The Compliance Expert

การดำเนินงานของทุก ๆ องค์กรในโลกปัจจุบัน มีความข้องเกี่ยวกับการนำระบบเทคโนโลยีสารสนเทศ เข้ามาใช้งานภายในองค์กร เพื่อช่วยตอบสนองการดำเนินงานของแต่ละองค์กรให้เป็นไปตามวัตถุประสงค์และเป้าหมาย เพิ่มความสะดวกรวดเร็วในการดำเนินงาน และระบบเทคโนโลยีสารสนเทศในปัจจุบันเองก็มีการเติบโตแบบก้าวกระโดดอย่างมาก การใช้งานระบบสารสนเทศภายในองค์กรนอกจากจะช่วยเพิ่มความสะดวก รวดเร็ว ในการดำเนินงานแล้ว ยังต้องรู้จักใช้งานระบบสารสนเทศให้มีความมั่นคงปลอดภัยกับองค์การด้วยเช่นกัน ดังนั้นการเข้าใจและมีมาตรการสำหรับป้องกันความเสี่ยงด้านเทคโนโลยีสารสนเทศจึงเป็นส่วนสำคัญอย่างยิ่งที่จะช่วยลดผลกระทบจากการใช้งานระบบสารสนเทศที่ตามมา เช่น ระบบเทคโนโลยีถูกทำลายจากสิ่งไม่พึงประสงค์ สูญเสียข้อมูลสำคัญขององค์กรที่อยู่ในระบบ สูญเสียโอกาสในการสร้างผลิตผลจากการที่ระบบไม่สามารถใช้งานได้ สูญเสียความเชื่อมั่นจากผู้เกี่ยวข้อง ฯลฯ องค์กรมีวิธีในการลดความเสี่ยงทางด้านเทคโนโลยีสารสนเทศหรือสิ่งไม่พึงประสงค์ที่จะเกิดขึ้นได้อย่างไรบ้าง หนึ่งในวิธีการที่องค์กรสามารถนำไปใช้ คือ การปฏิบัติตาม IT Standard หรือ Best Practice ที่ดีก็จะสามารถช่วยลดความเสี่ยงเหล่านั้นลงได้เช่นกัน หรือหากองค์กรนั้น ๆ มีหน่วยงานที่คอยควบคุมหรือกำกับดูแลอยู่ การปฏิบัติตามประกาศข้อบังคับของหน่วยงานกำกับดูแล (Regulator) นั้นก็จะสามารถช่วยลดความเสี่ยงขององค์กรได้อย่างมากเช่นกัน เพราะประกาศข้อบังคับที่ออกมาจากหน่วยงานกำกับดูแลส่วนใหญ่ล้วนเป็น Best Practice ที่องค์กรควรปฏิบัติตามทั้งสิ้น

บริษัท เอซีอินโฟเทค จำกัด ในฐานะที่ปรึกษาที่มีประสบการณ์ในการให้คำปรึกษา ด้านการปรับปรุงองค์กร การบริหารความเสี่ยง และการปฏิบัติตามข้อกำหนด (Governance, Risk and Compliance) เพื่อดำเนินการตามมาตฐานหรือข้อกำหนดต่าง ๆ รวมทั้งการร่วมสร้าง Framework และวาง Roadmap ให้กับเหล่า Regulator ทั้งในและต่างประเทศมามากกว่า 20 ปี และมีลูกค้าให้ความไว้วางใจมากกว่า 150 องค์กร รวมถึงบริการที่ครอบคลุมเบ็ดเสร็จ (Total Solutions) เอซีอินโฟเทค คือที่ปรึกษาที่ท่านสามารถมั่นใจได้ในทุก ๆ ภารกิจด้าน Compliance ขององค์กร

บริการของบริษัทครอบคลุมการให้คำปรึกษา การฝึกอบรม การตรวจประเมิน และโซลูชั่นต่าง ๆ เพื่อช่วยให้องค์กรสามารถพัฒนาและปรับปรุงกระบวนการด้านสารสนเทศให้สอดคล้องกับมาตรฐานสากล ตลอดจนกฎระเบียบและข้อกำหนดต่าง ๆ อาทิเช่น มาตรฐาน ISO 27001, ISO 20000, ISO 22301, ISO 31000, FFIEC, PCI DSS, CMMI-DEV, COBIT, PDPA

ข้อกำหนดด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของ คปภ. กลต. ธปท. และหน่วยงานกำกับอื่น ๆ กฎหมายธุรกรรมทางอิเล็กทรอนิกส์ (E-Transactions) และกฎหมายลำดับรองที่เกี่ยวข้อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยระดับเคร่งครัด และมาตรฐานอื่น ๆ อีกมากมาย

หากหน่วยงานของท่านต้องปฏิบัติตามกฎหมาย ข้อบังคับ หรือแนวปฏิบัติด้านการรักษา ความมั่นคงปลอดภัยสารสนเทศ (Information Security / Cyber Security / PDPA) ติดต่อ ACinfotec เพื่อรับคำแนะนำเบื้องต้น ฟรี!!

ACinfotec Compliance Services

 

 

OIC E-Insurance Application Audit

 

OIC IT RISK Management Audit

 

SEC IT Audit

 

IT Audit

 

NDID MQA Audit

 

SWIFT CSCF Audit

 

PDPA/Privacy Audit

 

OIC E-Insurance Application Audit

เอซีอินโฟเทคคือคู่หูผู้ช่วยในการให้คำปรึกษา และตรวจรับรองระบบสารสนเทศของบริษัท โดยทีมที่ปรึกษาและผู้ตรวจสอบอิสระที่มีประสบการณ์และความเชี่ยวชาญ ได้รับประกาศนียบัตร CISA, CISM, CISSP, ISO 27001 Information Security Management เป็นต้น

ตามประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย มีหลักเกณฑ์เพื่อใช้เป็นเครื่องมือในการกำกับดูแลธุรกรรมประกันภัยผ่านระบบอิเล็กทรอนิกส์ หรือระบบออนไลน์ ดังนี้

  • หลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัยและการชดใช้เงินตามสัญญาประกันชีวิต โดยใช้วิธีการทางอิเล็กทรอนิกส์ พ.ศ.2560 และ
  • หลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัยและการชดใช้เงิน หรือ ค่าสินไหมทดแทนตามสัญญาประกันภัย โดยใช้วิธีการทางอิเล็กทรอนิกส์ พ.ศ. 2560

โดยเอซีอินโฟเทค มีบริการที่ช่วยบริษัทในการดำเนินการให้สอดคล้องกับประกาศฯ ดังนี้

  1. เตรียมความพร้อมก่อนการตรวจรับรองระบบ (Assessment) โดยเข้าไปดำเนินการประเมินกิจกรรม และเอกสารที่เกี่ยวข้อง เปรียบเทียบกับแนวทางการประเมินมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ เพื่อจัดทำคำแนะนำ และขั้นตอนการดำเนินการในการเตรียมระบบให้สอดคล้องกับที่ประกาศฯ กำหนด
  2. ห้คำปรึกษาในการพัฒนาหรือปรับปรุงระบบและเอกสารที่จำเป็น เช่น นโยบายความมั่นคงปลอดภัยของระบบสารสนเทศ นโยบายการคุ้มครองข้อมูลส่วนบุคคล/นโยบายความเป็นส่วนตัว เป็นต้น ให้สอดคล้องกับแนวทางการประเมินมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ รวมถึงการจัดเตรียมเอกสารที่เกี่ยวข้อง สำหรับการยื่นขอรับรอง
  3. ตรวจรับรองการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศในระดับเคร่งครัดทั้งแบบ อช.3 และ อว.3 ตามประกาศฯ รวมถึงการตรวจรับรองในกรณีที่บริษัทใช้บริการระบบสารสนเทศของผู้ให้บริการภายนอก แบบ อช.4 และ อว.4 โดยผู้ตรวจสอบอิสระที่มีประสบการณ์และความเชี่ยวชาญที่ได้รับประกาศนียบัตร CISA, CISM, CISSP, ISO 27001 Information Security Management ตามประกาศฯ กำหนด

OIC IT RISK Management Audit

บริการให้คำปรึกษา และตรวจสอบด้านเทคโนโลยีสารสนเทศ

กำหนดหลักเกณฑ์การกำกับดูแล และบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต/ประกันวินาศภัย พ.ศ.2563 ตามประกาศสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.)

สำนักงาน คปภ. มุ่งหวังให้บริษัทประกันภัยมีการกำกับดูแลบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ และภัยคุกคามทางไซเบอร์ที่สอดคล้องกับมาตรฐานสากล ดำเนินการโดยหน่วยงานที่ทำหน้าที่ตรวจสอบด้านเทคโนโลยีสารสนเทศจากภายในหรือภายนอกองค์กร ที่สามารถตรวจสอบด้วยความเป็นอิสระ มีความเชี่ยวชาญเฉพาะ และมีคุณสมบัติที่เหมาะสม

ซึ่งสำนักงาน คปภ. คาดหวังให้บริษัทประกันภัยมีความพร้อมอย่างน้อยในระดับ Bronze ภายใน 3 ปี (31 ธันวาคม 2566) และมีแผนการดำเนินการยกระดับการกำกับดูแลอย่างต่อเนื่อง โดยมีขอบเขตการตรวจสอบ ประกอบด้วย 8 หมวด

>>> ท่านสามารถดาวน์โหลดเอกสาร ที่เกี่ยวข้องและประกาศได้ โดย คลิกที่นี่

Service Features

เอซีอินโฟเทค ให้บริการการตรวจสอบด้านเทคโนโลยีสารสนเทศตามหลักเกณฑ์ IT RISK AUDIT โดยมีขั้นตอนการตรวจดังนี้

พร้อมด้วยบริการ

  • การประเมินด้าน Gap Analysis พร้อมให้คำแนะนำในการดำเนินการต่อไป
  • ให้คำแนะนำด้านเอกสารที่เกี่ยวข้อง
  • ให้คำแนะนำด้านการปฏิบัติตามนโยบายให้เหมาะสม
  • การอบรมด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์ และอบรมพัฒนาทักษะด้านการบริหารจัดการความเสี่ยง

ทำไมจึงต้องเป็นเอซีอินโฟเทค (WHY ACinfotec?)

SEC IT Audit

ปัจจุบันสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (“ก.ล.ต.”) ได้มีการประกาศใช้ สธ. 38/2565 เรื่อง ข้อกำหนดในรายละเอียดเกี่ยวกับการจัดให้มีระบบเทคโนโลยีสารสนเทศ ( ซึ่งถูกใช้แทนที่ประกาศเดิม สธ. 37/2559 เรื่อง ข้อกำหนดในรายละเอียดเกี่ยวกับการจัดให้มีระบบเทคโนโลยีสารสนเทศที่ได้ถูกยกเลิกแล้ว โดยทั้งสองประกาศนี้ถือเป็นเรื่องเดียวกัน) ซึ่งเป็นการมุ่งเน้นให้องค์กรภายใต้การกำกับดูแล มีการกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศ (Information Technology Governance) การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (Information Technology Security) และ การตรวจสอบด้านเทคโนโลยีสารสนเทศ (Information Technology Audit)

รวมถึงการประกาศแนวปฏิบัติ นป. 7/2565 เรื่อง แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสารสนเทศ (ซึ่งถูกใช้แทนที่ นป. 3/2559 เรื่อง แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสารสนเทศที่ได้ถูกยกเลิกแล้ว โดยทั้งสองแนวปฏิบัตินี้ถือเป็นเรื่องเดียวกัน) ซึ่งเป็นแนวปฏิบัติเพื่อให้องค์กรสามารถดำเนินการได้สอดคล้องกับ ข้อกำหนดประกาศใช้ สธ. 38/2565 ที่ครอบคลุมทั้ง 3 ด้าน

หมายเหตุ: บริษัทภายใต้การกำกับดูแลของ ก.ล.ต. ต้องเริ่มจัดส่งรายงานการตรวจสอบ (IT Audit Report) ครั้งแรกภายใน 31 มีนาคม 2567 และจากนั้นต้องจัดส่งภายใน 31 ธันวาคมของทุกปี ทั้งนี้ขึ้นอยู่กับระดับความเสี่ยง: Risk Level Assessment (RLA) ของแต่ละบริษัท

 

โดยเอซีอินโฟเทค สามารถให้คำปรึกษาและให้คำแนะนำในการปฏิบัติตามประกาศการดำเนินงานตามข้อบังคับ ทั้งในส่วนของ

  • การกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศ (Information Technology Governance)
  • การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (Information Technology Security)
  • การตรวจสอบด้านเทคโนโลยีสารสนเทศ (Information Technology Audit) และรายงานการตรวจสอบพร้อมข้อเสนอแนะ (Audit Report)
  • การประเมินระดับความเสี่ยงของผู้ประกอบธุรกิจ RLA (Risk Level Assessment)
  • การทำ Cyber Drill, Cyber Exercise, Cyber Attack, Penetration Testing (Pentest)
  • บริการผู้ตรวจสอบอิสระเพื่อทำหน้าที่ตรวจสอบด้านเทคโนโลยีสารสนเทศที่มี Certificate CISA/CISM/CISSP/ISO 27001 Lead Auditor etc.
  • การทบทวนความเหมาะสม เช่น ช่องว่างในการดำเนินงานปัจจุบันเมื่อเทียบกับข้อกำหนด และจัดทำเป็นแผนการดำเนินงานเพื่อปิดช่องว่างเหล่านั้น
  • เป็นที่ปรึกษาในการจัดทำรายงานเพื่อจัดส่งรายงานต่อ ก.ล.ต. และอื่น ๆ ตามประกาศของ ก.ล.ต.

สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (“คปภ.”)

แนวปฏิบัติ เรื่อง การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ของบริษัทประกันชีวิต / ประกันวินาศภัย พ.ศ. 2564

เอซีอินโฟเทค ได้ดำเนินการร่วมกับ คปภ. ในการจัดทำคู่มือการตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT Audit Manual) เพื่อใช้ ตรวจสอบกระบวนการและกิจกรรมการกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ของบริษัทประกันชีวิต / ประกันวินาศภัย และเพื่อเป็นหลักเกณฑ์ในการตรวจสอบสำหรับบริษัทประกันทั้งประเทศ ดังนั้น เอซีอินโฟเทค จึงมีประสบการณ์และความเชี่ยวชาญในการให้คำปรึกษา คำแนะแนะนำและการตรวจตามประกาศฉบับนี้เป็นอย่างดี

กรอบการประเมินระดับความพร้อมด้านการรับมือภัยคุกคามทางไซเบอร์ (Cyber Resilience Assessment Framework: CRAF) สำหรับบริษัทประกันภัย

เอซีอินโฟเทค มีประสบการณ์และความเชี่ยวชาญทางด้าน Cyber Resilience และมีความเข้าใจในตัวมาตรฐาน NIST Cybersecurity Framework (เป็นมาตรฐานหลักที่ใช้อ้างอิงในการทำประกาศฉบับนี้) ซึ่งเอซีอินโฟเทคสามารถช่วยเหลือองค์กรในการวิเคราะห์ตาม Framework Core ได้แก่ Identify Detect Protect Respond Recover ยังครอบคลุมถึง การกำกับดูแล (Governance) การวิเคราะห์ความเสี่ยงตาม Framework Tiers และช่วยประเมิน Profile จากปัจจุบันเพื่อไปสู่เป้าหมายทางด้าน Cybersecurity ในอนาคต รวมถึงให้คำแนะนำในการ Implement ตาม NIST Cybersecurity Framework ซึ่งจะช่วยเหลือทั้งในมุม People สร้างบุคลากรที่มีความเข้าใจ มีความรู้ความสามารถที่เหมาะสม Process การสร้างแนวปฏิบัติและนโยบายกำหนดขั้นตอนการทำงานต่างๆเพื่อลดความเสี่ยง และ Technology การแนะนำเครื่องมือที่ทันสมัยมีประสิทธิภาพสำหรับสร้างความมั่นคงปลอดภัยและอำนวยความสะดวกในการใช้งานด้าน Cybersecurity และสามารถช่วยให้มุ่งไปสู่เป้าหมาย Beyond Compliance ตามที่องค์กรได้ตั้งใจไว้

IT Audit

 

เพื่อลดความผิดพลาดในการทำงาน และลดความผิดพลาดในการนำข้อมูลไปใช้ต่อ

 

เพื่อความสอดคล้องตามข้อบังคับของกฎระเบียบ หรือกฎหมาย

 

เพื่อลดความเสี่ยงในการใช้งาน

การตรวจสอบเทคโนโลยีสารสนเทศ (IT Audit) แบ่งออกเป็น 2 ประเภท

 

1. การควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ (IT General Control)

คือการตรวจสอบนโยบายและขั้นตอนที่ใช้ในการควบคุมระบบสารสนเทศ เพื่อให้มั่นใจว่าระบบสารสนเทศสามารถทำงานได้อย่างมีประสิทธิภาพ การควบคุมเหล่านี้ยังรวมถึงการควบคุมโครงสร้างพื้นฐานด้านไอทีและกระบวนการต่าง ๆ ได้แก่ การดำเนินงานของศูนย์ข้อมูลและเครือข่าย ระบบซอฟต์แวร์และระบบแอปพลิเคชัน การเปลี่ยนแปลงและการบำรุงรักษา และความปลอดภัยในการเข้าถึง โดยปกติการควบคุมไอทีทั่วไป คือดำเนินการเพื่อรักษาความสมบูรณ์และความปลอดภัยของข้อมูล เพื่อสนับสนุนประสิทธิภาพการทำงานของในการควบคุมแอปพลิเคชัน

 

2.การควบคุมภายในเฉพาะงาน (Application Controls) คือการตรวจสอบการควบคุม การประมวลผลของธุรกรรม และข้อมูลภายในแอปพลิเคชัน ซึ่งจะเฉพาะเจาะจงสำหรับแต่ละแอปพลิเคชัน เพื่อให้มั่นใจในความถูกต้อง ความสมบูรณ์ ความน่าเชื่อถือ และการรักษาความลับ

NDID MQA Audit

 

NDID Security Assessment บริการตรวจประเมิน และให้คำปรึกษาการตรวจประเมิน NDID Member Qualification Assessment Framework (MQA)

ผู้ให้บริการส่วนใหญ่ที่มีระบบ Digital ID ย่อมรู้จัก National Digital ID (ระบบ NDID) กันเป็นอย่างดี เพราะเริ่มใช้บริการกันมาตั้งแต่ปี 2020 ระบบ NDID เป็นระบบการพิสูจน์ และการยืนยันตัวตนทางดิจิทัลที่พัฒนาขึ้นโดยบริษัท National Digital ID (NDID) เพื่อเชื่อมต่อการยืนยันตัวตนจากทุกภาคส่วนเข้าไว้ด้วยกัน และเป็นแพลตฟอร์มการตรวจสอบตัวตน (eKYC) ของผู้ใช้บริการบนโลกดิจิทัลที่ช่วยให้ทำธุรกรรมออนไลน์ต่าง ๆ ได้สมบูรณ์ 100% ทำให้สามารถเชื่อมโยงข้อมูลจากทุก Authorizing Source และ ID Provider เข้าด้วยกัน โดยใช้ระบบ Blockchain ที่รองรับการจัดเก็บข้อมูลจากผู้ใช้งานจำนวนมาก เพื่อแก้จุดอ่อนเรื่องความปลอดภัยของระบบ

องค์กรใดที่มีความประสงค์จะเชื่อมต่อเข้าใช้งานระบบ NDID จำเป็นจะต้องสมัครเป็นสมาชิก และปฏิบัติตามมาตรการที่ระบุใน NDID Member Qualification Assessment Framework (MQA) ซึ่งเป็นการประเมิน (Assessment) มาตรการต่าง ๆ ที่หน่วยงานสมาชิกใช้ในการระบุ (Identify), ป้องกัน (Protect), ตรวจสอบ (Detect), รับมือ (Response) และกู้คืน (Recover) ภัย หรือความเสี่ยงทางไซเบอร์

NDID แบ่งสมาชิกออกเป็น 2 ระดับ ได้แก่ สมาชิกระดับ 1 (Tier 1) และสมาชิกระดับ 2 (Tier 2) โดยพิจารณาจากระดับผลกระทบที่อาจเกิดขึ้นต่อสังคม จากเหตุภัยคุกคาม หรือเหตุการณ์ไม่คาดคิดขึ้น ซึ่งการประเมินสมาชิกแบ่งเป็น 2 วิธี คือ

  • การตรวจประเมินโดยผู้ตรวจสอบอิสระ (Independent Audit)

ใช้สำหรับประเมินสมาชิกระดับ 1 (Tier 1) ทั้งระยะก่อนได้รับอนุญาตให้เชื่อมต่อระบบ NDID และหลังจากเชื่อมต่อระบบ NDID แล้ว โดยผู้ตรวจสอบอิสระจะอ้างอิงหลักเกณฑ์ และหัวข้อการตรวจประเมินตามที่ NDID กำหนด

  • การประเมินตนเองของหน่วยงานสมาชิก (Self-Assessment)

ใช้สำหรับประเมินสมาชิกระดับ 2 (Tier 2) ทั้งระยะก่อนได้รับอนุญาตให้เชื่อมต่อระบบ NDID และหลังจากเชื่อมต่อระบบ NDID แล้ว โดยผู้ประเมินต้องระบุคำตอบลงในแบบสอบถามที่ NDID จัดทำขึ้น พร้อมแนบหลักฐานประกอบตามที่กำหนด

ACinfotec ในฐานะผู้ตรวจสอบอิสระ (Independent Auditor) และเป็นผู้พัฒนา NDID Member Qualification Assessment Framework (MQA) ยินดีให้คำปรึกษา และให้บริการตรวจประเมินหน่วยงานสมาชิกตามขอบเขต และหลักเกณฑ์ที่ NDID กำหนด รวมถึงออกรายงานผลการตรวจประเมินให้กับหน่วยงานสมาชิก โดยรายงานฉบับนี้ ได้รับการรับรองจากผู้มีคุณสมบัติตาม Auditor Qualification

นอกจากการตรวจประเมินตาม NDID MQA แล้วนั้น สำหรับแอปพลิเคชัน หรือระบบใด ๆ ที่จะเชื่อมต่อเข้ากับเครือข่ายของ NDID จำเป็นต้องผ่านการทดสอบเจาะระบบ และดำเนินการแก้ไขช่องโหว่ให้เรียบร้อยด้วยเช่นกัน ACinfotec มีบริการด้านการทดสอบเจาะระบบ (Penetration Testing) กับระบบ หรือแอปพลิเคชันที่มีการเชื่อมต่อกับ NDID ทั้ง RP IdP และ AS แก่บริษัทหรือองค์กรที่สนใจ โดยการทดสอบดังกล่าวอ้างอิงมาจาก NIST SP 800–63 Digital Identity Guidelines นำมาปรับประยุกต์ใช้

SWIFT (Society for Worldwide Interbank Financial Telecommunication) คือ ระบบการส่งข้อความระหว่างสถาบันการเงินที่อยู่คนละประเทศเพื่อทำธุรกรรมการโอนเงินระหว่างกัน ซึ่ง SWIFT ไม่ใช่ระบบการโอนเงิน แต่เป็นการสื่อสารระหว่างธนาคารเพื่อทำให้การโอนเงินสามารถทำได้รวดเร็ว และปลอดภัยยิ่งขึ้น SWIFT ก่อตั้งขึ้นในปี 2516 สำนักงานใหญ่ตั้งอยู่ที่ประเทศเบลเยียม มีการกำกับ และดูแลจากธนาคารแห่งชาติเบลเยียม ภายใต้ความร่วมมือระหว่างธนาคารกลางรายใหญ่ของโลก รวมถึงธนาคารกลางสหรัฐ ฯ และธนาคารกลางยุโรป เครือข่ายของ SWIFT เชื่อมโยงสถาบันการเงินมากกว่า 11,000 แห่ง กว่า 200 ประเทศทั่วโลก

ปัจจัยสำคัญที่ทำให้การโอนเงินผ่าน SWIFT เป็นที่ยอมรับในระดับสากล คือการเป็นหัวใจหลักของการสื่อสารในการทำธุรกรรมทางการเงินระหว่างธนาคารทั่วโลก และมีการปรับปรุงข้อกำหนดอย่างต่อเนื่อง ด้วย Swift Customer Security Controls Framework (CSCF) version 2022 ซึ่งมีการปรับปรุงมาตรการรักษาความปลอดภัยของข้อมูลตามมาตราฐาน ISO/IEC 27001:2022 และนำข้อกำหนดของ NIST Cybersecurity Framework มาบูรณาการเพื่อให้สามารถควบคุมและป้องกันรับมือภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงไปอยู่เสมอ ตอบสนองต่อความต้องการทางการเงินที่ซับซ้อนยิ่งขึ้น การปรับตัวให้เข้ากับมาตรฐาน SWIFT รุ่นล่าสุดเป็นสิ่งสำคัญที่จะช่วยให้องค์กรทางการเงินรักษาความปลอดภัยสูงสุดและปรับปรุงประสิทธิภาพการทำงาน

การควบคุมทั้งหมดมีจุดมุ่งหมายที่ชัดเจน 3 ประการ ได้แก่

  • Secure your Environment รักษาความปลอดภัยสภาพแวดล้อมของคุณ
  • Know and Limit Access รู้และจำกัดการเข้าถึง
  • Detect and respond ตรวจจับและตอบสนอง

Ref: https://www.swift.com/myswift/customer-security-programme-csp/security-controls

ตัวอย่างขอบเขตการปฏิบัติตามข้อกำหนดของ SWIFT CSCF

ด้วยประสบการณ์มากกว่า 20 ปี เอซีอินโฟเทคได้มีบทบาทเป็นผู้นำในการให้บริการด้านการให้คำปรึกษาและตรวจสอบด้าน IT GRC รวมถึงบริการตรวจสอบและให้คำปรึกษา SWIFT ที่เน้นความเชี่ยวชาญและคุณภาพ ทีมผู้เชี่ยวชาญของเรามุ่งมั่นให้บริการที่ตรงกับมาตรฐาน SWIFT รุ่นล่าสุด ซึ่งรวมถึงการประเมินความเสี่ยง การวิเคราะห์ความต้องการด้านความปลอดภัย และการสร้างแผนปฏิบัติการเพื่อรับมือกับความท้าทายในอนาคต

การตรวจสอบและให้คำปรึกษาโดยเอซีอินโฟเทค ช่วยให้แน่ใจว่าองค์กรของคุณไม่เพียงแต่ตอบสนองต่อข้อกำหนดทางกฎหมายและมาตรฐานการกำกับดูแลในปัจจุบันเท่านั้น แต่ยังเตรียมพร้อมสำหรับการปรับเปลี่ยน และการอัปเดตในอนาคตได้อย่างมั่นใจ นอกจากนี้ การบริการของเรายังช่วยเสริมสร้างความมั่นใจให้กับลูกค้า และหุ้นส่วนว่าทุกการทำธุรกรรมทางการเงินเป็นไปด้วยความปลอดภัยและเชื่อถือได้

หากคุณกำลังมองหาบริการที่เชื่อถือได้เพื่อยกระดับมาตรฐานความปลอดภัย และประสิทธิภาพของการทำธุรกรรมทางการเงินผ่านระบบ SWIFT เอซีอินโฟเทคพร้อมที่จะเป็นส่วนหนึ่งของการเดินทางสู่ความสำเร็จของคุณ

Privacy Audit

Privacy Audit จึงเป็นอีกหนึ่งการตรวจสอบที่สำคัญ ช่วยตรวจสอบองค์กรในกระบวนการทำงาน การเก็บ การนำข้อมูลไปใช้ นโยบายทางด้าน Privacy ในระดับภาพรวมหรือระดับแอปพลิเคชัน เพื่อวัดความเสี่ยงในการปฏิบัติว่าเป็นไปตามความเป็นส่วนตัวของข้อมูลในปัจจุบัน หรือตามข้อกำหนดของกฎหมายความเป็นส่วนตัวหรือไม่

อีกหนึ่งการตรวจสอบที่ตอบโจทย์ในยุคปัจจุบัน ที่ช่วยให้รู้ว่าภายในองค์กรมีส่วนใดละเมิดความเป็นส่วนตัวของเจ้าของข้อมูลบ้าง โดยอ้างอิงจากประกาศ ข้อบังคับ หรือกฎหมายความเป็นส่วนตัว อาทิ GDPR, PDPA, CCPA, LGPD และ POPIA เพื่อช่วยหลีกเลี่ยงเหตุการณ์ไม่พึงประสงค์ รวมไปถึงลดการเกิดคดีความต่าง ๆ

 

การให้บริการของ ACinfotec

ACinfotec มีผู้เชี่ยวชาญด้านการให้คำปรึกษาในการปฏิบัติให้สอดคล้องตามมาตรฐาน ISO กฎหมาย และข้อบังคับต่าง ๆ ทั้งในและต่างประเทศ อีกทั้งดำเนินการด้านการตรวจสอบ IT Audit และ Privacy Audit รวมถึงมีประสบการณ์ทำงานด้าน IT GRC, Cybersecurity และการตรวจสอบทางด้าน IT มามากกว่า 20 ปี นี่เป็นเพียงบริการบางส่วนของ ACinfotec เท่านั้น ยังมีอีกหลากหลายบริการที่ ACinfotec สามารถช่วยให้หน่วยงานของท่านบรรลุวัตถุประสงค์ขององค์กรทางด้าน IT GRC และ Cybersecurity ให้เท่าทันต่อโลกยุคปัจจุบัน และสร้างความมั่นใจให้กับผู้มีส่วนได้ส่วนเสีย กับสิ่งที่เรียกว่า Beyond Compliance

เอซีอินโฟเทค ในฐานะที่ปรึกษาด้าน IT GRC ที่มีประสบการณ์ยาวนานกว่า 20 ปี พร้อมด้วยทีมผู้ตรวจสอบอิสระที่มีประสบการณ์ ความรู้ความสามารถ เป็นผู้เชี่ยวชาญดำเนินการพัฒนาแนวทางเกณฑ์การประเมิน และกรอบการตรวจสอบ (IT RISK AUDIT FRAMEWORK) ให้แก่สำนักงานคปภ. จึงสามารถช่วยให้องค์กรของท่านเตรียมพร้อมตามแนวทางการกำกับดูแลความเสี่ยงได้อย่างเหมาะสม เพื่อความพร้อมสำหรับการตรวจตามเป้าหมายที่มีประสิทธิภาพ โดยทีมที่ปรึกษาและผู้ตรวจสอบของเอซีอินโฟเทค มีประกาศนียบัตรด้านเทคโนโลยีสารสนเทศ ครอบคลุมเหมาะสมตามที่ สำนักงาน คปภ. กำหนด

หากท่านเป็นองค์กรที่ให้ความสำคัญทางด้านเทคโนโลยีสารสนเทศ ไม่ว่าจะอยู่ภายใต้หน่วยงานกำกับดูแลหรือไม่ก็ตาม เอซีอินโฟเทคพร้อมให้บริการที่ปรึกษาและตรวจสอบ ด้าน IT Security, Cybersecurity, IT GRC (Governance & Risk & Compliance), Swift Adit, Data Privacy หรือตาม Regulations ของหน่วยงานกำกับดูแล และ Standards & Best Practices ต่าง ๆ

โดยสามารถติดต่อสอบถามได้ที่ [email protected] โทร 02-670-8980 ตั้งแต่ 9.00 – 18.00 น. (จันทร์ – ศุกร์, 09:00น. – 18:00น.)