TPQI-NET PROFESSIONAL QUALIFICATION

1. รหัสหน่วยสมรรถนะ

DG-LKUE-040

2. ชื่อหน่วยสมรรถนะ

วิเคราะห์สภาพแวดล้อมด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน

3. ทบทวนครั้งที่

/ 2567

4. สร้างใหม่

ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)
	N/A

6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)

ผู้ที่ผ่านหน่วยสมรรถนะนี้ จะมีความรู้ความเข้าใจด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร สามารถวิเคราะห์บริบทองค์กรเพื่อระบุความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร สามารถประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กรได้

7. สำหรับระดับคุณวุฒิ

8. กลุ่มอาชีพ (Sector)
	ข้าราชการและบุคลากรภาครัฐ

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
	N/A

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)

1. พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 2. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 3. พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 4. พระราชบัญญัติว่าด้วยการธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 5. มาตรฐานและข้อกำหนด เช่น ISO/IEC 27001, NIST Cybersecurity Framework, และ CIS Controls

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)

หน่วยสมรรถนะย่อย (EOC)	เกณฑ์ในการปฏิบัติงาน (Performance Criteria)	รหัส PC (ตามเล่มมาตรฐาน)	รหัส PC (จากระบบ)
CS101 เข้าใจด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน	1.1 ระบุบริบทในด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานได้	CS101.01	216917
CS101 เข้าใจด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน	1.2 ระบุข้อมูลที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานได้	CS101.02	216918
CS101 เข้าใจด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน	1.3 ระบุทรัพยากรที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานได้	CS101.03	216919
CS101 เข้าใจด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน	1.4 ระบุระบบที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานได้	CS101.04	216920
CS102 วิเคราะห์บริบทองค์กรเพื่อระบุความเสี่ยงด้านความมั่นคง ปลอดภัยไซเบอร์ของหน่วยงาน	2.1 ระบุปัจจัยที่มีผลต่อความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน	CS102.01	216921
CS102 วิเคราะห์บริบทองค์กรเพื่อระบุความเสี่ยงด้านความมั่นคง ปลอดภัยไซเบอร์ของหน่วยงาน	2.2 ระบุความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ที่อาจเกิดขึ้นในหน่วยงานได้	CS102.02	216922
CS102 วิเคราะห์บริบทองค์กรเพื่อระบุความเสี่ยงด้านความมั่นคง ปลอดภัยไซเบอร์ของหน่วยงาน	2.3 ระบุและประเมินทรัพย์สินทางไซเบอร์ได้	CS102.03	216923
CS102 วิเคราะห์บริบทองค์กรเพื่อระบุความเสี่ยงด้านความมั่นคง ปลอดภัยไซเบอร์ของหน่วยงาน	2.4 วิเคราะห์ผลกระทบของความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ต่อหน่วยงาน	CS102.04	216924
CS103 ประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน	3.1 วิเคราะห์ข้อมูลที่สำคัญสำหรับการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ได้	CS103.01	216925
CS103 ประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน	3.2 ระบุระดับความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน	CS103.02	216926
CS103 ประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน	3.3 ระบุผลการประเมินและแนวทางในการลดความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน	CS103.03	216927
CS103 ประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน	3.4 ระบุแนวทางในการตรวจสอบและเฝ้าระวัง	CS103.04	216928

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)
	มีความรู้พื้นฐานด้านความมั่นคงปลอดภัยไซเบอร์และการบริหารจัดการความเสี่ยง

13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

-   ทักษะในการวิเคราะห์และประเมินความเสี่ยง

-   ทักษะในการใช้เครื่องมือและเทคโนโลยีที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์

-   ทักษะในการจัดการและเก็บรักษาข้อมูลที่เกี่ยวข้องกับการวิเคราะห์ความเสี่ยงได้อย่างเป็นระบบ

-   ทักษะในการสื่อสารที่มีประสิทธิภาพ

(ข) ความต้องการด้านความรู้

-   ความรู้ความเข้าใจในหลักการและวิธีการปกป้องข้อมูลและระบบจากภัยคุกคามไซเบอร์

-   ความรู้ความเข้าใจในการทำงานของระบบเครือข่ายคอมพิวเตอร์ ระบบปฏิบัติการต่าง ๆ ที่ใช้ภายในองค์กร

-   ความรู้ด้านกฎหมาย และข้อบังคับที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์

-   ความรู้ด้านการบริหารจัดการความเสี่ยง

14. หลักฐานที่ต้องการ (Evidence Guide)

(ก)   หลักฐานการปฏิบัติงาน (Performance Evidence)

-   หลักฐานการวิเคราะห์สภาพแวดล้อมด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร

-   เอกสารหรือรายงานที่แสดงถึงการวิเคราะห์สภาพแวดล้อมด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร

(ข)   หลักฐานความรู้ (Knowledge Evidence)

-   ใบวุฒิการศึกษา

-   ประกาศนียบัตรต่าง ๆ จากการฝึกอบรมพัฒนาหรือการเรียนรู้ที่เกี่ยวข้อง

(ค)   คำแนะนำในการประเมิน

-   ตรวจประเมินหลักฐานโดยพิจารณาจากร่องรอยหลักฐานที่เกี่ยวข้องทั้งหลักฐานด้านปฏิบัติงานและ หลักฐานด้านความรู้

15. ขอบเขต (Range Statement)

(ก) คำแนะนำ

หน่วยความสามารถนี้ครอบคลุมการวิเคราะห์สภาพแวดล้อมด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กรมีขอบเบตครอบคลุมโครงสร้างองค์กร การบริหารจัดการความเสี่ยง การใช้เทคโนโลยีสารสนเทศ และความต้องการขององค์กรการวิเคราะห์ความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์จะต้องพิจารณาจากปัจจัย

ต่าง ๆ เช่น ความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ที่อาจเกิดขึ้นในองค์กร ผลกระทบของ ความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ต่อองค์กร และแนวทางใน ลดความเสี่ยง ด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กรการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์จะต้องมีความแม่นยำและเชื่อถือได้ โดยพิจารณาจากข้อมูลที่มีอยู่และผลการวิเคราะห์

(ข) คำอธิบายรายละเอียด

-   เข้าใจด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร มีขอบเขตที่ครอบคลุมถึง การปกป้องระบบ เครือข่าย และโปรแกรมขององค์กรจากการโจมตีทางไซเบอร์ที่อาจทำให้ข้อมูลสูญหาย ถูกขโมย หรือถูกเข้าถึงโดยไม่ได้รับอนุญาตซึ่งการรักษาความมั่นคงปลอดภัยไซเบอร์ขององค์กรจะรวมถึง หลายๆ ด้าน ได้แก่

-   การรักษาความลับของข้อมูล (Confidentiality): การป้องกันไม่ให้ข้อมูลสำคัญขององค์กรถูก เข้าถึงโดยบุคคลที่ไม่ได้รับอนุญาต

-   การรักษาความถูกต้องของข้อมูล (Integrity): การป้องกันการแก้ไขหรือทำลายข้อมูล โดยไม่ได้รับอนุญาต ทำให้ข้อมูลมีความถูกต้องและน่าเชื่อถือ

-   การรักษาความพร้อมใช้งานของระบบ (Availability): การทำให้ระบบและข้อมูลสามารถ เข้าถึงได้เสมอเมื่อต้องการใช้งาน

-   การตรวจสอบและควบคุมการเข้าถึง (Access Control): การกำหนดสิทธิ์การเข้าถึงข้อมูล และระบบเพื่อให้แน่ใจว่าบุคคลที่มีสิทธิ์เท่านั้นที่สามารถเข้าถึงข้อมูลได้

-   การรักษาความปลอดภัยของเครือข่าย (Network Security): การป้องกันการเข้าถึงเครือข่ายของ องค์กรโดยไม่ได้รับอนุญาต การป้องกันไวรัสและมัลแวร์ และการป้องกันการโจมตีที่มาจากภายนอก

-   การรักษาความปลอดภัยของแอปพลิเคชัน (Application Security): การป้องกันช่องโหว่และการโจมตีที่มาจากแอปพลิเคชันที่องค์กรใช้งาน

-   การบริหารจัดการเหตุการณ์และการตอบสนอง (Incident Management and Response): การวางแผนและการดำเนินการตอบสนองต่อเหตุการณ์ทางไซเบอร์ที่เกิดขึ้น รวมถึงการฟื้นฟูระบบหลังจากเหตุการณ์

16. หน่วยสมรรถนะร่วม (ถ้ามี)
	N/A

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
	N/A

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)
	สอบข้อเขียน

หน่วยสมรรถนะ

วิเคราะห์สภาพแวดล้อมด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน

กลับ

ยินดีต้อนรับ