การกำกับดูแลกิจการที่ดี

​​

นโยบายการใช้บริการผู้ให้บริการภายนอก
(Third-Party Management Policy)

1. วัตถุประสงค์

          ในการดำเนินกลยุทธ์เพื่อให้บริษัทบรรลุเป้าหมายในสภาพแวดล้อมด้านการแข่งขันทางธุรกิจและ การเปลี่ยนแปลงอย่างรวดเร็วของเทคโนโลยี บริษัทอาจจะมีการจัดจ้างผู้ให้บริการภายนอกที่มีศักยภาพและ มีความเชี่ยวชาญ หรืออาจจะมีพันธมิตรทางธุรกิจ เพื่อเพิ่มประสิทธิภาพการดำเนินงานของบริษัทในการให้บริการและตอบสนองความต้องการของลูกค้าและผู้มุ่งหวัง บริษัทจึงกำหนดนโยบายฉบับนี้เพื่อเป็นกรอบในการบริหารความเสี่ยงที่เกี่ยวข้อง รวมถึงความเสี่ยงทางด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศให้อยู่ในระดับที่บริษัทยอมรับได้ สอดคล้องกับประกาศหรือแนวปฏิบัติของหน่วยงานกำกับธุรกิจ

2. ขอบเขตของนโยบาย

          นโยบายฉบับนี้ใช้สำหรับบริษัทและบริษัทย่อย ในการใช้ผู้ให้บริการภายนอก บุคลากรของบริษัทและบริษัทย่อยต้องศึกษาทำความเข้าใจและถือปฏิบัติตามนโยบายฉบับนี้

3. วันที่มีผลบังคับใช้

          นโยบายฉบับนี้มีผลบังคับใช้ตั้งแต่วันที่คณะกรรมการบริษัทอนุมัติ

4. ความถี่ในการทบทวนและการแก้ไขปรับปรุงนโยบาย

          นโยบายฉบับนี้จะต้องได้รับการทบทวนอย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสําคัญ

5. ผู้รับผิดชอบนโยบาย

          ฝ่ายธุรการ และฝ่ายกำกับความมั่นคงปลอดภัยและความเสี่ยงสารสนเทศ เป็นผู้รับผิดชอบบริหารจัดการนโยบายฉบับนี้

6. คำนิยาม

            “บริษัท” หมายถึง บริษัท กรุงเทพประกันชีวิต จํากัด (มหาชน)

            “บริษัทย่อย” หมายถึง บริษัทที่บริษัทถือหุ้นไม่ว่าทางตรงหรือทางอ้อมเกินกว่าร้อยละ 50 ของจำนวน หุ้นทั้งหมดที่มีสิทธิ์ออกเสียง

            “การใช้บริการผู้ให้บริการภายนอก” หมายถึง การที่บริษัทใช้ผู้ให้บริการภายนอกดำเนินการแทนสำหรับงานที่โดยปกติบริษัทต้องดำเนินการเองไม่ว่าทั้งหมดหรือบางส่วน

            “ผู้ให้บริการภายนอก” หมายถึง บุคคลธรรมดา หรือนิติบุคคล ซึ่งเข้าทำสัญญารับจัดการงานให้กับบริษัท ตามที่ตกลงกัน รวมถึงคู่ค้าที่จัดหาสินค้าหรือบริการ (Vendor) พันธมิตรธุรกิจที่มีส่วนสนับสนุนการให้บริการของบริษัท พันธมิตรธุรกิจที่เป็นช่องทางการจำหน่ายผลิตภัณฑ์ของบริษัท (Partnership) นายหน้าประกันภัย และผู้ให้บริการอื่น

            “การบริหารความเสี่ยงผู้ให้บริการภายนอก” หมายถึง กระบวนการระบุ ประเมิน และจัดการความเสี่ยงที่อาจเกิดขึ้นจากการใช้บริการ อาทิเช่น ปัญหาการหยุดให้บริการของผู้ให้บริการภายนอกและเกิดผลกระทบต่อลูกค้าของบริษัท การใช้บริการการเชื่อมต่อระบบ หรือการให้ผู้ให้บริการภายนอกเข้าถึงข้อมูลสำคัญขององค์กร เพื่อให้มั่นใจว่าการดำเนินงานยังคงต่อเนื่องและปลอดภัย

            “วงจรการใช้บริการจากผู้ให้บริการภายนอก (Third-Party Management Life Cycle)” หมายถึง กระบวนการบริหารจัดการผู้ให้บริการภายนอก ซึ่งครอบคลุมตั้งแต่การประเมินความเสี่ยง การคัดเลือก การจัดทำสัญญาหรือข้อตกลง การติดตามผลการปฏิบัติงานอย่างต่อเนื่อง และการยกเลิกหรือสิ้นสุดสัญญาหรือข้อตกลง รวมถึงการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ

            “Service Level Agreement : SLA” หมายถึง สัญญาหรือข้อตกลงระหว่างผู้ให้บริการและผู้รับบริการ ซึ่งเป็นเอกสารที่ระบุรายละเอียดของการให้บริการ และกำหนดบทบาทหน้าที่ของทั้งผู้ให้บริการและผู้รับบริการไว้อย่างชัดเจน

            “การบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management : BCM)” หมายถึง แนวทางในการกำหนดนโยบาย มาตรฐาน และกระบวนการปฏิบัติงานของบริษัท เพื่อให้มั่นใจว่ากรณีที่มีเหตุการณ์ที่ทำให้ การปฏิบัติงานตามปกติเกิดหยุดชะงัก ระบบงานที่สำคัญจะยังสามารถดำเนินการได้อย่างต่อเนื่องหรือกลับมาดำเนินงานได้ในเวลาที่เหมาะสม

            “แผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ (Disaster Recovery Plan : DRP)” หมายถึง แผนงานที่กำหนดไว้เป็นลายลักษณ์อักษร เพื่อจัดเตรียมไว้สำหรับการกู้คืนระบบในกรณีที่ระบบงานล้มเหลว ช่วยให้สามารถกู้คืนระบบและการทำงานกลับคืนสู่สภาวะปกติ

            “แผนรับมือภัยคุกคามและตอบสนองต่อเหตุการณ์ผิดปกติทางไซเบอร์ (Cyber Incident Response Plan : CIRP)” หมายถึง แผนงานที่กำหนดไว้เป็นลายลักษณ์อักษร เพื่อกำหนดวิธีปฏิบัติงานในการตอบสนองเมื่อเกิดเหตุภัยคุกคามไซเบอร์

7. หลักการทั่วไป

          นโยบายฉบับนี้จัดทําขึ้นเพื่อให้มั่นใจว่าการดําเนินงานของบริษัทซึ่งเกี่ยวข้องกับการใช้บริการจากผู้ให้บริการภายนอกมีมาตรฐานในการกำกับดูแลการบริหารจัดการความเสี่ยงที่เกี่ยวข้อง โดยคำนึงถึงการบริหารความต่อเนื่องทางธุรกิจ การคุ้มครองลูกค้า และความมั่นคงปลอดภัยของระบบและข้อมูลของบริษัท ทั้งนี้ เพื่อให้บรรลุเป้าหมายทางธุรกิจของบริษัทอย่างมีประสิทธิภาพ

8. นโยบาย

8.1 ดำเนินการการจัดซื้อ จัดหา และจัดจ้าง ให้เกิดผลประโยชน์สูงสุดต่อองค์กร โดยพิจารณาครอบคลุมทั้งด้านเศรษฐกิจ สังคม และสิ่งแวดล้อม ภายใต้ข้อกำหนดของกฎหมาย นโยบาย ประกาศ คำสั่ง และระเบียบต่าง ๆ ของบริษัท และหลักธรรมาภิบาล มุ่งเน้นการบริหารจัดการ และการบริหารงานร่วมกับคู่ค้าอย่างยั่งยืน
8.2 จัดให้มีโครงสร้างการบริหารความเสี่ยง และหน้าที่ความรับผิดชอบของผู้เกี่ยวข้องในการกำกับดูแลและบริหารจัดการความเสี่ยงจากการใช้บริการผู้ให้บริการภายนอก รวมทั้งแนวทางและผู้รับผิดชอบในการบริหารจัดการความเสี่ยง
8.3 จัดให้มีเกณฑ์การจัดระดับความเสี่ยงและระดับความมีนัยสำคัญของการใช้บริการ เช่น ความเสี่ยงในกรณีมีการเชื่อมต่อระบบสารสนเทศของบริษัท หรือการสามารถเข้าถึงข้อมูลของผู้ให้บริการภายนอก เป็นต้น
8.4 จัดให้มีการประเมินและบริหารจัดการความเสี่ยงให้ครอบคลุมวงจรการใช้บริการจากผู้ให้บริการภายนอก (Third-Party Management Life Cycle) ทั้งก่อนการจ้างงาน ระหว่างดำเนินการ และเมื่อสิ้นสุดการจ้างงานหรือใช้บริการ ซึ่งต้องควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
8.5 จัดให้มีการทำสัญญาการใช้บริการจากผู้ให้บริการภายนอกหรือมีการทำข้อตกลงระดับการให้บริการ (Service Level Agreement : SLA) เป็นลายลักษณ์อักษร ให้ครอบคลุมประเด็นความเสี่ยงที่สำคัญ ตลอดจนการกำกับดูแลบริหารจัดการข้อมูลส่วนบุคคลและเรื่องร้องเรียนของลูกค้าอย่างเหมาะสม
8.6 กำหนดให้ผู้ให้บริการภายนอกที่เกี่ยวข้องกับระบบเทคโนโลยีสารสนเทศต้องมีมาตรฐานความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ และการปกป้องข้อมูลส่วนบุคคลไม่ต่ำกว่าที่บริษัทกำหนด โดยคำนึงถึงกรอบหลักการที่สำคัญ 3 ประการ คือ การรักษาความลับ (Confidentiality) ความถูกต้องเชื่อได้ (Integrity) และความพร้อมใช้งาน (Availability) ทั้งนี้ ให้ครอบคลุมถึงการใช้บริการผู้ให้บริการภายนอกแบบ Cloud Computing
8.7 กำหนดให้มีทะเบียนผู้ให้บริการภายนอกเพื่อควบคุมความครบถ้วนของการใช้บริการผู้ให้บริการภายนอก และให้ครอบคลุมถึงระดับความเสี่ยงของผู้ให้บริการภายนอก ทรัพย์สินสารสนเทศและ/หรือข้อมูลที่มีการเชื่อมต่อกับ ผู้ให้บริการภายนอก เพื่อให้บริษัทเข้าใจภาพรวมของการใช้บริการจากผู้ให้บริการภายนอก ซึ่งจะช่วยลด ความเสี่ยงและเพิ่มความปลอดภัยในการจัดการข้อมูลสำคัญ
8.8 จัดให้มีการทบทวนความเสี่ยงจากการใช้บริการของผู้ให้บริการภายนอกอย่างสม่ำเสมอ ครอบคลุมทุกมิติของความเสี่ยงในการใช้บริการผู้ให้บริการภายนอก เช่น ด้านกลยุทธ์ (Strategic Risk) ด้านชื่อเสียง (Reputation Risk) ด้านเทคโนโลยีสารสนเทศและภัยทางไซเบอร์ ด้านปฏิบัติการ (Operational Risk) ด้านการเข้าถึงข้อมูล (Access Risk) ด้านการกระจุกตัว (Concentration Risk) ด้านการปฏิบัติตามกฎหมาย เป็นต้น
8.9 จัดให้มีแผนบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management : BCM) เพื่อรองรับ การดำเนินการในกรณีเหตุการณ์ไม่ปกติ รวมถึงมีแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan : BCP) แผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ (Disaster Recovery Plan : DRP) แผนรับมือ ภัยคุกคามและตอบสนองต่อเหตุการณ์ผิดปกติทางไซเบอร์ (Cyber Incident Response Plan : CIRP) และทดสอบแผนดังกล่าวอย่างสม่ำเสมอ
8.10 จัดให้มีการรายงานผลการบริหารความเสี่ยงและการปฏิบัติงานของผู้ให้บริการภายนอกอย่างต่อเนื่องให้ผู้บริหารที่ได้รับมอบหมาย เพื่อพิจารณาอย่างน้อยไตรมาสละ 1 ครั้ง หรือเมื่อเกิดเหตุการณ์ที่ส่งผลกระทบต่อบริษัทอย่างมีนัยสำคัญ และรายงานผลการบริหารความเสี่ยงและการปฏิบัติงานของผู้ให้บริการภายนอกต่อคณะกรรมการความเสี่ยงอย่างน้อยปีละ 1 ครั้ง

9. บทลงโทษ

          การฝ่าฝืนการปฏิบัติตามนโยบายฉบับนี้เป็นการฝ่าฝืนจรรยาบรรณสำหรับบุคคลขององค์กร และอาจมีความผิดตามกฎหมาย กฎเกณฑ์ ข้อบังคับ หรือข้อกำหนดอื่น ๆ ที่เกี่ยวข้อง