top of page

บริการที่ปรึกษาและตรวจสอบ E-Policy

บริการที่ปรึกษาและตรวจสอบ E-Policy

E-Policy Service

บริการที่ปรึกษาและตรวจสอบ E-Policy

บริการที่ปรึกษาและตรวจสอบ E-Policy

AlphaSec มีขั้นตอนการให้คำปรึกษาและตรวจสอบ E-Policy เพื่อให้องค์กรสามารถปฏิบัติตามประกาศ โดยที่ปรึกษาและผู้ตรวจสอบที่ได้รับวุฒิบัตร CISA, CISSP, CISM ดังต่อไปนี้

1.1 ประเมินกิจกรรมที่บริษัทให้ความยินยอม ให้บริษัทประกันภัยที่ได้รับใบอนุญาต ดำเนินการโดยใช้วิธีการทางอิเล็กทรอนิกส์

  • การเสนอขายกรมธรรม์ประกันภัยผ่านทางอิเล็กทรอนิกส์ (Online)

  • การใช้วิธีการทางอิเล็กทรอนิกส์ประกอบการเสนอขายกรมธรรม์ประกันภัย

  • การออกกรมธรรม์ประกันภัย

  • การชดใช้เงินตามสัญญาประกันภัย
     

1.2 ประเมินกิจกรรมที่บริษัท นายหน้าหรือธนาคาร ใช้บริการระบบสารสนเทศของผู้ให้บริการ ซึ่งเป็นบุคคลภายนอก สำหรับ

  • การให้บริการเสนอขายกรมธรรม์ประกันภัยผ่านทางอิเล็กทรอนิกส์

  • การใช้วิธีการทางอิเล็กทรอนิกส์ประกอบการเสนอขายกรมธรรม์ประกันภัย

  • การออกกรมธรรม์ประกันภัย หรือการชดใช้เงินตามสัญญาประกันชีวิต ตามประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัยว่าด้วยหลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัย และ การชดใช้เงินตามสัญญาประกันชีวิต โดยใช้วิธีการทางอิเล็กทรอนิกส์
     

1.3 ประเมินสิ่งที่มีหรือดำเนินการอยู่ในปัจจุบัน

นโยบายความมั่นคงปลอดภัยของระบบสารสนเทศ

  • แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ  หรือ

  • มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ

  • นโยบายการคุ้มครองข้อมูลส่วนบุคคล/นโยบายความเป็นส่วนตัว (สำหรับการให้บริการเว็บไซต์/บริการข้อมูลกรมธรรม์ฯออนไลน์)

  • แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล  หรือแนวปฏิบัติด้านการบริหารจัดการความเป็นส่วนตัวและข้อมูลส่วนบุคคล

  • มาตรฐานโครงสร้างข้อมูล มาตรฐานการแลกเปลี่ยนข้อมูล หรือ การเปิดเผยข้อมูล
     

1.4 ประเมินสิ่งที่มีหรือดำเนินการอยู่ในปัจจุบัน

  • เอกสารแสดงกิจกรรมและรายละเอียดที่ต้องการใช้วิธีการทางอิเล็กทรอนิกส์

  • แผนผัง (Flow chart) แสดงกิจกรรมที่ใช้วิธีการทางอิเล็กทรอนิกส์

  • เอกสารแสดงระบบสารสนเทศและวิธีการทางอิเล็กทรอนิกส์ที่ใช้เพื่อรองรับกิจกรรมที่ใช้วิธีการทางอิเล็กทรอนิกส์

  • เอกสารแนวทางการประเมินมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัดตามหลักเกณฑ์ที่กำหนด

  • แนวนโยบายและแนวปฏิบัติด้านการบริหารจัดการความเป็นส่วนตัวและข้อมูลส่วนบุคคล

  • หนังสือรับรองการตรวจรับรองการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ โดยผู้ตรวจสอบอิสระตามหนังสือรับรองตาม แบบ อว. ๓

  • หนังสือรับรองการตรวจรับรองการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ โดยผู้ตรวจสอบอิสระของบริษัทในระดับเคร่งครัดตามหนังสือรับรองตาม แบบ อว. ๓

  • หนังสือยินยอมและรับรองระบบสารสนเทศของบริษัทว่ามีมาตรฐานความมั่นคงและปลอดภัยของบริษัทในระดับเคร่งครัดและลงนามโดยกรรมการผู้มีอำนาจลงนามหรือผู้รับมอบอำนาจของบริษัท

1. Assessment

2.1  พิจารณาแนวทางการปรับปรุง (เอกสารแสดงกิจกรรมที่ใช้วิธีการทางอิเล็กทรอนิกส์)

  • เอกสารแสดงกิจกรรมและรายละเอียดที่ต้องการใช้วิธีการทางอิเล็กทรอนิกส์

  • แผนผัง (Flow chart) แสดงกิจกรรมที่ใช้วิธีการทางอิเล็กทรอนิกส์

  • เอกสารแสดงระบบสารสนเทศและวิธีการทางอิเล็กทรอนิกส์ที่ใช้เพื่อรองรับกิจกรรมที่ใช้วิธีการทางอิเล็กทรอนิกส์

  • สัญญาใช้บริการระบบสารสนเทศระหว่างผู้ให้บริการ ​
     

2.2  พิจารณาแนวทางการปรับปรุง (นโยบาย แนวปฏิบัติ มาตรฐานการรักษาความมั่นคงปลอดภัยฯ)

  • นโยบายความมั่นคงปลอดภัยของระบบสารสนเทศ

  • แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ  หรือ

  • มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (ตามวิธีการแบบปลอดภัยในระดับเคร่งครัด)

  • นโยบายการคุ้มครองข้อมูลส่วนบุคคล/นโยบายความเป็นส่วนตัว (สำหรับการให้บริการเว็บไซต์/บริการข้อมูลกรมธรรม์ฯออนไลน์)

  • แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล  หรือ

  • แนวปฏิบัติด้านการบริหารจัดการความเป็นส่วนตัวและข้อมูลส่วนบุคคล

  • มาตรฐานโครงสร้างข้อมูล มาตรฐานการแลกเปลี่ยนข้อมูล หรือ การเปิดเผยข้อมูล

  • ระบบการประเมินความเสี่ยง การบริหารความเสี่ยง การควบคุมภายใน

  • การรักษาความปลอดภัย และและแผนรองรับกรณีที่บุคคลภายนอกไม่สามารถให้บริการได้

2. Implementation Roadmap

3.1  จัดให้มีการตรวจสอบรับรองระบบสารสนเทศโดยผู้ตรวจสอบอิสระ

  • ผู้ตรวจสอบอิสระที่ได้รับประกาศนียบัตรหรือใบอนุญาตตามหลักเกณฑ์ที่กำหนด

  • CISA, CISM CISSP, ISO 27001 (ISMS) สำหรับการตรวจรับรองตามแนวทางการประเมินมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย

  • ผู้ตรวจสอบอิสระที่เป็นหน่วยงานรับรองระบบสารสนเทศ (Certified Body)

  • กรณีการตรวจรับรองตามแนวทางการประเมินมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย

  • กรณีที่บริษัทจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และยื่นตรวจประเมินรับรองตามมาตรฐาน ISO/IEC 27001:2013 (ISMS)

3. Audit / Certification
bottom of page