TPQI-NET PROFESSIONAL QUALIFICATION

1. รหัสหน่วยสมรรถนะ

ICT-LIGW-404B

2. ชื่อหน่วยสมรรถนะ

ปรับใช้ความปลอดภัยในการใช้ข้อมูล (Deploy data Security)

3. ทบทวนครั้งที่

1 / 2566

4. สร้างใหม่

ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)

นักวิเคราะห์ข้อมูล (Data Analyst) นักวิเคราะห์ข้อมูลธุรกิจ (Business Intelligence Analyst) ผู้ปฏิบัติงานด้านวิศวกรรมข้อมูล สถาปนิกสารสนเทศ (Information Architect) และนักวิทยาศาสตร์ข้อมูล (Data Scientist)

6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)

ผู้ที่ผ่านสมรรถนะนี้จะมีความรู้เกี่ยวกับความปลอดภัยของข้อมูล และข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล สามารถปรับใช้ระบบรักษาความปลอดภัยในการใช้ข้อมูลได้ เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล และจัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูลได้

7. สำหรับระดับคุณวุฒิ

1	2	3	4	5	6	7	8

8. กลุ่มอาชีพ (Sector)
	สาขาวิชาชีพอุตสาหกรรมดิจิทัล สาขาวิทยาศาสตร์ข้อมูล (Data Science)

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
	N/A

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
	N/A

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)

หน่วยสมรรถนะย่อย (EOC)	เกณฑ์ในการปฏิบัติงาน (Performance Criteria)	รหัส PC (ตามเล่มมาตรฐาน)	รหัส PC (จากระบบ)
70506.01 ใช้ความปลอดภัยในการใช้ข้อมูล	1. ปรับใช้โครงร่างความปลอดภัยในการใช้ข้อมูลได้	70506.01.01	180032
70506.01 ใช้ความปลอดภัยในการใช้ข้อมูล	2. ใช้เทคโนโลยีในการดำเนินงานความปลอดภัยในการใช้ข้อมูลได้	70506.01.02	180033
70506.01 ใช้ความปลอดภัยในการใช้ข้อมูล	3. ระบุผู้ที่เกี่ยวข้องในการปรับใช้ข้อมูล ทั้งผู้ใช้ข้อมูล ผู้วิเคราะห์ความเสี่ยง รวมถึงสิทธิในการจัดการและใช้ข้อมูลได้	70506.01.03	180034
70506.01 ใช้ความปลอดภัยในการใช้ข้อมูล	4. ถ่ายทอดความรู้ด้านความปลอดภัยเชิงข้อมูลให้ผู้ใช้งานและผู้ที่เกี่ยวข้องได้	70506.01.04	180035
70506.02 เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล	1. ระบุแนวทางกระบวนการในการเฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูลได้		180036
70506.02 เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล	2. ระบุผลการตรวจสอบความปลอดภัยในการใช้ข้อมูลได้		180037
70506.02 เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล	3.สรุปผลการตรวจสอบความปลอดภัยในการใช้ข้อมูลได้		180038
70506.02 เฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูล	4. นำเสนอแนวทางในการลดความเสี่ยงในการใช้ข้อมูลได้		180039
70506.03 จัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูล	1. ระบุความเสี่ยงด้านความปลอดภัยที่เกิดขึ้นจากความเปลี่ยนแปลงได้		180040
70506.03 จัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูล	2. วิเคราะห์ความเสี่ยงด้านความปลอดภัยที่เกิดขึ้นจากความเปลี่ยนแปลงได้		180041
70506.03 จัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูล	3.นำเสนอแนวทางในการจัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูลได้		180042

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)
	N/A

13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1. ทักษะในการปรับใช้ความปลอดภัยในการใช้ข้อมูล

2. ทักษะในการเทคโนโลยีสารสนเทศที่ใช้ในการดำเนินการความปลอดภัย

3. ทักษะในการวิเคราะห์ความปลอดภัยในการใช้ข้อมูล

4. ทักษะในการวิเคราะห์ข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล

(ข) ความต้องการด้านความรู้

1. ความรู้เกี่ยวกับความปลอดภัยของฐานข้อมูล (Database Security)

2. ความรู้เกี่ยวกับการควบคุมความปลอดภัยฐานข้อมูล

3. ความรู้เกี่ยวกับการสร้างระบบรักษาความปลอดภัยของฐานข้อมูล

4. ความรู้เกี่ยวกับเทคโนโลยีสารสนเทศที่ใช้ในการดำเนินการความปลอดภัย

5. ความรู้เกี่ยวกับข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล(ก) หลักฐานการปฏิบัติงาน (Performance Evidence)

1. ใบรับรองการปฏิบัติงานจากสถานประกอบการ

(ข) หลักฐานความรู้ (Knowledge Evidence)

1. ใบรับรองการเข้ารับการฝึกอบรม

2. ใบประกาศนียบัตรวุฒิการศึกษา

(ค) คำแนะนำในการประเมิน

1. ผู้ประเมินตรวจประเมินเกี่ยวกับการปรับใช้ความปลอดภัยในการใช้ข้อมูล โดยพิจารณาจากร่องรอยหลักฐานที่เกี่ยวข้องทั้งหลักฐานการปฏิบัติงาน และหลักฐานความรู้

(ง) วิธีการประเมิน

1. พิจารณาตามหลักฐานการปฏิบัติงาน

2. พิจารณาตามหลักฐานความรู้

14. หลักฐานที่ต้องการ (Evidence Guide)

(ก) หลักฐานการปฏิบัติงาน (Performance Evidence)

1. ใบรับรองการปฏิบัติงานจากสถานประกอบการ

(ข) หลักฐานความรู้ (Knowledge Evidence)

1. ใบรับรองการเข้ารับการฝึกอบรม

2. ใบประกาศนียบัตรวุฒิการศึกษา

(ค) คำแนะนำในการประเมิน

1. ผู้ประเมินตรวจประเมินเกี่ยวกับการปรับใช้ความปลอดภัยในการใช้ข้อมูล โดยพิจารณาจากร่องรอยหลักฐานที่เกี่ยวข้องทั้งหลักฐานการปฏิบัติงาน และหลักฐานความรู้

(ง) วิธีการประเมิน

1. พิจารณาตามหลักฐานการปฏิบัติงาน

2. พิจารณาตามหลักฐานความรู้

15. ขอบเขต (Range Statement)

(ก) คำแนะนำ

หน่วยสมรรถนะนี้เป็นการทดสอบ ประเมินการกำหนดวัตถุประสงค์ทางธุรกิจ โดยในการประเมินต้องคำนึงถึงข้อปฏิบัติดังต่อไปนี้

1. ผู้เข้ารับการประเมินสามารถแสดงความรู้ และความสามารถในการจัดทำโครงร่างความปลอดภัยในการใช้ข้อมูล การกำหนดเทคโนโลยีที่นำมาใช้ และการกำหนดข้อกำหนดด้านความปลอดภัยในการใช้ข้อมูล

(ข) คำอธิบายรายละเอียด

   ความปลอดภัยในการใช้ข้อมูล

   ข้อมูล หรือสารสนเทศเป็นทรัพยากรที่มีค่าขององค์กรการ ป้องกันที่แน่นหนาก็ มี ความจำ เป็นสำหรับข้อมูลที่เป็นความลับซึ่งต้องอาศัยนโยบายความปลอดภัย และกลไกป้องกันที่ดี ควบคู่กัน

โดยแนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วย

   1.ความลับ Confidentiality

   เป็นการรับประกันว่าผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้ โดยองค์กรต้องมีมาตรการป้องกันการเข้าถึงสารสนเทศที่เป็นความลับ เช่น

1)  การจัดประเภทของสารสนเทศ

2)  การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล

3)  กำหนดนโยบายรักษาความมั่นคงปลอดภัยและนำไปใช้

4) ให้การศึกษาแก่ทีมงานความมั่นคงปลอดภัยและผู้ใช้

   ภัยคุกคามที่เพิ่มมากขึ้นในปัจจุบันมี สาเหตุมาจากความก้าวหน้า ทางเทคโนโลยีประกอบกับ ความต้องการความสะดวกสบายในการสั่งซื่อสินค้าของลูกค้า โดยการยอมให้สารสนเทศส่วนบุคคลแก่ website เพื่อสิทธิ์ สนการทา ธุรกรรมต่าง ๆ โดยลืมไปว่าเว็บไซต์ เป็นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยากนัก

       2. ความสมบูรณ์ Integrity

ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม สารสนเทศที่มีความสมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้ สารสนเทศจะขาดความสมบูรณ์ก็ต่อเมื่อสารสนเทศนั้นถูกนำไปเปลี่ยนแปลงปลอมปนด้วยสารสนเทศอื่น ถูกทำให้เสียหาย ถูกทำลาย หรือถูกกระทำในรูปแบบอื่นๆ เพื่อขัดขวางการพิสูจน์การเป็นสารสนเทศจริง ภัยคุกคามสำคัญที่มีต่อความสมบูรณ์ของสารสนเทศ คือ ไวรัส และ เวิร์ม เนื่องจากถูกพัฒนานำมาเพื่อปลอมปนข้อมูลที่กาลังเคลื่อนย้ายไปมาในเครือข่าย

       3.ความพร้อมใช้ Availability

       ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งาน ได้อย่างราบรื่นโดยผู้ใช้ หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น หากเป็นผู้ใช้ หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลว

       4.ความถูกต้องแม่นยำ Accuracy

       ความถูกต้องแม่นยำคือ สารสนเทศต้องไม่มีความผิดพลาดและต้องมีค่าตรงกับความคาดหวัง ของผู้ใช้เสมอเมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของ ผู้ใช้ไม่ว่าจะเกิดจากการแก้ไขด้วยความตั้งใจหรือไม่ก็ตามเมื่อ นั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้องแม่นยำ”

       5.เป็นของแท้ Authenticity

       เป็นของแท้ หมายถึง สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่คุ้นเคยเคยและไม่เคยทราบมาก่อน

       6.ความเป็นส่วนตัว Privacy

       ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวมเรียกใช้ และจัดเก็บโดยองค์กรจะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเจ้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น

องค์ประกอบของระบบสารสนเทศกับความมั่นคงปลอดภัย

1. Software ย่อมต้องอยู่ภายใต้เงื่อนไขของการบริหารโครงการ ภายใต้เวลาต้นทุน และกำลังคนที่จำกัดซึ่งมักจะทำภายหลังจากการพัฒนาซอฟต์แวร์เสร็จแล้ว

2. Hardware จะใช้นโยบายเดียวกับสินทรัพย์ที่จับต้องได้ขององค์กร คือการป้องกันจากการลักขโมยหรือภัยอันตรายต่าง ๆ รวมถึงการจัดสถานที่ ที่ปลอดภัยให้กับอุปกรณ์ หรือฮาร์ดแวร์

3. Data ข้อมูลหรือสารสนเทศเป็นทรัพยากรที่มีค่าขององค์กรการ ป้องกันที่แน่นหนาก็ มี ความจำ เป็นสำหรับข้อมูลที่เป็นความลับซึ่งต้องอาศัยนโยบายความปลอดภัย และกลไกป้องกัน ที่ดี ควบคู่กัน

4. People บุคลากร คือภัยคุกคามต่อสารสนเทศที่ถูกมองข้ามมาก ที่สุด โดยเฉพาะบุคลากรที่ไม่มีจรรยาบรรณในอาชีพ ก็ เป็น จุดอ่อนต่อการโจมตีได้ จึงได้มีการศึกษาอย่างจริงจัง เรียกว่า Social Engineering ซึ่งเป็นการป้องการการหลอกลวงบุคลากร เพื่อเปิดเผยข้อมูลบางอย่างและเข้าสู่ระบบได้ ้

5. Procedure ขั้นตอนการทำงานเป็นอีกหนึ่งองค์ประกอบที่ถูกมองข้าม หากมิจฉาชีพทราบขั้นตอนการทำงาน ก็จะสามารถ ค้นหาจุดอ่อนเพื่อกระทำการอันก่อให้เกิดความเสียหายต่อ องค์กรและลูกค้าขององค์กรได้

6. Network เครือข่ายคอมพิวเตอร์ การเชื่อมต่อระหว่างคอมพิวเตอร์ และระหว่างเครือข่ายคอมพิวเตอร์ ทำให้ เกิดอาชญากรรมและภัยคุกคามจากคอมพิวเตอร์ โดยเฉพาะการเชื่อมต่อระบบสารสนเทศเข้ากับเครือข่ายอินเทอร์เน็ต

   อุปสรรคของงานความมันคงปลอดภัยของสารสนเทศ

-   ความมั่นคงปลอดภัย คือ ความไม่สะดวก เนื่องจากต้องเสียเวลาในการ ป้อน password และกระบวนการอื่นๆในการพิสูจน์ยืนยันตัวตนของผู้ใช้

-   มีความซับซ้อนบางอย่างในคอมพิวเตอร์ ที่ผู้ใช้ทั่วไปไม่ทราบ เช่น Registry , Port, Service โดยที่ข้อมูลเหล่านี้จะทราบเฉพาะในผู้ปฏิบัติ Programmer หรือผู้ดูแลระบบ

-   ผู้ใช้ข้อมูลไม่ระแวดระวังในการใช้งานข้อมูล

-   การพัฒนาซอฟต์แวร์ไม่คำนึงถึงความปลอดภัยที่อาจจะเกิดขึ้นภายหลัง

-   แนวโน้มเทคโนโลยีสารสนเทศคือการแบ่งปัน ไม่ใช่การป้องกัน

-   มีการเข้าถึงข้อมูลได้จากทุกสถานที่

-   ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟแวร์และฮาร์ดแวร์เพียงอย่างเดียว

-   มิจฉาชีพมีความเชี่ยวชาญในการเจาะข้อมูลของผู้อื่นมากเป็นพิเศษ

-   ฝ่ายบริหารมักจะไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย

-   การพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วย

-   การสำรวจ Investigation

-   การวิเคราะห์ Analysis

-   การออกแบบระดับตรรกะ Logical Design

-   การออกแบบและพัฒนากายภาพ Physical Design

-   การพัฒนา Implementation

-   การบำรุงรักษาและเปลี่ยนแปลง Maintenance and Change

16. หน่วยสมรรถนะร่วม (ถ้ามี)
	N/A

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
	N/A

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

18.1 เครื่องมือประเมินการใช้ความปลอดภัยในการใช้ข้อมูลตามข้อกำหนดมาตรฐาน

1. แบบฟอร์มประเมินผลการสัมภาษณ์

2. ผลข้อสอบข้อเขียน

ดูรายละเอียดจากคู่มือประเมิน

18.2 เครื่องมือประเมินการเฝ้าสังเกตตรวจสอบความปลอดภัยในการใช้ข้อมูลตามข้อกำหนดมาตรฐาน

1. แบบฟอร์มประเมินผลการสัมภาษณ์

2. ผลข้อสอบข้อเขียน

ดูรายละเอียดจากคู่มือประเมิน

18.3 เครื่องมือประเมินการจัดการกับความเสี่ยงที่เกิดขึ้นจากการเปลี่ยนแปลงด้านความปลอดภัยในการใช้ข้อมูลตามข้อกำหนดมาตรฐาน

1. แบบฟอร์มประเมินผลการสัมภาษณ์

2. ผลข้อสอบข้อเขียน

ดูรายละเอียดจากคู่มือประเมิน

หน่วยสมรรถนะ

ปรับใช้ความปลอดภัยในการใช้ข้อมูล (Deploy data Security)

กลับ

ยินดีต้อนรับ