คปภ. ประเทศไทย

ข้อกำหนดด้าน Cybersecurity ของ คปภ. สำหรับบริษัทประกันภัย

บริษัทประกันภัยและบริษัท Insurtech ที่ดำเนินธุรกิจในประเทศไทย ต้องปฏิบัติตามข้อกำหนดด้านธรรมาภิบาลเทคโนโลยีสารสนเทศของ คปภ. เพื่อปกป้องข้อมูลผู้เอาประกันภัยและรักษาความต่อเนื่องของการดำเนินงาน

คปภ.

หน่วยงานกำกับดูแล

IT Governance

กรอบการทำงาน

ประจำปี

รอบการประเมิน

ผู้เอาประกัน

จุดเน้น

รับการประเมิน Compliance คปภ.

กฎระเบียบ Cybersecurity ของ คปภ. คืออะไร?

สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ. / OIC) เป็นหน่วยงานที่กำกับดูแลธุรกิจประกันภัยในประเทศไทย หลักเกณฑ์ด้าน Cybersecurity ของ คปภ. มีพื้นฐานจาก ประกาศนายทะเบียน เรื่อง หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิตและบริษัทประกันวินาศภัย พ.ศ. 2563

กรอบการทำงานนี้สอดคล้องกับแนวปฏิบัติด้านความเสี่ยง IT ของธนาคารแห่งประเทศไทย (ธปท.) แต่ปรับให้เหมาะสมกับภาคประกันภัยเพื่อปกป้องข้อมูลส่วนบุคคลและข้อมูลสุขภาพที่มีความอ่อนไหวสูง ครอบคลุมธรรมาภิบาล IT นโยบายความมั่นคงปลอดภัย การคุ้มครองข้อมูล ความต่อเนื่องของการดำเนินงาน และมาตรการด้านความปลอดภัยในวงจรชีวิตการพัฒนาระบบ (SDLC)

ภายใต้หลักการ "Three Lines of Defense" ของ คปภ. บริษัทประกันภัยต้องจัดให้มีการควบคุมการจัดการเชิงปฏิบัติ หน่วยงานบริหารความเสี่ยงและ Compliance และหน่วยตรวจสอบอิสระ โดยเป็นแนวทางที่ยึดหลักความเสี่ยง (Risk-based) — คณะกรรมการบริษัทต้องมีส่วนร่วมในการทบทวนความเสี่ยงสำคัญจากการประเมินความปลอดภัย และจัดสรรงบประมาณให้ฝ่าย IT แก้ไขปัญหาได้

ใครต้องปฏิบัติตาม?

ข้อกำหนดด้าน Cybersecurity ของ คปภ. บังคับใช้กับทุกหน่วยงานที่อยู่ภายใต้การกำกับดูแลของ คปภ.

บริษัทประกันชีวิต

บริษัทประกันวินาศภัย

บริษัทประกันสุขภาพ

นายหน้าและตัวแทนประกันภัย (ที่มีระบบ IT สำคัญ)

บริษัท Insurtech ภายใต้การกำกับของ คปภ.

บริษัทรับประกันภัยต่อที่ดำเนินงานในประเทศไทย

ข้อกำหนดหลักด้าน Cybersecurity ของ คปภ.

ประเด็นสำคัญตามหลักเกณฑ์การบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศของ คปภ.

ธรรมาภิบาล IT และ Three Lines of Defense

การกำกับดูแลระดับคณะกรรมการตามหลัก Three Lines of Defense กรรมการต้องทบทวนความเสี่ยง IT จากการประเมินอย่างจริงจัง อนุมัติงบประมาณแก้ไข และรับผิดชอบด้านความมั่นคงปลอดภัยทั่วทั้งองค์กร

นโยบายความมั่นคงปลอดภัย

นโยบาย มาตรฐาน และขั้นตอนปฏิบัติด้านความมั่นคงปลอดภัยที่เป็นลายลักษณ์อักษร ครอบคลุมการดำเนินงาน IT ทั้งหมดรวมถึง SDLC ต้องบูรณาการแนวปฏิบัติด้าน Secure Coding และทบทวนอย่างสม่ำเสมอ

การประเมินความเสี่ยงด้านความมั่นคงปลอดภัย

การประเมินช่องโหว่และ Penetration Testing ที่เป็นข้อบังคับ โดยเฉพาะสำหรับแพลตฟอร์ม E-Insurance ต้องระบุ CVE อย่างเป็นระบบ จัดลำดับความสำคัญตามความเสี่ยง และมีหลักฐานการแก้ไขพร้อมการทดสอบซ้ำ

การคุ้มครองข้อมูลผู้เอาประกันภัย

การปกป้องข้อมูลลูกค้าที่มีความอ่อนไหว รวมถึงข้อมูลส่วนบุคคล ประวัติสุขภาพ และข้อมูลทางการเงิน ด้วยมาตรการทางเทคนิคที่เหมาะสม

การตอบสนองเหตุการณ์และความต่อเนื่องทางธุรกิจ

แผนการตรวจจับ ตอบสนอง และกู้คืนจากเหตุการณ์ด้านความมั่นคงปลอดภัยที่เป็นลายลักษณ์อักษร พร้อมขั้นตอนความต่อเนื่องทางธุรกิจที่ได้รับการทดสอบ ภัยคุกคามทางไซเบอร์ต้องถูกบูรณาการเข้ากับ Enterprise Risk Management (ERM)

การบริหารความเสี่ยงจากบุคคลที่สาม

การประเมินความมั่นคงปลอดภัยและการติดตามผู้ให้บริการภายนอก บริษัทประกันภัยยังคงต้องรับผิดชอบเต็มที่ในการตรวจสอบว่าผู้พัฒนาภายนอกดำเนินการ Secure Code Review แม้จะ Outsource การพัฒนา

การคุ้มครองข้อมูลผู้เอาประกันภัย

บริษัทประกันภัยจัดการข้อมูลที่มีความอ่อนไหวสูง ซึ่งต้องมีมาตรการรักษาความปลอดภัยที่เข้มงวด

ประเภทข้อมูลที่มีความอ่อนไหวของบริษัทประกันภัย

ข้อมูลระบุตัวตนบุคคล
ประวัติสุขภาพและเวชระเบียน
ข้อมูลทางการเงินและการชำระเงิน
ประวัติการเรียกร้องสินไหมทดแทนและรายละเอียดการชดใช้
ข้อมูลผู้รับผลประโยชน์และข้อมูลครอบครัว

ข้อกำหนดคู่กับ PDPA มาตรา 37

บริษัทประกันภัยต้องปฏิบัติตาม PDPA มาตรา 37 ซึ่งกำหนดให้มีมาตรการทางเทคนิคที่เหมาะสมในการประมวลผลข้อมูลส่วนบุคคลทุกประเภท การรวมข้อกำหนดของ คปภ. และ PDPA หมายความว่าบริษัทประกันภัยต้องปฏิบัติตามข้อบังคับสองฉบับพร้อมกันในเรื่องการคุ้มครองข้อมูล

ผลกระทบจากการไม่ปฏิบัติตาม

มาตรการลงโทษจากสำนักงาน คปภ.
การกำกับดูแลที่เข้มงวดขึ้นและการตรวจสอบที่ถี่ขึ้น
การจำกัดการดำเนินธุรกิจหรือการอนุมัติผลิตภัณฑ์ใหม่
ความเสียหายต่อชื่อเสียงจากเหตุการณ์ด้านความปลอดภัยที่กระทบผู้เอาประกันภัย
โทษตาม PDPA: ค่าปรับทางปกครองสูงสุด 5,000,000 บาทต่อการฝ่าฝืนสำหรับความล้มเหลวในการคุ้มครองข้อมูล

การทดสอบความปลอดภัยตอบโจทย์ข้อกำหนด คปภ. อย่างไร

การประเมินแต่ละประเภทแมปตรงกับข้อกำหนดเฉพาะของ คปภ. ตามประกาศ พ.ศ. 2563

การประเมินช่องโหว่ (บังคับ)

การบริหารจัดการช่องโหว่อย่างเป็นระบบทั่วทั้งโครงสร้างพื้นฐาน IT — ระบุ CVE จัดลำดับตามความรุนแรง และแก้ไขภายในกรอบเวลาที่กำหนด

Penetration Testing (บังคับ)

ต้องดำเนินการอย่างน้อยปีละครั้ง และก่อนเปิดตัวแอปพลิเคชันสำหรับลูกค้าใหม่ เข้มงวดเป็นพิเศษสำหรับแพลตฟอร์ม E-Insurance ช่องโหว่วิกฤตต้องได้รับการแก้ไขและทดสอบซ้ำ

Secure Code Review (บังคับตาม SDLC)

การวิเคราะห์แบบ Static (SAST) และการตรวจสอบโค้ดด้วยมือเพื่อแก้ไขช่องโหว่ OWASP Top 10 บริษัทประกันภัยยังคงต้องรับผิดชอบแม้จะ Outsource การพัฒนาให้บุคคลที่สาม

Red Teaming (คาดหวังสำหรับผู้ประกอบการรายใหญ่)

จำลองการโจมตีขั้นสูงที่กำหนดเป้าหมายบุคลากร กระบวนการ และเทคโนโลยี คปภ. และ สกมช. แนะนำอย่างยิ่งสำหรับบริษัทประกันภัยชั้นนำที่จัดการข้อมูลสำคัญ เพื่อพิสูจน์ความยืดหยุ่นเชิงปฏิบัติ

Smart Contract Audit (บังคับสำหรับ DeFi/Blockchain)

บังคับโดยปฏิบัติภายใต้ข้อกำหนด "การนำเทคโนโลยีสารสนเทศมาใช้" สำหรับบริษัทประกันภัยที่ใช้ Blockchain หรือประกันภัยแบบ Parametric ต้องมีทั้งการตรวจสอบอัตโนมัติและการ Review โค้ดด้วยมือ

รายการตรวจสอบ Compliance คปภ.

รายการสำคัญที่ต้องตรวจสอบตามข้อกำหนด Cybersecurity ของ คปภ. พ.ศ. 2563

กรอบธรรมาภิบาล IT ตามหลัก Three Lines of Defense พร้อมการกำกับดูแลระดับคณะกรรมการ
นโยบายความมั่นคงปลอดภัยได้รับการจัดทำ อนุมัติ และทบทวน — รวมถึงแนวปฏิบัติด้าน SDLC
การประเมินช่องโหว่ที่เป็นข้อบังคับ พร้อมการติดตาม CVE อย่างเป็นระบบและหลักฐานการแก้ไข
Penetration Testing ประจำปี พร้อมการทดสอบก่อนเปิดตัวสำหรับแพลตฟอร์ม E-Insurance
Secure Code Review บูรณาการเข้ากับกระบวนการพัฒนา (รวมถึงการพัฒนาที่ Outsource)
แผนตอบสนองเหตุการณ์ได้รับการจัดทำ ทดสอบ และบูรณาการกับ Enterprise Risk Management
ผู้ให้บริการภายนอกได้รับการประเมินด้านความมั่นคงปลอดภัยพร้อมการติดตามอย่างต่อเนื่อง
มาตรการคุ้มครองข้อมูลผู้เอาประกันภัยได้รับการตรวจสอบทั่วทุกระบบ