หน่วยสมรรถนะ

หน่วยสมรรถนะ

บริหารจัดการระบบความมั่นคงปลอดภัยขั้นพื้นฐานด้านพาณิชย์อิเล็กทรอนิกส์

สาขาวิชาชีพอุตสาหกรรมดิจิทัล


รายละเอียดหน่วยสมรรถนะ


1. รหัสหน่วยสมรรถนะ ICT-ZFIC-419B

2. ชื่อหน่วยสมรรถนะ บริหารจัดการระบบความมั่นคงปลอดภัยขั้นพื้นฐานด้านพาณิชย์อิเล็กทรอนิกส์

3. ทบทวนครั้งที่ 1 / 2566

4. สร้างใหม่ ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)

นักบริหารระบบความมั่นคงปลอดภัยด้านพาณิชย์อิเล็กทรอนิกส์

6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)
บุคคลที่ทำหน้าที่เกี่ยวกับการวางแผนให้บริการพื้นฐานด้านพาณิชย์อิเล็กทรอนิกส์ให้มั่นคงปลอดภัย (General requirements) ได้อย่างมีประสิทธิภาพ  ให้บริการความมั่นคงปลอดภัยเชิงกายภาพ (Physical security) ได้อย่างมีประสิทธิภาพ  ให้บริการความมั่นคงปลอดภัยด้านเครือข่าย (Network security) ได้อย่างมีประสิทธิภาพ  ให้บริการความมั่นคงปลอดภัยด้านระบบ (System security) ได้อย่างมีประสิทธิภาพ  ให้บริการความมั่นคงปลอดภัยด้านฐานข้อมูล (Database security) ได้อย่างมีประสิทธิภาพ  ให้บริการความมั่นคงปลอดภัยด้านเครื่องบริการเว็บ (Web server security) ได้อย่างมีประสิทธิภาพ และให้บริการความมั่นคงปลอดภัยด้านแอปพลิเคชัน (Application security) ได้อย่างมีประสิทธิภาพ

7. สำหรับระดับคุณวุฒิ
1 2 3 4 5 6 7 8

8. กลุ่มอาชีพ (Sector)
กลุ่มวิชาชีพอุตสาหกรรมดิจิทัล  สาขาธุรกิจดิจิทัลและพาณิชย์อิเล็กทรอนิกส์ 

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
N/A

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
N/A

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)
หน่วยสมรรถนะย่อย (EOC) เกณฑ์ในการปฏิบัติงาน (Performance Criteria) รหัส PC
(ตามเล่มมาตรฐาน)		 รหัส PC
(จากระบบ)
20231 วางแผนให้บริการพื้นฐานด้านความมั่นคงปลอดภัยพาณิชย์อิเล็กทรอนิกส์ 1.  จัดเตรียมเว็บไซต์พาณิชย์อิเล็กทรอนิกส์ (e-commerce site)  20231.01 182556
20231 วางแผนให้บริการพื้นฐานด้านความมั่นคงปลอดภัยพาณิชย์อิเล็กทรอนิกส์ 2.  จัดเตรียมกระบวนการบริหารความเปลี่ยนแปลง (change management process)  20231.02 182557
20231 วางแผนให้บริการพื้นฐานด้านความมั่นคงปลอดภัยพาณิชย์อิเล็กทรอนิกส์ 3.  จัดเตรียมนโยบายความเป็นส่วนตัว (privacy policy)  20231.03 182558
20231 วางแผนให้บริการพื้นฐานด้านความมั่นคงปลอดภัยพาณิชย์อิเล็กทรอนิกส์ 4.  กำหนดขั้นตอนการตอบสนองอุบัติการณ์ความมั่นคงทางคอมพิวเตอร์ (computer security incident response procedure)  20231.04 182559
20231 วางแผนให้บริการพื้นฐานด้านความมั่นคงปลอดภัยพาณิชย์อิเล็กทรอนิกส์ 5.  กำหนดกระบวนการบริหารจัดการรุ่นของสื่อและแอปพลิเคชัน (Procedures for disposal of media, backup media, the application must be consistent with policies and procedures, revision control)  20231.05 182560
20232 ให้บริการความมั่นคงปลอดภัยเชิงกายภาพ 1.  จัดการสถานที่ปลอดภัย (physically secure room) สำหรับระบบให้บริการเว็บ 20232.01 182561
20232 ให้บริการความมั่นคงปลอดภัยเชิงกายภาพ 2.  จัดเก็บระบบสื่อสำรองในสถานที่ปลอดภัย (physically secure location)  20232.02 182562
20233 ให้บริการความมั่นคงปลอดภัยด้านเครือข่าย 1.  จัดการบริการที่เกี่ยวข้องกับการควบคุมการเข้าถึงเครือข่ายเฉพาะโฮสต์ (unneeded services and host-based network access controls) 20233.01 182563
20233 ให้บริการความมั่นคงปลอดภัยด้านเครือข่าย
2.  จัดการ VLAN ให้สามารถใช้งานสำหรับสาธารณะ
(publicly accessible network) 
 20233.02 182564
20233 ให้บริการความมั่นคงปลอดภัยด้านเครือข่าย 3. จัดการ DNS ให้เป็นปัจจุบัน 20233.03 182565
20233 ให้บริการความมั่นคงปลอดภัยด้านเครือข่าย
4.  การเข้าถึงเครือข่ายถูกจัดการเพื่อใช้บริการฐานข้อมูล
(Network access to the database service)
 20233.04 182566
20234 ให้บริการความมั่นคงปลอดภัยด้านระบบ 1.  ออกแบบระบบบริการอีคอมเมิร์ซอย่างมั่นคงปลอดภัย (ไม่ใช้ระบบร่วมกับระบบอื่น) 20234.01 182567
20234 ให้บริการความมั่นคงปลอดภัยด้านระบบ 2.  จัดการระบบปฏิบัติการสำหรับอีคอมเมิร์ซถูกดำเนินการ (OS version, patch, sw installed, system clock, default admin, backup, …) 20234.02 182568
20234 ให้บริการความมั่นคงปลอดภัยด้านระบบ 3.  ประเมินผลเกี่ยวกับความมั่นคงปลอดภัยด้านระบบ 20234.03 182569
20235 ให้บริการความมั่นคงปลอดภัยด้านฐานข้อมูล 1.  ออกแบบบริการด้านฐานข้อมูล 20235.01 182570
20235 ให้บริการความมั่นคงปลอดภัยด้านฐานข้อมูล 2.  จัดการบริการด้านฐานข้อมูล 20235.02 182571
20235 ให้บริการความมั่นคงปลอดภัยด้านฐานข้อมูล 3. ประเมินผลความมั่นคงปลอดภัยของฐานข้อมูล 20235.03 182572
20236 ให้บริการความมั่นคงปลอดภัยด้านเครื่องบริการเว็บ 1.  ออกแบบบริการเกี่ยวกับความมั่นคงปลอดภัยด้านเครื่องบริการเว็บ (SSL/TLS) 20236.01 182573
20236 ให้บริการความมั่นคงปลอดภัยด้านเครื่องบริการเว็บ 2. จัดการบริการเกี่ยวกับความมั่นคงปลอดภัยด้านเครื่องบริการเว็บ (encryption systems) 20236.02 182574
20236 ให้บริการความมั่นคงปลอดภัยด้านเครื่องบริการเว็บ 3.  ประเมินผลความมั่นคงปลอดภัยของบริการด้านเครื่องบริการเว็บ 20236.03 182575
20237 ให้บริการความมั่นคงปลอดภัยด้านแอปพลิเคชัน 1.  ออกแบบบริการเกี่ยวกับความมั่นคงปลอดภัยด้านแอปพลิเคชัน  20237.01 182576
20237 ให้บริการความมั่นคงปลอดภัยด้านแอปพลิเคชัน 2.  จัดการบริการเกี่ยวกับความมั่นคงปลอดภัยด้านแอปพลิเคชัน  20237.02 182577
20237 ให้บริการความมั่นคงปลอดภัยด้านแอปพลิเคชัน 3. ประเมินผลความมั่นคงปลอดภัยของบริการด้านแอปพลิเคชัน 20237.03 182578

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)
N/A

13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1. ปฏิบัติการวางแผนให้บริการพื้นฐานด้านพาณิชย์อิเล็กทรอนิกส์ให้มั่นคงปลอดภัย (General requirements) ได้อย่างมีประสิทธิภาพ

2. ปฏิบัติการให้บริการความมั่นคงปลอดภัยเชิงกายภาพ (Physical security) ได้อย่างมีประสิทธิภาพ

3. ปฏิบัติการให้บริการความมั่นคงปลอดภัยด้านเครือข่าย (Network security) ได้อย่างมีประสิทธิภาพ

4.  ปฏิบัติการให้บริการความมั่นคงปลอดภัยด้านระบบ (System security) ได้อย่างมีประสิทธิภาพ

5.  ปฏิบัติการให้บริการความมั่นคงปลอดภัยด้านฐานข้อมูล (Database security) ได้อย่างมีประสิทธิภาพ

6.  ปฏิบัติการให้บริการความมั่นคงปลอดภัยด้านเครื่องบริการเว็บ (Web server security) ได้อย่างมีประสิทธิภาพ

7.  ปฏิบัติการให้บริการความมั่นคงปลอดภัยด้านแอปพลิเคชัน (Application security) ได้อย่างมีประสิทธิภาพ

 

(ข) ความต้องการด้านความรู้

1. มาตรฐานทางเทคนิคด้านความมั่นคงปลอดภัยสำหรับอีคอมเมิร์ซ (Technical security standards for e-commerce)

2.  การบริหารระบบการให้บริการอีคอมเมิร์ซและเว็บไซต์

 

14. หลักฐานที่ต้องการ (Evidence Guide)

หลักฐานที่ต้องการจะกำหนดข้อแนะนำเกี่ยวกับการประเมิน และควรที่จะใช้ประกอบร่วมกันกับเกณฑ์การปฏิบัติงาน (Performance Criteria) และ ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) หลักฐานการปฏิบัติงาน (Performance Evidence)

1. เอกสารรับรองการปฏิบัติงานหรือผลการประเมินการปฏิบัติงานจากสถานประกอบการ

2. เอกสารการประเมินจากการจำลองสถานการณ์โดยใช้กรณีศึกษา

3. เอกสารการประเมินการสัมภาษณ์

4. แฟ้มสะสมผลงาน 

(ข) หลักฐานความรู้ (Knowledge Evidence)

1. เอกสารผ่านการอบรมเกี่ยวกับกฎหมายหรือข้อกำหนดที่เกี่ยวข้องกับการบริหารระบบอีคอมเมิร์ซและเว็บไซต์

2. เอกสาร วุฒิบัตร หรือใบรับรองที่แสดงว่าผ่านการทดสอบ (Certificate) ด้านการบริหารความมั่นคงเกี่ยวกับระบบคอมพิวเตอร์ทั้งแบบอิงและไม่อิงผลิตภัณฑ์จากหน่วยงานที่เกี่ยวข้อง

3. เอกสารรับรองการผ่านการสอบข้อเขียนหรือผลการทดสอบความรู้

(ค) คำแนะนำในการประเมิน

การประเมินเกี่ยวกับการบริหารจัดการระบบความมั่นคงปลอดภัยขั้นพื้นฐานด้านอีคอมเมิร์ซอย่างมีประสิทธิภาพ  โดยพิจารณาจากหลักฐานที่เกี่ยวข้องทั้งหลักฐานการปฏิบัติงานและหลักฐานด้านความรู้

(ง) วิธีการประเมิน

1. พิจารณาหลักฐานความรู้

2. พิจารณาหลักฐานการปฏิบัติงาน

15. ขอบเขต (Range Statement)

ขอบเขตอธิบายถึงขอบเขตของการปฏิบัติงาน และสภาพแวดล้อมอื่น ๆ หรือสถานการณ์อื่น ๆ ที่มีผลกระทบต่อการทำงาน รวมถึงเครื่องมือ อุปกรณ์ เทคโนโลยี ทรัพยากรที่ใช้ หรือข้อกำหนดอื่น ๆ ที่เกี่ยวข้อง

(ก)    คำแนะนำ 

การบริหารจัดการระบบความมั่นคงปลอดภัยขั้นพื้นฐานด้านอีคอมเมิร์ซอย่างมีประสิทธิภาพ  ผู้เข้ารับการประเมินจะต้องแสดงการทดสอบเกี่ยวกับการวางแผนให้บริการพื้นฐานด้านพาณิชย์อิเล็กทรอนิกส์ (General requirements) การให้บริการความมั่นคงปลอดภัยเชิงกายภาพ (Physical security)  การให้บริการความมั่นคงปลอดภัยด้านเครือข่าย (Network security)  การให้บริการความมั่นคงปลอดภัยด้านระบบ (System security) การให้บริการความมั่นคงปลอดภัยด้านฐานข้อมูล (Database security)  การให้บริการความมั่นคงปลอดภัยด้านเครื่องบริการเว็บ (Web server security) และการให้บริการความมั่นคงปลอดภัยด้านแอปพลิเคชัน (Application security) 

(ข)    คำอธิบายรายละเอียด

1. การวางแผนให้บริการพื้นฐานด้านพาณิชย์อิเล็กทรอนิกส์ให้มั่นคงปลอดภัย (General requirements) ได้อย่างมีประสิทธิภาพ จะต้องถูกจัดทำได้อย่างถูกต้องเหมาะสมตามข้อกำหนดที่เกี่ยวข้อง

2.  การให้บริการความมั่นคงปลอดภัยเชิงกายภาพ (Physical security) ได้อย่างมีประสิทธิภาพ จะต้องถูกจัดทำได้อย่างถูกต้องเหมาะสมตามข้อกำหนดที่เกี่ยวข้อง

3.  การให้บริการความมั่นคงปลอดภัยด้านเครือข่าย (Network security) ได้อย่างมีประสิทธิภาพ จะต้องถูกจัดทำได้อย่างถูกต้องเหมาะสมตามข้อกำหนดที่เกี่ยวข้อง

4.  การให้บริการความมั่นคงปลอดภัยด้านระบบ (System security) ได้อย่างมีประสิทธิภาพ จะต้องถูกจัดทำได้อย่างถูกต้องเหมาะสมตามข้อกำหนดที่เกี่ยวข้อง 

5.  การให้บริการความมั่นคงปลอดภัยด้านฐานข้อมูล (Database security) ได้อย่างมีประสิทธิภาพ จะต้องถูกจัดทำได้อย่างถูกต้องเหมาะสมตามข้อกำหนดที่เกี่ยวข้อง

6.  การให้บริการความมั่นคงปลอดภัยด้านเครื่องบริการเว็บ (Web server security) ได้อย่างมีประสิทธิภาพ จะต้องถูกจัดทำได้อย่างถูกต้องเหมาะสมตามข้อกำหนดที่เกี่ยวข้อง

7.  การให้บริการความมั่นคงปลอดภัยด้านแอปพลิเคชัน (Application security) ได้อย่างมีประสิทธิภาพ จะต้องถูกจัดทำได้อย่างถูกต้องเหมาะสมตามข้อกำหนดที่เกี่ยวข้อง

8.  จัดทำได้อย่างถูกต้องเหมาะสมตามข้อกำหนดที่เกี่ยวข้อง หมายถึง การดำเนินการที่สอดคล้องกับมาตรฐานทางเทคนิคด้านความมั่นคงปลอดภัยสำหรับอีคอมเมิร์ซ (Technical security standards for e-commerce) 

16. หน่วยสมรรถนะร่วม (ถ้ามี)
N/A

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
N/A

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

18.1 เครื่องมือการประเมิน

    1. แบบทดสอบปรนัย ชนิด 4 ตัวเลือก 

    2. แบบประเมินการสัมภาษณ์

    3. แบบประเมินแฟ้มสะสมงาน

    หรือ 

4. RESK

    ดูรายละเอียดจากคู่มือการประเมิน

    18.2 เครื่องมือการประเมิน

    1. แบบทดสอบปรนัย ชนิด 4 ตัวเลือก 

    2. แบบประเมินการสัมภาษณ์

    3. แบบประเมินแฟ้มสะสมงาน

    หรือ 

4. RESK

    ดูรายละเอียดจากคู่มือการประเมิน

    18.3 เครื่องมือการประเมิน

    1. แบบทดสอบปรนัย ชนิด 4 ตัวเลือก 

    2. แบบประเมินการสัมภาษณ์

    3. แบบประเมินแฟ้มสะสมงาน

หรือ 

4. RESK

    ดูรายละเอียดจากคู่มือการประเมิน

    18.4 เครื่องมือการประเมิน

    1. แบบทดสอบปรนัย ชนิด 4 ตัวเลือก 

    2. แบบประเมินการสัมภาษณ์

    3. แบบประเมินแฟ้มสะสมงาน

    หรือ 

4. RESK



    ดูรายละเอียดจากคู่มือการประเมิน

    18.5 เครื่องมือการประเมิน

    1. แบบทดสอบปรนัย ชนิด 4 ตัวเลือก 

    2. แบบประเมินการสัมภาษณ์

    3. แบบประเมินแฟ้มสะสมงาน

หรือ 

4. RESK

    ดูรายละเอียดจากคู่มือการประเมิน

    18.6 เครื่องมือการประเมิน

    1. แบบทดสอบปรนัย ชนิด 4 ตัวเลือก 

    2. แบบประเมินการสัมภาษณ์

    3. แบบประเมินแฟ้มสะสมงาน

    หรือ 

4. RESK

    ดูรายละเอียดจากคู่มือการประเมิน

    18.7 เครื่องมือการประเมิน

    1. แบบทดสอบปรนัย ชนิด 4 ตัวเลือก 

    2. แบบประเมินการสัมภาษณ์

    3. แบบประเมินแฟ้มสะสมงาน

หรือ 

4. RESK

    ดูรายละเอียดจากคู่มือการประเมิน

กลับ

ยินดีต้อนรับ