คปภ. ออกจดหมายแจ้งเตือน ความเสี่ยงด้านไอทีในอุตสาหกรรมประกันภัย

ความเสี่ยงด้านไอที

เมื่อเร็ว ๆ นี้สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) ได้ออกแจ้งเตือน 2 ฉบับ โดยฉบับหนึ่งสำหรับบริษัทประกันชีวิต และอีกฉบับสำหรับบริษัทประกันภัย โดยกำหนดหลักเกณฑ์และข้อกำหนดที่สำคัญสำหรับบริษัทประกันภัย ในการจัดการกับความเสี่ยงที่เกี่ยวข้องกับไอทีและความปลอดภัยในโลกไซเบอร์ โดยมีผลบังคับใช้ในวันที่ 1 มกราคม 2564 และครอบคลุมประเด็นสำคัญทั้ง 8 ประการของการบริหารความเสี่ยงด้านไอทีตามรายละเอียดด้านล่าง

 

ไอที

 

▶︎ การกำกับดูแลด้านไอที

บริษัทที่ให้ความคุ้มครองด้านประกันภัยจะต้องสังเกตและจัดการกับอันตรายด้านไอที และภัยคุกคามทางไซเบอร์ ตามบริบทของการดำเนินงานขององค์กร และทุกบริษัทควรมีกรรมการอย่างน้อยหนึ่งคนที่มีข้อมูลหรือความเชี่ยวชาญด้านข้อมูล

 

▶︎ การบริหารด้านไอที

บริษัทที่ให้ความคุ้มครองด้านประกันภัย จะต้องพัฒนากรอบการทำงานที่เป็นลายลักษณ์อักษร สำหรับการบริหารงานด้านไอที บริษัทควรแต่งตั้งคณะกรรมการเพิ่มเติมเพื่อกำกับดูแลและติดตามการริเริ่มบริหารงานด้านไอที

 

ความปลอดภัยด้านไอที

 

▶︎ ความปลอดภัยด้านไอที

บริษัทที่ให้ความคุ้มครองประกันภัยจะต้องจัดทำรายงานความปลอดภัยด้านไอทีเป็นลายลักษณ์อักษร ซึ่งจะต้องได้รับการทบทวนอย่างน้อยทุกปี หรือเมื่อดำเนินการปรับเปลี่ยนสิ่งที่สำคัญใด ๆ และจะต้องได้รับอนุญาตจากคณะกรรมการผู้บริหารหรือคณะอนุกรรมการที่เกี่ยวข้อง ซึ่งแต่งตั้งโดยคณะกรรมการบริหาร

 

ในการดำเนินการด้านไอทีให้กับซัพพลายเออร์ บริการบุคคลที่สาม หรือการเข้าร่วมในสมาคมใด ๆ ที่จะช่วยให้องค์กรสามารถเชื่อมต่อหรือเข้าสู่ระบบไอทีขององค์กร บริษัทที่ให้ความคุ้มครองประกันภัยจะต้องระบุมาตรฐานและขั้นตอนของตนเองสำหรับการดำเนินการข้างต้น

 

นอกจากนี้บริษัทที่ให้ความคุ้มครองประกันภัยอาจจำเป็นต้องปรับตัวให้เข้ากับคำชี้แนะที่กำลังจะเกิดขึ้นของคปภ. เกี่ยวกับมาตรฐานการกำกับดูแลการจ้างไอทีภายนอกให้กับซัพพลายเออร์และบุคคลที่สาม

 

IT Danger

 

▶︎ IT Danger Administration

บริษัทที่ให้ความคุ้มครองประกันภัย ควรเขียนความครอบคลุมการบริหารจัดการภัยคุกคามด้านไอทีเพิ่มเติม และประเมินผลอย่างน้อยทุกปี ความครอบคลุมนี้ควรได้รับอนุญาตจากคณะกรรมการผู้บริหารหรือคณะอนุกรรมการที่ได้รับการแต่งตั้ง ธุรกิจควรมีขั้นตอนในการประเมินภัยคุกคามด้านไอที การตรวจสอบ และการวิพากษ์วิจารณ์

 

▶︎ การปฏิบัติตามข้อกำหนดด้านไอที

บริษัทที่ให้ความคุ้มครองประกันภัย จำเป็นต้องใช้มาตรการที่จำเป็นสำหรับการปฏิบัติตามข้อกำหนดด้านไอที เพื่อปรับให้เข้ากับหลักเกณฑ์ทางกฎหมายที่เกี่ยวข้องกับไอทีและการต่อต้านการฟอกเงิน

 

ตรวจสอบไอที

 

▶︎ การตรวจสอบไอที

บริษัทประกันภัยจะต้องมีผู้ตรวจสอบไอทีทั้งภายในและภายนอกอย่างน้อยหนึ่งคน ที่มีความเชี่ยวชาญและประสบการณ์ในการตรวจสอบไอที นอกจากนี้ บริษัทยังจำเป็นต้องตรวจสอบแผนและขอบเขตสำหรับการตรวจสอบด้านไอที ซึ่งต้องได้รับอนุญาตจากคณะกรรมการตรวจสอบ และต้องตรวจสอบอย่างน้อยทุกปี การตรวจสอบด้านไอทีจะต้องมีการบันทึกไว้ในองค์กร

 

▶︎ ความปลอดภัยทางไซเบอร์

บริษัทที่ให้ความคุ้มครองประกันภัยจะต้องตรวจสอบกรอบและตัวชี้วัดสำหรับการกำกับดูแลและความปลอดภัยในการต่อต้านภัยคุกคามทางไซเบอร์ ตามหลักเกณฑ์ทางกฎหมายด้านความปลอดภัยทางไซเบอร์และสอดคล้องกับการดำเนินงานขององค์กร อีกทั้งต้องใช้มาตรการที่จำเป็นเพิ่มเติมเพื่อต่อต้านภัยคุกคามทางไซเบอร์ ร่วมกับการระบุภัยคุกคามความปลอดภัย การตรวจจับ และมาตรการรับมือ

 

รายงาน

 

▶︎ การรายงานภาระหน้าที่

บริษัท ที่ให้ความคุ้มครองประกันภัยมีหน้าที่รายงานเหตุการณ์ความเสี่ยงทางไซเบอร์ต่อ คปภ. และภัยคุกคามต่าง ๆ ที่มีผลกระทบต่อเทคนิคด้านไอทีของตนภายในกรณีต่อไปนี้:

 

เหตุการณ์ที่เกี่ยวข้องกับการใช้ไอทีที่ส่งผลกระทบต่อผู้ให้บริการ เหตุการณ์นี้ครอบคลุมถึงกรณีที่หน่วยงานด้านไอทีขององค์กรเป็นเป้าหมายสำหรับการโจมตีทางไซเบอร์ หรือมีความเสี่ยงที่อาจเกิดการโจมตีทางอินเทอร์เน็ต ซึ่งต้องรายงานไปยังหัวหน้าหรือเจ้าหน้าที่รัฐบาลขององค์กร

 

ในกรณีนี้ธุรกิจต่าง ๆ จะต้องรายงานเหตุการณ์ดังกล่าวต่อ คปภ. พร้อมกับรายละเอียดต่าง ๆ ที่จำเป็นโดยทันที หัวข้อของการโจมตีหรือความเสี่ยงทางไซเบอร์ ต้องรายงานไปยัง คปภ. หรือหน่วยงานด้านความปลอดภัยทางไซเบอร์ที่รับผิดชอบ ตามที่กำหนดภายใต้กฎระเบียบทันทีและภายใน 72 ชั่วโมง

 

อ่านบทความที่เกียวข้องผู้นำธุรกิจไทยมองว่า cybersecurity สำคัญมาก ในการฟื้นตัวจาก Covid-19

 

อ้างอิง: lexology.com