หน่วยสมรรถนะ

หน่วยสมรรถนะ

บริหารจัดการความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล ระดับปฏิบัติการ

สาขาวิชาชีพอุตสาหกรรมดิจิทัล


รายละเอียดหน่วยสมรรถนะ


1. รหัสหน่วยสมรรถนะ ICT-LDVI-365B

2. ชื่อหน่วยสมรรถนะ บริหารจัดการความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล ระดับปฏิบัติการ

3. ทบทวนครั้งที่ /

4. สร้างใหม่ ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)

N/A



6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)
ผู้ที่ผ่านหน่วยสมรรถนะนี้ เป็นบุคลากรและผู้ปฏิบัติหน้าที่งานเกี่ยวข้องด้านข้อมูลส่วนบุคคลและงานคุ้มครองข้อมูลส่วนบุคคล ดำเนินการประเมินผลกระทบและมาตรการควบคุมความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล

7. สำหรับระดับคุณวุฒิ
1 2 3 4 5 6 7 8

8. กลุ่มอาชีพ (Sector)
ผู้ประกอบอาชีพในสาขาความปลอดภัยและความเป็นส่วนตัวทางดิจิทัล

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
N/A

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)
หน่วยสมรรถนะย่อย (EOC) เกณฑ์ในการปฏิบัติงาน (Performance Criteria) รหัส PC
(ตามเล่มมาตรฐาน)
รหัส PC
(จากระบบ)
10201.01

ดำเนินการประเมินผลกระทบและความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล 

1. ระบุความเสี่ยงที่เกิดขึ้น 

10201.01.01 153241
10201.01

ดำเนินการประเมินผลกระทบและความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล 

2. ระบุความระดับผลกระทบ

10201.01.02 153242
10201.02

ดำเนินการมาตรการควบคุมความเสี่ยง

1. ระบุมาตรการควมคุมความมั่นคงปลอดภัย

10201.02.01 153243
10201.02

ดำเนินการมาตรการควบคุมความเสี่ยง

2. ระบุมาตรการด้านเทคนิค

10201.02.02 153244
10201.02

ดำเนินการมาตรการควบคุมความเสี่ยง

3. ระบุมาตรการบริหารจัดการ

10201.02.03 153245

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)

ไม่มี


13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1.    ทักษะเกี่ยวกับการประเมินผลกระทบและประเมินความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล

2.    ทักษะเกี่ยวกับการพิจารณาจัดทำและดำเนินการมาตรการควบคุมความเสี่ยง มาตรการควบคุมด้านความมั่นคงปลอดภัยของข้อมูล มาตรการด้านเทคนิค และมาตรการด้านการบริหารจัดการ

(ข) ความต้องการด้านความรู้

1.    ความรู้เกี่ยวกับการประเมินผลกระทบและประเมินความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล

2.    ความรู้เกี่ยวกับมาตรการควบคุมความเสี่ยง มาตรการควบคุมด้านความมั่นคงปลอดภัยของข้อมูล มาตรการด้านเทคนิค และมาตรการด้านการบริหารจัดการ

 


14. หลักฐานที่ต้องการ (Evidence Guide)

หลักฐานที่ต้องการจะกำหนดข้อแนะนำเกี่ยวกับการประเมิน และควรที่จะใช้ประกอบร่วมกันกับเกณฑ์การปฏิบัติงาน (Performance Criteria) และ ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก)    หลักฐานการปฏิบัติงาน (Performance Evidence)

ผลการปฏิบัติงาน โดยมีการรายงานชั่วโมงการปฏิบัติงาน ชั่วโมงสะสมจำนวนรวม 120 ชั่วโมง สำหรับระยะเวลา 3 ปี หรือ อย่างน้อยปีละ 30 ชั่วโมง

(ข)    หลักฐานความรู้ (Knowledge Evidence)

        1. ผลจากการสอบข้อเขียน

        2. ผลจากแฟ้มสะสมผลงาน

        3. เอกสารประกาศนียบัตรรับรองคุณวุฒิวิชาชีพ/วุฒิบัตรวิชาชีพที่ออกโดยหน่วยงานที่เชื่อถือได้

(ค)    คำแนะนำในการประเมิน

ประเมินความรู้ความเข้าใจที่เกี่ยวกับกระบวนการประเมินผลกระทบและประเมินความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล ข้อมูลหลักฐานจากผลการประเมินและมาตรการควบคุมที่ใช้ดำเนินการจัดการความเสี่ยง

(ง)     วิธีการประเมิน

         1. พิจารณาตามหลักฐานความรู้

         2. พิจารณาตามหลักฐานแฟ้มสะสมผลงาน

 


15. ขอบเขต (Range Statement)

(ก)    คำแนะนำ 

หน่วยสมรรถนะนี้เป็นการทดสอบ ประเมินความรู้ความเข้าใจ การวิเคราะห์และการนำไปใช้ดำเนินการในระดับปฏิบัติการ เกี่ยวกับกระบวนการประเมินผลกระทบและประเมินความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล ทั้งการประเมินเมื่อมีการจัดทำระบบสำหรับการประมวลผลข้อมูลส่วนบุคคล/ ดำเนินการประมวลผลข้อมูลส่วนบุคคล มีเหตุละเมิด หรือเมื่อมีคำสั่งจากหน่วยงานกำกับดูแล

(ข)    คำอธิบายรายละเอียด

-    อ้างอิงแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

-    การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล อ้างอิงแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

-    การประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล (ระบุความเสี่ยง วิเคราะห์ความเสี่ยง ประเมินระดับความเสี่ยง) อ้างอิงแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

-    เกณฑ์การประเมินความเสี่ยง (Risk assessment criteria) 

-    เกณฑ์การยอมรับความเสี่ยง (Risk appetite/ Risk acceptance criteria)

-    ตารางระดับความเสี่ยง (Risk Matrix)

-    แผนบริหารความเสี่ยง/แผนจัดการความเสี่ยง (Risk management plan/ Risk Treatment plan)

-    ตัวชี้วัดความเสี่ยง (Key risk indicator: KRI)

-    เกณฑ์ประสิทธิผลของมาตรการควบคุม (Control Effectiveness criteria)

-    มาตรการควบคุมความเสี่ยง (Controls for risk treatment)

-    มาตรการควบคุมด้านความมั่นคงปลอดภัยของข้อมูล (Data Security controls)

-    มาตรการด้านเทคนิค (Technical measures)

-    มาตรการด้านการบริหารจัดการ (Organization measures)

-    มาตรฐานและแนวปฏิบัติที่เกี่ยวข้อง ได้แก่ COSO Enterprise Risk Management (ERM), ISO 31000, ISO/IEC 27005, ISO/IEC 27001 (ISMS), ISO/IEC 27701 (PIMS), ISO/IEC 29100, ISO/IEC 29134, General Data Protection Regulation (GDPR), European Union Agency for Cybersecurity (ENISA: สมาคมด้านความมั่นคงปลอดภัยของยุโรป), ISACA และแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

 


16. หน่วยสมรรถนะร่วม (ถ้ามี)
N/A

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
N/A

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

18.1 เครื่องมือประเมินดำเนินการประเมินผลกระทบและความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครอง   

      ข้อมูลส่วนบุคคล

       1) ผลข้อสอบข้อเขียน

       2) แฟ้มสะสมผลงาน

18.2 เครื่องมือประเมินดำเนินการมาตรการควบคุมความเสี่ยง

       1) ผลข้อสอบข้อเขียน

       2) แฟ้มสะสมผลงาน



ยินดีต้อนรับ