TPQI-NET PROFESSIONAL QUALIFICATION

1. รหัสหน่วยสมรรถนะ

ICT-LWAP-192B

2. ชื่อหน่วยสมรรถนะ

ปฏิบัติการด้านความมั่นคงปลอดภัยของระบบสารสนเทศ

3. ทบทวนครั้งที่

1 / -

4. สร้างใหม่

ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)
	นักจัดการความมั่นคงปลอดภัยระบบสารสนเทศ

6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)
	เป็นผู้ที่สามารถ วางแผนความต้องการของระบบ พัฒนาระบบ ทดสอบและประเมินผล

7. สำหรับระดับคุณวุฒิ

1	2	3	4	5	6	7	8

8. กลุ่มอาชีพ (Sector)

ผู้เชี่ยวชาญระบบเครือข่าย ผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ นักวิเคราะห์ความมั่นคงปลอดภัยระบบสารสนเทศ ผู้บริหารด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ ผู้บริหารเครือข่ายคอมพิวเตอร์

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
	2131.50 ผู้เชี่ยวชาญด้านความปลอดภัยของไอที2529 ผู้เชี่ยวชาญด้านความปลอดภัยในระบบเทคโนโลยีสารสนเทศและการสื่อสาร

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
	ไม่มี

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)

หน่วยสมรรถนะย่อย (EOC)	เกณฑ์ในการปฏิบัติงาน (Performance Criteria)	รหัส PC (ตามเล่มมาตรฐาน)	รหัส PC (จากระบบ)
41202.01 วางแผนความต้องการของระบบ	1.1 ทำการวิเคราะห์ความเสี่ยง ศึกษาความเป็นไปได้ เพื่อกำหนด Functional requirements และ Specifications ประมาณราคาค่าใช้จ่ายของระบบ	41202.01.01	119448
41202.01 วางแผนความต้องการของระบบ	1.2 กำหนดความต้องการของระบบ	41202.01.02	119449
41202.01 วางแผนความต้องการของระบบ	1.3 บูรณาการนโยบายด้านการรักษาความมั่นคงปลอดภัยเพื่อให้มั่นใจในระบบที่พัฒนา	41202.01.03	119450
41202.02 พัฒนาระบบ	2.1 วิเคราะห์ข้อจำกัดในการออกแบบ ข้อดีข้อเสีย ของระบบที่พัฒนา	41202.02.01	119444
41202.02 พัฒนาระบบ	2.2 ประยุกต์นโยบายด้านความมั่นคงปลอดภัยเข้าไปยังระบบที่ทำการพัฒนา ประเมินภัยคุกคาม ช่องโหว่ และความเสี่ยงของระบบ	41202.02.02	119445
41202.02 พัฒนาระบบ	2.3 พัฒนาซอฟต์แวร์ตามข้อกำหนดทางด้านความมั่นคงปลอดภัย	41202.02.03	119446
41202.02 พัฒนาระบบ	2.4 พัฒนาระบบการสำรองข้อมูลที่มีความมั่นคงปลอดภัย	41202.02.04	119447
41202.03 ทดสอบและประเมินผล	3.1 กำหนดระดับของความมั่นคงปลอดภัยของซอฟต์แวร์	41202.03.01	119439
41202.03 ทดสอบและประเมินผล	3.2 วางแผนการทดสอบตามวัตถุประสงค์และข้อกำหนด	41202.03.02	119440
41202.03 ทดสอบและประเมินผล	3.3 จัดทำสภาพแวดล้อมของการทดสอบและตรวจสอบทั้งฮาร์ดแวร์ ซอฟต์แวร์ และอุปกรณ์ต่อพ่วงของระบบ	41202.03.03	119441
41202.03 ทดสอบและประเมินผล	3.4 ดำเนินการทดสอบระบบ	41202.03.04	119442
41202.03 ทดสอบและประเมินผล	3.5 วิเคราะห์ผลการทดสอบ	41202.03.05	119443

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)
	ไม่มี

13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1. สามารถทำการวิเคราะห์ความเสี่ยง ศึกษาความเป็นไปได้ เพื่อกำหนด Functional requirements และ Specifications ประมาณราคาค่าใช้จ่ายของระบบ

2. สามารถกำหนดความต้องการของระบบ

3. สามารถบูรณาการนโยบายด้านการรักษาความมั่นคงปลอดภัยเพื่อให้มั่นใจในระบบที่พัฒนา

4. สามารถวิเคราะห์ข้อจำกัดในการออกแบบ ข้อดีข้อเสีย ของระบบที่พัฒนา

5. สามารถประยุกต์นโยบายด้านความมั่นคงปลอดภัยเข้าไปยังระบบที่ทำการพัฒนา ประเมินภัยคุกคาม ช่องโหว่ และความเสี่ยงของระบบ

6. สามารถพัฒนาซอฟต์แวร์ตามข้อกำหนดทางด้านความมั่นคงปลอดภัย

7. สามารถพัฒนาระบบการสำรองข้อมูลที่มีความมั่นคงปลอดภัย

8. สามารถกำหนดระดับของความมั่นคงปลอดภัยของซอฟต์แวร์

9. สามารถวางแผนการทดสอบตามวัตถุประสงค์และข้อกำหนด

10. สามารถจัดทำสภาพแวดล้อมของการทอสอบและตรวจสอบทั้งฮาร์ดแวร์ ซอฟต์แวร์ และอุปกรณ์ต่อพ่วงเพื่อให้มั่นใจว่าสอดคล้องกับข้อกำหนดและความต้องการของระบบ

11. สามารถดำเนินการทดสอบระบบ

12. วิเคราะห์ผลการทดสอบ ให้คำแนะนำทางด้านความมั่นคงปลอดภัยตามผลการทดสอบที่ได้รับ

(ข) ความต้องการด้านความรู้

1. ความรู้เกี่ยวกับการพัฒนาระบสารสนเทศอย่างมั่นคงปลอดภัย

2. ความรู้เกี่ยวกับวิศวกรรมซอฟต์แวร์

3. ความรู้เกี่ยวกับกระบวนการทางธุรกิจ

4. ความรู้เกี่ยวกับระบบปฏิบัติการและระบบเครือข่าย

5. ความรู้เกี่ยวกับวงจรชีวิตการพัฒนาระบบ

6. ความรู้เกี่ยวกับอัลกอริทึม

7. ความรู้เกี่ยวกับระบบฐานข้อมูล

8. ความรู้เกี่ยวกับการปฏิสัมพันธ์ระหว่างคอมพิวเตอร์และมนุษย์

9. ความรู้เกี่ยวกับความมั่นคงปลอดภัยของระบบสารสนเทศ

10. ความรู้เกี่ยวกับระบบปฏิบัติการและระบบเครือข่าย

11. ความรู้เกี่ยวกับระบบสารสนเทศขององค์กร

12. ความรู้เกี่ยวกับข้อกำหนดในการประเมินผลระบบสารสนเทศ

13. ความรู้เกี่ยวกับการประเมินความมั่นคงปลอดภัยระบบสารสนเทศ

14. ความรู้เกี่ยวกับระบบปฏิบัติการและระบบเครือข่าย

15. ความรู้เกี่ยวกับการทดสอบระบบชนิดต่าง ๆ

14. หลักฐานที่ต้องการ (Evidence Guide)

หลักฐานที่ต้องการจะกำหนดข้อแนะนำเกี่ยวกับการประเมินและควรที่จะใช้ประกอบร่วมกันกับเกณฑ์การปฏิบัติงาน (Performance Criteria) และ ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) หลักฐานการปฏิบัติงาน (Performance Evidence)

1. เอกสารหลักฐานที่จำเป็นในการปฏิบัติงาน

(ข) หลักฐานความรู้ (Knowledge Evidence)

1. ผลการทดสอบความรู้

2. ผลการสัมภาษณ์

(ค) คำแนะนำในการประเมิน

ผู้เข้ารับการประเมินต้องผ่านการประเมิน ที่ครอบคลุมในทุกสมรรถนะประเมินย่อย ขอบเขต ความรู้และทักษะที่กำหนด ในกรณีที่ผู้รับการประเมินผ่านไม่ครบตามเกณฑ์ที่กำหนด ผู้ประเมินจะต้องแจ้งหน่วยสมรรถนะที่ไม่ผ่าน และให้ผู้รับการประเมินไปทบทวนสมรรถนะที่ยังไม่ผ่านและสามารถกลับมาทดสอบสมรรถนะใหม่อีกครั้ง

(ง) วิธีการประเมิน

1. ทดสอบโดยใช้แบบข้อเขียน

2. ทดสอบโดยใช้แบบสัมภาษณ์

15. ขอบเขต (Range Statement)

(ก) คำแนะนำ

ในการปฏิบัติงานให้คำนึงถึงการวางแผนความต้องการของระบบ การพัฒนาระบบ การทดสอบและประเมินผล

(ข) คำอธิบายรายละเอียด

1. การวางแผนความต้องการของระบบ การวิเคราะห์ความเสี่ยง ศึกษาความเป็นไปได้ เพื่อกำหนด Functional requirements และ Specifications ประมาณราคาค่าใช้จ่ายของระบบ ให้พิจารณาขอบเขตของระบบที่ต้องการพัฒนา พิจารณาภัยคุกคามที่เกี่ยวข้องโดยอาจพิจารณาจากภัยคุกคามที่เคยเจอ ภัยคุกคามที่อาจจะไม่เคยเกิดภายในองค์กรแต่เกิดกับผู้ที่อยู่ในธุรกิจเดียวกัน เป็นต้น ให้เลือกวิธีการประเมินความเสี่ยงที่เหมาะสม การกำหนดความต้องการของระบบ ให้พิจารณาเก็บข้อมูลให้รอบด้าน ด้วยเครื่องมือที่เหมาะสม การบูรณาการนโยบายด้านการรักษาความมั่นคงปลอดภัยเพื่อให้มั่นใจในระบบที่พัฒนา ให้พิจารณานโยบายด้านความมั่นคงปลอดภัยระบบสารสนเทศขององค์กร รวมทั้งกฎหมาย กฎระเบียบ ข้อบังคับ แนวทางปฏิบัติที่เกี่ยวข้องในการบูรณาการให้เหมาะสม

2. การพัฒนาระบบ การวิเคราะห์ข้อจำกัดในการออกแบบ ข้อดีข้อเสีย ของระบบที่พัฒนา เป็นสิ่งที่จำเป็น และจำเป็นต้องมีการสื่อสารผลที่ได้จากการวิเคราะห์ไปให้กับผู้ที่เกี่ยวข้อง รวมทั้งผู้ใช้งานระบบด้วย การประยุกต์นโยบายด้านความมั่นคงปลอดภัยเข้าไปยังระบบที่ทำการพัฒนา ประเมินภัยคุกคาม ช่องโหว่ และความเสี่ยงของระบบ ควรมีการดำเนินการตั้งแต่ช่วงเริ่มต้นของการพัฒนาระบบ เนื่องจากจะทำให้มั่นใจได้ว่าระบบที่พัฒนาขึ้นได้มีการพิจารณาข้อกำหนด แนวทางการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศขององค์กร และเมื่อระบบถูกพัฒนาเสร็จสิ้นจะสอดคล้องกับนโยบายทางด้านความมั่นคงปลอดภัยระบบสารสนเทศ รวมถึงเป้าหมายและกลยุทธ์ทางธุรกิจขององค์กร การพัฒนาซอฟต์แวร์ตามข้อกำหนดทางด้านความมั่นคงปลอดภัย แม้ว่าจะทำให้กระบวนการพัฒนาซอฟต์แวร์มีความล่าช้าลงไปบ้างเนื่องจากจำเป็นต้องมีการตรวจสอบเพิ่มเติม แต่จะทำให้มั่นใจได้ว่าซอฟต์แวร์ที่ถูกพัฒนาขึ้นนั้นไม่มีช่องโหว่ที่เป็นที่รู้จักในช่วงที่มีการพัฒนา และจะช่วยลดความเสียหายที่อาจจะเกิดขึ้นหลังจากที่ได้มีการนำเอาซอฟต์แวร์ดังกล่าวไปใช้งาน การพัฒนาระบบการสำรองข้อมูลที่มีความมั่นคงปลอดภัย อาจมีการพิจารณาการกำหนดการควบคุมการเข้าถึงและการนำเอาวิทยาการเข้ารหัสลับ มาใช้

3. การทดสอบและประเมินผล การกำหนดระดับของความมั่นคงปลอดภัยของซอฟต์แวร์ ให้พิจารณาถึงระดับระดับความลับของข้อมูล ระดับระดับความลับของผู้ใช้งาน การควบคุมการเข้าถึง รวมทั้งการควบคุมทางด้านความมั่นคงปลอดภัยสำหรับซอฟต์แวร์นั้น ๆ การวางแผนการทดสอบตามวัตถุประสงค์และข้อกำหนด ให้พิจารณาถึงแนวทางการทดสอบทางด้านความมั่นคงปลอดภัย นอกเหนือไปจากการทดสอบปรกติที่ได้มีการทำอยู่แล้ว เช่น การทดสอบช่องโหว่ การทดสอบการโจมตี เป็นต้น การจัดทำสภาพแวดล้อมของการทอสอบและตรวจสอบทั้งฮาร์ดแวร์ ซอฟต์แวร์ และอุปกรณ์ต่อพ่วงเพื่อให้มั่นใจว่าสอดคล้องกับข้อกำหนดและความต้องการของระบบ โดยปกติแล้วอาจจะไม่สามารถจำลองสภาพแวดล้อมให้เหมือนจริงได้ครบถ้วน แต่ให้พิจารณาการควบคุมปัจจัยหลักในการใช้งานระบบให้เหมาะสม การดำเนินการทดสอบระบบ ให้มีการควบคุมการทดสอบ และกำหนดตัวชี้วัดให้ชัดเจน การวิเคราะห์ผลการทดสอบ ให้คำแนะนำทางด้านความมั่นคงปลอดภัยตามผลการทดสอบที่ได้รับ โดยเทียบกับมาตรฐาน หรือแนวปฏิบัติที่ดี (Best Practice) ที่เป็นที่ยอมรับในภาคอุตสาหกรรม หรือได้รับคำแนะนำจากหน่วยงานที่เป็นที่ยอมรับ

16. หน่วยสมรรถนะร่วม (ถ้ามี)
	ไม่มี

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
	ไม่มี

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

วิธีการประเมินสามารถจำแนกได้ตามสมรรถนะย่อย ดังนี้

1. สมรรถนะย่อย 41202.01 วางแผนความต้องการของระบบ ให้ทำการทดสอบโดยใช้แบบข้อเขียนและทดสอบโดยใช้แบบสัมภาษณ์

2. สมรรถนะย่อย 41202.02 พัฒนาระบบ ให้ทำการทดสอบโดยใช้แบบข้อเขียนและทดสอบโดยใช้แบบสัมภาษณ์

3. สมรรถนะย่อย 41202.03 ทดสอบและประเมินผล ให้ทำการทดสอบโดยใช้แบบข้อเขียนและทดสอบโดยใช้แบบสัมภาษณ์

หน่วยสมรรถนะ

ปฏิบัติการด้านความมั่นคงปลอดภัยของระบบสารสนเทศ

กลับ

ยินดีต้อนรับ