หน่วยสมรรถนะ

หน่วยสมรรถนะ

ตรวจสอบการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล

สาขาวิชาชีพอุตสาหกรรมดิจิทัล


รายละเอียดหน่วยสมรรถนะ


1. รหัสหน่วยสมรรถนะ ICT-AUBM-375B

2. ชื่อหน่วยสมรรถนะ ตรวจสอบการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล

3. ทบทวนครั้งที่ /

4. สร้างใหม่ ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)

N/A



6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)
ผู้ที่ผ่านหน่วยสมรรถนะนี้ เป็นบุคลากรและผู้ปฏิบัติหน้าที่งานเกี่ยวข้องด้านข้อมูลส่วนบุคคลและงานคุ้มครองข้อมูลส่วนบุคคล ดำเนินการตรวจสอบ การดำเนินการของผู้ปฏิบัติการ การตรวจสอบเทคนิค การตรวจกระบวนการดำเนินการขององค์กร การตรวจสอบการประมวลผลข้อมูล และประเมินสถานะผลดำเนินการตามข้อกำหนดของกฎหมาย

7. สำหรับระดับคุณวุฒิ
1 2 3 4 5 6 7 8

8. กลุ่มอาชีพ (Sector)
ผู้ประกอบอาชีพในสาขาความปลอดภัยและความเป็นส่วนตัวทางดิจิทัล

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
N/A

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)
หน่วยสมรรถนะย่อย (EOC) เกณฑ์ในการปฏิบัติงาน (Performance Criteria) รหัส PC
(ตามเล่มมาตรฐาน)
รหัส PC
(จากระบบ)
10501.01

ตรวจสอบการดำเนินการของผู้ปฏิบัติการ

1. ตรวจสอบการปฏิบัติงานของผู้ควบคุมข้อมูลส่วนบุคคลรวมทั้งพนักงาน ลูกจ้าง และผู้ปฏิบัติงาน

10501.01.01 153352
10501.01

ตรวจสอบการดำเนินการของผู้ปฏิบัติการ

2. ตรวจสอบการปฏิบัติงานของผู้ประมวลผลข้อมูลส่วนบุคคลรวมทั้งพนักงาน ลูกจ้าง และผู้ปฏิบัติงาน

10501.01.02 153353
10501.02

ตรวจสอบมาตรการด้านเทคนิค

1. ตรวจสอบกระบวนการและมาตรการด้านความมั่นคงปลอดภัยของข้อมูล

10501.02.01 153357
10501.02

ตรวจสอบมาตรการด้านเทคนิค

2. ตรวจสอบระบบงาน

10501.02.02 153358
10501.03

ตรวจสอบกระบวนการดำเนินการขององค์กร

1. ตรวจสอบการดำเนินงานตามนโยบายที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล

10501.03.01 153359
10501.03

ตรวจสอบกระบวนการดำเนินการขององค์กร

2. ตรวจสอบการดำเนินงานตามนโยบายที่เกี่ยวข้องด้านความมั่นคงปลอดภัยของข้อมูล

10501.03.02 153360
10501.03

ตรวจสอบกระบวนการดำเนินการขององค์กร

3. ตรวจสอบการดำเนินงานตามนโยบายการบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล

10501.03.03 153361
10501.04

ตรวจสอบการประมวลผลข้อมูลส่วนบุคคล

1. ตรวจสอบตรวจสอบบันทึกรายการ (Record of processing activity)

10501.04.01 153362
10501.04

ตรวจสอบการประมวลผลข้อมูลส่วนบุคคล

2. ตรวจสอบกระบวนการประมวลผลเชิงธุรกิจ (Business process) 

10501.04.02 153363
10501.05

ประเมินความสอดคล้องตามข้อกำหนด

1. ประเมินความสอดคล้องด้านการคุ้มครองข้อมูลส่วนบุคคล เทียบกับกฎระเบียบภายนอกองค์กร (Gap Assessment, External compliance)

10501.05.01 153372
10501.05

ประเมินความสอดคล้องตามข้อกำหนด

2. ประเมินความสอดคล้องด้านการคุ้มครองข้อมูลส่วนบุคคล เทียบกับกฎระเบียบภายในองค์กร (Gap Assessment, Internal Compliance)

10501.05.02 153373

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)

ไม่มี


13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1.    ทักษะในการตรวจสอบการบริหารจัดการและการปฏิบัติงานของผู้ปฏิบัติงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล การควบคุมข้อมูลส่วนบุคคล การประมวลผลข้อมูลส่วนบุคคล

2.    ทักษะในการตรวจสอบด้านเทคนิคที่เกี่ยวข้องกับกระบวนการความมั่นคงปลอดภัยของข้อมูลและระบบงานที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

3.    ทักษะในการตรวจสอบด้านกระบวนการ การดำเนินการตามนโยบายด้านความมั่นคงปลอดภัยของข้อมูลและการบริหารความเสี่ยงที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

4.    ทักษะในการตรวจสอบกิจกรรมและข้อมูลการประมวลผลข้อมูลส่วนบุคคลและข้อมูลธุรกิจ

5.    ทักษะในการตรวจประเมิน (Gap Assessment) และให้คำแนะนำสำหรับการตรวจประเมิน ข้อเสนอแนะในการแก้ไขปรับปรุงที่เกี่ยวข้องในการดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายด้านการคุ้มครองข้อมูลส่วนบุคคล

 

(ข) ความต้องการด้านความรู้

1.    ความรู้เกี่ยวกับการตรวจสอบการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

2.    ความรู้เกี่ยวกับการตรวจสอบด้านเทคนิค (กระบวนการความมั่นคงปลอดภัยของข้อมูลและระบบงานที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล)

3.    ความรู้เกี่ยวกับการตรวจสอบด้านกระบวนการ การดำเนินการตามนโยบายด้านความมั่นคงปลอดภัยของข้อมูลและการบริหารความเสี่ยงที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

4.    ความรู้เกี่ยวกับการตรวจสอบกิจกรรมและข้อมูลการประมวลผลข้อมูลส่วนบุคคลและข้อมูลธุรกิจ

5.    ความรู้เกี่ยวกับการตรวจประเมิน (Gap Assessment) ในการดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายด้านการคุ้มครองข้อมูลส่วนบุคคล

 


14. หลักฐานที่ต้องการ (Evidence Guide)

หลักฐานที่ต้องการจะกำหนดข้อแนะนำเกี่ยวกับการประเมิน และควรที่จะใช้ประกอบร่วมกันกับเกณฑ์การปฏิบัติงาน (Performance Criteria) และ ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก)    หลักฐานการปฏิบัติงาน (Performance Evidence)

ผลการปฏิบัติงาน โดยมีการรายงานชั่วโมงการปฏิบัติงาน ชั่วโมงสะสมจำนวนรวม 120 ชั่วโมง สำหรับระยะเวลา 3 ปี หรือ อย่างน้อยปีละ 30 ชั่วโมง

(ข)    หลักฐานความรู้ (Knowledge Evidence)

        1. ผลจากการสอบข้อเขียน

        2. ผลจากแฟ้มสะสมผลงาน

3. เอกสารประกาศนียบัตรรับรองคุณวุฒิวิชาชีพ/วุฒิบัตรวิชาชีพที่ออกโดยหน่วยงานที่เชื่อถือได้

(ค)    คำแนะนำในการประเมิน

ประเมินความรู้ความเข้าใจ การวิเคราะห์จากผลการตรวจสอบและการตรวจประเมิน (Gap) รายงานข้อเสนอแนะเพื่อปรับปรุงแก้ไข การรายงานผลการตรวจสอบ/การตรวจประเมิน แนวทางดำเนินการและตัดสินใจของผู้บริหาร สุ่มสอบทานข้อมูลกิจกรรมและข้อมูลการประมวลผลข้อมูลส่วนบุคคล/ข้อมูลธุรกิจ แนวทางดำเนินการตามกรณีศึกษา

(ง)    วิธีการประเมิน

        1. พิจารณาตามหลักฐานการปฏิบัติงาน

        2. พิจารณาตามหลักฐานความรู้

 


15. ขอบเขต (Range Statement)

(ก)    คำแนะนำ 

หน่วยสมรรถนะนี้เป็นการทดสอบ ประเมินความรู้ความเข้าใจ การวิเคราะห์และการดำเนินการระดับเชี่ยวชาญ สำหรับการตรวจสอบและข้อเสนอแนะที่ต้องดำเนินการ การตรวจประเมิน (Gap) และข้อเสนอแนะเพื่อปรับปรุงแก้ไข โดยมีการสุ่มสอบทานข้อมูลกิจกรรมและข้อมูลการประมวลผลข้อมูลส่วนบุคคล/ข้อมูลธุรกิจ แนวทางดำเนินการตามกรณีศึกษา

(ข)    คำอธิบายรายละเอียด

         - การตรวจสอบการปฏิบัติ (Investigation / Second-line-of-defense Audit) 

         - การตรวจประเมินสถานภาพการดำเนินการ (Gap Assessment) 

         - กิจกรรมและข้อมูลการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities: ROPA)

         - มาตรฐานและแนวปฏิบัติที่เกี่ยวข้อง ได้แก่ ISO/IEC 27001 (ISMS), ISO/IEC 27701 (PIMS), ISO/IEC 29100, ISO 19011, General Data Protection Regulation (GDPR), European Union Agency for Cybersecurity (ENISA: สมาคมด้านความมั่นคงปลอดภัยของยุโรป), ISACA และแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล 

         - การตรวจสอบบันทึกรายการ (มาตรา 39) และมาตรา 27, 30, 31, 32, 36, 37(1)  ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล 

 


16. หน่วยสมรรถนะร่วม (ถ้ามี)
N/A

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
N/A

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

18.1 เครื่องมือประเมินตรวจสอบการดำเนินการของผู้ปฏิบัติการ

       1) ผลข้อสอบข้อเขียน

       2) แฟ้มสะสมผลงาน

18.2 เครื่องมือประเมินตรวจสอบเทคนิค

       1) ผลข้อสอบข้อเขียน

       2) แฟ้มสะสมผลงาน

18.3 เครื่องมือประเมินตรวจสอบกระบวนการดำเนินการขององค์กร

       1) ผลข้อสอบข้อเขียน

       2) แฟ้มสะสมผลงาน

18.4 เครื่องมือประเมินตรวจสอบการประมวลผลข้อมูลส่วนบุคคล

       1) ผลข้อสอบข้อเขียน

       2) แฟ้มสะสมผลงาน

18.5 เครื่องมือประเมินประเมินความสอดคล้องตามข้อกำหนด

       1) ผลข้อสอบข้อเขียน

       2) แฟ้มสะสมผลงาน

 



ยินดีต้อนรับ