หน่วยสมรรถนะ

หน่วยสมรรถนะ

บริหารจัดการความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล ระดับเชี่ยวชาญ

สาขาวิชาชีพอุตสาหกรรมดิจิทัล


รายละเอียดหน่วยสมรรถนะ


1. รหัสหน่วยสมรรถนะ ICT-JKZB-367B

2. ชื่อหน่วยสมรรถนะ บริหารจัดการความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล ระดับเชี่ยวชาญ

3. ทบทวนครั้งที่ N/A

4. สร้างใหม่ ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)

N/A

6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)

ผู้ที่ผ่านหน่วยสมรรถนะนี้ เป็นบุคลากรและผู้ปฏิบัติหน้าที่งานเกี่ยวข้องด้านข้อมูลส่วนบุคคลและงานคุ้มครองข้อมูลส่วนบุคคล ให้คำแนะนำจัดทำกรอบการบริหารและมาตรการความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล

7. สำหรับระดับคุณวุฒิ
1 2 3 4 5 6 7 8

8. กลุ่มอาชีพ (Sector)

ผู้ประกอบอาชีพในสาขาความปลอดภัยและความเป็นส่วนตัวทางดิจิทัล

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)

N/A

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)
หน่วยสมรรถนะย่อย (EOC) เกณฑ์ในการปฏิบัติงาน (Performance Criteria)
10203.01

ให้คำแนะนำในการจัดทำกรอบการบริหารความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล 

1. ให้คำแนะนำในการจัดทำวิธีการ และกระบวนการประเมินความเสี่ยง

2. ให้คำแนะนำในการจัดทำวิธีการ และกระบวนการจัดการความเสี่ยง

3. ให้คำแนะนำในการจัดทำเกณฑ์การบริหารความเสี่ยง
10203.02

ให้คำแนะนำในการจัดทำมาตรการจัดทำความเสี่ยง

1. ให้คำแนะนำในการจัดทำมาตรการควมคุมความมั่นคงปลอดภัย

2. ให้คำแนะนำในการจัดทำมาตรการด้านเทคนิค

3. ให้คำแนะนำในการจัดทำมาตรการบริหารจัดการ

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)

ไม่มี

13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1.    ทักษะเกี่ยวกับการประเมินผลกระทบและประเมินความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล
2.    ทักษะเกี่ยวกับการพิจารณาจัดทำและดำเนินการมาตรการควบคุมความเสี่ยง มาตรการควบคุมด้านความมั่นคงปลอดภัยของข้อมูล มาตรการด้านเทคนิค และมาตรการด้านการบริหารจัดการ
 

(ข) ความต้องการด้านความรู้

1.    ความรู้เกี่ยวกับการประเมินผลกระทบและประเมินความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล
2.    ความรู้เกี่ยวกับการพิจารณาจัดทำและดำเนินการมาตรการควบคุมความเสี่ยง มาตรการควบคุมด้านความมั่นคงปลอดภัยของข้อมูล มาตรการด้านเทคนิค และมาตรการด้านการบริหารจัดการ
 

14. หลักฐานที่ต้องการ (Evidence Guide)

หลักฐานที่ต้องการจะกำหนดข้อแนะนำเกี่ยวกับการประเมิน และควรที่จะใช้ประกอบร่วมกันกับเกณฑ์การปฏิบัติงาน (Performance Criteria) และ ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)
(ก)    หลักฐานการปฏิบัติงาน (Performance Evidence)
ผลการปฏิบัติงาน โดยมีการรายงานชั่วโมงการปฏิบัติงาน ชั่วโมงสะสมจำนวนรวม 120 ชั่วโมง สำหรับระยะเวลา 3 ปี หรือ อย่างน้อยปีละ 30 ชั่วโมง
(ข)    หลักฐานความรู้ (Knowledge Evidence)
        1. ผลจากการสอบข้อเขียน
        2. ผลจากแฟ้มสะสมผลงาน
        3. เอกสารประกาศนียบัตรรับรองคุณวุฒิวิชาชีพ/ วุฒิบัตรวิชาชีพที่ออกโดยหน่วยงานที่เชื่อถือได้
(ค)    คำแนะนำในการประเมิน
ประเมินความรู้ความเข้าใจ วิเคราะห์ในระดับปฏิบัติการและนำไปใช้ดำเนินการตามข้อกำหนดของกฎหมาย หลักการคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล ฐานการประมวลผลคุ้มครองข้อมูลส่วนบุคคล และหลักฐานการจำแนกข้อมูลส่วนบุคคลที่ต้องดำเนินการตามกฎหมาย
(ง)     วิธีการประเมิน
         1. พิจารณาตามหลักฐานความรู้
         2. พิจารณาตามหลักฐานแฟ้มสะสมผลงาน
 

15. ขอบเขต (Range Statement)

(ก)    คำแนะนำ 
หน่วยสมรรถนะนี้เป็นการทดสอบ ประเมินความรู้ความเข้าใจ การวิเคราะห์และการนำไปใช้ดำเนินการในระดับเชี่ยวชาญ เกี่ยวกับกระบวนการประเมินผลกระทบและประเมินความเสี่ยงที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล ทั้งการประเมินเมื่อมีการจัดทำระบบสำหรับการประมวลผลข้อมูลส่วนบุคคล/ ดำเนินการประมวลผลข้อมูลส่วนบุคคล มีเหตุละเมิด หรือเมื่อมีคำสั่งจากหน่วยงานกำกับดูแล
(ข)    คำอธิบายรายละเอียด
         - การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล 
         - การประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล 
           (ระบุความเสี่ยง วิเคราะห์ความเสี่ยง ประเมินระดับความเสี่ยง)
         - เกณฑ์การประเมินความเสี่ยง (Risk assessment criteria)
         - เกณฑ์การยอมรับความเสี่ยง (Risk appetite / Risk acceptance criteria)
         - ตารางระดับความเสี่ยง (Risk Matrix)
         - แผนบริหารความเสี่ยง/แผนจัดการความเสี่ยง (Risk management plan/Risk Treatment plan)
         - ตัวชี้วัดความเสี่ยง (Key risk indicator: KRI)
         - เกณฑ์ประสิทธิผลของมาตรการควบคุม (Control Effectiveness criteria)
         - มาตรการควบคุมความเสี่ยง (Controls for risk treatment) หมายถึง 
         - มาตรการควบคุมด้านความมั่นคงปลอดภัยของข้อมูล (Data Security controls)
         - มาตรการด้านเทคนิค (Technical measures) หมายถึง
         - มาตรการด้านการบริหารจัดการ (Organization measures)
         - มาตรฐานและแนวปฏิบัติที่เกี่ยวข้อง ได้แก่ COSO Enterprise Risk Management (ERM), ISO 31000, ISO/IEC 27005, ISO/IEC 27001 (ISMS), ISO/IEC 27701 (PIMS), ISO/IEC 29100, ISO/IEC 29134, General Data Protection Regulation (GDPR), European Union Agency for Cybersecurity (ENISA: สมาคมด้านความมั่นคงปลอดภัยของยุโรป), ISACA และแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

16. หน่วยสมรรถนะร่วม (ถ้ามี)

N/A

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)

N/A

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

18.1 เครื่องมือประเมินให้คำแนะนำในการจัดทำกรอบการบริหารความเสี่ยงที่เกี่ยวข้องด้าน
การคุ้มครองข้อมูลส่วนบุคคล
       1) ผลข้อสอบข้อเขียน
       2) แฟ้มสะสมผลงาน
18.2 เครื่องมือประเมินให้คำแนะนำในการจัดทำมาตรการจัดทำความเสี่ยง
       1) ผลข้อสอบข้อเขียน
       2) แฟ้มสะสมผลงาน
กลับ

ยินดีต้อนรับ