TPQI-NET PROFESSIONAL QUALIFICATION

1. รหัสหน่วยสมรรถนะ

ICT-RNQQ-196B

2. ชื่อหน่วยสมรรถนะ

จัดการเหตุการณ์ทางไซเบอร์และสืบสวนทางไซเบอร์

3. ทบทวนครั้งที่

1 / -

4. สร้างใหม่

ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)
	N/A

6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)
	เป็นผู้ที่สามารถจัดการเหตุการณ์ทางไซเบอร์ วิเคราะห์ภัยคุกคาม สืบสวนทางไซเบอร์และพิสูจน์หลักฐานดิจิทัล กู้คืนระบบจากภัยพิบัติ

7. สำหรับระดับคุณวุฒิ

1	2	3	4	5	6	7	8

8. กลุ่มอาชีพ (Sector)

ผู้เชี่ยวชาญระบบเครือข่าย ผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ นักวิเคราะห์ความมั่นคงปลอดภัยระบบสารสนเทศ ผู้บริหารด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ ผู้บริหารเครือข่ายคอมพิวเตอร์

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
	2131.50 ผู้เชี่ยวชาญด้านความปลอดภัยของไอที2529 ผู้เชี่ยวชาญด้านความปลอดภัยในระบบเทคโนโลยีสารสนเทศและการสื่อสาร

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
	ไม่มี

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)

หน่วยสมรรถนะย่อย (EOC)	เกณฑ์ในการปฏิบัติงาน (Performance Criteria)	รหัส PC (ตามเล่มมาตรฐาน)	รหัส PC (จากระบบ)
41402.01 จัดการเหตุการณ์ทางไซเบอร์	1.1 ระบุกระบวนการจัดการต่อเหตุการณ์ทางไซเบอร์ ประสานและให้การสนับสนุนในด้านการตอบสนองต่อเหตุการณ์ทางไซเบอร์	41402.01.01	119416
41402.01 จัดการเหตุการณ์ทางไซเบอร์	1.2 ตรวจดูข้อมูลจากแหล่งข้อมูลภายนอกเพื่อตรวจสอบภัยคุกคามที่อาจส่งผลกระทบต่อองค์กร	41402.01.02	119417
41402.01 จัดการเหตุการณ์ทางไซเบอร์	1.3 เลือกแนวทางตอบสนองต่อเหตุการณ์	41402.01.03	119418
41402.02 วิเคราะห์ภัยคุกคาม	2.1 วิเคราะห์ภัยคุกคามทางไซเบอร์	41402.02.01	119414
41402.02 วิเคราะห์ภัยคุกคาม	2.2 วิเคราะห์การโจมตีทางไซเบอร์	41402.02.02	119415
41402.03 สืบสวนทางไซเบอร์และพิสูจน์หลักฐานดิจิทัล	3.1 สืบสวนทางไซเบอร์	41402.03.01	119412
41402.03 สืบสวนทางไซเบอร์และพิสูจน์หลักฐานดิจิทัล	3.2 พิสูจน์หลักฐานดิจิทัล	41402.03.02	119413
41402.04 กู้คืนระบบจากภัยพิบัติ	4.1 จัดทำแผนกู้คืนระบบจากภัยพิบัติ	41402.04.01	119409
41402.04 กู้คืนระบบจากภัยพิบัติ	4.2 ติดตั้งและตั้งค่าศูนย์คอมพิวเตอร์สำรอง	41402.04.02	119410
41402.04 กู้คืนระบบจากภัยพิบัติ	4.3 ทดสอบแผนกู้คืนระบบจากภัยพิบัติ	41402.04.03	119411

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)
	ไม่มี

13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1. สามารถระบุกระบวนการจัดการต่อเหตุการณ์ทางไซเบอร์ ประสานและให้การสนับสนุนในด้านการตอบสนองต่อเหตุการณ์ทางไซเบอร์

2. สามารถตรวจดูข้อมูลจากแหล่งข้อมูลภายนอกเพื่อตรวจสอบภัยคุกคามที่อาจส่งผลกระทบต่อองค์กร

3. สามารถเลือกแนวทางตอบสนองต่อเหตุการณ์อย่างเหมาะสม

4. สามารถวิเคราะห์ภัยคุกคามทางไซเบอร์

5. สามารถวิเคราะห์การโจมตีทางไซเบอร์

6. สามารถสืบสวนทางไซเบอร์

7. สามารถพิสูจน์หลักฐานดิจิทัล

8. สามารถจัดทำแผนกู้คืนระบบจากภัยพิบัติ

9. สามารถติดตั้งและตั้งค่าศูนย์คอมพิวเตอร์สำรอง

10. สามารถทดสอบแผนกู้คืนระบบจากภัยพิบัติ

(ข) ความต้องการด้านความรู้

1. ความรู้เกี่ยวกับการสำรองข้อมูล ชนิดของการสำรองข้อมูล และเครื่องมือที่ใช้ในการกู้ข้อมูล

2. ความรู้เกี่ยวกับบริการเครือข่ายและโพรโทคอล

3. ความรู้เกี่ยวกับชนิดของเหตุการณ์ การตอบสนองต่อเหตุการณื

4. ความรู้เกี่ยวกับโพรโทคอลสื่อสารบนเครือข่าย

5. ความรู้เกี่ยวกับการวิเคราะห์ระดับแพ็กเก็ต

6. ความรู้เกี่ยวกับเครื่องมือวิเคราะห์ด้านความมั่นคงปลอดภัยระบบส่ารสนเทศ

7. ความรู้เกี่ยวกับภัยคุกตามรูปแบบต่าง ๆ

8. ความรู้เกี่ยวกับเทคนิคการเจาะระบบ

9. ความรู้เกี่ยวกับแนวทางการหาช่องโหว่ของระบบ

10. ความรู้เกี่ยวกับช่องโหว่และภัยคุกคามระบบและเครือข่าย

11. ความรู้เกี่ยวกับการดำเนินการสืบสวนทางไซเบอร์

12. ความรู้เกี่ยวกับการพิสูจน์หลักฐานทางดิจิทัล ไม่ว่าจะเป็นการสืบสวนจากคอมพิวเตอร์ ข้อมูลบนเครือข่าย เป็นต้น

13. ความรู้เกี่ยวกับชนิดของหลักฐานที่ได้ดำเนินการจัดเก็บ

14. ความรู้เกี่ยวกับเครื่องมือที่ใช้ในการพิสูจน์หลักฐาน

15. ความรู้เกี่ยวกับกู้คืนระบบจากภัยพิบัติ

16. ความรู้เกี่ยวกับการจัดตั้งศูนย์คอมพิวเตอร์หรือศูนย์ข้อมูลสำรอง

17. ความรู้เกี่ยวกับการจัดทำแผนทดสอบการกู้คืนระบบ

14. หลักฐานที่ต้องการ (Evidence Guide)

หลักฐานที่ต้องการจะกำหนดข้อแนะนำเกี่ยวกับการประเมินและควรที่จะใช้ประกอบร่วมกันกับเกณฑ์การปฏิบัติงาน (Performance Criteria) และ ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) หลักฐานการปฏิบัติงาน (Performance Evidence)

1. เอกสารหลักฐานที่จำเป็นในการปฏิบัติงาน

(ข) หลักฐานความรู้ (Knowledge Evidence)

1. ผลการทดสอบความรู้

2. ผลการสัมภาษณ์

(ค) คำแนะนำในการประเมิน

ผู้เข้ารับการประเมินต้องผ่านการประเมิน ที่ครอบคลุมในทุกสมรรถนะประเมินย่อย ขอบเขต ความรู้และทักษะที่กำหนด ในกรณีที่ผู้รับการประเมินผ่านไม่ครบตามเกณฑ์ที่กำหนด ผู้ประเมินจะต้องแจ้งหน่วยสมรรถนะที่ไม่ผ่าน และให้ผู้รับการประเมินไปทบทวนสมรรถนะที่ยังไม่ผ่านและสามารถกลับมาทดสอบสมรรถนะใหม่อีกครั้ง

(ง) วิธีการประเมิน

1. ทดสอบโดยใช้แบบข้อเขียน

2. ทดสอบโดยใช้แบบสัมภาษณ์

15. ขอบเขต (Range Statement)

(ก) คำแนะนำ

ในการปฏิบัติงานให้คำนึงถึงการจัดการเหตุการณ์ทางไซเบอร์ การวิเคราะห์ภัยคุกคาม การสืบสวนทางไซเบอร์และพิสูจน์หลักฐานดิจิทัล การกู้คืนระบบจากภัยพิบัติ

(ข) คำอธิบายรายละเอียด

1. การจัดการเหตุการณ์ทางไซเบอร์ การระบุกระบวนการจัดการต่อเหตุการณ์ทางไซเบอร์ ประสานและให้การสนับสนุนในด้านการตอบสนองต่อเหตุการณ์ทางไซเบอร์ ควรมีการออกแบบกระบวนการ ฝึกอบรมบุคลากร รวมทั้งมีการประสานหน่วยงานทั้งภายในและภายนอก และวางแผนการฝึกเพื่อเตรียมรับมือกับภัยทางด้านไซเบอร์ การตรวจดูข้อมูลจากแหล่งข้อมูลภายนอกเพื่อตรวจสอบภัยคุกคามที่อาจส่งผลกระทบต่อองค์กร ทำการประสานงานกับหน่วยงานทั้งภายในและภายนอก รวมทั้งองค์กรภาครัฐที่มีขีดความสามารถทางด้านไซเบอร์ การเลือกแนวทางตอบสนองต่อเหตุการณ์อย่างเหมาะสม จัดทำแผนเผชิญเหตุหรือแผนรับมือกับเหตุการณ์ทางไซเบอร์ โดยพิจารณาถึงภัยคุกคามทางไซเบอร์ที่มีความเสี่ยงสูงที่สุดเป็นลำดับแรก ๆ และ ดำเนินการทดสอบแผนอย่างสม่ำเสมอ

2. การวิเคราะห์ภัยคุกคาม การวิเคราะห์ภัยคุกคาม เก็บข้อมูลที่เกี่ยวข้องกับภัยคุกคามและข้อมูลการโจมตีจากอุปกรณ์ดักจับข้อมูลต่าง ๆ เช่น ระบบตรวจจับการบุรุก ข้อมูลล็อก เป็นต้น จัดหมวดหมู่ของภัยคุกคามและการโจมตีตามชนิด และระดับความรุนแรง การวิเคราะห์การโจมตี ทำการวิเคราะห์ภัยคุกคามและการโจมตีเพื่อศึกษาพฤติกรรมและหาแนวทางการป้องกันและแก้ไขปัญหาและลดผลกระทบที่เกิดขึ้น

3. การสืบสวนทางไซเบอร์และพิสูจน์หลักฐานดิจิทัล การสืบสวนทางไซเบอร์ มีความเข้าใจเกี่ยวกับภัยคุกคามรวมทั้งอาชญากรรมทางไซเบอร์ ดำเนินการจัดทำแนวทางและแผนสืบสวนทางไซเบอร์ แม้กระทั่งแนวคิดทางด้านอาชญวิทยา การพิสูจน์หลักฐานดิจิทัล ระบุหลักฐานที่สามารถสืบค้นและจัดเก็บเพื่อนำมาวิเคราะห์ในภายหลัง ดำเนินการจัดเก็บหลักฐานทางดิจิทัลด้วยวิธีการที่ได้รับการยอมรับเป็นมาตรฐาน ดำเนินการขนส่งหลักฐานมายังห้องปฏิบัติการเพื่อทำการวิเคราะห์ วิเคราะห์ผลของการพิสูจน์หลักฐานทางดิจิทัล จัดทำรายงานสรุปพร้อมนำเสนอ หรืออาจะขึ้นให้การเป็นพยานผู้เชี่ยวชาญในระดับศาล

4. การกู้คืนระบบจากภัยพิบัติ การจัดทำแผนกู้คืนระบบจากภัยพิบัติ เก็บข้อมูลที่เกี่ยวข้องกับระบบสารสนเทศขององค์กร ผ่านทางการสัมภาษณ์ การตอบแบบสอบถาม และอื่น ๆ เพื่อพิจารณาถึงระบบสารสนเทศที่มีความสำคัญต่อองค์กร เขียนแผนกู้คืนระบบจากภัยพิบัติโดยกำหนดสถานการณ์ภัยพิบัติที่ส่งผลกระทบต่อระบบสารสนเทศ การติดตั้งและตั้งค่าศูนย์คอมพิวเตอร์สำรอง แนวทางการเลือกใช้ศูนย์คอมพิวเตอร์สำรองนั้นให้พิจารณาจากแผนการกู้คืน ซึ่งระบุระยะเวลาที่ยอมให้ระบบล่ม และระยะเวลาที่ยอมให้ข้อมูลสูญหาย ข้อมูลเหล่านี้จะถูกนำมาใช้ในการวางกลยุทธ์การกู้คืนระบบและการกู้คืนข้อมูลต่อไป การทดสอบแผนกู้คืนระบบจากภัยพิบัติ ทำการทดสอบแผนกู้คืนระบบจากภัยพิบัติ ปรับปรุงแผนกู้คืนระบบจากภัยพิบัติจากผลการทดสอบ หลังจากนั้นจึงดำเนินการประกาศใช้แผนกู้คืนระบบจากภัยพิบัติต่อไป

16. หน่วยสมรรถนะร่วม (ถ้ามี)
	ไม่มี

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
	ไม่มี

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

วิธีการประเมินสามารถจำแนกได้ตามสมรรถนะย่อย ดังนี้

1. สมรรถนะย่อย 41402.01 จัดการเหตุการณ์ทางไซเบอร์ ให้ทำการทดสอบโดยใช้แบบข้อเขียนและทดสอบโดยใช้แบบสัมภาษณ์

2. สมรรถนะย่อย 41402.02 วิเคราะห์ภัยคุกคาม ให้ทำการทดสอบโดยใช้แบบข้อเขียนและทดสอบโดยใช้แบบสัมภาษณ์

3. สมรรถนะย่อย 41402.03 สืบสวนทางไซเบอร์และพิสูจน์หลักฐานดิจิทัล ให้ทำการทดสอบโดยใช้แบบข้อเขียนและทดสอบโดยใช้แบบสัมภาษณ์

4. สมรรถนะย่อย 41402.04 กู้คืนระบบจากภัยพิบัติ ให้ทำการทดสอบโดยใช้แบบข้อเขียนและทดสอบโดยใช้แบบสัมภาษณ์

หน่วยสมรรถนะ

จัดการเหตุการณ์ทางไซเบอร์และสืบสวนทางไซเบอร์

กลับ

ยินดีต้อนรับ