นโยบายการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ
(Information Technology Risk Management Policy)

1. ข้อกำหนดทั่วไป

     บริษัท กรุงเทพประกันชีวิต จำกัด (มหาชน) “บริษัท” กำหนดให้มีการกำกับดูแลและบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ เป็นส่วนหนึ่งของการบริหารความเสี่ยงทั่วทั้งองค์กร ตามกรอบมาตรฐานสากลอย่างเป็นระบบครอบคลุมกิจกรรมความเสี่ยงในทุก ๆ ด้านที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ

1.1 วัตถุประสงค์

     เพื่อให้การดำเนินงานของบริษัทด้านการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ บรรลุวัตถุประสงค์และเป้าหมายเป็นสำคัญ และอยู่ในระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) โดยมีโครงสร้างในการกำกับดูแลและการบริหารความเสี่ยงตามหลัก 3 Lines of Defense สอดคล้องตามหลักการถ่วงดุล (Check and Balance) ในการปฏิบัติงาน การบริหารความเสี่ยง การกำกับดูแลการปฏิบัติตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้อง ตลอดจนการตรวจสอบด้านเทคโนโลยีสารสนเทศ ให้เป็นไปตามกรอบการปฏิบัติงานและกระบวนการบริหารความเสี่ยงด้านเทคโนโลยี สารสนเทศตั้งแต่การระบุปัจจัยและเหตุที่มาของความเสี่ยง มีการประเมิน วิเคราะห์ จัดลำดับความสำคัญของความเสี่ยง ตามเกณฑ์การประเมินความเสี่ยง มีการจัดการและติดตามโดยใช้เครื่องมือและมาตรการในการบริหารและจัดการความเสี่ยง รวมถึงประเมินผลการบริหารความเสี่ยง

1.2 ขอบเขตของนโยบาย

     บุคลากรของบริษัท กรุงเทพประกันชีวิต จำกัด (มหาชน) และบริษัทย่อย ต้องศึกษา ทำความเข้าใจ นโยบายการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศฉบับนี้ และถือปฏิบัติอย่างเคร่งครัด

1.3 วันที่มีผลบังคับใช้

     นโยบายฉบับนี้มีผลบังคับใช้ตั้งแต่วันที่คณะกรรมการบริษัทอนุมัติ

1.4 ความถี่ในการทบทวน และการแก้ไขปรับปรุงนโยบาย

     บริษัททบทวนนโยบายอย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีสาระสำคัญแก่การแก้ไขทบทวนแก้ไข ปรับปรุง

การแก้ไขปรับปรุงที่มีนัยสำคัญ การทบทวน หรือการต่ออายุนโยบายฉบับนี้ จะต้องได้รับการอนุมัติโดยคณะกรรมการบริษัท ทั้งนี้ การแก้ไขปรับปรุงที่ไม่มีนัยสำคัญจะต้องได้รับการอนุมัติโดยคณะกรรมการจัดการ (“Management Committee: MC”) และ/หรือคณะกรรมการชุดย่อยที่เกี่ยวเนื่อง ก่อนนำรายงานต่อคณะกรรมการบริษัทเพื่อทราบตามลำดับ

1.5 ผู้รับผิดชอบนโยบายผู้รับผิดชอบนโยบาย

     สายเทคโนโลยีสารสนเทศเป็นผู้รับผิดชอบบริหารจัดการนโยบายฉบับนี้

2. ข้อกำหนดหลัก

2.1 คำนิยาม

2.2 ข้อกำหนด

     บริษัทกำหนดหน้าที่และความรับผิดชอบในการกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ จัดให้มีการสื่อสารนโยบายการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศให้ผู้บริหารและพนักงานทุกระดับรับทราบ ให้ความสำคัญและให้ความตระหนัก ตลอดจนมีส่วนร่วมในการบริหารความเสี่ยงของหน่วยงานและของบริษัท โดยถือปฏิบัติอย่างเคร่งครัด เพื่อให้การบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ เป็นไปอย่างต่อเนื่องและมีประสิทธิภาพ รวมทั้งให้ผู้บริหารหน่วยงานที่รับผิดชอบ รายงานผลการดำเนินงานเป็นประจำทุกเดือนต่อผู้บริหารระดับสูง โดยพิจารณาปัจจัยเสี่ยงและระดับความเสี่ยงตามดัชนีชี้วัดความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Key Risk Indicators : IT KRIs) ที่อาจจะกระทบต่อแผนงานหรือแผนกลยุทธ์ของบริษัท เพื่อการบริหารความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศและภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นได้อย่างทันท่วงที เพิ่มประสิทธิภาพในการดำเนินธุรกิจและขีดความสามารถในการแข่งขัน