1.1 ประเมินกิจกรรมที่บริษัทให้ความยินยอม ให้บริษัทประกันภัยที่ได้รับใบอนุญาต ดำเนินการโดยใช้วิธีการทางอิเล็กทรอนิกส์

​

• การเสนอขายกรมธรรม์ประกันภัยผ่านทางอิเล็กทรอนิกส์ (Online)

• การใช้วิธีการทางอิเล็กทรอนิกส์ประกอบการเสนอขายกรมธรรม์ประกันภัย

• การออกกรมธรรม์ประกันภัย

• การชดใช้เงินตามสัญญาประกันภัย
   

1.2 ประเมินกิจกรรมที่บริษัท นายหน้าหรือธนาคาร ใช้บริการระบบสารสนเทศของผู้ให้บริการ ซึ่งเป็นบุคคลภายนอก สำหรับ

​

• การให้บริการเสนอขายกรมธรรม์ประกันภัยผ่านทางอิเล็กทรอนิกส์

• การใช้วิธีการทางอิเล็กทรอนิกส์ประกอบการเสนอขายกรมธรรม์ประกันภัย

• การออกกรมธรรม์ประกันภัย หรือการชดใช้เงินตามสัญญาประกันชีวิต ตามประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัยว่าด้วยหลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัย และ การชดใช้เงินตามสัญญาประกันชีวิต โดยใช้วิธีการทางอิเล็กทรอนิกส์
   

1.3 ประเมินสิ่งที่มีหรือดำเนินการอยู่ในปัจจุบัน

​

นโยบายความมั่นคงปลอดภัยของระบบสารสนเทศ

• แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ  หรือ

• มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ

• นโยบายการคุ้มครองข้อมูลส่วนบุคคล/นโยบายความเป็นส่วนตัว (สำหรับการให้บริการเว็บไซต์/บริการข้อมูลกรมธรรม์ฯออนไลน์)

• แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล  หรือแนวปฏิบัติด้านการบริหารจัดการความเป็นส่วนตัวและข้อมูลส่วนบุคคล

• มาตรฐานโครงสร้างข้อมูล มาตรฐานการแลกเปลี่ยนข้อมูล หรือ การเปิดเผยข้อมูล
   

1.4 ประเมินสิ่งที่มีหรือดำเนินการอยู่ในปัจจุบัน

​

• เอกสารแสดงกิจกรรมและรายละเอียดที่ต้องการใช้วิธีการทางอิเล็กทรอนิกส์

• แผนผัง (Flow chart) แสดงกิจกรรมที่ใช้วิธีการทางอิเล็กทรอนิกส์

• เอกสารแสดงระบบสารสนเทศและวิธีการทางอิเล็กทรอนิกส์ที่ใช้เพื่อรองรับกิจกรรมที่ใช้วิธีการทางอิเล็กทรอนิกส์

• เอกสารแนวทางการประเมินมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัดตามหลักเกณฑ์ที่กำหนด

• แนวนโยบายและแนวปฏิบัติด้านการบริหารจัดการความเป็นส่วนตัวและข้อมูลส่วนบุคคล

• หนังสือรับรองการตรวจรับรองการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ โดยผู้ตรวจสอบอิสระตามหนังสือรับรองตาม แบบ อว. ๓

• หนังสือรับรองการตรวจรับรองการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ โดยผู้ตรวจสอบอิสระของบริษัทในระดับเคร่งครัดตามหนังสือรับรองตาม แบบ อว. ๓

• หนังสือยินยอมและรับรองระบบสารสนเทศของบริษัทว่ามีมาตรฐานความมั่นคงและปลอดภัยของบริษัทในระดับเคร่งครัดและลงนามโดยกรรมการผู้มีอำนาจลงนามหรือผู้รับมอบอำนาจของบริษัท

2.1  พิจารณาแนวทางการปรับปรุง (เอกสารแสดงกิจกรรมที่ใช้วิธีการทางอิเล็กทรอนิกส์)

​

• เอกสารแสดงกิจกรรมและรายละเอียดที่ต้องการใช้วิธีการทางอิเล็กทรอนิกส์

• แผนผัง (Flow chart) แสดงกิจกรรมที่ใช้วิธีการทางอิเล็กทรอนิกส์

• เอกสารแสดงระบบสารสนเทศและวิธีการทางอิเล็กทรอนิกส์ที่ใช้เพื่อรองรับกิจกรรมที่ใช้วิธีการทางอิเล็กทรอนิกส์

• สัญญาใช้บริการระบบสารสนเทศระหว่างผู้ให้บริการ ​
   

2.2  พิจารณาแนวทางการปรับปรุง (นโยบาย แนวปฏิบัติ มาตรฐานการรักษาความมั่นคงปลอดภัยฯ)

​

• นโยบายความมั่นคงปลอดภัยของระบบสารสนเทศ

• แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ  หรือ

• มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (ตามวิธีการแบบปลอดภัยในระดับเคร่งครัด)

• นโยบายการคุ้มครองข้อมูลส่วนบุคคล/นโยบายความเป็นส่วนตัว (สำหรับการให้บริการเว็บไซต์/บริการข้อมูลกรมธรรม์ฯออนไลน์)

• แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล  หรือ

• แนวปฏิบัติด้านการบริหารจัดการความเป็นส่วนตัวและข้อมูลส่วนบุคคล

• มาตรฐานโครงสร้างข้อมูล มาตรฐานการแลกเปลี่ยนข้อมูล หรือ การเปิดเผยข้อมูล

• ระบบการประเมินความเสี่ยง การบริหารความเสี่ยง การควบคุมภายใน

• การรักษาความปลอดภัย และและแผนรองรับกรณีที่บุคคลภายนอกไม่สามารถให้บริการได้

3.1  จัดให้มีการตรวจสอบรับรองระบบสารสนเทศโดยผู้ตรวจสอบอิสระ

​

• ผู้ตรวจสอบอิสระที่ได้รับประกาศนียบัตรหรือใบอนุญาตตามหลักเกณฑ์ที่กำหนด

• CISA, CISM CISSP, ISO 27001 (ISMS) สำหรับการตรวจรับรองตามแนวทางการประเมินมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย

• ผู้ตรวจสอบอิสระที่เป็นหน่วยงานรับรองระบบสารสนเทศ (Certified Body)

• กรณีการตรวจรับรองตามแนวทางการประเมินมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย

• กรณีที่บริษัทจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และยื่นตรวจประเมินรับรองตามมาตรฐาน ISO/IEC 27001:2013 (ISMS)