ریسک فناوری در صنعت بیمه را جدی بگیرید
رضا کربلائی: نشت یا سرقت اطلاعات بیمهگذاران این پرسش را مطرح میسازد که مسئولیت حفظ و صیانت از امنیت در صنعت بیمه بر عهده کیست و آیا در شرکتهای بیمهگر استاندارد و چارچوبی برای جلوگیری از خطاها و سرقتها پیشبینی شده است و مهمتر اینکه آیا حداقل الزاماتی در ارتباط با مدیریت ریسک فناوری اطلاعات و ارتباطات در صنعت بیمه وجود دارد یا نه؟
به گزارش دنیای بیمه، در سال 1400 بانک مرکزی، با هدف حصول اطمینان از صحت عملکرد موسسات اعتباری و بانکها در حوزه فناوری اطلاعات، حداقل الزمات ناظر بر ریسک فناوری اطلاعات در شبکه بانکی را مصوب و ابلاغ کرد که میتوان از آن در صنعت بیمه هم بهره برد.
بر اساس این دستورالعمل همه بانکها ملزم به داشتن یک کمیته عالی فناوری اطلاعات زیرنظر هیات مدیره هستند که قرار است آنها را در سیاستگذاری و راهبری حوزه یادشده یاری رساند و حتی بانکها باید واحد حسابرسی فناوری اطلاعات هم داشته باشند.
افزون بر اینکه بانک مرکزی بانکها را ملزم میسازد طرح جامع فناوری اطلاعات خود را تصویب و در فواصل زمانی مناسب به روزرسانی کنند و یک ساختار سازمانی با شرح وظایف و اختیارات شفاف را طراحی کنند تا اهداف پیشبینی شده در مسیر دستیابی به معماری فناوری اطلاعات را پیگیری کنند.
نکته بسیار مهم اینکه هر بانکی باید در ساختار سازمانیاش معاونتی را به نام معاونت فناوری اطلاعات تحت نظر مستقیم مدیرعامل داشته باشد و شخصی که این مسئولیت را بر عهده میگیرد البته باید حداقل این شرایط را داشته باشد.
- حداقل 8 سال سابقه کار مرتبط با فناوری اطلاعات در حوزه بانکی
- تحصیلات دانشگاهی حداقل کارشناسی ارشد در رشتههای مهندسی کامپیوتر، مهندسی فناوری اطلاعات، علوم کامپیوتر و مدیریت فناوری اطلاعات
- احراز صلاحیت معاون انتخاب شده توسط مراجع ذیصلاح
بانک مرکزی همچنین هیات مدیره بانکها را موظف میسازد به منظور انجام صحیح و دقیق وظایف خود در حوزه فناوری اطلاعات، کمیته عالی فناوری اطلاعات را تشکیل دهد که وظایف این کمیته شامل موارد زیر میشود:
- تدوین اهداف کلان، سیاستگذاری، برنامهریزی، راهبری سرمایهگذاری و توسعه خدمات فناوری اطلاعات و نظارت بر حسن اجرای آنها
- نظارت بر حسن اجرای مقررات ابلاغی از سوی بانک مرکزی در حوزه فناوری اطلاعات
- تظارت بر اجرای صحیح و به موقع مصوبات هیات مدیره در حوزه فناوری اطلاعات
- ارائه نظر مشورتی به هیات مدیره
- نظارت بر فرآیند حسابرسی فناوری اطلاعات در موسسه اعتباری
- نظارت بر فرآیندها و منابع فناوری اطلاعات از منظر توجیه اقتصادی، کارایی و اثربخشی
- نظارت بر فرآیند مدیریت ریسک فناوری اطلاعات در موسسه اعتباری
- نظارت بر حسن اجرای تمامی فرآیندهای امنیت اطلاعات موسسه اعتباری
- تدوین برنامههای کلان آموزشی و پژوهشی در جهت توسعه فناوری اطلاعات با رویکردهای تخصصی
اکنون که ریسک سایبری حتی صنعت بیمه کشور را تهدید میکند، این سوال مطرح است که آیا بیمه مرکزی در اندیشه این هست که تدابیر فوری جهت به روزرسانی و تدوین حداقل استانداردهای لازم در حوزه فناوری اطلاعات شرکتهای بیمه را به کار ببندد؟
آیا بیمه مرکزی اختیار و قدرت لازم برای نظارت بر کارایی و اثربخشی و به ویژه امنیت اطلاعات در شرکتهای بیمه را دارد و میتواند نسبت به این حوزه و به ویژه تخصص معاونتهای فناوری اطلاعات شرکتهای بیمهگر و صلاحیت فنی و تخصصی آنها ورود کند؟