สำนักงาน คปภ. ผ่านการตรวจติดตาม (Surveillance Audit) มาตรฐาน ISO/IEC 27001:2022 และ ISO/IEC 27701:2019 ตอกย้ำความมั่นคงปลอดภัยสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคลตามมาตรฐานสากล

สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (สำนักงาน คปภ.) ยืนยันความมุ่งมั่นในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคลอย่างต่อเนื่อง โดยล่าสุดสำนักงาน คปภ. ผ่านการตรวจติดตาม (First Surveillance Audit) ตามมาตรฐานสากล 2 มาตรฐานควบคู่กัน ต่อเนื่องจากการได้รับการรับรองในปีที่ผ่านมา ได้แก่

• ISO/IEC 27001:2022 ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System : ISMS)

• ISO/IEC 27701:2019 ระบบบริหารจัดการข้อมูลส่วนบุคคล (Privacy Information Management System : PIMS)

การตรวจติดตามดังกล่าวดำเนินการโดย บริษัท บูโร เวอริทัส เซอทิฟิเคชัน (ประเทศไทย) จำกัด ระหว่างวันที่ 31 มีนาคม – 1 เมษายน 2569 และภายหลังการตรวจประเมิน รวมถึงการปิดประเด็นข้อไม่สอดคล้อง (ถ้ามี) โดยสำนักงาน คปภ. ได้รับการยืนยันว่าทั้งระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศและระบบบริหารจัดการข้อมูลส่วนบุคคล ยังคงได้รับการ  ดูแลรักษาอย่างเหมาะสมและเป็นไปตามข้อกำหนดของมาตรฐานอย่างครบถ้วน โดยมีรายละเอียดการรับรอง ซึ่งการผ่านการตรวจติดตามทั้ง 2 มาตรฐานในครั้งนี้ เป็นเครื่องยืนยันถึง ความต่อเนื่องและความยั่งยืนของระบบบริหารจัดการ  ด้านความมั่นคงปลอดภัยสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคล ของสำนักงาน คปภ. โดยขอบเขตการรับรองครอบคลุม 

• ศูนย์คอมพิวเตอร์ (Data Center) ทั้งในส่วนการบริหารจัดการโครงสร้างพื้นฐาน (Infrastructure Management) การรักษาความปลอดภัยทางกายภาพ (Physical Security Management) การบริหารจัดการอุปกรณ์ด้านความมั่นคงปลอดภัย (Security Device Management) และการรักษาความปลอดภัยระบบเครือข่าย (Network Security Management) 

• ระบบศูนย์กลางข้อมูลด้านการประกันภัย (Insurance Bureau System) ทั้งระบบประกันวินาศภัย (IBS Non-Life) และระบบประกันชีวิต (IBS Life) ครอบคลุมพื้นที่ปฏิบัติงาน ณ สำนักงานใหญ่ ถนนรัชดาภิเษก เขตจตุจักร กรุงเทพฯ พื้นที่ DC Site และพื้นที่สำรอง DR Site

ในมิติด้าน นโยบายและธรรมาภิบาล (Policy & Governance) การตรวจติดตามครั้งนี้สะท้อนให้เห็นว่าสำนักงาน คปภ. มีการบังคับใช้นโยบาย มาตรการ และกระบวนการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศและการคุ้มครองข้อมูล ส่วนบุคคลอย่างเป็นระบบ โปร่งใส และสามารถตรวจสอบได้ รวมถึงมีการกำกับดูแลในระดับผู้บริหาร เพื่อให้การดำเนินงาน ด้านสารสนเทศและข้อมูลส่วนบุคคลเป็นไปอย่างสอดคล้องกับกฎหมายและมาตรฐานสากล

สำหรับด้าน การบริหารความเสี่ยงและการรักษาความปลอดภัยระบบสารสนเทศ (Information Security & Risk Management) ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของสำนักงาน คปภ. ได้รับการออกแบบและดำเนินการให้สอดคล้องกับมาตรฐาน ISO/IEC 27001:2022 ซึ่งเป็นกรอบสำคัญในการกำกับดูแลความเสี่ยงด้านไซเบอร์ การคุ้มครองทรัพย์สินสารสนเทศ และการสร้างความต่อเนื่องทางธุรกิจของระบบงานสำคัญที่ให้บริการแก่ประชาชนและอุตสาหกรรมประกันภัย

ขณะเดียวกัน ในด้านการคุ้มครองข้อมูลส่วนบุคคล (PDPA & Data Governance) ระบบบริหารจัดการข้อมูล ส่วนบุคคลของสำนักงาน คปภ.ได้รับการออกแบบและดำเนินการให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) โดยมาตรฐาน ISO/IEC 27701:2019 ถูกใช้เป็นกรอบสำคัญในการสนับสนุนการกำกับดูแลข้อมูล  ความรับผิดชอบขององค์กร และการคุ้มครองสิทธิของเจ้าของข้อมูล ในบทบาทของสำนักงาน คปภ. ในฐานะ ผู้ควบคุมข้อมูลส่วนบุคคล (PII Controller) ของระบบ Insurance Bureau System (IBS)

นอกจากนี้ สำนักงาน คปภ. ยังให้ความสำคัญกับ การเสริมสร้างความตระหนักรู้ด้าน Cybersecurity และ PDPA (Cybersecurity & PDPA Awareness) อย่างต่อเนื่อง โดยในปีนี้ได้มีการสื่อสารและสร้างความเข้าใจแก่ผู้บริหารและบุคลากรทุกระดับเกี่ยวกับบทบาท หน้าที่ และความรับผิดชอบด้านการรักษาความมั่นคงปลอดภัยสารสนเทศและการคุ้มครองข้อมูล  ส่วนบุคคล เพื่อปลูกฝังให้เกิดวัฒนธรรมด้านการคุ้มครองข้อมูลและความมั่นคงปลอดภัยไซเบอร์ในระดับองค์กร

การผ่านการตรวจติดตามมาตรฐาน ISO/IEC 27001:2022 และ ISO/IEC 27701:2019 ในครั้งนี้ ไม่เพียงสะท้อน ความพร้อมของสำนักงาน คปภ. ในการรักษามาตรฐานสากลด้านความมั่นคงปลอดภัยสารสนเทศและการคุ้มครองข้อมูล ส่วนบุคคลเท่านั้น แต่ยังตอกย้ำบทบาทของสำนักงาน คปภ.ในฐานะองค์กรกำกับดูแลที่ให้ความสำคัญกับธรรมาภิบาล ความเชื่อมั่นของประชาชน และการพัฒนาอุตสาหกรรมประกันภัยไทยอย่างมั่นคงและยั่งยืน