บริการที่ปรึกษาตามประกาศ คปภ.
ประกาศ คปภ. Cybersecurity
บริการที่ปรึกษาตามประกาศของ คปภ. ปฏิบัติตามประกาศได้อย่างมั่นใจ โดยที่ปรึกษามืออาชีพ
ตามประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย เรื่อง หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันวินาศภัยและประกันชีวิต พ.ศ. ๒๕๖๓ บริษัทต้องมีหลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัท ดังต่อไปนี้
01
การกำกับดูแลด้านเทคโนโลยีสารสนเทศ (IT governance)
-
บทบาทหน้าที่และความรับผิดชอบของคณะกรรมการบริษัท
-
โครงสร้างการกำกับดูแล (Three Lines of Defense)
-
นโยบายที่เกี่ยวข้องกับการกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Management Policy, IT Security Policy)
02
การบริหารโครงการด้านเทคโนโลยีสารสนเทศ
(IT project management)
-
การประเมินความเสี่ยงและการจัดลำดับความสำคัญของโครงการ
-
กรอบการบริหารจัดการโครงการด้านเทคโนโลยีสารสนเทศ
-
การกำกับดูแลโครงการด้านเทคโนโลยีสารสนเทศ
03
การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ
(IT security)
-
IT Security Policy
-
IT Security Organization
-
Human Resource Security
-
Asset Management
-
Access Control
-
Cryptography
-
Physical and Environmental Security
04
การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ
(IT risk management)
-
1st & 2nd Line of Defense (Risk Owners & Risk Functions)
-
IT Risk Management Framework, Process, Criteria
-
Risk Assessment (Identification, Analysis, Evaluation)
-
Risk Treatment, Risk Monitoring & Review, Risk Reporting
05
การปฏิบัติตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (IT compliance)
-
2nd Line of Defense
-
กำกับดูแลการปฏิบัติตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (IT Compliance)
06
การตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT audit)
-
3rd Line of Defense
-
บทบาทหน้าที่ แผนงาน ขอบเขตในการตรวจสอบ
-
การปฏิบัติงานตรวจสอบด้านเทคโนโลยีสารสนเทศ
-
การจ้างผู้เชี่ยวชาญภายนอก การรายงานผลการตรวจสอบ
-
การติดตามผลการตรวจสอบและรายงานประเด็นสำคัญ
07
การกำกับดูแลและการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไชเบอร์ (Cybersecurity)
-
Cybersecurity Framework
-
Identification, Protection, Detection, Response, Recovery
-
การประเมินความเสี่ยงด้านไซเบอร์
-
การประเมินสถานะดำเนินการด้านภัยคุกคามไซเบอร์
-
การเฝ้าระวังภัยคุกคามไซเบอร์ และดำเนินการตาม พ.ร.บ. Cyber
08
การรายงานหตุการณ์ภัยคุกคามทางไชเบอร์หรือภัยคุกคามที่มีต่อระบบเทคโนโลยีสารสนเทศ (Reporting)
-
บริษัทประกันภัยต้องรายงานต่อสำนักงาน ในกรณีเทคโนโลยีสารสนเทศที่สำคัญของบริษัทถูกโจมตีหรือถูกขู่โจมตีจากภัยคุกคามทางไซเบอร์ เป็นปัญหาหรือเหตุการณ์ที่บริษัทต้องรายงานต่อผู้บริหารสูงสุดของบริษัททราบ