The Compliance Expert

เอซีอินโฟเทค เป็นบริษัทผู้ให้บริการคำปรึกษาด้านการปรับปรุงองค์กร การบริหารความเสี่ยง และการปฏิบัติตามข้อกำหนด (Governance, Risk and Compliance) ชั้นนำของประเทศไทย

ด้วยประสบการณ์มากกว่า 15 ปี และมีลูกค้าให้ความไว้วางใจมากกว่า 150 องค์กร รวมถึงบริการที่ครอบคลุมเบ็ดเสร็จ (Total Solutions) เอซีอินโฟเทค คือที่ปรึกษาที่ท่านสามารถมั่นใจได้ในทุก ๆ ภารกิจด้าน Compliance ขององค์กร

บริการของบริษัทครอบคลุมการให้คำปรึกษา การฝึกอบรม การตรวจประเมิน และโซลูชั่นต่าง ๆ เพื่อช่วยให้องค์กรสามารถพัฒนาและปรับปรุงกระบวนการด้านสารสนเทศให้สอดคล้องกับมาตรฐานสากล ตลอดจนกฎระเบียบและข้อกำหนดต่าง ๆ อาทิเช่น

มาตรฐาน ISO 27001, ISO 20000, ISO 22301, ISO 31000, FFIEC, PCI DSS, CMMI-DEV, COBIT, PDPA

ข้อกำหนดด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของ คปภ. กลต. ธปท. และหน่วยงานกำกับอื่น ๆ กฎหมายธุรกรรมทางอิเล็กทรอนิกส์ (E-Transactions) และกฎหมายลำดับรองที่เกี่ยวข้อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยระดับเคร่งครัด และมาตรฐานอื่น ๆ อีกมากมาย

หากหน่วยงานของท่านต้องปฏิบัติตามกฎหมาย ข้อบังคับ หรือแนวปฏิบัติด้านการรักษา ความมั่นคงปลอดภัยสารสนเทศ (Information Security / Cyber Security / PDPA) ติดต่อ ACinfotec เพื่อรับคำแนะนำเบื้องต้น ฟรี!! คลิ๊กเลย!!

OIC E-Insurance Application Audit

OIC IT RISK Management Audit

IT Audit

NDID MQA Audit

SWIFT CSCF Audit

PDPA/Privacy Audit

OIC E-Insurance Application Audit

เอซีอินโฟเทคคือคู่หูผู้ช่วยในการให้คำปรึกษา และตรวจรับรองระบบสารสนเทศของบริษัท โดยทีมที่ปรึกษาและผู้ตรวจสอบอิสระที่มีประสบการณ์และความเชี่ยวชาญ ได้รับประกาศนียบัตร CISA, CISM, CISSP, ISO 27001 Information Security Management เป็นต้น

ตามประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย มีหลักเกณฑ์เพื่อใช้เป็นเครื่องมือในการกำกับดูแลธุรกรรมประกันภัยผ่านระบบอิเล็กทรอนิกส์ หรือระบบออนไลน์ ดังนี้

  • หลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัยและการชดใช้เงินตามสัญญาประกันชีวิต โดยใช้วิธีการทางอิเล็กทรอนิกส์ พ.ศ.2560 และ
  • หลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัยและการชดใช้เงิน หรือ ค่าสินไหมทดแทนตามสัญญาประกันภัย โดยใช้วิธีการทางอิเล็กทรอนิกส์ พ.ศ. 2560

โดยเอซีอินโฟเทค มีบริการที่ช่วยบริษัทในการดำเนินการให้สอดคล้องกับประกาศฯ ดังนี้

  1. เตรียมความพร้อมก่อนการตรวจรับรองระบบ (Assessment) โดยเข้าไปดำเนินการประเมินกิจกรรม และเอกสารที่เกี่ยวข้อง เปรียบเทียบกับแนวทางการประเมินมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ เพื่อจัดทำคำแนะนำ และขั้นตอนการดำเนินการในการเตรียมระบบให้สอดคล้องกับที่ประกาศฯ กำหนด
  2. ห้คำปรึกษาในการพัฒนาหรือปรับปรุงระบบและเอกสารที่จำเป็น เช่น นโยบายความมั่นคงปลอดภัยของระบบสารสนเทศ นโยบายการคุ้มครองข้อมูลส่วนบุคคล/นโยบายความเป็นส่วนตัว เป็นต้น ให้สอดคล้องกับแนวทางการประเมินมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ รวมถึงการจัดเตรียมเอกสารที่เกี่ยวข้อง สำหรับการยื่นขอรับรอง
  3. ตรวจรับรองการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศในระดับเคร่งครัดทั้งแบบ อช.3 และ อว.3 ตามประกาศฯ รวมถึงการตรวจรับรองในกรณีที่บริษัทใช้บริการระบบสารสนเทศของผู้ให้บริการภายนอก แบบ อช.4 และ อว.4 โดยผู้ตรวจสอบอิสระที่มีประสบการณ์และความเชี่ยวชาญที่ได้รับประกาศนียบัตร CISA, CISM, CISSP, ISO 27001 Information Security Management ตามประกาศฯ กำหนด

OIC IT RISK Management Audit

บริการให้คำปรึกษา และตรวจสอบด้านเทคโนโลยีสารสนเทศ

กำหนดหลักเกณฑ์การกำกับดูแล และบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต/ประกันวินาศภัย พ.ศ.2563  ตามประกาศสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.)

สำนักงาน คปภ. มุ่งหวังให้บริษัทประกันภัยมีการกำกับดูแลบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ และภัยคุกคามทางไซเบอร์ที่สอดคล้องกับมาตรฐานสากล ดำเนินการโดยหน่วยงานที่ทำหน้าที่ตรวจสอบด้านเทคโนโลยีสารสนเทศจากภายในหรือภายนอกองค์กร ที่สามารถตรวจสอบด้วยความเป็นอิสระ มีความเชี่ยวชาญเฉพาะ และมีคุณสมบัติที่เหมาะสม

ซึ่งสำนักงาน คปภ. คาดหวังให้บริษัทประกันภัยมีความพร้อมอย่างน้อยในระดับ Bronze ภายใน 3 ปี (31 ธันวาคม 2566) และมีแผนการดำเนินการยกระดับการกำกับดูแลอย่างต่อเนื่อง โดยมีขอบเขตการตรวจสอบ ประกอบด้วย 8 หมวด

>>> ท่านสามารถดาวน์โหลดเอกสาร ที่เกี่ยวข้องและประกาศได้ โดย คลิกที่นี่

Service Features

เอซีอินโฟเทค ให้บริการการตรวจสอบด้านเทคโนโลยีสารสนเทศตามหลักเกณฑ์ IT RISK AUDIT โดยมีขั้นตอนการตรวจดังนี้

พร้อมด้วยบริการ

  • การประเมินด้าน Gap Analysis พร้อมให้คำแนะนำในการดำเนินการต่อไป
  • ให้คำแนะนำด้านเอกสารที่เกี่ยวข้อง
  • ให้คำแนะนำด้านการปฏิบัติตามนโยบายให้เหมาะสม
  • การอบรมด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์ และอบรมพัฒนาทักษะด้านการบริหารจัดการความเสี่ยง

ทำไมจึงต้องเป็นเอซีอินโฟเทค (WHY ACINFOTEC)

IT Audit

เพื่อลดความผิดพลาดในการทำงาน และลดความผิดพลาดในการนำข้อมูลไปใช้ต่อ

เพื่อความสอดคล้องตามข้อบังคับของกฎระเบียบ หรือกฎหมาย

เพื่อลดความเสี่ยงในการใช้งาน

การตรวจสอบเทคโนโลยีสารสนเทศ (IT Audit) แบ่งออกเป็น 2 ประเภท

1. การควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ (IT General Control)

คือการตรวจสอบนโยบายและขั้นตอนที่ใช้ในการควบคุมระบบสารสนเทศ เพื่อให้มั่นใจว่าระบบสารสนเทศสามารถทำงานได้อย่างมีประสิทธิภาพ การควบคุมเหล่านี้ยังรวมถึงการควบคุมโครงสร้างพื้นฐานด้านไอทีและกระบวนการต่าง ๆ ได้แก่ การดำเนินงานของศูนย์ข้อมูลและเครือข่าย ระบบซอฟต์แวร์และระบบแอปพลิเคชัน การเปลี่ยนแปลงและการบำรุงรักษา และความปลอดภัยในการเข้าถึง โดยปกติการควบคุมไอทีทั่วไป คือดำเนินการเพื่อรักษาความสมบูรณ์และความปลอดภัยของข้อมูล เพื่อสนับสนุนประสิทธิภาพการทำงานของในการควบคุมแอปพลิเคชัน

2.การควบคุมภายในเฉพาะงาน (Application Controls) คือการตรวจสอบการควบคุม การประมวลผลของธุรกรรม และข้อมูลภายในแอปพลิเคชัน ซึ่งจะเฉพาะเจาะจงสำหรับแต่ละแอปพลิเคชัน เพื่อให้มั่นใจในความถูกต้อง ความสมบูรณ์ ความน่าเชื่อถือ และการรักษาความลับ

NDID MQA Audit

NDID Security Assessment บริการตรวจประเมิน และให้คำปรึกษาการตรวจประเมิน NDID Member Qualification Assessment Framework (MQA)

ผู้ให้บริการส่วนใหญ่ที่มีระบบ Digital ID ย่อมรู้จัก National Digital ID (ระบบ NDID) กันเป็นอย่างดี เพราะเริ่มใช้บริการกันมาตั้งแต่ปี 2020 ระบบ NDID เป็นระบบการพิสูจน์ และการยืนยันตัวตนทางดิจิทัลที่พัฒนาขึ้นโดยบริษัท National Digital ID (NDID) เพื่อเชื่อมต่อการยืนยันตัวตนจากทุกภาคส่วนเข้าไว้ด้วยกัน และเป็นแพลตฟอร์มการตรวจสอบตัวตน (eKYC) ของผู้ใช้บริการบนโลกดิจิทัลที่ช่วยให้ทำธุรกรรมออนไลน์ต่าง ๆ ได้สมบูรณ์ 100% ทำให้สามารถเชื่อมโยงข้อมูลจากทุก Authorizing Source และ ID Provider เข้าด้วยกัน โดยใช้ระบบ Blockchain ที่รองรับการจัดเก็บข้อมูลจากผู้ใช้งานจำนวนมาก เพื่อแก้จุดอ่อนเรื่องความปลอดภัยของระบบ

องค์กรใดที่มีความประสงค์จะเชื่อมต่อเข้าใช้งานระบบ NDID จำเป็นจะต้องสมัครเป็นสมาชิก และปฏิบัติตามมาตรการที่ระบุใน NDID Member Qualification Assessment Framework (MQA) ซึ่งเป็นการประเมิน (Assessment) มาตรการต่าง ๆ ที่หน่วยงานสมาชิกใช้ในการระบุ (Identify), ป้องกัน (Protect), ตรวจสอบ (Detect), รับมือ (Response) และกู้คืน (Recover) ภัย หรือความเสี่ยงทางไซเบอร์

NDID แบ่งสมาชิกออกเป็น 2 ระดับ ได้แก่ สมาชิกระดับ 1 (Tier 1) และสมาชิกระดับ 2 (Tier 2) โดยพิจารณาจากระดับผลกระทบที่อาจเกิดขึ้นต่อสังคม จากเหตุภัยคุกคาม หรือเหตุการณ์ไม่คาดคิดขึ้น ซึ่งการประเมินสมาชิกแบ่งเป็น 2 วิธี คือ

  • การตรวจประเมินโดยผู้ตรวจสอบอิสระ (Independent Audit)

ใช้สำหรับประเมินสมาชิกระดับ 1 (Tier 1) ทั้งระยะก่อนได้รับอนุญาตให้เชื่อมต่อระบบ NDID และหลังจากเชื่อมต่อระบบ NDID แล้ว โดยผู้ตรวจสอบอิสระจะอ้างอิงหลักเกณฑ์ และหัวข้อการตรวจประเมินตามที่ NDID กำหนด

  • การประเมินตนเองของหน่วยงานสมาชิก (Self-Assessment)

ใช้สำหรับประเมินสมาชิกระดับ 2 (Tier 2) ทั้งระยะก่อนได้รับอนุญาตให้เชื่อมต่อระบบ NDID และหลังจากเชื่อมต่อระบบ NDID แล้ว โดยผู้ประเมินต้องระบุคำตอบลงในแบบสอบถามที่ NDID จัดทำขึ้น พร้อมแนบหลักฐานประกอบตามที่กำหนด

ACinfotec ในฐานะผู้ตรวจสอบอิสระ (Independent Auditor) และเป็นผู้พัฒนา NDID Member Qualification Assessment Framework (MQA) ยินดีให้คำปรึกษา และให้บริการตรวจประเมินหน่วยงานสมาชิกตามขอบเขต และหลักเกณฑ์ที่ NDID กำหนด รวมถึงออกรายงานผลการตรวจประเมินให้กับหน่วยงานสมาชิก โดยรายงานฉบับนี้ ได้รับการรับรองจากผู้มีคุณสมบัติตาม Auditor Qualification

นอกจากการตรวจประเมินตาม NDID MQA แล้วนั้น สำหรับแอปพลิเคชัน หรือระบบใด ๆ ที่จะเชื่อมต่อเข้ากับเครือข่ายของ NDID จำเป็นต้องผ่านการทดสอบเจาะระบบ และดำเนินการแก้ไขช่องโหว่ให้เรียบร้อยด้วยเช่นกัน ACinfotec มีบริการด้านการทดสอบเจาะระบบ (Penetration Testing) กับระบบ หรือแอปพลิเคชันที่มีการเชื่อมต่อกับ NDID ทั้ง RP IdP และ AS แก่บริษัทหรือองค์กรที่สนใจ โดยการทดสอบดังกล่าวอ้างอิงมาจาก NIST SP 800–63 Digital Identity Guidelines นำมาปรับประยุกต์ใช้

Privacy Audit

Privacy Audit จึงเป็นอีกหนึ่งการตรวจสอบที่สำคัญ ช่วยตรวจสอบองค์กรในกระบวนการทำงาน การเก็บ การนำข้อมูลไปใช้ นโยบายทางด้าน Privacy ในระดับภาพรวมหรือระดับแอปพลิเคชัน เพื่อวัดความเสี่ยงในการปฏิบัติว่าเป็นไปตามความเป็นส่วนตัวของข้อมูลในปัจจุบัน หรือตามข้อกำหนดของกฎหมายความเป็นส่วนตัวหรือไม่

อีกหนึ่งการตรวจสอบที่ตอบโจทย์ในยุคปัจจุบัน ที่ช่วยให้รู้ว่าภายในองค์กรมีส่วนใดละเมิดความเป็นส่วนตัวของเจ้าของข้อมูลบ้าง โดยอ้างอิงจากประกาศ ข้อบังคับ หรือกฎหมายความเป็นส่วนตัว อาทิ GDPR, PDPA, CCPA, LGPD และ POPIA เพื่อช่วยหลีกเลี่ยงเหตุการณ์ไม่พึงประสงค์ รวมไปถึงลดการเกิดคดีความต่าง ๆ

การให้บริการของ ACinfotec
ACinfotec มีผู้เชี่ยวชาญด้านการให้คำปรึกษาในการปฏิบัติให้สอดคล้องตามมาตรฐาน ISO กฎหมาย และข้อบังคับต่าง ๆ ทั้งในและต่างประเทศ อีกทั้งดำเนินการด้านการตรวจสอบ IT Audit และ Privacy Audit รวมถึงมีประสบการณ์ทำงานด้าน IT GRC, Cybersecurity และการตรวจสอบทางด้าน IT มามากกว่า 20 ปี นี่เป็นเพียงบริการบางส่วนของ ACinfotec เท่านั้น ยังมีอีกหลากหลายบริการที่ ACinfotec สามารถช่วยให้หน่วยงานของท่านบรรลุวัตถุประสงค์ขององค์กรทางด้าน IT GRC และ Cybersecurity ให้เท่าทันต่อโลกยุคปัจจุบัน และสร้างความมั่นใจให้กับผู้มีส่วนได้ส่วนเสีย กับสิ่งที่เรียกว่า Beyond Compliance  

เอซีอินโฟเทค ในฐานะที่ปรึกษาด้าน IT GRC ที่มีประสบการณ์ยาวนานกว่า 20 ปี พร้อมด้วยทีมผู้ตรวจสอบอิสระที่มีประสบการณ์ ความรู้ความสามารถ เป็นผู้เชี่ยวชาญดำเนินการพัฒนาแนวทางเกณฑ์การประเมิน และกรอบการตรวจสอบ (IT RISK AUDIT FRAMEWORK) ให้แก่สำนักงานคปภ. จึงสามารถช่วยให้องค์กรของท่านเตรียมพร้อมตามแนวทางการกำกับดูแลความเสี่ยงได้อย่างเหมาะสม เพื่อความพร้อมสำหรับการตรวจตามเป้าหมายที่มีประสิทธิภาพ โดยทีมที่ปรึกษาและผู้ตรวจสอบของเอซีอินโฟเทค มีประกาศนียบัตรด้านเทคโนโลยีสารสนเทศ ครอบคลุมเหมาะสมตามที่ สำนักงาน คปภ. กำหนด

หากองค์กรของท่านสนใจดำเนินการด้าน IT Audit สามารถติดต่อ ACinfotec เพื่อขอรับคำปรึกษาได้ที่ [email protected]

โทร 02-670-8980 ถึง 3 (จันทร์ – ศุกร์, 09:00น. – 18:00น.)