TPQI-NET PROFESSIONAL QUALIFICATION

1. รหัสหน่วยสมรรถนะ

ICT-VRVC-191B

2. ชื่อหน่วยสมรรถนะ

วิศวกรรมซอฟต์แวร์ด้านความมั่นคงปลอดภัยและสถาปัตยกรรมด้านความมั่นคงปลอดภัยของระบบ

3. ทบทวนครั้งที่

1 / -

4. สร้างใหม่

ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)
	N/A

6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)
	เป็นผู้ที่สามารถ จัดหาระบบที่มีความมั่นคงปลอดภัย วิศวกรรมซอฟต์แวร์ด้านความมั่นคงปลอดภัย สถาปัตยกรรมด้านความมั่นคงปลอดภัยของระบบ

7. สำหรับระดับคุณวุฒิ

1	2	3	4	5	6	7	8

8. กลุ่มอาชีพ (Sector)
	ผู้บริหารเครือข่ายคอมพิวเตอร์ ผู้บริหารระดับสูงด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ, ผู้บริหารด้านการจัดการความเสี่ยงของสารสนเทศ

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
	2131.50 ผู้เชี่ยวชาญด้านความปลอดภัยของไอที2529 ผู้เชี่ยวชาญด้านความปลอดภัยในระบบเทคโนโลยีสารสนเทศและการสื่อสาร

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
	ไม่มี

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)

หน่วยสมรรถนะย่อย (EOC)	เกณฑ์ในการปฏิบัติงาน (Performance Criteria)	รหัส PC (ตามเล่มมาตรฐาน)	รหัส PC (จากระบบ)
41201.01 จัดหาระบบที่มีความมั่นคงปลอดภัย	1.1 จัดทำนโยบายทางด้าน supply chain security และนโยบายด้านการจัดการความเสี่ยง	41201.01.01	119457
41201.01 จัดหาระบบที่มีความมั่นคงปลอดภัย	1.2 ประเมินประสิทธิผลของงานจัดซื้อในส่วนที่เกี่ยวข้องกับความต้องการด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศและการประเมินความเสี่ยงของ supply chain	41201.01.02	119458
41201.01 จัดหาระบบที่มีความมั่นคงปลอดภัย	1.3 ตรวจสอบเพื่อให้มั่นใจว่ากระบวนการจัดซื้อทั้งหมดสอดคล้องกับความต้องการทางด้านความมั่นคงปลอดภัยระบบสารสนเทศและเป้าหมายขององค์กร	41201.01.03	119459
41201.02 วิศวกรรมซอฟต์แวร์ด้านความมั่นคงปลอดภัย	2.1 วิเคราะห์ความต้องการของผู้ใช้และความต้องการของซอฟต์แวร์	41201.02.01	119453
41201.02 วิศวกรรมซอฟต์แวร์ด้านความมั่นคงปลอดภัย	2.2 แปลงความต้องการทางด้านความมั่นคงปลอดภัยเป็นข้อกำหนดในการออกแบบระบบ	41201.02.02	119454
41201.02 วิศวกรรมซอฟต์แวร์ด้านความมั่นคงปลอดภัย	2.3 พัฒนาซอฟต์แวร์อย่างมั่นคงปลอดภัย	41201.02.03	119455
41201.02 วิศวกรรมซอฟต์แวร์ด้านความมั่นคงปลอดภัย	2.4 ตรวจหาช่องโหว่ในระหว่างการพัฒนาโปรแกรมและแก้ไข ทบทวนชุดคำสั่ง	41201.02.04	119456
41201.03 สถาปัตยกรรมด้านความมั่นคงปลอดภัยของระบบ	3.1 วางแผนสถาปัตยกรรมของระบบ	41201.03.01	119451
41201.03 สถาปัตยกรรมด้านความมั่นคงปลอดภัยของระบบ	3.2 ออกแบบความมั่นคงปลอดภัย	41201.03.02	119452

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)
	ไม่มี

13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1. สามารถจัดทำนโยบายทางด้าน supply chain security และนโยบายด้านการจัดการความเสี่ยง

2. สามารถประเมินประสิทธิผลของงานจัดซื้อในส่วนที่เกี่ยวข้องกับความต้องการด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศและการประเมินความเสี่ยงของ supply chain

3. สามารถตรวจสอบเพื่อให้มั่นใจว่ากระบวนการจัดซื้อทั้งหมดสอดคล้องกับความต้องการทางด้านความมั่นคงปลอดภัยระบบสารสนเทศและเป้าหมายขององค์กร

4. สามารถวิเคราะห์ความต้องการของผู้ใช้และความต้องการของซอฟต์แวร์

5. สามารถแปลงความต้องการทางด้านความมั่นคงปลอดภัยเป็นข้อกำหนดในการออกแบบระบบ

6. สามารถพัฒนาซอฟต์แวร์อย่างมั่นคงปลอดภัย

7. สามารถตรวจหาช่องโหว่ในระหว่างการพัฒนาโปรแกรมและแก้ไข ทบทวนชุดคำสั่ง (Source code review)

8. สามารถวางแผนสถาปัตยกรรมของระบบให้สอดคล้องกับความต้องการของผู้ใช้

9. สามารถออกแบบความมั่นคงปลอดภัยของระบบให้สอดคล้องกับความต้องการ

(ข) ความต้องการด้านความรู้

1. ความรู้เกี่ยวกับการจัดการทรัพยากร รวมทั้งความต้องการทรัพยากรของระบบ

2. ความรู้เกี่ยวกับการจัดการความเสี่ยง

3. ความรู้เกี่ยวกับ Supply Chain

4. ความรู้เกี่ยวกับกฎหมายที่เกี่ยวข้องกับ Supply Chain

5. ความรู้เกี่ยวกับการพัฒนาระบบสารสนเทศ

6. ความรู้เกี่ยวกับระบบปฏิบัติการและระบบเครือข่าย

7. ความรู้เกี่ยวกับการตั้งค่าระบบอย่างมั่นคงปลอดภัย

8. ความรู้เกี่ยวกับวิศวกรรมซอฟต์แวร์

9. ความรู้เกี่ยวกับสถาปัตยกรรมคอมพิวเตอร์

10. ความรู้เกี่ยวกับสถาปัตยกรรมความมั่นคงปลอดภัยขององค์กร

11. ความรู้เกี่ยวกับระบบฐานข้อมูล

12. ความรู้เกี่ยวกับความมั่นคงปลอดภัยของระบบสารสนเทศ

13. ความรู้เกี่ยวกับการตรวจสอบความมั่นคงปลอดภัยของระบบสารสนเทศ

14. ความรู้เกี่ยวกับ Access Control Model ต่าง ๆ

14. หลักฐานที่ต้องการ (Evidence Guide)

หลักฐานที่ต้องการจะกำหนดข้อแนะนำเกี่ยวกับการประเมินและควรที่จะใช้ประกอบร่วมกันกับเกณฑ์การปฏิบัติงาน (Performance Criteria) และ ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) หลักฐานการปฏิบัติงาน (Performance Evidence)

1. เอกสารหลักฐานที่จำเป็นในการปฏิบัติงาน

2. ข้อมูลจากแฟ้มสะสมงาน

(ข) หลักฐานความรู้ (Knowledge Evidence)

1. ผลการทดสอบความรู้

2. ผลการสัมภาษณ์

(ค) คำแนะนำในการประเมิน

ผู้เข้ารับการประเมินต้องผ่านการประเมิน ที่ครอบคลุมในทุกสมรรถนะประเมินย่อย ขอบเขต ความรู้และทักษะที่กำหนด ในกรณีที่ผู้รับการประเมินผ่านไม่ครบตามเกณฑ์ที่กำหนด ผู้ประเมินจะต้องแจ้งหน่วยสมรรถนะที่ไม่ผ่าน และให้ผู้รับการประเมินไปทบทวนสมรรถนะที่ยังไม่ผ่านและสามารถกลับมาทดสอบสมรรถนะใหม่อีกครั้ง

(ง) วิธีการประเมิน

1. ทดสอบโดยใช้แบบสัมภาษณ์

2. พิจารณาจากแฟ้มสะสมผลงานได้แก่ ใบผ่านงาน ประกาศนียบัตร ใบวุฒิบัตร ภาพถ่ายผลงาน และเอกสารต่าง ๆ ที่แสดงถึงประสบการณ์

15. ขอบเขต (Range Statement)

(ก) คำแนะนำ

ในการปฏิบัติงานให้คำนึงถึงการจัดหาระบบที่มีความมั่นคงปลอดภัย วิศวกรรมซอฟต์แวร์ด้านความมั่นคงปลอดภัย สถาปัตยกรรมด้านความมั่นคงปลอดภัยของระบบ

(ข) คำอธิบายรายละเอียด

1. การจัดหาระบบที่มีความมั่นคงปลอดภัย การจัดทำนโยบายทางด้าน supply chain security และนโยบายด้านการจัดการความเสี่ยง ควรต้องได้รับการอนุมัติจากผู้บริหารระดับสูง มีการประกาศใช้อย่างเป็นทางการ และสื่อสารไปยังผู้ที่เกี่ยวข้องให้รับทราบโดยทั่วกัน การประเมินประสิทธิผลของงานจัดซื้อในส่วนที่เกี่ยวข้องกับความต้องการด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศและการประเมินความเสี่ยงของ supply chain ให้มีการดำเนินการอย่างต่อเนื่องตามวงรอบ มีการกำหนดตัวชี้วัดที่แน่นอน การตรวจสอบเพื่อให้มั่นใจว่ากระบวนการจัดซื้อทั้งหมดสอดคล้องกับความต้องการทางด้านความมั่นคงปลอดภัยระบบสารสนเทศและเป้าหมายขององค์กร ควรดำเนินการโดยผู้ที่ไม่มีส่วนได้ส่วนเสียกับการจัดซื้อ และมีการตรวจสอบอย่างสม่ำเสมอ

2. วิศวกรรมซอฟต์แวร์ด้านความมั่นคงปลอดภัย การวิเคราะห์ความต้องการของผู้ใช้และความต้องการของซอฟต์แวร์ ให้พิจารณาดำเนินการวิเคราะห์ทั้งความต้องการของผู้ใช้ และความต้องการของซอฟต์แวร์ ในด้านต่าง ๆ ให้รอบด้าน โดยใช้เครื่องมือในการเก็บข้อมูลที่เหมาะสม การแปลงความต้องการทางด้านความมั่นคงปลอดภัยเป็นข้อกำหนดในการออกแบบระบบ ให้เลือกเครื่องมือหรือรูปแบบการแปลงที่เหมาะสม การพัฒนาซอฟต์แวร์อย่างมั่นคงปลอดภัย ให้พิจารณาแนวทางการนำเอาแนวคิดทางด้านความมั่นคงปลอดภัยมาพิจารณาในทุกเฟสของการพัฒนาซอฟต์แวร์ การตรวจหาช่องโหว่ในระหว่างการพัฒนาโปรแกรมและแก้ไข ทบทวนชุดคำสั่ง (Source code review) อาจมีการพิจารณาดำเนินการทั้งในช่วงของการพัฒนาซอฟต์แวร์ และการทดสอบตั้งแต่ Unit Testing ไปจนถึง User Acceptance Testing

3. สถาปัตยกรรมด้านความมั่นคงปลอดภัยของระบบ การวางแผนสถาปัตยกรรมของระบบให้สอดคล้องกับความต้องการของผู้ใช้ ควรมีการศึกษาสถาปัตยกรรมของระบบ รวมทั้งประเด็นทางด้านความมั่นคงปลอดภัยระบบสารสนเทศแบบต่าง ๆ ที่ได้มีการประยุกต์ใช้ เพื่อเลือกแนวทางที่เหมาะสมกับองค์กร การออกแบบความมั่นคงปลอดภัยของระบบให้สอดคล้องกับความต้องการ เป็นขั้นตอนที่มีความสำคัญ หลังจากที่ได้มีการเก็บข้อมูล และวางแผนสถาปัตยกรรมทางด้านความมั่นคงปลอดภัยของระบบแล้ว จึงดำเนินการออกแบบ เพื่อประยุกต์สถาปัตยกรรมทางด้านความมั่นคงปลอดภัยระบบสารสนเทศที่เหมาะสมสำหรับองค์กร หลังจากนั้นจึงดำเนินการตามสถาปัตยกรรมทางด้านความมั่นคงปลอดภัยระบบสารสนเทศที่ได้เลือกใช้ และมีการติดตาม ทบทวนผลของการดำเนินการตามสถาปัตยกรรมทางด้านความมั่นคงปลอดภัยระบบ

16. หน่วยสมรรถนะร่วม (ถ้ามี)
	ไม่มี

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
	ไม่มี

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

วิธีการประเมินสามารถจำแนกได้ตามสมรรถนะย่อย ดังนี้

1. สมรรถนะย่อย 41201.01 จัดหาระบบที่มีความมั่นคงปลอดภัยให้ทำการทดสอบโดยใช้แบบสัมภาษณ์และพิจารณาจากแฟ้มสะสมผลงานได้แก่ ใบผ่านงาน ประกาศนียบัตร ใบวุฒิบัตร ภาพถ่ายผลงาน และเอกสารต่าง ๆ ที่แสดงถึงประสบการณ์

2. สมรรถนะย่อย 41201.02 วิศวกรรมซอฟต์แวร์ด้านความมั่นคงปลอดภัยให้ทำการทดสอบโดยใช้แบบสัมภาษณ์และพิจารณาจากแฟ้มสะสมผลงานได้แก่ ใบผ่านงาน ประกาศนียบัตร ใบวุฒิบัตร ภาพถ่ายผลงาน และเอกสารต่าง ๆ ที่แสดงถึงประสบการณ์

3. สมรรถนะย่อย 41201.03 สถาปัตยกรรมด้านความมั่นคงปลอดภัยของระบบ ให้ทำการทดสอบโดยใช้แบบสัมภาษณ์และพิจารณาจากแฟ้มสะสมผลงานได้แก่ ใบผ่านงาน ประกาศนียบัตร ใบวุฒิบัตร ภาพถ่ายผลงาน และเอกสารต่าง ๆ ที่แสดงถึงประสบการณ์

หน่วยสมรรถนะ

วิศวกรรมซอฟต์แวร์ด้านความมั่นคงปลอดภัยและสถาปัตยกรรมด้านความมั่นคงปลอดภัยของระบบ

กลับ

ยินดีต้อนรับ