หน่วยสมรรถนะ

หน่วยสมรรถนะ

บริหารจัดการเหตุละเมิดข้อมูลส่วนบุคคล ระดับปฏิบัติการ

สาขาวิชาชีพอุตสาหกรรมดิจิทัล


รายละเอียดหน่วยสมรรถนะ


1. รหัสหน่วยสมรรถนะ ICT-BNJO-368B

2. ชื่อหน่วยสมรรถนะ บริหารจัดการเหตุละเมิดข้อมูลส่วนบุคคล ระดับปฏิบัติการ

3. ทบทวนครั้งที่ /

4. สร้างใหม่ ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)

N/A

6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)
ผู้ที่ผ่านหน่วยสมรรถนะนี้ เป็นบุคลากรและผู้ปฏิบัติหน้าที่งานเกี่ยวข้องด้านข้อมูลส่วนบุคคลและงานคุ้มครองข้อมูลส่วนบุคคล ดำเนินการมาตรการควบคุมการประมวลผล และจัดการเหตุละเมิดข้อมูลส่วนบุคคล

7. สำหรับระดับคุณวุฒิ
1 2 3 4 5 6 7 8

8. กลุ่มอาชีพ (Sector)
ผู้ประกอบอาชีพในสาขาความปลอดภัยและความเป็นส่วนตัวทางดิจิทัล

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
N/A

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)
หน่วยสมรรถนะย่อย (EOC) เกณฑ์ในการปฏิบัติงาน (Performance Criteria) รหัส PC
(ตามเล่มมาตรฐาน)		 รหัส PC
(จากระบบ)
10301.01

ดำเนินการมาตรการควบคุมการประมวลผลข้อมูลส่วนบุคคล

1. ดำเนินการมาตรการด้านความมั่นคงปลอดภัยของข้อมูล

 10301.01.01 153289
10301.01

ดำเนินการมาตรการควบคุมการประมวลผลข้อมูลส่วนบุคคล

2. ดำเนินการมาตรการด้านเทคนิค

 10301.01.02 153290
10301.01

ดำเนินการมาตรการควบคุมการประมวลผลข้อมูลส่วนบุคคล

3. ดำเนินการมาตรการด้านการบริหารจัดการ

 10301.01.03 153291
10301.02

ดำเนินการจัดการเหตุละเมิดข้อมูลส่วนบุคคล

1. ดำเนินการรับแจ้งเหตุละเมิดข้อมูลส่วนบุคคล

 10301.02.01 153298
10301.02

ดำเนินการจัดการเหตุละเมิดข้อมูลส่วนบุคคล

2. ดำเนินการตามขั้นตอนเหตุละเมิดข้อมูลส่วนบุคคล

 10301.02.02 153299

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)

ไม่มี

13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1.    ทักษะเกี่ยวกับการปฏิบัติงานและการให้คำแนะนำในระดับปฏิบัติการ สำหรับการประมวลผลข้อมูลส่วนบุคคล และมาตรการที่ใช้ดำเนินการ ด้านความมั่นคงปลอดภัยของข้อมูล มาตรการด้านเทคนิค มาตรการด้านบริหารจัดการ

2.    ทักษะเกี่ยวกับการดำเนินการและการให้คำแนะนำในระดับปฏิบัติการ กรณีมีปัญหาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล หรือเหตุละเมิดข้อมูลส่วนบุคคล รวมทั้งการจัดเก็บข้อมูลหลักฐาน

 

(ข) ความต้องการด้านความรู้

1.    ความรู้เกี่ยวกับการปฏิบัติงานสำหรับการประมวลผลข้อมูลส่วนบุคคล และมาตรการที่ใช้ดำเนินการ ด้านความมั่นคงปลอดภัยของข้อมูล มาตรการด้านเทคนิค มาตรการด้านบริหารจัดการ

2.    ความรู้เกี่ยวกับการดำเนินการสำหรับกรณีมีปัญหาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและเหตุละเมิดข้อมูลส่วนบุคคล รวมทั้งการจัดเก็บข้อมูลหลักฐาน

 

14. หลักฐานที่ต้องการ (Evidence Guide)

หลักฐานที่ต้องการจะกำหนดข้อแนะนำเกี่ยวกับการประเมิน และควรที่จะใช้ประกอบร่วมกันกับเกณฑ์การปฏิบัติงาน (Performance Criteria) และ ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก)    หลักฐานการปฏิบัติงาน (Performance Evidence)

ผลการปฏิบัติงาน โดยมีการรายงานชั่วโมงการปฏิบัติงาน ชั่วโมงสะสมจำนวนรวม 120 ชั่วโมง สำหรับระยะเวลา 3 ปี หรือ อย่างน้อยปีละ 30 ชั่วโมง

(ข)    หลักฐานความรู้ (Knowledge Evidence)

         1. ผลจากการสอบข้อเขียน

         2. ผลจากแฟ้มสะสมผลงาน

         3. เอกสารประกาศนียบัตรรับรองคุณวุฒิวิชาชีพ/วุฒิบัตรวิชาชีพที่ออกโดยหน่วยงานที่เชื่อถือได้

(ค)    คำแนะนำในการประเมิน

ประเมินความรู้ความเข้าใจ การวิเคราะห์และการนำไปใช้ดำเนินการประมวลผลข้อมูลส่วนบุคคล รายการมาตรการควบคุมที่ใช้ดำเนินการและผู้รับผิดชอบ การสุ่มสอบทานผลดำเนินการตามมาตรการควบคุมที่สำคัญ ข้อมูลผลดำเนินการตามตัวชี้วัดหรือประสิทธิผลของมาตรการที่สำคัญ แนวทางการจัดเก็บข้อมูลหลักฐานกรณีมีปัญหาหรือเหตุละเมิดเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล

(ง)    วิธีการประเมิน

        1. พิจารณาตามหลักฐานความรู้

        2. พิจารณาตามหลักฐานแฟ้มสะสมผลงาน

 

15. ขอบเขต (Range Statement)

(ก)    คำแนะนำ 

หน่วยสมรรถนะนี้เป็นการทดสอบ ประเมินความรู้ความเข้าใจ การวิเคราะห์ในระดับปฏิบัติการ และการนำไปใช้ดำเนินการในการประมวลผลข้อมูลส่วนบุคคล และกรณีมีปัญหาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล หรือเหตุละเมิดข้อมูลส่วนบุคคล รวมทั้งการจัดเก็บข้อมูลหลักฐาน แนวทางดำเนินการตามกรณีศึกษา

(ข)    คำอธิบายรายละเอียด

         - กระบวนการประมวลผลข้อมูลส่วนบุคคล (Data processing management)

         - กระบวนการบริหารจัดการเหตุการณ์ (Event management)

         - กระบวนการบริหารจัดการเหตุขัดข้อง (Incident management and Problem management)

         - กระบวนการจัดการเรื่องร้องเรียน (Complaint management)

         - กระบวนการจัดเก็บข้อมูลหลักฐาน (Data forensics)

         - กระบวนการจัดการเหตุละเมิดข้อมูลส่วนบุคคล (Data breach management)

         - กระบวนการรายงานและสื่อสารกรณีเหตุละเมิด (Data breach reporting and communication)

         - กระบวนการจัดการเหตุละเมิดอ้างอิงตามแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

         - มาตรฐานและแนวปฏิบัติที่เกี่ยวข้อง ได้แก่ ISO 31000, ISO/IEC 27005, ISO/IEC 27001 (ISMS), ISO/IEC 27701 (PIMS), ISO/IEC 29100, General Data Protection Regulation (GDPR), European Union Agency for Cybersecurity (ENISA: สมาคมด้านความมั่นคงปลอดภัยของยุโรป), ISACA 

 

16. หน่วยสมรรถนะร่วม (ถ้ามี)
N/A

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
N/A

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

18.1 เครื่องมือประเมินดำเนินการมาตรการควบคุมการประมวลผลข้อมูลส่วนบุคคล

       1) ผลข้อสอบข้อเขียน

       2) แฟ้มสะสมผลงาน

18.2 เครื่องมือประเมินดำเนินการจัดการเหตุละเมิดข้อมูลส่วนบุคคล

       1) ผลข้อสอบข้อเขียน

       2) แฟ้มสะสมผลงาน

 

กลับ

ยินดีต้อนรับ