สำ�นกง�นคณะกรรมก�รกำ�กบและสงเสรมก�รประกอบธรกจประกนภย

(สำ�นกง�น คปภ.) ไดดำ�เนนก�รออกแนวปฏบตสำ�หรบรกษ�คว�มปลอดภยและควบคมคว�มเสยงของระบบเทคโนโลยส�รสนเทศ (Information Technology Risk Management) และคว�มเสยงด�นภยคกค�มท�งไซเบอร (Cybersecurity) ตงแตป 2560 โดยมงหวงใหบรษทประกนภยมก�รกำ�กบดแลเรองคว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศ และเตรยมคว�มพรอมในก�รรบมอกบคว�มเสยงด�นภยคกค�มท�งไซเบอร และส�ม�รถใชเปนแนวท�งในก�รกำ�หนดเรองก�รบรห�รจดก�รคว�มเสยงด�นเทคโนโลยส�รสนเทศและคว�มเสยงด�นภยคกค�มท�งไซเบอรอย�งเปนระบบ โดยกรอบแนวท�งปฏบตฉบบน ครอบคลมด�นก�รกำ�กบดแลทดด�นเทคโนโลยส�รสนเทศ (IT Governance) แนวท�งควบคมคว�มเสยงของระบบเทคโนโลยส�รสนเทศของบรษทประกนภย และก�รกำ�กบดแลทดและก�รบรห�รจดก�รคว�มเสยงด�นภยคกค�มท�งไซเบอร (Cybersecurity Governance & Risk Management)

สำ�นกง�น คปภ. ตระหนกถงคว�มสำ�คญและคว�มจำ�เปนในก�รยกระดบก�รรกษ�คว�มมนคงปลอดภยของระบบส�รสนเทศ และเตรยมคว�มพรอมในก�รรบมอกบคว�มเสยงด�นภยคกค�มท�งไซเบอร เพอใหบรษทมก�รกำ�กบดแลและก�รบรห�รจดก�รอย�งเหม�ะสมและเพยงพอต�มลกษณะ คว�มซบซอน และระดบคว�มเสยงของรปแบบในก�รดำ�เนนธรกจของบรษทในปจจบน สำ�นกง�นจงไดพจ�รณ�ดำ�เนนก�รทบทวนแนวปฏบตสำ�หรบรกษ�คว�มปลอดภยและควบคมคว�มเสยงของระบบเทคโนโลยส�รสนเทศ (Information Technology Risk Management) และคว�มเสยงด�นภยคกค�มท�งไซเบอร (Cybersecurity)

แบบสอบถ�มเรอง ก�รกำ�กบดแลและก�รบรห�รจดก�รเรองคว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศและคว�มมนคงปลอดภยท�งไซเบอร

ของบรษทประกนภย

แบบสำ�รวจฉบบน จดทำ�ขนโดยมวตถประสงคหลกเพอใชเปนขอมลในก�รยกระดบ พฒน�และกำ�หนดหลกเกณฑในก�รกำ�กบดแลด�นก�รรกษ�คว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศ และเตรยมคว�มพรอมในก�รรบมอกบคว�มเสยงด�นภยคกค�มท�งไซเบอรทสอดคลองกบม�ตรฐ�นส�กลทเปนทยอมรบ เชน ม�ตรฐ�น ISO27001 และ กรอบก�รรกษ�คว�มมนคงปลอดภยไซเบอร NIST เปนตน ทงน ขอมลทท�นตอบม�ในแบบสำ�รวจฉบบน จะนำ�ม�เปนสวนสำ�คญของกลไกในก�รพจ�รณ�กำ�หนดแนวท�งและหลกเกณฑในก�รกำ�กบเรอง Information Technology Risk Management และ Cybersecurity อย�งเปนนยสำ�คญ เพอใหกฎระเบยบทสำ�นกง�น คปภ. จะดำ�เนนก�รพฒน�ตอไปนนสอดคลองกบบรบทในก�รดำ�เนนธรกจในปจจบน และส�ม�รถนำ�ไปปรบใชใหเกดก�รปฏบตอย�งเหม�ะสมเพอสร�งคว�มมนคงปลอดภยและคว�มเชอมนใหผเอ�ประกนภยและประช�ชนตอไปอย�งยงยน

สำ�นกง�น คปภ. จงขอคว�มรวมมอท�นในก�รใหขอมลตอบแบบสำ�รวจภ�ยในวนท ทงน ขอมลดงกล�วจะถกเกบรกษ�เปนคว�มลบ และจะใชเพอประกอบก�รพจ�รณ�กำ�หนดหลกเกณฑในก�รกำ�กบเรอง ก�รรกษ�คว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศ และเตรยมคว�มพรอมในก�รรบมอกบคว�มเสยงด�นภยคกค�มท�งไซเบอรของบรษทประกนภยเท�นน

** สำ�นกง�น คปภ. ขอขอบคณในคว�มรวมมอก�รใหขอมลของท�นลวงหน� ณ โอก�สน **

ขอมลผตอบแบบสอบถ�ม ( ตอบทกขอ )

บรษท

ชอผตอบแบบสอบถ�ม

ตำ�แหนง หนวยง�น

โทรศพท ตอ

E-mail address:

คำ�อธบ�ย

แบบสอบถ�มฉบบน ประกอบดวย 4 สวน ดงน

สวนท 1 : โครงสร�งในก�รกำ�กบดแล และลกษณะก�รประกอบธรกจ / ชองท�งก�รใหบรก�ร

สวนท 2 : ก�รกำ�กบดแลด�นคว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศและภยคกค�มท�งไซเบอร และก�รบรห�รจดก�รและม�ตรก�รในก�รควบคมคว�มเสยง

สวนท 3 : ก�รเตรยมคว�มพรอมในก�รรบมอภยคกค�มท�งไซเบอร

สวนท 4 : ก�รคมครองขอมลสวนบคคลของผเอ�ประกนภย

1. โครงสร�งในก�รกำ�กบดแล (จำ�นวน: ใหกรอกเปนตวเลขเท�นน)

1.1 บรษทมกรรมก�รทมคว�มรหรอประสบก�รณด�นเทคโนโลยส�รสนเทศ จำ�นวน คน

1.2 บรษทมก�รแตงตงคณะกรรมก�รชดยอย (Sub - Committee) ทำ�หน�ทกำ�กบดแลและรบผดชอบเรอง IT security และ Cybersecurity หรอไม

ม โดย 1. ด�น IT security ( ชอคณะกรรมก�รชดยอย )

2. ด�น Cybersecurity ( ชอคณะกรรมก�รชดยอย )

ไมม แตบรษทมก�รกำ�กบดแลโดย ( โปรดระบว�บรษทใชคณะ กรรมก�รชดใดในก�รกำ�กบดแล )

ไมม เนองจ�ก ( โปรดระบเหตผล ) 1.3 บรษทมก�รแตงตงผดำ�รงตำ�แหนงดงตอไปนหรอไม

ตำ�แหนง ม ไมม1) ผบรห�รเทคโนโลยส�รสนเทศระดบสง(Chief Information Officer : CIO)2) ผบรห�รด�นคว�มมนคงปลอดภยส�รสนเทศ

สวนท 1 : โครงสร�งในก�รกำ�กบดแล และลกษณะก�รประกอบธรกจ / ชองท�งก�รใหบรก�ร

(Chief Information Security Officer : CISO)

1.4 กรรมก�รบรษทของท�นมอบหม�ยใครเปนผมทำ�หน�ทกำ�กบดแลเรองก�รรกษ�คว�มมนคงปลอดภยของ ระบบเทคโนโลยส�รสนเทศของบรษท (ตอบไดเพยงขอเดยว)

CEO CIO CRO Senior Management IT manager อนๆ (โปรดระบ)

1.5 จำ�นวนพนกง�นประจำ�ของทงบรษทมจำ�นวน (ไมรวมพนกง�น Outsource/IT Outsource) คน1.6 บรษทมพนกง�นในส�ยง�นด�น IT รวมทงหมด คน 1.7 พนกง�นทรบผดชอบง�นด�นคว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศส�รสนเทศ และ/หรอเฝ�ระวงเหตก�รณด�นคว�มมนคงปลอดภยท�งไซเบอรหรอไม

ม โดยเปนพนกง�นของบรษทเองจำ�นวน คน

ม โดยเปนพนกง�น Outsource จำ�นวน คน

ไมม

1.8 จำ�นวนพนกง�นทรบผดชอบง�นด�นก�รบรห�รคว�มเสยงทเกยวของกบระบบเทคโนโลยส�รสนเทศของบรษท

มจำ�นวน คน

1.9 บรษทจดสรรงบประม�ณในด�น IT security / Cybersecurity ในป 2562 คดเปน % ของงบประม�ณทงหมดของบรษท

1.10 ในปจจบนบรษทไดดำ�เนนก�รตรวจสอบภ�ยในด�น IT Audit หรอไม

ม โดยหนวยง�นทมหน�ทตรวจสอบภ�ยในด�น IT Audit คอ

หนวยง�นภ�ยในของบรษท คอ

หนวยง�นตรวจสอบภ�ยใน

หนวยง�น IT อนๆ ( โปรดระบ )

ว�จ�งหนวยง�นภ�ยนอก โปรดระบชอบรษท

โดยมคว�มถในก�รตรวจสอบภ�ยในด�น IT Audit 1 ป 1-3 ป 3-5 ป ม�กกว�

5 ป

ยงไมมก�รตรวจสอบด�น IT Audit เนองจ�ก ( โปรดระบ เหตผล ) 2. ลกษณะก�รประกอบธรกจ / ชองท�งก�รใหบรก�ร

2.1. บรษทนำ�ระบบเทคโนโลยส�รสนเทศม�ใชกบก�รดำ�เนนง�นในกจกรรมบ�ง (ตอบไดม�กกว� 1 ขอ)

ก�รข�ยกรมธรรมประกนภย

ก�รพจ�รณ�รบประกนภย

ก�รจดก�รค�สนไหมทดแทน กระบวนก�รท�งบญช

ก�รประกนภยตอ

คณตศ�สตรประกนภย

ก�รลงทน

ก�รรบเรองรองเรยน / ลกค�สมพนธ

อนๆ ( โปรดระบ )

2.2 บรษทมก�รดำ�เนนก�รออกกรมธรรมประกนภย เสนอข�ยกรมธรรมประกนภย ชดใชเงนต�มสญญ�ประกนชวต หรอ ค�สนไหมทดแทนต�มสญญ�ประกนภย โดยใชวธก�รท�งอเลกทรอนกส หรอไม (เลอกไดทงสองขอ)

มใชระบบส�รสนเทศ

ของบรษทเองใชบรก�รระบบ

ส�รสนเทศจ�กผใหบรก�รภ�ยนอก

1. ก�รออกกรมธรรมประกนภย2. ก�รเสนอข�ยกรมธรรมประกนภย3. ก�รใชวธก�รท�งอเลกทรอนกสประกอบ ก�รเสนอข�ยกรมธรรมประกนภย4. ก�รชดใชเงนต�มสญญ�ประกนชวต หรอ ค�สนไหมทดแทนต�มสญญ�ประกนภย

ไมม

2.3 จำ�นวนผใหบรก�ร Web Hosting ทบรษทใชบรก�รในปจจบนมจำ�นวนรวมทงสน ร�ย

2.4 บรษทมก�รใชง�นระบบส�รสนเทศจ�กธน�ค�รพ�ณชยหรอไม

ม โดยใชง�นระบบส�รสนเทศของธน�ค�รในเรองดงตอไปน

ใชเปน Payment Gateway

ใชในก�รเสนอข�ยกรมธรรมโดยวธก�รท�งอเลกทรอนกส

อนๆ ( โปรดระบ ) ไมม

2.5 ปจจบนบรษทรบใหบรก�รด�นระบบ IT (IT Insourcing) หรอไม (ก�รรบใหบรก�รด�นระบบ IT (IT Insourcing) หม�ยถง ก�รใหบรก�รระบบส�รสนเทศแกหนวยง�นอน หรอบรษทประกนดแลระบบให)

ม โดยมร�ยละเอยดดงน

1) หนวยง�นภ�ยนอกทเข�ม�ใชระบบ IT ของบรษท จำ�นวน หนวยง�น (หนวยง�นภ�ยนอก เชน โรงพย�บ�ล หรอหนวยง�นร�ชก�ร เปนตน ( ไมรวมถงลกค� Corporate))

2) ตวแทน / น�ยหน� ทเข�ม�ใชระบบ IT ของบรษท จำ�นวน คน

(น�ยหน� เชน ธน�ค�รทข�ยกรมธรรมใหกบบรษท)

3) ผประเมนค�สนไหม (Surveyor) ทเข�ม�ใชระบบ IT ของบรษทจำ�นวน คน

4) อนๆ ( โปรดระบจำ�นวน )

ไมม

2.6 ปจจบนบรษทมรปแบบก�รใหบรก�รผ�น Website ของบรษทหรอไม

ม โดย ใหบรก�รด�นขอมล

ใหบรก�รในก�รทำ�ธรกรรมกบบรษท

ไมม

2.7 บรษทม Domain และ Subdomain จำ�นวน

2.8 บรษทมรปแบบก�รใหบรก�รผ�น Mobile Application ของบรษทหรอไม

ม โดย ใหบรก�รด�นขอมล

ใหบรก�รในก�รทำ�ธรกรรมกบบรษท

ไมม

2.9 บรษทมรปแบบก�รใหบรก�รผ�น Social Media ใดบ�ง Facebook Instagram Line Twitter อนๆ

ยงไมมก�รใหบรก�รผ�น Social Media2.10 บรษทมก�รใชง�นเครองอ�นบตรประช�ชนสม�รทก�รด หรอไม

ม โดยมก�รรกษ�คว�มปลอดภยของขอมลอย�งไร ( โปรด อธบ�ย )

ไมม

2.11 บรษทมก�รใชอปกรณรบชำ�ระเงนท�งอเลกทรอนกส (Electronic Data Capture: EDC) และอปกรณ EDC ทเชอมตอกบ Smartphone หรอไม

ม จำ�นวน ( ระบจำ�นวน ) เครอง

ไมม

2.12 บรษทมระบบในก�รเชอมตอสำ�หรบรบ สงขอมลกบบรษทน�ยหน�–นตบคคลหรอไม

ม

ไมม

2.13 บรษทมตวแทนประกนภย / น�ยหน�ประกนภยนตบคคล ทใชระบบของบรษทในก�รเสนอข�ยกรมธรรมหรอไม

ม 1) ตวแทนประกนภย คดเปนรอยละ ของจำ�นวนตวแทนทงหมด

2) น�ยหน�ประกนภยนตบคคล คดเปนรอยละ ของจำ�นวนน�ยหน�นตบคคลทงหมด

ไมม2.14 ปจจบนบรษทไดรบก�รรบรองม�ตรฐ�น ISO/IEC 27001 หรอไม

ไดรบก�รรบรอง ในระบบดงตอไปน

ก�รใหบรก�รศนยคอมพวเตอร

ระบบก�รเสนอข�ยโดยวธก�รท�งอเลกทรอนกส

ระบบก�รออกกรมธรรมโดยใชวธก�รท�งอเลกทรอนกส

ระบบก�รชดใชเงนต�มสญญ�ฯ โดยใชวธก�รท�งอเลกทรอนกส

อนๆ ( โปรดระบ )

ไมไดรบก�รรบรอง

2.15 บรษทมจำ�นวน Internet Service Provider : ISP ทเชอมตอกบบรษทมจำ�นวนรวมทงสน 2.16 บรษทมจำ�นวน Public IP ของบรษททส�ม�รถเชอมตอเครอข�ยอนเทอรเนต รวมทงสน 2.17 ปจจบนบรษทมก�รจดเกบขอมลจร�จร (Log) หรอไม

ม โดยมก�รจดเกบ Log ในก�รใชง�นดงตอไปน

ก�รใชง�นภ�ยในองคกร เชน เครองแมข�ยทสำ�คญ ระบบง�นทสำ�คญ เครองคอมพวเตอร เปนตน

ก�รใชง�นและใหบรก�ร Website ก�รใชง�น Social Network ในก�รสอส�รองคกร

อนๆ โปรดระบ _________________________________________________________

ไมม

2.18 ปจจบนบรษทมลกษณะของก�รใหบรก�รเครอข�ยไรส�ยอย�งไร

บคคลภ�ยในบรษทและภ�ยนอกบรษทใชระบบเครอข�ยไรส�ยรวมกน

บคคลภ�ยในบรษทและภ�ยนอกบรษทใชระบบเครอข�ยไรส�ยแยกออกจ�กกน

ไมมก�รใหบรก�รเครอข�ยไรส�ย

2.19 บรษทมก�รสอส�รเงอนไขก�รใชระบบเครอข�ยไรส�ยของบรษทใหกบผใชง�นรบทร�บหรอไม

ม ไมม

2.20 บรษทมกระบวนก�รพจ�รณ�ก�รกำ�หนดสทธระบบเครอข�ยไรส�ยใหกบบคคลภ�ยในและภ�ยนอกบรษทหรอไม

ม ไมม2.21 บรษทอนญ�ตใหส�ม�รถนำ�อปกรณสวนตวม�เชอมตอกบระบบเครอข�ยของบรษทหรอไม

อนญ�ต โดยอปกรณสวนตวทไดรบอนญ�ตเข�ถงเครอข�ยภ�ยในบรษทได ไดแก

Notebook

Smartphone Tablet อนๆ ( โปรดระบ )

ไมอนญ�ต

2.22 บรษทมกระบวนก�รควบคมก�รใชง�นอปกรณสวนตวทม�เชอมตอกบระบบเครอข�ยของบรษทหรอไม

มกระบวนก�รควบคม ดงน

กำ�หนดใหอปกรณสวนตวทจะเชอมตดตอระบบภ�ยในบรษทได ตองทำ�ก�รลงทะเบยนแลวเท�นน

กำ�หนดใหมก�รลงทะเบยนอปกรณพกพ� เพอทำ�ร�ยก�รบนทก อพเดทขอมล software ปองกนโปรแกรมไมประสงคด อพเดทโปรแกรมเพมเตมของระบบปฏบตก�ร และก�รกำ�หนดค�คว�มปลอดภยใหเหม�ะสมกบก�รใชง�น

มก�รใชเทคโนโลยในก�รลบขอมลบนอปกรณพกพ�จ�กระยะไกลในกรณทอปกรณสญห�ย

กำ�หนดใหมก�รลบขอมล (wipe data) บนอปกรณพกพ� ทกครงกอนนำ�ไปซอมหรอหมดอ�ยก�รใชง�น

อนๆ โปรดระบ _________________________________________________________

ไมม

2.23 บรษทมก�รกำ�หนดจำ�นวนอปกรณสวนตวทส�ม�รถเชอมตอเครอข�ยภ�ยในของบรษทตอคน หรอไม

ม ระบจำ�นวน ตอคน ไมม

2.24 บรษทของท�นมก�รใชบรก�ร Cloud service จ�กผใหบรก�รภ�ยนอกหรอไม

ใชบรก�ร Cloud service สำ�หรบก�รดำ�เนนง�นในกจกรรม (เลอกไดม�กกว� 1 ขอ)

ก�รประมวลผลและจดเกบขอมลเกยวกบกรมธรรมประกนภย

ก�รเสนอข�ยโดยวธก�รท�งอเลกทรอนกส

ก�รออกกรมธรรมโดยใชวธก�รท�งอเลกทรอนกส

ก�รชดใชเงนต�มสญญ�ฯ โดยใชวธก�รท�งอเลกทรอนกส

ก�รประมวลผลระบบง�นภ�ยในของบรษท

ก�รทดสอบระบบง�น

อนๆ โปรดระบ ยงไมใชบรก�ร Cloud service เนองจ�ก

บรษทยงไมมนโยบ�ยใหใชบรก�ร Cloud service ในง�นประเภทใดๆ

บรษทยงไมมคว�มจำ�เปนทจะตองใชบรก�ร Cloud service ในง�นปจจบน

2.25 บรษทมแนวท�งในก�รบรห�รจดก�รเกยวกบก�รใชบรก�รจ�กผใหบรก�รภ�ยนอก (Third Party Management) หรอไม

ม

มนโยบ�ยเกยวกบก�รใชบรก�รจ�กผใหบรก�รภ�ยนอก ทครอบคลมเรองดงตอไปน

วธก�รคดเลอก และก�รทบทวนคณสมบตของผใหบรก�รภ�ยนอก

ขอตกลงด�นก�รรกษ�คว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศ และก�รรกษ�คว�มปลอดภยและคว�มลบของระบบง�นและขอมล

หน�ทคว�มรบผดชอบของผใหบรก�รภ�ยนอก

ระบประเภทขอมลทอนญ�ตใหผใหบรก�รภ�ยนอกเข�ถง

ขนตอนและกระบวนก�รตดต�มก�รเข�ถงขอมลต�มทไดรบอนญ�ต

กระบวนก�รควบคมเพอตดต�มก�รทำ�ง�นของผใหบรก�รภ�ยนอก

มขอตกลงและก�รควบคมเกยวกบก�รรกษ�คว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศในก�รใชบรก�รจ�กผใหบรก�รภ�ยนอก

มนโยบ�ยก�รบรห�รจดก�รคว�มเสยงจ�กก�รใชบรก�รจ�กผใหบรก�รภ�ยนอก

มก�รตดต�ม ประเมน ทบทวน และตรวจสอบก�รดำ�เนนง�นของผใหบรก�รภ�ยนอกอย�งสมำ�เสมอ

มแผนรองรบกรณทเกดเหตก�รณทอ�จสงผลกระทบตอคว�มมนคงปลอดภยของระบบ เทคโนโลยส�รสนเทศ

ไมม

อ

อ

อ

1. ในปจจบนบรษทมก�รกำ�หนดนโยบ�ยในเรองดงตอไปนเปนล�ยลกษณอกษรหรอไม

1.1 นโยบ�ยก�รบรห�รจดก�รคว�มเสยงด�นเทคโนโลยส�รสนเทศ (IT Risk Management Policy)

ม โปรดระบหนวยง�นหรอบคล�กรทเกยวของในก�รจดทำ�

โปรดระบผททำ�หน�ทในก�รพจ�รณ�อนมต

คว�มถในก�รทบทวน ___ ร�ยป ___ ร�ยเดอน ___ ร�ยไตรม�ส

___ ทบทวนทกครงเมอเกดเหตก�รณทมนยสำ�คญ

ทบทวนนโยบ�ยครงล�สดเมอวนท

ยงไมไดกำ�หนด เนองจ�ก ( โปรดระบเหตผล )

1.2 นโยบ�ยก�รรกษ�คว�มมนคงปลอดภยด�นเทคโนโลยส�รสนเทศ (IT Security Policy)

ม โปรดระบหนวยง�นหรอบคล�กรทเกยวของในก�รจดทำ�

โปรดระบผททำ�หน�ทในก�รพจ�รณ�อนมต

คว�มถในก�รทบทวน ___ ร�ยป ___ ร�ยเดอน ___ ร�ยไตรม�ส

สวนท 2 : โครงสร�งและก�รกำ�กบดแลด�นคว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศและ

___ ทบทวนทกครงเมอเกดเหตก�รณทมนยสำ�คญทบทวนนโยบ�ยครงล�สดเมอวนท

IT Security Policy ของบรษทอ�งองเนอห�ม�จ�ก

ประก�ศคณะกรรมก�รธรกรรมท�งอเลกทรอนกสว�ดวยเรอง ม�ตรฐ�นก�รรกษ�คว�มมนคงปลอดภยของระบบส�รสนเทศต�มวธก�รแบบปลอดภย (สพธอ.)ม�ตรฐ�น ISO 27001 (International Organisation for Standardization)แนวปฏบตสำ�หรบรกษ�คว�มปลอดภยและควบคมคว�มเสยงของระบบเทคโนโลยส�รสนเทศ (Information Technology Risk Management) และคว�มเสยง ด�นภยคกค�มท�งไซเบอร (Cybersecurity) (สำ�นกง�น คปภ.)Cybersecurity Framework ของ National Institute of Standard and Technology: NIST อนๆ โปรดระบ

ยงไมไดกำ�หนด เนองจ�ก ( โปรดระบเหตผล )

2. นโยบ�ยก�รบรห�รจดก�รคว�มเสยงด�นเทคโนโลยส�รสนเทศ (IT Risk Management Policy) ครอบคลมในเรองดงตอไปนหรอไม

หวขอ ม / ไม

1. ก�รประเมนคว�มเสยง (Risk Assessment)

- ก�รระบคว�มเสยง (Risk Identification)เชน คว�มเสยงด�นขอมล คว�มเสยงด�นอปกรณเทคโนโลยส�รสนเทศ คว�มเสยงด�นซอฟแวรคอมพวเตอร คว�มเสยงด�นบคล�กร คว�มเสยงด�นก�ยภ�พและสงแวดลอม คว�มเสยงด�นเครอข�ยสอส�ร คว�มเสยงจ�กก�รใชบรก�รจ�กผใหบรก�รภ�ยนอก- ก�รวเคร�ะหคว�มเสยง (Risk Analysis)

มเกณฑในก�รประเมนระดบผลกระทบและโอก�สเกดเหตก�รณคว�มเสยง- ก�รประเมนค�คว�มเสยง (Risk Evaluation)

กำ�หนดระดบคว�มเสยงทยอมรบได (IT Risk Appetite) และพจ�รณ�เทยบกบระดบคว�มเสยงเพอจดลำ�ดบคว�มเสยงในก�รจดก�ร2. ก�รจดก�รคว�มเสยง (Risk Treatment)- กำ�หนดแนวท�งในก�รจดก�ร ควบคม ปองกนคว�มเสยงสอดคลองกบผลก�รประเมนคว�มเสยง- กำ�หนดดชนชวดคว�มเสยงด�น IT (IT Key Risk Indicators)3. ก�รตดต�มและทบทวนคว�มเสยง (Risk Monitoring and Review)- มกระบวนก�รในก�รตดต�มและทบทวนคว�มเสยงด�น IT4. ก�รร�ยง�นคว�มเสยง (Risk Reporting)- มก�รร�ยง�นผลก�รบรห�รคว�มเสยงด�น IT และแนวโนมของคว�มเสยงทอ�จเกดขน

3. นโยบ�ยก�รรกษ�คว�มมนคงปลอดภยด�นเทคโนโลยส�รสนเทศ (IT Security Policy) ครอบคลมในเรองดงตอไปนหรอไม

หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�ก1. ก�รบรห�รจดก�รคว�มมนคงปลอดภย

- มกระบวนก�รคดเลอกบคล�กร กรณ บรษทตอบว� ไมม“ ”

ขอใหระบเหตผล - มขอกำ�หนดหรอเงอนไขในสญญ�จ�งง�นของบคล�กรในเรองคว�มรบ

หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�กด�นทรพย�กรบคคล(Human Resource Security)

ผดชอบเกยวกบก�รปฏบตต�มนโยบ�ยก�รรกษ�คว�มมนคงปลอดภยด�นเทคโนโลยส�รสนเทศของบรษท

ดงตอไปน ข�ดแคลน

บคล�กร ข�ดแคลนงบ

ประม�ณ ข�ดคว�ม

เชยวช�ญ อนๆ (โปรดระบ )

- สร�งและสงเสรมคว�มตระหนกถงคว�มสำ�คญของคว�มเสยงด�นเทคโนโลยส�รสนเทศ- อบรมใหคว�มรแกคณะกรรมก�รของบรษทประกนภย ผบรห�รระดบสง และบคล�กรทเกยวของ- ก�รบรห�รจดก�รสทธของบคล�กรทเกยวของกบเทคโนโลยส�รสนเทศ ใหเปนปจจบน โดยเฉพ�ะเมอมก�รเปลยนแปลงตำ�แหนงง�นหรอสนสดก�รจ�งง�น- มขอกำ�หนดหรอเงอนไขก�รใชง�นทรพยสนด�นเทคโนโลยส�รสนเทศของบรษทประกนภย- กำ�หนดคว�มรบผดชอบของผปฏบตง�นและผใชง�นในก�รใช User account and Password

2. ก�รบรห�รจดก�รทรพยสนด�นเทคโนโลยส�รสนเทศ (IT Asset Management)

- จดทำ�ทะเบยนร�ยก�รทรพยสนด�นเทคโนโลยส�รสนเทศ- มก�รบำ�รงรกษ�ทรพยสนด�นเทคโนโลยส�รสนเทศอย�งสมำ�เสมอ- มม�ตรก�รด�นคว�มมนคงปลอดภยสำ�หรบเครองคอมพวเตอร และอปกรณพกพ�ในก�รนำ�ม�ใชในองคกร

หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�ก3. ก�รจดชนส�รสนเทศและก�รเข�รหสขอมล (Information Classification and Cryptography)

มแนวปฏบตก�รจดชนส�รสนเทศทเหม�ะสมต�มชนคว�มลบและคว�มสำ�คญของส�รสนเทศ อย�งนอยดงตอไปน- ก�รจดชนส�รสนเทศ (Information Classification)

- ก�รรกษ�คว�มมนคงปลอดภยของขอมล ทงในก�รรบสงขอมล ผ�นเครอข�ยสอส�ร ก�รจดเกบขอมลในระบบง�นและสอบนทกขอมลต�งๆ สอดคลองต�มก�รจดชนส�รสนเทศ

- ก�รเกบรกษ�และทำ�ล�ยขอมลใหเหม�ะสมกบชนคว�มลบ

- ก�รบรห�รจดก�รก�รเข�รหสขอมล (cryptography) ทเชอถอได และเปนม�ตรฐ�นส�กล

4. ก�รควบคมก�รเข�ถง (Access Control)

- มขอกำ�หนดนโยบ�ยก�รเข�ถงหรอเข�ใชง�นระบบและขอมล- มก�รบรห�รจดก�รสทธก�รใชง�น และตรวจสอบยนยนตวตนต�มสทธทกำ�หนด- มก�รทบทวนปรบปรงสทธก�รใชง�นต�มรอบระยะเวล�ทกำ�หนด- มก�รเพกถอนสทธก�รใชง�นเมอมก�รเปลยนแปลงหน�ทง�น หรอสนสดสภ�พก�รเปนพนกง�น

5. ก�รรกษ� - มม�ตรก�รรกษ�คว�มมนคง

หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�กคว�มมนคงปลอดภยท�งก�ยภ�พและสภ�พแวดลอม (Physical and Environmental Security)

ปลอดภยของศนยคอมพวเตอร (Data Center) สถ�นทปฏบตง�นทเกยวของกบเทคโนโลยส�รสนเทศ และพนททเกยวของกบเทคโนโลยส�รสนเทศทสำ�คญ- มระบบก�รปองกนและกระบวนก�รในก�รบำ�รงรกษ�อปกรณคอมพวเตอร และระบบส�ธ�รณปโภคทเกยวของกบเทคโนโลยส�รสนเทศ

6. ก�รรกษ�คว�มมนคงปลอดภยของระบบเครอข�ยสอส�ร (Communication Security)

มก�รรกษ�คว�มมนคงปลอดภยของระบบเครอข�ยสอส�รของบรษทประกนภย เพอใหระบบเครอข�ยสอส�รและขอมลทมก�รรบสงผ�นเครอข�ยสอส�ร มคว�มมนคงปลอดภย และส�ม�รถปองกนก�รบกรกหรอภยคกค�มทอ�จเกดขน อย�งนอยในเรองดงตอไปน1) ตองจดใหมก�รจำ�แนกโซนเครอข�ยสอส�ร2) ตองจดใหมอปกรณคว�มปลอดภยเครอข�ย

7. ก�รรกษ�คว�มมนคงปลอดภยในก�รปฏบตง�นด�นเทคโนโลยส�รสนเทศ(IT

- มก�รบรห�รจดก�รขดคว�มส�ม�รถของระบบ และระบบส�ธ�รณปโภค (Capacity Management)- มก�รรกษ�คว�มมนคงปลอดภยของเครองแมข�ย (Server) และอปกรณทใชปฏบตง�นของผใชเทคโนโลยส�รสนเทศ (Endpoint) เชน ก�ร

หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�กOperations Security)

ตดตงโปรแกรมปองกนไวรส หรอระบบตรวจจบก�รแฝงตวของโปรแกรมไมประสงคด (Malware) หรอก�รโจมตดวยรปแบบต�งๆ เพอปองกนก�รรวไหล ของขอมลหรอก�รเข�ใชง�นโดยไมไดรบอนญ�ต- มก�รสำ�รองขอมล (Data Backup) ดวยวธก�รและระยะเวล�ทเหม�ะสม- มก�รจดเกบขอมลบนทกเหตก�รณ (Logging) ของเครองแมข�ย ระบบง�น และอปกรณเครอข�ยทสำ�คญ- มก�รตดต�มดแลระบบและเฝ�ระวงภยคกค�ม (Security Monitoring) โดยมกระบวนก�รหรอเครองมอในก�รตรวจจบเหตก�รณผดปกต หรอภยคกค�มทมผลกระทบตอคว�มมนคงปลอดภยของระบบทสำ�คญ- มก�รบรห�รจดก�รชองโหว (Vulnerability Management) ของระบบทเหม�ะสมต�มระดบคว�มเสยง- มก�รทดสอบเจ�ะระบบ (Penetration Test)- มก�รบรห�รจดก�รก�รเปลยนแปลง (Change Management) โดยจดใหมกระบวนก�รในก�รบรห�รจดก�รก�รเปลยนแปลงและควบคมก�ร

หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�กเปลยนแปลงอย�งรดกมและเพยงพอ เชน ก�รนำ�ระบบขนใชง�นจรง (System Deployment) ก�รตงค�ระบบ (System Configuration)- มก�รบรห�รจดก�รก�รตงค�ระบบ (System Configuration Management) โดยจดใหมกระบวนก�รในก�รควบคมก�รตงค�ของระบบทใชง�นจรง และมก�รสอบท�นก�รตงค�อย�งสมำ�เสมอ- มก�รบรห�รจดก�ร Patch (Patch Management) โดยจดใหมกระบวนก�รในก�รควบคมก�รตดตง Patch ของระบบทใชง�นจรง

8. ก�รจดห�และก�รพฒน�ระบบ(System Acquisition and Development)

1) ก�รจดห�ระบบ (system acquisition)- หลกเกณฑทชดเจนและเหม�ะสมในก�รคดเลอกระบบและผใหบรก�ร2) ก�รพฒน�ระบบ (System Development)- เอกส�รร�ยละเอยดคณสมบตท�งเทคนค (Technical Specification) โดยครอบคลมถงเรองก�รรกษ�คว�มมนคงปลอดภย ซงรวมถงกระบวนก�รในก�รทดสอบ- กระบวนก�รหรอเครองมอในก�รควบคมเวอรชนของคำ�สงในก�รเขยนโปรแกรม (Source Code Version Control)

หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�ก- ก�รแบงแยกบทบ�ทหน�ทและคว�มรบผดชอบของผทเกยวของในกระบวนก�รพฒน�ระบบ เชน ก�รแบงแยกระหว�งผพฒน�ระบบและผนำ�ระบบขนใชง�นจรง- ก�รแบงแยกสภ�พแวดลอมของระบบง�น ทใชสำ�หรบก�รพฒน� (Development) และก�รทดสอบ (Testing) ออกจ�กระบบง�นทให บรก�รจรง (Production)- ก�รทดสอบระบบกอนก�รใชง�นจรง- ก�รพฒน�หรอก�รเปลยนแปลงระบบทเกยวของกบก�รใหบรก�รหรอก�รทำ�ธรกรรมท�งอเลกทรอนกสโดยจดใหมก�รทดสอบประสทธภ�พ (Performance Test)- มแนวท�งในก�รควบคมก�รรกษ�คว�มมนคงปลอดภยและคว�มลบของขอมลสำ�คญทนำ�ไปใชในก�รทดสอบ- ก�รจดทำ�คมอและอบรมผใชง�นระบบและผดแลระบบ

9. ก�รบรห�รจดก�รผใหบรก�รภ�ยนอก (Third Party Management)

- จดทำ�สญญ�หรอขอตกลงก�รใหบรก�รโดยระบหน�ทคว�มรบผดชอบ และเงอนไขในก�รใหบรก�รอย�งชดเจน- ในก�รจดจ�งผใหบรก�รภ�ยนอกหรอมพนธมตรท�งธรกจในก�รรวมพฒน�หรอใหบรก�รท�งก�รเงน บรษทประกนภยตองคำ�นงถงคว�มตอ

หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�กเนองในก�รดำ�เนนธรกจของบรษทประกนภย ขอจำ�กดหรอขอตกลงในก�รเปลยนแปลงผใหบรก�รภ�ยนอกหรอพนธมตรท�งธรกจ และก�รยกเลกหรอสนสดสญญ� (Exit Strategy)

10. ก�รบรห�รจดก�รเหตก�รณผดปกตและปญห� (IT Incident and Problem Management)

- มวธปฏบต ขนตอนปฏบต หรอแผนรองรบ ในก�รบรห�รจดก�รเหตก�รณผดปกตและปญห�ทเกดจ�กก�รใชเทคโนโลยส�รสนเทศ อย�งเหม�ะสมและทนทวงท พรอมทงชองท�งก�รร�ยง�นแจงเหตก�รณทพบ เหตก�รณผดปกต และปญห�ทเกดจ�กก�รใชเทคโนโลยส�รสนเทศ- มก�รบนทก วเคร�ะห และร�ยง�นเหตก�รณผดปกตและปญห� และก�รแกไข ใหคณะกรรมก�รบรษท คณะกรรมก�รทไดรบมอบหม�ย หรอผบรห�รระดบสง ทไดรบมอบหม�ยทร�บในระยะเวล�ทเหม�ะสม- มก�รวเคร�ะหส�เหตทแทจรง (Root Cause) ของปญห�เพอห�แนวท�งแกไขจ�กส�เหตทแทจรงและปองกนไมใหเกดเหตก�รณผดปกตซำ�ในอน�คต

11. ก�รจดทำ�แผนฉกเฉนด�นเทคโนโลย

- มคณะทำ�ง�นหรอหนวยง�นทรบผดชอบในก�รจดทำ�แผนฉกเฉนด�นเทคโนโลยส�รสนเทศ และพจ�รณ�

หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�กส�รสนเทศ อนมตโดยคณะกรรมก�รบรษท

- มก�รจดทำ�แผนฉกเฉนด�นเทคโนโลยส�รสนเทศ โดยคำ�นงถงลกษณะก�รดำ�เนนธรกจ ปรม�ณธรกรรม คว�มซบซอนของเทคโนโลยส�รสนเทศ และคว�มเสยงทเกยวของ- แผนฉกเฉนด�นเทคโนโลยส�รสนเทศเปนไปไดในท�งปฏบต ส�ม�รถนำ�ม�ใชรองรบคว�มเสยห�ยทเกดขนไดจรง และสอดคลองกบแนวปฏบต เรอง BCM และ BCP- มคมอหรอเอกส�รประกอบก�รดำ�เนนก�รต�มแผนฉกเฉนด�นเทคโนโลยส�รสนเทศ รวมทงประช�สมพนธแผนและฝกอบรมเพอใหพนกง�นทกคนทมสวนเกยวของมคว�มเข�ใจและส�ม�รถปฏบตต�มแผนได- มก�รทบทวนและทดสอบก�รปฏบตต�มแผนฉกเฉนด�นเทคโนโลยส�รสนเทศอย�งนอยปละ 1 ครง และ ทกครงทมก�รเปลยนแปลงอย�งมนยสำ�คญ- มศนยคอมพวเตอรสำ�รอง (Disaster Recovery Site) ทมคว�มพรอมใชง�นและส�ม�รถปฏบตง�นทดแทนไดเมอศนยคอมพวเตอรหลก (Primary Site) หยดชะงก

หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�ก12. อนๆ (โปรดระบ)

...............................................

.......

4. บรษทมก�รสอส�รนโยบ�ยเรอง IT security policy และแนวท�งปฏบตทเกยวของหรอไม

มก�รสอส�รใหบคล�กรภ�ยในบรษททเกยวของดงตอไปนรบทร�บ

พนกง�นของบรษท

ผใหบรก�รด�นระบบจ�กภ�ยนอก (Vendor) ผทไดรบมอบหม�ยใหดำ�เนนก�รแทนบรษท (Outsource) อนๆ โปรดระบ

โดยมวธก�รหรอชองท�งทบรษทใชในก�รสอส�รนโยบ�ยแกผทเกยวของ ดงน

แจงเวยนเปนหนงสอใหบคคลทเกยวของรบทร�บ

ผ�น intranet / website / E-mail ของบรษท

จดประชม และฝกอบรมใหผทเกยวของทร�บ

อนๆ โปรดระบ

ไมม

5. ในมมมองของบรษทท�นคดว� คว�มเสยงด�น IT Risk และ Cyber Risk ใดบ�งทมผลกระทบตอก�รดำ�เนนง�นของบรษทม�กทสดใน 3 ลำ�ดบแรก

ลำ�ดบ

คว�มเสยง

1) ก�รข�ดแคลนบคล�กรทมทกษะและคว�มเชยวช�ญ2) ก�รรบบคล�กรทไมประสงคดกบบรษท

ลำ�ดบ

คว�มเสยง

3) พนกง�นทสนสดก�รว�จ�งนำ�ขอมลคว�มลบของบรษทไปเผยแพร

4) ทรพยสนส�รสนเทศสญห�ย5) สอทใชบนทกขอมลในก�รสำ�รองขอมลเสอมสภ�พ6) เอกส�รลบของบรษทถกเผยแพรสภ�ยนอก7) ขอมลสำ�คญหรอขอมลทมชนคว�มลบถกดกจบหรอแกไขใน

ระหว�งก�รประมวลผล8) พนกง�นทสนสดก�รว�จ�งยงส�ม�รถเข�ถงขอมลสำ�คญหรอ

ขอมลทม ชนคว�มลบได9) เจ�หน�ททไมไดรบอนญ�ตหรอไมสทธส�ม�รถเข�ถงขอมล

สำ�คญหรอขอมลทมชนคว�มลบได10) ขอมลสำ�คญ หรอขอมลทมชนคว�มลบ ถกแกไขโดยไมไดรบ

อนญ�ต11) เครองแมข�ยไดรบคว�มเสยห�ยเนองจ�กสภ�พแวดลอมของ

ศนยคอมพวเตอรไมเหม�ะสม12) Data center เกดคว�มเสยห�ยจ�กไฟไหม13) หอง Sever หรอศนย Data center ถกเข�ถงโดยบคคลท

ไมไดรบอนญ�ต14) ระบบเครอข�ยลมเหลวทำ�ใหไมส�ม�รถใหบรก�รได15) ผไมมสทธส�ม�รถเข�ถงเครองแมข�ย และอปกรณเครอข�ยได16) ขอมลททำ�ก�รสำ�รองไวไมส�ม�รถกคนกลบม�ใชไดจรง17) ระบบลมเหลวจ�กก�ร Patch18) ผดแลระบบตรวจพบก�รโจมตท�งไซเบอรหลงจ�กทเกด

เหตก�รณเปนระยะเวล�น�น19) ระบบง�นทใชมชองโหว (Vulnerability) เนองจ�กไมได

ทดสอบเจ�ะระบบกอนนำ�ระบบขนใชจรง20) ชองโหวของระบบง�นเนองจ�กใช Software ท out of

ลำ�ดบ

คว�มเสยง

date21) ขอมลทเปนคว�มลบหรอขอมลสวนบคคลของลกค�ถกนำ�ไปใช

ในก�รพฒน�หรอทดสอบระบบง�น22) บรษทผใหบรก�รจ�กภ�ยนอกทบรษทไดว�จ�งไมส�ม�รถ

ดำ�เนนง�นไดต�มทกำ�หนดในสญญ�23) บรษทผใหบรก�รภ�ยนอกถกโจมตท�งไซเบอรทำ�ใหขอมล

สำ�คญหรอขอมลทมชนคว�มลบของบรษทถกเปดเผย24) บรษทผใหบรก�รภ�ยนอกนำ�คว�มลบขององคกรไปเปดเผย25) บรษทใชระยะเวล�ในก�รจดก�รเหตก�รณเปนระยะเวล�น�นเกน

กว� ทกำ�หนดไว26) เกดเหตก�รณผดปกตซงมลกษณะเหตก�รณซำ�ๆ โดยไม

ส�ม�รถห� แนวท�งแกไขได27) บรษทไมส�ม�รถกคนระบบง�นไดต�มระยะเวล�ทกำ�หนด28) ระบบส�รสนเทศของบรษทโดนโจมตท�งไซเบอร เชน ต

ดมลแวร Ransomware, DDOS, Botnets และ APT เปนตน29) ผใชระบบส�รสนเทศของบรษทถกโจมตท�งไซเบอร เชน

Phishing ตดมลแวร Ransomware เปนตน30) ขอมลคว�มลบบรษทรวไหล

1. บรษทมคว�มรคว�มเข�ใจในกรอบก�รทำ�ง�นและก�รดำ�เนนง�นด�นคว�มมนคงปลอดภยท�งไซเบอรของสถ�บนม�ตรฐ�นและเทคโนโลย (National Institute of Standard and Technology: NIST)

มคว�มรคว�มเข�ใจ และส�ม�รถ

นำ�ม�ปรบใชได

มคว�มรคว�มเข�ใจ แตยงไมไดนำ�ม�ปรบใช

มคว�มรคว�มเข�ใจเลกนอย

ยงไมมคว�มร

คว�มเข�ใจ

1. กรรมก�ร

2. ผบรห�ร

3. พนกง�นในหนวยง�น IT4. พนกง�นของบรษท

2. .บรษทมแผนหรอม�ตรก�รในก�รรบมอภยคกค�มท�งไซเบอรในเรองใดบ�งในปจจบน

มลแวรรวมทงมลแวรเรยกค�ไถ (Malware/ Ransomware) มลแวรทมพฤตกรรมในก�รจ�รกรรมขอมล (APT) ก�รโจมตท�งเวบไซต (Web Based /Web Application

Attack) ฟชชง (Phishing) Denial of Service Botnets อนๆ ( โปรดระบ )

3. ในปจจบนบรษทไดสงเสรมและใหคว�มรแกกรรมก�ร ผบรห�ร และพนกง�นในสวนทเกยวของในเรองม�ตรฐ�นต�งๆ ทเกยวของ และก�ร

สวนท 3 : ก�รเตรยมคว�มพรอมในก�รรบมอภยคกค�มท�งไซเบอร

บรห�รจดก�รรวมทงก�รเตรยมคว�มพรอมในก�รรบมอภยคกค�มท�งไซเบอร

ระดบชอหลกสตรหรอหวขอทไดรบก�รอบรมครง

ล�สด

สถ�บนหรอองคกรทจด

อบรม

เดอน / ป

ระดบกรรมก�รระดบผบรห�รระดบพนกง�นในสวนทเกยวของ

4. ในปจจบนบรษทมก�รสร�งคว�มตระหนกและทดสอบก�รรบมอภยคกค�มท�งไซเบอรภ�ยในบรษทรปแบบใด

อบรม / สมมน�ใหคว�มร

สมมน�เชงปฏบตก�ร (Workshop)ก�รทำ� Cyber Drillอนๆ ( โปรดระบ )

โดยจดครงล�สดเมอเดอน ป 5. ใหบรษทประเมนตนเองเกยวกบระดบในก�รบรห�รจดก�รคว�มเสยงด�นคว�มมนคงปลอดภยท�งไซเบอรในปจจบน

Risk Management Process

(เลอกไดเพยง 1 ขอ)

Integrated Risk Management

Program(เลอกไดเพยง 1 ขอ)

External Participation

(เลอกไดเพยง 1 ขอ)

ยงไมมก�รบรห�รจดก�รคว�มเสยงด�นคว�มมนคงปลอดภยไซเบอรในบรษท

พนกง�นสวนใหญยงไมมคว�มตระหนกรเรองคว�ม

เสยงด�นคว�มมนคง

ยงไมมกระบวนก�รทำ�ง�นรวมกบหนวยง�นหรอ

องคกรภ�ยนอกอนๆ ใน

อย�งเปนท�งก�ร เปนเพยงแคก�รแกไขสถ�นก�รณ

เฉพ�ะหน�เท�นน

ปลอดภยไซเบอร ก�รบรห�รจดก�รคว�มเสยงด�นคว�มมนคง

ปลอดภยไซเบอร

มก�รบรห�รจดก�รคว�มเสยงด�นคว�มมนคง

ปลอดภยไซเบอร แตยงไมไดนำ�ม�ใชเปนกฎเกณฑทวไปใน

องคกร

พนกง�นมคว�มตระหนกรในเรองคว�มเสยงด�นคว�มมนคงปลอดภย

ไซเบอรแตยงไมทวถงทงองคกร

มกระบวนก�รทำ�ง�นรวมกบหนวยง�นภ�ยนอกและร

บทบ�ทหน�ทของตน แตยงไมมก�รกำ�หนดวธก�ร

ทำ�ง�นรวมกบหนวยง�น/องคกรภ�ยนอกอย�งเปนรป

ธรรม

รปแบบก�รบรห�รจดก�รคว�มเสยงด�นคว�มมนคงปลอดภยไซเบอรไดรบก�รอนมตจ�กคณะกรรมก�ร

บรษทหรอผบรห�รระดบสงอย�งเปนท�งก�ร และนำ�ม�

ใชเปนนโยบ�ยในองคกร

พนกง�นมคว�มตระหนกรในเรองคว�มเสยงด�นคว�มมนคงปลอดภย

ไซเบอรหนวยง�น/องคกรมม�ตรก�รบรห�รจดก�ร

คว�มเสยงครอบคลมทกสวนง�น

มกระบวนก�รทำ�ง�นรวมกนและมก�รรบขอมลข�วส�ร

จ�กหนวยง�น/องคกรภ�ยนอก เพอนำ�ไปใชในก�ร

รบมอภยคกค�มไซเบอร

มก�รปรบปรงนโยบ�ยและม�ตรก�รบรห�รจดก�รภย

คกค�มไซเบอรอย�งสมำ�เสมอ และพรอมรบมอ

ภยคกค�ม

ก�รบรห�รคว�มเสยงด�นคว�มมนคงปลอดภย

ไซเบอรถอเปนสวนหนงของวฒนธรรมองคกร

มกระบวนก�รทำ�ง�นรวมกนและมก�รแลกเปลยนขอมล

ข�วส�รกบหนวยง�น/องคกรภ�ยนอก เพอนำ�ไป

ใชในก�รเตรยมพรอมกอนเกดเหต

ภยคกค�มหม�ยเหต : ก�รประเมนระดบก�รบรห�รจดก�รคว�มเสยงด�นคว�มมนคงปลอดภยท�งไซเบอรในปจจบนของบรษท เปนก�รใหบรษทประเมนคว�มพรอมในเบองตนเพอรบรระดบคว�มพรอมใน

ก�รรบมอภยคกค�มท�งไซเบอรของบรษทเอง และส�ม�รถประเมนคว�มเหม�ะสมและคว�มเพยงพอในก�รดำ�เนนก�รต�มแนวท�งในปจจบนใหสอดคลองกบลกษณะก�รดำ�เนนธรกจและคว�มเสยงของบรษทเท�นน

สวนท 4 : ก�รคมครองขอมลสวนบคคลของผเอ�ประกนภย

4.1 บรษทมก�รระบขอมลสวนบคคลทมก�รเกบรวบรวมไวหรอไม (ทงในรปแบบเอกส�ร และรปแบบอเลกทรอนกส)

ม ไมม

4.2 ในปจจบนบรษทไดเรมดำ�เนนก�รขอคว�มยนยอม (Consent) จ�กเจ�ของขอมลสวนบคคลหรอไม

เรมดำ�เนนก�ร โดย

ก�รขอคว�มยนยอมจ�กเจ�ของขอมลสวนบคคลซงเปนลกค�เดมของบรษท

ก�รขอคว�มยนยอมจ�กเจ�ของขอมลสวนบคคลซงเปนลกค�ใหมของบรษท

ก�รขอคว�มยนยอมจ�กเจ�ของขอมลสวนบคคลซงเปนลกค�ตออ�ยของบรษท

อยในระหว�งดำ�เนนก�ร

ยงไมเรมดำ�เนนก�ร

4.3 ขอคว�มในก�รขอคว�มยนยอมจ�กเจ�ของขอมลสวนบคคล มก�รใชภ�ษ�ทอ�นเข�ใจไดโดยง�ย และไมเปนก�รหลอกลวงเจ�ของขอมลสวนบคคลหรอไม

ใช ไมใช

4.4 บรษทมกระบวนก�รในก�รควบคมก�รนำ�ขอมลสวนบคคลไปใช ตรงกบก�รขอคว�มยนยอมจ�กเจ�ของขอมลสวนบคคลหรอไม

ม ไมม อยในระหว�งดำ�เนนก�ร

4.5 บรษทมก�รนำ�ขอมลสวนบคคลไปใหหนวยง�นภ�ยนอกหรอไม

ม ไมม

4.6 บรษทมก�รกำ�หนดขนตอนในก�รจดก�รขอมลสวนบคคลในกรณทเจ�ของขอมลถอนคว�มยนยอมหรอไม

ม ไมม อยในระหว�งดำ�เนนก�ร

4.7 บรษทมก�รระบผงก�รไหล (Data Flow) ของขอมลสวนบคคลหรอไม

ม ไมม อยในระหว�งดำ�เนนก�ร

4.8 บรษทมก�รวเคร�ะหผลกระทบของขอมลสวนบคคล (Data Privacy Impact Assessment) หรอไม

ม ไมม อยในระหว�งดำ�เนนก�ร

กลมม�ตรฐ�นก�รบรห�รคว�มเสยง

ส�ยพฒน�ม�ตรฐ�นก�รกำ�กบสำ�นกง�น คปภ.