สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (สำนักงาน คปภ.) ยืนยันความมุ่งมั่นในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคลอย่างต่อเนื่อง โดยล่าสุดสำนักงาน คปภ. ผ่านการตรวจติดตาม (First Surveillance Audit) ตามมาตรฐานสากล 2 มาตรฐานควบคู่กัน ต่อเนื่องจากการได้รับการรับรองในปีที่ผ่านมา ได้แก่
- ISO/IEC 27001:2022 ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System : ISMS)
- ISO/IEC 27701:2019 ระบบบริหารจัดการข้อมูลส่วนบุคคล (Privacy Information Management System : PIMS)
การตรวจติดตามดังกล่าวดำเนินการโดย บริษัท บูโร เวอริทัส เซอทิฟิเคชัน (ประเทศไทย) จำกัด ระหว่างวันที่ 31 มีนาคม – 1 เมษายน 2569 และภายหลังการตรวจประเมิน รวมถึงการปิดประเด็นข้อไม่สอดคล้อง (ถ้ามี) โดยสำนักงาน คปภ. ได้รับการยืนยันว่าทั้งระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศและระบบบริหารจัดการข้อมูลส่วนบุคคล ยังคงได้รับการ ดูแลรักษาอย่างเหมาะสมและเป็นไปตามข้อกำหนดของมาตรฐานอย่างครบถ้วน โดยมีรายละเอียดการรับรอง ซึ่งการผ่านการตรวจติดตามทั้ง 2 มาตรฐานในครั้งนี้ เป็นเครื่องยืนยันถึง ความต่อเนื่องและความยั่งยืนของระบบบริหารจัดการ ด้านความมั่นคงปลอดภัยสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคล ของสำนักงาน คปภ. โดยขอบเขตการรับรองครอบคลุม
- ศูนย์คอมพิวเตอร์ (Data Center) ทั้งในส่วนการบริหารจัดการโครงสร้างพื้นฐาน (Infrastructure Management) การรักษาความปลอดภัยทางกายภาพ (Physical Security Management) การบริหารจัดการอุปกรณ์ด้านความมั่นคงปลอดภัย (Security Device Management) และการรักษาความปลอดภัยระบบเครือข่าย (Network Security Management)
- ระบบศูนย์กลางข้อมูลด้านการประกันภัย (Insurance Bureau System) ทั้งระบบประกันวินาศภัย (IBS Non-Life) และระบบประกันชีวิต (IBS Life) ครอบคลุมพื้นที่ปฏิบัติงาน ณ สำนักงานใหญ่ ถนนรัชดาภิเษก เขตจตุจักร กรุงเทพฯ พื้นที่ DC Site และพื้นที่สำรอง DR Site
ในมิติด้าน นโยบายและธรรมาภิบาล (Policy & Governance) การตรวจติดตามครั้งนี้สะท้อนให้เห็นว่าสำนักงาน คปภ. มีการบังคับใช้นโยบาย มาตรการ และกระบวนการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศและการคุ้มครองข้อมูล ส่วนบุคคลอย่างเป็นระบบ โปร่งใส และสามารถตรวจสอบได้ รวมถึงมีการกำกับดูแลในระดับผู้บริหาร เพื่อให้การดำเนินงาน ด้านสารสนเทศและข้อมูลส่วนบุคคลเป็นไปอย่างสอดคล้องกับกฎหมายและมาตรฐานสากล
สำหรับด้าน การบริหารความเสี่ยงและการรักษาความปลอดภัยระบบสารสนเทศ (Information Security & Risk Management) ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของสำนักงาน คปภ. ได้รับการออกแบบและดำเนินการให้สอดคล้องกับมาตรฐาน ISO/IEC 27001:2022 ซึ่งเป็นกรอบสำคัญในการกำกับดูแลความเสี่ยงด้านไซเบอร์ การคุ้มครองทรัพย์สินสารสนเทศ และการสร้างความต่อเนื่องทางธุรกิจของระบบงานสำคัญที่ให้บริการแก่ประชาชนและอุตสาหกรรมประกันภัย
ขณะเดียวกัน ในด้านการคุ้มครองข้อมูลส่วนบุคคล (PDPA & Data Governance) ระบบบริหารจัดการข้อมูล ส่วนบุคคลของสำนักงาน คปภ. ได้รับการออกแบบและดำเนินการให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) โดยมาตรฐาน ISO/IEC 27701:2019 ถูกใช้เป็นกรอบสำคัญในการสนับสนุนการกำกับดูแลข้อมูล ความรับผิดชอบขององค์กร และการคุ้มครองสิทธิของเจ้าของข้อมูล ในบทบาทของสำนักงาน คปภ. ในฐานะ ผู้ควบคุมข้อมูลส่วนบุคคล (PII Controller) ของระบบ Insurance Bureau System (IBS)
นอกจากนี้ สำนักงาน คปภ. ยังให้ความสำคัญกับ การเสริมสร้างความตระหนักรู้ด้าน Cybersecurity และ PDPA (Cybersecurity & PDPA Awareness) อย่างต่อเนื่อง โดยในปีนี้ได้มีการสื่อสารและสร้างความเข้าใจแก่ผู้บริหารและบุคลากรทุกระดับเกี่ยวกับบทบาท หน้าที่ และความรับผิดชอบด้านการรักษาความมั่นคงปลอดภัยสารสนเทศและการคุ้มครองข้อมูล ส่วนบุคคล เพื่อปลูกฝังให้เกิดวัฒนธรรมด้านการคุ้มครองข้อมูลและความมั่นคงปลอดภัยไซเบอร์ในระดับองค์กร
