หน่วยสมรรถนะ

หน่วยสมรรถนะ

ออกแบบความปลอดภัยในการใช้ข้อมูล

สาขาวิชาชีพอุตสาหกรรมดิจิทัล


รายละเอียดหน่วยสมรรถนะ


1. รหัสหน่วยสมรรถนะ ICT-DTS-4-049ZB

2. ชื่อหน่วยสมรรถนะ ออกแบบความปลอดภัยในการใช้ข้อมูล

3. ทบทวนครั้งที่ - / -

4. สร้างใหม่ ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)

107%;font-family:"TH SarabunPSK",sans-serif;mso-fareast-font-family:"Times New Roman";
mso-ansi-language:EN-US;mso-fareast-language:EN-US;mso-bidi-language:TH" lang="TH">นักวิเคราะห์ข้อมูล
(
mso-fareast-font-family:"Times New Roman";mso-ansi-language:EN-US;mso-fareast-language:
EN-US;mso-bidi-language:TH">Data Analyst) และผู้ปฏิบัติงานด้านวิศวกรรมข้อมูล



6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)

    ผู้ที่ผ่านสมรรถนะนี้จะมีความรู้เกี่ยวกับความปลอดภัยของข้อมูล การออกแบบความปลอดภัย และข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล สามารถออกแบบระบบรักษาความปลอดภัย จัดทำโครงร่างของความปลอดภัยในการใช้ข้อมูล กำหนดเทคโนโลยีสารสนเทศที่จะนำมาสนับสนุนความปลอดภัยในการใช้ข้อมูล และกำหนดข้อกำหนดด้านความปลอดภัยที่เหมาะสมในการใช้ข้อมูล 


7. สำหรับระดับคุณวุฒิ
1 2 3 4 5 6 7 8

8. กลุ่มอาชีพ (Sector)

สาขาวิชาชีพอุตสาหกรรมดิจิทัล สาขาวิทยาศาสตร์ข้อมูล (Data Science)


9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)

N/A


10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)

N/A


11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)
หน่วยสมรรถนะย่อย (EOC) เกณฑ์ในการปฏิบัติงาน (Performance Criteria) รหัส PC
70206.01 ประเมินความเสี่ยงในเชิงข้อมูล (Risk Data Assessment) 1. รวบรวมความเสี่ยงในเชิงข้อมูลได้ 70206.01.03
70206.01 ประเมินความเสี่ยงในเชิงข้อมูล (Risk Data Assessment) 2. วิเคราะห์ความเสี่ยงในเชิงข้อมูลได้ 70206.01.05
70206.01 ประเมินความเสี่ยงในเชิงข้อมูล (Risk Data Assessment) 3. สรุปผลการประเมินความเสี่ยงในเชิงข้อมูลได้ ทั้งความเสี่ยงที่สามารถรับได้และรับไม่ได้ 70206.01.07
70206.01 ประเมินความเสี่ยงในเชิงข้อมูล (Risk Data Assessment) 4. นำเสนอกระบวนการและเทคโนโลยีที่นำมาใช้เพื่อลดความเสี่ยงในเชิงข้อมูลได้ 70206.01.08
70206.02 จัดทำโครงร่างการและปรับใช้ความปลอดภัยในการใช้ข้อมูล 1. ระบุปัจจัยและรายละเอียดความเสี่ยงในการใช้ข้อมูลได้ 70206.02.02
70206.02 จัดทำโครงร่างการและปรับใช้ความปลอดภัยในการใช้ข้อมูล 2. ระบุแนวทางในการลดความเสี่ยงในการใช้ข้อมูลได้ 70206.02.03
70206.02 จัดทำโครงร่างการและปรับใช้ความปลอดภัยในการใช้ข้อมูล 3. ระบุเทคโนโลยีที่ใช้ลดความเสี่ยงในการใช้ข้อมูลได้ 70206.02.04
70206.02 จัดทำโครงร่างการและปรับใช้ความปลอดภัยในการใช้ข้อมูล 4. ระบุข้อกำหนดด้านความปลอดภัยที่จำเป็นในการใช้ข้อมูลได้ 70206.02.06

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)

N/A


13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1. ทักษะในการออกแบบความปลอดภัยในการใช้ข้อมูล

2. ทักษะในการเทคโนโลยีสารสนเทศที่ใช้ในการดำเนินการความปลอดภัย

3. ทักษะในการวิเคราะห์ความปลอดภัยในการใช้ข้อมูล

4. ทักษะในการวิเคราะห์ข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล


(ข) ความต้องการด้านความรู้

1. ความรู้เกี่ยวกับความปลอดภัยของฐานข้อมูล (Database Security)

2. ความรู้เกี่ยวกับการควบคุมความปลอดภัยฐานข้อมูล

3. ความรู้เกี่ยวกับการสร้างระบบรักษาความปลอดภัยของฐานข้อมูล

4. ความรู้เกี่ยวกับเทคโนโลยีสารสนเทศที่ใช้ในการดำเนินการความปลอดภัย

5. ความรู้เกี่ยวกับข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล



14. หลักฐานที่ต้องการ (Evidence Guide)

(ก) หลักฐานการปฏิบัติงาน (Performance Evidence)

    1. ใบรับรองการปฏิบัติงานจากสถานประกอบการ

(ข) หลักฐานความรู้ (Knowledge Evidence)

    1. ใบรับรองการเข้ารับการฝึกอบรม

    2. ใบประกาศนียบัตรวุฒิการศึกษา

 (ค) คำแนะนำในการประเมิน

    1. ผู้ประเมินตรวจประเมินเกี่ยวกับการออกแบบความปลอดภัยในการใช้ข้อมูล โดยพิจารณาจากร่องรอยหลักฐานที่เกี่ยวข้องทั้งหลักฐานการปฏิบัติงาน และหลักฐานความรู้

(ง) วิธีการประเมิน

    1. พิจารณาตามหลักฐานการปฏิบัติงาน

    2. พิจารณาตามหลักฐานความรู้



15. ขอบเขต (Range Statement)

(ก) คำแนะนำ

    หน่วยสมรรถนะนี้เป็นการทดสอบ ประเมินการกำหนดวัตถุประสงค์ทางธุรกิจ โดยในการประเมินต้องคำนึงถึงข้อปฏิบัติดังต่อไปนี้

    1)  ผู้เข้ารับการประเมินสามารถแสดงความรู้ และความสามารถในการจัดทำโครงร่างความปลอดภัยในการใช้ข้อมูล การกำหนดเทคโนโลยีที่นำมาใช้ และการกำหนดข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล

(ข) คำอธิบายรายละเอียด

    ความปลอดภัยในการใช้ข้อมูล ข้อมูลหรือสารสนเทศเป็นทรัพยากรที่มีค่าขององค์กรการป้องกันที่แน่นหนาก็มีความจำเป็นสำหรับข้อมูลที่เป็นความลับซึ่งต้องอาศัยนโยบายความปลอดภัย และกลไกป้องกันที่ดีควบคู่กันโดยแนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วย

    1.ความลับ Confidentiality 

เป็นการรับประกันว่าผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้ โดยองค์กรต้องมีมาตรการป้องกันการเข้าถึงสารสนเทศที่เป็นความลับ เช่น 

   1) การจัดประเภทของสารสนเทศ 

   2) การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล 

   3) กำหนดนโยบายรักษาความมั่นคงปลอดภัยและนำไปใช้  

   4) ให้การศึกษาแก่ทีมงานความมั่นคงปลอดภัยและผู้ใช้

ภัยคุกคามที่เพิ่มมากขึ้นในปัจจุบันมี สาเหตุมาจากความก้าวหน้าทางเทคโนโลยีประกอบกับความต้องการความสะดวกสบายในการสั่งซื่อสินค้าของลูกค้า โดยการยอมให้สารสนเทศส่วนบุคคลแก่ website เพื่อสิทธิ์ในการทำธุรกรรมต่าง ๆ โดยลืมคำนึงว่าเว็บไซต์ เป็นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยาก 

   2.ความสมบูรณ์ Integrity 

      ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม สารสนเทศที่มีความสมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้อย่างถูกต้องครบถ้วน สารสนเทศจะขาดความสมบูรณ์ก็ต่อเมื่อสารสนเทศนั้นถูกนำไปเปลี่ยนแปลงปลอมปนด้วยสารสนเทศอื่น ถูกทำให้เสียหาย ถูกทำลาย หรือถูกกระทำในรูปแบบอื่นๆ เพื่อขัดขวางการพิสูจน์การเป็นสารสนเทศจริง ภัยคุกคามสำคัญที่มีต่อความสมบูรณ์ของสารสนเทศ คือ ไวรัส และ เวิร์ม เนื่องจากถูกพัฒนานำมาเพื่อปลอมปนข้อมูลที่กาลังเคลื่อนย้ายไปมาในเครือข่าย

     3.ความพร้อมใช้ Availability 

ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งาน ได้อย่างราบรื่นโดยผู้ใช้ หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น หากเป็นผู้ใช้หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลว

     4.ความถูกต้องแม่นยำ Accuracy 

ความถูกต้องแม่นยำ คือ สารสนเทศต้องไม่มีความผิดพลาดและต้องมีค่าตรงกับความคาดหวังของผู้ใช้เสมอ เมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของผู้ใช้ไม่ว่าจะเกิดจากการแก้ไขด้วยความตั้งใจหรือไม่ก็ตามเมื่อ นั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้องแม่นยำ”

     5.เป็นของแท้ Authenticity

เป็นของแท้ หมายถึง สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่คุ้นเคยเคยและไม่เคยทราบมาก่อน

     6.ความเป็นส่วนตัว Privacy

ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวมเรียกใช้ และจัดเก็บโดยองค์กรจะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเจ้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น องค์ประกอบของระบบสารสนเทศกับความมั่นคงปลอดภัย 

      1. Software ย่อมต้องอยู่ภายใต้เงื่อนไขของการบริหารโครงการ ภายใต้เวลาต้นทุน และกำลังคนที่จำกัดซึ่งมักจะทำภายหลังจากการพัฒนาซอฟต์แวร์เสร็จแล้ว 

      2. Hardware จะใช้นโยบายเดียวกับสินทรัพย์ที่จับต้องได้ขององค์กร คือการป้องกันจากการลักขโมยหรือภัยอันตรายต่าง ๆ รวมถึงการจัดสถานที่ ที่ปลอดภัยให้กับอุปกรณ์ หรือฮาร์ดแวร์

      3. Data ข้อมูลหรือสารสนเทศเป็นทรัพยากรที่มีค่าขององค์กรการ ป้องกันที่แน่นหนาก็ มีความจำเป็นสำหรับข้อมูลที่เป็นความลับซึ่งต้องอาศัยนโยบายความปลอดภัย และกลไกป้องกันที่ดีควบคู่กัน 

     4. People บุคลากร คือภัยคุกคามต่อสารสนเทศที่ถูกมองข้ามมากที่สุด โดยเฉพาะบุคลากรที่ไม่มีจรรยาบรรณในอาชีพ ก็ถือเป็นจุดอ่อนต่อการโจมตีได้ จึงได้มีการศึกษาอย่างจริงจัง เรียกว่า Social Engineering ซึ่งเป็นการป้องการการหลอกลวงบุคลากร เพื่อเปิดเผยข้อมูลบางอย่างและเข้าสู่ระบบได้ 

     5. Procedure ขั้นตอนการทำงานเป็นอีกหนึ่งองค์ประกอบที่ถูกมองข้าม หากมิจฉาชีพทราบขั้นตอนการทำงาน ก็จะสามารถค้นหาจุดอ่อนเพื่อกระทำการอันก่อให้เกิดความเสียหายต่อองค์กรและลูกค้าขององค์กรได้

     6. Network เครือข่ายคอมพิวเตอร์ การเชื่อมต่อระหว่างคอมพิวเตอร์ และระหว่างเครือข่ายคอมพิวเตอร์ ทำให้ เกิดอาชญากรรมและภัยคุกคามจากคอมพิวเตอร์ โดยเฉพาะการเชื่อมต่อระบบสารสนเทศเข้ากับเครือข่ายอินเทอร์เน็ต

 อุปสรรคของงานความมันคงปลอดภัยของสารสนเทศ

    - ความมั่นคงปลอดภัย คือ ความไม่สะดวก เนื่องจากต้องเสียเวลาในการ ป้อน password และกระบวนการอื่นๆในการพิสูจน์ยืนยันตัวตนของผู้ใช้

    - มีความซับซ้อนบางอย่างในคอมพิวเตอร์ ที่ผู้ใช้ทั่วไปไม่ทราบ เช่น Registry , Port, Service โดยที่ข้อมูลเหล่านี้จะทราบเฉพาะในผู้ปฏิบัติ Programmer หรือผู้ดูแลระบบ

    - ผู้ใช้ข้อมูลไม่ระแวดระวังในการใช้งานข้อมูล

    - การพัฒนาซอฟต์แวร์ไม่คำนึงถึงความปลอดภัยที่อาจจะเกิดขึ้นภายหลัง

    - แนวโน้มเทคโนโลยีสารสนเทศคือการแบ่งปัน ไม่ใช่การป้องกัน

    - มีการเข้าถึงข้อมูลได้จากทุกสถานที่

    - ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟแวร์และฮาร์ดแวร์เพียงอย่างเดียว 

    - มิจฉาชีพมีความเชี่ยวชาญในการเจาะข้อมูลของผู้อื่นมากเป็นพิเศษ

    - ฝ่ายบริหารมักจะไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย

การพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วย

    - การสำรวจ Investigation 

    - การวิเคราะห์ Analysis

    - การออกแบบระดับตรรกะ Logical Design 

    - การออกแบบและพัฒนากายภาพ Physical Design

    - การพัฒนา Implementation 

    - การบำรุงรักษาและเปลี่ยนแปลง Maintenance and Change



16. หน่วยสมรรถนะร่วม (ถ้ามี)

N/A


17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)

N/A


18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

1.เครื่องมือประเมินการประเมินความเสี่ยงในเชิงข้อมูล (Risk Data Assessment) ตามข้อกำหนดมาตรฐาน

   1. แบบฟอร์มประเมินผลการสัมภาษณ์

   2. ผลข้อสอบข้อเขียน

      ดูรายละเอียดจากคู่มือประเมิน

2 เครื่องมือประเมินการจัดทำโครงร่างการและปรับใช้ความปลอดภัยในการใช้ข้อมูลตามข้อกำหนดมาตรฐาน

   1. แบบฟอร์มประเมินผลการสัมภาษณ์

   2. ผลข้อสอบข้อเขียน

      ดูรายละเอียดจากคู่มือประเมิน




ยินดีต้อนรับ