บริการที่ปรึกษาและตรวจสอบ E-Policy
บริการที่ปรึกษาและตรวจสอบ E-Policy
บริการที่ปรึกษาและตรวจสอบ E-Policy
AlphaSec มีขั้นตอนการให้คำปรึกษาและตรวจสอบ E-Policy เพื่อให้องค์กรสามารถปฏิบัติตามประกาศ โดยที่ปรึกษาและผู้ตรวจสอบที่ได้รับวุฒิบัตร CISA, CISSP, CISM ดังต่อไปนี้
1.1 ประเมินกิจกรรมที่บริษัทให้ความยินยอม ให้บริษัทประกันภัยที่ได้รับใบอนุญาต ดำเนินการโดยใช้วิธีการทางอิเล็กทรอนิกส์
-
การเสนอขายกรมธรรม์ประกันภัยผ่านทางอิเล็กทรอนิกส์ (Online)
-
การใช้วิธีการทางอิเล็กทรอนิกส์ประกอบการเสนอขายกรมธรรม์ประกันภัย
-
การออกกรมธรรม์ประกันภัย
-
การชดใช้เงินตามสัญญาประกันภัย
1.2 ประเมินกิจกรรมที่บริษัท นายหน้าหรือธนาคาร ใช้บริการระบบสารสนเทศของผู้ให้บริการ ซึ่งเป็นบุคคลภายนอก สำหรับ
-
การให้บริการเสนอขายกรมธรรม์ประกันภัยผ่านทางอิเล็กทรอนิกส์
-
การใช้วิธีการทางอิเล็กทรอนิกส์ประกอบการเสนอขายกรมธรรม์ประกันภัย
-
การออกกรมธรรม์ประกันภัย หรือการชดใช้เงินตามสัญญาประกันชีวิต ตามประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัยว่าด้วยหลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัย และ การชดใช้เงินตามสัญญาประกันชีวิต โดยใช้วิธีการทางอิเล็กทรอนิกส์
1.3 ประเมินสิ่งที่มีหรือดำเนินการอยู่ในปัจจุบัน
นโยบายความมั่นคงปลอดภัยของระบบสารสนเทศ
-
แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ หรือ
-
มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ
-
นโยบายการคุ้มครองข้อมูลส่วนบุคคล/นโยบายความเป็นส่วนตัว (สำหรับการให้บริการเว็บไซต์/บริการข้อมูลกรมธรรม์ฯออนไลน์)
-
แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล หรือแนวปฏิบัติด้านการบริหารจัดการความเป็นส่วนตัวและข้อมูลส่วนบุคคล
-
มาตรฐานโครงสร้างข้อมูล มาตรฐานการแลกเปลี่ยนข้อมูล หรือ การเปิดเผยข้อมูล
1.4 ประเมินสิ่งที่มีหรือดำเนินการอยู่ในปัจจุบัน
-
เอกสารแสดงกิจกรรมและรายละเอียดที่ต้องการใช้วิธีการทางอิเล็กทรอนิกส์
-
แผนผัง (Flow chart) แสดงกิจกรรมที่ใช้วิธีการทางอิเล็กทรอนิกส์
-
เอกสารแสดงระบบสารสนเทศและวิธีการทางอิเล็กทรอนิกส์ที่ใช้เพื่อรองรับกิจกรรมที่ใช้วิธีการทางอิเล็กทรอนิกส์
-
เอกสารแนวทางการประเมินมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัดตามหลักเกณฑ์ที่กำหนด
-
แนวนโยบายและแนวปฏิบัติด้านการบริหารจัดการความเป็นส่วนตัวและข้อมูลส่วนบุคคล
-
หนังสือรับรองการตรวจรับรองการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ โดยผู้ตรวจสอบอิสระตามหนังสือรับรองตาม แบบ อว. ๓
-
หนังสือรับรองการตรวจรับรองการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ โดยผู้ตรวจสอบอิสระของบริษัทในระดับเคร่งครัดตามหนังสือรับรองตาม แบบ อว. ๓
-
หนังสือยินยอมและรับรองระบบสารสนเทศของบริษัทว่ามีมาตรฐานความมั่นคงและปลอดภัยของบริษัทในระดับเคร่งครัดและลงนามโดยกรรมการผู้มีอำนาจลงนามหรือผู้รับมอบอำนาจของบริษัท
1. Assessment
2.1 พิจารณาแนวทางการปรับปรุง (เอกสารแสดงกิจกรรมที่ใช้วิธีการทางอิเล็กทรอนิกส์)
-
เอกสารแสดงกิจกรรมและรายละเอียดที่ต้องการใช้วิธีการทางอิเล็กทรอนิกส์
-
แผนผัง (Flow chart) แสดงกิจกรรมที่ใช้วิธีการทางอิเล็กทรอนิกส์
-
เอกสารแสดงระบบสารสนเทศและวิธีการทางอิเล็กทรอนิกส์ที่ใช้เพื่อรองรับกิจกรรมที่ใช้วิธีการทางอิเล็กทรอนิกส์
-
สัญญาใช้บริการระบบสารสนเทศระหว่างผู้ให้บริการ
2.2 พิจารณาแนวทางการปรับปรุง (นโยบาย แนวปฏิบัติ มาตรฐานการรักษาความมั่นคงปลอดภัยฯ)
-
นโยบายความมั่นคงปลอดภัยของระบบสารสนเทศ
-
แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ หรือ
-
มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (ตามวิธีการแบบปลอดภัยในระดับเคร่งครัด)
-
นโยบายการคุ้มครองข้อมูลส่วนบุคคล/นโยบายความเป็นส่วนตัว (สำหรับการให้บริการเว็บไซต์/บริการข้อมูลกรมธรรม์ฯออนไลน์)
-
แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล หรือ
-
แนวปฏิบัติด้านการบริหารจัดการความเป็นส่วนตัวและข้อมูลส่วนบุคคล
-
มาตรฐานโครงสร้างข้อมูล มาตรฐานการแลกเปลี่ยนข้อมูล หรือ การเปิดเผยข้อมูล
-
ระบบการประเมินความเสี่ยง การบริหารความเสี่ยง การควบคุมภายใน
-
การรักษาความปลอดภัย และและแผนรองรับกรณีที่บุคคลภายนอกไม่สามารถให้บริการได้
2. Implementation Roadmap
3.1 จัดให้มีการตรวจสอบรับรองระบบสารสนเทศโดยผู้ตรวจสอบอิสระ
-
ผู้ตรวจสอบอิสระที่ได้รับประกาศนียบัตรหรือใบอนุญาตตามหลักเกณฑ์ที่กำหนด
-
CISA, CISM CISSP, ISO 27001 (ISMS) สำหรับการตรวจรับรองตามแนวทางการประเมินมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย
-
ผู้ตรวจสอบอิสระที่เป็นหน่วยงานรับรองระบบสารสนเทศ (Certified Body)
-
กรณีการตรวจรับรองตามแนวทางการประเมินมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย
-
กรณีที่บริษัทจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และยื่นตรวจประเมินรับรองตามมาตรฐาน ISO/IEC 27001:2013 (ISMS)