการ

เกบรกษาขอมล สทธและลขสทธทเกยวของ เปนตน

o ผประกอบธรกจควรประเมนถงเงอนไขสำคญ ภาระผกพนและหนาทของผใหบรการทตองคงอยแมสนสดสญญา

การใชบรการ เชน หนาทความรบผดชอบของผใหบรการตอการรกษาความลบขอมล สทธการใชและลขสทธ

ทเกยวของ เปนตน

o ผประกอบธรกจควรดำเนนการประเมนความเปนไปไดของการยกเลกหรอการสนสดการใชบรการ ความเสยง

ทเกยวของดานความตอเนองในการใหบรการจากการยกเลกสญญาการใชระบบ Cloud Computing

บรษทควรกำหนดกลยทธ แนวทางบรหารความเสยง และจดทำแผนและแนวทางการยกเลกการใชบรการ

17

ขนตอนท 2 - การวางกลยทธและแผนการยกเลกการใชบรการ (Exit strategy/Plan)

o ในกรณการเปลยนผใหบรการ ผประกอบธรกจควรดำเนนการประเมนและคดเลอกผใหบรการรายใหม

อยางเหมาะสมตามขอ 2.2.1

o ผประกอบธรกจควรประเมนความเชอมโยงและผลกระทบ ทงความเชอมโยงและผลกระทบทางเทคนค

(Technical Dependency) และความเชอมโยงและผลกระทบของบรการและระบบใหบรการ (Service

Dependency) ของระบบและการประมวลผลรวมกนผานเครอขาย

o ผประกอบธรกจควรจดทำแผนการยกเลกหรอการสนสดการใชบรการในรายละเอยด ประกอบไปดวยขนตอน

สำคญ ระยะเวลาการดำเนนการ บคลากรผรบผดชอบและบทบาทหนาทความรบผดชอบ ความเชอมโยงและ

ผลกระทบของกจกรรมสำคญทเกยวเนองกน (Task Dependency)

o ผประกอบธรกจควรดำเนนการทดสอบแผนการยกเลกหรอการสนสดการใชบรการ เพอใหมนใจถงความครบถวน

สมบรณของขนตอนการดำเนนการ และปองกนความเสยงและผลกระทบอนอาจจะเกดขนจากการยกเลกการใช

บรการ ทงน การทดสอบดงกลาวควรครอบคลมถงการทดสอบระบบงานทจดทำขนเพอทดแทนและรองรบการ

ประมวลผล (Functional test) รวมถงการทดสอบดานความครบถวนถกตองของกระบวนการโอนยายขอมล

(Data migration/conversion test)

o ผประกอบธรกจควรประเมนความเปนไปไดของแผนการยกเลกหรอการสนสดการใชบรการ โดยพจารณาจากผล

การทดสอบแผนการยกเลกหรอการสนสดการใชบรการ พรอมทงจดทำเงอนไขการตดสนใจ (Decision criteria)

และอำนาจการตดสนใจ ในขนตอนและกระบวนการยกเลกการใชบรการ

o ผประกอบธรกจควรจดเตรยมแผนสำรองในการรองรบ กรณเกดความลมเหลวในการดำเนนงานตามแผนการ

ยกเลกหรอการสนสดการใชบรการ เพอใหผประกอบธรกจยงคงความสามารถในการใหบรการไดอยางตอเนอง

ขนตอนท 3 - การยกเลกการใชบรการ (Execution)

o การดำเนนการตามแผนการยกเลกหรอการสนสดการใชบรการควรไดรบการอนมตโดยผมอำนาจ

o ผประกอบธรกจควรสอสารแผนและขนตอนการปฏบตตามแผนการยกเลกหรอการสนสดการใชบรการใน

รายละเอยดไปยงผทเกยวของเพอซกซอมทำความเขาใจ รวมถงการสอสารไปยงผใชงานและ/หรอผทอาจไดรบ

ผลกระทบจากการยกเลกหรอการสนสดการใชบรการ

o ผประกอบธรกจควรมขนตอนการตรวจสอบการลบขอมลและโปรแกรมทจดเกบอยบนระบบประมวลผลรวมกน

บนเครอขาย เพอใหมนใจถงการรกษาความลบและความปลอดภยขอมลและโปรแกรมของผประกอบธรกจ

ขนตอนท 4 - การตดตามผลการยกเลกการใชบรการ (Follow-up)

o ผประกอบธรกจควรมการบรหารจดการผใหบรการระบบประมวลผลรวมกนผานเครอขาย แมมการยกเลกหรอ

สนสดการใชบรการ เพอใหมนใจถงการปฏบตตามภาระหนาทความรบผดชอบทอาจคงอยแมสญญาการใชบรการ

สนสดลง เชน ความรบผดชอบในการบรหารจดการความลบขอมลทมการจดเกบในระยะเวลาทกำหนด

การแจงเตอนและการสอสารเมอมเหตการณละเมดหรอการรวไหลของขอมลความลบ เปนตน

o ผประกอบธรกจควรประเมนความจำเปนในการจดทำแผนการยกเลกหรอสนสดการใชบรการสำหรบผใหบรการ

รายใหมไวลวงหนา โดยอาศยประสบการณจากการดำเนนการตามแผนการยกเลกการใชบรการ