หน่วยสมรรถนะ

หน่วยสมรรถนะ

บริหารจัดการเหตุละเมิดข้อมูลส่วนบุคคล ระดับเชี่ยวชาญ

สาขาวิชาชีพอุตสาหกรรมดิจิทัล


รายละเอียดหน่วยสมรรถนะ


1. รหัสหน่วยสมรรถนะ ICT-UTJF-370B

2. ชื่อหน่วยสมรรถนะ บริหารจัดการเหตุละเมิดข้อมูลส่วนบุคคล ระดับเชี่ยวชาญ

3. ทบทวนครั้งที่ /

4. สร้างใหม่ ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)

N/A

6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)
ที่ผ่านหน่วยสมรรถนะนี้ เป็นบุคลากรและผู้ปฏิบัติหน้าที่งานเกี่ยวข้องด้านข้อมูลส่วนบุคคลและงานคุ้มครองข้อมูลส่วนบุคคล จัดการเหตุละเมิดข้อมูลส่วนบุคคล และประสานการแจ้งและรายงานเหตุละเมิด

7. สำหรับระดับคุณวุฒิ
1 2 3 4 5 6 7 8

8. กลุ่มอาชีพ (Sector)
ผู้ประกอบอาชีพในสาขาความปลอดภัยและความเป็นส่วนตัวทางดิจิทัล

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
N/A

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)
หน่วยสมรรถนะย่อย (EOC) เกณฑ์ในการปฏิบัติงาน (Performance Criteria) รหัส PC
(ตามเล่มมาตรฐาน)		 รหัส PC
(จากระบบ)
10303.01

จัดการเหตุละเมิดข้อมูลส่วนบุคคล

1. ให้คำแนะนำในการจัดทำกระบวนการและดำเนินการรับแจ้งเหตุ (Event)

 10303.01.01 153305
10303.01

จัดการเหตุละเมิดข้อมูลส่วนบุคคล

2. ให้คำแนะนำในการจัดทำกระบวนการและดำเนินการจัดการเหตุละเมิด (Incident)

 10303.01.02 153306
10303.01

จัดการเหตุละเมิดข้อมูลส่วนบุคคล

3. ให้คำแนะนำในการจัดทำกระบวนการและดำเนินการจัดเก็บข้อมูลหลักฐาน (Digital forensics)

 10303.01.03 153307
10303.02

ประสานการแจ้งและรายงานเหตุละเมิด

1. ให้คำแนะนำและประสานการแจ้งเหตุละเมิด (สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล)

 10303.02.01 153308
10303.02

ประสานการแจ้งและรายงานเหตุละเมิด

2. ให้คำแนะนำและประสานการแจ้งเหตุละเมิด (ในกรณีที่ผลกระทบและความเสี่ยงสูง แจ้งเจ้าของข้อมูล)

 10303.02.02 153309
10303.02

ประสานการแจ้งและรายงานเหตุละเมิด

3. ให้คำแนะนำและประสานในการรายงานจัดการเหตุละเมิด

 10303.02.03 153310

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)

ไม่มี

13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1.    ทักษะในการให้คำแนะนำสำหรับการบริหารจัดการและการปฏิบัติงาน ในการดำเนินการที่เกี่ยวกับการจัดการเหตุละเมิดข้อมูลส่วนบุคคล (การรับแจ้งเหตุ การจัดการเหตุละเมิด การจัดเก็บข้อมูลหลักฐาน)

2.    ทักษะในการให้คำแนะนำสำหรับการบริหารจัดการและการปฏิบัติงาน ในการดำเนินการและการประสานเกี่ยวกับการแจ้งเหตุละเมิดและการรายงานทักษะในการปฏิบัติงานและให้คำแนะนำในการจำแนกข้อมูลส่วนบุคคล ระดับปฏิบัติการ

(ข) ความต้องการด้านความรู้

1.    ความรู้เกี่ยวกับการจัดการเหตุละเมิดข้อมูลส่วนบุคคล (การรับแจ้งเหตุ การจัดการเหตุละเมิด การจัดเก็บข้อมูลหลักฐาน)

2.    ความรู้เกี่ยวกับการประสานการแจ้งเหตุละเมิดและการรายงาน

14. หลักฐานที่ต้องการ (Evidence Guide)

หลักฐานที่ต้องการจะกำหนดข้อแนะนำเกี่ยวกับการประเมิน และควรที่จะใช้ประกอบร่วมกันกับเกณฑ์การปฏิบัติงาน (Performance Criteria) และ ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก)    หลักฐานการปฏิบัติงาน (Performance Evidence)

ผลการปฏิบัติงาน โดยมีการรายงานชั่วโมงการปฏิบัติงาน ชั่วโมงสะสมจำนวนรวม 120 ชั่วโมง สำหรับระยะเวลา 3 ปี หรือ อย่างน้อยปีละ 30 ชั่วโมง

(ข)    หลักฐานความรู้ (Knowledge Evidence)

         1. ผลจากการสอบข้อเขียน

         2. ผลจากแฟ้มสะสมผลงาน

         3. เอกสารประกาศนียบัตรรับรองคุณวุฒิวิชาชีพ/วุฒิบัตรวิชาชีพที่ออกโดยหน่วยงานที่เชื่อถือได้

(ค)    คำแนะนำในการประเมิน

ประเมินความรู้ความเข้าใจ การวิเคราะห์เหตุการณ์ และการจัดการในกรณีมีปัญหาหรือเหตุละเมิดเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล แนวทางดำเนินการในการจัดการและประสานงานตามกรณีศึกษา

(ง)    วิธีการประเมิน

        1. พิจารณาตามหลักฐานความรู้

        2. พิจารณาตามหลักฐานแฟ้มสะสมผลงาน

 

15. ขอบเขต (Range Statement)

(ก)    คำแนะนำ 

หน่วยสมรรถนะนี้เป็นการทดสอบ ประเมินความรู้ความเข้าใจ การวิเคราะห์เหตุการณ์ในระดับเชี่ยวชาญ และการดำเนินการที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล และกรณีมีปัญหาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล หรือเหตุละเมิดข้อมูลส่วนบุคคล รวมทั้งการจัดเก็บข้อมูลหลักฐาน แนวทางดำเนินการตามกรณีศึกษา

(ข)    คำอธิบายรายละเอียด

         - กระบวนการประมวลผลข้อมูลส่วนบุคคล (Data processing management)

         - กระบวนการบริหารจัดการเหตุการณ์ (Event management)

         - กระบวนการบริหารจัดการเหตุขัดข้อง (Incident management and Problem management)

         - กระบวนการจัดการเรื่องร้องเรียน (Complaint management)

         - กระบวนการจัดเก็บข้อมูลหลักฐาน (Data forensics)

         - กระบวนการจัดการเหตุละเมิดข้อมูลส่วนบุคคล (Data breach management)

         - กระบวนการรายงานและสื่อสารกรณีเหตุละเมิด (Data breach reporting and communication)

         - มาตรฐานและแนวปฏิบัติที่เกี่ยวข้อง ได้แก่ ISO 31000, ISO/IEC 27005, ISO/IEC 27001 (ISMS), ISO/IEC 27701 (PIMS), ISO/IEC 29100, General Data Protection Regulation (GDPR), European Union Agency for Cybersecurity (ENISA: สมาคมด้านความมั่นคงปลอดภัยของยุโรป), ISACA และแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

 

16. หน่วยสมรรถนะร่วม (ถ้ามี)
N/A

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
N/A

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

18.1 เครื่องมือประเมินจัดการเหตุละเมิดข้อมูลส่วนบุคคล

       1) ผลข้อสอบข้อเขียน

       2) แฟ้มสะสมผลงาน

18.2 เครื่องมือประเมินประสานการแจ้งและรายงานเหตุละเมิด

       1) ผลข้อสอบข้อเขียน

       2) แฟ้มสะสมผลงาน

 

กลับ

ยินดีต้อนรับ