รู้จักเรา

การกำกับดูแลกิจการที่ดี

​​​​

นโยบายการกำกับดูแลข้อมูล (Data Governance Policy)

1. ข้อกําหนดทั่วไป

     บริษัท กรุงเทพประกันชีวิต จำกัด (มหาชน) “บริษัท” กำหนดให้มีนโยบายการกำกับดูแลข้อมูลที่ครอบคลุมด้านการกำหนดบทบาทหน้าที่ของโครงสร้างการกำกับดูแลข้อมูล (Data Governance Structure) เพื่อเป็นแนวทางในการบริหารจัดการข้อมูล ซึ่งเป็นทรัพย์สินสารสนเทศที่มีความสำคัญยิ่งต่อการสนับสนุนแผนธุรกิจ ให้ได้รับการดูแลอย่างดี มีความเหมาะสมตามมาตรฐานสากล และเป็นไปตามลักษณะการดำเนินธุรกิจ ความซับซ้อน ความเสี่ยงของบริษัท

1.1 วัตถุประสงค์

  1. สนับสนุนวิสัยทัศน์องค์กรและเป้าหมายทางธุรกิจเพื่อนำไปสู่การนำข้อมูลไปใช้ประโยชน์ได้อย่างเต็มประสิทธิภาพ มีคุณภาพ ถูกต้อง ครบถ้วน มีความมั่นคงปลอดภัย คุ้มครองข้อมูลส่วนบุคคล ครอบคลุมการบริหารจัดการวงจรชีวิตของข้อมูล และการบริหารจัดการความเสี่ยงอย่างเหมาะสม สอดคล้องกับกฎหมาย ประกาศ ระเบียบและหลักเกณฑ์ที่เกี่ยวข้อง
  2. เพื่อเป็นแนวทางในการกำกับดูแลข้อมูล การจัดทำกรอบและมาตรฐานการปฏิบัติงาน สำหรับผู้บริหาร พนักงาน และผู้ที่เกี่ยวข้อง เพื่อนำไปสู่การขับเคลื่อนองค์กรด้วยข้อมูล (Data-Driven Organization)

1.2 ขอบเขตของนโยบาย

     นโยบายฉบับนี้มีผลบังคับใช้กับข้อมูลของบริษัท กรุงเทพประกันชีวิต จำกัด (มหาชน) (“บริษัท”) และบริษัทย่อย บุคลากรของบริษัทและผู้ให้บริการภายนอกที่เกี่ยวข้อง มีหน้าที่สนับสนุน ดำเนินการและปฏิบัติตามกรอบการกำกับดูแลข้อมูลอย่างเคร่งครัด

1.3 วันที่มีผลบังคับใช้

     นโยบายฉบับนี้มีผลบังคับใช้ตั้งแต่วันที่คณะกรรมการบริษัทอนุมัติ

1.4 ความถี่ในการทบทวน และการแก้ไขปรับปรุงนโยบาย

     นโยบายฉบับนี้จะต้องได้รับการทบทวนทุก 1 ปี หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสําคัญแก่การทบทวนแก้ไขปรับปรุง

     ทั้งนี้ การแก้ไขปรับปรุงที่มีนัยสําคัญ การทบทวน หรือการต่ออายุนโยบายฉบับนี้ จะต้องได้รับการอนุมัติโดยคณะกรรมการบริษัท ทั้งนี้ การแก้ไขปรับปรุงที่ไม่มีนัยสําคัญจะต้องได้รับการอนุมัติโดยคณะกรรมการจัดการ (“Management Committee: MC”) และ/หรือคณะกรรมการชุดย่อยที่เกี่ยวเนื่อง ก่อนนำรายงานต่อคณะกรรมการบริษัทเพื่อทราบตามลำดับ

1.5 ผู้รับผิดชอบนโยบาย

     ฝ่ายงานดิจิทัลอินโนเวชั่น เป็นผู้รับผิดชอบบริหารจัดการนโยบายฉบับนี้

2. ข้อกําหนดหลัก

2.1 คำนิยาม

  2.1.1 “บริษัท” หมายถึง บริษัท กรุงเทพประกันชีวิต จํากัด (มหาชน)
  2.1.2 “บริษัทย่อย” หมายถึง บริษัทที่บริษัทถือหุ้นไม่ว่าทางตรงหรือทางอ้อม เกินร้อยละ 50 หรือ มีอำนาจควบคุมกิจการ
  2.1.3 “การกำกับดูแลข้อมูล (Data Governance Structure)” หมายถึง กระบวนการในการกำหนด ทิศทาง มาตรการควบคุม และสอบทานการบริหารจัดการข้อมูล เพื่อให้บริษัทดำเนินการบริหารจัดการข้อมูล ตามนโยบาย กฎ ระเบียบ หรือข้อบังคับที่กำหนดไว้ การกำกับดูแลข้อมูลที่ดีก่อให้เกิดการบริหารจัดการข้อมูลที่มีประสิทธิภาพ ส่งผลให้ข้อมูลมีความมั่นคงปลอดภัย มีคุณภาพ และสร้างผลลัพธ์ที่ดีต่อการดำเนินงาน
  2.1.4 “เจ้าของข้อมูล (Data Owner)” หมายถึง บุคลากรหรือหน่วยงานที่มีอำนาจหน้าที่ ในการบริหารจัดการและควบคุมชุดข้อมูล
  2.1.5 บริกรข้อมูล (Data Steward)” หมายถึง บุคลากรผู้ปฏิบัติงานจากหน่วยงานต่าง ๆ ของบริษัทที่เกี่ยวข้องและชำนาญในข้อมูลนั้น ๆ มีหน้าที่ในการกำกับดูแลข้อมูลเพื่อให้แน่ใจว่าข้อมูลนั้นเป็นไปตามนโยบาย กรอบ มาตรฐาน และกระบวนการของบริษัท โดยประกอบด้วย บริกรข้อมูลด้านธุรกิจ(Business Data Steward) บริกรข้อมูลด้านเทคนิค (Technical Data Steward) และบริกรข้อมูลด้านกฎหมาย (Legal Data Steward)
  2.1.6 “วงจรชีวิตของข้อมูล (Data Life Cycle)” หมายถึง ลำดับขั้นตอนของข้อมูลตั้งแต่การเริ่มสร้างข้อมูลไปจนถึงการทำลายข้อมูล ประกอบด้วย 5 ขั้นตอน ดังนี้ 1. การสร้าง (Create) 2. การจัดเก็บ (Store) 3. การประมวลผลและการใช้ (Process and Use) 4. การเปิดเผยและการรักษาความลับ (Disclosure and Confidentiality) 5. การเก็บถาวรและการทำลาย (Archive and Destroy)
  2.1.7 “คำอธิบายข้อมูลหรือเมทาดาตา (Metadata)” หมายถึง ข้อมูลที่ใช้อธิบายข้อมูลหลักหรือกลุ่มข้อมูลอื่น ๆ ที่เกี่ยวข้องทั้งกระบวนการเชิงธุรกิจและเชิงเทคโนโลยีสารสนเทศ ให้รายละเอียดถึงเงื่อนไข ข้อจำกัดของข้อมูล และโครงสร้างของข้อมูล ช่วยให้บริษัทสามารถเข้าใจข้อมูลระบบ และขั้นตอนการทำงานได้ดียิ่งขึ้น
  2.1.8 “การบริหารจัดคำอธิบายชุดข้อมูล (Metadata Management)” หมายถึง กระบวนการที่เกี่ยวข้องกับการบริหารจัดการหรือควบคุมคำอธิบายชุดข้อมูล เพื่อให้สามารถมั่นใจว่าคำอธิบายข้อมูลสามารถมีการเข้าถึง แบ่งปัน เชื่อมโยง วิเคราะห์ และบูรณาการให้เกิดประสิทธิผลทั่วทั้งบริษัท
  2.1.9 “คุณภาพข้อมูล (Data Quality)” หมายถึง ตัวชี้วัดเชิงปริมาณของความพร้อมใช้ข้อมูลอย่างมีประโยชน์ โดยมี 6 องค์ประกอบได้แก่ ความถูกต้อง (Accuracy) ความครบถ้วน (Completeness) ความสอดคล้องกัน (Consistency) ความเป็นปัจจุบัน (Timeliness) ความเป็นเอกลักษณ์ (Uniqueness) และตรงตามความต้องการ (Relevancy)
  2.1.10 “การบริหารจัดคุณภาพข้อมูล (Data Quality Management)” หมายถึง กระบวนการที่เกี่ยวข้องกับการวางแผน การดำเนินการ และการควบคุมกิจกรรมต่าง ๆ รวมถึงการปรับปรุง เพื่อให้ข้อมูล มีคุณภาพ มีความน่าเชื่อถือ สามารถนำไปใช้ประกอบการวิเคราะห์และตัดสินใจทางธุรกิจได้อย่างถูกต้องเหมาะสม

2.2 หลักการทั่วไป

     นโยบายฉบับนี้จัดทําขึ้นเพื่อให้มั่นใจว่าการดําเนินงานของบริษัททางด้านการกำกับดูแลข้อมูล (Data Governance) และการสนับสนุนวิสัยทัศน์องค์กรและเป้าหมายทางธุรกิจเพื่อนำไปสู่การนำข้อมูลไปใช้ประโยชน์ ได้อย่างเต็มประสิทธิภาพ มีคุณภาพ ถูกต้อง ครบถ้วน มีความมั่นคงปลอดภัย คุ้มครองข้อมูลส่วนบุคคล ครอบคลุมการบริหารจัดการวงจรชีวิตของข้อมูล และการบริหารจัดการความเสี่ยงอย่างเหมาะสม นำไปสู่การขับเคลื่อนองค์กรด้วยข้อมูล (Data-Driven Organization) โดยให้สอดคล้องกับกฎหมาย ประกาศ ระเบียบและหลักเกณฑ์ที่เกี่ยวข้อง

2.3 บทบาท หน้าที่ และความรับผิดชอบ

     อ้างอิงตามกรอบปฎิบัติงานด้านการกำกับดูแลข้อมูลของบริษัทฯ

2.4 ข้อกำหนดด้านการกำกับดูแลข้อมูล

  2.4.1 จัดให้มีการกำหนดบทบาท หน้าที่ และความรับผิดชอบของ กลุ่มบุคคล และบุคคล ตามโครงสร้างการกำกับดูแลข้อมูล (Data Governance Structure) ของบริษัท ได้แก่ เจ้าของข้อมูล (Data Owner) บริกรข้อมูล (Data Steward) และ ผู้ใช้ข้อมูล (Data User) ให้ปฏิบัติตามบทบาทหน้าที่ที่ต้องรับผิดชอบในการบริหารจัดการข้อมูลอย่างเคร่งครัด
  2.4.2 จัดให้มีกรอบและมาตรฐานการปฏิบัติงานภายใต้นโยบายฉบับนี้ ให้มีความเหมาะสมและรัดกุม ครอบคลุมด้านการบริหารจัดการข้อมูลให้มีคุณภาพ ถูกต้อง ครบถ้วน มีความมั่นคงปลอดภัย คุ้มครองข้อมูลส่วนบุคคล ครอบคลุมการบริหารจัดการวงจรชีวิตของข้อมูล และการบริหารจัดการความเสี่ยง โดยประกอบไปด้วยหัวข้อ ดังนี้
2.4.2.1 จัดให้มีแนวทางการบริหารจัดการข้อมูลตามวงจรชีวิตของข้อมูล (Data Life Cycle) ตั้งแต่การสร้าง (Create) การจัดเก็บ (Store) การประมวลผลและการใช้ (Process and Use) การเปิดเผยและการรักษาความลับ (Disclosure and Confidentiality) และการเก็บถาวรและการทำลาย (Archive and Destroy)
2.4.2.2 จัดให้มีแนวทางการจัดทำด้านแผนการปฏิบัติการจัดทำคำนิยาม เมทาดาตา และบัญชีข้อมูล (Metadata and Data Catalog) รวมถึงการจัดหมวดหมู่ข้อมูล (Data Category) และการกำหนดชั้นความลับข้อมูล (Data Classification) ให้เป็นการปฏิบัติตามมาตรฐานข้อมูลและชุดข้อมูลทั่วทั้งบริษัท
2.4.2.3 จัดให้มีแนวทางการบริหารจัดการคุณภาพข้อมูล (Data Quality Management) ได้แก่ การกำหนดหลักเกณฑ์คุณภาพข้อมูล (Data Quality Criteria) การประเมินคุณภาพข้อมูล (Data Quality Assessment) การปรับปรุงคุณภาพข้อมูล (Data Quality Improvement) และการติดตามคุณภาพข้อมูล (Data Quality Monitoring) โดยให้มีการกำหนดมิติ ตัวชี้วัดคุณภาพของข้อมูลในมิติดังต่อไปนี้ ความถูกต้อง (Accuracy) ความครบถ้วน (Completeness) ความสอดคล้อง (Consistency) ความเป็นปัจจุบัน (Timeliness) ความเป็นเอกลักษณ์ (Uniqueness) และตรงตามความต้องการ (Relevancy)
2.4.2.4 จัดให้มีแนวทางการบริหารจัดการการใช้ประโยชน์จากข้อมูลและการวิเคราะห์ข้อมูล เพื่อสร้างโอกาสทางธุรกิจ ส่งเสริมการตัดสินใจอย่างมีประสิทธิผลด้วยข้อมูลที่มีคุณภาพ รวมถึงปฏิบัติตามหลักเกณฑ์และกฎหมายที่เกี่ยวข้อง
2.4.2.5 กำกับดูแลให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล (Data Security) เพื่อป้องกันการละเมิด การเข้าถึง การสูญหาย การทำลาย หรือการเปลี่ยนแปลงข้อมูล โดยมิชอบ หรือมิได้รับอนุญาต
2.4.2.6 กำหนดมาตรการปฏิบัติงานด้านการคุ้มครองข้อมูลส่วนบุคคล และการรักษาความเป็นส่วนบุคคลของข้อมูล (Data Protection and Data Privacy) ให้เป็นไปตามนโยบาย และแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับกฎหมาย ระเบียบ และหลักเกณฑ์ที่เกี่ยวข้อง
2.4.2.7 บริหารจัดการความเสี่ยงด้านข้อมูล (Data Risk Management) โดยเตรียมความพร้อมในการบริหารจัดการประเด็นปัญหาและความเสี่ยงด้านข้อมูล เพื่อป้องกันไม่ให้เกิดเหตุการณ์ ที่อาจนำไปสู่ความเสียหาย หรือเพื่อลดผลกระทบกรณีที่มีความเสียหายเกิดขึ้นแล้ว
2.4.2.8 จัดให้มีแนวทางการประเมินระดับการกำกับดูแลข้อมูล (Data Governance Maturity Assessment) เพื่อวัดประสิทธิภาพ และทราบถึงสถานะของระดับการกำกับดูแลข้อมูลของบริษัทที่ดำเนินการอยู่ในปัจจุบัน เพื่อนำผลการประเมินมาพัฒนาแนวทางการบริหารจัดการข้อมูลให้มีประสิทธิภาพยิ่งขึ้น
2.4.2.9 มีมาตรการติดตามและตรวจสอบการรักษาความมั่นคงปลอดภัยของข้อมูล (Data Security) การปฏิบัติงานด้านการคุ้มครองข้อมูลส่วนบุคคล และการรักษาความเป็นส่วนบุคคลของข้อมูล (Data Protection and Data Privacy) การบริหารจัดการความเสี่ยงด้านข้อมูล (Data Risk Management) อย่างสม่ำเสมอ
2.4.2.10 ติดตาม และบริหารจัดการพัฒนาการสื่อสาร (Communications Management) เพื่อให้เกิดการนำไปปฏิบัติให้เกิดประสิทธิผลทั่วทั้งบริษัท ส่งเสริมและพัฒนาให้เกิดความตระหนักรู้ด้านการกำกับดูแลข้อมูลส่วนบุคคลให้กับบุคลากรในทุกระดับอย่างสม่ำเสมอ