หน่วยสมรรถนะ
ปรับใช้ความปลอดภัยในการใช้ข้อมูล
สาขาวิชาชีพอุตสาหกรรมดิจิทัล
รายละเอียดหน่วยสมรรถนะ
| 1. รหัสหน่วยสมรรถนะ | ICT-LFSL-266B |
| 2. ชื่อหน่วยสมรรถนะ | ปรับใช้ความปลอดภัยในการใช้ข้อมูล |
| 3. ทบทวนครั้งที่ | - / - |
| 4. สร้างใหม่ |
|
ปรับปรุง |
|
| 5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification) | |
|
นักวิเคราะห์ข้อมูล (Data Analyst) นักวิเคราะห์ข้อมูลธุรกิจ (Business Intelligence Analyst) ผู้ปฏิบัติงานด้านวิศวกรรมข้อมูล สถาปนิกสารสนเทศ (Information Architect) และนักวิทยาศาสตร์ข้อมูล (Data Scientist) |
|
| 6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency) | |
| ผู้ที่ผ่านสมรรถนะนี้จะมีความรู้เกี่ยวกับความปลอดภัยของข้อมูล และข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล สามารถปรับใช้ระบบรักษาความปลอดภัยในการใช้ข้อมูลได้ เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล และจัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูลได้ | |
| 7. สำหรับระดับคุณวุฒิ |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
|---|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
|
| 8. กลุ่มอาชีพ (Sector) | |
| สาขาวิชาชีพอุตสาหกรรมดิจิทัล สาขาวิทยาศาสตร์ข้อมูล (Data Science) | |
| 9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี) | |
| N/A | |
| 10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี) | |
| N/A | |
| 11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria) |
| หน่วยสมรรถนะย่อย (EOC) | เกณฑ์ในการปฏิบัติงาน (Performance Criteria) | รหัส PC (ตามเล่มมาตรฐาน) |
รหัส PC (จากระบบ) |
|---|---|---|---|
| 70506.01 ใช้ความปลอดภัยในการใช้ข้อมูล | 1. ปรับใช้โครงร่างความปลอดภัยในการใช้ข้อมูลได้ | 70506.01.05 | 121160 |
| 70506.01 ใช้ความปลอดภัยในการใช้ข้อมูล | 2. ใช้เทคโนโลยีในการดำเนินงานความปลอดภัยในการใช้ข้อมูลได้ | 70506.01.06 | 121161 |
| 70506.01 ใช้ความปลอดภัยในการใช้ข้อมูล | 3. ระบุผู้ที่เกี่ยวข้องในการปรับใช้ข้อมูล ทั้งผู้ใช้ข้อมูล ผู้วิเคราะห์ความเสี่ยง รวมถึงสิทธิในการจัดการและใช้ข้อมูลได้ | 70506.01.07 | 121162 |
| 70506.01 ใช้ความปลอดภัยในการใช้ข้อมูล | 4. ถ่ายทอดความรู้ด้านความปลอดภัยเชิงข้อมูลให้ผู้ใช้งานและผู้ที่เกี่ยวข้องได้ | 70506.01.08 | 121163 |
| 70506.02 เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล | 1. ระบุแนวทางกระบวนการในการเฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูลได้ | 70506.02.05 | 121169 |
| 70506.02 เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล | 2. ระบุผลการตรวจสอบความปลอดภัยในการใช้ข้อมูลได้ | 70506.02.06 | 121170 |
| 70506.02 เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล | 3.สรุปผลการตรวจสอบความปลอดภัยในการใช้ข้อมูลได้ | 70506.02.07 | 121171 |
| 70506.02 เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล | 4. นำเสนอแนวทางในการลดความเสี่ยงในการใช้ข้อมูลได้ | 70506.02.08 | 121172 |
| 70506.03 จัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูล | 1. ระบุความเสี่ยงด้านความปลอดภัยที่เกิดขึ้นจากความเปลี่ยนแปลงได้ | 70506.03.04 | 121178 |
| 70506.03 จัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูล | 2. วิเคราะห์ความเสี่ยงด้านความปลอดภัยที่เกิดขึ้นจากความเปลี่ยนแปลงได้ | 70506.03.05 | 121179 |
| 70506.03 จัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูล | 3.นำเสนอแนวทางในการจัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูลได้ | 70506.03.06 | 121180 |
| 12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge) | |
|
N/A |
|
| 13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge) | |
|
(ก) ความต้องการด้านทักษะ 1. ทักษะในการปรับใช้ความปลอดภัยในการใช้ข้อมูล 2. ทักษะในการเทคโนโลยีสารสนเทศที่ใช้ในการดำเนินการความปลอดภัย 3. ทักษะในการวิเคราะห์ความปลอดภัยในการใช้ข้อมูล 4. ทักษะในการวิเคราะห์ข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล (ข) ความต้องการด้านความรู้ 1. ความรู้เกี่ยวกับความปลอดภัยของฐานข้อมูล (Database Security) 2. ความรู้เกี่ยวกับการควบคุมความปลอดภัยฐานข้อมูล 3. ความรู้เกี่ยวกับการสร้างระบบรักษาความปลอดภัยของฐานข้อมูล 4. ความรู้เกี่ยวกับเทคโนโลยีสารสนเทศที่ใช้ในการดำเนินการความปลอดภัย 5. ความรู้เกี่ยวกับข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล |
|
| 14. หลักฐานที่ต้องการ (Evidence Guide) | |
|
(ก) หลักฐานการปฏิบัติงาน (Performance Evidence) 1. ใบรับรองการปฏิบัติงานจากสถานประกอบการ (ข) หลักฐานความรู้ (Knowledge Evidence) 1. ใบรับรองการเข้ารับการฝึกอบรม 2. ใบประกาศนียบัตรวุฒิการศึกษา (ค) คำแนะนำในการประเมิน 1. ผู้ประเมินตรวจประเมินเกี่ยวกับการปรับใช้ความปลอดภัยในการใช้ข้อมูล โดยพิจารณาจากร่องรอยหลักฐานที่เกี่ยวข้องทั้งหลักฐานการปฏิบัติงาน และหลักฐานความรู้ (ง) วิธีการประเมิน 1. พิจารณาตามหลักฐานการปฏิบัติงาน 2. พิจารณาตามหลักฐานความรู้ |
|
| 15. ขอบเขต (Range Statement) | |
|
(ก) คำแนะนำ หน่วยสมรรถนะนี้เป็นการทดสอบ ประเมินการกำหนดวัตถุประสงค์ทางธุรกิจ โดยในการประเมินต้องคำนึงถึงข้อปฏิบัติดังต่อไปนี้ 1) ผู้เข้ารับการประเมินสามารถแสดงความรู้ และความสามารถในการจัดทำโครงร่างความปลอดภัยในการใช้ข้อมูล การกำหนดเทคโนโลยีที่นำมาใช้ และการกำหนดข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล (ข) คำอธิบายรายละเอียด ความปลอดภัยในการใช้ข้อมูล ข้อมูล หรือสารสนเทศเป็นทรัพยากรที่มีค่าขององค์กรการ ป้องกันที่แน่นหนาก็ มี ความจำ เป็นสำหรับข้อมูลที่เป็นความลับซึ่งต้องอาศัยนโยบายความปลอดภัย และกลไกป้องกันที่ดี ควบคู่กัน โดยแนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วย 1.ความลับ Confidentiality เป็นการรับประกันว่าผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้ โดยองค์กรต้องมีมาตรการป้องกันการเข้าถึงสารสนเทศที่เป็นความลับ เช่น 1) การจัดประเภทของสารสนเทศ 2) การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล 3) กำหนดนโยบายรักษาความมั่นคงปลอดภัยและนำไปใช้ 4) ให้การศึกษาแก่ทีมงานความมั่นคงปลอดภัยและผู้ใช้ ภัยคุกคามที่เพิ่มมากขึ้นในปัจจุบันมี สาเหตุมาจากความก้าวหน้า ทางเทคโนโลยีประกอบกับ ความต้องการความสะดวกสบายในการสั่งซื่อสินค้าของลูกค้า โดยการยอมให้สารสนเทศส่วนบุคคลแก่ website เพื่อสิทธิ์ สนการทา ธุรกรรมต่าง ๆ โดยลืมไปว่าเว็บไซต์ เป็นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยากนัก 2. ความสมบูรณ์ Integrity ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม สารสนเทศที่มีความสมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้ สารสนเทศจะขาดความสมบูรณ์ก็ต่อเมื่อสารสนเทศนั้นถูกนำไปเปลี่ยนแปลงปลอมปนด้วยสารสนเทศอื่น ถูกทำให้เสียหาย ถูกทำลาย หรือถูกกระทำในรูปแบบอื่นๆ เพื่อขัดขวางการพิสูจน์การเป็นสารสนเทศจริง ภัยคุกคามสำคัญที่มีต่อความสมบูรณ์ของสารสนเทศ คือ ไวรัส และ เวิร์ม เนื่องจากถูกพัฒนานำมาเพื่อปลอมปนข้อมูลที่กาลังเคลื่อนย้ายไปมาในเครือข่าย 3.ความพร้อมใช้ Availability ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งาน ได้อย่างราบรื่นโดยผู้ใช้ หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น หากเป็นผู้ใช้ หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลว 4.ความถูกต้องแม่นยำ Accuracy ความถูกต้องแม่นยำคือ สารสนเทศต้องไม่มีความผิดพลาดและต้องมีค่าตรงกับความคาดหวัง ของผู้ใช้เสมอเมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของ ผู้ใช้ไม่ว่าจะเกิดจากการแก้ไขด้วยความตั้งใจหรือไม่ก็ตามเมื่อ นั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้องแม่นยำ” 5.เป็นของแท้ Authenticity เป็นของแท้ หมายถึง สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่คุ้นเคยเคยและไม่เคยทราบมาก่อน 6.ความเป็นส่วนตัว Privacy ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวมเรียกใช้ และจัดเก็บโดยองค์กรจะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเจ้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น องค์ประกอบของระบบสารสนเทศกับความมั่นคงปลอดภัย 1. Software ย่อมต้องอยู่ภายใต้เงื่อนไขของการบริหารโครงการ ภายใต้เวลาต้นทุน และกำลังคนที่จำกัดซึ่งมักจะทำภายหลังจากการพัฒนาซอฟต์แวร์เสร็จแล้ว 2. Hardware จะใช้นโยบายเดียวกับสินทรัพย์ที่จับต้องได้ขององค์กร คือการป้องกันจากการลักขโมยหรือภัยอันตรายต่าง ๆ รวมถึงการจัดสถานที่ ที่ปลอดภัยให้กับอุปกรณ์ หรือฮาร์ดแวร์ 3. Data ข้อมูลหรือสารสนเทศเป็นทรัพยากรที่มีค่าขององค์กรการ ป้องกันที่แน่นหนาก็ มี ความจำ เป็นสำหรับข้อมูลที่เป็นความลับซึ่งต้องอาศัยนโยบายความปลอดภัย และกลไกป้องกัน ที่ดี ควบคู่กัน 4. People บุคลากร คือภัยคุกคามต่อสารสนเทศที่ถูกมองข้ามมาก ที่สุด โดยเฉพาะบุคลากรที่ไม่มีจรรยาบรรณในอาชีพ ก็ เป็น จุดอ่อนต่อการโจมตีได้ จึงได้มีการศึกษาอย่างจริงจัง เรียกว่า Social Engineering ซึ่งเป็นการป้องการการหลอกลวงบุคลากร เพื่อเปิดเผยข้อมูลบางอย่างและเข้าสู่ระบบได้ ้ 5. Procedure ขั้นตอนการทำงานเป็นอีกหนึ่งองค์ประกอบที่ถูกมองข้าม หากมิจฉาชีพทราบขั้นตอนการทำงาน ก็จะสามารถ ค้นหาจุดอ่อนเพื่อกระทำการอันก่อให้เกิดความเสียหายต่อ องค์กรและลูกค้าขององค์กรได้ 6. Network เครือข่ายคอมพิวเตอร์ การเชื่อมต่อระหว่างคอมพิวเตอร์ และระหว่างเครือข่ายคอมพิวเตอร์ ทำให้ เกิดอาชญากรรมและภัยคุกคามจากคอมพิวเตอร์ โดยเฉพาะการเชื่อมต่อระบบสารสนเทศเข้ากับเครือข่ายอินเทอร์เน็ต อุปสรรคของงานความมันคงปลอดภัยของสารสนเทศ - ความมั่นคงปลอดภัย คือ ความไม่สะดวก เนื่องจากต้องเสียเวลาในการ ป้อน password และกระบวนการอื่นๆในการพิสูจน์ยืนยันตัวตนของผู้ใช้ - มีความซับซ้อนบางอย่างในคอมพิวเตอร์ ที่ผู้ใช้ทั่วไปไม่ทราบ เช่น Registry , Port, Service โดยที่ข้อมูลเหล่านี้จะทราบเฉพาะในผู้ปฏิบัติ Programmer หรือผู้ดูแลระบบ - ผู้ใช้ข้อมูลไม่ระแวดระวังในการใช้งานข้อมูล - การพัฒนาซอฟต์แวร์ไม่คำนึงถึงความปลอดภัยที่อาจจะเกิดขึ้นภายหลัง - แนวโน้มเทคโนโลยีสารสนเทศคือการแบ่งปัน ไม่ใช่การป้องกัน - มีการเข้าถึงข้อมูลได้จากทุกสถานที่ - ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟแวร์และฮาร์ดแวร์เพียงอย่างเดียว - มิจฉาชีพมีความเชี่ยวชาญในการเจาะข้อมูลของผู้อื่นมากเป็นพิเศษ - ฝ่ายบริหารมักจะไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย - การพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วย - การสำรวจ Investigation - การวิเคราะห์ Analysis - การออกแบบระดับตรรกะ Logical Design - การออกแบบและพัฒนากายภาพ Physical Design - การพัฒนา Implementation - การบำรุงรักษาและเปลี่ยนแปลง Maintenance and Change |
|
| 16. หน่วยสมรรถนะร่วม (ถ้ามี) | |
| N/A | |
| 17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี) | |
| N/A | |
| 18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure) | |
|
1. เครื่องมือประเมินการใช้ความปลอดภัยในการใช้ข้อมูลตามข้อกำหนดมาตรฐาน 1. แบบฟอร์มประเมินผลการสัมภาษณ์ 2. ผลข้อสอบข้อเขียน ดูรายละเอียดจากคู่มือประเมิน 2. เครื่องมือประเมินการเฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูลตามข้อกำหนดมาตรฐาน 1. แบบฟอร์มประเมินผลการสัมภาษณ์ 2. ผลข้อสอบข้อเขียน ดูรายละเอียดจากคู่มือประเมิน 3. เครื่องมือประเมินการจัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูลตามข้อกำหนดมาตรฐาน 1. แบบฟอร์มประเมินผลการสัมภาษณ์ 2. ผลข้อสอบข้อเขียน ดูรายละเอียดจากคู่มือประเมิน |
|
