Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
สำ�นกง�นคณะกรรมก�รกำ�กบและสงเสรมก�รประกอบธรกจประกนภย
(สำ�นกง�น คปภ.) ไดดำ�เนนก�รออกแนวปฏบตสำ�หรบรกษ�คว�มปลอดภยและควบคมคว�มเสยงของระบบเทคโนโลยส�รสนเทศ (Information Technology Risk Management) และคว�มเสยงด�นภยคกค�มท�งไซเบอร (Cybersecurity) ตงแตป 2560 โดยมงหวงใหบรษทประกนภยมก�รกำ�กบดแลเรองคว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศ และเตรยมคว�มพรอมในก�รรบมอกบคว�มเสยงด�นภยคกค�มท�งไซเบอร และส�ม�รถใชเปนแนวท�งในก�รกำ�หนดเรองก�รบรห�รจดก�รคว�มเสยงด�นเทคโนโลยส�รสนเทศและคว�มเสยงด�นภยคกค�มท�งไซเบอรอย�งเปนระบบ โดยกรอบแนวท�งปฏบตฉบบน ครอบคลมด�นก�รกำ�กบดแลทดด�นเทคโนโลยส�รสนเทศ (IT Governance) แนวท�งควบคมคว�มเสยงของระบบเทคโนโลยส�รสนเทศของบรษทประกนภย และก�รกำ�กบดแลทดและก�รบรห�รจดก�รคว�มเสยงด�นภยคกค�มท�งไซเบอร (Cybersecurity Governance & Risk Management)
สำ�นกง�น คปภ. ตระหนกถงคว�มสำ�คญและคว�มจำ�เปนในก�รยกระดบก�รรกษ�คว�มมนคงปลอดภยของระบบส�รสนเทศ และเตรยมคว�มพรอมในก�รรบมอกบคว�มเสยงด�นภยคกค�มท�งไซเบอร เพอใหบรษทมก�รกำ�กบดแลและก�รบรห�รจดก�รอย�งเหม�ะสมและเพยงพอต�มลกษณะ คว�มซบซอน และระดบคว�มเสยงของรปแบบในก�รดำ�เนนธรกจของบรษทในปจจบน สำ�นกง�นจงไดพจ�รณ�ดำ�เนนก�รทบทวนแนวปฏบตสำ�หรบรกษ�คว�มปลอดภยและควบคมคว�มเสยงของระบบเทคโนโลยส�รสนเทศ (Information Technology Risk Management) และคว�มเสยงด�นภยคกค�มท�งไซเบอร (Cybersecurity)
แบบสอบถ�มเรอง ก�รกำ�กบดแลและก�รบรห�รจดก�รเรองคว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศและคว�มมนคงปลอดภยท�งไซเบอร
ของบรษทประกนภย
แบบสำ�รวจฉบบน จดทำ�ขนโดยมวตถประสงคหลกเพอใชเปนขอมลในก�รยกระดบ พฒน�และกำ�หนดหลกเกณฑในก�รกำ�กบดแลด�นก�รรกษ�คว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศ และเตรยมคว�มพรอมในก�รรบมอกบคว�มเสยงด�นภยคกค�มท�งไซเบอรทสอดคลองกบม�ตรฐ�นส�กลทเปนทยอมรบ เชน ม�ตรฐ�น ISO27001 และ กรอบก�รรกษ�คว�มมนคงปลอดภยไซเบอร NIST เปนตน ทงน ขอมลทท�นตอบม�ในแบบสำ�รวจฉบบน จะนำ�ม�เปนสวนสำ�คญของกลไกในก�รพจ�รณ�กำ�หนดแนวท�งและหลกเกณฑในก�รกำ�กบเรอง Information Technology Risk Management และ Cybersecurity อย�งเปนนยสำ�คญ เพอใหกฎระเบยบทสำ�นกง�น คปภ. จะดำ�เนนก�รพฒน�ตอไปนนสอดคลองกบบรบทในก�รดำ�เนนธรกจในปจจบน และส�ม�รถนำ�ไปปรบใชใหเกดก�รปฏบตอย�งเหม�ะสมเพอสร�งคว�มมนคงปลอดภยและคว�มเชอมนใหผเอ�ประกนภยและประช�ชนตอไปอย�งยงยน
สำ�นกง�น คปภ. จงขอคว�มรวมมอท�นในก�รใหขอมลตอบแบบสำ�รวจภ�ยในวนท ทงน ขอมลดงกล�วจะถกเกบรกษ�เปนคว�มลบ และจะใชเพอประกอบก�รพจ�รณ�กำ�หนดหลกเกณฑในก�รกำ�กบเรอง ก�รรกษ�คว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศ และเตรยมคว�มพรอมในก�รรบมอกบคว�มเสยงด�นภยคกค�มท�งไซเบอรของบรษทประกนภยเท�นน
** สำ�นกง�น คปภ. ขอขอบคณในคว�มรวมมอก�รใหขอมลของท�นลวงหน� ณ โอก�สน **
ขอมลผตอบแบบสอบถ�ม ( ตอบทกขอ )
บรษท
ชอผตอบแบบสอบถ�ม
ตำ�แหนง หนวยง�น
โทรศพท ตอ
E-mail address:
คำ�อธบ�ย
แบบสอบถ�มฉบบน ประกอบดวย 4 สวน ดงน
สวนท 1 : โครงสร�งในก�รกำ�กบดแล และลกษณะก�รประกอบธรกจ / ชองท�งก�รใหบรก�ร
สวนท 2 : ก�รกำ�กบดแลด�นคว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศและภยคกค�มท�งไซเบอร และก�รบรห�รจดก�รและม�ตรก�รในก�รควบคมคว�มเสยง
สวนท 3 : ก�รเตรยมคว�มพรอมในก�รรบมอภยคกค�มท�งไซเบอร
สวนท 4 : ก�รคมครองขอมลสวนบคคลของผเอ�ประกนภย
1. โครงสร�งในก�รกำ�กบดแล (จำ�นวน: ใหกรอกเปนตวเลขเท�นน)
1.1 บรษทมกรรมก�รทมคว�มรหรอประสบก�รณด�นเทคโนโลยส�รสนเทศ จำ�นวน คน
1.2 บรษทมก�รแตงตงคณะกรรมก�รชดยอย (Sub - Committee) ทำ�หน�ทกำ�กบดแลและรบผดชอบเรอง IT security และ Cybersecurity หรอไม
ม โดย 1. ด�น IT security ( ชอคณะกรรมก�รชดยอย )
2. ด�น Cybersecurity ( ชอคณะกรรมก�รชดยอย )
ไมม แตบรษทมก�รกำ�กบดแลโดย ( โปรดระบว�บรษทใชคณะ กรรมก�รชดใดในก�รกำ�กบดแล )
ไมม เนองจ�ก ( โปรดระบเหตผล ) 1.3 บรษทมก�รแตงตงผดำ�รงตำ�แหนงดงตอไปนหรอไม
ตำ�แหนง ม ไมม1) ผบรห�รเทคโนโลยส�รสนเทศระดบสง(Chief Information Officer : CIO)2) ผบรห�รด�นคว�มมนคงปลอดภยส�รสนเทศ
สวนท 1 : โครงสร�งในก�รกำ�กบดแล และลกษณะก�รประกอบธรกจ / ชองท�งก�รใหบรก�ร
(Chief Information Security Officer : CISO)
1.4 กรรมก�รบรษทของท�นมอบหม�ยใครเปนผมทำ�หน�ทกำ�กบดแลเรองก�รรกษ�คว�มมนคงปลอดภยของ ระบบเทคโนโลยส�รสนเทศของบรษท (ตอบไดเพยงขอเดยว)
CEO CIO CRO Senior Management IT manager อนๆ (โปรดระบ)
1.5 จำ�นวนพนกง�นประจำ�ของทงบรษทมจำ�นวน (ไมรวมพนกง�น Outsource/IT Outsource) คน1.6 บรษทมพนกง�นในส�ยง�นด�น IT รวมทงหมด คน 1.7 พนกง�นทรบผดชอบง�นด�นคว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศส�รสนเทศ และ/หรอเฝ�ระวงเหตก�รณด�นคว�มมนคงปลอดภยท�งไซเบอรหรอไม
ม โดยเปนพนกง�นของบรษทเองจำ�นวน คน
ม โดยเปนพนกง�น Outsource จำ�นวน คน
ไมม
1.8 จำ�นวนพนกง�นทรบผดชอบง�นด�นก�รบรห�รคว�มเสยงทเกยวของกบระบบเทคโนโลยส�รสนเทศของบรษท
มจำ�นวน คน
1.9 บรษทจดสรรงบประม�ณในด�น IT security / Cybersecurity ในป 2562 คดเปน % ของงบประม�ณทงหมดของบรษท
1.10 ในปจจบนบรษทไดดำ�เนนก�รตรวจสอบภ�ยในด�น IT Audit หรอไม
ม โดยหนวยง�นทมหน�ทตรวจสอบภ�ยในด�น IT Audit คอ
หนวยง�นภ�ยในของบรษท คอ
หนวยง�นตรวจสอบภ�ยใน
หนวยง�น IT อนๆ ( โปรดระบ )
ว�จ�งหนวยง�นภ�ยนอก โปรดระบชอบรษท
โดยมคว�มถในก�รตรวจสอบภ�ยในด�น IT Audit 1 ป 1-3 ป 3-5 ป ม�กกว�
5 ป
ยงไมมก�รตรวจสอบด�น IT Audit เนองจ�ก ( โปรดระบ เหตผล ) 2. ลกษณะก�รประกอบธรกจ / ชองท�งก�รใหบรก�ร
2.1. บรษทนำ�ระบบเทคโนโลยส�รสนเทศม�ใชกบก�รดำ�เนนง�นในกจกรรมบ�ง (ตอบไดม�กกว� 1 ขอ)
ก�รข�ยกรมธรรมประกนภย
ก�รพจ�รณ�รบประกนภย
ก�รจดก�รค�สนไหมทดแทน กระบวนก�รท�งบญช
ก�รประกนภยตอ
คณตศ�สตรประกนภย
ก�รลงทน
ก�รรบเรองรองเรยน / ลกค�สมพนธ
อนๆ ( โปรดระบ )
2.2 บรษทมก�รดำ�เนนก�รออกกรมธรรมประกนภย เสนอข�ยกรมธรรมประกนภย ชดใชเงนต�มสญญ�ประกนชวต หรอ ค�สนไหมทดแทนต�มสญญ�ประกนภย โดยใชวธก�รท�งอเลกทรอนกส หรอไม (เลอกไดทงสองขอ)
มใชระบบส�รสนเทศ
ของบรษทเองใชบรก�รระบบ
ส�รสนเทศจ�กผใหบรก�รภ�ยนอก
1. ก�รออกกรมธรรมประกนภย2. ก�รเสนอข�ยกรมธรรมประกนภย3. ก�รใชวธก�รท�งอเลกทรอนกสประกอบ ก�รเสนอข�ยกรมธรรมประกนภย4. ก�รชดใชเงนต�มสญญ�ประกนชวต หรอ ค�สนไหมทดแทนต�มสญญ�ประกนภย
ไมม
2.3 จำ�นวนผใหบรก�ร Web Hosting ทบรษทใชบรก�รในปจจบนมจำ�นวนรวมทงสน ร�ย
2.4 บรษทมก�รใชง�นระบบส�รสนเทศจ�กธน�ค�รพ�ณชยหรอไม
ม โดยใชง�นระบบส�รสนเทศของธน�ค�รในเรองดงตอไปน
ใชเปน Payment Gateway
ใชในก�รเสนอข�ยกรมธรรมโดยวธก�รท�งอเลกทรอนกส
อนๆ ( โปรดระบ ) ไมม
2.5 ปจจบนบรษทรบใหบรก�รด�นระบบ IT (IT Insourcing) หรอไม (ก�รรบใหบรก�รด�นระบบ IT (IT Insourcing) หม�ยถง ก�รใหบรก�รระบบส�รสนเทศแกหนวยง�นอน หรอบรษทประกนดแลระบบให)
ม โดยมร�ยละเอยดดงน
1) หนวยง�นภ�ยนอกทเข�ม�ใชระบบ IT ของบรษท จำ�นวน หนวยง�น (หนวยง�นภ�ยนอก เชน โรงพย�บ�ล หรอหนวยง�นร�ชก�ร เปนตน ( ไมรวมถงลกค� Corporate))
2) ตวแทน / น�ยหน� ทเข�ม�ใชระบบ IT ของบรษท จำ�นวน คน
(น�ยหน� เชน ธน�ค�รทข�ยกรมธรรมใหกบบรษท)
3) ผประเมนค�สนไหม (Surveyor) ทเข�ม�ใชระบบ IT ของบรษทจำ�นวน คน
4) อนๆ ( โปรดระบจำ�นวน )
ไมม
2.6 ปจจบนบรษทมรปแบบก�รใหบรก�รผ�น Website ของบรษทหรอไม
ม โดย ใหบรก�รด�นขอมล
ใหบรก�รในก�รทำ�ธรกรรมกบบรษท
ไมม
2.7 บรษทม Domain และ Subdomain จำ�นวน
2.8 บรษทมรปแบบก�รใหบรก�รผ�น Mobile Application ของบรษทหรอไม
ม โดย ใหบรก�รด�นขอมล
ใหบรก�รในก�รทำ�ธรกรรมกบบรษท
ไมม
2.9 บรษทมรปแบบก�รใหบรก�รผ�น Social Media ใดบ�ง Facebook Instagram Line Twitter อนๆ
ยงไมมก�รใหบรก�รผ�น Social Media2.10 บรษทมก�รใชง�นเครองอ�นบตรประช�ชนสม�รทก�รด หรอไม
ม โดยมก�รรกษ�คว�มปลอดภยของขอมลอย�งไร ( โปรด อธบ�ย )
ไมม
2.11 บรษทมก�รใชอปกรณรบชำ�ระเงนท�งอเลกทรอนกส (Electronic Data Capture: EDC) และอปกรณ EDC ทเชอมตอกบ Smartphone หรอไม
ม จำ�นวน ( ระบจำ�นวน ) เครอง
ไมม
2.12 บรษทมระบบในก�รเชอมตอสำ�หรบรบ สงขอมลกบบรษทน�ยหน�–นตบคคลหรอไม
ม
ไมม
2.13 บรษทมตวแทนประกนภย / น�ยหน�ประกนภยนตบคคล ทใชระบบของบรษทในก�รเสนอข�ยกรมธรรมหรอไม
ม 1) ตวแทนประกนภย คดเปนรอยละ ของจำ�นวนตวแทนทงหมด
2) น�ยหน�ประกนภยนตบคคล คดเปนรอยละ ของจำ�นวนน�ยหน�นตบคคลทงหมด
ไมม2.14 ปจจบนบรษทไดรบก�รรบรองม�ตรฐ�น ISO/IEC 27001 หรอไม
ไดรบก�รรบรอง ในระบบดงตอไปน
ก�รใหบรก�รศนยคอมพวเตอร
ระบบก�รเสนอข�ยโดยวธก�รท�งอเลกทรอนกส
ระบบก�รออกกรมธรรมโดยใชวธก�รท�งอเลกทรอนกส
ระบบก�รชดใชเงนต�มสญญ�ฯ โดยใชวธก�รท�งอเลกทรอนกส
อนๆ ( โปรดระบ )
ไมไดรบก�รรบรอง
2.15 บรษทมจำ�นวน Internet Service Provider : ISP ทเชอมตอกบบรษทมจำ�นวนรวมทงสน 2.16 บรษทมจำ�นวน Public IP ของบรษททส�ม�รถเชอมตอเครอข�ยอนเทอรเนต รวมทงสน 2.17 ปจจบนบรษทมก�รจดเกบขอมลจร�จร (Log) หรอไม
ม โดยมก�รจดเกบ Log ในก�รใชง�นดงตอไปน
ก�รใชง�นภ�ยในองคกร เชน เครองแมข�ยทสำ�คญ ระบบง�นทสำ�คญ เครองคอมพวเตอร เปนตน
ก�รใชง�นและใหบรก�ร Website ก�รใชง�น Social Network ในก�รสอส�รองคกร
อนๆ โปรดระบ _________________________________________________________
ไมม
2.18 ปจจบนบรษทมลกษณะของก�รใหบรก�รเครอข�ยไรส�ยอย�งไร
บคคลภ�ยในบรษทและภ�ยนอกบรษทใชระบบเครอข�ยไรส�ยรวมกน
บคคลภ�ยในบรษทและภ�ยนอกบรษทใชระบบเครอข�ยไรส�ยแยกออกจ�กกน
ไมมก�รใหบรก�รเครอข�ยไรส�ย
2.19 บรษทมก�รสอส�รเงอนไขก�รใชระบบเครอข�ยไรส�ยของบรษทใหกบผใชง�นรบทร�บหรอไม
ม ไมม
2.20 บรษทมกระบวนก�รพจ�รณ�ก�รกำ�หนดสทธระบบเครอข�ยไรส�ยใหกบบคคลภ�ยในและภ�ยนอกบรษทหรอไม
ม ไมม2.21 บรษทอนญ�ตใหส�ม�รถนำ�อปกรณสวนตวม�เชอมตอกบระบบเครอข�ยของบรษทหรอไม
อนญ�ต โดยอปกรณสวนตวทไดรบอนญ�ตเข�ถงเครอข�ยภ�ยในบรษทได ไดแก
Notebook
Smartphone Tablet อนๆ ( โปรดระบ )
ไมอนญ�ต
2.22 บรษทมกระบวนก�รควบคมก�รใชง�นอปกรณสวนตวทม�เชอมตอกบระบบเครอข�ยของบรษทหรอไม
มกระบวนก�รควบคม ดงน
กำ�หนดใหอปกรณสวนตวทจะเชอมตดตอระบบภ�ยในบรษทได ตองทำ�ก�รลงทะเบยนแลวเท�นน
กำ�หนดใหมก�รลงทะเบยนอปกรณพกพ� เพอทำ�ร�ยก�รบนทก อพเดทขอมล software ปองกนโปรแกรมไมประสงคด อพเดทโปรแกรมเพมเตมของระบบปฏบตก�ร และก�รกำ�หนดค�คว�มปลอดภยใหเหม�ะสมกบก�รใชง�น
มก�รใชเทคโนโลยในก�รลบขอมลบนอปกรณพกพ�จ�กระยะไกลในกรณทอปกรณสญห�ย
กำ�หนดใหมก�รลบขอมล (wipe data) บนอปกรณพกพ� ทกครงกอนนำ�ไปซอมหรอหมดอ�ยก�รใชง�น
อนๆ โปรดระบ _________________________________________________________
ไมม
2.23 บรษทมก�รกำ�หนดจำ�นวนอปกรณสวนตวทส�ม�รถเชอมตอเครอข�ยภ�ยในของบรษทตอคน หรอไม
ม ระบจำ�นวน ตอคน ไมม
2.24 บรษทของท�นมก�รใชบรก�ร Cloud service จ�กผใหบรก�รภ�ยนอกหรอไม
ใชบรก�ร Cloud service สำ�หรบก�รดำ�เนนง�นในกจกรรม (เลอกไดม�กกว� 1 ขอ)
ก�รประมวลผลและจดเกบขอมลเกยวกบกรมธรรมประกนภย
ก�รเสนอข�ยโดยวธก�รท�งอเลกทรอนกส
ก�รออกกรมธรรมโดยใชวธก�รท�งอเลกทรอนกส
ก�รชดใชเงนต�มสญญ�ฯ โดยใชวธก�รท�งอเลกทรอนกส
ก�รประมวลผลระบบง�นภ�ยในของบรษท
ก�รทดสอบระบบง�น
อนๆ โปรดระบ ยงไมใชบรก�ร Cloud service เนองจ�ก
บรษทยงไมมนโยบ�ยใหใชบรก�ร Cloud service ในง�นประเภทใดๆ
บรษทยงไมมคว�มจำ�เปนทจะตองใชบรก�ร Cloud service ในง�นปจจบน
2.25 บรษทมแนวท�งในก�รบรห�รจดก�รเกยวกบก�รใชบรก�รจ�กผใหบรก�รภ�ยนอก (Third Party Management) หรอไม
ม
มนโยบ�ยเกยวกบก�รใชบรก�รจ�กผใหบรก�รภ�ยนอก ทครอบคลมเรองดงตอไปน
วธก�รคดเลอก และก�รทบทวนคณสมบตของผใหบรก�รภ�ยนอก
ขอตกลงด�นก�รรกษ�คว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศ และก�รรกษ�คว�มปลอดภยและคว�มลบของระบบง�นและขอมล
หน�ทคว�มรบผดชอบของผใหบรก�รภ�ยนอก
ระบประเภทขอมลทอนญ�ตใหผใหบรก�รภ�ยนอกเข�ถง
ขนตอนและกระบวนก�รตดต�มก�รเข�ถงขอมลต�มทไดรบอนญ�ต
กระบวนก�รควบคมเพอตดต�มก�รทำ�ง�นของผใหบรก�รภ�ยนอก
มขอตกลงและก�รควบคมเกยวกบก�รรกษ�คว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศในก�รใชบรก�รจ�กผใหบรก�รภ�ยนอก
มนโยบ�ยก�รบรห�รจดก�รคว�มเสยงจ�กก�รใชบรก�รจ�กผใหบรก�รภ�ยนอก
มก�รตดต�ม ประเมน ทบทวน และตรวจสอบก�รดำ�เนนง�นของผใหบรก�รภ�ยนอกอย�งสมำ�เสมอ
มแผนรองรบกรณทเกดเหตก�รณทอ�จสงผลกระทบตอคว�มมนคงปลอดภยของระบบ เทคโนโลยส�รสนเทศ
ไมม
อ
อ
อ
1. ในปจจบนบรษทมก�รกำ�หนดนโยบ�ยในเรองดงตอไปนเปนล�ยลกษณอกษรหรอไม
1.1 นโยบ�ยก�รบรห�รจดก�รคว�มเสยงด�นเทคโนโลยส�รสนเทศ (IT Risk Management Policy)
ม โปรดระบหนวยง�นหรอบคล�กรทเกยวของในก�รจดทำ�
โปรดระบผททำ�หน�ทในก�รพจ�รณ�อนมต
คว�มถในก�รทบทวน ___ ร�ยป ___ ร�ยเดอน ___ ร�ยไตรม�ส
___ ทบทวนทกครงเมอเกดเหตก�รณทมนยสำ�คญ
ทบทวนนโยบ�ยครงล�สดเมอวนท
ยงไมไดกำ�หนด เนองจ�ก ( โปรดระบเหตผล )
1.2 นโยบ�ยก�รรกษ�คว�มมนคงปลอดภยด�นเทคโนโลยส�รสนเทศ (IT Security Policy)
ม โปรดระบหนวยง�นหรอบคล�กรทเกยวของในก�รจดทำ�
โปรดระบผททำ�หน�ทในก�รพจ�รณ�อนมต
คว�มถในก�รทบทวน ___ ร�ยป ___ ร�ยเดอน ___ ร�ยไตรม�ส
สวนท 2 : โครงสร�งและก�รกำ�กบดแลด�นคว�มมนคงปลอดภยของระบบเทคโนโลยส�รสนเทศและ
___ ทบทวนทกครงเมอเกดเหตก�รณทมนยสำ�คญทบทวนนโยบ�ยครงล�สดเมอวนท
IT Security Policy ของบรษทอ�งองเนอห�ม�จ�ก
ประก�ศคณะกรรมก�รธรกรรมท�งอเลกทรอนกสว�ดวยเรอง ม�ตรฐ�นก�รรกษ�คว�มมนคงปลอดภยของระบบส�รสนเทศต�มวธก�รแบบปลอดภย (สพธอ.)ม�ตรฐ�น ISO 27001 (International Organisation for Standardization)แนวปฏบตสำ�หรบรกษ�คว�มปลอดภยและควบคมคว�มเสยงของระบบเทคโนโลยส�รสนเทศ (Information Technology Risk Management) และคว�มเสยง ด�นภยคกค�มท�งไซเบอร (Cybersecurity) (สำ�นกง�น คปภ.)Cybersecurity Framework ของ National Institute of Standard and Technology: NIST อนๆ โปรดระบ
ยงไมไดกำ�หนด เนองจ�ก ( โปรดระบเหตผล )
2. นโยบ�ยก�รบรห�รจดก�รคว�มเสยงด�นเทคโนโลยส�รสนเทศ (IT Risk Management Policy) ครอบคลมในเรองดงตอไปนหรอไม
หวขอ ม / ไม
1. ก�รประเมนคว�มเสยง (Risk Assessment)
- ก�รระบคว�มเสยง (Risk Identification)เชน คว�มเสยงด�นขอมล คว�มเสยงด�นอปกรณเทคโนโลยส�รสนเทศ คว�มเสยงด�นซอฟแวรคอมพวเตอร คว�มเสยงด�นบคล�กร คว�มเสยงด�นก�ยภ�พและสงแวดลอม คว�มเสยงด�นเครอข�ยสอส�ร คว�มเสยงจ�กก�รใชบรก�รจ�กผใหบรก�รภ�ยนอก- ก�รวเคร�ะหคว�มเสยง (Risk Analysis)
มเกณฑในก�รประเมนระดบผลกระทบและโอก�สเกดเหตก�รณคว�มเสยง- ก�รประเมนค�คว�มเสยง (Risk Evaluation)
กำ�หนดระดบคว�มเสยงทยอมรบได (IT Risk Appetite) และพจ�รณ�เทยบกบระดบคว�มเสยงเพอจดลำ�ดบคว�มเสยงในก�รจดก�ร2. ก�รจดก�รคว�มเสยง (Risk Treatment)- กำ�หนดแนวท�งในก�รจดก�ร ควบคม ปองกนคว�มเสยงสอดคลองกบผลก�รประเมนคว�มเสยง- กำ�หนดดชนชวดคว�มเสยงด�น IT (IT Key Risk Indicators)3. ก�รตดต�มและทบทวนคว�มเสยง (Risk Monitoring and Review)- มกระบวนก�รในก�รตดต�มและทบทวนคว�มเสยงด�น IT4. ก�รร�ยง�นคว�มเสยง (Risk Reporting)- มก�รร�ยง�นผลก�รบรห�รคว�มเสยงด�น IT และแนวโนมของคว�มเสยงทอ�จเกดขน
3. นโยบ�ยก�รรกษ�คว�มมนคงปลอดภยด�นเทคโนโลยส�รสนเทศ (IT Security Policy) ครอบคลมในเรองดงตอไปนหรอไม
หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�ก1. ก�รบรห�รจดก�รคว�มมนคงปลอดภย
- มกระบวนก�รคดเลอกบคล�กร กรณ บรษทตอบว� ไมม“ ”
ขอใหระบเหตผล - มขอกำ�หนดหรอเงอนไขในสญญ�จ�งง�นของบคล�กรในเรองคว�มรบ
หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�กด�นทรพย�กรบคคล(Human Resource Security)
ผดชอบเกยวกบก�รปฏบตต�มนโยบ�ยก�รรกษ�คว�มมนคงปลอดภยด�นเทคโนโลยส�รสนเทศของบรษท
ดงตอไปน ข�ดแคลน
บคล�กร ข�ดแคลนงบ
ประม�ณ ข�ดคว�ม
เชยวช�ญ อนๆ (โปรดระบ )
- สร�งและสงเสรมคว�มตระหนกถงคว�มสำ�คญของคว�มเสยงด�นเทคโนโลยส�รสนเทศ- อบรมใหคว�มรแกคณะกรรมก�รของบรษทประกนภย ผบรห�รระดบสง และบคล�กรทเกยวของ- ก�รบรห�รจดก�รสทธของบคล�กรทเกยวของกบเทคโนโลยส�รสนเทศ ใหเปนปจจบน โดยเฉพ�ะเมอมก�รเปลยนแปลงตำ�แหนงง�นหรอสนสดก�รจ�งง�น- มขอกำ�หนดหรอเงอนไขก�รใชง�นทรพยสนด�นเทคโนโลยส�รสนเทศของบรษทประกนภย- กำ�หนดคว�มรบผดชอบของผปฏบตง�นและผใชง�นในก�รใช User account and Password
2. ก�รบรห�รจดก�รทรพยสนด�นเทคโนโลยส�รสนเทศ (IT Asset Management)
- จดทำ�ทะเบยนร�ยก�รทรพยสนด�นเทคโนโลยส�รสนเทศ- มก�รบำ�รงรกษ�ทรพยสนด�นเทคโนโลยส�รสนเทศอย�งสมำ�เสมอ- มม�ตรก�รด�นคว�มมนคงปลอดภยสำ�หรบเครองคอมพวเตอร และอปกรณพกพ�ในก�รนำ�ม�ใชในองคกร
หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�ก3. ก�รจดชนส�รสนเทศและก�รเข�รหสขอมล (Information Classification and Cryptography)
มแนวปฏบตก�รจดชนส�รสนเทศทเหม�ะสมต�มชนคว�มลบและคว�มสำ�คญของส�รสนเทศ อย�งนอยดงตอไปน- ก�รจดชนส�รสนเทศ (Information Classification)
- ก�รรกษ�คว�มมนคงปลอดภยของขอมล ทงในก�รรบสงขอมล ผ�นเครอข�ยสอส�ร ก�รจดเกบขอมลในระบบง�นและสอบนทกขอมลต�งๆ สอดคลองต�มก�รจดชนส�รสนเทศ
- ก�รเกบรกษ�และทำ�ล�ยขอมลใหเหม�ะสมกบชนคว�มลบ
- ก�รบรห�รจดก�รก�รเข�รหสขอมล (cryptography) ทเชอถอได และเปนม�ตรฐ�นส�กล
4. ก�รควบคมก�รเข�ถง (Access Control)
- มขอกำ�หนดนโยบ�ยก�รเข�ถงหรอเข�ใชง�นระบบและขอมล- มก�รบรห�รจดก�รสทธก�รใชง�น และตรวจสอบยนยนตวตนต�มสทธทกำ�หนด- มก�รทบทวนปรบปรงสทธก�รใชง�นต�มรอบระยะเวล�ทกำ�หนด- มก�รเพกถอนสทธก�รใชง�นเมอมก�รเปลยนแปลงหน�ทง�น หรอสนสดสภ�พก�รเปนพนกง�น
5. ก�รรกษ� - มม�ตรก�รรกษ�คว�มมนคง
หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�กคว�มมนคงปลอดภยท�งก�ยภ�พและสภ�พแวดลอม (Physical and Environmental Security)
ปลอดภยของศนยคอมพวเตอร (Data Center) สถ�นทปฏบตง�นทเกยวของกบเทคโนโลยส�รสนเทศ และพนททเกยวของกบเทคโนโลยส�รสนเทศทสำ�คญ- มระบบก�รปองกนและกระบวนก�รในก�รบำ�รงรกษ�อปกรณคอมพวเตอร และระบบส�ธ�รณปโภคทเกยวของกบเทคโนโลยส�รสนเทศ
6. ก�รรกษ�คว�มมนคงปลอดภยของระบบเครอข�ยสอส�ร (Communication Security)
มก�รรกษ�คว�มมนคงปลอดภยของระบบเครอข�ยสอส�รของบรษทประกนภย เพอใหระบบเครอข�ยสอส�รและขอมลทมก�รรบสงผ�นเครอข�ยสอส�ร มคว�มมนคงปลอดภย และส�ม�รถปองกนก�รบกรกหรอภยคกค�มทอ�จเกดขน อย�งนอยในเรองดงตอไปน1) ตองจดใหมก�รจำ�แนกโซนเครอข�ยสอส�ร2) ตองจดใหมอปกรณคว�มปลอดภยเครอข�ย
7. ก�รรกษ�คว�มมนคงปลอดภยในก�รปฏบตง�นด�นเทคโนโลยส�รสนเทศ(IT
- มก�รบรห�รจดก�รขดคว�มส�ม�รถของระบบ และระบบส�ธ�รณปโภค (Capacity Management)- มก�รรกษ�คว�มมนคงปลอดภยของเครองแมข�ย (Server) และอปกรณทใชปฏบตง�นของผใชเทคโนโลยส�รสนเทศ (Endpoint) เชน ก�ร
หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�กOperations Security)
ตดตงโปรแกรมปองกนไวรส หรอระบบตรวจจบก�รแฝงตวของโปรแกรมไมประสงคด (Malware) หรอก�รโจมตดวยรปแบบต�งๆ เพอปองกนก�รรวไหล ของขอมลหรอก�รเข�ใชง�นโดยไมไดรบอนญ�ต- มก�รสำ�รองขอมล (Data Backup) ดวยวธก�รและระยะเวล�ทเหม�ะสม- มก�รจดเกบขอมลบนทกเหตก�รณ (Logging) ของเครองแมข�ย ระบบง�น และอปกรณเครอข�ยทสำ�คญ- มก�รตดต�มดแลระบบและเฝ�ระวงภยคกค�ม (Security Monitoring) โดยมกระบวนก�รหรอเครองมอในก�รตรวจจบเหตก�รณผดปกต หรอภยคกค�มทมผลกระทบตอคว�มมนคงปลอดภยของระบบทสำ�คญ- มก�รบรห�รจดก�รชองโหว (Vulnerability Management) ของระบบทเหม�ะสมต�มระดบคว�มเสยง- มก�รทดสอบเจ�ะระบบ (Penetration Test)- มก�รบรห�รจดก�รก�รเปลยนแปลง (Change Management) โดยจดใหมกระบวนก�รในก�รบรห�รจดก�รก�รเปลยนแปลงและควบคมก�ร
หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�กเปลยนแปลงอย�งรดกมและเพยงพอ เชน ก�รนำ�ระบบขนใชง�นจรง (System Deployment) ก�รตงค�ระบบ (System Configuration)- มก�รบรห�รจดก�รก�รตงค�ระบบ (System Configuration Management) โดยจดใหมกระบวนก�รในก�รควบคมก�รตงค�ของระบบทใชง�นจรง และมก�รสอบท�นก�รตงค�อย�งสมำ�เสมอ- มก�รบรห�รจดก�ร Patch (Patch Management) โดยจดใหมกระบวนก�รในก�รควบคมก�รตดตง Patch ของระบบทใชง�นจรง
8. ก�รจดห�และก�รพฒน�ระบบ(System Acquisition and Development)
1) ก�รจดห�ระบบ (system acquisition)- หลกเกณฑทชดเจนและเหม�ะสมในก�รคดเลอกระบบและผใหบรก�ร2) ก�รพฒน�ระบบ (System Development)- เอกส�รร�ยละเอยดคณสมบตท�งเทคนค (Technical Specification) โดยครอบคลมถงเรองก�รรกษ�คว�มมนคงปลอดภย ซงรวมถงกระบวนก�รในก�รทดสอบ- กระบวนก�รหรอเครองมอในก�รควบคมเวอรชนของคำ�สงในก�รเขยนโปรแกรม (Source Code Version Control)
หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�ก- ก�รแบงแยกบทบ�ทหน�ทและคว�มรบผดชอบของผทเกยวของในกระบวนก�รพฒน�ระบบ เชน ก�รแบงแยกระหว�งผพฒน�ระบบและผนำ�ระบบขนใชง�นจรง- ก�รแบงแยกสภ�พแวดลอมของระบบง�น ทใชสำ�หรบก�รพฒน� (Development) และก�รทดสอบ (Testing) ออกจ�กระบบง�นทให บรก�รจรง (Production)- ก�รทดสอบระบบกอนก�รใชง�นจรง- ก�รพฒน�หรอก�รเปลยนแปลงระบบทเกยวของกบก�รใหบรก�รหรอก�รทำ�ธรกรรมท�งอเลกทรอนกสโดยจดใหมก�รทดสอบประสทธภ�พ (Performance Test)- มแนวท�งในก�รควบคมก�รรกษ�คว�มมนคงปลอดภยและคว�มลบของขอมลสำ�คญทนำ�ไปใชในก�รทดสอบ- ก�รจดทำ�คมอและอบรมผใชง�นระบบและผดแลระบบ
9. ก�รบรห�รจดก�รผใหบรก�รภ�ยนอก (Third Party Management)
- จดทำ�สญญ�หรอขอตกลงก�รใหบรก�รโดยระบหน�ทคว�มรบผดชอบ และเงอนไขในก�รใหบรก�รอย�งชดเจน- ในก�รจดจ�งผใหบรก�รภ�ยนอกหรอมพนธมตรท�งธรกจในก�รรวมพฒน�หรอใหบรก�รท�งก�รเงน บรษทประกนภยตองคำ�นงถงคว�มตอ
หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�กเนองในก�รดำ�เนนธรกจของบรษทประกนภย ขอจำ�กดหรอขอตกลงในก�รเปลยนแปลงผใหบรก�รภ�ยนอกหรอพนธมตรท�งธรกจ และก�รยกเลกหรอสนสดสญญ� (Exit Strategy)
10. ก�รบรห�รจดก�รเหตก�รณผดปกตและปญห� (IT Incident and Problem Management)
- มวธปฏบต ขนตอนปฏบต หรอแผนรองรบ ในก�รบรห�รจดก�รเหตก�รณผดปกตและปญห�ทเกดจ�กก�รใชเทคโนโลยส�รสนเทศ อย�งเหม�ะสมและทนทวงท พรอมทงชองท�งก�รร�ยง�นแจงเหตก�รณทพบ เหตก�รณผดปกต และปญห�ทเกดจ�กก�รใชเทคโนโลยส�รสนเทศ- มก�รบนทก วเคร�ะห และร�ยง�นเหตก�รณผดปกตและปญห� และก�รแกไข ใหคณะกรรมก�รบรษท คณะกรรมก�รทไดรบมอบหม�ย หรอผบรห�รระดบสง ทไดรบมอบหม�ยทร�บในระยะเวล�ทเหม�ะสม- มก�รวเคร�ะหส�เหตทแทจรง (Root Cause) ของปญห�เพอห�แนวท�งแกไขจ�กส�เหตทแทจรงและปองกนไมใหเกดเหตก�รณผดปกตซำ�ในอน�คต
11. ก�รจดทำ�แผนฉกเฉนด�นเทคโนโลย
- มคณะทำ�ง�นหรอหนวยง�นทรบผดชอบในก�รจดทำ�แผนฉกเฉนด�นเทคโนโลยส�รสนเทศ และพจ�รณ�
หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�กส�รสนเทศ อนมตโดยคณะกรรมก�รบรษท
- มก�รจดทำ�แผนฉกเฉนด�นเทคโนโลยส�รสนเทศ โดยคำ�นงถงลกษณะก�รดำ�เนนธรกจ ปรม�ณธรกรรม คว�มซบซอนของเทคโนโลยส�รสนเทศ และคว�มเสยงทเกยวของ- แผนฉกเฉนด�นเทคโนโลยส�รสนเทศเปนไปไดในท�งปฏบต ส�ม�รถนำ�ม�ใชรองรบคว�มเสยห�ยทเกดขนไดจรง และสอดคลองกบแนวปฏบต เรอง BCM และ BCP- มคมอหรอเอกส�รประกอบก�รดำ�เนนก�รต�มแผนฉกเฉนด�นเทคโนโลยส�รสนเทศ รวมทงประช�สมพนธแผนและฝกอบรมเพอใหพนกง�นทกคนทมสวนเกยวของมคว�มเข�ใจและส�ม�รถปฏบตต�มแผนได- มก�รทบทวนและทดสอบก�รปฏบตต�มแผนฉกเฉนด�นเทคโนโลยส�รสนเทศอย�งนอยปละ 1 ครง และ ทกครงทมก�รเปลยนแปลงอย�งมนยสำ�คญ- มศนยคอมพวเตอรสำ�รอง (Disaster Recovery Site) ทมคว�มพรอมใชง�นและส�ม�รถปฏบตง�นทดแทนไดเมอศนยคอมพวเตอรหลก (Primary Site) หยดชะงก
หวขอ ตวอย�งคำ�อธบ�ย / ร�ยละเอยด ม ไมม เนองจ�ก12. อนๆ (โปรดระบ)
...............................................
.......
4. บรษทมก�รสอส�รนโยบ�ยเรอง IT security policy และแนวท�งปฏบตทเกยวของหรอไม
มก�รสอส�รใหบคล�กรภ�ยในบรษททเกยวของดงตอไปนรบทร�บ
พนกง�นของบรษท
ผใหบรก�รด�นระบบจ�กภ�ยนอก (Vendor) ผทไดรบมอบหม�ยใหดำ�เนนก�รแทนบรษท (Outsource) อนๆ โปรดระบ
โดยมวธก�รหรอชองท�งทบรษทใชในก�รสอส�รนโยบ�ยแกผทเกยวของ ดงน
แจงเวยนเปนหนงสอใหบคคลทเกยวของรบทร�บ
ผ�น intranet / website / E-mail ของบรษท
จดประชม และฝกอบรมใหผทเกยวของทร�บ
อนๆ โปรดระบ
ไมม
5. ในมมมองของบรษทท�นคดว� คว�มเสยงด�น IT Risk และ Cyber Risk ใดบ�งทมผลกระทบตอก�รดำ�เนนง�นของบรษทม�กทสดใน 3 ลำ�ดบแรก
ลำ�ดบ
คว�มเสยง
1) ก�รข�ดแคลนบคล�กรทมทกษะและคว�มเชยวช�ญ2) ก�รรบบคล�กรทไมประสงคดกบบรษท
ลำ�ดบ
คว�มเสยง
3) พนกง�นทสนสดก�รว�จ�งนำ�ขอมลคว�มลบของบรษทไปเผยแพร
4) ทรพยสนส�รสนเทศสญห�ย5) สอทใชบนทกขอมลในก�รสำ�รองขอมลเสอมสภ�พ6) เอกส�รลบของบรษทถกเผยแพรสภ�ยนอก7) ขอมลสำ�คญหรอขอมลทมชนคว�มลบถกดกจบหรอแกไขใน
ระหว�งก�รประมวลผล8) พนกง�นทสนสดก�รว�จ�งยงส�ม�รถเข�ถงขอมลสำ�คญหรอ
ขอมลทม ชนคว�มลบได9) เจ�หน�ททไมไดรบอนญ�ตหรอไมสทธส�ม�รถเข�ถงขอมล
สำ�คญหรอขอมลทมชนคว�มลบได10) ขอมลสำ�คญ หรอขอมลทมชนคว�มลบ ถกแกไขโดยไมไดรบ
อนญ�ต11) เครองแมข�ยไดรบคว�มเสยห�ยเนองจ�กสภ�พแวดลอมของ
ศนยคอมพวเตอรไมเหม�ะสม12) Data center เกดคว�มเสยห�ยจ�กไฟไหม13) หอง Sever หรอศนย Data center ถกเข�ถงโดยบคคลท
ไมไดรบอนญ�ต14) ระบบเครอข�ยลมเหลวทำ�ใหไมส�ม�รถใหบรก�รได15) ผไมมสทธส�ม�รถเข�ถงเครองแมข�ย และอปกรณเครอข�ยได16) ขอมลททำ�ก�รสำ�รองไวไมส�ม�รถกคนกลบม�ใชไดจรง17) ระบบลมเหลวจ�กก�ร Patch18) ผดแลระบบตรวจพบก�รโจมตท�งไซเบอรหลงจ�กทเกด
เหตก�รณเปนระยะเวล�น�น19) ระบบง�นทใชมชองโหว (Vulnerability) เนองจ�กไมได
ทดสอบเจ�ะระบบกอนนำ�ระบบขนใชจรง20) ชองโหวของระบบง�นเนองจ�กใช Software ท out of
ลำ�ดบ
คว�มเสยง
date21) ขอมลทเปนคว�มลบหรอขอมลสวนบคคลของลกค�ถกนำ�ไปใช
ในก�รพฒน�หรอทดสอบระบบง�น22) บรษทผใหบรก�รจ�กภ�ยนอกทบรษทไดว�จ�งไมส�ม�รถ
ดำ�เนนง�นไดต�มทกำ�หนดในสญญ�23) บรษทผใหบรก�รภ�ยนอกถกโจมตท�งไซเบอรทำ�ใหขอมล
สำ�คญหรอขอมลทมชนคว�มลบของบรษทถกเปดเผย24) บรษทผใหบรก�รภ�ยนอกนำ�คว�มลบขององคกรไปเปดเผย25) บรษทใชระยะเวล�ในก�รจดก�รเหตก�รณเปนระยะเวล�น�นเกน
กว� ทกำ�หนดไว26) เกดเหตก�รณผดปกตซงมลกษณะเหตก�รณซำ�ๆ โดยไม
ส�ม�รถห� แนวท�งแกไขได27) บรษทไมส�ม�รถกคนระบบง�นไดต�มระยะเวล�ทกำ�หนด28) ระบบส�รสนเทศของบรษทโดนโจมตท�งไซเบอร เชน ต
ดมลแวร Ransomware, DDOS, Botnets และ APT เปนตน29) ผใชระบบส�รสนเทศของบรษทถกโจมตท�งไซเบอร เชน
Phishing ตดมลแวร Ransomware เปนตน30) ขอมลคว�มลบบรษทรวไหล
1. บรษทมคว�มรคว�มเข�ใจในกรอบก�รทำ�ง�นและก�รดำ�เนนง�นด�นคว�มมนคงปลอดภยท�งไซเบอรของสถ�บนม�ตรฐ�นและเทคโนโลย (National Institute of Standard and Technology: NIST)
มคว�มรคว�มเข�ใจ และส�ม�รถ
นำ�ม�ปรบใชได
มคว�มรคว�มเข�ใจ แตยงไมไดนำ�ม�ปรบใช
มคว�มรคว�มเข�ใจเลกนอย
ยงไมมคว�มร
คว�มเข�ใจ
1. กรรมก�ร
2. ผบรห�ร
3. พนกง�นในหนวยง�น IT4. พนกง�นของบรษท
2. .บรษทมแผนหรอม�ตรก�รในก�รรบมอภยคกค�มท�งไซเบอรในเรองใดบ�งในปจจบน
มลแวรรวมทงมลแวรเรยกค�ไถ (Malware/ Ransomware) มลแวรทมพฤตกรรมในก�รจ�รกรรมขอมล (APT) ก�รโจมตท�งเวบไซต (Web Based /Web Application
Attack) ฟชชง (Phishing) Denial of Service Botnets อนๆ ( โปรดระบ )
3. ในปจจบนบรษทไดสงเสรมและใหคว�มรแกกรรมก�ร ผบรห�ร และพนกง�นในสวนทเกยวของในเรองม�ตรฐ�นต�งๆ ทเกยวของ และก�ร
สวนท 3 : ก�รเตรยมคว�มพรอมในก�รรบมอภยคกค�มท�งไซเบอร
บรห�รจดก�รรวมทงก�รเตรยมคว�มพรอมในก�รรบมอภยคกค�มท�งไซเบอร
ระดบชอหลกสตรหรอหวขอทไดรบก�รอบรมครง
ล�สด
สถ�บนหรอองคกรทจด
อบรม
เดอน / ป
ระดบกรรมก�รระดบผบรห�รระดบพนกง�นในสวนทเกยวของ
4. ในปจจบนบรษทมก�รสร�งคว�มตระหนกและทดสอบก�รรบมอภยคกค�มท�งไซเบอรภ�ยในบรษทรปแบบใด
อบรม / สมมน�ใหคว�มร
สมมน�เชงปฏบตก�ร (Workshop)ก�รทำ� Cyber Drillอนๆ ( โปรดระบ )
โดยจดครงล�สดเมอเดอน ป 5. ใหบรษทประเมนตนเองเกยวกบระดบในก�รบรห�รจดก�รคว�มเสยงด�นคว�มมนคงปลอดภยท�งไซเบอรในปจจบน
Risk Management Process
(เลอกไดเพยง 1 ขอ)
Integrated Risk Management
Program(เลอกไดเพยง 1 ขอ)
External Participation
(เลอกไดเพยง 1 ขอ)
ยงไมมก�รบรห�รจดก�รคว�มเสยงด�นคว�มมนคงปลอดภยไซเบอรในบรษท
พนกง�นสวนใหญยงไมมคว�มตระหนกรเรองคว�ม
เสยงด�นคว�มมนคง
ยงไมมกระบวนก�รทำ�ง�นรวมกบหนวยง�นหรอ
องคกรภ�ยนอกอนๆ ใน
อย�งเปนท�งก�ร เปนเพยงแคก�รแกไขสถ�นก�รณ
เฉพ�ะหน�เท�นน
ปลอดภยไซเบอร ก�รบรห�รจดก�รคว�มเสยงด�นคว�มมนคง
ปลอดภยไซเบอร
มก�รบรห�รจดก�รคว�มเสยงด�นคว�มมนคง
ปลอดภยไซเบอร แตยงไมไดนำ�ม�ใชเปนกฎเกณฑทวไปใน
องคกร
พนกง�นมคว�มตระหนกรในเรองคว�มเสยงด�นคว�มมนคงปลอดภย
ไซเบอรแตยงไมทวถงทงองคกร
มกระบวนก�รทำ�ง�นรวมกบหนวยง�นภ�ยนอกและร
บทบ�ทหน�ทของตน แตยงไมมก�รกำ�หนดวธก�ร
ทำ�ง�นรวมกบหนวยง�น/องคกรภ�ยนอกอย�งเปนรป
ธรรม
รปแบบก�รบรห�รจดก�รคว�มเสยงด�นคว�มมนคงปลอดภยไซเบอรไดรบก�รอนมตจ�กคณะกรรมก�ร
บรษทหรอผบรห�รระดบสงอย�งเปนท�งก�ร และนำ�ม�
ใชเปนนโยบ�ยในองคกร
พนกง�นมคว�มตระหนกรในเรองคว�มเสยงด�นคว�มมนคงปลอดภย
ไซเบอรหนวยง�น/องคกรมม�ตรก�รบรห�รจดก�ร
คว�มเสยงครอบคลมทกสวนง�น
มกระบวนก�รทำ�ง�นรวมกนและมก�รรบขอมลข�วส�ร
จ�กหนวยง�น/องคกรภ�ยนอก เพอนำ�ไปใชในก�ร
รบมอภยคกค�มไซเบอร
มก�รปรบปรงนโยบ�ยและม�ตรก�รบรห�รจดก�รภย
คกค�มไซเบอรอย�งสมำ�เสมอ และพรอมรบมอ
ภยคกค�ม
ก�รบรห�รคว�มเสยงด�นคว�มมนคงปลอดภย
ไซเบอรถอเปนสวนหนงของวฒนธรรมองคกร
มกระบวนก�รทำ�ง�นรวมกนและมก�รแลกเปลยนขอมล
ข�วส�รกบหนวยง�น/องคกรภ�ยนอก เพอนำ�ไป
ใชในก�รเตรยมพรอมกอนเกดเหต
ภยคกค�มหม�ยเหต : ก�รประเมนระดบก�รบรห�รจดก�รคว�มเสยงด�นคว�มมนคงปลอดภยท�งไซเบอรในปจจบนของบรษท เปนก�รใหบรษทประเมนคว�มพรอมในเบองตนเพอรบรระดบคว�มพรอมใน
ก�รรบมอภยคกค�มท�งไซเบอรของบรษทเอง และส�ม�รถประเมนคว�มเหม�ะสมและคว�มเพยงพอในก�รดำ�เนนก�รต�มแนวท�งในปจจบนใหสอดคลองกบลกษณะก�รดำ�เนนธรกจและคว�มเสยงของบรษทเท�นน
สวนท 4 : ก�รคมครองขอมลสวนบคคลของผเอ�ประกนภย
4.1 บรษทมก�รระบขอมลสวนบคคลทมก�รเกบรวบรวมไวหรอไม (ทงในรปแบบเอกส�ร และรปแบบอเลกทรอนกส)
ม ไมม
4.2 ในปจจบนบรษทไดเรมดำ�เนนก�รขอคว�มยนยอม (Consent) จ�กเจ�ของขอมลสวนบคคลหรอไม
เรมดำ�เนนก�ร โดย
ก�รขอคว�มยนยอมจ�กเจ�ของขอมลสวนบคคลซงเปนลกค�เดมของบรษท
ก�รขอคว�มยนยอมจ�กเจ�ของขอมลสวนบคคลซงเปนลกค�ใหมของบรษท
ก�รขอคว�มยนยอมจ�กเจ�ของขอมลสวนบคคลซงเปนลกค�ตออ�ยของบรษท
อยในระหว�งดำ�เนนก�ร
ยงไมเรมดำ�เนนก�ร
4.3 ขอคว�มในก�รขอคว�มยนยอมจ�กเจ�ของขอมลสวนบคคล มก�รใชภ�ษ�ทอ�นเข�ใจไดโดยง�ย และไมเปนก�รหลอกลวงเจ�ของขอมลสวนบคคลหรอไม
ใช ไมใช
4.4 บรษทมกระบวนก�รในก�รควบคมก�รนำ�ขอมลสวนบคคลไปใช ตรงกบก�รขอคว�มยนยอมจ�กเจ�ของขอมลสวนบคคลหรอไม
ม ไมม อยในระหว�งดำ�เนนก�ร
4.5 บรษทมก�รนำ�ขอมลสวนบคคลไปใหหนวยง�นภ�ยนอกหรอไม
ม ไมม
4.6 บรษทมก�รกำ�หนดขนตอนในก�รจดก�รขอมลสวนบคคลในกรณทเจ�ของขอมลถอนคว�มยนยอมหรอไม
ม ไมม อยในระหว�งดำ�เนนก�ร
4.7 บรษทมก�รระบผงก�รไหล (Data Flow) ของขอมลสวนบคคลหรอไม
ม ไมม อยในระหว�งดำ�เนนก�ร
4.8 บรษทมก�รวเคร�ะหผลกระทบของขอมลสวนบคคล (Data Privacy Impact Assessment) หรอไม
ม ไมม อยในระหว�งดำ�เนนก�ร
กลมม�ตรฐ�นก�รบรห�รคว�มเสยง
ส�ยพฒน�ม�ตรฐ�นก�รกำ�กบสำ�นกง�น คปภ.