หน่วยสมรรถนะ
ออกแบบความปลอดภัยในการใช้ข้อมูล
สาขาวิชาชีพอุตสาหกรรมดิจิทัล
รายละเอียดหน่วยสมรรถนะ
1. รหัสหน่วยสมรรถนะ | ICT-PCZG-247B |
2. ชื่อหน่วยสมรรถนะ | ออกแบบความปลอดภัยในการใช้ข้อมูล |
3. ทบทวนครั้งที่ | - / - |
4. สร้างใหม่ |
![]() |
ปรับปรุง |
![]() |
5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification) | |
107%;font-family:"TH SarabunPSK",sans-serif;mso-fareast-font-family:"Times New Roman"; |
6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency) | |
ผู้ที่ผ่านสมรรถนะนี้จะมีความรู้เกี่ยวกับความปลอดภัยของข้อมูล การออกแบบความปลอดภัย และข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล สามารถออกแบบระบบรักษาความปลอดภัย จัดทำโครงร่างของความปลอดภัยในการใช้ข้อมูล กำหนดเทคโนโลยีสารสนเทศที่จะนำมาสนับสนุนความปลอดภัยในการใช้ข้อมูล และกำหนดข้อกำหนดด้านความปลอดภัยที่เหมาะสมในการใช้ข้อมูล |
7. สำหรับระดับคุณวุฒิ |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
---|---|---|---|---|---|---|---|
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
8. กลุ่มอาชีพ (Sector) | |
สาขาวิชาชีพอุตสาหกรรมดิจิทัล สาขาวิทยาศาสตร์ข้อมูล (Data Science) |
9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี) | |
N/A |
10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี) | |
N/A |
11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria) |
หน่วยสมรรถนะย่อย (EOC) | เกณฑ์ในการปฏิบัติงาน (Performance Criteria) | รหัส PC (ตามเล่มมาตรฐาน) |
รหัส PC (จากระบบ) |
---|---|---|---|
70206.01 ประเมินความเสี่ยงในเชิงข้อมูล (Risk Data Assessment) | 1. รวบรวมความเสี่ยงในเชิงข้อมูลได้ | 70206.01.03 | 120853 |
70206.01 ประเมินความเสี่ยงในเชิงข้อมูล (Risk Data Assessment) | 2. วิเคราะห์ความเสี่ยงในเชิงข้อมูลได้ | 70206.01.05 | 120854 |
70206.01 ประเมินความเสี่ยงในเชิงข้อมูล (Risk Data Assessment) | 3. สรุปผลการประเมินความเสี่ยงในเชิงข้อมูลได้ ทั้งความเสี่ยงที่สามารถรับได้และรับไม่ได้ | 70206.01.07 | 120855 |
70206.01 ประเมินความเสี่ยงในเชิงข้อมูล (Risk Data Assessment) | 4. นำเสนอกระบวนการและเทคโนโลยีที่นำมาใช้เพื่อลดความเสี่ยงในเชิงข้อมูลได้ | 70206.01.08 | 120856 |
70206.02 จัดทำโครงร่างการและปรับใช้ความปลอดภัยในการใช้ข้อมูล | 1. ระบุปัจจัยและรายละเอียดความเสี่ยงในการใช้ข้อมูลได้ | 70206.02.02 | 120857 |
70206.02 จัดทำโครงร่างการและปรับใช้ความปลอดภัยในการใช้ข้อมูล | 2. ระบุแนวทางในการลดความเสี่ยงในการใช้ข้อมูลได้ | 70206.02.03 | 120858 |
70206.02 จัดทำโครงร่างการและปรับใช้ความปลอดภัยในการใช้ข้อมูล | 3. ระบุเทคโนโลยีที่ใช้ลดความเสี่ยงในการใช้ข้อมูลได้ | 70206.02.04 | 120859 |
70206.02 จัดทำโครงร่างการและปรับใช้ความปลอดภัยในการใช้ข้อมูล | 4. ระบุข้อกำหนดด้านความปลอดภัยที่จำเป็นในการใช้ข้อมูลได้ | 70206.02.06 | 120860 |
12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge) | |
N/A |
13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge) | |
(ก) ความต้องการด้านทักษะ 1. ทักษะในการออกแบบความปลอดภัยในการใช้ข้อมูล 2. ทักษะในการเทคโนโลยีสารสนเทศที่ใช้ในการดำเนินการความปลอดภัย 3. ทักษะในการวิเคราะห์ความปลอดภัยในการใช้ข้อมูล 4. ทักษะในการวิเคราะห์ข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล (ข) ความต้องการด้านความรู้ 1. ความรู้เกี่ยวกับความปลอดภัยของฐานข้อมูล (Database Security) 2. ความรู้เกี่ยวกับการควบคุมความปลอดภัยฐานข้อมูล 3. ความรู้เกี่ยวกับการสร้างระบบรักษาความปลอดภัยของฐานข้อมูล 4. ความรู้เกี่ยวกับเทคโนโลยีสารสนเทศที่ใช้ในการดำเนินการความปลอดภัย 5. ความรู้เกี่ยวกับข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล |
14. หลักฐานที่ต้องการ (Evidence Guide) | |
(ก) หลักฐานการปฏิบัติงาน (Performance Evidence) 1. ใบรับรองการปฏิบัติงานจากสถานประกอบการ (ข) หลักฐานความรู้ (Knowledge Evidence) 1. ใบรับรองการเข้ารับการฝึกอบรม 2. ใบประกาศนียบัตรวุฒิการศึกษา (ค) คำแนะนำในการประเมิน 1. ผู้ประเมินตรวจประเมินเกี่ยวกับการออกแบบความปลอดภัยในการใช้ข้อมูล โดยพิจารณาจากร่องรอยหลักฐานที่เกี่ยวข้องทั้งหลักฐานการปฏิบัติงาน และหลักฐานความรู้ (ง) วิธีการประเมิน 1. พิจารณาตามหลักฐานการปฏิบัติงาน 2. พิจารณาตามหลักฐานความรู้ |
15. ขอบเขต (Range Statement) | |
(ก) คำแนะนำ หน่วยสมรรถนะนี้เป็นการทดสอบ ประเมินการกำหนดวัตถุประสงค์ทางธุรกิจ โดยในการประเมินต้องคำนึงถึงข้อปฏิบัติดังต่อไปนี้ 1) ผู้เข้ารับการประเมินสามารถแสดงความรู้ และความสามารถในการจัดทำโครงร่างความปลอดภัยในการใช้ข้อมูล การกำหนดเทคโนโลยีที่นำมาใช้ และการกำหนดข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล (ข) คำอธิบายรายละเอียด ความปลอดภัยในการใช้ข้อมูล ข้อมูลหรือสารสนเทศเป็นทรัพยากรที่มีค่าขององค์กรการป้องกันที่แน่นหนาก็มีความจำเป็นสำหรับข้อมูลที่เป็นความลับซึ่งต้องอาศัยนโยบายความปลอดภัย และกลไกป้องกันที่ดีควบคู่กันโดยแนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วย 1.ความลับ Confidentiality เป็นการรับประกันว่าผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้ โดยองค์กรต้องมีมาตรการป้องกันการเข้าถึงสารสนเทศที่เป็นความลับ เช่น 1) การจัดประเภทของสารสนเทศ 2) การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล 3) กำหนดนโยบายรักษาความมั่นคงปลอดภัยและนำไปใช้ 4) ให้การศึกษาแก่ทีมงานความมั่นคงปลอดภัยและผู้ใช้ ภัยคุกคามที่เพิ่มมากขึ้นในปัจจุบันมี สาเหตุมาจากความก้าวหน้าทางเทคโนโลยีประกอบกับความต้องการความสะดวกสบายในการสั่งซื่อสินค้าของลูกค้า โดยการยอมให้สารสนเทศส่วนบุคคลแก่ website เพื่อสิทธิ์ในการทำธุรกรรมต่าง ๆ โดยลืมคำนึงว่าเว็บไซต์ เป็นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยาก 2.ความสมบูรณ์ Integrity ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม สารสนเทศที่มีความสมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้อย่างถูกต้องครบถ้วน สารสนเทศจะขาดความสมบูรณ์ก็ต่อเมื่อสารสนเทศนั้นถูกนำไปเปลี่ยนแปลงปลอมปนด้วยสารสนเทศอื่น ถูกทำให้เสียหาย ถูกทำลาย หรือถูกกระทำในรูปแบบอื่นๆ เพื่อขัดขวางการพิสูจน์การเป็นสารสนเทศจริง ภัยคุกคามสำคัญที่มีต่อความสมบูรณ์ของสารสนเทศ คือ ไวรัส และ เวิร์ม เนื่องจากถูกพัฒนานำมาเพื่อปลอมปนข้อมูลที่กาลังเคลื่อนย้ายไปมาในเครือข่าย 3.ความพร้อมใช้ Availability ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งาน ได้อย่างราบรื่นโดยผู้ใช้ หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น หากเป็นผู้ใช้หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลว 4.ความถูกต้องแม่นยำ Accuracy ความถูกต้องแม่นยำ คือ สารสนเทศต้องไม่มีความผิดพลาดและต้องมีค่าตรงกับความคาดหวังของผู้ใช้เสมอ เมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของผู้ใช้ไม่ว่าจะเกิดจากการแก้ไขด้วยความตั้งใจหรือไม่ก็ตามเมื่อ นั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้องแม่นยำ” 5.เป็นของแท้ Authenticity เป็นของแท้ หมายถึง สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่คุ้นเคยเคยและไม่เคยทราบมาก่อน 6.ความเป็นส่วนตัว Privacy ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวมเรียกใช้ และจัดเก็บโดยองค์กรจะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเจ้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น องค์ประกอบของระบบสารสนเทศกับความมั่นคงปลอดภัย 1. Software ย่อมต้องอยู่ภายใต้เงื่อนไขของการบริหารโครงการ ภายใต้เวลาต้นทุน และกำลังคนที่จำกัดซึ่งมักจะทำภายหลังจากการพัฒนาซอฟต์แวร์เสร็จแล้ว 2. Hardware จะใช้นโยบายเดียวกับสินทรัพย์ที่จับต้องได้ขององค์กร คือการป้องกันจากการลักขโมยหรือภัยอันตรายต่าง ๆ รวมถึงการจัดสถานที่ ที่ปลอดภัยให้กับอุปกรณ์ หรือฮาร์ดแวร์ 3. Data ข้อมูลหรือสารสนเทศเป็นทรัพยากรที่มีค่าขององค์กรการ ป้องกันที่แน่นหนาก็ มีความจำเป็นสำหรับข้อมูลที่เป็นความลับซึ่งต้องอาศัยนโยบายความปลอดภัย และกลไกป้องกันที่ดีควบคู่กัน 4. People บุคลากร คือภัยคุกคามต่อสารสนเทศที่ถูกมองข้ามมากที่สุด โดยเฉพาะบุคลากรที่ไม่มีจรรยาบรรณในอาชีพ ก็ถือเป็นจุดอ่อนต่อการโจมตีได้ จึงได้มีการศึกษาอย่างจริงจัง เรียกว่า Social Engineering ซึ่งเป็นการป้องการการหลอกลวงบุคลากร เพื่อเปิดเผยข้อมูลบางอย่างและเข้าสู่ระบบได้ 5. Procedure ขั้นตอนการทำงานเป็นอีกหนึ่งองค์ประกอบที่ถูกมองข้าม หากมิจฉาชีพทราบขั้นตอนการทำงาน ก็จะสามารถค้นหาจุดอ่อนเพื่อกระทำการอันก่อให้เกิดความเสียหายต่อองค์กรและลูกค้าขององค์กรได้ 6. Network เครือข่ายคอมพิวเตอร์ การเชื่อมต่อระหว่างคอมพิวเตอร์ และระหว่างเครือข่ายคอมพิวเตอร์ ทำให้ เกิดอาชญากรรมและภัยคุกคามจากคอมพิวเตอร์ โดยเฉพาะการเชื่อมต่อระบบสารสนเทศเข้ากับเครือข่ายอินเทอร์เน็ต อุปสรรคของงานความมันคงปลอดภัยของสารสนเทศ - ความมั่นคงปลอดภัย คือ ความไม่สะดวก เนื่องจากต้องเสียเวลาในการ ป้อน password และกระบวนการอื่นๆในการพิสูจน์ยืนยันตัวตนของผู้ใช้ - มีความซับซ้อนบางอย่างในคอมพิวเตอร์ ที่ผู้ใช้ทั่วไปไม่ทราบ เช่น Registry , Port, Service โดยที่ข้อมูลเหล่านี้จะทราบเฉพาะในผู้ปฏิบัติ Programmer หรือผู้ดูแลระบบ - ผู้ใช้ข้อมูลไม่ระแวดระวังในการใช้งานข้อมูล - การพัฒนาซอฟต์แวร์ไม่คำนึงถึงความปลอดภัยที่อาจจะเกิดขึ้นภายหลัง - แนวโน้มเทคโนโลยีสารสนเทศคือการแบ่งปัน ไม่ใช่การป้องกัน - มีการเข้าถึงข้อมูลได้จากทุกสถานที่ - ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟแวร์และฮาร์ดแวร์เพียงอย่างเดียว - มิจฉาชีพมีความเชี่ยวชาญในการเจาะข้อมูลของผู้อื่นมากเป็นพิเศษ - ฝ่ายบริหารมักจะไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย การพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วย - การสำรวจ Investigation - การวิเคราะห์ Analysis - การออกแบบระดับตรรกะ Logical Design - การออกแบบและพัฒนากายภาพ Physical Design - การพัฒนา Implementation - การบำรุงรักษาและเปลี่ยนแปลง Maintenance and Change |
16. หน่วยสมรรถนะร่วม (ถ้ามี) | |
N/A |
17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี) | |
N/A |
18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure) | |
1.เครื่องมือประเมินการประเมินความเสี่ยงในเชิงข้อมูล (Risk Data Assessment) ตามข้อกำหนดมาตรฐาน 1. แบบฟอร์มประเมินผลการสัมภาษณ์ 2. ผลข้อสอบข้อเขียน ดูรายละเอียดจากคู่มือประเมิน 2 เครื่องมือประเมินการจัดทำโครงร่างการและปรับใช้ความปลอดภัยในการใช้ข้อมูลตามข้อกำหนดมาตรฐาน 1. แบบฟอร์มประเมินผลการสัมภาษณ์ 2. ผลข้อสอบข้อเขียน ดูรายละเอียดจากคู่มือประเมิน |