หน่วยสมรรถนะ

หน่วยสมรรถนะ

ดำเนินการจัดทำนโยบายและแนวปฏิบัติ ระดับเชี่ยวชาญ

สาขาวิชาชีพอุตสาหกรรมดิจิทัล


รายละเอียดหน่วยสมรรถนะ


1. รหัสหน่วยสมรรถนะ ICT-KEOK-371B

2. ชื่อหน่วยสมรรถนะ ดำเนินการจัดทำนโยบายและแนวปฏิบัติ ระดับเชี่ยวชาญ

3. ทบทวนครั้งที่ /

4. สร้างใหม่ ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)

N/A



6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)
ผู้ที่ผ่านหน่วยสมรรถนะนี้ เป็นบุคลากรและผู้ปฏิบัติหน้าที่งานเกี่ยวข้องด้านข้อมูลส่วนบุคคลและงานคุ้มครองข้อมูลส่วนบุคคล ให้คำแนะนำในการจัดทำนโยบายความมั่นคงปลอดภัยที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล

7. สำหรับระดับคุณวุฒิ
1 2 3 4 5 6 7 8

8. กลุ่มอาชีพ (Sector)
ผู้ประกอบอาชีพในสาขาความปลอดภัยและความเป็นส่วนตัวทางดิจิทัล

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
N/A

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)
หน่วยสมรรถนะย่อย (EOC) เกณฑ์ในการปฏิบัติงาน (Performance Criteria) รหัส PC
(ตามเล่มมาตรฐาน)
รหัส PC
(จากระบบ)
10401.01

ให้คำแนะนำในการจัดทำและดำเนินนโยบายที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล

1. ให้คำแนะนำในการจัดทำและดำเนินนโยบายการคุ้มครองข้อมูลส่วนบุคคล

10401.01.01 153311
10401.01

ให้คำแนะนำในการจัดทำและดำเนินนโยบายที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล

2. ให้คำแนะนำในการจัดทำและดำเนินนโยบายการจัดชั้นข้อมูลส่วนบุคคล

10401.01.02 153312
10401.01

ให้คำแนะนำในการจัดทำและดำเนินนโยบายที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล

3. ให้คำแนะนำในการจัดทำและดำเนินนโยบายการจัดเก็บข้อมูลส่วนบุคคล  

10401.01.03 153313
10401.01

ให้คำแนะนำในการจัดทำและดำเนินนโยบายที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล

4. ให้คำแนะนำในการจัดทำและดำเนินนโยบายการประมวลผลข้อมูลส่วนบุคคล

10401.01.04 153314
10401.01

ให้คำแนะนำในการจัดทำและดำเนินนโยบายที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล

5. ให้คำแนะนำในการจัดทำและดำเนินนโยบายการส่งโอนข้อมูลส่วนบุคคล

10401.01.05 153315
10401.01

ให้คำแนะนำในการจัดทำและดำเนินนโยบายที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล

6. ให้คำแนะนำในการจัดทำและดำเนินนโยบายอื่นที่เกี่ยวข้อง

10401.01.06 153316
10401.02

ให้คำแนะนำในการจัดทำและดำเนินนโยบายด้านความมั่นคงปลอดภัยข้อมูล

1. ให้คำแนะนำในการจัดทำและดำเนินนโยบายในการควบคุมเข้าถึงข้อมูล

10401.02.01 153317
10401.02

ให้คำแนะนำในการจัดทำและดำเนินนโยบายด้านความมั่นคงปลอดภัยข้อมูล

2. ให้คำแนะนำในการจัดทำและดำเนินนโยบายในการสำรองข้อมูล

10401.02.02 153318
10401.02

ให้คำแนะนำในการจัดทำและดำเนินนโยบายด้านความมั่นคงปลอดภัยข้อมูล

3. ให้คำแนะนำในการจัดทำและดำเนินแนวทางปฏิบัติกรณีเกิดภัยคุกคาม (ฉุกเฉิน) 

10401.02.03 153319
10401.02

ให้คำแนะนำในการจัดทำและดำเนินนโยบายด้านความมั่นคงปลอดภัยข้อมูล

4. ให้คำแนะนำในการจัดทำและดำเนินแผนกู้คืนระบบ

10401.02.04 153320
10401.02

ให้คำแนะนำในการจัดทำและดำเนินนโยบายด้านความมั่นคงปลอดภัยข้อมูล

5. ให้คำแนะนำในการจัดทำและดำเนินนโยบายอื่นที่เกี่ยวข้อง

10401.02.05 153321

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)

ไม่มี


13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1.    ทักษะในการให้คำแนะนำสำหรับการจัดทำและดำเนินนโยบายที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล (นโยบายการคุ้มครองข้อมูลส่วนบุคคล นโยบายการจัดชั้นข้อมูลส่วนบุคคล นโยบายการจัดเก็บข้อมูลส่วนบุคคล นโยบายการประมวลผลข้อมูลส่วนบุคคล นโยบายการส่งโอนข้อมูลส่วนบุคคล ฯลฯ)

2.    ทักษะในการให้คำแนะนำสำหรับการจัดทำและดำเนินนโยบายด้านความมั่นคงปลอดภัยข้อมูล (นโยบายความมั่นคงปลอดภัยข้อมูล นโยบายในการควบคุมเข้าถึงข้อมูล นโยบายในการสำรองข้อมูล แนวทางปฏิบัติกรณีเกิดภัยคุกคาม (ฉุกเฉิน) แผนกู้คืนระบบ ฯลฯ) ทักษะในการปฏิบัติงานและให้คำแนะนำในการจำแนกข้อมูลส่วนบุคคล ระดับปฏิบัติการ

(ข) ความต้องการด้านความรู้

1.    ความรู้เกี่ยวกับนโยบายด้านการคุ้มครองข้อมูลส่วนบุคคล (นโยบายการคุ้มครองข้อมูลส่วนบุคคล นโยบายการจัดชั้นข้อมูลส่วนบุคคล นโยบายการจัดเก็บข้อมูลส่วนบุคคล นโยบายการประมวลผลข้อมูลส่วนบุคคล นโยบายการส่งโอนข้อมูลส่วนบุคคล ฯลฯ)

2.    ความรู้เกี่ยวกับนโยบายด้านความมั่นคงปลอดภัยข้อมูล (นโยบายความมั่นคงปลอดภัยข้อมูล นโยบายในการควบคุมเข้าถึงข้อมูล นโยบายในการสำรองข้อมูล แนวทางปฏิบัติกรณีเกิดภัยคุกคาม (ฉุกเฉิน) แผนกู้คืนระบบ ฯลฯ)


14. หลักฐานที่ต้องการ (Evidence Guide)

หลักฐานที่ต้องการจะกำหนดข้อแนะนำเกี่ยวกับการประเมิน และควรที่จะใช้ประกอบร่วมกันกับเกณฑ์การปฏิบัติงาน (Performance Criteria) และ ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก)    หลักฐานการปฏิบัติงาน (Performance Evidence)

ผลการปฏิบัติงาน โดยมีการรายงานชั่วโมงการปฏิบัติงาน ชั่วโมงสะสมจำนวนรวม 120 ชั่วโมง สำหรับระยะเวลา 3 ปี หรือ อย่างน้อยปีละ 30 ชั่วโมง

(ข)    หลักฐานความรู้ (Knowledge Evidence)

        1. ผลจากการสอบข้อเขียน

        2. ผลจากแฟ้มสะสมผลงาน

        3. เอกสารประกาศนียบัตรรับรองคุณวุฒิวิชาชีพ/วุฒิบัตรวิชาชีพที่ออกโดยหน่วยงานที่เชื่อถือได้

(ค)    คำแนะนำในการประเมิน

ประเมินความรู้ความเข้าใจ วิเคราะห์ในระดับปฏิบัติการและนำไปใช้ดำเนินการตามข้อกำหนดของกฎหมาย หลักการคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล ฐานการประมวลผลคุ้มครองข้อมูลส่วนบุคคล และหลักฐานการจำแนกข้อมูลส่วนบุคคลที่ต้องดำเนินการตามกฎหมาย

(ง)     วิธีการประเมิน

         1. พิจารณาตามหลักฐานความรู้

         2. พิจารณาตามหลักฐานแฟ้มสะสมผลงาน


15. ขอบเขต (Range Statement)

(ก)    คำแนะนำ 

หน่วยสมรรถนะนี้เป็นการทดสอบ ประเมินความรู้ความเข้าใจ การวิเคราะห์และการดำเนินการเกี่ยวกับนโยบายด้านการคุ้มครองข้อมูลส่วนบุคคล และนโยบายด้านความมั่นคงปลอดภัยข้อมูล ผลของการอนุมัติประกาศใช้ ติดตามผลของการปฏิบัติ และแนวทางทบทวนปรับปรุงต่อเนื่อง

(ข)    คำอธิบายรายละเอียด

1)    นโยบายด้านการคุ้มครองข้อมูลส่วนบุคคล 

       - นโยบายการคุ้มครองข้อมูลส่วนบุคคล

       - นโยบายการจัดชั้นข้อมูลส่วนบุคคล 

       - นโยบายการจัดเก็บข้อมูลส่วนบุคคล 

       - นโยบายการประมวลผลข้อมูลส่วนบุคคล 

       - นโยบายการส่งโอนข้อมูลส่วนบุคคล ฯลฯ)

2)    นโยบายด้านความมั่นคงปลอดภัยข้อมูล 

       - นโยบายความมั่นคงปลอดภัยข้อมูล 

       - นโยบายการควบคุมเข้าถึงข้อมูล

       - นโยบายการสำรองข้อมูล 

       - แนวทางปฏิบัติกรณีเกิดภัยคุกคาม (ฉุกเฉิน) 

       - แผนกู้คืนระบบ

       - ฯลฯ

3)    มาตรฐานและแนวปฏิบัติที่เกี่ยวข้อง ได้แก่ ISO/IEC 27001 (ISMS), ISO/IEC 27701 (PIMS), ISO/IEC 29100, General Data Protection Regulation (GDPR), European Union Agency for Cybersecurity (ENISA: สมาคมด้านความมั่นคงปลอดภัยของยุโรป), ISACA และแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล


16. หน่วยสมรรถนะร่วม (ถ้ามี)
N/A

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
N/A

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

18.1 เครื่องมือประเมินให้คำแนะนำในการจัดทำนโยบายที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล

       1) ผลข้อสอบข้อเขียน

       2) แฟ้มสะสมผลงาน



18.2 เครื่องมือประเมินให้คำแนะนำนโยบายด้านความมั่นคงปลอดภัยข้อมูล

       1) ผลข้อสอบข้อเขียน

       2) แฟ้มสะสมผลงาน



ยินดีต้อนรับ