"คปภ." ไฟเขียว!กำกับดูแล-บริหารความเสี่ยง

   "คปภ." ไฟเขียว!กำกับดูแล-บริหารความเสี่ยง

   ด้านเทคโนโลยีฯประกันภัยสู้ภัยคุกคามไซเบอร์

   ดร.สุทธิพล ทวีชัยการ เลขาธิการคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (เลขาธิการ คปภ.) เปิดเผยว่า ที่ประชุมคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (บอร์ด คปภ.) ครั้งที่ 6/2563 เมื่อวันที่ 22 พฤษภาคม 2563 ที่ผ่านมาได้มีมติเห็นชอบ

   ร่างประกาศ คปภ. เรื่อง หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต /ประกันวินาศภัย พ.ศ. ….

   ตามที่สำนักงาน คปภ. เสนอ เพื่อกำหนดหลักเกณฑ์และแนวทางในการกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีให้มีความมั่นคงปลอดภัย

   โดยร่างประกาศ คปภ.ฉบับดังกล่าว มีวัตถุประสงค์เพื่อให้บริษัทประกันภัยมีหลักเกณฑ์และแนวทางในการกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศให้มีความมั่นคงปลอดภัย

   รวมทั้งสามารถรับมือกับภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น ภายใต้บริบทการดำเนินธุรกิจในปัจจุบันที่เข้าสู่ยุคดิจิทัล ท่ามกลางกระแสแห่งการเปลี่ยนแปลงทั้งด้านเทคโนโลยีในการดำเนินธุรกิจ พฤติกรรมของผู้บริโภค ความผันผวนของสภาวะเศรษฐกิจ

   รวมถึงภัยคุกคามทางไซเบอร์ที่เกิดขึ้นควบคู่กับนวัตกรรมเทคโนโลยี นอกจากนี้ยังจะช่วยให้สำนักงาน คปภ. สามารถกำกับดูแลให้บริษัทประกันภัยมีการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศที่เหมาะสมสอดคล้องกับความเสี่ยงของบริษัท

   โดยมีการกำหนดหลักเกณฑ์และแนวทางให้บริษัทประกันภัยดำเนินการในประเด็นต่างๆ ดังนี้

   1. บริษัทต้องกำหนดบทบาทหน้าที่และความรับผิดชอบของคณะกรรมการบริษัทในการกำกับดูแลด้านเทคโนโลยีสารสนเทศ(IT Governance) 2. บริษัทต้องมีการบริหารจัดการความเสี่ยงของการดำเนินโครงการด้านเทคโนโลยีสารสนเทศ (IT Project Management) อย่างมีประสิทธิภาพ

   3. บริษัทต้องจัดให้มีนโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT Security) 4. บริษัทต้องบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Management) อย่างมีประสิทธิภาพ

   5. บริษัทต้องจัดให้มีการกำกับดูแลการปฏิบัติตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (IT Compliance) 6. บริษัทต้องจัดให้มีการตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT Audit) อย่างน้อยปีละ 1 ครั้ง

   7. บริษัทต้องจัดให้มีแนวทางการกำกับดูแลการเตรียมความพร้อมรับมือภัยคุกคามทางไซเบอร์และการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity)

   และ 8. บริษัทต้องมีระบบการรายงานเหตุการณ์ภัยคุกคามทางไซเบอร์หรือภัยคุกคามที่มีต่อระบบเทคโนโลยีสารสนเทศ (Reporting) ในกรณีที่เกิดปัญหาหรือเหตุการณ์ที่มีนัยสำคัญในการใช้เทคโนโลยีสารสนเทศ ซึ่งส่งผลกระทบต่อการให้บริการ หรือระบบ หรือข้อมูลผู้เอาประกันภัย หรือชื่อเสียงของบริษัท ฯลฯ

   “ปัจจุบันธุรกิจประกันภัยต้องเผชิญความท้าทายจากสภาวะการแข่งขัน และเทคโนโลยีที่เติบโตอย่างรวดเร็ว หลายบริษัทจึงได้นำเทคโนโลยีเข้ามาช่วยในการดำเนินธุรกิจมากขึ้น

   ซึ่งย่อมมีความเสี่ยงด้านเทคโนโลยีสารสนเทศและความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่ปัจจุบันมีแนวโน้มเพิ่มสูงขึ้นเป็นอย่างมาก โดยอาจก่อให้เกิดความเสียหาย และมีผลกระทบต่อความเชื่อมั่นของลูกค้า

   ดังนั้นการกำหนดหลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศตามประกาศนี้จะช่วยให้บริษัทประกันภัยมีการกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและภัยคุกคามทางไซเบอร์ได้อย่างเหมาะสมและเป็นระบบ

   มีการกำกับดูแลและพิจารณาแผนงานในการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรให้เหมาะสมกับขนาด และความซับซ้อนของระบบเทคโนโลยีสารสนเทศของบริษัทได้อย่างมีประสิทธิภาพ

   และสอดคล้องกับมาตรฐานสากล สำหรับขั้นตอนต่อไป สำนักงาน คปภ. จะได้เสนอให้ นายประสงค์ พูนธเนศ ปลัดกระทรวงการคลัง ในฐานะประธานบอร์ด คปภ. ลงนามในประกาศฉบับนี้เพื่อให้มีผลบังคับต่อไป” เลขาธิการ คปภ. กล่าวสรุป