หน่วยสมรรถนะ

หน่วยสมรรถนะ

บริหารจัดการระบบความมั่นคงปลอดภัยด้านเว็บไซต์

สาขาวิชาชีพอุตสาหกรรมดิจิทัล


รายละเอียดหน่วยสมรรถนะ


1. รหัสหน่วยสมรรถนะ ICT-PNWI-278B

2. ชื่อหน่วยสมรรถนะ บริหารจัดการระบบความมั่นคงปลอดภัยด้านเว็บไซต์

3. ทบทวนครั้งที่ - / -

4. สร้างใหม่ ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)
N/A

6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)
    บุคคลที่ทำหน้าที่เกี่ยวกับการวางแผนเพื่อบริหารจัดการเว็บไซต์ได้อย่างมั่นคงปลอดภัย การตั้งค่าเครื่องบริการเว็บได้อย่างมั่นคงปลอดภัย การใช้โปรแกรมประยุกต์บนเครื่องบริการเว็บเพื่อให้บริการได้อย่างมั่นคงปลอดภัย การรับมือสถานการณ์ภัยคุกคามที่เกิดกับเว็บไซต์ได้อย่างมีประสิทธิภาพ

7. สำหรับระดับคุณวุฒิ
1 2 3 4 5 6 7 8

8. กลุ่มอาชีพ (Sector)
กลุ่มวิชาชีพอุตสาหกรรมดิจิทัล  สาขาธุรกิจดิจิทัลและพาณิชย์อิเล็กทรอนิกส์ 

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
N/A

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
N/A

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)
หน่วยสมรรถนะย่อย (EOC) เกณฑ์ในการปฏิบัติงาน (Performance Criteria) รหัส PC
(ตามเล่มมาตรฐาน)		 รหัส PC
(จากระบบ)
20211 วางแผนเพื่อบริหารจัดการความมั่นคงปลอดภัยเว็บไซต์ 1. วางแผนงานด้านความมั่นคงปลอดภัยของเว็บไซต์ 20211.05 121402
20211 วางแผนเพื่อบริหารจัดการความมั่นคงปลอดภัยเว็บไซต์ 2. คัดเลือกผู้รับจดทะเบียนชื่อโดเมน 20211.06 121403
20211 วางแผนเพื่อบริหารจัดการความมั่นคงปลอดภัยเว็บไซต์ 3. คัดเลือกเครื่องบริการเว็บ 20211.07 121404
20211 วางแผนเพื่อบริหารจัดการความมั่นคงปลอดภัยเว็บไซต์ 4. คัดเลือกระบบบริหารจัดการเว็บไซต์ (CMS) 20211.08 121405
20212 ตั้งค่าความมั่นคงปลอดภัยเครื่องบริการเว็บได้ 1. กำหนดค่าคอนฟิกโปรแกรมสำหรับให้บริการเว็บ (Web server software) 20212.06 121410
20212 ตั้งค่าความมั่นคงปลอดภัยเครื่องบริการเว็บได้ 2. กำหนดค่าคอนฟิกระบบบริหารจัดการเว็บไซต์ (CMS) 20212.07 121411
20212 ตั้งค่าความมั่นคงปลอดภัยเครื่องบริการเว็บได้ 3. กำหนดค่าคอนฟิกระบบฐานข้อมูล (Database system) 20212.08 121412
20212 ตั้งค่าความมั่นคงปลอดภัยเครื่องบริการเว็บได้ 4. กำหนดค่าคอนฟิก Server-side Script Engine 20212.09 121413
20212 ตั้งค่าความมั่นคงปลอดภัยเครื่องบริการเว็บได้ 5. กำหนดและรักษารหัสผ่าน 20212.10 121414
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ 1. เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค SQL Injection 20213.10 121422
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ 2. เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค OS Command Injection 20213.11 121423
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ 3. เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค Unchecked Path Parameter 20213.12 121424
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ 4. เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค Improper Session Management 20213.13 121425
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ 5. เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค Cross-site Scripting 20213.14 121426
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ 6. เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค Cross-site Script Request Forgery (CSRF) 20213.15 121427
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ 7. เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค HTTP Header Injection 20213.16 121428
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ 8. เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค Mail Header Injection 20213.17 121429
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ 9. เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากการไม่มีระบบพิสูจน์ตัวจริงและการกำหนดสิทธิ์ (Lack of Authentication and authorization) 20213.18 121430
20214 รับมือสถานการณ์ภัยคุกคามที่เกิดกับเว็บไซต์ 1. เตรียมการรับมือภัยคุกคามที่เกิดขึ้นกับเว็บไซต์ 20214.05 121433
20214 รับมือสถานการณ์ภัยคุกคามที่เกิดกับเว็บไซต์ 2. เลือกใช้โปรแกรมตรวจสอบความมั่นคงปลอดภัยของเว็บไซต์ 20214.06 121434
20214 รับมือสถานการณ์ภัยคุกคามที่เกิดกับเว็บไซต์ 3. จัดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ 20214.07 121435
20214 รับมือสถานการณ์ภัยคุกคามที่เกิดกับเว็บไซต์ 4. สำรองข้อมูลเว็บไซต์ได้ 20214.08 121436

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)

N/A

13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1. ปฏิบัติการวางแผนเพื่อบริหารจัดการเว็บไซต์ได้อย่างมั่นคงปลอดภัย

2. ปฏิบัติการตั้งค่าเครื่องบริการเว็บได้อย่างมั่นคงปลอดภัย

3. ปฏิบัติการใช้โปรแกรมประยุกต์บนเครื่องบริการเว็บเพื่อให้บริการได้อย่างมั่นคงปลอดภัย

4. ปฏิบัติการรับมือสถานการณ์ภัยคุกคามที่เกิดกับเว็บไซต์ได้อย่างมีประสิทธิภาพ


(ข) ความต้องการด้านความรู้

1. ภัยคุกคาม มัลแวร์ การโจมตีเว็บไซต์ชนิดต่างๆ 

2. การวางแผนและบริหารเพื่อป้องกัน ตรวจหา และโต้ตอบต่อภัยคุกคาม มัลแวร์ การโจมตีเว็บไซต์ชนิดต่างๆ

3. การบริหารระบบการให้บริการอีคอมเมิร์ซและเว็บไซต์

4. กฎหมายที่เกี่ยวข้องกับการให้บริการอีคอมเมิร์ซและเว็บไซต์

14. หลักฐานที่ต้องการ (Evidence Guide)
    หลักฐานที่ต้องการจะกำหนดข้อแนะนำเกี่ยวกับการประเมิน และควรที่จะใช้ประกอบร่วมกันกับเกณฑ์การปฏิบัติงาน (Performance Criteria) และ ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)
(ก) หลักฐานการปฏิบัติงาน (Performance Evidence)
   1. เอกสารรับรองการปฏิบัติงานหรือผลการประเมินการปฏิบัติงานจากสถานประกอบการ
   2. เอกสารการประเมินจากการจำลองสถานการณ์โดยใช้กรณีศึกษา
   3. เอกสารการประเมินการสัมภาษณ์
   4. แฟ้มสะสมผลงาน 
(ข) หลักฐานความรู้ (Knowledge Evidence)
   1. เอกสารผ่านการอบรมเกี่ยวกับการบริหารระบบอีคอมเมิร์ซและเว็บไซต์
   2. เอกสาร วุฒิบัตร หรือใบรับรองที่แสดงว่าผ่านการทดสอบ (Certificate) ด้านการบริหารความมั่นคงเกี่ยวกับระบบคอมพิวเตอร์ทั้งแบบอิงและไม่อิงผลิตภัณฑ์จากหน่วยงานที่เกี่ยวข้อง
   3. เอกสารรับรองการผ่านการสอบข้อเขียนหรือผลการทดสอบความรู้
(ค) คำแนะนำในการประเมิน
    ประเมินเกี่ยวกับการบริหารระบบความมั่นคงปลอดภัยอีคอมเมิร์ซและเว็บไซต์ โดยพิจารณาจากหลักฐานที่เกี่ยวข้องทั้งหลักฐานการปฏิบัติงานและหลักฐานด้านความรู้
(ง) วิธีการประเมิน
   1. พิจารณาหลักฐานความรู้
   2. พิจารณาหลักฐานการปฏิบัติงาน

15. ขอบเขต (Range Statement)

    ขอบเขตอธิบายถึงขอบเขตของการปฏิบัติงาน และสภาพแวดล้อมอื่น ๆ หรือสถานการณ์อื่น ๆ ที่มีผลกระทบต่อการทำงาน รวมถึงเครื่องมือ อุปกรณ์ เทคโนโลยี ทรัพยากรที่ใช้ หรือข้อกำหนดอื่น ๆ ที่เกี่ยวข้อง

(ก) คำแนะนำ 

   การบริหารระบบความมั่นคงปลอดภัยอีคอมเมิร์ซและเว็บไซต์ ผู้เข้ารับการประเมินจะต้องแสดงการทดสอบเกี่ยวกับการวางแผนเพื่อบริหารจัดการเว็บไซต์ได้อย่างมั่นคงปลอดภัย การตั้งค่าเครื่องบริการเว็บได้อย่างมั่นคงปลอดภัย การใช้โปรแกรมประยุกต์บนเครื่องบริการเว็บเพื่อให้บริการได้อย่างมั่นคงปลอดภัย การรับมือสถานการณ์ภัยคุกคามที่เกิดกับเว็บไซต์ได้อย่างมีประสิทธิภาพ

(ข) คำอธิบายรายละเอียด

   1. การวางแผนเพื่อบริหารจัดการเว็บไซต์ จะต้องจัดทำแผนด้านความมั่นคงปลอดภัยของเว็บไซต์ได้ตามมาตรฐานที่กำหนด เลือกผู้รับจดทะเบียนชื่อโดเมนได้อย่างเหมาะสมกับวัตถุประสงค์การใช้งาน หาแนวทางการเลือกรูปแบบเครื่องบริการเว็บได้อย่างมีประสิทธิภาพ และหาแนวทางการเลือกระบบบริหารจัดการเว็บไซต์ (CMS) ได้อย่างมีประสิทธิภาพ

   2. การตั้งค่าเครื่องบริการเว็บ จะต้องตั้งค่าโปรแกรมสำหรับให้บริการเว็บ (Web server software) ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด ตั้งค่าระบบบริหารจัดการเว็บไซต์ (CMS) ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด ตั้งค่าฐานข้อมูล (Database system) ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด ตั้งค่า Server-side Script Engine ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด และกำหนดและรักษารหัสผ่านได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด

    3. การใช้โปรแกรมประยุกต์บนเครื่องบริการเว็บ จะต้องใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค SQL Injection ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด  ใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค OS Command Injection ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด  ใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค  Unchecked Path Parameter  ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด  ใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค Improper Session Management ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด  ใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค Cross-site Scripting ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด  ใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค  Cross-site Script Request Forgery (CSRF) ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด  ใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค HTTP Header Injection ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด  ใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค Mail Header Injection ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด  และใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากการไม่มีระบบพิสูจน์ตัวจริงและการกำหนดสิทธิ์ (Lack of Authentication and authorization) ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด

   4.  การรับมือสถานการณ์ภัยคุกคามที่เกิดกับเว็บไซต์ (Incident Handling) จะต้องรับมือภัยคุกคามที่เกิดขึ้นกับเว็บไซต์ได้อย่างมีประสิทธิภาพ  ใช้โปรแกรมตรวจสอบความมั่นคงปลอดภัยของเว็บไซต์ได้อย่างมีประสิทธิภาพ  เก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ได้อย่างมีประสิทธิภาพ  และสำรองข้อมูลเว็บไซต์ได้อย่างมีประสิทธิภาพ

   5. ตามมาตรฐานที่กำหนด ตามเกณฑ์มาตรฐานที่กำหนด และ ได้อย่างมีประสิทธิภาพ หมายถึง การปฏิบัติการที่สอดคล้องกับแนวปฏิบัติ ข้อกำหนด เกณฑ์ หรือมาตรฐานที่เกี่ยวข้องกับ เช่น ETDA Recommendation on ICT Standard for Electronic Transactions ขมธอ. 4 – 2559, NIST SP 800-44 Guidelines on Securing Public Web Servers,  OWASP Open Web Application Security Project,  ข้อกำหนดที่เกี่ยวข้องจากข้อแนะนำแก้ไขและป้องกันข้อบกพร่องหรือจุดอ่อนของเว็บไซต์ ของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย หรือไทยเซิร์ต (ThaiCERT),  คู่มือ “How to Secure Your Website” ของ สำนักงานส่งเสริมเทคโนโลยีสารสนเทศ ประเทศญี่ปุ่น (Information-Technology Promotion Agency (IPA), Japan) เป็นต้น

16. หน่วยสมรรถนะร่วม (ถ้ามี)
N/A 

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
N/A 

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

1. เครื่องมือการประเมิน

  1. แบบทดสอบปรนัย ชนิด 4 ตัวเลือก 

  2. แบบประเมินการสัมภาษณ์

  3. แบบประเมินแฟ้มสะสมงาน

    ดูรายละเอียดจากคู่มือการประเมิน

2 เครื่องมือการประเมิน

  1. แบบทดสอบปรนัย ชนิด 4 ตัวเลือก 

  2. แบบประเมินการสัมภาษณ์

  3. แบบประเมินแฟ้มสะสมงาน

    ดูรายละเอียดจากคู่มือการประเมิน

3 เครื่องมือการประเมิน

   1. แบบทดสอบปรนัย ชนิด 4 ตัวเลือก 

   2. แบบประเมินการสัมภาษณ์

   3. แบบประเมินแฟ้มสะสมงาน

     ดูรายละเอียดจากคู่มือการประเมิน

4 เครื่องมือการประเมิน

   1. แบบทดสอบปรนัย ชนิด 4 ตัวเลือก 

   2. แบบประเมินการสัมภาษณ์

   3. แบบประเมินแฟ้มสะสมงาน

     ดูรายละเอียดจากคู่มือการประเมิน

กลับ

ยินดีต้อนรับ