หน่วยสมรรถนะ

หน่วยสมรรถนะ

บริหารจัดการเหตุละเมิดข้อมูลส่วนบุคคล ระดับบริหาร

สาขาวิชาชีพอุตสาหกรรมดิจิทัล


รายละเอียดหน่วยสมรรถนะ


1. รหัสหน่วยสมรรถนะ ICT-VVFE-369B

2. ชื่อหน่วยสมรรถนะ บริหารจัดการเหตุละเมิดข้อมูลส่วนบุคคล ระดับบริหาร

3. ทบทวนครั้งที่ /

4. สร้างใหม่ ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)

N/A

6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)
ผู้ที่ผ่านหน่วยสมรรถนะนี้ เป็นบุคลากรและผู้ปฏิบัติหน้าที่งานเกี่ยวข้องด้านข้อมูลส่วนบุคคลและงานคุ้มครองข้อมูลส่วนบุคคล การแจ้งเหตุการละเมิด การรายงานและพิจารณาผลกระทบเหตุละเมิด

7. สำหรับระดับคุณวุฒิ
1 2 3 4 5 6 7 8

8. กลุ่มอาชีพ (Sector)
ผู้ประกอบอาชีพในสาขาความปลอดภัยและความเป็นส่วนตัวทางดิจิทัล

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
N/A

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)
หน่วยสมรรถนะย่อย (EOC) เกณฑ์ในการปฏิบัติงาน (Performance Criteria) รหัส PC
(ตามเล่มมาตรฐาน)		 รหัส PC
(จากระบบ)
10302.01

แจ้งเหตุการละเมิดและรายงานเหตุละเมิด

1. บริหารจัดการข้อละเมิด

 10302.01.01 153300
10302.01

แจ้งเหตุการละเมิดและรายงานเหตุละเมิด

2. บริหารจัดการข้อร้องเรียน

 10302.01.02 153301
10302.01

แจ้งเหตุการละเมิดและรายงานเหตุละเมิด

3. รายงานเหตุละเมิด

 10302.01.03 153302
10302.02

พิจารณาผลกระทบ

1. แจ้งเหตุต่อเจ้าของข้อมูล 

 10302.02.01 153303
10302.02

พิจารณาผลกระทบ

2. พิจารณาผลกระทบความเสี่ยง 

 10302.02.02 153304

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)

ไม่มี

13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1.    ทักษะในการบริหารจัดการ ทีเกี่ยวกับการดำเนินกรณีมีเหตุละเมิดข้อมูลส่วนบุคคล (การแจ้งเหตุและการรายงาน การจัดการข้อละเมิด การจัดการข้อร้องเรียน)

2.    ทักษะในการบริหารจัดการ ที่เกี่ยวกับเจ้าของข้อมูลส่วนบุคคลและหน่วยงานภายนอก กรณีเหตุละเมิดที่มีผลกระทบและความเสี่ยงต่อเจ้าของข้อมูลส่วนบุคคล

(ข) ความต้องการด้านความรู้

1.    ความรู้เกี่ยวกับการจัดการเหตุละเมิดข้อมูลส่วนบุคคล (การแจ้งเหตุและการรายงาน การจัดการข้อละเมิด การจัดการข้อร้องเรียน)

2.    ความรู้เกี่ยวกับการดำเนินการเหตุละเมิดที่มีผลกระทบและความเสี่ยงต่อเจ้าของข้อมูลส่วนบุคคล

14. หลักฐานที่ต้องการ (Evidence Guide)

หลักฐานที่ต้องการจะกำหนดข้อแนะนำเกี่ยวกับการประเมิน และควรที่จะใช้ประกอบร่วมกันกับเกณฑ์การปฏิบัติงาน (Performance Criteria) และ ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก)    หลักฐานการปฏิบัติงาน (Performance Evidence)

ผลการปฏิบัติงาน โดยมีการรายงานชั่วโมงการปฏิบัติงาน ชั่วโมงสะสมจำนวนรวม 120 ชั่วโมง สำหรับระยะเวลา 3 ปี หรือ อย่างน้อยปีละ 30 ชั่วโมง

(ข)    หลักฐานความรู้ (Knowledge Evidence)

        1. ผลจากการสอบข้อเขียน

        2. ผลจากแฟ้มสะสมผลงาน

        3. เอกสารประกาศนียบัตรรับรองคุณวุฒิวิชาชีพ/วุฒิบัตรวิชาชีพที่ออกโดยหน่วยงานที่เชื่อถือได้



(ค)    คำแนะนำในการประเมิน

ประเมินความรู้ความเข้าใจ การวิเคราะห์เหตุการณ์ และการบริหารจัดการ ในกรณีมีปัญหาหรือเหตุละเมิดเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล แนวทางดำเนินการในการบริหารจัดการ ช่องทาง และผู้รับผิดชอบหลักในการรายงานและประสานงานตามกรณีศึกษา

(ง)    วิธีการประเมิน

        1. พิจารณาตามหลักฐานความรู้

        2. พิจารณาตามหลักฐานแฟ้มสะสมผลงาน

 

15. ขอบเขต (Range Statement)

(ก)    คำแนะนำ 

หน่วยสมรรถนะนี้เป็นการทดสอบ ประเมินความรู้ความเข้าใจ การวิเคราะห์ในระดับบริหาร และการนำไปใช้กำกับดูแลและบริหารจัดการในการประมวลผลข้อมูลส่วนบุคคล และกรณีมีปัญหาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล หรือเหตุละเมิดข้อมูลส่วนบุคคล รวมทั้งการจัดเก็บข้อมูลหลักฐาน แนวทางดำเนินการตามกรณีศึกษา

(ข)    คำอธิบายรายละเอียด

        - กระบวนการประมวลผลข้อมูลส่วนบุคคล (Data processing management)

        - กระบวนการบริหารจัดการเหตุการณ์ (Event management)

        - กระบวนการบริหารจัดการเหตุขัดข้อง (Incident management and Problem management)

        - กระบวนการจัดการเรื่องร้องเรียน (Complaint management)

        - กระบวนการจัดเก็บข้อมูลหลักฐาน (Data forensics)

        - กระบวนการจัดการเหตุละเมิดข้อมูลส่วนบุคคล (Data breach management)

        - กระบวนการรายงานและสื่อสารกรณีเหตุละเมิด (Data breach reporting and communication)

        - มาตรฐานและแนวปฏิบัติที่เกี่ยวข้อง ได้แก่ ISO 31000, ISO/IEC 27005, ISO/IEC 27001 (ISMS), ISO/IEC 27701 (PIMS), ISO/IEC 29100, General Data Protection Regulation (GDPR), European Union Agency for Cybersecurity (ENISA: สมาคมด้านความมั่นคงปลอดภัยของยุโรป), ISACA และแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

16. หน่วยสมรรถนะร่วม (ถ้ามี)
N/A

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
N/A

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

18.1 เครื่องมือประเมินแจ้งเหตุการละเมิดและรายงานเหตุละเมิด

       1) ผลข้อสอบข้อเขียน

       2) แฟ้มสะสมผลงาน

18.2 เครื่องมือประเมินพิจารณาผลกระทบ

       1) ผลข้อสอบข้อเขียน

       2) แฟ้มสะสมผลงาน

กลับ

ยินดีต้อนรับ