หน่วยสมรรถนะ

หน่วยสมรรถนะ

บริหารจัดการระบบความมั่นคงปลอดภัยด้านเว็บไซต์

สาขาวิชาชีพอุตสาหกรรมดิจิทัล


รายละเอียดหน่วยสมรรถนะ


1. รหัสหน่วยสมรรถนะ ICT-ELCW-417B

2. ชื่อหน่วยสมรรถนะ บริหารจัดการระบบความมั่นคงปลอดภัยด้านเว็บไซต์

3. ทบทวนครั้งที่ 1 / 2566

4. สร้างใหม่ ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)

นักบริหารระบบความมั่นคงปลอดภัยด้านพาณิชย์อิเล็กทรอนิกส์

6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)
บุคคลที่ทำหน้าที่เกี่ยวกับการวางแผนเพื่อบริหารจัดการเว็บไซต์ได้อย่างมั่นคงปลอดภัย การตั้งค่าเครื่องบริการเว็บได้อย่างมั่นคงปลอดภัย การใช้โปรแกรมประยุกต์บนเครื่องบริการเว็บเพื่อให้บริการได้อย่างมั่นคงปลอดภัย การรับมือสถานการณ์ภัยคุกคามที่เกิดกับเว็บไซต์ได้อย่างมีประสิทธิภาพ

7. สำหรับระดับคุณวุฒิ
1 2 3 4 5 6 7 8

8. กลุ่มอาชีพ (Sector)
กลุ่มวิชาชีพอุตสาหกรรมดิจิทัล  สาขาธุรกิจดิจิทัลและพาณิชย์อิเล็กทรอนิกส์ 

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
N/A

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
N/A

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)
หน่วยสมรรถนะย่อย (EOC) เกณฑ์ในการปฏิบัติงาน (Performance Criteria) รหัส PC
(ตามเล่มมาตรฐาน)		 รหัส PC
(จากระบบ)
20211 วางแผนเพื่อบริหารจัดการความมั่นคงปลอดภัยเว็บไซต์ 1. วางแผนงานด้านความมั่นคงปลอดภัยของเว็บไซต์ 20211.01 182519
20211 วางแผนเพื่อบริหารจัดการความมั่นคงปลอดภัยเว็บไซต์ 2. คัดเลือกผู้รับจดทะเบียนชื่อโดเมน 20211.02 182520
20211 วางแผนเพื่อบริหารจัดการความมั่นคงปลอดภัยเว็บไซต์ 3. คัดเลือกเครื่องบริการเว็บ 20211.03 182521
20211 วางแผนเพื่อบริหารจัดการความมั่นคงปลอดภัยเว็บไซต์ 4.  คัดเลือกระบบบริหารจัดการเว็บไซต์ (CMS)  20211.04 182522
20212 ตั้งค่าความมั่นคงปลอดภัยเครื่องบริการเว็บได้ 1.  กำหนดค่าคอนฟิกโปรแกรมสำหรับให้บริการเว็บ (Web server software)  20212.01 182523
20212 ตั้งค่าความมั่นคงปลอดภัยเครื่องบริการเว็บได้ 2.  กำหนดค่าคอนฟิกระบบบริหารจัดการเว็บไซต์ (CMS)  20212.02 182524
20212 ตั้งค่าความมั่นคงปลอดภัยเครื่องบริการเว็บได้ 3.  กำหนดค่าคอนฟิกระบบฐานข้อมูล (Database system)  20212.03 182525
20212 ตั้งค่าความมั่นคงปลอดภัยเครื่องบริการเว็บได้ 4. กำหนดค่าคอนฟิก Server-side Script Engine  20212.04 182526
20212 ตั้งค่าความมั่นคงปลอดภัยเครื่องบริการเว็บได้ 5. กำหนดและรักษารหัสผ่าน 20212.05 182527
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ 1.  เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค SQL Injection  20213.01 182528
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ 2.   เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค OS Command Injection  20213.02 182529
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ 3.  เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค  Unchecked Path Parameter  20213.03 182530
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ
4.  เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค 
Improper Session Management 
 20213.04 182531
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ 5.  เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค Cross-site Scripting  20213.05 182532
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ 6. เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค  Cross-site Script Request Forgery (CSRF)  20213.06 182533
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ 7.  เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค HTTP Header Injection  20213.07 182534
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ 8.  เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค Mail Header Injection 20213.08 182535
20213 ใช้โปรแกรมประยุกต์ความมั่นคงปลอดภัยบนเครื่องบริการเว็บเพื่อให้บริการ 9. เลือกใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากการไม่มีระบบพิสูจน์ตัวจริงและการกำหนดสิทธิ์ (Lack of Authentication and authorization)  20213.09 182536
20214 รับมือสถานการณ์ภัยคุกคามที่เกิดกับเว็บไซต์ 1.  เตรียมการรับมือภัยคุกคามที่เกิดขึ้นกับเว็บไซต์ 20214.01 182537
20214 รับมือสถานการณ์ภัยคุกคามที่เกิดกับเว็บไซต์ 2.  เลือกใช้โปรแกรมตรวจสอบความมั่นคงปลอดภัยของเว็บไซต์ 20214.02 182538
20214 รับมือสถานการณ์ภัยคุกคามที่เกิดกับเว็บไซต์ 3.  จัดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ 20214.03 182539
20214 รับมือสถานการณ์ภัยคุกคามที่เกิดกับเว็บไซต์ 4. สำรองข้อมูลและกู้คืนเว็บไซต์ได้ 20214.04 182540

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)
N/A

13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1. ปฏิบัติการวางแผนเพื่อบริหารจัดการเว็บไซต์ได้อย่างมั่นคงปลอดภัย

2. ปฏิบัติการตั้งค่าเครื่องบริการเว็บได้อย่างมั่นคงปลอดภัย

3. ปฏิบัติการใช้โปรแกรมประยุกต์บนเครื่องบริการเว็บเพื่อให้บริการได้อย่างมั่นคงปลอดภัย

4. ปฏิบัติการรับมือสถานการณ์ภัยคุกคามที่เกิดกับเว็บไซต์ได้อย่างมีประสิทธิภาพ

 

(ข) ความต้องการด้านความรู้

1. ภัยคุกคาม มัลแวร์ การโจมตีเว็บไซต์ชนิดต่างๆ 

2. การวางแผนและบริหารเพื่อป้องกัน ตรวจหา และโต้ตอบต่อภัยคุกคาม มัลแวร์ การโจมตีเว็บไซต์ชนิดต่างๆ

3. การบริหารระบบการให้บริการอีคอมเมิร์ซและเว็บไซต์

4. กฎหมายที่เกี่ยวข้องกับการให้บริการอีคอมเมิร์ซและเว็บไซต์

 

14. หลักฐานที่ต้องการ (Evidence Guide)

หลักฐานที่ต้องการจะกำหนดข้อแนะนำเกี่ยวกับการประเมิน และควรที่จะใช้ประกอบร่วมกันกับเกณฑ์การปฏิบัติงาน (Performance Criteria) และ ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) หลักฐานการปฏิบัติงาน (Performance Evidence)

1. เอกสารรับรองการปฏิบัติงานหรือผลการประเมินการปฏิบัติงานจากสถานประกอบการ

2. เอกสารการประเมินจากการจำลองสถานการณ์โดยใช้กรณีศึกษา

3. เอกสารการประเมินการสัมภาษณ์

4. แฟ้มสะสมผลงาน 

(ข) หลักฐานความรู้ (Knowledge Evidence)

1. เอกสารผ่านการอบรมเกี่ยวกับการบริหารระบบอีคอมเมิร์ซและเว็บไซต์

2. เอกสาร วุฒิบัตร หรือใบรับรองที่แสดงว่าผ่านการทดสอบ (Certificate) ด้านการบริหารความมั่นคงเกี่ยวกับระบบคอมพิวเตอร์ทั้งแบบอิงและไม่อิงผลิตภัณฑ์จากหน่วยงานที่เกี่ยวข้อง

3. เอกสารรับรองการผ่านการสอบข้อเขียนหรือผลการทดสอบความรู้

(ค) คำแนะนำในการประเมิน

ประเมินเกี่ยวกับการบริหารระบบความมั่นคงปลอดภัยอีคอมเมิร์ซและเว็บไซต์ โดยพิจารณาจากหลักฐานที่เกี่ยวข้องทั้งหลักฐานการปฏิบัติงานและหลักฐานด้านความรู้ 

(ง) วิธีการประเมิน

1. พิจารณาหลักฐานความรู้

2. พิจารณาหลักฐานการปฏิบัติงาน

15. ขอบเขต (Range Statement)

ขอบเขตอธิบายถึงขอบเขตของการปฏิบัติงาน และสภาพแวดล้อมอื่น ๆ หรือสถานการณ์อื่น ๆ ที่มีผลกระทบต่อการทำงาน รวมถึงเครื่องมือ อุปกรณ์ เทคโนโลยี ทรัพยากรที่ใช้ หรือข้อกำหนดอื่น ๆ ที่เกี่ยวข้อง

(ก)    คำแนะนำ 

การบริหารระบบความมั่นคงปลอดภัยอีคอมเมิร์ซและเว็บไซต์ ผู้เข้ารับการประเมินจะต้องแสดงการทดสอบเกี่ยวกับการวางแผนเพื่อบริหารจัดการเว็บไซต์ได้อย่างมั่นคงปลอดภัย การตั้งค่าเครื่องบริการเว็บได้อย่างมั่นคงปลอดภัย การใช้โปรแกรมประยุกต์บนเครื่องบริการเว็บเพื่อให้บริการได้อย่างมั่นคงปลอดภัย การรับมือสถานการณ์ภัยคุกคามที่เกิดกับเว็บไซต์ได้อย่างมีประสิทธิภาพ

(ข) คำอธิบายรายละเอียด

1. การวางแผนเพื่อบริหารจัดการเว็บไซต์ จะต้องจัดทำแผนด้านความมั่นคงปลอดภัยของเว็บไซต์ได้ตามมาตรฐานที่กำหนด เลือกผู้รับจดทะเบียนชื่อโดเมนได้อย่างเหมาะสมกับวัตถุประสงค์การใช้งาน หาแนวทางการเลือกรูปแบบเครื่องบริการเว็บได้อย่างมีประสิทธิภาพ และหาแนวทางการเลือกระบบบริหารจัดการเว็บไซต์ (CMS) ได้อย่างมีประสิทธิภาพ

2. การตั้งค่าเครื่องบริการเว็บ จะต้องตั้งค่าโปรแกรมสำหรับให้บริการเว็บ (Web server software) ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด ตั้งค่าระบบบริหารจัดการเว็บไซต์ (CMS) ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด ตั้งค่าฐานข้อมูล (Database system) ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด ตั้งค่า Server-side Script Engine ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด และกำหนดและรักษารหัสผ่านได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด

3. การใช้โปรแกรมประยุกต์บนเครื่องบริการเว็บ จะต้องใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค SQL Injection ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด  ใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค OS Command Injection ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด  ใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค  Unchecked Path Parameter  ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด  ใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค Improper Session Management ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด  ใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค Cross-site Scripting ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด  ใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค  Cross-site Script Request Forgery (CSRF) ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด  ใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค HTTP Header Injection ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด  ใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากเทคนิค Mail Header Injection ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด  และใช้โปรแกรมประยุกต์เพื่อป้องกันการโจมตีจากการไม่มีระบบพิสูจน์ตัวจริงและการกำหนดสิทธิ์ (Lack of Authentication and authorization) ได้เหมาะสมตามเกณฑ์มาตรฐานที่กำหนด

4.  การรับมือสถานการณ์ภัยคุกคามที่เกิดกับเว็บไซต์ (Incident Handling) จะต้องรับมือภัยคุกคามที่เกิดขึ้นกับเว็บไซต์ได้อย่างมีประสิทธิภาพ ใช้โปรแกรมตรวจสอบความมั่นคงปลอดภัยของเว็บไซต์ได้อย่างมีประสิทธิภาพ เก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ได้อย่างมีประสิทธิภาพ และสำรองข้อมูลเว็บไซต์ได้อย่างมีประสิทธิภาพ  

5. ตามมาตรฐานที่กำหนด ตามเกณฑ์มาตรฐานที่กำหนด และ ได้อย่างมีประสิทธิภาพ หมายถึง การปฏิบัติการที่สอดคล้องกับแนวปฏิบัติ ข้อกำหนด เกณฑ์ หรือมาตรฐานที่เกี่ยวข้องกับ เช่น ETDA Recommendation on ICT Standard for Electronic Transactions ขมธอ. 4 – 2559, NIST SP 800-44 Guidelines on Securing Public Web Servers,  OWASP Open Web Application Security Project,  ข้อกำหนดที่เกี่ยวข้องจากข้อแนะนำแก้ไขและป้องกันข้อบกพร่องหรือจุดอ่อนของเว็บไซต์ ของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย หรือไทยเซิร์ต (Thai CERT),  คู่มือ “How to Secure Your Website” ของ สำนักงานส่งเสริมเทคโนโลยีสารสนเทศ ประเทศญี่ปุ่น (Information-Technology Promotion Agency (IPA), Japan) , ISO/IEC 27001 เป็นต้น

16. หน่วยสมรรถนะร่วม (ถ้ามี)
N/A

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
N/A

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

18.1 เครื่องมือการประเมิน

    1. แบบทดสอบปรนัย ชนิด 4 ตัวเลือก 

    2. แบบประเมินการสัมภาษณ์

    3. แบบประเมินแฟ้มสะสมงาน

หรือ 

4. RESK

    ดูรายละเอียดจากคู่มือการประเมิน

    18.2 เครื่องมือการประเมิน

    1. แบบทดสอบปรนัย ชนิด 4 ตัวเลือก 

    2. แบบประเมินการสัมภาษณ์

    3. แบบประเมินแฟ้มสะสมงาน

หรือ 

4. RESK

    ดูรายละเอียดจากคู่มือการประเมิน

    18.3 เครื่องมือการประเมิน

    1. แบบทดสอบปรนัย ชนิด 4 ตัวเลือก 

    2. แบบประเมินการสัมภาษณ์

    3. แบบประเมินแฟ้มสะสมงาน

    หรือ 

4. RESK

    ดูรายละเอียดจากคู่มือการประเมิน

    18.4 เครื่องมือการประเมิน

    1. แบบทดสอบปรนัย ชนิด 4 ตัวเลือก 

    2. แบบประเมินการสัมภาษณ์

    3. แบบประเมินแฟ้มสะสมงาน

หรือ 

4. RESK

    ดูรายละเอียดจากคู่มือการประเมิน

กลับ

ยินดีต้อนรับ