หน่วยสมรรถนะ

หน่วยสมรรถนะ

วิเคราะห์สภาพแวดล้อมด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน

สมรรถนะสนับสนุนการทำงานด้านดิจิทัลสำหรับข้าราชการ และบุคลากรภาครัฐ


รายละเอียดหน่วยสมรรถนะ


1. รหัสหน่วยสมรรถนะ DG-LKUE-040

2. ชื่อหน่วยสมรรถนะ วิเคราะห์สภาพแวดล้อมด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน

3. ทบทวนครั้งที่ / 2567

4. สร้างใหม่ ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)
N/A

6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)
ผู้ที่ผ่านหน่วยสมรรถนะนี้ จะมีความรู้ความเข้าใจด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร สามารถวิเคราะห์บริบทองค์กรเพื่อระบุความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร สามารถประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กรได้

7. สำหรับระดับคุณวุฒิ

8. กลุ่มอาชีพ (Sector)
ข้าราชการและบุคลากรภาครัฐ

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
N/A

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
1.    พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 2.     พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 3.     พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์  พ.ศ. 2562 4.     พระราชบัญญัติว่าด้วยการธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 5.    มาตรฐานและข้อกำหนด เช่น ISO/IEC 27001, NIST Cybersecurity Framework, และ CIS Controls 

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)
หน่วยสมรรถนะย่อย (EOC) เกณฑ์ในการปฏิบัติงาน (Performance Criteria) รหัส PC
(ตามเล่มมาตรฐาน)		 รหัส PC
(จากระบบ)
CS101

เข้าใจด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร

ระบุบริบทในด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กรได

 CS101.01 216917
CS101

เข้าใจด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร

ระบุข้อมูลที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ขององค์กรได้

 CS101.02 216918
CS101

เข้าใจด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร

ระบุทรัพยากรที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ขององค์กรได้

 CS101.03 216919
CS101

เข้าใจด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร

ระบุระบบที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ขององค์กรได้

 CS101.04 216920
CS102

วิเคราะห์บริบทองค์กรเพื่อระบุความเสี่ยงด้านความมั่นคง ปลอดภัยไซเบอร์ขององค์กร

ระบุปัจจัยที่มีผลต่อความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร

 CS102.01 216921
CS102

วิเคราะห์บริบทองค์กรเพื่อระบุความเสี่ยงด้านความมั่นคง ปลอดภัยไซเบอร์ขององค์กร

ระบุความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ที่อาจเกิดขึ้นในองค์กรได้

 CS102.02 216922
CS102

วิเคราะห์บริบทองค์กรเพื่อระบุความเสี่ยงด้านความมั่นคง ปลอดภัยไซเบอร์ขององค์กร

ระบุและประเมินทรัพย์สินทางไซเบอร์ได้

 CS102.03 216923
CS102

วิเคราะห์บริบทองค์กรเพื่อระบุความเสี่ยงด้านความมั่นคง ปลอดภัยไซเบอร์ขององค์กร

วิเคราะห์ผลกระทบของความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ต่อองค์กร

 CS102.04 216924
CS103

ประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร

วิเคราะห์ข้อมูลที่สำคัญสำหรับการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ได้

 CS103.01 216925
CS103

ประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร

ระบุระดับความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร

 CS103.02 216926
CS103

ประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร

ระบุผลการประเมินและแนวทางในการลดความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร

 CS103.03 216927
CS103

ประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร

ระบุแนวทางในการตรวจสอบและเฝ้าระวัง

 CS103.04 216928

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)

มีความรู้พื้นฐานด้านความมั่นคงปลอดภัยไซเบอร์และการบริหารจัดการความเสี่ยง

13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

-    ทักษะในการวิเคราะห์และประเมินความเสี่ยง

-    ทักษะในการใช้เครื่องมือและเทคโนโลยีที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์

-    ทักษะในการจัดการและเก็บรักษาข้อมูลที่เกี่ยวข้องกับการวิเคราะห์ความเสี่ยงได้อย่างเป็นระบบ

-    ทักษะในการสื่อสารที่มีประสิทธิภาพ

 

(ข) ความต้องการด้านความรู้

-    ความรู้ความเข้าใจในหลักการและวิธีการปกป้องข้อมูลและระบบจากภัยคุกคามไซเบอร์

-    ความรู้ความเข้าใจในการทำงานของระบบเครือข่ายคอมพิวเตอร์ ระบบปฏิบัติการต่าง ๆ ที่ใช้ภายในองค์กร

-    ความรู้ด้านกฎหมาย และข้อบังคับที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์

-    ความรู้ด้านการบริหารจัดการความเสี่ยง

 

14. หลักฐานที่ต้องการ (Evidence Guide)

(ก)    หลักฐานการปฏิบัติงาน (Performance Evidence)

-    หลักฐานการวิเคราะห์สภาพแวดล้อมด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร

-    เอกสารหรือรายงานที่แสดงถึงการวิเคราะห์สภาพแวดล้อมด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร

(ข)    หลักฐานความรู้ (Knowledge Evidence)

-    ใบวุฒิการศึกษา

-    ประกาศนียบัตรต่าง ๆ จากการฝึกอบรมพัฒนาหรือการเรียนรู้ที่เกี่ยวข้อง

(ค)    คำแนะนำในการประเมิน

-    ตรวจประเมินหลักฐานโดยพิจารณาจากร่องรอยหลักฐานที่เกี่ยวข้องทั้งหลักฐานด้านปฏิบัติงานและ หลักฐานด้านความรู้

 

15. ขอบเขต (Range Statement)

(ก) คำแนะนำ 

หน่วยความสามารถนี้ครอบคลุมการวิเคราะห์สภาพแวดล้อมด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กรมีขอบเบตครอบคลุมโครงสร้างองค์กร การบริหารจัดการความเสี่ยง การใช้เทคโนโลยีสารสนเทศ และความต้องการขององค์กรการวิเคราะห์ความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์จะต้องพิจารณาจากปัจจัย

ต่าง ๆ เช่น ความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ที่อาจเกิดขึ้นในองค์กร ผลกระทบของ ความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ต่อองค์กร และแนวทางใน ลดความเสี่ยง ด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กรการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์จะต้องมีความแม่นยำและเชื่อถือได้ โดยพิจารณาจากข้อมูลที่มีอยู่และผลการวิเคราะห์

(ข) คำอธิบายรายละเอียด

-    เข้าใจด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร มีขอบเขตที่ครอบคลุมถึง การปกป้องระบบ เครือข่าย และโปรแกรมขององค์กรจากการโจมตีทางไซเบอร์ที่อาจทำให้ข้อมูลสูญหาย ถูกขโมย หรือถูกเข้าถึงโดยไม่ได้รับอนุญาตซึ่งการรักษาความมั่นคงปลอดภัยไซเบอร์ขององค์กรจะรวมถึง หลายๆ ด้าน ได้แก่ 

-    การรักษาความลับของข้อมูล (Confidentiality): การป้องกันไม่ให้ข้อมูลสำคัญขององค์กรถูก เข้าถึงโดยบุคคลที่ไม่ได้รับอนุญาต

-    การรักษาความถูกต้องของข้อมูล (Integrity): การป้องกันการแก้ไขหรือทำลายข้อมูล โดยไม่ได้รับอนุญาต ทำให้ข้อมูลมีความถูกต้องและน่าเชื่อถือ

-    การรักษาความพร้อมใช้งานของระบบ (Availability): การทำให้ระบบและข้อมูลสามารถ เข้าถึงได้เสมอเมื่อต้องการใช้งาน

-    การตรวจสอบและควบคุมการเข้าถึง (Access Control): การกำหนดสิทธิ์การเข้าถึงข้อมูล และระบบเพื่อให้แน่ใจว่าบุคคลที่มีสิทธิ์เท่านั้นที่สามารถเข้าถึงข้อมูลได้

-    การรักษาความปลอดภัยของเครือข่าย (Network Security): การป้องกันการเข้าถึงเครือข่ายของ องค์กรโดยไม่ได้รับอนุญาต การป้องกันไวรัสและมัลแวร์ และการป้องกันการโจมตีที่มาจากภายนอก

-    การรักษาความปลอดภัยของแอปพลิเคชัน (Application Security): การป้องกันช่องโหว่และการโจมตีที่มาจากแอปพลิเคชันที่องค์กรใช้งาน

-    การบริหารจัดการเหตุการณ์และการตอบสนอง (Incident Management and Response): การวางแผนและการดำเนินการตอบสนองต่อเหตุการณ์ทางไซเบอร์ที่เกิดขึ้น รวมถึงการฟื้นฟูระบบหลังจากเหตุการณ์

 

16. หน่วยสมรรถนะร่วม (ถ้ามี)
N/A

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
N/A

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

สอบข้อเขียน 

กลับ

ยินดีต้อนรับ