३८ वटा बीमा कम्पनीहरुले बीमा समितिमा बुझाए आइटी अडिट रिपोर्ट
काठमाडौं । बीमा कम्पनीहरूले आर्थिक वर्ष २०७६/७७ को सूचना प्रविधि प्रणालीको परीक्षण (आईटी अडिट) बीमा समितिमा पेश गरेका छन् । सबै बीमा कम्पनीहरुले अडिट रिपोर्ट बुझाउनुपर्ने भएपनि तोकिएको म्याद २०७८ आषाढ मसान्त भित्र ४० मध्ये ३८ वटा बीमा कम्पनीहरुले मात्र आईटी अडिट सम्पन्न गरी बीमा समितिमा पेश गरेका छन्।
दुई वटा सरकारी स्वामित्वमा रहेका बीमा कम्पनीहरु राष्ट्रिय बीमा संस्थान र राष्ट्रिय बीमा कम्पनी लिमिटेडले आईटी अडिट प्रतिवेदन पेश गरेका छैनन् । रिपोर्ट पेश गर्नेमा १८ वटा जीवन बीमा कम्पनी र १९ वटा निर्जीवन बीमा कम्पनी र १ वटा पुनर्बीमा कम्पनी रहेका छन् भने रिपोर्ट पेश नगर्नेमा १ वटा जीवन बीमा कम्पनी र निर्जिवन बीमा कम्पनी राष्ट्रिय बीमा कम्पनी रहेका छन् ।
बीमा समितिले जारी गरेको सूचना प्रविधि मार्गदर्शन, २०७६ मा बीमा कम्पनीहरुलाई वार्षिक रुपमा अनिवार्य रुपमा आईटी अडिट गर्नुपर्ने आइटी व्यवस्था रहेको छ । सूचना प्रविधि परीक्षणको प्रतिवेदन बुझाउँदा कम्पनीहरुले कम्पनीको नाम र मुख्य कार्यालयको ठेगाना, बीमकको सूचना प्रविधि निति, डेटा सेन्टर, सूचना प्रविधि विपत व्यवस्थापन केन्द्र, औपचारिक वेभसाइट, औपचारिक मेल, बीमा सफ्टवेयर, बीमा एप्स, सूचना प्रविधि सम्बन्धी अन्य विवरण र सूचना प्रविधि विभाग प्रमुखको विवरण समावेश गर्नुपर्ने हुन्छ ।
अन्तराष्र्टिय स्तरमा कम्पनीहरुलाई आइटी अडिटको काम नौलो नभए पनि आफुहरुलाई नौलो अभ्यास रहेको बीमा कम्पनीका अधिकारीहरुले बताउँदै आएका छन् । साईबर सुरक्षा सम्बन्धी आईटी अडिट बीमा कम्पनीहरुको लागि निकै महत्वपूर्ण हुने गर्दछ । विभिन्न किसिमका साबइर आक्रमण, भाइरस लगायतका विधिबाट हुने डाटा चुहावट र चोरी नियन्त्रण गर्न गुणस्तरीय प्रविधि प्रयोग गर्न तथा त्यसको अडिट गर्न अनिवार्य रहेको समितिले जनाएको छ ।
बीमा समितिले आर्थिक बर्ष २०७६/७७ मा निर्देशिका जारी गर्दै बीमा कम्पनीहरुलाई वार्षिक रुपमा अनिवार्य आईटि अडिट गर्नै पर्ने प्राबधान राखेको थियो । समितिले चैत ११ गते बीमकको सूचना प्रविधि मार्गदर्शन २०७६ नामक निर्देशिका जारी गरेको थियो । नेपाल राष्ट्र बैंकले पनि बैंक तथा वित्तीय संस्थालाई अनिवार्य सूचना प्रविधि (आईटी) अडिट गराउदै आएको छ । बैंक तथा वित्तीय संस्थाले प्रयोग गर्ने सूचना प्रविधिको सुरक्षाको विषयमा प्रश्न उठेपछि राष्ट्र बैंकले बैंकहरुलाई अनिवार्य आइटी अडिट गराउदै आएको हो ।
बीमा समितिले गत चैतमा जारी गरेको सूचना प्रविधि मार्गदर्शन २०७६ मा पुस मसान्तभित्रमा अनिवार्य आइटी अडिट गर्नु पर्ने व्यवस्था छ। समितिले यस्तो निर्देशिका २०७६ मा जारी गरेको थियो । समितिले चैत ११ गते बीमकको सूचना प्रविधि मार्गदर्शन २०७६ नामक निर्देशिका जारी गरेको थियो। बैंक तथा वित्तीय संस्थालाई सूचना प्रविधि (आईटी) अडिट गर्दै आईरहेका छन् । बैंक तथा वित्तीय संस्थाले प्रयोग गर्ने सूचना प्रविधिको सुरक्षाको विषयमा प्रश्न उठेपछि राष्ट्र बैंकले अडिट गर्न राष्ट्र बैंकले यस्तो आग्रह गरेको थियो ।
उक्त निर्देशिका अनुसार बीमकले ईजाजतपत्र प्राप्त सूचना प्रविधि सम्बन्धी परीक्षकबाट वार्षिक रुपमा आफ्नो सूचना प्रविधि प्रणालीको परीक्षण गर्नुपर्ने छ । त्यस्तो परीक्षणको प्रतिवेदन आर्थिक वर्ष समाप्त भएको ६ महनाभित्र बीमा समितिमा पेश गर्नुपर्ने प्रावधान समेत राखिएको छ ।
त्यसैगरि निर्देशिकाले आईटी अडिट गर्दा समेटिनुपर्ने विषयवस्तुहरुको बारेमा समेत उल्लेख गर्दै त्यसमा प्रयोगकर्ताको आधिकारिकता, आन्तरिक तथा बाह्य संभाबित जोखिमहरु, डाटाबेस, कारोबार, नेटवर्क, हार्डवेयरको सुरक्षा, प्रणालीमा पहुँच कायम गर्ने अनधिकृत प्रयत्न सम्बन्धी विषय, प्रत्यक्ष पहुँच रोक्न सक्ने उपयाहरु लगायतका विषयहरु रहेका छन् ।
उक्त निर्देशिका अनुसार सूचना प्रविधि विपत ब्यवस्थापनको लागि योजना तयार गरी कार्यान्वयन गर्नुपर्नेछ भने डाटा सेन्टरको रिकभरी, डाटा तथा पावर तथा प्रणालीको ब्याकअप, सूचनाको सूरक्षा लगायतका विषयहरु समेटिएको छ । निर्देशनमा कम्पनीहरुलाई सक्कली उत्पादनहरु प्रयोग गर्न भनिएको छ भने हार्डवेयर तथा सफ्टवेयर वा सो सम्बन्धी सक्कली उत्पादनहरु प्रयोग गरेर लाईसेन्स राख्नुपर्ने प्रावधान राखिएको छ। बीमा कम्पनीहरुले सूचना प्रविधि प्रणालीको संचालन तथा प्रयोग सबै शाखाहरुमा गर्नुपर्नेछ भने आफ्नै डाटा सेन्टर राखिनुपर्नेछ।
बीमकले आफ्नै भौतिक डाटा सेन्टर स्थापना गर्नुपर्ने प्रावधानका साथमा रिकभरी डाटा सेन्टरको समेत व्यवस्था गर्न भनिएको छ । कम्पनीले नेपालमा दर्ता भई संचालनमा रहेका क्लाउड डाटा सेन्टरको समेत प्रयोग गर्न सक्ने सुविधा दिएको छ । त्यस्तै, विदेशी बीमकको शाखा कार्यालयको हकमा त्यस्तो एप्लिकोसन सर्भर, बीमकको केन्द्रीय कार्यालय वा मुख्य कार्यालयमा राखिनुपर्नेछ।
साथै बीमकले उपदफा (२) र (३) बमोजिम अन्य सेवा प्रदायकबाट लिएको रहेछ भने बीमकले सम्बन्धीत सेवा प्रदायकसँग खरिद सम्झौता तथा नन–डिस्क्लोजर सम्झैता गनुपर्ने व्यवस्था मार्गदर्शनमा गरिएको छ। साथै, विपद् व्यवस्थापनको लागि राखिने रिकभरी डाटा सेन्टरको हकमा भने बीमक कम्पनीको केन्द्रीय कार्यालय रहेको प्रदेश भन्दा बाहेक अन्य प्रदेशको कुनै स्थानमा डाटा सेन्टरको ब्याकअप राख्नुपर्नेछ ।
अन्य सेवा प्रदायकसँग डाटा सेन्टरको सुविधा लिएको खण्डमा बीमकको सूचनाको सूरक्षा बीमक कम्पनीले नै लिनुपर्नेछ भने आफ्नो कोर एप्लीकेशन सर्भर भने कम्पनीको केन्द्रीय कार्यालयमा राख्नुपर्ने प्रावधान राखिएको छ। जारी भएको सो निर्देशिकामा कम्पनीहरुले तयार पार्नुपर्ने वेभसाइटको संरचना र राखिनुपर्ने विषयवस्तुको बारेमा समेत उल्लेख गरिएको छ ।
बीमा कम्पनीहरुले आफ्नै डोमन नेम सहितको औपचारिक इमेलको व्यवस्था लागू गर्नुपर्ने प्रावधान समेत राखिएको छ भने बीमा सफ्टवेयरको प्रयोग, बीमा एप्सको प्रयोग, विद्युतीय भुक्तानी सम्बन्धि व्यवस्था, डिजिटल सिग्नेचरको व्यवस्था, सुरक्षा प्रणाली अपनाउनुपर्ने लगायतका अन्य विषयहरु उल्लेख गरेको छ।उक्त निर्देशिका बमोजिक बीमा कम्पनीहरुले साइबर जोखिम तथा क्षतिलाई न्यूनीकरण गर्न आवश्यक व्यवस्था गर्नुपर्नेछ भने साइबर बीमा गर्नुपर्ने प्रावधानमा उल्लेख गरिएको छ।
