หน่วยสมรรถนะ
ธรรมาภิบาลความมั่นคงปลอดภัยระบบสารสนเทศและการวางแผนเชิงกลยุทธ์
สาขาวิชาชีพอุตสาหกรรมดิจิทัล
รายละเอียดหน่วยสมรรถนะ
| 1. รหัสหน่วยสมรรถนะ | ICT-XLVL-189B |
| 2. ชื่อหน่วยสมรรถนะ | ธรรมาภิบาลความมั่นคงปลอดภัยระบบสารสนเทศและการวางแผนเชิงกลยุทธ์ |
| 3. ทบทวนครั้งที่ | 1 / - |
| 4. สร้างใหม่ |
|
ปรับปรุง |
|
| 5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification) | |
|
N/A
|
|
| 6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency) | |
| เป็นผู้ที่สามารถกำกับดูแลทางด้านความมั่นคงปลอดภัยระบบสารสนเทศ รวมไปถึงสามารถวางแผนเชิงกลยุทธ์ทางด้านความมั่นคงปลอดภัยระบบสารสนเทศที่สอดคล้องกับองค์กร | |
| 7. สำหรับระดับคุณวุฒิ |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
|---|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
|
| 8. กลุ่มอาชีพ (Sector) | |
| ผู้บริหารเครือข่ายคอมพิวเตอร์ ผู้บริหารระดับสูงด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ, ผู้บริหารด้านการจัดการความเสี่ยงของสารสนเทศ | |
| 9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี) | |
| 2131.50 ผู้เชี่ยวชาญด้านความปลอดภัยของไอที2529 ผู้เชี่ยวชาญด้านความปลอดภัยในระบบเทคโนโลยีสารสนเทศและการสื่อสาร | |
| 10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี) | |
| ไม่มี | |
| 11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria) |
| หน่วยสมรรถนะย่อย (EOC) | เกณฑ์ในการปฏิบัติงาน (Performance Criteria) | รหัส PC (ตามเล่มมาตรฐาน) |
รหัส PC (จากระบบ) |
|---|---|---|---|
| 41101.01 วางแผนเชิงกลยุทธ์ | 1.1 ออกแบบกลยุทธ์ด้านความมั่นคงปลอดภัยระบบสารสนเทศที่สอดคล้องกับแผนกลยุทธ์ขององค์กร | 41101.01.01 | 119477 |
| 41101.01 วางแผนเชิงกลยุทธ์ | 1.2 จัดทำแผนปฏิบัติที่สอดคล้องกับกลยุทธ์ด้านความมั่นคงปลอดภัยระบบสารสนเทศ ดำเนินการตามแผน และติดตาม ประเมินผลการดำเนินการตามแผน | 41101.01.02 | 119478 |
| 41101.01 วางแผนเชิงกลยุทธ์ | 1.3 ดำเนินการตรวจสอบผลของการดำเนินการตามแผนด้านความมั่นคงปลอดภัยระบบสารสนเทศ | 41101.01.03 | 119479 |
| 41101.02 กำกับดูแลและการบริหารด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ | 2.1 จัดการนโยบายด้านการรักษาความปลอดภัยสารสนเทศ | 41101.02.01 | 119473 |
| 41101.02 กำกับดูแลและการบริหารด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ | 2.2 จัดการความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ | 41101.02.02 | 119474 |
| 41101.02 กำกับดูแลและการบริหารด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ | 2.3 จัดการโครงการทางด้านความมั่นคงปลอดภัยระบบสารสนเทศ | 41101.02.03 | 119475 |
| 41101.02 กำกับดูแลและการบริหารด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ | 2.4 จัดการบริการด้านความมั่นคงสารสนเทศ | 41101.02.04 | 119476 |
| 41101.03 ตรวจสอบความมั่นคงปลอดภัยระบบสารสนเทศ | 3.1 จัดทำกระบวนการตรวจสอบระบบสารสนเทศ | 41101.03.01 | 119469 |
| 41101.03 ตรวจสอบความมั่นคงปลอดภัยระบบสารสนเทศ | 3.2 วางแผนการตรวจสอบ | 41101.03.02 | 119470 |
| 41101.03 ตรวจสอบความมั่นคงปลอดภัยระบบสารสนเทศ | 3.3 ดำเนินการตรวจสอบและการติดตามผลของการตรวจสอบ | 41101.03.03 | 119471 |
| 41101.03 ตรวจสอบความมั่นคงปลอดภัยระบบสารสนเทศ | 3.4 เขียนรายงานการตรวจสอบ | 41101.03.04 | 119472 |
| 12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge) | |
|
ไม่มี |
|
| 13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge) | |
|
(ก) ความต้องการด้านทักษะ 1. สามารถออกแบบกลยุทธ์ด้านความมั่นคงปลอดภัยระบบสารสนเทศที่สอดคล้องกับแผนกลยุทธ์ ขององค์กร 2. สามารถจัดทำแผนปฏิบัติที่สอดคล้องกับกลยุทธ์ด้านความมั่นคงปลอดภัยระบบสารสนเทศ ดำเนินการตามแผน และติดตาม ประเมินผลการดำเนินการตามแผน 3. สามารถดำเนินการตรวจสอบผลของการดำเนินการตามแผนด้านความมั่นคงปลอดภัยระบบสารสนเทศอย่างสม่ำเสมอ 4. สามารถจัดการนโยบายด้านการรักษาความปลอดภัยสารสนเทศและเอกสารอื่น ๆ ที่เกี่ยวข้อง 5. สามารถจัดการความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ 6. สามารถจัดการโครงการทางด้านความมั่นคงปลอดภัยระบบสารสนเทศ 7. สามารถจัดการบริการด้านความมั่นคงสารสนเทศ 8. สามารถจัดทำกระบวนการตรวจสอบระบบสารสนเทศ 9. สามารถวางแผนการตรวจสอบ 10. สามารถดำเนินการตรวจสอบและการติดตามผลของการตรวจสอบ 11. เขียนรายงานการตรวจสอบ (ข) ความต้องการด้านความรู้ 1. ความรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ การออกแบบกลยุทธ์ และแผนปฏิบัติด้านความมั่นคงปลอดภัยระบบสารสนเทศ รวมทั้งหลักการตรวจสอบ 2. ความรู้เกี่ยวกับการติดตามแนวโน้มภัยคุกคามรูปแบบใหม่ทางด้านความมั่นคงปลอดภัยระบบสารสนเทศ รวมทั้งเทคโนโลยีที่เกี่ยวข้อง 3. ความรู้เกี่ยวกับการจัดการความเสี่ยงสารสนเทศ 4. ความรู้เกี่ยวกับกฎหมาย กฎระเบียบ ข้อบังคับ และแนวปฏิบัติที่ดีทางด้านความมั่นคงปลอดภัยระบบสารสนเทศ 5. ความรู้เกี่ยวกับระบบปฏิบัติการและระบบเครือข่าย 6. ความรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ 7. ความรู้เกี่ยวกับการตรวจสอบระบบสารสนเทศ 8. ความรู้เกี่ยวกับกระบวนการทางธุรกิจ 9. ความรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ 10. ความรู้เกี่ยวกับหลักการบริหารจัดการโครงการ 11. ความรู้เกี่ยวกับระบบสารสนเทศและระบบเครือข่าย 12. ความรู้เกี่ยวกับการประมวลผลข้อมูล 13. ความรู้เกี่ยวกับการตอบสนองต่อภัยคุกคามด้านไซเบอร์ 14. ความรู้เกี่ยวกับการจัดการบริการทางด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของระบบสารสนเทศ |
|
| 14. หลักฐานที่ต้องการ (Evidence Guide) | |
|
หลักฐานที่ต้องการจะกำหนดข้อแนะนำเกี่ยวกับการประเมิน และควรที่จะใช้ประกอบร่วมกันกับเกณฑ์การปฏิบัติงาน (Performance Criteria) และทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge) (ก) หลักฐานการปฏิบัติงาน (Performance Evidence) 1. ทดสอบความรู้โดยใช้การสอบสัมภาษณ์ 2. พิจารณาเพิ่มเติมจากแฟ้มสะสมผลงานได้แก่ ใบผ่านงาน ประกาศนียบัตร ใบวุฒิบัตร ภาพถ่ายผลงาน และเอกสารต่าง ๆ ที่แสดงถึงประสบการณ์ (ข) หลักฐานความรู้ (Knowledge Evidence) 1. แฟ้มสะสมผลงาน ได้แก่ ใบผ่านงาน ประกาศนียบัตร วุฒิบัตร และเอกสารผลงานต่าง ๆ ที่เกี่ยวข้องกับความรู้ทางด้านธรรมาภิบาลความมั่นคงปลอดภัยระบบสารสนเทศและการวางแผนเชิงกลยุทธ์ (ค) คำแนะนำในการประเมิน ผู้เข้ารับการประเมินต้องผ่านการประเมิน ที่ครอบคลุมในทุกสมรรถนะประเมินย่อย ขอบเขต ความรู้และทักษะที่กำหนด ในกรณีที่ผู้รับการประเมินผ่านไม่ครบตามเกณฑ์ที่กำหนด ผู้ประเมินจะต้องแจ้งหน่วยสมรรถนะที่ไม่ผ่าน และให้ผู้รับการประเมินไปทบทวนสมรรถนะที่ยังไม่ผ่านและสามารถกลับมาทดสอบสมรรถนะใหม่อีกครั้ง (ง) วิธีการประเมิน 1. ทดสอบโดยใช้แบบสัมภาษณ์ 2. พิจารณาจากแฟ้มสะสมผลงานได้แก่ ใบผ่านงาน ประกาศนียบัตร ใบวุฒิบัตร ภาพถ่ายผลงาน และเอกสารต่าง ๆ ที่แสดงถึงประสบการณ์ |
|
| 15. ขอบเขต (Range Statement) | |
|
(ก) คำแนะนำ ในการปฏิบัติงานให้คำนึงถึงการวางแผนเชิงกลยุทธ์ การกำกับดูแลและการบริหารด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ การตรวจสอบความมั่นคงปลอดภัยระบบสารสนเทศ (ข) คำอธิบายรายละเอียด 1. การวางแผนเชิงกลยุทธ์ ควรมีการจัดทำกลยุทธ์ด้านความมั่นคงปลอดภัยระบบสารสนเทศจะต้องศึกษาสิ่งต่าง ๆ ได้แก่ บริบทขององค์กร ศึกษาพันธกิจ เป้าหมาย และกิจกรรมต่าง ๆ ภายในองค์กร ปัจจัยภายในและภายนอกที่มีผลกระทบต่อองค์กร เป็นต้น การจัดทำแผนปฏิบัติด้านความมั่นคงปลอดภัยระบบสารสนเทศ ต้องมีความสอดคล้องกับกลยุทธ์ด้านความมั่นคงปลอดภัยระบบสารสนเทศ โดยมีองค์ประกอบ ได้แก่ เป้าหมาย วัตถุประสงค์ ตัวชี้วัด กิจกรรมโครงการต่าง ๆ ระยะเวลา ผู้รับผิดชอบ เป็นต้น การตรวจสอบผลการดำเนินการตามแผนความมั่นคงปลอดภัยระบบสารสนเทศ จะต้องมีการติดตามทุก ๆ 3 เดือนและให้ทำการทบทวนผลการดำเนินการให้เป็นไปตามแผนที่วางไว้ 2. การกำกับดูแลและการบริหารด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ การจัดการนโยบายด้านการรักษาความปลอดภัยสารสนเทศ ควรพิจารณาให้มีความสอดคล้องกับเป้าหมายในการดำเนินธุรกิจขององค์กร ในขณะเดียวกันจะต้องได้รับการอนุมัติจากผู้บริหารระดับสูง มีการประกาศใช้ และสื่อสารไปให้คนภายในองค์กรรับทราบ การจัดการความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ ควรพิจารณาความเสี่ยงทางด้านข้อมูล ที่องค์กรพบ มีการเลือกวิธีการวิเคราะห์ความเสี่ยงที่เหมาะสม เลือกตัวควบคุมด้านความมั่นคงปลอดภัย รวมถึงระบุระดับการยอมรับความเสี่ยงที่องค์กรสามารถยอมรับได้ การจัดการโครงการทางด้านความมั่นคงปลอดภัยระบบสารสนเทศ ให้พิจารณาประเด็นต่าง ๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยระบบสารสนเทศที่แทรกเข้าไปอยู่ในขั้นตอนต่าง ๆ ของการจัดการโครงการ การจัดการบริการด้านความมั่นคงสารสนเทศ ให้พิจารณาแนวทางการจัดการความมั่นคงปลอดภัยของบริการสารสนเทศในมุมมองต่าง ๆ ครอบคลุมการรักษาความลับของข้อมูล การรักษาความคงสภาพของข้อมูล และการรักษาความพร้อมใช้ของข้อมูล 3. การตรวจสอบความมั่นคงปลอดภัยระบบสารสนเทศ การจัดทำกระบวนการตรวจสอบระบบสารสนเทศ ควรพิจารณาถึงปัจจัยแวดล้อมต่าง ๆ เช่น รูปแบบของธุรกิจ จำนวนพนักงานในองค์กร วัฒนธรรมขององค์กร การวางแผนการตรวจสอบ ควรประเมินจากขอบเขตของระบบที่จะทำการตรวจสอบ รวมทั้งชนิดของการตรวจสอบ เพื่อกำหนดแผนงาน ระยะเวลาที่ต้องใช้ รวมทั้งจำนวนผู้ตรวจสอบ การดำเนินการตรวจสอบและการติดตามผลของการตรวจสอบ ผู้ตรวจสอบควรปฏิบัติตามแผนการตรวจสอบอย่างเคร่งครัด มีจริยธรรมและจรรยาบรรณในการปฏิบัติงาน และติดตามผลของการตรวจสอบตามวงรอบที่เหมาะสม การเขียนรายงานการตรวจสอบ ควรมีลักษณะที่เป็นแบบแผนที่แน่นอน เข้าใจง่าย มีข้อมูลครบถ้วน |
|
| 16. หน่วยสมรรถนะร่วม (ถ้ามี) | |
| ไม่มี | |
| 17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี) | |
| ไม่มี | |
| 18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure) | |
|
วิธีการประเมินสามารถจำแนกได้ตามสมรรถนะย่อย ดังนี้ 1. สมรรถนะ 41101.01 วางแผนเชิงกลยุทธ์ ให้ทำการทดสอบโดยใช้แบบสัมภาษณ์และพิจารณาจากแฟ้มสะสมผลงานได้แก่ ใบผ่านงาน ประกาศนียบัตร ใบวุฒิบัตร ภาพถ่ายผลงาน และเอกสารต่าง ๆ ที่แสดงถึงประสบการณ์ 2. สมรรถนะ 41101.02 กำกับดูแลและการบริหารด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ ให้ทำการทดสอบโดยใช้แบบสัมภาษณ์และพิจารณาจากแฟ้มสะสมผลงานได้แก่ ใบผ่านงาน ประกาศนียบัตร ใบวุฒิบัตร ภาพถ่ายผลงาน และเอกสารต่าง ๆ ที่แสดงถึงประสบการณ์ 3. สมรรถนะ 41101.03 ตรวจสอบความมั่นคงปลอดภัยระบบสารสนเทศ ให้ทำการทดสอบโดยใช้แบบสัมภาษณ์และพิจารณาจากแฟ้มสะสมผลงานได้แก่ ใบผ่านงาน ประกาศนียบัตร ใบวุฒิบัตร ภาพถ่ายผลงาน และเอกสารต่าง ๆ ที่แสดงถึงประสบการณ์ |
|
