หน่วยสมรรถนะ

หน่วยสมรรถนะ

ปรับใช้ความปลอดภัยในการใช้ข้อมูล (Deploy data Security)

สาขาวิชาชีพอุตสาหกรรมดิจิทัล


รายละเอียดหน่วยสมรรถนะ


1. รหัสหน่วยสมรรถนะ ICT-LIGW-404B

2. ชื่อหน่วยสมรรถนะ ปรับใช้ความปลอดภัยในการใช้ข้อมูล (Deploy data Security)

3. ทบทวนครั้งที่ 1 / 2566

4. สร้างใหม่ ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)

นักวิเคราะห์ข้อมูล (Data Analyst) นักวิเคราะห์ข้อมูลธุรกิจ (Business Intelligence Analyst) ผู้ปฏิบัติงานด้านวิศวกรรมข้อมูล สถาปนิกสารสนเทศ (Information Architect) และนักวิทยาศาสตร์ข้อมูล (Data Scientist)



6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)
ผู้ที่ผ่านสมรรถนะนี้จะมีความรู้เกี่ยวกับความปลอดภัยของข้อมูล และข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล สามารถปรับใช้ระบบรักษาความปลอดภัยในการใช้ข้อมูลได้ เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล และจัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูลได้ 

7. สำหรับระดับคุณวุฒิ
1 2 3 4 5 6 7 8

8. กลุ่มอาชีพ (Sector)
สาขาวิชาชีพอุตสาหกรรมดิจิทัล สาขาวิทยาศาสตร์ข้อมูล  (Data Science)  

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
N/A

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
N/A

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)
หน่วยสมรรถนะย่อย (EOC) เกณฑ์ในการปฏิบัติงาน (Performance Criteria) รหัส PC
(ตามเล่มมาตรฐาน)
รหัส PC
(จากระบบ)
70506.01 ใช้ความปลอดภัยในการใช้ข้อมูล 1. ปรับใช้โครงร่างความปลอดภัยในการใช้ข้อมูลได้ 70506.01.01 180032
70506.01 ใช้ความปลอดภัยในการใช้ข้อมูล 2. ใช้เทคโนโลยีในการดำเนินงานความปลอดภัยในการใช้ข้อมูลได้ 70506.01.02 180033
70506.01 ใช้ความปลอดภัยในการใช้ข้อมูล 3. ระบุผู้ที่เกี่ยวข้องในการปรับใช้ข้อมูล ทั้งผู้ใช้ข้อมูล ผู้วิเคราะห์ความเสี่ยง รวมถึงสิทธิในการจัดการและใช้ข้อมูลได้ 70506.01.03 180034
70506.01 ใช้ความปลอดภัยในการใช้ข้อมูล 4. ถ่ายทอดความรู้ด้านความปลอดภัยเชิงข้อมูลให้ผู้ใช้งานและผู้ที่เกี่ยวข้องได้ 70506.01.04 180035
70506.02 เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล 1. ระบุแนวทางกระบวนการในการเฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูลได้ 180036
70506.02 เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล 2. ระบุผลการตรวจสอบความปลอดภัยในการใช้ข้อมูลได้ 180037
70506.02 เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล 3.สรุปผลการตรวจสอบความปลอดภัยในการใช้ข้อมูลได้ 180038
70506.02 เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล 4. นำเสนอแนวทางในการลดความเสี่ยงในการใช้ข้อมูลได้ 180039
70506.03 จัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูล 1. ระบุความเสี่ยงด้านความปลอดภัยที่เกิดขึ้นจากความเปลี่ยนแปลงได้ 180040
70506.03 จัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูล 2. วิเคราะห์ความเสี่ยงด้านความปลอดภัยที่เกิดขึ้นจากความเปลี่ยนแปลงได้ 180041
70506.03 จัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูล 3.นำเสนอแนวทางในการจัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูลได้ 180042

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)
N/A

13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1. ทักษะในการปรับใช้ความปลอดภัยในการใช้ข้อมูล

2. ทักษะในการเทคโนโลยีสารสนเทศที่ใช้ในการดำเนินการความปลอดภัย

3. ทักษะในการวิเคราะห์ความปลอดภัยในการใช้ข้อมูล

4. ทักษะในการวิเคราะห์ข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล

(ข) ความต้องการด้านความรู้

1. ความรู้เกี่ยวกับความปลอดภัยของฐานข้อมูล (Database Security)

2. ความรู้เกี่ยวกับการควบคุมความปลอดภัยฐานข้อมูล

3. ความรู้เกี่ยวกับการสร้างระบบรักษาความปลอดภัยของฐานข้อมูล

4. ความรู้เกี่ยวกับเทคโนโลยีสารสนเทศที่ใช้ในการดำเนินการความปลอดภัย

5. ความรู้เกี่ยวกับข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล(ก) หลักฐานการปฏิบัติงาน (Performance Evidence)

1. ใบรับรองการปฏิบัติงานจากสถานประกอบการ

(ข) หลักฐานความรู้ (Knowledge Evidence)

1. ใบรับรองการเข้ารับการฝึกอบรม

2. ใบประกาศนียบัตรวุฒิการศึกษา

(ค) คำแนะนำในการประเมิน

1. ผู้ประเมินตรวจประเมินเกี่ยวกับการปรับใช้ความปลอดภัยในการใช้ข้อมูล โดยพิจารณาจากร่องรอยหลักฐานที่เกี่ยวข้องทั้งหลักฐานการปฏิบัติงาน และหลักฐานความรู้

(ง) วิธีการประเมิน

1. พิจารณาตามหลักฐานการปฏิบัติงาน

2. พิจารณาตามหลักฐานความรู้

 


14. หลักฐานที่ต้องการ (Evidence Guide)

(ก) หลักฐานการปฏิบัติงาน (Performance Evidence)

1. ใบรับรองการปฏิบัติงานจากสถานประกอบการ

(ข) หลักฐานความรู้ (Knowledge Evidence)

1. ใบรับรองการเข้ารับการฝึกอบรม

2. ใบประกาศนียบัตรวุฒิการศึกษา

 (ค) คำแนะนำในการประเมิน

1. ผู้ประเมินตรวจประเมินเกี่ยวกับการปรับใช้ความปลอดภัยในการใช้ข้อมูล โดยพิจารณาจากร่องรอยหลักฐานที่เกี่ยวข้องทั้งหลักฐานการปฏิบัติงาน และหลักฐานความรู้

(ง) วิธีการประเมิน

1. พิจารณาตามหลักฐานการปฏิบัติงาน

2. พิจารณาตามหลักฐานความรู้


15. ขอบเขต (Range Statement)

(ก) คำแนะนำ

หน่วยสมรรถนะนี้เป็นการทดสอบ ประเมินการกำหนดวัตถุประสงค์ทางธุรกิจ โดยในการประเมินต้องคำนึงถึงข้อปฏิบัติดังต่อไปนี้

1.  ผู้เข้ารับการประเมินสามารถแสดงความรู้ และความสามารถในการจัดทำโครงร่างความปลอดภัยในการใช้ข้อมูล การกำหนดเทคโนโลยีที่นำมาใช้ และการกำหนดข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล

(ข) คำอธิบายรายละเอียด

    ความปลอดภัยในการใช้ข้อมูล

    ข้อมูล หรือสารสนเทศเป็นทรัพยากรที่มีค่าขององค์กรการ ป้องกันที่แน่นหนาก็ มี ความจำ เป็นสำหรับข้อมูลที่เป็นความลับซึ่งต้องอาศัยนโยบายความปลอดภัย และกลไกป้องกันที่ดี ควบคู่กัน

โดยแนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วย

    1.ความลับ Confidentiality 

    เป็นการรับประกันว่าผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้ โดยองค์กรต้องมีมาตรการป้องกันการเข้าถึงสารสนเทศที่เป็นความลับ เช่น 

1)  การจัดประเภทของสารสนเทศ 

2)  การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล 

3)  กำหนดนโยบายรักษาความมั่นคงปลอดภัยและนำไปใช้  

4)  ให้การศึกษาแก่ทีมงานความมั่นคงปลอดภัยและผู้ใช้

    ภัยคุกคามที่เพิ่มมากขึ้นในปัจจุบันมี สาเหตุมาจากความก้าวหน้า ทางเทคโนโลยีประกอบกับ ความต้องการความสะดวกสบายในการสั่งซื่อสินค้าของลูกค้า โดยการยอมให้สารสนเทศส่วนบุคคลแก่ website เพื่อสิทธิ์ สนการทา ธุรกรรมต่าง ๆ โดยลืมไปว่าเว็บไซต์ เป็นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยากนัก 

        2. ความสมบูรณ์ Integrity 

ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม สารสนเทศที่มีความสมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้ สารสนเทศจะขาดความสมบูรณ์ก็ต่อเมื่อสารสนเทศนั้นถูกนำไปเปลี่ยนแปลงปลอมปนด้วยสารสนเทศอื่น ถูกทำให้เสียหาย ถูกทำลาย หรือถูกกระทำในรูปแบบอื่นๆ เพื่อขัดขวางการพิสูจน์การเป็นสารสนเทศจริง ภัยคุกคามสำคัญที่มีต่อความสมบูรณ์ของสารสนเทศ คือ ไวรัส และ เวิร์ม เนื่องจากถูกพัฒนานำมาเพื่อปลอมปนข้อมูลที่กาลังเคลื่อนย้ายไปมาในเครือข่าย

        3.ความพร้อมใช้ Availability 

        ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งาน ได้อย่างราบรื่นโดยผู้ใช้ หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น หากเป็นผู้ใช้ หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลว

        4.ความถูกต้องแม่นยำ Accuracy 

        ความถูกต้องแม่นยำคือ สารสนเทศต้องไม่มีความผิดพลาดและต้องมีค่าตรงกับความคาดหวัง ของผู้ใช้เสมอเมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของ ผู้ใช้ไม่ว่าจะเกิดจากการแก้ไขด้วยความตั้งใจหรือไม่ก็ตามเมื่อ นั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้องแม่นยำ”

        5.เป็นของแท้ Authenticity

        เป็นของแท้ หมายถึง สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่คุ้นเคยเคยและไม่เคยทราบมาก่อน

        6.ความเป็นส่วนตัว Privacy

        ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวมเรียกใช้ และจัดเก็บโดยองค์กรจะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเจ้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น 

    องค์ประกอบของระบบสารสนเทศกับความมั่นคงปลอดภัย 

1. Software ย่อมต้องอยู่ภายใต้เงื่อนไขของการบริหารโครงการ ภายใต้เวลาต้นทุน และกำลังคนที่จำกัดซึ่งมักจะทำภายหลังจากการพัฒนาซอฟต์แวร์เสร็จแล้ว 

2. Hardware จะใช้นโยบายเดียวกับสินทรัพย์ที่จับต้องได้ขององค์กร คือการป้องกันจากการลักขโมยหรือภัยอันตรายต่าง ๆ รวมถึงการจัดสถานที่ ที่ปลอดภัยให้กับอุปกรณ์ หรือฮาร์ดแวร์

3. Data ข้อมูลหรือสารสนเทศเป็นทรัพยากรที่มีค่าขององค์กรการ ป้องกันที่แน่นหนาก็ มี ความจำ เป็นสำหรับข้อมูลที่เป็นความลับซึ่งต้องอาศัยนโยบายความปลอดภัย และกลไกป้องกัน ที่ดี ควบคู่กัน 

4. People บุคลากร คือภัยคุกคามต่อสารสนเทศที่ถูกมองข้ามมาก ที่สุด โดยเฉพาะบุคลากรที่ไม่มีจรรยาบรรณในอาชีพ ก็ เป็น จุดอ่อนต่อการโจมตีได้ จึงได้มีการศึกษาอย่างจริงจัง เรียกว่า Social Engineering ซึ่งเป็นการป้องการการหลอกลวงบุคลากร เพื่อเปิดเผยข้อมูลบางอย่างและเข้าสู่ระบบได้ ้ 

5. Procedure ขั้นตอนการทำงานเป็นอีกหนึ่งองค์ประกอบที่ถูกมองข้าม หากมิจฉาชีพทราบขั้นตอนการทำงาน ก็จะสามารถ ค้นหาจุดอ่อนเพื่อกระทำการอันก่อให้เกิดความเสียหายต่อ องค์กรและลูกค้าขององค์กรได้

6. Network เครือข่ายคอมพิวเตอร์ การเชื่อมต่อระหว่างคอมพิวเตอร์ และระหว่างเครือข่ายคอมพิวเตอร์ ทำให้ เกิดอาชญากรรมและภัยคุกคามจากคอมพิวเตอร์ โดยเฉพาะการเชื่อมต่อระบบสารสนเทศเข้ากับเครือข่ายอินเทอร์เน็ต

    อุปสรรคของงานความมันคงปลอดภัยของสารสนเทศ

-    ความมั่นคงปลอดภัย คือ ความไม่สะดวก เนื่องจากต้องเสียเวลาในการ ป้อน password และกระบวนการอื่นๆในการพิสูจน์ยืนยันตัวตนของผู้ใช้

-    มีความซับซ้อนบางอย่างในคอมพิวเตอร์ ที่ผู้ใช้ทั่วไปไม่ทราบ เช่น Registry , Port, Service โดยที่ข้อมูลเหล่านี้จะทราบเฉพาะในผู้ปฏิบัติ Programmer หรือผู้ดูแลระบบ

-    ผู้ใช้ข้อมูลไม่ระแวดระวังในการใช้งานข้อมูล

-    การพัฒนาซอฟต์แวร์ไม่คำนึงถึงความปลอดภัยที่อาจจะเกิดขึ้นภายหลัง

-    แนวโน้มเทคโนโลยีสารสนเทศคือการแบ่งปัน ไม่ใช่การป้องกัน

-    มีการเข้าถึงข้อมูลได้จากทุกสถานที่

-    ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟแวร์และฮาร์ดแวร์เพียงอย่างเดียว 

-    มิจฉาชีพมีความเชี่ยวชาญในการเจาะข้อมูลของผู้อื่นมากเป็นพิเศษ

-    ฝ่ายบริหารมักจะไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย

-    การพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วย

-    การสำรวจ Investigation 

-    การวิเคราะห์ Analysis

-    การออกแบบระดับตรรกะ Logical Design 

-    การออกแบบและพัฒนากายภาพ Physical Design

-    การพัฒนา Implementation 

-    การบำรุงรักษาและเปลี่ยนแปลง Maintenance and Change


16. หน่วยสมรรถนะร่วม (ถ้ามี)
N/A

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
N/A

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

18.1 เครื่องมือประเมินการใช้ความปลอดภัยในการใช้ข้อมูลตามข้อกำหนดมาตรฐาน

1. แบบฟอร์มประเมินผลการสัมภาษณ์

2. ผลข้อสอบข้อเขียน

ดูรายละเอียดจากคู่มือประเมิน

18.2 เครื่องมือประเมินการเฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูลตามข้อกำหนดมาตรฐาน

1. แบบฟอร์มประเมินผลการสัมภาษณ์

2. ผลข้อสอบข้อเขียน

ดูรายละเอียดจากคู่มือประเมิน

18.3 เครื่องมือประเมินการจัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูลตามข้อกำหนดมาตรฐาน

1. แบบฟอร์มประเมินผลการสัมภาษณ์

2. ผลข้อสอบข้อเขียน

ดูรายละเอียดจากคู่มือประเมิน



ยินดีต้อนรับ