หน่วยสมรรถนะ

หน่วยสมรรถนะ

พัฒนาแผนบริหารจัดการความมั่นคงปลอดภัยและความต่อเนื่องการให้บริการแบบดิจิทัล

สมรรถนะสนับสนุนการทำงานด้านดิจิทัลสำหรับข้าราชการ และบุคลากรภาครัฐ


รายละเอียดหน่วยสมรรถนะ


1. รหัสหน่วยสมรรถนะ CEC-SMAP-017

2. ชื่อหน่วยสมรรถนะ พัฒนาแผนบริหารจัดการความมั่นคงปลอดภัยและความต่อเนื่องการให้บริการแบบดิจิทัล

3. ทบทวนครั้งที่ /

4. สร้างใหม่ ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)

ข้าราชการและบุคลากรภาครัฐ กลุ่มผู้ปฏิบัติงานเฉพาะด้านเทคโนโลยีดิจิทัล (Technology)

6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)
ผู้ที่ผ่านหน่วยสมรรถนะนี้เป็นผู้ที่สามารถวิเคราะห์ความเสี่ยงด้านความมั่นคงปลอดภัยของทรัพยากร ต่างๆ สามารถเลือกใช้เทคโนโลยีความมั่นคงปลอดภัยที่เหมาะสม สามารถตรวจสอบและตอบสนองต่ออุบัติการณ์ ของทรัพยากรสารสนเทศ สามารถสำรวจและวิเคราะห์กระบวนการทำงานสำหรับจัดทำแผนการให้บริการ เทคโนโลยีสารสนเทศอย่างต่อเนื่อง เพื่อให้การใช้เทคโนโลยีดิจิทัลสมัยใหม่ให้เอื้อต่อการให้บริการดิจิทัลได้อย่าง คุ้มค่า

7. สำหรับระดับคุณวุฒิ

8. กลุ่มอาชีพ (Sector)
ข้าราชการ และบุคลากรภาครัฐ

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
N/A

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
มาตรฐาน ISO/IEC 27001 มาตรฐาน ISO/IEC 17799:2005

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)
หน่วยสมรรถนะย่อย (EOC) เกณฑ์ในการปฏิบัติงาน (Performance Criteria) รหัส PC
(ตามเล่มมาตรฐาน)		 รหัส PC
(จากระบบ)
DT501

จัดการความมั่นคงปลอดภัย

1.1 กำหนดขอบเขตของทรัพยากรสารสนเทศ ที่มีความเสี่ยงทางด้านความมั่นคงปลอดภัย

 DT501.01 176644
DT501

จัดการความมั่นคงปลอดภัย

1.2 เลือกใช้ระบบความมั่นคงปลอดภัย

 DT501.02 176645
DT501

จัดการความมั่นคงปลอดภัย

1.3 ตรวจสอบอุบัติการณ์ของทรัพยากรสารสนเทศ (Information Security Incident)

 DT501.03 176646
DT501

จัดการความมั่นคงปลอดภัย

1.4 ดำเนินการตอบสนองต่ออุบัติการณ์ของทรัพยากรสารสนเทศ

 DT501.04 176647
DT502

พัฒนาแผนการให้บริการเทคโนโลยีสารสนเทศขององค์กร

2.1 จัดทำรายงานผลการวิเคราะห์กระบวนการทำงาน

 DT502.01 176648
DT502

พัฒนาแผนการให้บริการเทคโนโลยีสารสนเทศขององค์กร

2.2 จัดทำแผนการดำเนินงานการให้บริการเทคโนโลยีดิจิทัลอย่างต่อเนื่อง

 DT502.02 176649
DT502

พัฒนาแผนการให้บริการเทคโนโลยีสารสนเทศขององค์กร

2.3 ดำเนินงานตามแผนบริหารจัดการความมั่นคงปลอดภัยและความต่อเนื่องการให้บริการแบบดิจิทัลอย่างต่อเนื่อง

 DT502.03 176650

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)

  • ทักษะการเรียนรู้ในศตวววษที่ 21

  • ความเข้าใจเกี่ยวกับระบบราชการ หน้าที่ความรับผิดชอบ และการบริหารจัดการภาครัฐ

  • ความรู้เกี่ยวกับกฎหมายปกครอง พ.ร.บ.ข้อมูลข่าวสารทางราชการ กฎหมายว่าด้วยการละเมิด

  • ความรู้เกี่ยวกับทิศทางและยุทธศาสตร์ของประเทศ

  • ความรู้เกี่ยวกับเทคโนโลยีดิจิทัล

13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ


  • ทักษะในการจัดทำรายงาน และการนำเสนอ (Presentation)

  • ชอบแก้ปัญหาที่มีความท้าทาย (Problem Solving)

  • มีความคิดริเริ่ม (Innovative)

  • ชอบทดลองทำสิ่งใหม่ๆ (Exploratorily Excitable)

  • มีความพยายาม ไม่ย่อท้อ (Persistent)

(ข) ความต้องการด้านความรู้


  • ความรู้เกี่ยวกับกฏหมายดิจิทัลและกฏหมายอื่นที่เกี่ยวข้อง

  • ความรู้ด้านการจัดการเทคโนโลยีสารสนเทศ (IT Management)

  • ความรู้พื้นฐานเกี่ยวกับความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ

  • ความรู้เกี่ยวกับภัยคุกคามเทคโนโลยีดิจิทัล

  • ความรู้ด้านการจัดการความเสี่ยงดิจิทัล (Digital Risk Management)

14. หลักฐานที่ต้องการ (Evidence Guide)

(ก) หลักฐานการปฏิบัติงาน (Performance Evidence) 




  • หลักฐานหรือเอกสารการมีส่วนร่วมในการจัดทำแผนการจัดการความมั่นคงปลอดภัยด้านเทคโนโลยี ดิจิทัลขององค์กร

  • หลักฐานหรือเอกสารการมีส่วนร่วมในการจัดทำแนวปฏิบัติด้านความมั่นคงปลอดภัยด้านเทคโนโลยี ดิจิทัลขององค์กร มาตรฐานสมรรถนะด้านดิจิทัลสำหรับข้าราชการและบุคลากรภาครัฐ

  • ประวัติการดำรงตำแหน่ง หรือ ประวัติการทำงาน



(ข) หลักฐานความรู้(Knowledge Evidence)




  • ผลการทดสอบความรู้ด้านต่างๆ ที่เกี่ยวข้อง

  • เอกสารแผนการจัดการความมั่นคงปลอดภัยด้านเทคโนโลยีดิจิทัล

  • ประกาศนียบัตรต่างๆ จากการฝึกอบรมพัฒนาหรือการเรียนรู้ที่เกี่ยวข้อง



(ค) คำแนะนำในการประเมิน




  • พิจารณาได้จากคุณภาพของแผนการจัดการความมั่นคงปลอดภัยด้านเทคโนโลยีดิจิทัลขององค์กร

  • พิจารณาได้จากบันทึกการดำเนินการและเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยด้านเทคโนโลยี ดิจิทัลขององค์กร

  • ตรวจประเมินหลักฐานโดยพิจารณาจากร่องรอยหลักฐานที่เกี่ยวข้อง ทั้งหลักฐานด้านปฏิบัติงานและ หลักฐานด้านความรู้

15. ขอบเขต (Range Statement)

หน่วยสมรรถนะนี้เกี่ยวข้องกับการจัดทำและดำเนินการตามแผนความมั่นคงปลอดภัยด้านเทคโนโลยี ดิจิทัลและแนวปฏิบัติความมั่นคงปลอดภัยด้านเทคโนโลยีดิจิทัลขององค์กร ซึ่งเป็นการดำเนินการดังกล่าวเป็น ทำงานในรูปแบบของทีมหรือคณะทำงาน ดังนั้นจึงต้องพิจารณาจากหน้าที่ บทบาทและความรับผิดชอบของแต่ละ บุคคลว่ามีความเกี่ยวข้องกับแผนและแนวปฏิบัติด้านความมั่นคงปลอดภัยด้านเทคโนโลยีดิจิทัลอย่างไร



(ก) คำแนะนำ



การจัดการความมั่นคงปลอดภัยในส่วนนี้ครอบคลุมทรัพยากรสารสนเทศ อันได้แก่ ฮาร์ดแวร์ ซอฟต์แวร์ระบบปฏิบัติการ ระบบฐานข้อมูลและระบบเครือข่าย โดยพิจารณาเฉพาะอุปกรณ์ทั่วไปที่ใช้ใน องค์กรเท่านั้น ไม่นับรวมเครื่องมือหรืออุปกรณ์พิเศษที่เกี่ยวข้อง ซึ่งแนวทางการดำเนินการด้านการจัดการ ความมั่นคงปลอดภัยจะอยู่ในแผนความมั่นคงปลอดภัยด้านเทคโนโลยีดิจิทัลขององค์กร หรือแนวทาง ปฏิบัติด้านความมั่นคงปลอดภัยด้านดิจิทัล นอกจากนี้องค์กรส่วนใหญ่จะมีการจัดทำรายงานผลการ วิเคราะห์กระบวนการทำงาน เพื่อให้บริการเทคโนโลยีดิจิทัลอย่างต่อเนื่อง ดังนั้นการประเมินส่วนหนึ่ง สามารถประเมินได้จากการมีส่วนเกี่ยวข้องหรือหน้าที่บทบาทที่กำหนดในเอกสารดังกล่าว



(ข) คำอธิบายรายละเอียด




  • แผนความมั่นคงปลอดภัยด้านเทคโนโลยีดิจิทัล เป็นแผนที่มีการวิเคราะห์สภานภาพความเสี่ยงและ ความมั่นคงปลอดภัยด้านดิจิทัลขององค์กร มีการกำหนดโครงการที่จะต้องดำเนินการด้านความมั่นคง ปลอดภัยดิจิทัลเพื่อให้บรรลุเป้าหมายขององค์กรในช่วงเวลา 4-5 ปี

  • แนวปฏิบัติความมั่นคงปลอดภัยด้านเทคโนโลยีดิจิทัล เป็นนโยบาย ข้อปฏิบัติหรือระเบียบที่เกี่ยวข้อง กับการใช้งานเพื่อไม่ให้เกิดปัญหาด้านความมั่นคงปลอดภัยด้านดิจิทัล

  • มาตราฐาน ISO/IEC 27001 เป็นข้อกำหนดสำหรับการบริหารความมั่นคงปลอดภัยด้านสารสนเทศ (Information security management system, ITSM) โดย ISO (International Organization for Standardization) เพื่อสร้างความมั่นใจในประสิทธิภาพและประสิทธิผลของความมั่นคงปลอดภัย สารสนเทศขององค์กร รวมถึงการดำเนินการที่สอดคล้องตามข้อกำหนดด้านระบบความมั่นคง ปลอดภัยทั้งของลูกค้า ข้อกฎหมาย และระเบียบข้อบังคับต่างๆ ที่เกี่ยวข้อง

  • มาตรฐาน ISO/IEC 17799:2005 เป็นมาตรฐานที่ระบุถึงแนวปฏิบัติสำหรับประเมินและจัดการความ เสี่ยงด้านสารสนเทศ รวมถึงแนวทางในการควบคุมตามมาตรฐาน ISO/IEC 27001

  • อุบัติการณ์ของทรัพยากรสารสนเทศ คือเหตุการณ์อันเป็นภัยคุกคามต่อทรัพยากรสารสนเทศ

16. หน่วยสมรรถนะร่วม (ถ้ามี)
N/A

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
N/A

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

  • กระบวนการและวิธีการประเมินให้ดูในคู่มือการประเมิน

กลับ

ยินดีต้อนรับ