หน่วยสมรรถนะ

หน่วยสมรรถนะ

ปรับใช้ความปลอดภัยในการใช้ข้อมูล

สาขาวิชาชีพอุตสาหกรรมดิจิทัล


รายละเอียดหน่วยสมรรถนะ


1. รหัสหน่วยสมรรถนะ ICT-DTS-6-022ZB

2. ชื่อหน่วยสมรรถนะ ปรับใช้ความปลอดภัยในการใช้ข้อมูล

3. ทบทวนครั้งที่ - / -

4. สร้างใหม่ ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)

      นักวิเคราะห์ข้อมูล (Data Analyst) นักวิเคราะห์ข้อมูลธุรกิจ (Business Intelligence Analyst) ผู้ปฏิบัติงานด้านวิศวกรรมข้อมูล สถาปนิกสารสนเทศ (Information Architect) และนักวิทยาศาสตร์ข้อมูล (Data Scientist)



6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)

    ผู้ที่ผ่านสมรรถนะนี้จะมีความรู้เกี่ยวกับความปลอดภัยของข้อมูล และข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล สามารถปรับใช้ระบบรักษาความปลอดภัยในการใช้ข้อมูลได้ เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล และจัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูลได้ 


7. สำหรับระดับคุณวุฒิ
1 2 3 4 5 6 7 8

8. กลุ่มอาชีพ (Sector)

สาขาวิชาชีพอุตสาหกรรมดิจิทัล สาขาวิทยาศาสตร์ข้อมูล (Data Science)  


9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)

N/A


10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)

N/A


11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)
หน่วยสมรรถนะย่อย (EOC) เกณฑ์ในการปฏิบัติงาน (Performance Criteria) รหัส PC
70506.01 ใช้ความปลอดภัยในการใช้ข้อมูล 1. ปรับใช้โครงร่างความปลอดภัยในการใช้ข้อมูลได้ 70506.01.05
70506.01 ใช้ความปลอดภัยในการใช้ข้อมูล 2. ใช้เทคโนโลยีในการดำเนินงานความปลอดภัยในการใช้ข้อมูลได้ 70506.01.06
70506.01 ใช้ความปลอดภัยในการใช้ข้อมูล 3. ระบุผู้ที่เกี่ยวข้องในการปรับใช้ข้อมูล ทั้งผู้ใช้ข้อมูล ผู้วิเคราะห์ความเสี่ยง รวมถึงสิทธิในการจัดการและใช้ข้อมูลได้ 70506.01.07
70506.01 ใช้ความปลอดภัยในการใช้ข้อมูล 4. ถ่ายทอดความรู้ด้านความปลอดภัยเชิงข้อมูลให้ผู้ใช้งานและผู้ที่เกี่ยวข้องได้ 70506.01.08
70506.02 เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล 1. ระบุแนวทางกระบวนการในการเฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูลได้ 70506.02.05
70506.02 เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล 2. ระบุผลการตรวจสอบความปลอดภัยในการใช้ข้อมูลได้ 70506.02.06
70506.02 เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล 3.สรุปผลการตรวจสอบความปลอดภัยในการใช้ข้อมูลได้ 70506.02.07
70506.02 เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล 4. นำเสนอแนวทางในการลดความเสี่ยงในการใช้ข้อมูลได้ 70506.02.08
70506.03 จัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูล 1. ระบุความเสี่ยงด้านความปลอดภัยที่เกิดขึ้นจากความเปลี่ยนแปลงได้ 70506.03.04
70506.03 จัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูล 2. วิเคราะห์ความเสี่ยงด้านความปลอดภัยที่เกิดขึ้นจากความเปลี่ยนแปลงได้ 70506.03.05
70506.03 จัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูล 3.นำเสนอแนวทางในการจัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูลได้ 70506.03.06

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)

N/A


13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1. ทักษะในการปรับใช้ความปลอดภัยในการใช้ข้อมูล



2. ทักษะในการเทคโนโลยีสารสนเทศที่ใช้ในการดำเนินการความปลอดภัย



3. ทักษะในการวิเคราะห์ความปลอดภัยในการใช้ข้อมูล



4. ทักษะในการวิเคราะห์ข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล



 

(ข) ความต้องการด้านความรู้

1. ความรู้เกี่ยวกับความปลอดภัยของฐานข้อมูล (Database Security)



2. ความรู้เกี่ยวกับการควบคุมความปลอดภัยฐานข้อมูล



3. ความรู้เกี่ยวกับการสร้างระบบรักษาความปลอดภัยของฐานข้อมูล



4. ความรู้เกี่ยวกับเทคโนโลยีสารสนเทศที่ใช้ในการดำเนินการความปลอดภัย



5. ความรู้เกี่ยวกับข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล



 

14. หลักฐานที่ต้องการ (Evidence Guide)

(ก) หลักฐานการปฏิบัติงาน (Performance Evidence)



    1. ใบรับรองการปฏิบัติงานจากสถานประกอบการ



(ข) หลักฐานความรู้ (Knowledge Evidence)



    1. ใบรับรองการเข้ารับการฝึกอบรม



    2. ใบประกาศนียบัตรวุฒิการศึกษา



 (ค) คำแนะนำในการประเมิน



     1. ผู้ประเมินตรวจประเมินเกี่ยวกับการปรับใช้ความปลอดภัยในการใช้ข้อมูล  โดยพิจารณาจากร่องรอยหลักฐานที่เกี่ยวข้องทั้งหลักฐานการปฏิบัติงาน และหลักฐานความรู้



(ง) วิธีการประเมิน



    1. พิจารณาตามหลักฐานการปฏิบัติงาน



    2. พิจารณาตามหลักฐานความรู้



 

15. ขอบเขต (Range Statement)

(ก) คำแนะนำ



    หน่วยสมรรถนะนี้เป็นการทดสอบ ประเมินการกำหนดวัตถุประสงค์ทางธุรกิจ โดยในการประเมินต้องคำนึงถึงข้อปฏิบัติดังต่อไปนี้



  1)  ผู้เข้ารับการประเมินสามารถแสดงความรู้ และความสามารถในการจัดทำโครงร่างความปลอดภัยในการใช้ข้อมูล การกำหนดเทคโนโลยีที่นำมาใช้ และการกำหนดข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล



(ข) คำอธิบายรายละเอียด



    ความปลอดภัยในการใช้ข้อมูล



ข้อมูล หรือสารสนเทศเป็นทรัพยากรที่มีค่าขององค์กรการ ป้องกันที่แน่นหนาก็ มี ความจำ เป็นสำหรับข้อมูลที่เป็นความลับซึ่งต้องอาศัยนโยบายความปลอดภัย และกลไกป้องกันที่ดี ควบคู่กัน



โดยแนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วย



  1.ความลับ Confidentiality 



เป็นการรับประกันว่าผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้ โดยองค์กรต้องมีมาตรการป้องกันการเข้าถึงสารสนเทศที่เป็นความลับ เช่น 



    1) การจัดประเภทของสารสนเทศ 



    2)  การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล 



    3) กำหนดนโยบายรักษาความมั่นคงปลอดภัยและนำไปใช้  



    4) ให้การศึกษาแก่ทีมงานความมั่นคงปลอดภัยและผู้ใช้



ภัยคุกคามที่เพิ่มมากขึ้นในปัจจุบันมี สาเหตุมาจากความก้าวหน้า ทางเทคโนโลยีประกอบกับ ความต้องการความสะดวกสบายในการสั่งซื่อสินค้าของลูกค้า โดยการยอมให้สารสนเทศส่วนบุคคลแก่ website เพื่อสิทธิ์ สนการทา ธุรกรรมต่าง ๆ โดยลืมไปว่าเว็บไซต์ เป็นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยากนัก 



 2. ความสมบูรณ์ Integrity 



     ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม สารสนเทศที่มีความสมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้ สารสนเทศจะขาดความสมบูรณ์ก็ต่อเมื่อสารสนเทศนั้นถูกนำไปเปลี่ยนแปลงปลอมปนด้วยสารสนเทศอื่น ถูกทำให้เสียหาย ถูกทำลาย หรือถูกกระทำในรูปแบบอื่นๆ เพื่อขัดขวางการพิสูจน์การเป็นสารสนเทศจริง ภัยคุกคามสำคัญที่มีต่อความสมบูรณ์ของสารสนเทศ คือ ไวรัส และ เวิร์ม เนื่องจากถูกพัฒนานำมาเพื่อปลอมปนข้อมูลที่กาลังเคลื่อนย้ายไปมาในเครือข่าย



   3.ความพร้อมใช้ Availability 



     ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งาน ได้อย่างราบรื่นโดยผู้ใช้ หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น หากเป็นผู้ใช้ หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลว



   4.ความถูกต้องแม่นยำ Accuracy 



     ความถูกต้องแม่นยำคือ สารสนเทศต้องไม่มีความผิดพลาดและต้องมีค่าตรงกับความคาดหวัง ของผู้ใช้เสมอเมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของ ผู้ใช้ไม่ว่าจะเกิดจากการแก้ไขด้วยความตั้งใจหรือไม่ก็ตามเมื่อ นั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้องแม่นยำ”



   5.เป็นของแท้ Authenticity



     เป็นของแท้ หมายถึง สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่คุ้นเคยเคยและไม่เคยทราบมาก่อน



   6.ความเป็นส่วนตัว Privacy



     ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวมเรียกใช้ และจัดเก็บโดยองค์กรจะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเจ้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น 



องค์ประกอบของระบบสารสนเทศกับความมั่นคงปลอดภัย 



     1. Software ย่อมต้องอยู่ภายใต้เงื่อนไขของการบริหารโครงการ ภายใต้เวลาต้นทุน และกำลังคนที่จำกัดซึ่งมักจะทำภายหลังจากการพัฒนาซอฟต์แวร์เสร็จแล้ว 



    2. Hardware จะใช้นโยบายเดียวกับสินทรัพย์ที่จับต้องได้ขององค์กร คือการป้องกันจากการลักขโมยหรือภัยอันตรายต่าง ๆ รวมถึงการจัดสถานที่ ที่ปลอดภัยให้กับอุปกรณ์ หรือฮาร์ดแวร์



    3. Data ข้อมูลหรือสารสนเทศเป็นทรัพยากรที่มีค่าขององค์กรการ ป้องกันที่แน่นหนาก็ มี ความจำ เป็นสำหรับข้อมูลที่เป็นความลับซึ่งต้องอาศัยนโยบายความปลอดภัย และกลไกป้องกัน ที่ดี ควบคู่กัน 



    4. People บุคลากร คือภัยคุกคามต่อสารสนเทศที่ถูกมองข้ามมาก ที่สุด โดยเฉพาะบุคลากรที่ไม่มีจรรยาบรรณในอาชีพ ก็ เป็น จุดอ่อนต่อการโจมตีได้ จึงได้มีการศึกษาอย่างจริงจัง เรียกว่า Social Engineering ซึ่งเป็นการป้องการการหลอกลวงบุคลากร เพื่อเปิดเผยข้อมูลบางอย่างและเข้าสู่ระบบได้ ้ 



    5. Procedure ขั้นตอนการทำงานเป็นอีกหนึ่งองค์ประกอบที่ถูกมองข้าม หากมิจฉาชีพทราบขั้นตอนการทำงาน ก็จะสามารถ ค้นหาจุดอ่อนเพื่อกระทำการอันก่อให้เกิดความเสียหายต่อ องค์กรและลูกค้าขององค์กรได้



    6. Network เครือข่ายคอมพิวเตอร์ การเชื่อมต่อระหว่างคอมพิวเตอร์ และระหว่างเครือข่ายคอมพิวเตอร์ ทำให้ เกิดอาชญากรรมและภัยคุกคามจากคอมพิวเตอร์ โดยเฉพาะการเชื่อมต่อระบบสารสนเทศเข้ากับเครือข่ายอินเทอร์เน็ต



  อุปสรรคของงานความมันคงปลอดภัยของสารสนเทศ



    - ความมั่นคงปลอดภัย คือ ความไม่สะดวก เนื่องจากต้องเสียเวลาในการ ป้อน password และกระบวนการอื่นๆในการพิสูจน์ยืนยันตัวตนของผู้ใช้



    - มีความซับซ้อนบางอย่างในคอมพิวเตอร์ ที่ผู้ใช้ทั่วไปไม่ทราบ เช่น Registry , Port, Service โดยที่ข้อมูลเหล่านี้จะทราบเฉพาะในผู้ปฏิบัติ Programmer หรือผู้ดูแลระบบ



    - ผู้ใช้ข้อมูลไม่ระแวดระวังในการใช้งานข้อมูล



    - การพัฒนาซอฟต์แวร์ไม่คำนึงถึงความปลอดภัยที่อาจจะเกิดขึ้นภายหลัง



    - แนวโน้มเทคโนโลยีสารสนเทศคือการแบ่งปัน ไม่ใช่การป้องกัน



    - มีการเข้าถึงข้อมูลได้จากทุกสถานที่



    - ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟแวร์และฮาร์ดแวร์เพียงอย่างเดียว 



    - มิจฉาชีพมีความเชี่ยวชาญในการเจาะข้อมูลของผู้อื่นมากเป็นพิเศษ



    - ฝ่ายบริหารมักจะไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย



    - การพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วย



    - การสำรวจ Investigation 



    - การวิเคราะห์ Analysis



    - การออกแบบระดับตรรกะ Logical Design 



    - การออกแบบและพัฒนากายภาพ Physical Design



    - การพัฒนา Implementation 



    - การบำรุงรักษาและเปลี่ยนแปลง Maintenance and Change



 

16. หน่วยสมรรถนะร่วม (ถ้ามี)

N/A


17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)

N/A


18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

1. เครื่องมือประเมินการใช้ความปลอดภัยในการใช้ข้อมูลตามข้อกำหนดมาตรฐาน



   1. แบบฟอร์มประเมินผลการสัมภาษณ์



   2. ผลข้อสอบข้อเขียน



      ดูรายละเอียดจากคู่มือประเมิน



2. เครื่องมือประเมินการเฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูลตามข้อกำหนดมาตรฐาน



  1. แบบฟอร์มประเมินผลการสัมภาษณ์



  2. ผลข้อสอบข้อเขียน



      ดูรายละเอียดจากคู่มือประเมิน



3. เครื่องมือประเมินการจัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูลตามข้อกำหนดมาตรฐาน



  1. แบบฟอร์มประเมินผลการสัมภาษณ์



  2. ผลข้อสอบข้อเขียน



    ดูรายละเอียดจากคู่มือประเมิน



 


ยินดีต้อนรับ