it risk and cybersecurity - oic · network & communication security system acquisition &...

การก ากบดแลและบรหารจดการความเสยง ดานเทคโนโลยสารสนเทศของบรษทประกนภย

Governance and Management of Information Technology Risk

| ธรกจประกนชวต | ธรกจประกนวนาศภย |

โครงการยกระดบการก ากบดแลและการบรหารความเสยงดานดจทล

เอกสารประกอบการอบรม เร อง หลกเกณฑการก ากบดแลและบรหารจดการความเสยงดานเทคโนโลยสารสนเทศของบรษทประกนภย

(Governance and Management for Information Technology Risk) วนท 9 - 10 ตลาคม 2562 ณ ส านกงาน คปภ.

3

Executive Summary

แนวทางปฏบตส าหรบรกษาความปลอดภยและควบคมความเสยงของระบบเทคโนโลยสารสนเทศ (Information Technology Risk Management) และความเสยงดาน ภยคกคามทางไซเบอร (Cybersecurity) พ.ศ. 2560

หลกเกณฑการก ากบดแลและบรหารจดการความเสยงดานเทคโนโลยสารสนเทศของบรษทประกนภย พ.ศ. 2562

IT Risk Management

สรปภาพรวม

แนวปฏบต เรอง หลกเกณฑการก ากบ ดแลการใชบรการจากผใหบรการ ภายนอกดานเทคโนโลยสารสนเทศ

IT Outsourcing Critical IT Outsourcing

Non-critical IT Outsourcing

การด าเนนการของ คปภ.



4

Executive Summary

ประกาศนเรยกวา “ประกาศคณะกรรมการก ากบและสงเสรมการประกอบธรกจประกนภย เรอง หลกเกณฑการก ากบดแลและบรหารจดการความเสยงดานเทคโนโลยสารสนเทศของบรษทประกนภย (Governance and Management for Information Technology Risk) พ.ศ. 2562”

สรปภาพรวม

ประกาศนใหใชบงคบเมอพน หนงรอยแปดสบวน นบแตวนประกาศ ในราชกจจานเบกษาเปนตนไป

ประกาศนใชบงคบกบ “บรษทประกนภย” ใน “ธรกจประกนชวต” และ “ธรกจประกนวนาศภย”

สาระหลก ครอบคลม “หลกเกณฑ” จ านวน 8 หมวด

IT Risk Management and Cybersecurity



การก ากบดแลฯความเสยงดานความมนคงปลอดภยไซเบอร

การก ากบดแลดานเทคโนโลยสารสนเทศ

การบรหารจดการโครงการดานเทคโนโลยสารสนเทศ

การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ

การบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ

การปฏบตตามกฎเกณฑดานเทคโนโลยสารสนเทศ

การตรวจสอบดานเทคโนโลยสารสนเทศ

การรายงานเหตการณภยคกคามและความเสยงฯ



5

Executive Summary สรปภาพรวม IT Risk Management and Cybersecurity

1 IT Governance

การก ากบดแล ดานเทคโนโลยสารสนเทศ

2 IT Project Management

การบรหารจดการโครงการ ดานเทคโนโลยสารสนเทศ

3 IT Security

การรกษาความมนคงปลอดภย ดานเทคโนโลยสารสนเทศ

4

การบรหารจดการความเสยง ดานเทคโนโลยสารสนเทศ

IT Risk Management

IT Compliance 5

การปฏบตตามกฎเกณฑ ดานเทคโนโลยสารสนเทศ

6 IT Audit

การตรวจสอบ ดานเทคโนโลยสารสนเทศ

7 Cybersecurity

การก ากบดแลและบรหารจดการความเสยง

ดานความมนคงปลอดภยไซเบอร

8 Incident Reporting

การรายงานเหตการณภยคกคาม และความเสยงดานเทคโนโลยสารสนเทศ

(ราง) หลกเกณฑการก ากบดแลและบรหารจดการความเสยงดานเทคโนโลยสารสนเทศของบรษทประกนภย

6

Executive Summary สรปภาพรวม IT Risk Management and Cybersecurity

บทบาทหนาทและความรบผดชอบของคณะกรรมการบรษท โครงสรางการก ากบดแล (Three Lines of Defense) นโยบายทเกยวของกบการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ (IT Risk Management Policy, IT Security Policy)

การประเมนความเสยงและการจดล าดบความส าคญของโครงการ กรอบการบรหารจดการโครงการดานเทคโนโลยสารสนเทศ การก ากบดแลโครงการดานเทคโนโลยสารสนเทศ

IT Security Policy IT Security Organization Human Resource Security Asset Management Access Control Cryptography Physical and

Environmental Security

IT Operations Security Network & Communication Security System Acquisition & Development Third Party Management IT Incident & Problem Management IT Continuity Compliance

1st & 2nd Line of Defense (Risk Owners & Risk Functions) IT Risk Management Framework, Process, Criteria Risk Assessment (Identification, Analysis, Evaluation) Risk Treatment, Risk Monitoring & Review, Risk Reporting

2nd Line of Defense ก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ (IT Compliance)

Cybersecurity Framework Identification, Protection, Detection, Response, Recovery การประเมนความเสยงดานไซเบอร การประเมนสถานะด าเนนการดานภยคกคามไซเบอร การเฝาระวงภยคกคามไซเบอร และด าเนนการตาม พ.ร.บ. Cyber

3rd Line of Defense บทบาทหนาท แผนงาน ขอบเขตในการตรวจสอบ การปฏบตงานตรวจสอบดานเทคโนโลยสารสนเทศ การจางผเชยวชาญภายนอก การรายงานผลการตรวจสอบ การตดตามผลการตรวจสอบและรายงานประเดนส าคญ

(ราง) หลกเกณฑการก ากบดแลและบรหารจดการความเสยงดานเทคโนโลยสารสนเทศของบรษทประกนภย

บรษทประกนภยตองรายงานตอส านกงาน ในกรณเทคโนโลยสารสนเทศทส าคญของบรษทถกโจมตหรอถกขโจมตจากภยคกคามทางไซเบอร เปนปญหาหรอเหตการณทบรษทตองรายงานตอผบรหารสงสดของบรษททราบ

การก ากบดแลและบรหารจดการความเสยงดานเทคโนโลยสารสนเทศของบรษทประกนภย (Governance and Management of Information Technology Risk)

7

หลกการและเหตผล ความเปนมา

บรษทประกนภย “ธรกจประกนชวต” “ธรกจประกนวนาศภย” ขบเคลอนดวยเทคโนโลย

ส านกงาน คปภ. ตระหนกถงความส าคญ ของความเสยงดานระบบเทคโนโลยสารสนเทศ และ ความเสยงดานภยคกคามทางไซเบอร จงจดใหม “โครงการยกระดบการก ากบดแลและการบรหารความเสยงดานดจทล”

เพอยกระดบความมนคงปลอดภยของธรกจประกนภย ในการก าหนดกรอบการก ากบดแล เรองความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ และความเสยงดานภยคกคามทางไซเบอร

เพอใหสอดคลองกบสภาพแวดลอมของการประกอบธรกจประกนภยไทยทเปลยนไปในยคเศรษฐกจดจทล

วตถประสงค

โดยมความเสยงแฝงมาดวย ไมวาจะเปนความเสยงดานเทคโนโลยสารสนเทศ และความเสยงจากภยคกคามทางไซเบอร ปจจบนมแนวโนมเพมสงขนเปนอยางมาก ซงอาจกอใหเกดความเสยหายและมผลกระทบตอความเชอมนของลกคา

Ecosystem บรษทประกนภย

น าเทคโนโลยเขามาชวยในการด าเนนธรกจ พฒนาผลตภณฑ และบรการลกคา

ตองเผชญความทาทายจากสภาวะการแขงขนทรนแรงและเทคโนโลยทเตบโตรวดเรวแบบกาวกระโดด

ตองปรบตวใหเทาทนและสามารถด าเนนธรกจตอไปได

ด าเนนการสอดคลองกบแผนพฒนาการประกนภย ฉบบท 3 (พ.ศ. 2559 -2563)

Brokers

Agents

Banks

Others

Products

Services

Supply Chain

รางหลกเกณฑการก ากบดแลและบรหารจดการความเสยงดานเทคโนโลยสารสนเทศของบรษทประกนภย (Governance and Management of Information Technology Risk)


Digital Insurance

8

หลกการและเหตผล Digital Thailand: Digital Insurance : Insurance 4.0 : INSURTECH

Source: http://dv.co.th/blog-th/digitizing-Ins-Chain/

บรษทประกนภย “ธรกจประกนชวต” “ธรกจประกนวนาศภย” ขบเคลอนดวยเทคโนโลย

IT-related Risk Cybersecurity / Cyber Risk

Information Security Risk

Risk Opportunities IT

บรษทประกนภย

Ecosystem บรษทประกนภย


9


Ecosystem ของบรษทประกนภย บรษทประกนภย “ธรกจประกนชวต” “ธรกจประกนวนาศภย” ขบเคลอนดวยเทคโนโลย

Keeping IT running Keeping IT running

ความพรอมใชและการใหบรการตอเนอง

Aligning IT with business

Aligning IT with business

ความสอดคลองกบการด าเนนธรกจ

Delivering value

Delivering value

คณคาในการน ามาใชในองคกร

Security

ความมนคงปลอดภย

Regulatory compliance

Regulatory compliance

การปฏบตตามกฎเกณฑ

Mastering complexity

Mastering complexity

ความซบซอนในการด าเนนการ

Optimizing costs

ความเหมาะสมดานคาใชจาย

Ecosystem และความทาทายในการใชเทคโนโลยสารสนเทศ Ecosystem และความทาทายในการใชเทคโนโลยสารสนเทศ

Ecosystem ของบรษทประกนภย บรษทประกนภย “ธรกจประกนชวต” “ธรกจประกนวนาศภย” ขบเคลอนดวยเทคโนโลย


10


การน าเทคโนโลยมาใชครงแรก การปรบปรงประสทธภาพของระบบเทคโนโลยสารสนเทศ

IT IT Asset Information Asset Asset Digital Asset

Head Office Alternate Site Data Center (Main Site) Facilities Room Strong Room DR Site

Server Room

Network Room

Backup Site

Branch

Agent / Broker

การขายผลตภณฑประกนภยผานชองทางออนไลน

ระบบการจดเกบขอมลลกคา

ระบบการพจารณารบประกนภย ระบบการเงนและบญช

ระบบการจายคาสนไหมทดแทนและการจายผลประโยชนตามกรมธรรมประกนชวต อน ๆ

ระบบ ERP


Ecosystem และความทาทายในการใชเทคโนโลยสารสนเทศ Ecosystem และความทาทายในการใชเทคโนโลยสารสนเทศ


11

หลกการและเหตผล การด าเนนการของ คปภ.

การยกระดบการก ากบดแลและการบรหารความเสยงดานดจทล : ประกาศ คปภ. และแนวปฏบตส านกงาน คปภ.

ประกาศคณะกรรมการก ากบและสงเสรมการประกอบธรกจประกนภย เรอง หลกเกณฑ วธการออกกรมธรรมประกนภย การเสนอขายกรมธรรมประกนภย และการชดใชเงน หรอคาสนไหมทดแทนตามสญญาประกนภย โดยใชวธการทางอเลกทรอนกส พ.ศ. 2560

ประกาศคณะกรรมการก ากบและสงเสรมการประกอบธรกจประกนภย เรอง หลกเกณฑ วธการออกกรมธรรมประกนภย การเสนอขายกรมธรรมประกนภย และการชดใชเงนตามสญญาประกนชวต โดยใชวธการทางอเลกทรอนกส พ.ศ. 2560

ประกาศส านกงานคณะกรรมการก ากบและสงเสรมการประกอบธรกจประกนภย เรอง หลกเกณฑ วธการ และเงอนไขการรบรองระบบสารสนเทศ พ.ศ. 2560

แนวทางปฏบตส าหรบรกษาความปลอดภยและควบคมความเสยงของระบบเทคโนโลยสารสนเทศ (Information Technology Risk Management) และความเสยงดานภยคกคามทางไซเบอร (Cybersecurity) พ.ศ. 2560

ประกาศคณะกรรมการก ากบและสงเสรมการประกอบธรกจประกนภย เรอง การก ากบดแลกจการทดของบรษทประกนชวต พ.ศ. 2561

ประกาศคณะกรรมการก ากบและสงเสรมการประกอบธรกจประกนภย เรอง การก ากบดแลกจการทดของบรษทประกนวนาศภย พ.ศ. 2561

ประกาศคณะกรรมการก ากบและสงเสรมการประกอบธรกจประกนภย เรอง หลกเกณฑ วธการ และเงอนไขในการก าหนดมาตรฐานขนต า ในการบรหารจดการความเสยงของบรษทประกนชวต พ.ศ. 2560

ประกาศคณะกรรมการก ากบและสงเสรมการประกอบธรกจประกนภย เรอง หลกเกณฑ วธการ และเงอนไขในการก าหนดมาตรฐานขนต า ในการบรหารจดการความเสยงของบรษทประกนวนาศภย พ.ศ. 2560

คมอการตรวจสอบดานเทคโนโลยสารสนเทศตามแนวทางการก ากบดแลตามความเสยง (IT Audit Manual - Risk Based Supervision) พ.ศ. 2561



12

หลกการและเหตผล การยกระดบการก ากบดแลฯ : ความรวมมอระหวางหนวยงานก ากบดแล

ธปท.

ก.ล.ต.

คปภ.

กสทช.

Computer Emergency

Response Team

(CERT)

(APCERT/Asia Pacific

Computer Emergency Response Team)

Cross Sector

Thailand Banking Sector

CERT

Thailand

Telecom.

CERT

Thai

Capital Market

CERT

Thai Insurance

CERT

การยกระดบการก ากบดแลและการบรหารความเสยงดานดจทล : ความรวมมอระหวางหนวยงานก ากบดแล


13


ภาพรวมขอมลอางองตามกฎหมาย กฎเกณฑ มาตรฐาน และแนวปฏบตทด ส าหรบการจดท ารางหลกเกณฑ IT Risk Management

การยกระดบการก ากบดแลฯ : ความรวมมอระหวางหนวยงานก ากบดแล


14


ภาพรวมขอมลอางองตามกฎหมาย กฎเกณฑ มาตรฐาน และแนวปฏบตทด ส าหรบการจดท ารางหลกเกณฑ IT Risk Management

มาตรฐานและแนวปฏบตอางอง


15

หลกการและเหตผล มาตรฐานและแนวปฏบตอางอง

ภาพรวมขอมลอางองตามกฎหมาย กฎเกณฑ มาตรฐาน และแนวปฏบตทด ส าหรบการจดท าแนวปฏบต IT Outsourcing


16

สาระส าคญ หลกเกณฑและแนวปฏบต

การยกระดบการก ากบดแลและการบรหารความเสยงดานดจทล : หลกเกณฑ IT Risk และแนวปฏบต IT Outsourcing

หลกเกณฑการก ากบดแลและบรหารจดการความเสยงดานเทคโนโลยสารสนเทศของบรษทประกนภย

(1) IT Governance

(2) IT Project Management

(3) IT Security

(4) IT Risk Management

(5) IT Compliance

(6) IT Audit

(7) Cybersecurity

(8) Reporting

แนวปฏบต เรอง หลกเกณฑการก ากบดแลการใชบรการจากผใหบรการภายนอกดานเทคโนโลยสารสนเทศ (1) Critical IT Outsourcing

(2) Non-critical IT Outsourcing

Key References: Laws & Regulations; Stands & Best Practices

IT Risk Management

IT Outsourcing



17

หลกเกณฑการก ากบดแลและบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ

ขอ 1-4 ชอประกาศ วนทบงคบใช นยาม หวขอหลกเกณฑ ขอ 1 – ขอ 4 จ ำนวนรวม 4 ขอ

หมวด 1 การก ากบดแลดานเทคโนโลยสารสนเทศ (IT Governance) ขอ 5 – ขอ 10 จ ำนวนรวม 6 ขอ

หมวด 2 การบรหารจดการโครงการดานเทคโนโลยสารสนเทศ (IT Project Management) ขอ 11 – ขอ 13 จ ำนวนรวม 3 ขอ

หมวด 3 การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security) ขอ 14 – ขอ 27 จ ำนวนรวม 14 ขอ

หมวด 4 การบรหารความเสยงดานเทคโนโลยสารสนเทศ (IT Risk Management) ขอ 28 – ขอ 32 จ ำนวนรวม 5 ขอ

หมวด 5 การปฏบตตามกฎเกณฑทเกยวของกบเทคโนโลยสารสนเทศ (IT Compliance) ขอ 33 จ ำนวนรวม 1 ขอ

หมวด 6 การตรวจสอบดานเทคโนโลยสารสนเทศ (IT Audit) ขอ 34 – ขอ 36 จ ำนวนรวม 3 ขอ

หมวด 7 การก ากบดแลและการบรหารจดการความเสยงดานความมนคงปลอดภยไซเบอร (Cybersecurity) ขอ 37 – ขอ 44 จ ำนวนรวม 8 ขอ

หมวด 8 การรายงานเหตการณภยคกคามและความเสยงดานเทคโนโลยสารสนเทศ (Reporting) ขอ 45 จ ำนวนรวม 1 ขอ

IT-GRC Functions

IT Governance

IT Project Management

IT Service Delivery: IT Operation

IT Security

IT Solution Delivery

IT Value

IT Outsourcing (Third Party: Supplier Management)

IT Risk Management

IT Incident Management: IT Risk and Incident Reporting

IT

Compliance

IT

Audit

© ACIS

The Three Lines of Defense

IT Governance


หมวด 8

หมวด 7

หมวด 6

หมวด 5

หมวด 4

หมวด 3

หมวด 2

หมวด 1


18

นยาม

(1) “ความเสยงดานเทคโนโลยสารสนเทศ” (IT Risk)

(2) “เทคโนโลยสารสนเทศ” (Information Technology: IT)

(3) “ทรพยสนสารสนเทศ” (IT Asset / Information Asset)

(4) “ความมนคงปลอดภยดานเทคโนโลยสารสนเทศ” (IT Security)

(5) “การรกษาความมนคงปลอดภยไซเบอร” (Cybersecurity)

(6) “ไซเบอร” (Cyber)

(7) “ภยคกคามทางไซเบอร” (Cyber Threat)

(8) “โครงสรางพนฐานส าคญทางสารสนเทศ” (Critical Information Infrastructure: CII)

(9) “โครงสรางพนฐานส าคญของประเทศ” (Critical Infrastructure: CI)

(10) “บรษทประกนภย” “บรษท”

(11) “คณะกรรมการบรษท”

(12) “ส านกงาน” ส านกงาน คปภ.

ธรกจประกนชวต ธรกจประกนวนาศภย

บรษทประกนภย คณะกรรมการบรษท

Critical Infrastructure (CI)

Critical Information Infrastructure (CII)

IT Risk

IT IT Asset / Info. Asset

IT Security

Cybersecurity

Cyber

Cyber Threat

Enterprise Risk

Operational Risk: Enterprise IT Risk



19

ความเสยงดานเทคโนโลยสารสนเทศ (IT Risk)

ความเสยงทอาจเกดขนจากการใชเทคโนโลยสารสนเทศใน การด าเนนธรกจ ซงจะมผลกระทบตอระบบหรอการปฏบตงานของบรษทประกนภย รวมถงความเสยงทเกดจากภยคกคามทางไซเบอร (Cyber Threat)

1

เทคโนโลยสารสนเทศ (Information Technology: IT)

เทคโนโลยสารสนเทศทน ามาใชในการด าเนนธรกจ ซงครอบคลมถง ขอมล/สารสนเทศ (Data/Information) ระบบปฏบตการ (Operating System) ระบบงาน (Application System) ระบบฐานขอมล (Database System) อปกรณคอมพวเตอร (Hardware) และระบบเครอขายสอสาร (Communication) เปนตน

2

ทรพยสนสารสนเทศ (Asset / Information Asset)

1) ทรพยสนสารสนเทศประเภทระบบ ไดแก ระบบเครอขายคอมพวเตอร ระบบคอมพวเตอร ระบบงานคอมพวเตอร และระบบสารสนเทศ 2) ทรพยสนสารสนเทศประเภทอปกรณ ไดแก ตวเครองคอมพวเตอร อปกรณคอมพวเตอร เครองบนทกขอมล และอปกรณอนใด 3) ทรพยสนสารสนเทศประเภทขอมล ไดแก ขอมลสารสนเทศ ขอมลอเลกทรอนกส และ

ขอมลคอมพวเตอร

3

นยาม


20

ความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security)

การปองกนดานเทคโนโลยสารสนเทศ/ทรพยสนสารสนเทศ จากการเขาถง ใช เปดเผย ขดขวาง เปลยนแปลงแกไข ท าใหสญหาย ท าใหเสยหาย ถกท าลาย หรอลวงรโดยมชอบ โดยมความหมายรวมถง ความมนคงปลอดภยสารสนเทศ (Information Security) ซงครอบคลมถงการธ ารงไวซง การรกษาความลบ (Confidentiality) การรกษาความครบถวน (Integrity) และ การรกษาสภาพพรอมใชงาน (Availability) ของเทคโนโลยสารสนเทศและทรพยสนสารสนเทศ รวมทงคณสมบตอน ไดแก ความถกตองแทจรง (Authenticity) ความรบผด (Accountability) การหามปฏเสธความรบผด (Non-repudiation) และ ความนาเชอถอ (Reliability)

4 การรกษาความลบ Confidentiality

การรกษาหรอสงวนไวเพอปองกนระบบเครอขายคอมพวเตอร ระบบคอมพวเตอร ระบบงานคอมพวเตอร ระบบสารสนเทศ ขอมลสารสนเทศ ขอมลอเลกทรอนกส หรอขอมลคอมพวเตอรจากการเขาถง ใช หรอเปดเผยโดยบคคลซงไมไดรบอนญาต

5

การรกษาความครบถวน (Integrity)

ด าเนนการเพอใหขอมลสารสนเทศ ขอมลอเลกทรอนกส หรอขอมลคอมพวเตอรอยในสภาพสมบรณขณะทมการใชงาน ประมวลผล โอน หรอเกบรกษา เพอมใหมการเปลยนแปลงแกไข ท าใหสญหาย ท าใหเสยหาย หรอถกท าลายโดยไมไดรบอนญาตหรอโดยมชอบ

6

การรกษาสภาพพรอมใชงาน (Availability)

การจดท าใหทรพยสนสารสนเทศหรอเทคโนโลยสารสนเทศ สามารถท างาน เขาถง หรอใชงานไดในเวลาทตองการ

7

นยาม


21

การรกษาความมนคงปลอดภยไซเบอร (Cybersecurity)

มาตรการหรอการด าเนนการทก าหนดขนเพอปองกน รบมอ และลดความเสยงจากภยคกคามทางไซเบอรทงจากภายในและภายนอกประเทศ ทงน ใหเปนไปตามนยามของกฎหมายวาดวยการรกษาความมนคงปลอดภยไซเบอร

8

ไซเบอร (Cyber)

ขอมลและการสอสารทเกดจากการใหบรการหรอการประยกตใชเครอขายคอมพวเตอร ระบบอนเทอรเนต หรอโครงขายโทรคมนาคม รวมทงการใหบรการ โดยปกตของดาวเทยมและระบบเครอขายทคลายคลงกนทเชอมตอกน เปนการทวไป

9

ภยคกคามทางไซเบอร (Cyber Threat)

การกระท าหรอการด าเนนการใด ๆ โดยมชอบโดยใชคอมพวเตอรหรอระบบคอมพวเตอรหรอโปรแกรมไมพงประสงคโดยมงหมายใหเกดการประทษรายตอระบบคอมพวเตอร ขอมลคอมพวเตอร หรอขอมลอนทเกยวของ และเปนภยนตรายทใกลจะถงทจะกอใหเกดความเสยหายหรอสงผลกระทบตอการท างานของคอมพวเตอร ระบบคอมพวเตอร หรอขอมลอนทเกยวของ

10

นยาม


22

Source: “Cyber Security strategies achieving cyber resilience”, Information Security Forum (ISF), www.securityforum.org

IT/Information Security, Cyber Security and Cyber Resilience

นยาม

• Confidentiality

• Integrity

• Availability


23

โครงสรางพนฐานส าคญทางสารสนเทศ (Critical Information Infrastructure: CII)

คอมพวเตอรหรอระบบคอมพวเตอร ซงบรษทประกนภย หรอหนวยงานของรฐหรอหนวยงานเอกชนใชในกจการ ของตนทเกยวของกบการรกษาความมนคงปลอดภยของรฐ ความปลอดภยสาธารณะ ความมนคงทางเศรษฐกจของประเทศ หรอโครงสรางพนฐานอนเปนประโยชนสาธารณะ

11 โครงสรางพนฐานส าคญของประเทศ (Critical Infrastructure: CI)

บรรดาหนวยงานหรอองคกร หรอสวนงานหนงสวนงานใดของหนวยงานหรอองคกร ซงธรกรรม ทางอเลกทรอนกสของหนวยงานหรอองคกร หรอสวนงานของหนวยงานหรอองคกรนน มผลเกยวเนองส าคญตอความมนคงหรอความสงบเรยบรอยของประเทศ หรอตอสาธารณชน

12

“บรษทประกนภย” หรอ “บรษท”

บรษทตามพระราชบญญตประกนชวต พ.ศ. 2535 และ บรษทตามพระราชบญญตประกนวนาศภย พ.ศ. 2535

13 คณะกรรมการบรษท

คณะกรรมการบรษท (Board) หรอ คณะอนกรรมการ หรอ คณะกรรมการทไดรบมอบหมายจากคณะกรรมการบรษท

14

นยาม


24

ขอ 5. คณะกรรมการบรษท

ขอ 6. บทบาทหนาทของคณะกรรมการบรษท

ขอ 7. โครงสรางการก ากบดแลและบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ

ขอ 8. คณะกรรมการ/คณะท างาน/ผบรหารดานเทคโนโลยสารสนเทศ

ขอ 9. นโยบายทเกยวของกบการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ

ขอ 10. แผนงานการน าเทคโนโลยสารสนเทศมาใช

หมวด 1 การก ากบดแลดานเทคโนโลยสารสนเทศ (IT Governance)



25


ขอ 5. คณะกรรมการบรษท

มองคประกอบตามประกาศ คปภ. (การก ากบดแลกจการทดฯ) กรรมการควรม 1 คน มความรหรอประสบการณดาน IT ไดรบการอบรมใหความร IT & Cybersecurity Awareness

ขอ 6. บทบาทหนาทของคณะกรรมการบรษท

ก ากบดแลใหมการใชเทคโนโลยสารสนเทศทสอดรบกบกลยทธ ก ากบดแลใหมการบรหารจดการความเสยง IT Risk & Cyber Threat ก ากบดแลใหมการก าหนดนโยบายทเกยวของ (อำงอง ขอ 9) ก ากบดแลใหบรษทน านโยบายทไดรบการอนมตมาจดท าแนวปฏบต ก ากบดแลใหมการรายงาน ก ากบดแลใหมการสอสารและสรางความตระหนก 1) นโยบายการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ (IT Risk Management Policy)

2) นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security Policy) ทงน ใหครอบคลมเนอหาอยางนอย ดงน

2.1) แนวนโยบาย แนวปฏบต หรอแนวทางในการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ 2.2) แนวนโยบาย แนวปฏบต แผนหรอแนวทางในการก ากบดแลและบรหารจดการความเสยงในการรกษาความมนคงปลอดภยไซเบอร

เชอมโยงกบ ขอ 9.

Board

IT Knowledge / Experiences Awareness

IT Risk Cybersecurity

IT Governance Functions

ITG Org.

IT Management

IT Operations

Monitor

Monitor

Report


26


ขอ 7. โครงสรางการก ากบดแลและบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ

โครงสรางการก ากบดแลและบรหารจดการ • ระดบก ากบดแล • ระดบบรหารจดการ • ระดบปฏบตงาน

โครงสรางตามหลกการ Three Lines of Defense • 1st Line of Defense

การปฏบตงานดานเทคโนโลยสารสนเทศ • 2nd Line of Defense

การบรหารความเสยงดานเทคโนโลยสารสนเทศ • 3rd Line of Defense

การตรวจสอบดานเทคโนโลยสารสนเทศ

ขอ 8. คณะกรรมการ/คณะท างาน/ผบรหารดานเทคโนโลยสารสนเทศ

คณะกรรมการชดยอย/คณะท างานดานเทคโนโลยสารสนเทศ (IT Steering Committee) คณะกรรมการก ากบดแลเรองการบรหารจดการความเสยง IT Risk & Cyber Threat ผบรหาร/ผรบผดชอบดานเทคโนโลยสารสนเทศหรอดานความมนคงปลอดภยฯ

บรษทประกนภยทมควำมเสยงตงตนทำงไซเบอร (Cyber Inherent Risk) ในระดบสง ควรพจำรณำใหม ผบรหารหรอผรบผดชอบทท าหนาทบรหารจดการความมนคงปลอดภยดานเทคโนโลยสารสนเทศ โดยรวมถงกำรบรหำรจดกำรและรบมอกบภยคกคำมทำงไซเบอรเปนส ำคญ ซงควรเปนอสระจำกงำนดำนกำรปฏบตงำนเทคโนโลยสำรสนเทศ (IT Operation) และงำนดำนพฒนำระบบเทคโนโลยสำรสนเทศ (IT Development) และมอ ำนำจหนำท (Authority) เพยงพอ ในกำรปฏบตงำนในหนำทไดอยำงมประสทธภำพและประสทธผล


27

ตวอยางแนวทางการจดโครงสรางการก ากบดแลและบรหารจดการทเกยวของดานเทคโนโลยสารสนเทศ

โครงสรางตามหลกการ Three Lines of Defense

Audit Committee Risk Management Committee GRC Committee IT-GRC

Committee

โครงสรางการก ากบดแลและบรหารจดการ

ITG: Evaluate

ITG: Direct ITG: Monitor

ระดบก ากบดแล (Governance)

ระดบบรหารจดการ (Management)

End User: Use of IT

ระดบปฏบตการ (Operation)

report instruct & align

IT Management

Plan Build Run Monitor

IT Operation

IT Strategy / IT Steering Committee

Internal Audit

(Independent Assurance)

3rd Line of Defense

Financial Controls

Risk Management (Function)

Quality

Inspection

Security (Policy & Compliance)

Compliance

2nd Line of Defense

Management Controls

Risk Management (Implementation)

IT Service / IT Security Operation

Business Units

Internal Controls

1st Line of Defense

Governing Body / Board of Directors

Executive/Management Committee | Senior Management | CIO | CISO

External Audit

Regulator

© ACIS

Reference COBIT 5 : Framework for Governance and Management of Enterprise IT


28


ขอ 9. นโยบายทเกยวของกบการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศ

(1) นโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ (IT Risk Management Policy)

(1) นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security Policy)

ตองสอดคลองกบนโยบายการบรหารความเสยงรวมของบรษท (Enterprise Risk Management) โดยนโยบายตองแสดงใหเหนถงโครงสรางองคกร บทบาทหนาทของผทเกยวของในการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ และอธบายแนวทางในการบรหารจดการความเสยงอยางนอยควรครอบคลมในเรองดงตอไปน การก าหนดหนาทและความรบผดชอบในการบรหารจดการความเสยงดานเทคโนโลย

สารสนเทศ กระบวนการหรอขนตอนในการประเมนความเสยงและจดการความเสยง ระดบความเสยงทยอมรบได (IT Risk Appetite) เกณฑการประเมนความเสยงทครอบคลมถงโอกาสหรอความถทจะเกดความเสยง

และผลกระทบทจะเกดขน เพอจดล าดบความส าคญในการบรหารจดการความเสยง การก าหนดวธการหรอเครองมอในการบรหารและจดการความเสยงใหอยในระดบท

องคกรยอมรบได การก าหนดดชนชวดความเสยง (IT Risk Indicator: Key Risk Indicator: KRI)

รวมถงจดใหมการตดตามและรายงานผลดชนชวดความเสยงดงกลาวตอผทมหนาทรบผดชอบ เพอใหสามารถบรหารจดการความเสยงไดอยางเหมาะสมและทนตอเหตการณ

การรายงานความเสยง (Risk Reporting)

IT Risk Management Policy

เชอมโยงกบ ขอ 6, ขอ 14

เชอมโยงกบ ขอ 6, ขอ 14

นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security Policy) อยางนอยตองครอบคลมในเรองดงตอไปน การบรหารจดการทรพยสนดานเทคโนโลยสารสนเทศ (IT Asset Management การควบคมการเขาถงขอมลหรอระบบ (Access Control) การรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and

Environmental Security) การรกษาความมนคงปลอดภยในการปฏบตงานดานเทคโนโลยสารสนเทศ (IT Operations

Security) การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ (IT Continuity) แผนงานหรอแนวทางในการรบมอภยคกคามทางไซเบอร

IT Security Policy


29


ขอ 10 การก ากบดแลแผนงานการน าเทคโนโลยสารสนเทศมาใช

กรณทบรษทประกนภยมการน าเทคโนโลยใด ๆ มาใชเปนครงแรก หรอ มการเปลยนแปลงการใชเทคโนโลย ทอาจมผลกระทบหรอมความเสยงอยางมนยส าคญตอการด าเนนธรกจในภาพรวม บรษทตองมขอก าหนดทชดเจนในการพจารณาและจดใหมการประเมนความเสยง

ดานเทคโนโลยสารสนเทศหรอพจารณาประเดนความเสยงทเกยวของ รวมทงผลกระทบทอาจเกดขนตอการด าเนนงานของบรษทในภาพรวม

และด าเนนการใหคณะกรรมการบรษทหรอคณะกรรมการทไดรบมอบหมายพจารณาอนมตแผนงานในการน าเทคโนโลยสารสนเทศมาใชหรอการเปลยนแปลงการใชเทคโนโลยสารสนเทศ

โดยตองค านงถงลกษณะการด าเนนธรกจ ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศ และความเสยงทเกยวของ

รวมทงความเสยงจากการใชเทคโนโลยสารสนเทศภายในองคกร และความเสยงจากการใชบรการจากผใหบรการภายนอก

ทงน ใหมการรายงานความเสยงดานเทคโนโลยสารสนเทศ ตามทระบในขอ 45

อนมตแผนงาน การน าเทคโนโลยมาใช (IT Benefit/ IT Value Delivery)

จดหา/จดซอ/จดจาง -- บรหารจดการโครงการ -- ตดตงระบบ (IT Solution Delivery)

ปฏบตงาน-ใหบรการ ดานความมนคงปลอดภย/ดานเทคโนโลยสารสนเทศ (IT Operation / IT Security Operation / IT Service Delivery)

หมวด 1

หมวด 2

หมวด 3

Use of IT



30

หมวด 2 การบรหารจดการโครงการดานเทคโนโลยสารสนเทศ (IT Project Management)

ขอ 11 การประเมนความเสยงและการจดล าดบความส าคญของโครงการ

ขอ 12 กรอบการบรหารจดการโครงการ ดานเทคโนโลยสารสนเทศ

ขอ 13 การก ากบดแลโครงการดานเทคโนโลยสารสนเทศ

(1) ศกษาความจ าเปนและประโยชนทคาดวาจะไดรบ (กอนเรมโครงการ) (2) ประเมนความเสยงและผลกระทบทอาจเกดขนกบฝายงานอนและระบบทเกยวของ (3) จดล าดบความส าคญของโครงการและน าเสนอขออนมตโครงการ

(1) การเรมโครงการ (2) การด าเนนการ (3) การควบคมโครงการ (3) การปดโครงการ (5) การสอบทานโครงการ

(1) ผบรหารหรอผแทนจากฝายงานทมความเกยวของ (2) หนวยงานหรอคณะท างานทดแลภาพรวมของโครงการ (Project Management Office: PMO) (3) ผจดการโครงการ (Project Manager)



Reference ISO/IEC TR 29110 Software engineering - Lifecycle profiles for Very Small Entities (VSEs)

-- Part 5-1-2: Management and engineering guide: Generic profile group: Basic profile

31

ตวอยางแนวทางการบรหารจดการโครงการดานเทคโนโลยสารสนเทศ

หมวด 1

แผนงานการน าเทคโนโลยสารสนเทศมาใช approved

หมวด 2

การบรหารจดการโครงการดานเทคโนโลยสารสนเทศ

implement

deploy / release (Go Live)

หมวด 3

การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ IT Service Delivery: IT Operation / IT Security Operation

Use of IT

Performance Conformance

Human Behavior

Project

Management

Software

Implementation

Statement

of Work

Software

Configuration


32

หมวด 3 การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security)

ขอ 14 นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security Policy)

ขอ 15 การจดโครงสรางความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security Organization)

ขอ 16 การบรหารจดการความมนคงปลอดภยดานทรพยากรบคคล (Human Resource Security)

ขอ 17 การบรหารจดการทรพยสนสารสนเทศ (Asset Management)

ขอ 18 การควบคมการเขาถงทรพยสนสารสนเทศ (Access Control)

ขอ 19 การเขารหสขอมล (Cryptography)

ขอ 20 การรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and Environmental Security)

ขอ 21 การรกษาความมนคงปลอดภยในการปฏบตงาน (IT Operations Security)

ขอ 22 การรกษาความมนคงปลอดภยของระบบเครอขายสอสาร (Network & Communication Security)

ขอ 23 การจดหาและการพฒนาระบบ (System Acquisition & Development)

ขอ 24 การบรหารจดการผใหบรการภายนอก (Third Party Management)

ขอ 25 การบรหารจดการเหตการณผดปกตและปญหา (IT Incident and Problem Management)

ขอ 26 การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ (IT Continuity)

ขอ 27 การปฏบตตามกฎเกณฑดานความมนคงปลอดภย (Compliance)

ISO/IEC 27001:2013 Annex A: A.5

Annex A: A.6

Annex A: A.7

Annex A: A.8

Annex A: A.9

Annex A: A.10

Annex A: A.11

Annex A: A.12

Annex A: A.13

Annex A: A.14

Annex A: A.15

Annex A: A.16

Annex A: A.17

Annex A: A.18



33


รางประกาศ คปภ. หลกเกณฑ หมวด 3 ISO/IEC 27001:2013 ISMS Annex A Reference Controls

1 ขอ 14 นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security Policy) A.5 Information security policies

2 ขอ 15 การจดโครงสรางความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security Organization) A.6 Organization of information security

3 ขอ 16 การบรหารจดการความมนคงปลอดภยดานทรพยากรบคคล (Human Resource Security) A.7 Human resource security

4 ขอ 17 การบรหารจดการทรพยสนสารสนเทศ (Asset Management) A.8 Asset management

5 ขอ 18 การควบคมการเขาถงทรพยสนสารสนเทศ (Access Control) A.9 Access control

6 ขอ 19 การเขารหสขอมล (Cryptography) A.10 Cryptography

7 ขอ 20 การรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical & Environmental Security) A.11 Physical and environmental security

8 ขอ 21 การรกษาความมนคงปลอดภยในการปฏบตงาน (IT Operations Security) A.12 Operations security

9 ขอ 22 การรกษาความมนคงปลอดภยของระบบเครอขายสอสาร (Network & Communication Security) A.13 Communications security

10 ขอ 23 การจดหาและการพฒนาระบบ (System Acquisition & Development) A.14 System acquisition, development and maintenance

11 ขอ 24 การบรหารจดการผใหบรการภายนอก (Third Party Management) A.15 Supplier relationships

12 ขอ 25 การบรหารจดการเหตการณผดปกตและปญหา (IT Incident and Problem Management) A.16 Information security incident management

13 ขอ 26 การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ (IT Continuity) A.17 Information security aspects of business continuity

14 ขอ 27 การปฏบตตามกฎเกณฑดานความมนคงปลอดภย (Compliance) A.18 Compliance



34


ขอ 14 นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security Policy) ISO/IEC 27001:2013 Annex A: A.5

(1) นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security Policy) อยางนอยตองครอบคลม 5 เรอง

(2) แผนงานหรอแนวทางในการรบมอภยคกคามทางไซเบอร (3) ตองทบทวนนโยบายการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ

นโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ และ แผนงานหรอแนวทางในการรบมอภยคกคามทางไซเบอร อยางนอยปละ 1 ครง และทกครงทมประเดนการเปลยนแปลงอยางมนยส าคญ

(4) ตองจดใหมการสอสารนโยบายทเกยวของกบการก ากบดแลความเสยงดานเทคโนโลยสารสนเทศใหกบบคลากรของบรษทประกนภยอยางทวถงในลกษณะทสามารถเขาถงไดงาย เพอใหบคลากรดงกลาวเขาใจและสามารถปฏบตตามนโยบายดงกลาวไดอยางถกตอง

(4) ตองจดใหมการสงเสรมใหบคลากรไดตระหนกถงความเสยงดานเทคโนโลยสารสนเทศ (IT Risk Awareness) รวมถงความเสยงจากภยคกคามทาง ไซเบอร


35


ขอ 15 การจดโครงสรางความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (IT Security Organization) Annex A: A.6

ก าหนดโครงสรางองคกรในการด าเนนการความมนคงปลอดภยสารสนเทศและดานความมนคงปลอดภยไซเบอร • ในระดบก ากบดแล (ระดบนโยบาย) • ระดบบรหารจดการ • ระดบปฏบตการ

สอดรบตามโครงสรางการบรหารจดการความเสยงดานเทคโนโลย ก าหนดโครงสรางองคกรทเออตอการด าเนนการรกษาความมนคงปลอดภย

สารสนเทศและดานความมนคงปลอดภยไซเบอร สอดคลองกบโครงสรางการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ ตามหลกการการแบงแยกหนาทความรบผดชอบ 3 ระดบ (Three lines of defense) ระดบก ากบดแล • 1st Line of Defense การปฏบตงานดานเทคโนโลยสารสนเทศ • 2nd Line of Defense การบรหารความเสยงดานเทคโนโลยสารสนเทศ • 3rd Line of Defense การตรวจสอบดานเทคโนโลยสารสนเทศ

IT Management

IT Operations

2nd Line of Defense

( Risk Functions )

งานดานการก ากบดแลและบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ

1st Line of Defense

( Risk Owners )

งานดานการวางแผน เทคโนโลยสารสนเทศ

งานดานการบรหารโครงการ

งานดานพฒนาระบบ

งานดานการปฏบตการเทคโนโลยสารสนเทศ

งานดานบรการ เทคโนโลยสารสนเทศ

งานดานการตดตามผลด าเนนการเทคโนโลย

สารสนเทศ

PLAN BUILD RUN MONITOR


36

ตวอยางกระบวนการทเกยวของดานเทคโนโลยสารสนเทศ อางองตามกรอบ COBIT 5 Process Reference Model ส าหรบหนาทงานตาม โครงสรางเทคโนโลยสารสนเทศ จ านวน 5 กลม รวม 37 กระบวนการ ITG Processes: EDM ITM Plan: APO ITM Build: BAI ITM Run: DSS ITM Monitor: MEA

Internal Compliance: • Performance • Conformance

Internal Control: • Risk • Assurance

External Compliance: • Laws • Regulations • Agreements

www.ISACA.org


37

ตวอยางกระบวนการทเกยวของดานเทคโนโลยสารสนเทศ อางองตามกรอบ COBIT 2019 Process Reference Model ส าหรบหนาทงานตาม โครงสรางเทคโนโลยสารสนเทศ จ านวน 5 กลม รวม 40 กระบวนการ เพมกระบวนการ • APO14 Managed Data • BAI11 Managed Projects • MEA04 Managed Assurance

www.ISACA.org


มาตรการ/กระบวนการ กอนการจางงาน

มาตรการ/กระบวนการ ระหวางการจางงาน

มาตรการ/กระบวนการ เมอเปลยนแปลงหนาทงาน

สนสดการจางงาน พนสภาพการเปนพนกงาน

38


ขอ 16 การบรหารจดการความมนคงปลอดภยดานทรพยากรบคคล (Human Resource Security)

Annex A: A.7

(1) ตองจดใหมกระบวนการคดเลอกบคลากร (2) มขอก าหนดหรอเงอนไขในสญญาจางงานของบคลากรในเรองความ

รบผดชอบเกยวกบการปฏบตตามนโยบายการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ

(3) มาตรการในการสรางและสงเสรมความตระหนกถงความส าคญของ ความเสยงดานเทคโนโลยสารสนเทศ

(4) การอบรมใหความรแกคณะกรรมการของบรษทประกนภย ผบรหารระดบสง และบคลากร ทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศ บรหารความเสยงดานเทคโนโลยสารสนเทศ และตรวจสอบดานเทคโนโลยสารสนเทศ อยางเพยงพอตามระยะเวลาทเหมาะสม

(5) การบรหารจดการสทธของบคลากรทเกยวของกบเทคโนโลยสารสนเทศ โดยตองมการปรบปรงใหเปนปจจบน

(6) มขอก าหนดหรอเงอนไขการใชงานทรพยสนดานเทคโนโลยสารสนเทศ (7) ระบความรบผดชอบของผปฏบตงานและผใชงานในการใชชอบญชและ

รหสผาน (User Account and Password)


39


(1) จดท าทะเบยนรายการทรพยสนสารสนเทศ ก าหนดเจาของทรพยสน หรอผรบผดชอบทรพยสน

(2) บ ารงรกษาทรพยสนสารสนเทศอยางสม าเสมอ เพอใหมความพรอมใชงานและสามารถรองรบการด าเนนธรกจไดอยางตอเนอง รวมทงการวางแผน • End of Life • End of Support

(3) มมาตรการดานความมนคงปลอดภยส าหรบเครองคอมพวเตอร และอปกรณพกพาในการน ามาใชในองคกร • มาตรการดานการใชงานอปกรณสวนตว (Bring-your-own-

device: BYOD) หรอเชอมตอกบระบบเครอขายของบรษท • การใชสอจดเกบขอมลแบบพกพา (External Hard Disk /

Flash drive)

ขอ 17 การบรหารจดการทรพยสนสารสนเทศ (Asset Management) Annex A: A.8

(5) มการรกษาความมนคงปลอดภยของขอมล ทงในการรบสงขอมลผานเครอขายสอสาร การจดเกบขอมลในระบบงานและสอบนทกขอมลตางๆ สอดคลองตามการจดชนสารสนเทศ

(6) ตองจดใหมการเกบรกษาและท าลายขอมลใหเหมาะสมกบชนความลบ

(4) มแนวปฏบตการจดชนสารสนเทศ (Information Classification)

• ลบทสด (Top Secret) • ลบมาก (Secret) • ลบ (Confidential) • ใชภายในองคกร (Internal Use Only) • ขอมลทวไป (Public)

โดยมแนวทางการรกษาความมนคงปลอดภยทสอดคลองตามชนความลบ ครอบคลม • ขอมลทอยบนอปกรณทใชปฏบตงาน (Data at endpoint) • ขอมลทอยระหวางการสงผานเครอขาย (Data in transit) • ขอมลทอยบนระบบและสอบนทกขอมล (Data at rest)


40


(1) ก าหนดนโยบายการเขาถงหรอเขาใชงานระบบและขอมล ทรพยสนดานเทคโนโลยสารสนเทศ รวมถงนโยบายการใชบรการเครอขายสอสารขององคกร สอดคลองตามขอก าหนดการด าเนนธรกจ

(2) ก าหนดใหมการบรหารจดการสทธการใชงาน และตรวจสอบยนยนตวตนตามสทธทก าหนดไวตามความจ าเปนในการใชงานและระดบความเสยง เพอปองกนการเขาถงและเปลยนแปลงระบบหรอขอมลโดยผทไมมสทธหรอไมไดรบอนญาต

(3) ก าหนดใหมการทบทวนปรบปรงสทธการใชงาน ตามรอบระยะเวลาทก าหนด

(4) ก าหนดใหมการเพกถอนสทธการใชงานเมอมการเปลยนแปลงหนาทงานหรอสนสดสภาพการเปนพนกงาน

ขอ 18 การควบคมการเขาถงทรพยสนสารสนเทศ (Access Control) Annex A: A.9

ขอ 19 การเขารหสขอมล (Cryptography) Annex A: A.10

(1) ก าหนดใหมมาตรฐานหรอแนวปฏบตการบรหารจดการเขารหสขอมล

(2) ก าหนดใหมการเขารหสขอมลและชองทางการสอสารทใชรบ-สงขอมลส าคญกบภายนอก

(3) ตองจดใหมการบรหารจดการการกญแจเขารหส โดยมกระบวนการทรดกมปลอดภย ครอบคลมตงแตการสรางและตดตง การจดเกบ และ การยกเลกกญแจเขารหส

Secret Authentication Information

(1) สงทคณร (Something you know)

(2) สงทคณม (Something you have)

(3) สงทคณเปน (Something you are)


41


ขอ 20 การรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and Environmental Security) Annex A: A.11

(1) มการรกษาความมนคงปลอดภยของศนยคอมพวเตอร สถานทปฏบตงานทเกยวของกบเทคโนโลยสารสนเทศ และพนททเกยวของกบเทคโนโลยสารสนเทศทส าคญ โดยครอบคลมอยางนอยในเรองดงตอไปน 1) การควบคมการเขา-ออกศนยคอมพวเตอร 2) บนทกและจดเกบขอมลการเขาถงศนยคอมพวเตอร และพนทภายในศนย

ไดอยางถกตองและเพยงพอทจะตรวจสอบใหสามารถระบตวบคคลได 3) มการตดตงกลองวงจรปดทางเขาและบรเวณรอบศนยคอมพวเตอร

เพอเปนประโยชนในการตดตามการเขา-ออก 4) มกระบวนการจดการสทธและหนวยงานทรบผดชอบ

ชดเจนในการเขาถงศนยคอมพวเตอรและพนทส าคญ ภายในศนยคอมพวเตอร

(2) ตองจดใหมระบบการปองกนและกระบวนการในการบ ารงรกษาอปกรณ คอมพวเตอร และระบบสาธารณปโภค (Facility) ทเกยวของกบเทคโนโลยสารสนเทศ รวมทงระบบไฟฟาส าหรบศนยคอมพวเตอร ระบบท าความเยน ระบบปองกนหรอสญญาณเตอนไฟไหม และมเจาหนาทรบผดชอบตรวจเชคระบบสาธารณปโภคเปนประจ า

การน าเทคโนโลยมาใชครงแรก การปรบปรงประสทธภาพของระบบเทคโนโลยสารสนเทศ

IT IT Asset Information Asset Asset Digital Asset

Head Office Alternate Site Data Center (Main Site) Facilities Room Strong Room DR Site

Server Room

Network Room

Backup Site

Branch

Agent / Broker


42


(1) มการจ าแนกโซนเครอขายสอสาร (2) มอปกรณความปลอดภยเครอขายสอสาร ในจดทมการแบงแยกเครอขายท

พจารณาวามความส าคญและมความเสยง การเฝาระวงการบกรก และการตรวจจบไวรส หรอมลแวรตางๆ ทอาจบกรกเขาสเครอขาย

(3) มการควบคม และจ ากดใหเฉพาะอปกรณทไดรบอนญาตเทานนทสามารถเขาถงระบบเครอขายได

(4) มการเขารหสขอมลและชองทางการสอสารทใชรบ-สงขอมลส าคญกบภายนอก

(5) ก าหนดมาตรฐานและวธปฏบตในการรบสงขอมลผานระบบเครอขายสอสารในองคกร และระหวางเครอขายสอภายในองคกรกบระบบเครอขายสอสารภายนอกองคกร

(6) ก าหนดแนวปฏบตในการรกษาความมนคงปลอดภยของขอมลสารสนเทศในการรบสงขอมลสารสนเทศผานระบบเครอขายสอสาร

ขอ 22 การรกษาความมนคงปลอดภยของระบบเครอขายสอสาร (Network & Communication Security)

Annex A: A.13

Network zone


43


ขอ 21 การรกษาความมนคงปลอดภยในการปฏบตงาน (IT Operations Security)

Annex A: A.12

(1) การบรหารจดการการเปลยนแปลง (Change Management)

(2) การบรหารจดการขดความสามารถของระบบ (Capacity Management)

(3) การรกษาความมนคงปลอดภยของเครองแมขาย (Server)

(4) การบรหารจดการการตงคาระบบ (System Configuration Management)

(5) การบรหารจดการ Patch (Patch Management)

(6) การส ารองขอมล (Data Backup)

(7) การจดเกบขอมลบนทกเหตการณ (Logging)

(8) การตดตามดแลระบบและการเฝาระวงภยคกคาม (Security Monitoring)

(9) การบรหารจดการชองโหว (Vulnerability Management)

(10) การทดสอบเจาะระบบ (Penetration Test)


44


ขอ 23 การจดหาและการพฒนาระบบ (System Acquisition & Development)

Annex A: A.14

(1) การจดหาระบบ (System Acquisition)

(2) การพฒนาระบบ (System Development)

1) เอกสารรายละเอยดคณสมบตทางเทคนค (Technical Specification) โดยครอบคลมถงเรองการรกษาความมนคงปลอดภย ซงรวมถงกระบวนการในการทดสอบ

2) กระบวนการหรอเครองมอในการควบคมเวอรชนของค าสงในการเขยนโปรแกรม (Source Code Version Control)

3) การแบงแยกบทบาทหนาทและความรบผดชอบของผทเกยวของในกระบวนการ พฒนาระบบ เชน การแบงแยกระหวางผพฒนาระบบและผน าระบบขนใชงานจรง

4) การแบงแยกสภาพแวดลอมของระบบงาน ทใชส าหรบการพฒนา (Development) และการทดสอบ (Testing) ออกจากระบบงานทใหบรการจรง (Production)

5) การทดสอบระบบกอนการใชงานจรง เชน ทดสอบการท างานของแตละระบบ (Unit Test) ทดสอบการท างานรวมกนของระบบตาง ๆ (System Integration Test) ทดสอบความพรอมใชงานตามกระบวนการและความตองการของผใชงาน (User Acceptance Test) และทดสอบความปลอดภยของระบบ (Security Test) ตามกระบวนการในการรกษาความมนคงปลอดภยทก าหนดในเอกสารรายละเอยดคณสมบตทางเทคนค (Technical Specification)

6) การพฒนาหรอการเปลยนแปลงระบบทเกยวของกบการใหบรการหรอการท าธรกรรมทางอเลกทรอนกส บรษทประกนภยตองจดใหมการทดสอบประสทธภาพ (Performance Test)

7) แนวทางในการควบคมการรกษาความมนคงปลอดภยและความลบของขอมลส าคญ ทน าไปใชในการทดสอบ

8) การจดท าคมอและอบรมผใชงานระบบและผดแลระบบ


45


ขอ 24 การบรหารจดการผใหบรการภายนอก (Third Party Management) Annex A: A.15

แนวปฏบต เรอง หลกเกณฑการก ากบดแลการใชบรการจากผใหบรการภายนอกดานเทคโนโลยสารสนเทศ (1) Critical IT Outsourcing

(2) Non-critical IT Outsourcing

IT Outsourcing

(1) มการจดท าสญญาหรอขอตกลงการใหบรการ โดยระบหนาท ความรบผดชอบ และเงอนไขในการใหบรการอยางชดเจน เชน การท าลายขอมลของบรษทประกนภยหรอของลกคาทงหมดเมอสนสดสญญาหรอเลกใชบรการ ความรบผดชอบตอการรวไหลของขอมลอนเนองมาจากการน าขอมลไปใชนอกเหนอจากทระบไวในสญญาหรอขอตกลงการใหบรการ

(2) ในการจดจางผใหบรการภายนอกหรอมพนธมตรทางธรกจในการรวมพฒนาหรอใหบรการทางการเงน บรษทประกนภยตองค านงถงความตอเนองในการด าเนนธรกจของบรษทประกนภย ขอจ ากดหรอขอตกลงในการเปลยนแปลงผใหบรการภายนอกหรอพนธมตรทางธรกจ และการยกเลกหรอสนสดสญญา (Exit Strategy) เพอใหบรษทประกนภยสามารถด าเนนธรกจไดอยางตอเนอง และพรอมรบการเปลยนแปลงดานเทคโนโลยทอาจเกดขนในอนาคต

(3) มกระบวนการควบคมไมใหผใหบรการภายนอกน าขอมลของบรษทประกนภยหรอขอมลของผใชบรการ/ผเอาประกน ไปเปดเผยใหกบบคคลอนใด โดยไมไดรบความยนยอมจากบรษทประกนภย

(4) มกระบวนการ ขนตอน หรอระบบในการตดตาม ประเมนผล และตรวจสอบผใหบรการภายนอก เพอใหมนใจวาผใหบรการภายนอกสามารถด าเนนการไดตามแนวทางหรอมาตรฐานดานการคมผใชบรการ/ผเอาประกนของบรษทประกนทไดตกลงไว

ทงน ในกรณทบรษทมการใชบรการเทคโนโลยสารสนเทศจากผใหบรการภายนอก (IT Outsourcing) บรษทประกนภยตองด าเนนการตามแนวปฏบตของส านกงานเรองหลกเกณฑการก ากบดแลการใชบรการจากผใหบรการภายนอกดานเทคโนโลยสารสนเทศ


46


ขอ 25 การบรหารจดการเหตการณผดปกตและปญหา (IT Incident and Problem Management) Annex A: A.16

(1) ตองจดใหมวธปฏบต ขนตอนปฏบต หรอแผนรองรบ ในการบรหารจดการเหตการณผดปกตและปญหาทเกดจากการใชเทคโนโลยสารสนเทศ อยางเหมาะสมและทนทวงท พรอมทงชองทางการรายงานแจงเหตการณทพบ เหตการณผดปกต และปญหาทเกดจากการใชเทคโนโลยสารสนเทศ

(2) ตองจดใหมการบนทก วเคราะห และรายงานเหตการณผดปกตและปญหา และการแกไข ใหคณะกรรมการของบรษทประกน คณะกรรมการทไดรบมอบหมาย หรอผบรหารระดบสงทไดรบมอบหมาย ทราบในระยะเวลาทเหมาะสม นอกจากน บรษทประกนภยตองมการวเคราะหสาเหตทแทจรง (Root Cause) ของปญหา เพอหาแนวทางแกไขจากสาเหตทแทจรงและปองกนไมใหเกดเหตการณผดปกตซ าในอนาคต

(3) ตองจดใหมการทดสอบหรอซกซอมแผนรบมอภยคกคามทางไซเบอร (Cybersecurity/Cyber Drill) อยางนอยปละ 1 ครง

Source: ISO/IEC 27035:2011 Information security incident management, www.ISO.org

Information Security Incident Management

IT Incident Management


47


ขอ 26 การจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศ (IT Continuity) Annex A: A.17

บรษทประกนภยจะตองจดใหมแผนฉกเฉนดานเทคโนโลยสารสนเทศส าหรบระบบส าคญของบรษท เพอรองรบการด าเนนธรกจอยางตอเนอง โดยครอบคลมในเรองดงตอไปน

แผนความตอเนองดานเทคโนโลยสารสนเทศ หรอ แผนความตอเนองดานความมนคงปลอดภยเทคโนโลยสารสนเทศ โดยมการวางแผนความพรอมและขดความสามารถดานเทคโนโลยสารสนเทศ สนบสนนการด าเนนธรกจ ในการปองกน ตรวจจบ และตอบสนองตอการหยดชะงกและการฟนคนสภาพของบรการเทคโนโลยสารสนเทศ

แผนกคนเทคโนโลยสารสนเทศ ซงระบขดความสามารถและองคประกอบดานเทคโนโลยสารสนเทศ ส าหรบด าเนนการฟนคนสภาพสภาวะปกตหรอสนบสนนงานส าคญของบรษทในระดบทยอมรบได ภายหลงเมอมเหตหยดชะงก

(1) มคณะท างานหรอหนวยงานทรบผดชอบในการจดท าแผนฉกเฉนดานเทคโนโลยสารสนเทศอยางเปนลายลกษณอกษรใหเปนไปตามนโยบายทก าหนดไว และแผนฉกเฉนดานเทคโนโลยสารสนเทศดงกลาวตองไดรบอนมตโดยคณะกรรมการของบรษทประกนภย

(2) ตองค านงถงลกษณะการด าเนนธรกจ ปรมาณธรกรรม ความซบซอนของเทคโนโลยสารสนเทศ และความเสยงทเกยวของในการด าเนนธรกจของบรษทประกนภย รวมทงการบรหารจดการความเสยงทอาจเกดจากเหตการณความเสยหายตาง ๆ และความเสยงทวไป

(3) แผนฉกเฉนดานเทคโนโลยสารสนเทศตองมความเปนไปไดในทางปฏบต สามารถน ามาใชรองรบความเสยหายทเกดขนได

(4) จดท าคมอหรอเอกสารประกอบการด าเนนการตามแผนฉกเฉนดานเทคโนโลยสารสนเทศ รวมทงประชาสมพนธแผนและฝกอบรมใหมความเขาใจและสามารถปฏบตตามแผนได

(5) ทบทวนและทดสอบการปฏบตตามแผนฉกเฉนดานเทคโนโลยสารสนเทศอยางนอย ปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ

(6) มศนยคอมพวเตอรส ารอง (Disaster Recovery Site) ทมความพรอมใชงานและสามารถปฏบตงานทดแทนไดเมอศนยคอมพวเตอรหลก (Primary Site) หยดชะงก


48

ICT Readiness for Business Continuity (IRBC)

ICT readiness for business

continuity (IRBC)

capability of an organization to

support its business operations

by prevention, detection and

response to

disruption and recovery of ICT

services

(Source: ISO/IEC 27031:2011)

Source: ISO/IEC 27031:2011 Guidelines for ICT readiness for business continuity, www.ISO.org

ICT Continuity / Information Security Continuity

Information security

continuity

processes and procedures for

ensuring continued information

security operations

(Source: ISO/IEC 27000:2018)


49


ขอ 27 การปฏบตตามกฎเกณฑดานความมนคงปลอดภย (Compliance) Annex A: A.18

บรษทประกนภยจะตองจดใหมการด าเนนการตามกฎเกณฑดานความมนคงปลอดภยสารสนเทศ เพอหลกเลยงการละเมดขอก าหนดทมผลบงคบใชตามกฎหมาย กฎระเบยบ และพนธะสญญา ทเกยวของกบความมนคงปลอดภยสารสนเทศและขอก าหนดใด ๆ ดานความมนคงปลอดภย โดยมแนวทางด าเนนการครอบคลมอยางนอย ดงน (1) ระบขอก าหนดทเกยวของตามบทบญญตของกฎหมาย กฎระเบยบ พนธะสญญา

พรอมทงแนวทางทบรษทประกนภยจะตองด าเนนการดานเทคโนโลยสารสนเทศ ความมนคงปลอดภยสารสนเทศ และความมนคงปลอดภยไซเบอร โดยใหมการทบทวนปรบปรงขอมลใหเปนปจจบน

(2) ตองมวธปฏบตทเหมาะสมส าหรบการด าเนนการ เพอปฏบตตามขอก าหนดของกฎหมาย กฎระเบยบ พนธะสญญา ในสวนทเกยวกบสทธในทรพยสนทางปญญา และการใชซอฟตแวรลขสทธ

(3) มแนวทางด าเนนการในการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ (IT Compliance)

กระบวนการตดตามการปฏบตงาน อางองตามกรอบ COBIT 2019


50

หมวด 4 การบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ (IT Risk Management)

ขอ 28 การระบบรบท ขอบเขต และเกณฑความเสยง (Risk Context, Scope, Criteria)

ขอ 29 การประเมนความเสยง (Risk Assessment)

ขอ 30 การจดการความเสยง (Risk Treatment)

ขอ 31 การตดตามและทบทวนความเสยง (Risk Monitoring and Review)

ขอ 32 การรายงานความเสยง (Risk Reporting)



51



เพอใหบรษทประกนภยสามารถบรหารความเสยงดานเทคโนโลยสารสนเทศ ไดอยางมประสทธภาพ - บรษทประกนภยตองก าหนดนโยบายการบรหารความเสยงดานเทคโนโลย

สารสนเทศ - ใหครอบคลมเรองโครงสรางองคกรและบทบาทหนาทของผทเกยวของใน

การบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ - และตองน านโยบายดงกลาวมาจดท าระเบยบวธปฏบตและกระบวนการใน

การบรหารจดการความเสยงดานเทคโนโลยสารสนเทศของบรษทประกนภย - ทงน บรษทประกนภยตองจดใหมการทบทวนระเบยบวธปฏบต และ

กระบวนการในการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ อยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ โดยครอบคลมอยางนอยในเรองดงตอไปน (ขอ 28 – ขอ 32)

นโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ

โครงสรางและบทบาทหนาท ในการบรหารความเสยงดานเทคโนโลยสารสนเทศ

ระเบยบวธปฏบตและกระบวนการ ในการบรหารความเสยงดานเทคโนโลยสารสนเทศ


52


ขอ 28 การระบบรบท ขอบเขต และเกณฑความเสยง (Risk Context, Scope, Criteria)

บรษทตองจดใหมกรอบการบรหารความเสยงดานเทคโนโลยสารสนเทศ หรอแนวทางการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ โดยครอบคลมอยางนอย ดงน (1) แนวทางการบรหารจดการความเสยงในการพจารณาโอกาสและความเสยงดานเทคโนโลย

สารสนเทศ โดยใหมการระบบรบท และขอบเขตในการประเมนความเสยง ครอบคลมถงแผนงาน งานประจ า และการน าเทคโนโลยสารสนเทศมาใช

(2) เกณฑการบรหารความเสยง ประกอบดวย เกณฑการประเมนความเสยง โดยมการระบระดบผลกระทบและระดบโอกาสเกดของเหตการณ

(3) เกณฑการยอมรบความเสยง (Risk Appetite / Risk Acceptance) (4) กระบวนการประเมนความเสยง เพอใชด าเนนการระบความเสยง วเคราะหความเสยง และ

ประเมนผลความเสยง (5) กระบวนการจดการความเสยง เพอใชพจารณาทางเลอกและมาตรการในการจดการความเสยง

รวมถงการจดท าแผนบรหารจดการความเสยง

IT Risk Management Framework (Methodology / Approach)

IT Risk Management Criteria

IT Risk Assessment Criteria

IT Risk Acceptance Criteria

IT Risk Management Process

IT Risk Assessment Process

IT Risk Treatment Process


53


บรษทตองจดใหมกระบวนการประเมนความเสยงดานเทคโนโลยสารสนเทศ เพอใชในการระบความเสยง การวเคราะหความเสยง และการประเมนคาความเสยง โดยครอบคลมดงน (1) การระบความเสยง (Risk Identification) บรษทตองระบถงความเสยงดานเทคโนโลยสารสนเทศ ซงรวมถงภยคกคามทางไซเบอร และชองโหวทส าคญ

โดยเหตการณความเสยงดงกลาวอาจมสาเหตมาจากกระบวนการปฏบตงาน ระบบงาน บคลากร หรอปจจยภายนอก ตลอดจนการระบการควบคมทมอยในปจจบนและผรบผดชอบตอความเสยงหรอเจาของความเสยง (Risk Owners)

(2) การวเคราะหความเสยง (Risk Analysis) บรษทตองมการวเคราะหความเสยงดานเทคโนโลยสารสนเทศ โดยมการประเมนระดบผลกระทบและระดบโอกาส

ของเหตการณความเสยง เพอระบระดบคาความเสยงของชดรายการความเสยงในแตละเหตการณความเสยงดานเทคโนโลยสารสนเทศ ส าหรบจดล าดบความส าคญของรายการความเสยง

(3) การประเมนคาความเสยง (Risk Evaluation) บรษทตองมการพจารณาระดบคาความเสยงของชดรายการความเสยง เทยบกบเกณฑระดบความเสยงทยอมรบได

(IT Risk Appetite) เพอจดล าดบความเสยงดานเทคโนโลยสารสนเทศแสดงในแผนภาพความเสยง และหาแนวทาง ในการตอบสนองความเสยงทเหมาะสม

ขอ 29 การประเมนความเสยง (Risk Assessment)

Risk Identification

Risk Analysis

Risk Evaluation

IT Risk Assessment Process

identified

risk items

analysed

risk level

prioritised

risk level

(accept / treat)

C

A I R

Confidentiality (C) Integrity (I) Availability (A) Regulations (R)


54


บรษทตองมแนวทางในการจดการ ควบคม และปองกนความเสยงทเหมาะสมสอดคลองกบผลการประเมนความเสยงดานเทคโนโลยสารสนเทศ เพอใหความเสยงทเหลออย (Residual Risk) อยในระดบความเสยงดานเทคโนโลยสารสนเทศทยอมรบได โดยตองค านงถงความสมดลระหวางตนทนในการปองกนความเสยงและผลประโยชนทคาดวาจะไดรบ นอกจากน บรษทประกนภยตองจดใหมการก าหนดดชนชวดความเสยงดานเทคโนโลยสารสนเทศ (IT Key Risk Indicators) ทเกยวของกบการด าเนนธรกจ ใหสอดคลองกบความส าคญของเทคโนโลยสารสนเทศแตละงาน เพอใชในการตดตามและทบทวนความเสยง

ขอ 30 การจดการความเสยง (Risk Treatment) ขอ 31 การตดตามและทบทวนความเสยง (Risk Monitoring and Review)

ขอ 32 การรายงานความเสยง (Risk Reporting)

บรษทตองจดใหมกระบวนการทมประสทธภาพในการตดตามและทบทวนความเสยงดานเทคโนโลยสารสนเทศ เพอใหอยภายใตระดบความเสยงดานเทคโนโลยสารสนเทศทยอมรบไดทก าหนดไว

บรษทตองมการรายงานผลการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ และแนวโนมของความเสยงดานเทคโนโลยสารสนเทศทอาจเกดขน ตอคณะกรรมการของบรษทประกนภย หรอคณะกรรมการทไดรบมอบหมายในระยะเวลาทเหมาะสม เชอมโยงกบ ขอ 10 และ ขอ 45


55

นยามการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ (IT Risk Definition)

IT Risk Management: Governance and Management of Enterprise IT Risk

IT Security Risk Management

ความเสยง ผลของความไมแนนอนตอวตถประสงค 1 (effect of uncertainty on objectives) 2, 3

Risk

Source: • Reference 1 : มาตรฐานเลขท มอก. 31000 – 2555 หลกการและแนวทางการบรหารความเสยง • Reference 2 : ISO 31000:2018 Risk Management - Guidelines • Reference 3 : ISO/IEC 27000 ISMS Overview and Vocabulary (for ISO/IEC 270001 Series and ISO/IEC 27005 Information Security Risk Management)

หมายเหต ควำมเสยงโดยปกตมกจะแสดงในรปผลรวมของผลสบเนองจำกเหตกำรณ (รวมถงกำรเปลยนแปลงของสภำพกำรณ) และโอกำสเกดของเหตกำรณนน

= and Risk Consequences (Impact) Likelihood


56

ตวอยางแนวทางการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ (IT Risk Management)

Reference ISO 31000 Risk Management — Guidelines

IT Risk Management (Functions)

2nd Line of Defense

Developing risk management framework • IT Risk Management Policy • IT Risk Management Process

-- Risk assessment process -- Risk treatment process

• IT Risk Management Criteria • etc.

Provide consultation and advice for 1st Line

IT Risk Management (Implementation) (Risk Owners)

1ST Line of Defense

Day-to-day risk management decision-making

Risk identification, assessment, evaluation

Risk treatment plan & control implementation

etc.


57

หมวด 5 การปฏบตตามกฎเกณฑทเกยวของกบเทคโนโลยสารสนเทศ (IT Compliance)


ขอ 33 การปฏบตตามกฎหมายและหลกเกณฑ

บรษทตองจดใหมการก ากบดแลการปฏบตตามกฎหมายและหลกเกณฑทเกยวของกบเทคโนโลยสารสนเทศ (IT Compliance) เชน กฎหมายวาดวยธรกรรมทางอเลกทรอนกส กฎหมายวาดวยการกระท าความผดเกยวกบคอมพวเตอร กฎหมายวาดวยระบบการช าระเงน กฎหมายวาดวยการรกษาความมนคงปลอดภยไซเบอร กฎหมายวาดวยการคมครองขอมลสวนบคคล และไมขดหรอแยงกบการปฏบตตามกฎหมายวาดวยการปองกนและปราบปรามการฟอกเงน และ

กฎหมายอนในลกษณะเดยวกน เพอปองกนการละเมดหรอการไมปฏบตตามกฎหมายและหลกเกณฑของหนวยงานก ากบดแลทเกยวของ


58

หมวด 6 การตรวจสอบดานเทคโนโลยสารสนเทศ (IT Audit)


ขอ 34 บทบาทหนาทและแผนงานในการตรวจสอบดานเทคโนโลยสารสนเทศ

ขอ 35 การปฏบตงานตรวจสอบดานเทคโนโลยสารสนเทศ

ขอ 36 การรายงานและตดตามผลการตรวจสอบ

3rd Line of Defense


59


ขอ 34 บทบาทหนาทและแผนงานในการตรวจสอบดานเทคโนโลยสารสนเทศ

(1) บรษทตองจดใหมผตรวจสอบดานเทคโนโลยสารสนเทศทมความร ประสบการณ และความเชยวชาญเกยวกบการตรวจสอบดานเทคโนโลยสารสนเทศ ซงอาจเปนผตรวจสอบภายในผตรวจสอบภายนอก หรอผเชยวชาญภายนอกทมความเปนอสระจากหนวยงานทท าหนาทปฏบตงานดานเทคโนโลยสารสนเทศและหนวยงานทท าหนาทบรหารความเสยงดานเทคโนโลยสารสนเทศ

(2) บรษทตองจดใหมแผนงานและขอบเขตการตรวจสอบดานเทคโนโลยสารสนเทศทสอดคลองกบความส าคญและความเสยงของการใชเทคโนโลยสารสนเทศของบรษทประกนภย และนโยบายการบรหารความเสยงดานเทคโนโลยสารสนเทศ โดยแผนงานและขอบเขตการตรวจสอบดงกลาวตองไดรบความเหนชอบจากคณะกรรมการตรวจสอบ และตองครอบคลมถงเทคโนโลยสารสนเทศทส าคญของบรษทประกนภย

ทงน บรษทประกนภยตองจดใหมการทบทวนแผนงานและขอบเขตการตรวจสอบดงกลาวอยางนอยปละ 1 ครง และทกครงทมการเปลยนแปลงอยางมนยส าคญ

บทบาทหนาท แผนงาน ขอบเขตงานตรวจสอบ Audit Programme

การปฏบตงานตรวจสอบ Auditing

การรายงานและตดตามผลการตรวจสอบ Audit Report


60


(1) บรษทตองจดใหมการตรวจสอบดานเทคโนโลยสารสนเทศอยางนอยปละ 1 ครง ตามแผนงานและขอบเขตทก าหนด และเมอมเหตการณผดปกตดานเทคโนโลยสารสนเทศทมนยส าคญ

(2) บรษทตองจดใหมผเชยวชาญภายนอกทเปนอสระท าหนาทประเมนระบบหรอเทคโนโลยทมความส าคญ ซงบรษทประกนภยเหนวามความจ าเปนตองประเมน แตบรษทประกนภยมขอจ ากด หรอ ผตรวจสอบดานเทคโนโลยสารสนเทศของบรษทประกนภย ไมสามารถตรวจประเมนได เชน การประเมนระบบทมความซบซอนหรอมการใชเทคโนโลยใหม หรอการประเมนความสามารถของระบบในการปรบเปลยนเพอรองรบการท าธรกจของบรษทประกนภยในอนาคตภายใตสภาวะการเปลยนแปลงทางเทคโนโลยทรวดเรว

ขอ 35 การปฏบตงานตรวจสอบดานเทคโนโลยสารสนเทศ





61


(1) บรษทตองจดท ารายงานผลการตรวจสอบดานเทคโนโลยสารสนเทศและเสนอตอคณะกรรมการตรวจสอบ ตลอดจนจดเกบรายงานผลการตรวจสอบดงกลาวไวทบรษทประกนภย พรอมไวส าหรบการตรวจสอบหรอเมอรองขอโดยส านกงาน

(2) บรษทตองจดใหมการตดตามประเดนจากการตรวจสอบดานเทคโนโลยสารสนเทศ และรายงานประเดนส าคญใหกบคณะกรรมการตรวจสอบและฝายงานทเกยวของทราบ

ขอ 36 การรายงานและตดตามผลการตรวจสอบ





62

หมวด 7 การก ากบดแลและการบรหารจดการความเสยงดานความมนคงปลอดภยไซเบอร (Cybersecurity)


ขอ 37 การก ากบดแลและระบความเสยงดานความมนคงปลอดภยไซเบอร (Identification)

ขอ 38 การปองกนความเสยง (Protection)

ขอ 39 การตรวจสอบและเฝาระวงภยคกคามทางไซเบอร (Detection)

ขอ 40 การด าเนนการมาตรการเผชญเหตเมอตรวจพบภยคกคามทางไซเบอร (Response)

ขอ 41 การด าเนนการฟนฟความเสยหายจากภยคกคามทางไซเบอร (Recovery)

ขอ 42 การประเมนความเสยงดานภยคกคามทางไซเบอร

ขอ 43 การประเมนตนเองและพจารณาปจจยความเสยงดานภยคกคามทางไซเบอร

ขอ 44 การด าเนนการจดการภยคกคามทางไซเบอร


63


บรษทประกนภยตองจดใหมแนวทางการก ากบดแลในการเตรยมความพรอมรบมอภยคกคามทางไซเบอร (Cyber Resilience) โดยม กรอบการด าเนนงานดานความมนคงปลอดภยไซเบอร แนวทางทใชในการก ากบดแลและบรหารจดการความเสยงทเกยวของดานภยคกคามทางไซเบอรในภาพรวมขององคกรทสอดคลองกบกฎหมายวาดวยการรกษาความมนคงปลอดภยไซเบอร


64



(1) ก ากบดแลทดดานไซเบอร (Cybersecurity Governance) บรษทตองจดใหมแนวทางการก ากบดแลในการเตรยมความพรอมรบมอภยคกคามทางไซเบอร (Cyber Resilience) ของคณะกรรมการ คณะกรรมการชดทเกยวของ และผบรหารระดบสงครอบคลมถงการก าหนดกลยทธและนโยบายดาน Cybersecurity / Cyber Resilience การบรหารจดการความเสยงดานไซเบอร การจดสรรและพฒนาบคลากร และการตรวจสอบภายใน

(2) จดท ารายการทรพยสนสารสนเทศ และบรหารจดการทรพยสนสนเทศ (3) ก าหนดขอบเขตและวธการในการประเมนความเสยงดานไซเบอร (4) จดท าแผนบรหารจดการความเสยง มาตรการจดการความเสยง หรอแนวทางในการ

ด าเนนการดานความมนคงปลอดภยไซเบอร สอดคลองตามผลการประเมนความเสยงดานไซเบอรของบรษท

(5) บรหารจดการความเสยงส าหรบหวงโซของผใหบรการภายนอก (Supply Chain Risk Management) แนวทางในการบรการจดการผใหบรการภายนอก


65



(ตอ) ทงน กรณทบรษทมการประเมนหรอถกระบชอเปนหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศ

(Critical Information Infrastructure: CII) บรษทตองด าเนนการ ดงน (1) บรษทตองก าหนดรายชอผบรหารหรอเจาหนาทระดบบรหารและระดบปฏบตการ เพอประสานงาน

ดานการรกษาความมนคงปลอดภยไซเบอรไปยงหนวยงานตามกฎหมายวาดวยการรกษาความมนคงปลอดภยไซเบอร

(2) บรษทตองก าหนดรายชอและขอมลการตดตอของเจาของกรรมสทธ ผครอบครองคอมพวเตอร และผดแลระบบคอมพวเตอร ทเกยวของตามโครงสรางพนฐานส าคญทางสารสนเทศ เพอด าเนนการตามกฎหมายวาดวยการรกษาความมนคงปลอดภยไซเบอร


66


(1) ก าหนดแนวทางการควบคมและปองกนความเสยงของโครงสรางพนฐานส าคญทางสารสนเทศ เชน ระบบคอมพวเตอร ระบบเครอขาย อปกรณ Hardware, Software ขอมล และระบบงาน เปนตน การตงคาระบบงาน การเขาถงระบบงานและการจดการสทธ การรกษาความมนคงปลอดภยของขอมล การพฒนาระบบงานทมความปลอดภยตาม System Development Life Cycle (SDLC) การบรหารจดการ Patch โดยมการใชเทคโนโลยอยางเหมาะสม เพอใหบรษทมกระบวนการ เครองมอ และวธการในการควบคมหรอลดผลกระทบดานการรกษาความมนคงปลอดภยไซเบอรใหอยในระดบทเหมาะสมกบความซบซอนในการด าเนนงานของบรษท

ขอ 38 การปองกนความเสยง (Protection)

(2) ตองมเอกสารการปฏบตงานส าหรบด าเนนการรกษาความมนคงปลอดภยไซเบอร สอดคลองตามมาตรฐานและแนวปฏบตทด (3) ตองก าหนดแนวทางการรวบรวม วเคราะห และใชประโยชนจากขอมลภยคกคามไซเบอร ตลอดจนก าหนดกระบวนการ วธการ และ

ชองทางในการแลกเปลยนขอมลและสรางความรวมมอในการบรหารจดการและรบมอภยคกคามทางไซเบอรทงภายในและภายนอกองคกร ในการตระหนกถงสถานการณความเสยง เพอประโยชนในการพฒนาขดความสามารถในการบรหารจดการความเสยงดานไซเบอรของตนเองและหนวยงานทเกยวของไดอยางตอเนองในระยะยาว


67


(1) มชองทางในการงานชองโหว จดออน เหตการณ หรอสถานการณทเกยวของดานความมนคงปลอดภยไซเบอร โดยระบขอบเขตความรบผดชอบและอ านาจหนาทในการด าเนนการของหนวยงานทเกยวของทงหนวยงานภายในและหนวยงานภายนอก

(2) ก าหนดแนวทางในการคนหา ทดสอบ และบรหารจดการชองโหวทางดานเทคโนโลยสารสนเทศ เพอใหบรษทสามารถตรวจจบ วเคราะห ตดตาม และแจงเตอนเหตการณผดปกตหรอภยคกคามทางไซเบอรใหแกหนวยงานหรอผรบผดชอบรบทราบ และก าหนดแนวทางในการสอสารและการด าเนนการแกไขในเบองตนไดอยางทนการณ

ขอ 39 การตรวจสอบและเฝาระวงภยคกคามทางไซเบอร (Detection)


68


(1) ก าหนดแนวทางในการบรหารจดการการรบมอเหตการณผดปกตหรอภยคกคามทางไซเบอร เชน Cyber/Cybersecurity Incident Response Plan เพอใหบรษทสามารถตอบสนองและรบมอกบความเสยงไดอยางทนการณ

(2) จดท า ซกซอม หรอทดสอบแผนรบมอภยคกคามทางไซเบอร (Cybersecurity แผนฉกเฉน การสบสวนและวเคราะหสาเหตการแกปญหา และจดท ารายงานเพอเสนอตอคณะกรรมการของบรษท และผบรหารระดบสง เปนตน

(3) ก าหนดแนวทางในการสอสาร เพอด าเนนการแกไขเหตการณหรอสถานการณจากภยคกคามทางไซเบอร (4) ก าหนดใหมการทดสอบหรอซกซอมแผนรบมอภยคกคามทางไซเบอร (Cybersecurity Drill) อยาง

นอยปละ 1 ครง

ขอ 40 การด าเนนการมาตรการเผชญเหตเมอตรวจพบภยคกคามทางไซเบอร (Response)


69


(1) ก าหนดแนวทางและมาตรการในการฟนฟความเสยหาย จากเหตการณหรอสถานการณจากภยคกคามทางไซเบอร สอดคลองกบผลการประเมนความเสยงและผลกระทบ ตามกรอบการด าเนนงานความมนคงปลอดภยไซเบอรและการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศของบรษท เพอปองกนไมใหมผลกระทบตอการด าเนนงานและการใหบรการของบรษทอยางมนยส าคญ

(2) ก าหนดแนวทางในการสอสาร เพอด าเนนการฟนฟความเสยหายจากเหตการณหรอสถานการณจาก ภยคกคามทางไซเบอร

ขอ 41 การด าเนนการฟนฟความเสยหายจากภยคกคามทางไซเบอร (Recovery)


70


ขอ 42 การประเมนความเสยงดานภยคกคามทางไซเบอร Cybersecurity Risk

/ Cyber Risk Assessment

การประเมนความเสยงดานความมนคงปลอดภยไซเบอรหรอภยคกคามทางไซเบอร (Cybersecurity Risk Assessment) อยางนอยปละ 1 ครง เพอใหทราบถงสถานภาพความเสยงดานภยคกคามทางไซเบอรของบรษท ตามสภาพปจจยความเสยง สถานการณความเสยง ภยคกคามหรอชองโหว ทเกยวของในการด าเนนการรกษาความมนคงปลอดภยไซเบอร โดยมขอพจารณาปจจยความเสยงดานภยคกคามทางไซเบอร ดงน (1) มเกณฑในการประเมนและจดระดบความรนแรงและผลกระทบของเหตการณหรอสถานการณการถก

โจมตทางไซเบอร รวมทงโอกาสเกดของเหตการณ ตลอดจนการประเมนระดบความเสยงดานภยคกคามทางไซเบอร โดยเกณฑผลกระทบของเหตการณ ใหพจารณาครอบคลมอยางนอย 4 ดาน

(2) มการประเมนความเสยงดานความมนคงปลอดภยไซเบอรหรอภยคกคามทางไซเบอร โดยใหถอเปนความเสยงทส าคญในภาพรวมระดบองคกร และเปนสวนหนงของการบรหารจดการความเสยงในภาพรวมของบรษทประกนภย (Enterprise Risk Management: ERM)

(3) (มการรายงานผลการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ และแนวโนมของความเสยงดานเทคโนโลยสารสนเทศทอาจเกดขน ตอคณะกรรมการของบรษท หรอคณะกรรมการทไดรบมอบหมายในระยะเวลาทเหมาะสม

Confidentiality (C) Integrity (I) Availability (A) Regulations (R)


71


การประเมนตนเอง (Self-assessment) อยางนอยปละ 1 ครง เพอใหทราบถงสถานภาพการก ากบดแลและบรหารจดการดานความมนคงปลอดภยไซเบอร ตามกรอบการด าเนนงานดานความมนคงปลอดภยไซเบอร หรอตามขอก าหนดของกฎหมายวาดวยการรกษาความมนคงปลอดภยไซเบอร โดยมขอพจารณาปจจยความเสยงดานภยคกคามทางไซเบอร ดงน (1) เทคโนโลยและการเชอมตอ (2) ชองทางการใหบรการ (3) ลกษณะผลตภณฑและการใหบรการ (4) ลกษณะเฉพาะขององคกร (5) ประวตการถกคกคามทางไซเบอร

ขอ 43 การประเมนตนเองและพจารณาปจจยความเสยงดานภยคกคามทางไซเบอร Cybersecurity Maturity

Self-Assessment


72


บรษททจดเปนหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศ (Critical Information Infrastructure: CII) และมเหตการณหรอสถานการณภยคกคามทางไซเบอร บรษทตองด าเนนการตามกฎหมายวาดวยการรกษาความมนคงปลอดภยไซเบอร ซงก าหนดระดบ ภยคกคามทางไซเบอรเปน 3 ระดบ ดงน

(1) ภยคกคามทางไซเบอรในระดบไมรายแรง

(2) ภยคกคามทางไซเบอรในระดบรายแรง

(3) ภยคกคามทางไซเบอรในระดบวกฤต

ขอ 44 การด าเนนการจดการภยคกคามทางไซเบอร Cybersecurity / Cyber Threat

ภยคกคามทางไซเบอรในระดบไมรายแรง ภยคกคามทางไซเบอรทมความเสยงอยางมนยส าคญถงระดบทท าใหระบบคอมพวเตอรหรอระบบเทคโนโลยสารสนเทศของบรษทประกนภยทเปนหนวยงานโครงสรางพนฐานส าคญของประเทศหรอการใหบรการของรฐดอยประสทธภาพลง ภยคกคามทางไซเบอรในระดบรายแรง ภยคกคามทางไซเบอรทมลกษณะการเพมขนอยางมนยส าคญของการโจมตระบบคอมพวเตอรหรอระบบเทคโนโลยสารสนเทศ โดยมงหมายเพอโจมตโครงสรางพนฐานส าคญของประเทศ และการโจมตดงกลาวมผลท าใหระบบคอมพวเตอรหรอระบบเทคโนโลยสารสนเทศ โครงสรางสรางส าคญทางสารสนเทศทเกยวของกบการใหบรการของโครงสรางพนฐานส าคญของประเทศ ความมนคงของรฐ ความสมพนธระหวางประเทศ การปองกนประเทศ เศรษฐกจ การสาธารณะสข ความปลอดภยสาธารณะ หรอความสงบเรยบรอยของประชาชนเสยหายจนไมสามารถท างานหรอใหบรการได ภยคกคามทางไซเบอรในระดบวกฤต ภยคกคามทางไซเบอรทเกดจากการโจมตระบบคอมพวเตอรหรอระบบเทคโนโลยสารสสนเทศ ในระดบทสงขนกวาภยคกคามทางไซเบอรในระดบรายแรง ท าใหการใหบรการของโครงสรางพนฐานส าคญของประเทศทใหกบประชาชนลมเหลวทงระบบ จนรฐไมสามารถควบคมการท างานสวนกลางของระบบคอมพวเตอรหรอระบบเทคโนโลยสารสนเทศของรฐได อาจะมผลท าใหบคคลจ านวนมากเสยชวต ระบบคอมพวเตอรคอมพวเตอรหรอระบบเทคโนโลยสารสนเทศจ านวนมากถกท าลายเปนวงกวางในระดบประเทศ


73

ตวอยางแนวทางการก ากบดแลและบรหารจดการดานความมนคงปลอดภยไซเบอร (Cybersecurity)

การประเมนความเสยงดานภยคกคามทางไซเบอร (Cybersecurity / Cyber Risk Assessment)

การประเมนตนเองดานภยคกคามทางไซเบอร (Cybersecurity / Cyber Self-Assessment)

การด าเนนการจดการภยคกคามทางไซเบอร (Cyber Threats)

ส าหรบบรษทประกนภย หนวยงานองคกรทจดเปนโครงสรางพนฐานส าคญทางสารสนเทศ (Critical Information Infrastructure: CII) กรณทมสถานการณจากภยคกคามทางไซเบอร ใหด าเนนการตามกฎหมายวาดวยการรกษาความมนคงปลอดภยไซเบอร ซงก าหนดระดบภยคกคามทางไซเบอรเปน 3 ระดบ

Risk Matrix, Risk Appetite, Risk Scenarios

Maturity level / Framework implementation Tiers / Compliance Assessment Rating for cybersecurity controls (based on Framework or Compliance)


74

หมวด 8 การรายงานเหตการณภยคกคามและความเสยงดานเทคโนโลยสารสนเทศ (Reporting)


ขอ 45 การรายงานเหตการณภยคกคามทางไซเบอรหรอภยคกคามทมตอระบบเทคโนโลยสารสนเทศ

(1) บรษทตองรายงานตอส านกงานในกรณทเกดปญหาหรอเหตการณทมนยส าคญในการใชเทคโนโลยสารสนเทศซงสงผลกระทบตอการใหบรการ หรอระบบ หรอขอมลผเอาประกนภย หรอชอเสยงของบรษท และใหรวมถงกรณทเทคโนโลยสารสนเทศทส าคญของบรษทถกโจมตหรอถกขโจมตจากภยคกคามทางไซเบอร และเปนปญหาหรอเหตการณทบรษทตองรายงานตอผบรหารสงสดของบรษททราบ ใหบรษทรายงานมายงส านกงานทนทเมอเกดหรอรบรเหตการณนน โดยใหแจงรายละเอยดและสาเหตของเหตการณทเกดขนผลกระทบทคาดวาจะเกดขน การด าเนนการแกไขปญหา ผลการแกไขปญหา และระยะเวลาในการแกไข และแนวทางปองกนในอนาคตเพมเตมไดในภายหลง

(2) กรณทบรษทประกนภยถกโจมตจากภยคกคามทางไซเบอร เปนปญหาหรอเหตการณทเกยวของกบการใหบรการโครงสรางพนฐานส าคญทางสารสนเทศ ทเปนภยคกคามทางไซเบอรในระดบไมรายแรง ภยคกคามทางไซเบอรในระดบรายแรง และภยคกคามทางไซเบอรในระดบวกฤต ตองแจงเหตการณละเมดโดยไมชกชาภายในเจดสบสองชวโมง ไปยงส านกงานหรอหนวยงานตามทกฎหมายก าหนด รวมถงการใหขอมลหรอประสานกบหนวยงานของรฐหรอหนวยงานองคกรทแตงตงขนตามกฎหมายวาดวยการรกษาความมนคงปลอดภยไซเบอรในการตอบสนองและรบมอกบภยคกคามทางไซเบอร


75

แบบรายงานเหตการณความเสยงดานเทคโนโลยสารสนเทศ


76



77


it risk and cybersecurity - oic · network & communication security system acquisition &...

Documents