TPQI-NET PROFESSIONAL QUALIFICATION

1. รหัสหน่วยสมรรถนะ

ICT-MRXI-366B

2. ชื่อหน่วยสมรรถนะ

บริหารจัดการความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล ระดับบริหาร

3. ทบทวนครั้งที่

/

4. สร้างใหม่

ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)
	N/A

6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)

ผู้ที่ผ่านหน่วยสมรรถนะนี้ เป็นบุคลากรและผู้ปฏิบัติหน้าที่งานเกี่ยวข้องด้านข้อมูลส่วนบุคคลและงานคุ้มครองข้อมูลส่วนบุคคล กำหนดนโยบายการบริหารและอนุมัติแผนบริหารจัดการความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล

7. สำหรับระดับคุณวุฒิ

1	2	3	4	5	6	7	8

8. กลุ่มอาชีพ (Sector)
	ผู้ประกอบอาชีพในสาขาความปลอดภัยและความเป็นส่วนตัวทางดิจิทัล

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
	N/A

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
	พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)

หน่วยสมรรถนะย่อย (EOC)	เกณฑ์ในการปฏิบัติงาน (Performance Criteria)	รหัส PC (ตามเล่มมาตรฐาน)	รหัส PC (จากระบบ)
10202.01 กำหนดนโยบายการบริหารความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล	1. ดำเนินการในกระบวนการอนุมัตินโยบายและการประเมินความเสี่ยง	10202.01.01	153274
10202.01 กำหนดนโยบายการบริหารความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล	2. ดำเนินการในกระบวนการอนุมัติกรอบบริหารการความเสี่ยง	10202.01.02	153275
10202.01 กำหนดนโยบายการบริหารความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล	3. ดำเนินการในกระบวนการอนุมัติเกณฑ์การบริหารความเสี่ยง	10202.01.03	153276
10202.02 อนุมัติแผนบริหารจัดการความเสี่ยง	1. ดำเนินการในกระบวนการอนุมัติมาตรการควบคุมความเสี่ยงสำหรับบริหารจัดการความเสี่ยง	10202.02.01	153277
10202.02 อนุมัติแผนบริหารจัดการความเสี่ยง	2. ดำเนินการในกระบวนการติดตามสถานะแผนบริหารจัดการความเสี่ยง	10202.02.02	153278

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)
	ไม่มี

13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1. ทักษะเกี่ยวกับการควบคุมดูแลและบริหารจัดการในการกำหนดนโยบาย แนวปฏิบัติ กรอบการบริหารความเสี่ยง กระบวนการและวิธีการประเมินความเสี่ยง เกณฑ์การบริหารความเสี่ยง สำหรับการประเมินผลกระทบและประเมินความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล

2. ทักษะเกี่ยวกับการควบคุมดูแลและบริหารจัดการ สำหรับการจัดทำแผนบริหารจัดการความเสี่ยง และการดำเนินการมาตรการควบคุมจัดการความเสี่ยง มาตรการควบคุมด้านความมั่นคงปลอดภัยของข้อมูล มาตรการด้านเทคนิค และมาตรการด้านการบริหารจัดการระดับปฏิบัติการ

(ข) ความต้องการด้านความรู้

1. ความรู้เกี่ยวกับการกำหนดนโยบาย แนวปฏิบัติ กรอบการบริหารความเสี่ยง กระบวนการและวิธีการประเมินความเสี่ยง เกณฑ์การบริหารความเสี่ยง สำหรับการประเมินผลกระทบและประเมินความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล

2. ความรู้เกี่ยวกับการจัดทำแผนบริหารจัดการความเสี่ยง และการดำเนินการมาตรการควบคุมจัดการความเสี่ยง มาตรการควบคุมด้านความมั่นคงปลอดภัยของข้อมูล มาตรการด้านเทคนิค และมาตรการด้านการบริหารจัดการ

14. หลักฐานที่ต้องการ (Evidence Guide)

หลักฐานที่ต้องการจะกำหนดข้อแนะนำเกี่ยวกับการประเมิน และควรที่จะใช้ประกอบร่วมกันกับเกณฑ์การปฏิบัติงาน (Performance Criteria) และ ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก)   หลักฐานการปฏิบัติงาน (Performance Evidence)

ผลการปฏิบัติงาน โดยมีการรายงานชั่วโมงการปฏิบัติงาน ชั่วโมงสะสมจำนวนรวม 120 ชั่วโมง สำหรับระยะเวลา 3 ปี หรือ อย่างน้อยปีละ 30 ชั่วโมง

(ข)   หลักฐานความรู้ (Knowledge Evidence)

1. ผลจากการสอบข้อเขียน

2. ผลจากแฟ้มสะสมผลงาน

3. เอกสารประกาศนียบัตรรับรองคุณวุฒิวิชาชีพ/วุฒิบัตรวิชาชีพที่ออกโดยหน่วยงานที่เชื่อถือได้

(ค)   คำแนะนำในการประเมิน

ประเมินความรู้ความเข้าใจที่เกี่ยวกับนโยบาย แนวปฏิบัติ กรอบการบริหารความเสี่ยง กระบวนการและวิธีการประเมินผลกระทบและประเมินความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล แผนบริหารจัดการความเสี่ยง และมาตรการควบคุมจัดการความเสี่ยง ข้อมูลหลักฐานการอนุมัติ/ ให้ความเห็นชอบ และการรายงานผล/ สถานะผลดำเนินการ

(ง) วิธีการประเมิน

1. พิจารณาตามหลักฐานความรู้

2. พิจารณาตามหลักฐานแฟ้มสะสมผลงาน

15. ขอบเขต (Range Statement)

(ก)   คำแนะนำ

หน่วยสมรรถนะนี้เป็นการทดสอบ ประเมินความรู้ความเข้าใจ การวิเคราะห์และการนำไปใช้ดำเนินการในระดับบริหาร เกี่ยวกับกระบวนการประเมินผลกระทบและประเมินความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล ทั้งการประเมินเมื่อมีการจัดทำระบบสำหรับการประมวลผลข้อมูลส่วนบุคคล/ ดำเนินการประมวลผลข้อมูลส่วนบุคคล มีเหตุละเมิด หรือเมื่อมีคำสั่งจากหน่วยงานกำกับดูแล

(ข)   คำอธิบายรายละเอียด

- การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล

- การประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล

   (ระบุความเสี่ยง วิเคราะห์ความเสี่ยง ประเมินระดับความเสี่ยง)

- เกณฑ์การประเมินความเสี่ยง (Risk assessment criteria)

- เกณฑ์การยอมรับความเสี่ยง (Risk appetite / Risk acceptance criteria)

- ตารางระดับความเสี่ยง (Risk Matrix)

- แผนบริหารความเสี่ยง/แผนจัดการความเสี่ยง (Risk management plan/Risk Treatment plan)

- ตัวชี้วัดความเสี่ยง (Key risk indicator: KRI)

- เกณฑ์ประสิทธิผลของมาตรการควบคุม (Control Effectiveness criteria)

- มาตรการควบคุมความเสี่ยง (Controls for risk treatment)

- มาตรการควบคุมด้านความมั่นคงปลอดภัยของข้อมูล (Data Security controls)

- มาตรการด้านเทคนิค (Technical measures)

- มาตรการด้านการบริหารจัดการ (Organization measures)

- มาตรฐานและแนวปฏิบัติที่เกี่ยวข้อง ได้แก่ COSO Enterprise Risk Management (ERM), ISO 31000, ISO/IEC 27005, ISO/IEC 27001 (ISMS), ISO/IEC 27701 (PIMS), ISO/IEC 29100, ISO/IEC 29134, General Data Protection Regulation (GDPR), European Union Agency for Cybersecurity (ENISA: สมาคมด้านความมั่นคงปลอดภัยของยุโรป), ISACA และแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

16. หน่วยสมรรถนะร่วม (ถ้ามี)
	N/A

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
	N/A

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

18.1 เครื่องมือประเมินกำหนดนโยบายการบริหารความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล ระดับบริหาร

   1) ผลข้อสอบข้อเขียน

   2) แฟ้มสะสมผลงาน

18.2 เครื่องมือประเมินอนุมัติแผนบริหารจัดการความเสี่ยง

   1) ผลข้อสอบข้อเขียน

   2) แฟ้มสะสมผลงาน

หน่วยสมรรถนะ

บริหารจัดการความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล ระดับบริหาร

กลับ

ยินดีต้อนรับ