This email address is being protected from spambots. You need JavaScript enabled to view it.
Thai languages
+66 2 448 9111
รายละเอียด
ฮิต: 28

นโยบายและแนวทางปฏิบัติธรรมาภิบาลข้อมูล
สถาบันส่งเสริมความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน (องค์การมหาชน)

หลักการ

       สถาบันส่งเสริมความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน (องค์การมหาชน) เป็นหน่วยงานของรัฐที่จัดตั้งขึ้นเพื่อส่งเสริม สนับสนุน และพัฒนามาตรฐานด้านความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงานของประเทศ ให้เป็นไปอย่างมีประสิทธิภาพและยั่งยืน มุ่งลดการประสบอันตรายจากการทำงาน เสริมสร้างคุณภาพชีวิตที่ดีแก่ผู้ใช้แรงงาน และยกระดับมาตรฐานความปลอดภัยในการทำงานของประเทศ เพื่อความมั่นคงทางเศรษฐกิจและสังคม โดยมีภารกิจดังต่อไปนี้

  1. เสนอแนะนโยบายและแผนด้านความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน เพื่อใช้ประกอบการกำหนดทิศทางการพัฒนาของประเทศ
  2. ศึกษา วิจัย และพัฒนาองค์ความรู้ นวัตกรรม และมาตรฐานด้านความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน ให้สอดคล้องกับสถานการณ์และมาตรฐานสากล
  3. ส่งเสริม สนับสนุน และพัฒนาศักยภาพของหน่วยงานภาครัฐ ภาคเอกชน สถานประกอบกิจการ และแรงงาน ในการดำเนินงานด้านความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน
  4. ส่งเสริมการมีส่วนร่วมของทุกภาคส่วนในการป้องกันและลดอุบัติเหตุจากการทำงาน รวมถึงการสร้างวัฒนธรรมความปลอดภัยในการทำงานอย่างยั่งยืน
  5. พัฒนาและบริหารจัดการฐานข้อมูลด้านความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงานของประเทศ เพื่อใช้ในการวางแผน กำหนดนโยบาย และสนับสนุนการตัดสินใจ
  6. สนับสนุน ส่งเสริม และพัฒนาระบบการบริหารจัดการด้านความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน ให้มีประสิทธิภาพและสอดคล้องกับกฎหมายและมาตรฐานที่เกี่ยวข้อง
  7. เป็นศูนย์กลางข้อมูลและองค์ความรู้ด้านความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงานของประเทศ
  8. ปฏิบัติงานอื่นตามที่กฎหมายกำหนดให้เป็นหน้าที่และอำนาจของสถาบัน หรือตามที่คณะรัฐมนตรีหรือหน่วยงานที่เกี่ยวข้องมอบหมาย

         ทั้งนี้ เพื่อประโยชน์ในการบริหารจัดการด้านความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน และการบริหารราชการให้เกิดประสิทธิภาพสูงสุด โดยคำนึงถึงประโยชน์ของประชาชน ผู้ใช้แรงงาน และสถานประกอบกิจการเป็นสำคัญ ให้เป็นไปตามกฎหมายว่าด้วยการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล รวมทั้งกฎหมายและระเบียบอื่นที่เกี่ยวข้องที่มีผลบังคับใช้ในปัจจุบัน จึงกำหนดนโยบายและแนวปฏิบัติด้านธรรมาภิบาลข้อมูลภาครัฐไว้ดังต่อไปนี้

ขอบเขต

       เป็นการครอบคลุมตั้งแต่การบริหารจัดการเพื่อให้ได้มาซึ่งข้อมูลตลอดวงจรชีวิตข้อมูล (Data Life Cycle) และทุกกระบวนการด้านธรรมาภิบาลข้อมูล (Data Governance Process) เพื่อสนับสนุนการดำเนินงานตามภารกิจของ สถาบันส่งเสริมความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน (องค์การมหาชน) และให้มีผลบังคับใช้กับบุคลากรหรือหน่วยงานภายในทั้งหมด ได้แก่ ผู้บริหาร เจ้าหน้าที่ พนักงาน ลูกจ้าง ตลอดจนผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องกับการดำเนินงานของสถาบัน

วัตถุประสงค์

         เพื่อให้ สถาบันส่งเสริมความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน (องค์การมหาชน) มีนโยบายและแนวปฏิบัติด้านธรรมาภิบาลข้อมูลที่ชัดเจน และสามารถบริหารจัดการข้อมูลได้อย่างเหมาะสม เพียงพอ และสอดคล้องกับภารกิจของสถาบัน ครอบคลุมถึงโครงสร้างการกำกับดูแลข้อมูล (Data Governance Structure) บทบาท และหน้าที่ความรับผิดชอบของผู้บริหารระดับสูง หน่วยงานภายใน และบุคลากรที่เกี่ยวข้อง

คำนิยาม

“สสปท.” หมายถึง สถาบันส่งเสริมความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน (องค์การมหาชน)

“ข้อมูล” หมายถึง สิ่งที่สื่อความหมายให้เข้าใจเรื่องราว ข้อเท็จจริง หรือสารสนเทศใด ๆ ไม่ว่าการสื่อความหมายนั้นจะทำได้โดยสภาพของสิ่งนั้นเอง หรือผ่านวิธีการใด ๆ และไม่ว่าจะจัดทำไว้ในรูปแบบเอกสาร แฟ้ม รายงาน หนังสือ แผนผัง แผนที่ ภาพวาด ภาพถ่าย ฟิล์ม การบันทึกภาพหรือเสียง การบันทึกโดยเครื่องคอมพิวเตอร์ หรือวิธีอื่นใดที่ทำให้สิ่งที่บันทึกไว้ปรากฏได้

“ชุดข้อมูล” หมายถึง การนำข้อมูลจากแหล่งต่าง ๆ มารวบรวม จัดกลุ่ม และจัดโครงสร้างให้เป็นระบบเดียวกันตามลักษณะและรูปแบบของข้อมูล เพื่อให้สามารถนำไปใช้ประโยชน์ได้อย่างมีประสิทธิภาพ

“ธรรมาภิบาลข้อมูลภาครัฐ” หมายถึง การกำหนดสิทธิในการตัดสินใจและความรับผิดชอบ เพื่อให้เกิดกระบวนการจัดทำ การใช้งาน และการบริหารจัดการข้อมูลอย่างเป็นระบบ รวมถึงการกำหนดบทบาท นโยบาย และมาตรฐานที่สนับสนุนให้การดำเนินงานด้านข้อมูลมีประสิทธิภาพ โปร่งใส ตรวจสอบได้ และทำให้องค์กรบรรลุเป้าหมาย

“คณะกรรมการธรรมาภิบาลข้อมูล” หมายถึง คณะกรรมการที่สถาบันแต่งตั้งขึ้นเพื่อกำกับดูแลด้านธรรมาภิบาลข้อมูล มีหน้าที่กำหนดนโยบาย เป้าหมาย กำกับ ติดตาม ให้คำปรึกษา และตัดสินประเด็นสำคัญด้านข้อมูล รวมทั้งส่งเสริมให้บุคลากรตระหนักถึงความสำคัญของข้อมูล

“การใช้ข้อมูลอย่างปลอดภัย” หมายถึง การใช้ข้อมูลโดยคำนึงถึงความถูกต้อง สิทธิในการเข้าถึง ความป็นส่วนตัว และความมั่นคงปลอดภัยของข้อมูล ตามกฎหมาย นโยบาย และมาตรฐานที่เกี่ยวข้อง

“ทีมบริหารข้อมูล” หมายถึง คณะทำงานที่รับผิดชอบกำหนดคำอธิบายชุดข้อมูลทั้งเชิงธุรกิจและเทคโนโลยีสารสนเทศ จัดทำนโยบาย มาตรฐาน ตรวจสอบการปฏิบัติงาน และวิเคราะห์ผลด้านการบริหารจัดการข้อมูล

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งสามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม

“ข้อมูลที่เป็นเอกสาร” หมายถึง ข้อมูลที่จัดเก็บในรูปแบบกระดาษหรือสื่อสิ่งพิมพ์

“ข้อมูลที่ไม่เป็นเอกสาร” หมายถึง ข้อมูลสารสนเทศ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอิเล็กทรอนิกส์ในรูปแบบดิจิทัล

“เจ้าของข้อมูล” หมายถึง บุคคลหรือหน่วยงานที่มีหน้าที่รับผิดชอบข้อมูล สามารถควบคุม กำหนดสิทธิ์ สร้าง แก้ไข ลบ อนุญาตหรือปฏิเสธการเข้าถึงข้อมูล และรับผิดชอบความถูกต้อง ความครบถ้วน ความทันสมัย การทำลายข้อมูล รวมถึงการกำหนดระดับชั้นความลับและความปลอดภัย

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยไม่ใช่ผู้ควบคุมข้อมูลเอง

“ผู้ดูแลข้อมูล” หมายถึง ผู้ปฏิบัติงานด้านการจัดเก็บ ดูแลรักษา สำรอง และป้องกันข้อมูลจากภัยคุกคาม รวมทั้งดำเนินการตามมาตรการความมั่นคงปลอดภัยของข้อมูล

“ผู้ใช้ข้อมูล” หมายถึง ผู้ที่ได้รับอนุญาตให้เข้าถึงหรือใช้ข้อมูลจากผู้รับผิดชอบ หรือได้รับมอบหมายจากหน่วยงานให้ใช้ข้อมูลเพื่อประโยชน์ของสถาบัน

“ระดับชั้นความลับของข้อมูล” หมายถึง การกำหนดระดับการเปิดเผยข้อมูลให้เหมาะสม ได้แก่ ลับที่สุด ลับมาก ลับ ปกปิด และเปิดเผยได้

“ความมั่นคงปลอดภัยของข้อมูล” หมายถึง การรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และความพร้อมใช้งาน (Availability) ของข้อมูล รวมถึงความน่าเชื่อถือและการตรวจสอบได้

“Metadata” หมายถึง คำอธิบายรายละเอียดของชุดข้อมูลดิจิทัล เช่น โครงสร้างข้อมูล เนื้อหา รูปแบบการจัดเก็บ แหล่งที่มา และสิทธิการเข้าถึงข้อมูล

นโยบายธรรมาภิบาลข้อมูล (Data Governance Policy)

ประกอบด้วย 6 หัวข้อ ได้แก่

1. นโยบายธรรมาภิบาลข้อมูล (Data Governance Policy)

วัตถุประสงค์

      เพื่อกำหนดแนวทางการดำเนินงานด้านธรรมาภิบาลข้อมูล เนื่องจากการกำหนดนโยบายข้อมูลจัดเป็นหนึ่งในองค์ประกอบตามกรอบการธรรมาภิบาลข้อมูล และให้การบริหารจัดการข้อมูลมีประสิทธิภาพ จึงต้องมีการกำหนดนโยบายที่ระบุอย่างชัดเจน สอดคล้องกับกฎหมาย ระเบียบ ข้อบังคับ คาสั่ง หรือข้อกำหนดอื่น ๆ ที่เกี่ยวข้อง เพื่อให้นโยบายข้อมูลได้ถูกนามาปฏิบัติอย่างมีประสิทธิภาพและต่อเนื่อง

นโยบาย

  1. กำหนดให้มีโครงสร้างคณะกรรมการธรรมาภิบาลข้อมูล พร้อมกำหนดบทบาท หน้าที่ และความรับผิดชอบในการกำกับดูแลและบริหารจัดการข้อมูลขององค์กร
  2. กำหนดหน่วยงานหรือบุคคลที่เป็นเจ้าของข้อมูลสำหรับแต่ละชุดข้อมูล เพื่อรับผิดชอบการบริหารจัดการข้อมูลอย่างชัดเจน
  3. กำหนดมาตรฐานข้อมูลและแนวปฏิบัติในการบริหารจัดการคำอธิบายชุดข้อมูลครอบคลุมบทบาทหน้าที่ กระบวนการจัดทำ การควบคุมกำกับ และการตรวจสอบคุณภาพของเมทาดาทา
  4. กำหนดนิยามข้อมูล (Data Definition) ขอบเขตข้อมูล (Scope of Data) และรูปแบบข้อมูล (Data Format) ให้ครอบคลุมชุดข้อมูลทุกประเภท รวมถึงข้อมูลขนาดใหญ่ (Big Data)
  5. จัดทำนโยบายที่เกี่ยวข้องกับธรรมาภิบาลข้อมูล ประกอบด้วย

1) นโยบายคุณภาพข้อมูล (Data Quality Policy)

2) นโยบายการแลกเปลี่ยนและเชื่อมโยงข้อมูล (Data Exchange and Integration Policy)

3) มาตรฐานการจัดชั้นความลับของข้อมูล (Data Classification Standard)

4) นโยบายความมั่นคงปลอดภัยและความเป็นส่วนตัวของข้อมูล (Data Security and Privacy Policy)

5) นโยบายการเปิดเผยข้อมูลภาครัฐ (Open Data Policy)

  1. กำหนดการบริหารจัดการข้อมูลตลอดวงจรชีวิตข้อมูล (Data Life Cycle) ประกอบด้วย
  • การสร้างหรือจัดเก็บข้อมูล (Data Creation & Collection)
  • การจัดเก็บและบำรุงรักษา (Data Storage & Maintenance)
  • การใช้งานข้อมูล (Data Usage) รวมถึงการแลกเปลี่ยน การเชื่อมโยง และการเปิดเผยข้อมูล (Data Exchange, Integration & Disclosure)
  • การเก็บรักษาระยะยาวและสำรองข้อมูล (Data Archiving & Backup)
  • การทำลายข้อมูล (Data Disposal)
  1. กำหนดกระบวนการธรรมาภิบาลข้อมูล (Data Governance Process) อย่างเป็นรูปธรรม เพื่อให้เกิดการกำกับดูแลข้อมูลอย่างเป็นระบบ
  2. จัดให้มีกระบวนการบริหารจัดการความเสี่ยงด้านข้อมูล (Data Risk Management) ให้สอดคล้องกับกรอบการบริหารความเสี่ยงขององค์กร โดยคำนึงถึงระดับชั้นความลับ ความถูกต้องครบถ้วน และความพร้อมใช้ของข้อมูล
  3. กำหนดให้มีการสื่อสารและเผยแพร่นโยบายด้านข้อมูลแก่ผู้ที่เกี่ยวข้อง ทั้งภายในและภายนอกองค์กรอย่างทั่วถึง
  4. จัดให้มีการฝึกอบรมและพัฒนาความรู้ เพื่อสร้างความตระหนักด้านธรรมาภิบาลข้อมูลและการบริหารจัดการข้อมูล ครอบคลุมทุกกระบวนการและวงจรชีวิตของข้อมูล
  5. กำหนดให้มีการติดตาม ประเมินผล ทบทวน ตรวจสอบ และปรับปรุงนโยบายธรรมาภิบาลข้อมูลอย่างต่อเนื่อง อย่างน้อยปีละ 1 ครั้ง

 

2. นโยบายคุณภาพข้อมูล (Data Quality Policy)

วัตถุประสงค์

       เพื่อให้การควบคุมคุณภาพข้อมูล สาหรับการนำไปใช้ประโยชน์ในการบริหารงานและการให้บริการ ประชาชนของ สสปท. โดยให้เป็นไปตามอำนาจหน้าที่และวัตถุประสงค์ในการดำเนินงานของ สสปท. ตามที่กฎหมายกำหนด โดยข้อมูลที่ได้จัดเก็บนั้น สสปท. จะคำนึงถึงคุณภาพข้อมูล (Data Quality) ในทุกชุดข้อมูล (Dataset)

นโยบาย

  1. กำหนดมาตรฐานข้อมูลให้เป็นแบบเดียวกัน และมีการควบคุมคุณภาพข้อมูลตลอดทั้งวงจรชีวิต ข้อมูล (Data Lifecycle) ของข้อมูลที่ตนเองมีหน้าที่รับผิดชอบนั้น
  2. กำหนดให้มีข้อกาหนดพื้นฐานของการบริหารจัดการคุณภาพข้อมูล (Data Quality Management) รวมถึงแนวทางการควบคุมและการปรับปรุงอย่างต่อเนื่อง
  3. ชุดข้อมูลทุกชุด ต้องมีการวัดคุณภาพข้อมูล (Data Quality) ดังต่อไปนี้ ความถูกต้อง (Accuracy) ความครบถ้วน (Completeness) ความต้องกัน (Consistency) ความเป็นปัจจุบัน (Timeliness) ตรงตามความต้องการของผู้ใช้ (Relevancy) ความน่าเชื่อถือ (Data Integrity) และพร้อมใช้งาน (Availability) โดยทุกเกณฑ์ เป็นเกณฑ์เชิงปริมาณ (Quantitative measurement)
  4. การกำหนดตัวชี้วัดคุณภาพข้อมูล เช่น ความถูกต้อง ความครบถ้วน ความต้องกัน ความเป็นปัจจุบัน ตรงตามความต้องการของผู้ใช้ และพร้อมใช้งาน
  5. รายงานคุณภาพข้อมูล ประกอบด้วยการกำหนดระดับมิติตัวชี้วัด และค่าเป้าหมายในการประเมิน คุณภาพข้อมูล จะต้องแนบไปกับการใช้ชุดข้อมูล (Dataset) และชุดคาอธิบายข้อมูล
  6. การฝึกอบรมเพื่อสร้างความตระหนักถึงคุณภาพของข้อมูล

 

3. นโยบายการเชื่อมโยงและแลกเปลี่ยนข้อมูล (Data Integration and Exchange Policy)

วัตถุประสงค์

       เพื่อให้การแลกเปลี่ยนข้อมูลทั้งภายในและระหว่างหน่วยงานมีความมั่นคงปลอดภัย และข้อมูลมีคุณภาพ สามารถนำไปใช้ประโยชน์ได้อย่างมีประสิทธิภาพ โดยมีวิธีและแนวทางการนำข้อมูลไปเชื่อมโยงและ แลกเปลี่ยนกับหน่วยงานภายนอก ให้สอดคล้องกับระเบียบ หลักเกณฑ์ และกฎหมายที่กำหนด บนพื้นฐานของ ประโยชน์ส่วนรวมเป็นสำคัญ

นโยบาย

  1. กำหนดแนวปฏิบัติในการจัดการเรื่องความมั่นคงปลอดภัย คุณภาพข้อมูล และผู้ประสานงาน หรือศูนย์ติดต่อ (Contact Center)
  2. กำหนดกระบวนการในการเชื่อมโยงและแลกเปลี่ยนข้อมูลให้ชัดเจน เริ่มตั้งแต่ขั้นตอนการเตรียมการ ขั้นตอนเริ่มดำเนินการ ขั้นตอนระหว่างดำเนินการ และขั้นตอนสิ้นสุดการดำเนินการ
  3. กำหนดเมทาดาต้าของชุดข้อมูลที่ต้องการเชื่อมโยงและแลกเปลี่ยนที่จำเป็นให้ครบถ้วน
  4. ทำสัญญาอนุญาตหรือข้อตกลงในการเชื่อมโยงและแลกเปลี่ยนข้อมูลและการนำข้อมูลไปใช้
  5. กำหนดเทคโนโลยีและมาตรฐานทางเทคนิคที่ใช้ในการเชื่อมโยงและแลกเปลี่ยนข้อมูล
  6. บันทึกรายละเอียดและจัดเก็บข้อมูลการดำเนินงานที่เกิดขึ้นในแต่ละครั้งที่มีการเชื่อมโยงและ แลกเปลี่ยนข้อมูล (Log File) ระหว่างหน่วยงาน เพื่อให้สามารถตรวจสอบย้อนกลับได้
  7. สามารถตรวจสอบได้ว่าการเชื่อมโยงและแลกเปลี่ยนข้อมูลได้ดำเนินการอย่างเหมาะสม หรือเป็นไป ตามแนวทางปฏิบัติ กระบวนการการเชื่อมโยงและแลกเปลี่ยน และมาตรฐานตามที่กำหนด
  8. กำหนดบุคคลหรือกลุ่มบุคคลในการดำเนินการเชื่อมโยงและแลกเปลี่ยนข้อมูล เช่น บุคคลที่ทำหน้าที่ ออกแบบกระบวนการและเทคโนโลยีในการเชื่อมโยงและแลกเปลี่ยนข้อมูล (Data Integration Architect) บุคคลที่ทำหน้าที่ดำเนินการเชื่อมโยงและแลกเปลี่ยนข้อมูลให้สอดคล้องกับที่ได้ออกแบบไว้ (Data Integration Specialist)

 

4. มาตรฐานการจัดชั้นความลับข้อมูล (Data Classification Standard)

วัตถุประสงค์

         เพื่อให้การประมวลผลข้อมูลและการใช้ข้อมูลที่มีประสิทธิภาพ ถูกต้อง ตรงตามวัตถุประสงค์ของการใช้ข้อมูลให้เกิดประโยชน์ รวมถึงวิธีการและแนวทางในการขอข้อมูลจากหน่วยงานที่เกี่ยวข้องทั้งภายในและ ภายนอก เพื่อนามาใช้ในการประมวลผลและนำมาใช้ ทั้งนี้ การนาข้อมูลมาใช้ให้เป็นไปตามวัตถุประสงค์ตามที่แจ้ง หากนอกเหนือจากเหตุผลดังกล่าวข้างตัน จะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน

นโยบาย

  1. ชุดข้อมูลต้องมีการจัดลำดับชั้นความลับของข้อมูล การกำหนดชั้นความลับของข้อมูล และการกำหนดสิทธิ์การเข้าถึง เพื่อให้สอดคล้องกับแนวทางการจัดชั้นความลับของข้อมูล
  2. กำหนดแนวปฏิบัติและมาตรฐานของการประมวลผลข้อมูล และทาการสื่อสารให้แก่ผู้ที่เกี่ยวข้องรับทราบ
  3. ห้ามเปิดเผยข้อมูลที่ขัดต่อกฎหมาย ระเบียบ ข้อบังคับ คำสั่ง หลักเกณฑ์ นโยบาย แนวปฏิบัติของ สสปท. ที่ประกาศใช้ในปัจจุบัน ไม่ว่าข้อมูลจะอยู่ในรูปแบบใดหรือสถานที่ใดก็ตาม
  4. การดำเนินการประมวลผลข้อมูลที่เป็นความลับ เช่น ข้อมูลส่วนบุคคล ให้เป็นไปตามขอบเขต เงื่อนไขหรือวัตถุประสงค์ในการยินยอมให้ดำเนินการกับข้อมูลส่วนบุคคลนั้น
  5. ต้องมีการเก็บบันทึกประวัติการเข้าถึงและการใช้ข้อมูล (Log Files) เพื่อให้สามารถตรวจสอบ ย้อนกลับได้
  6. เจ้าของข้อมูล และผู้มีส่วนได้ส่วนเสียกับข้อมูลต้องร่วมกัน จัดทำเมทาดาต้า พร้อมคำอธิบาย (Metadata) สำหรับข้อมูลที่จัดเก็บอยู่ในฐานข้อมูล (Database) ในทุกชุดข้อมูล
  7. ต้องมีการทบทวนระดับชั้นความลับข้อมูล อย่างน้อยปีละ 1 ครั้ง และให้ดำเนินการปรับปรุง อย่างต่อเนื่อง

 

นโยบายความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของข้อมูล (Data Security and Privacy Policy)

วัตถุประสงค์

เพื่อเป็นการกำหนดแนวทางในการบริหารจัดการความมั่นคงปลอดภัยของข้อมูลและความเป็นส่วนบุคคล ซึ่งจะต้องสอดคล้องกับนโยบายความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของข้อมูล

นโยบาย

  1. การจัดทำสถาปัตยกรรมความมั่นคงปลอดภัยของข้อมูล (Data Security Architecture)
  2. การควบคุมการเข้าถึงข้อมูล (Data Access Control)
  3. การตรวจสอบความมั่นคงปลอดภัยของข้อมูล (Data Security Audit)
  4. การประเมินความปลอดภัยของข้อมูล (Data Security Assessment)
  5. การกำหนดเครื่องมือและเทคโนโลยีความมั่นคงปลอดภัยของข้อมูล (Data Security Tool /Technology)

 

นโยบายการเปิดเผยข้อมูล (Open Data Policy)

วัตถุประสงค์

       เพื่อกำหนดนโยบายข้อมูลที่สามารถนำไปใช้ได้โดยอิสระ สามารถนำกลับมาใช้ใหม่และแจกจ่ายได้ โดยใครก็ตาม แต่ต้องระบุแหล่งที่มาหรือเจ้าของงานและต้องใช้สัญญาอนุญาต หรือเงื่อนไขเดียวกันกับที่มา หรือตามเจ้าของข้อมูลกำหนด

นโยบาย

  1. กำหนดบทบาทหน้าที่ ที่เกี่ยวข้องกับการเปิดเผยข้อมูล ได้แก่ กำหนดบุคคลหรือกลุ่มบุคคลที่มีสิทธิ์ ตัดสินใจในการเปิดเผยข้อมูล กำหนดบุคคลหรือกลุ่มบุคคลในการดำเนินการและปรับปรุงการเปิดเผยข้อมูล และกำหนดบุคคลหรือกลุ่มบุคคลในการรับเรื่องและแก้ไขปัญหาเบื้องต้นในการเข้าถึงข้อมูลและการนำข้อมูลไปใช้
  2. ห้ามเปิดเผยข้อมูลที่ขัดต่อกฎหมาย ระเบียบ ข้อบังคับ คำสั่ง นโยบาย แนวปฏิบัติ ไม่ว่าข้อมูลจะอยู่ในรูปแบบใดหรือสถานที่ใดก็ตาม
  3. ต้องได้รับการอนุญาตจากเจ้าของข้อมูล (Data Owner) ก่อนการเปิดเผยข้อมูล
  4. ให้มีการจัดเตรียมข้อมูลที่อยู่ในรูปแบบที่ได้จัดทำไว้เป็นมาตรฐานตามกำหนด และง่ายต่อการนำไปใช้
  5. มีการจัดทำเมทาดาต้าควบคู่ไปกับข้อมูลที่เปิดเผย
  6. ให้มีการคัดเลือกชุดข้อมูลที่ต้องการเผยแพร่ โดยหน่วยงานเจ้าของข้อมูลหรือผู้ที่ได้รับมอบหมาย
  7. สามารถตรวจสอบได้ว่าการเปิดเผยข้อมูลได้ถูกดำเนินการอย่างเหมาะสมหรือเป็นไปตามแนวทางที่ได้กำหนดไว้ เพื่อให้ได้ข้อมูลที่มีคุณภาพ และเป็นการรักษาคุณภาพของข้อมูล
  8. ต้องปฏิบัติตามอย่างเคร่งครัด และป้องกันมิให้มีการเปิดเผยข้อมูล โดยไม่ได้รับอนุญาต 

 

 

แนวปฏิบัติด้านธรรมาภิบาลข้อมูล

  1. หลักการ

       ตามที่ พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 กำหนดให้หน่วยงานของรัฐต้องพัฒนาการบริหารงานและการให้บริการสาธารณะผ่านระบบดิจิทัลให้มีความสะดวก รวดเร็ว มีประสิทธิภาพ และตอบสนองต่อความต้องการของประชาชน ตลอดจนกำหนดให้มีการบริหารจัดการและบูรณาการข้อมูลภาครัฐให้มีความสอดคล้อง เชื่อมโยงกันอย่างมั่นคงปลอดภัย และเป็นไปตามหลักธรรมาภิบาล ประกอบกับประกาศคณะกรรมการพัฒนารัฐบาลดิจิทัล เรื่อง ธรรมาภิบาลข้อมูลภาครัฐ ลงวันที่ 12 มีนาคม 2563 ซึ่งกำหนดหลักเกณฑ์และแนวทางให้หน่วยงานของรัฐดำเนินการด้านธรรมาภิบาลข้อมูล เพื่อสนับสนุนการเชื่อมโยง แลกเปลี่ยน และบูรณาการข้อมูลอย่างเป็นระบบ รวมถึงการพัฒนาศูนย์กลางข้อมูลเปิดภาครัฐ เพื่อให้ประชาชนสามารถเข้าถึงและใช้ประโยชน์จากข้อมูลได้อย่างมีประสิทธิภาพ

       สถาบันส่งเสริมความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน เป็นหน่วยงานภาครัฐที่ให้ความสำคัญกับข้อมูลในฐานะสินทรัพย์สำคัญขององค์กร และเป็นกลไกหลักในการขับเคลื่อนภารกิจให้บรรลุเป้าหมายที่กำหนดไว้ อย่างไรก็ตาม ปัจจุบันการบริหารจัดการและการใช้ประโยชน์ข้อมูลของสถาบันยังประสบปัญหาในหลายด้าน อาทิ การจัดเก็บข้อมูล การเปิดเผยข้อมูล ความมั่นคงปลอดภัยของข้อมูล และคุณภาพข้อมูล ซึ่งอาจมีสาเหตุมาจากการขาดกรอบแนวทางธรรมาภิบาลข้อมูลที่ชัดเจน การบริหารจัดการข้อมูลตลอดวงจรชีวิต (การสร้าง จัดเก็บ ประมวลผล นำไปใช้ เปิดเผย และทำลาย) ที่ยังไม่เป็นระบบ รวมถึงการขาดการบูรณาการข้อมูลระหว่างหน่วยงาน

      ดังนั้น เพื่อยกระดับการบริหารจัดการข้อมูลให้มีประสิทธิภาพ และสามารถนำข้อมูลไปใช้ประโยชน์ได้อย่างเต็มศักยภาพ สถาบันจึงมีความจำเป็นต้องจัดทำแนวปฏิบัติด้านธรรมาภิบาลข้อมูลที่ชัดเจน เป็นระบบ และสามารถนำไปใช้กำกับดูแลและบริหารจัดการข้อมูลในทุกขั้นตอนอย่างเป็นรูปธรรมต่อไป

  1. วัตถุประสงค์

เพื่อให้สถาบันมีแนวปฏิบัติด้านธรรมาภิบาลข้อมูลและบริหารจัดการข้อมูลอย่างเหมาะสมเพียงพอสอดคล้องกับภารกิจของสถาบันซึ่งครอบคลุมโครงสร้างธรรมาภิบาลข้อมูล บทบาทและหน้าที่ความรับผิดชอบของผู้บริหารระดับสูง สำนัก/ศูนย์ และบุคลากรที่เกี่ยวข้อง

  1. รายละเอียดแนวปฏิบัติ

3.1 คำนิยาม

“ข้อมูล (Data)” หมายถึง สิ่งที่สื่อความหมายให้รู้เรื่องราวข้อเท็จจริงหรือเรื่องอื่นใดไม่ว่าการสื่อความหมายนั้นจะทำได้โดยสภาพของสิ่งนั้นเองหรือโดยผ่านวิธีการใด ๆ และไม่ว่าจะได้จัดทาไว้ในรูปของเอกสาร แฟ้ม รายงาน หนังสือ แผนผัง แผนที่ ภาพวาด ภาพถ่าย ภาพถ่ายดาวเทียม ฟิล์ม การบันทึกภาพหรือเสียง การบันทึกโดยเครื่องคอมพิวเตอร์ เครื่องมือตรวจวัดการสำรวจระยะไกล หรือวิธีอื่นใดที่ทำให้สิ่งที่บันทึกไว้ปรากฏได้ (ประกาศคณะกรรมการพัฒนารัฐบาลดิจิทัล เรื่อง ธรรมาภิบาลข้อมูลภาครัฐ)

“ชุดข้อมูล (Datasets)” หมายถึง การนำข้อมูลจากหลายแหล่งมารวบรวม เพื่อจัดเป็นชุดให้ตรงตามลักษณะโครงสร้างของข้อมูล (ประกาศคณะกรรมการพัฒนารัฐบาลดิจิทัล เรื่อง ธรรมาภิบาลข้อมูลภาครัฐ)

“การบริหารจัดการข้อมูล (Data Management)” หมายถึง คำจำกัดความที่อธิบายถึงกระบวนการที่ใช้ในการวางแผน (Plan) การระบุ ชี้ชัด (Specify) การเปิดใช้งาน (Enable) การสร้าง (Create) การรับ (Acquire) การดูแลรักษา (Maintain) การใช้งาน (Use) การจัดเก็บถาวร (Archive) การเรียกใช้ดึงข้อมูล (Retrieve) การควบคุม (Control) และการทำลายข้อมูล (Purge) (Cupola et al., 2014)

“ธรรมาภิบาลข้อมูลภาครัฐ (Data Governance)” หมายถึง การกำหนดสิทธิในการตัดสินใจและความรับผิดชอบในการส่งเสริม ให้เกิดกระบวนการจัดทำ การใช้งาน และการบริหารจัดการข้อมูล รวมถึงกระบวนการที่กำหนดบทบาท นโยบาย และมาตรฐานที่ช่วยสนับสนุนให้การดำเนินงานเกี่ยวกับข้อมูลมีประสิทธิภาพมากยิ่งขึ้น ซึ่งส่งผล ให้หน่วยงานสามารถบรรลุเป้าหมายได้ (DGA, 2018)

“คณะกรรมการ ธรรมาภิบาลข้อมูล (Data Governance Council)” หมายถึง เป็นผู้มีอำนาจในการผลักดันให้เกิดธรรมาภิบาลข้อมูล โดยมีหน้าที่รับผิดชอบในการกำหนดเป้าหมาย กำกับดูแล และติดตามการดำเนินงาน รวมถึงให้คาปรึกษาและตัดสินประเด็นสำคัญที่เกี่ยวข้องกับข้อมูล สนับสนุน ส่งเสริม ผลักดันธรรมาภิบาลข้อมูลและการสื่อสารให้บุคลากรในองค์กรตระหนักถึงความสำคัญของข้อมูล การใช้ข้อมูลอย่างปลอดภัย

“ทีมบริกรข้อมูล (Data Steward Team)” หมายถึง กลุ่มบุคคลที่มุ่งเน้นการดำเนินงาน และนิยามคำอธิบายชุดข้อมูลทั้งเชิงธุรกิจและเทคโนโลยีสารสนเทศ ร่างนโยบาย กำหนดมาตรฐาน ตรวจสอบ การปฏิบัติงาน วิเคราะห์ผลจากการตรวจสอบในการบริหารจัดการตามองค์ประกอบของการบริหารจัดการข้อมูล (DGA, 2018)

“การบริหารจัดการคุณภาพ ของข้อมูล (Data Quality Management)” หมายถึง การกำหนดมาตรฐานและระเบียบแนวปฏิบัติการบริหารจัดการคุณภาพข้อมูล ครอบคลุมบทบาทหน้าที่ผู้รับผิดชอบคุณลักษณะข้อมูลที่มีคุณภาพ และกระบวนการบริหารจัดการคุณภาพข้อมูล (สป.ทส. แห่งประเทศไทย) การรักษาความเป็น ส่วนบุคคลของข้อมูล (Data Privacy) การรักษาความเป็นส่วนบุคคลของข้อมูลตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด

“ข้อมูลหลัก (Master Data)” หมายถึง ข้อมูลที่สร้างและใช้งานร่วมกันภายในขอบเขตการดำเนินงานตามภารกิจของหน่วยงาน เช่น ข้อมูล พนักงาน ข้อมูลลูกค้า ข้อมูลผู้ขาย ข้อมูลสินค้า ข้อมูลครุภัณฑ์ ข้อมูลสถานที่ (DGA, 2018)

“คำอธิบายชุดข้อมูล (Metadata)” หมายถึง คำอธิบายชุดข้อมูลเพื่อให้ทราบรายละเอียดเกี่ยวกับโครงสร้างของข้อมูล เนื้อหาสาระ รูปแบบการจัดเก็บ แหล่งข้อมูล และสิทธิในการเข้าถึงข้อมูล

“การจัดการวงจรชีวิตข้อมูล (Data Life Cycle Management)” หมายถึง ลำดับขั้นตอนของข้อมูลตั้งแต่เริ่มสร้างข้อมูลไปจนถึงการทำลายข้อมูล ประกอบด้วย 6 ขั้นตอน ดังนี้ (1) การสร้างข้อมูล (Create) (2) การจัดเก็บข้อมูล (Store) (3) การใช้ข้อมูล (Use) (4) การเผยแพร่ข้อมูล (Publish) (5) การจัดเก็บข้อมูลถาวร (Archive) และการทำลายข้อมูล (Destroy) (DGA, 2018)

“เจ้าของข้อมูล (Data Owner)” หมายถึง บุคคลที่ทำหน้าที่รับผิดชอบดูแลข้อมูลโดยตรง สร้างความมั่นใจได้ว่า การบริหารจัดการข้อมูลสอดคล้องกับนโยบาย มาตรฐาน กฎระเบียบ หรือกฎหมาย เจ้าของข้อมูลทาการทบทวนและอนุมัติการดำเนินการต่าง ๆ ที่เกี่ยวข้องกับข้อมูล (DGA, 2018)

“ความมั่นคงปลอดภัย (Data Security)” หมายถึง การป้องกันข้อมูลในบริบทของการรักษาความลับ ความถูกต้องของข้อมูล ความพร้อมใช้งานของข้อมูล (DGA, 2018)

3.2 ธรรมาภิบาลข้อมูลของสถาบัน

สถาบัน ดำเนินการจัดทำธรรมาภิบาลข้อมูลตามกรอบธรรมาภิบาลข้อมูลภาครัฐระดับหน่วยงาน ของสานักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) โดยกำหนดโครงสร้างธรรมาภิบาลข้อมูลภาครัฐ นิยามและกฎเกณฑ์ที่เกี่ยวข้องกับข้อมูล กระบวนการธรรมาภิบาลข้อมูลภาครัฐ รวมถึงการวัดการดำเนินการและความสำเร็จของธรรมาภิบาลข้อมูลภาครัฐ

ภาพที่ 1 : กรอบธรรมาภิบาลข้อมูลภาครัฐในระดับหน่วยงาน

เพื่อให้สถาบันมีแนวปฏิบัติที่สอดคล้องตามนโยบายธรรมาภิบาลข้อมูล และสามารถนำไปปฏิบัติได้อย่างมีประสิทธิภาพ จึงได้กำหนดรายละเอียด ดังนี้

3.2.1 การจัดทำโครงสร้างธรรมาภิบาลข้อมูล (Data Governance Structure) ได้กำหนดโครงสร้างธรรมาภิบาลข้อมูล บทบาทหน้าที่และความรับผิดชอบในการกำกับดูแลข้อมูล โดยแบ่งออกเป็น 3 ส่วน ดังนี้

1) คณะกรรมการธรรมาภิบาลข้อมูล (Data Governance Council) ประกอบด้วยผู้บริหารเทคโนโลยีสารสนเทศระดับสูงระดับกรม เป็นประธานกรรมการ รองผู้อำนวยการสถาบันฯ เป็นรองประธาน ผู้อำนวยการสำนักต่างๆ เป็นกรรมการ  ผู้อำนวยการสำนักบริหารกลางเป็นกรรมการและเลขานุการ นักเทคโนโลยีสารสนเทศชำนาญการเป็นกรรมการและผู้ช่วยเลขานุการ มีหน้าที่ ดังนี้

(1) กำหนดนโยบายและทิศทางด้านธรรมาภิบาลข้อมูลของสถาบัน รวมถึงจัดทำแผนงานและกรอบแนวทางที่ชัดเจน

(2) กำหนดมาตรฐาน หลักเกณฑ์ และแนวปฏิบัติในการบริหารจัดการข้อมูลให้เป็นไปในทิศทางเดียวกันทั้งองค์กร

(3) กำกับดูแลการบริหารจัดการข้อมูลให้ครอบคลุมตลอดวงจรชีวิตข้อมูล ได้แก่ การสร้าง การจัดเก็บ การใช้ การเปิดเผย และการทำลาย

(4) ส่งเสริมการบูรณาการและการเชื่อมโยงข้อมูลระหว่างหน่วยงานให้มีประสิทธิภาพและปลอดภัย

(5) กำหนดโครงสร้างการกำกับดูแลข้อมูลภายในองค์กร และแต่งตั้งผู้รับผิดชอบด้านข้อมูลอย่างชัดเจน

(6) กำหนดมาตรการควบคุมและยกระดับคุณภาพข้อมูล (Data Quality) ให้มีความถูกต้อง ครบถ้วน และเชื่อถือได้

(7) กำกับดูแลความมั่นคงปลอดภัยของข้อมูล รวมถึงการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายที่เกี่ยวข้อง

(8) ติดตามและประเมินผลการดำเนินงานด้านธรรมาภิบาลข้อมูลอย่างต่อเนื่อง

(9) รายงานผลการดำเนินงาน ปัญหาอุปสรรค และข้อเสนอแนะต่อผู้บริหารระดับสูง

(10) ส่งเสริมการเปิดเผยข้อมูลภาครัฐ (Open Data) ตามกฎหมายและนโยบายที่เกี่ยวข้อง

(11) สนับสนุนการนำข้อมูลไปใช้เพื่อการวิเคราะห์ การตัดสินใจ และการพัฒนานวัตกรรมขององค์กร

2) คณะทำงานบริกรข้อมูล (Data Steward Team) ประกอบด้วย ผู้อำนวยการสำนักบริหารกลาง เป็นประธานคณะทำงาน ผู้แทนจากแต่ละสานัก/ศูนย์ เป็นคณะทำงาน มีหน้าที่ ดังนี้

(1) บริหารจัดการข้อมูลในความรับผิดชอบให้มีความถูกต้อง ครบถ้วน เป็นปัจจุบัน และเชื่อถือได้

(2) จัดทำและดูแลคำอธิบายข้อมูล (Metadata) โครงสร้างข้อมูล และพจนานุกรมข้อมูล (Data Dictionary)

(3) ตรวจสอบและควบคุมคุณภาพข้อมูล (Data Quality) พร้อมรายงานปัญหาและแนวทางแก้ไข

(4) กำหนดสิทธิ์การเข้าถึงข้อมูลตามระดับชั้นความลับ และควบคุมการใช้งานข้อมูลให้เป็นไปตามที่กำหนด

(5) สนับสนุนการเชื่อมโยง แลกเปลี่ยน และบูรณาการข้อมูลกับหน่วยงานที่เกี่ยวข้อง

(6) ปฏิบัติตามมาตรการด้านความมั่นคงปลอดภัยของข้อมูล และการคุ้มครองข้อมูลส่วนบุคคล

(7) ให้คำปรึกษาและประสานงานด้านข้อมูลกับหน่วยงานภายในและภายนอกองค์กร

(8) จัดทำรายงานผลการดำเนินงานด้านการบริหารจัดการข้อมูล เสนอคณะกรรมการธรรมาภิบาลข้อมูล

(9) สนับสนุนการเปิดเผยข้อมูลภาครัฐ (Open Data) ตามนโยบายและกฎหมายที่เกี่ยวข้อง

(10) เสนอแนวทางพัฒนา ปรับปรุง และยกระดับการบริหารจัดการข้อมูลของหน่วยงานอย่างต่อเนื่อง

3) ผู้มีส่วนได้ส่วนเสียกับข้อมูล (Data Stakeholder) ประกอบด้วยเจ้าของข้อมูล ผู้ดูแล ข้อมูล ผู้ใช้งาน ผู้สร้างข้อมูล มีหน้าที่ ดังนี้

(1) ปฏิบัติงานที่เกี่ยวข้องกับการสร้าง จัดเก็บ ใช้ รักษา และทำลายข้อมูล

(2) ปฏิบัติตามนโยบายกำกับดูแลข้อมูล และแนวปฏิบัติที่เกี่ยวข้องกับธรรมาภิบาล ข้อมูลของสถาบันอย่างเคร่งครัด และมีส่วนร่วมในการดำเนินธรรมาภิบาลข้อมูลของสถาบัน

(3) ให้ข้อเสนอแนะ หรือแจ้งประเด็นปัญหาระหว่างการใช้ข้อมูลทั้งด้านคุณภาพ การรักษาความเป็นส่วนบุคคล และความมั่นคงปลอดภัยของข้อมูล ไปยังเจ้าของข้อมูล เพื่อนำมาปรับปรุงข้อมูลให้ดียิ่งขึ้น

(4) ให้ข้อคิดเห็น ข้อเสนอแนะแก่ทีมบริกรข้อมูลและคณะกรรมการธรรมาภิบาลข้อมูล

รูปที่ 2 : โครงสร้างธรรมาภิบาลข้อมูลของสถาบัน

3.2.2 กระบวนการธรรมาภิบาลข้อมูล (Data Governance Processes)

กระบวนการธรรมาภิบาลข้อมูลเป็นขั้นตอนที่ใช้สำหรับกำกับดูแลการดำเนินการใด ๆ ต่อข้อมูลให้เป็นไปตามกฎ ระเบียบ ข้อบังคับ หรือนโยบายที่เกี่ยวข้องกับข้อมูล กระบวนการธรรมาภิบาลข้อมูลของสถาบัน เริ่มตั้งแต่การวางแผนไปจนถึงการปรับปรุงอย่างต่อเนื่อง ดังนี้

รูปที่ 3 : กระบวนการธรรมาภิบาลข้อมูล

 

1) การวางแผน (Plan) เริ่มตั้งแต่กำหนดวิสัยทัศน์และประเด็นปัญหา ซึ่งเป็นส่วนที่สำคัญเนื่องจากเป็นจุดเริ่มต้นที่จะกำหนด กฎระเบียบ นโยบาย มาตรฐาน หรือแนวทางปฏิบัติต่าง ๆ เพื่อใช้ใน
ธรรมาภิบาลข้อมูลและการบริหารจัดการข้อมูล หลังจากที่ได้มีการกาหนดวิสัยทัศน์และประเด็นปัญหาที่ชัดเจนแล้ว ขั้นตอนถัดไป คือ การกำหนดขอบเขตการดำเนินการ ระยะเวลาดำเนินการ บุคคลที่เกี่ยวข้อง และต้นทุน ที่ใช้ในการดำเนินงาน หลังจากนั้นนำแผนงาน กฎระเบียบ และนโยบายที่เกี่ยวข้องไปประกาศใช้อย่างเป็นทางการ

2) การปฏิบัติ (Do) การปฏิบัติต่าง ๆ ของกระบวนการธรรมาภิบาลข้อมูล ดำเนินการ ตามขั้นตอนในการวางแผนโดยต้องดำเนินการให้สอดคล้องกับแผนปฏิบัติราชการของหน่วยงาน กระบวนการทำงานของหน่วยงานในองค์กร กฎหมาย กฎระเบียบที่ เกี่ยวข้อง ซึ่งผู้เกี่ยวข้องในการดาเนินการ ได้แก่ คณะกรรมการผู้บริหาร เจ้าหน้าที่ของสานักงานปลัดกระทรวงพาณิชย์และผู้ใช้บริการ ซึ่งต้องดำเนินการให้สอดคล้องกับกฎระเบียบ นโยบาย มาตรฐาน และแนวปฏิบัติที่ได้กำหนดไว้ ขณะที่คณะทำงานบริกรข้อมูลจะให้ความรู้ และสนับสนุนให้บุคคลที่เกี่ยวข้องสามารถปฏิบัติตามกฎระเบียบเหล่านั้น ทั้งนี้ รายงานความก้าวหน้า ผลการปฏิบัติงาน และประเด็นปัญหาที่พบระหว่างปฏิบัติงานจะถูกรายงานไปยังคณะกรรมการธรรมาภิบาลข้อมูล

3) การตรวจสอบ วัดผล และรายงาน (Check, Measure and Report) ในการตรวจสอบคณะทำงานบริกรข้อมูลจะดำเนินการตรวจสอบความสอดคล้องกันระหว่างกฎระเบียบ นโยบาย และมาตรฐานที่กำหนด กับการปฏิบัติงานของบุคคลที่เกี่ยวข้องกับการบริหารจัดการข้อมูลและผู้ที่เกี่ยวข้องอื่น ๆ พร้อมทั้งทำการวัดผลด้านคุณภาพข้อมูล หลังจากนั้น รายงานผลความสอดคล้องคุณภาพข้อมูล ความมั่นคงปลอดภัย และความเสี่ยงที่เกี่ยวข้องกับข้อมูลไปยังคณะกรรมการธรรมาภิบาลข้อมูลและผู้ที่เกี่ยวข้อง เพื่อให้ทราบถึง ผลการดำเนินงานและประเด็นปัญหาที่พบ

4) การปรับปรุงอย่างต่อเนื่อง (Continual Improvement) ธรรมาภิบาลข้อมูลภาครัฐเป็นสิ่งที่ต้องดำเนินการอย่างต่อเนื่องตลอดระบบบริหารและกระบวนการจัดการข้อมูล หรือวงจรชีวิตของข้อมูล ทั้งนี้ สภาพแวดล้อมหรือกฎหมายที่เปลี่ยนแปลง รายการความต้องการจากผู้บริหารและผู้มีส่วนได้เสีย รวมไปถึงผลการตรวจสอบ เช่น รายงานผลการตรวจสอบความสอดคล้องของการดาเนินงานต่อนโยบายข้อมูล รายงานคุณภาพข้อมูล รายงานความมั่นคงปลอดภัย รายงานความเสี่ยงต่อข้อมูล จะถูกใช้สำหรับการปรับปรุงกระบวนการธรรมาภิบาลข้อมูลภาครัฐ นโยบาย กฎ ระเบียบ ข้อบังคับที่เกี่ยวข้องกับข้อมูล เกณฑ์การประเมินความพร้อมของธรรมาภิบาลข้อมูล เกณฑ์การวัดระดับคุณภาพข้อมูล และโครงสร้างธรรมาภิบาลข้อมูล

วงจรการดำเนินการธรรมาภิบาลข้อมูล ซึ่งจะเป็นกระบวนการที่เป็นวงรอบ มีการวางแผน การดำเนินการ การตรวจสอบ และการนำไปปรับปรุง และสามารถดำเนินการด้วยบุคลากรที่เกี่ยวข้องตามหน้าที่ที่รับผิดชอบ โดยมีความสัมพันธ์ระหว่างกระบวนการ ส่วนนำเข้า ส่วนนำออก และผู้มีส่วนได้ส่วนเสียกับข้อมูล

กระบวนการ (Process)

ส่วนนำเข้า (Input)

ส่วนนำออก (Output)

ผู้มีส่วนได้ส่วนเสียกับข้อมูล (Stakeholder)

การวางแผน (Plan)

1. กฎระเบียบ นิยาม นโยบาย มาตรฐาน หรือแนวปฏิบัติต่าง ๆ

2. หลักปฏิบัติเกี่ยวกับข้อมูล

3. รายการประเด็นปัญหาจากรายงานผลการตรวจสอบความสอดคล้องของการดำเนินงานต่อนโยบายข้อมูล รายงานคุณภาพข้อมูล รายงานความมั่นคงปลอดภัยต่อข้อมูล และรายงานความเสี่ยงต่อข้อมูล

1. กลยุทธ์ธรรมาภิบาลข้อมูล

2. นิยาม นโยบาย กระบวนการ มาตรฐาน ข้อกาหนดธรรมาภิบาลข้อมูล

3. แผนการนำไปใช้งานขอบเขต การดำเนินการ ระยะเวลาดำเนินการบุคคลที่เกี่ยวข้อง อภิธานศัพท์ทางธุรกิจ แบบประเมินธรรมาภิบาลข้อมูล

1. คณะกรรมการธรรมาภิบาลข้อมูล

2. ทีมบริกรข้อมูล

การปฏิบัติ (Do)

1. กลยุทธ์ธรรมาภิบาลข้อมูล

2. นิยาม นโยบาย กระบวนการ มาตรฐาน ข้อกำหนดธรรมาภิบาลข้อมูล

3. แผนการนำไปใช้งาน ขอบเขต การดาเนินการ ระยะเวลาดำเนินการบุคคลที่เกี่ยวข้อง

4. อภิธานศัพท์ทางธุรกิจ

1. รายงานความก้าวหน้าในการปฏิบัติงาน

2. รายงานผลการปฏิบัติงาน

3. ประเด็นปัญหาที่พบระหว่างปฏิบัติงาน

1. ทีมบริกรข้อมูล

2. เจ้าของข้อมูล

3. ผู้สร้างข้อมูล

4. ผู้ใช้ข้อมูล

5. ผู้ดูแลข้อมูล

การตรวจสอบ วัดผล และรายงาน (Check, Measure and Report)

1. นิยาม นโยบาย กระบวนการ มาตรฐาน ข้อกำหนดธรรมาภิบาลข้อมูล

2. เกณฑ์การประเมินคุณภาพ ข้อมูล รายงานความมั่นคงปลอดภัย รายงานความเสี่ยงต่อข้อมูล

3. เกณฑ์การประเมิน Maturity

1. ตรวจสอบ วัดผล รายงาน และติดตามผลการดำเนินงาน

2. บันทึกเหตุการณ์ที่เกี่ยวข้องกับข้อมูล (Data Incident Logs)

3. ผลการจัดการประเด็นเป็นกระบวนการในการระบุประเด็น การจัดลำดับความสำคัญและการแก้ไขประเด็นที่เกี่ยวข้องกับธรรมาภิบาลข้อมูล

4. ผลสอบทานการปฏิบัติตามกฎหมาย กฎเกณฑ์นโยบาย และมาตรฐานเกี่ยวกับธรรมาภิบาลข้อมูล

5. ผลตรวจสอบการปฏิบัติงาน และการบริหารความเสี่ยงที่เกี่ยวข้องกับข้อมูล เพื่อสอบทานให้มั่นใจว่าเป็นไปตามนโยบายมาตรฐาน และระเบียบแนวปฏิบัติที่เกี่ยวข้องกับธรรมาภิบาลข้อมูล

 

1. ทีมบริกรข้อมูล

การปรับปรุง (Act and Improvement)

1. นิยาม นโยบาย กระบวนการ มาตรฐาน แนวปฏิบัติ และข้อกำหนดธรรมาภิบาลข้อมูล

2. เกณฑ์ประเมินคุณภาพข้อมูล รายงานความมั่นคง ปลอดภัย รายงานความเสี่ยงต่อข้อมูล

3. เกณฑ์การประเมินความพร้อม ธรรมาภิบาลข้อมูล

4. ผลการจัดการประเด็นเป็นกระบวนการในการระบุประเด็น การจัดลำดับความสำคัญและการแก้ไขประเด็นที่เกี่ยวข้องกับธรรมาภิบาลข้อมูล

5. ผลสอบทานการปฏิบัติตามกฎหมาย กฎเกณฑ์ นโยบาย และมาตรฐานเกี่ยวกับธรรมาภิบาลข้อมูล

1. การปรับปรุงนโยบาย กระบวนการ กฎ ระเบียบ ข้อบังคับ และกฎหมายที่เกี่ยวข้องกับข้อมูล

2. เกณฑ์การประเมินความพร้อมธรรมาภิบาลข้อมูล คุณภาพข้อมูล ความมั่นคงปลอดภัยข้อมูล

3. การปรับปรุงโครงสร้างธรรมาภิบาลข้อมูล (ถ้ามี)

1. คณะกรรมการธรรมาภิบาลข้อมูล

2. ทีมบริกรข้อมูล

การกำหนดบทบาทหน้าที่ตามกระบวนการธรรมาภิบาลข้อมูล

  1. 1. การวางแผน

กิจกรรม/กระบวนการ

(การวางแผน : Plan)

ผู้มีส่วนได้ส่วนเสียกับข้อมูล

คณะกรรมการ

ธรรมาภิบาลข้อมูล

ทีมบริกรข้อมูล

เจ้าของข้อมูล

ผู้สร้างข้อมูล

ผู้ใช้ข้อมูล

ผู้ดูแลข้อมูล

กำหนดแผนธรรมาภิบาลข้อมูลตั้งแต่วิสัยทัศน์ กลยุทธ์ ประเด็นปัญหา ขอบเขต ระยะเวลา

I

R

C

C

C

C

กำหนดแผนการตรวจสอบภายในเกี่ยวกับข้อมูล

I

C

I

I

I

I

กำหนดกฎระเบียบ นโยบาย และแนวปฏิบัติต่าง ๆ ของธรรมาภิบาลข้อมูล

I

R

S

C

C

S

มาตรฐานที่เกี่ยวข้องกับความมั่นคงปลอดภัยข้อมูลและการรักษาความเป็นส่วนบุคคล

I

R

S

C

C

S

มาตรฐานที่เกี่ยวข้องกับคุณภาพของข้อมูล

I

R

S

C

C

S

มาตรฐานข้อมูลอื่นที่เกี่ยวข้อง เช่น เมทาดาตา

I

R

S

C

C

S

แบบประเมินความพร้อมธรรมาภิบาลข้อมูล

I

R

C

C

C

C

แบบประเมินความมั่นคงปลอดภัยข้อมูล

I

R

C

C

C

C

แบบประเมินคุณภาพข้อมูล

I

R

C

C

C

C

เห็นชอบการกำหนดนโยบาย แนวปฏิบัติ มาตรฐาน และกระบวนการต่าง ๆ

A

R

I

I

I

I

R = Responsible (ปฏิบัติการหลัก ตามกระบวนการหรือกิจกรรมที่กำหนดไว้) C = Consulted (ให้คาปรึกษาต่อผู้ปฏิบัติการ)

S = Supportive (ให้การสนับสนุน ช่วยเหลือการปฏิบัติงาน) I = Informed (รับทราบผลการปฏิบัติการ)

A = Accountable (ทบทวน เห็นชอบ อนุมัติผลที่ได้จากการปฏิบัติการ)

  1. 2. การปฏิบัติ

กิจกรรม/กระบวนการ

(การปฏิบัติ : Do)

ผู้มีส่วนได้ส่วนเสียกับข้อมูล

คณะกรรมการ

ธรรมาภิบาลข้อมูล

ทีมบริกรข้อมูล

เจ้าของข้อมูล

ผู้สร้างข้อมูล

ผู้ใช้ข้อมูล

ผู้ดูแลข้อมูล

กำหนดรายการข้อมูล รายการ หน่วยงานที่มีสิทธิ และสิทธิทั่วไปในการเข้าถึงข้อมูล

A

R

S

I

I

S

กำหนดสิทธินอกเหนือจากรายการ หน่วยงาน และสิทธิทั่วไปในการเข้าถึงข้อมูล

I

I

A

I

I

R

ดำเนินการให้สอดคล้องกับกฎระเบียบ นโยบาย มาตรฐาน และแนวปฏิบัติที่ได้กำหนดไว้

I

C

R

R

R

R

การให้ความรู้และการสนับสนุนให้กับบุคคลที่เกี่ยวข้องให้สามารถปฏิบัติตามกฎระเบียบ

I

R

S/C

S/C

S/C

S/C

การรายงานความก้าวหน้า ผลการปฏิบัติงาน ประเด็นปัญหาที่พบระหว่างปฏิบัติงาน

I

R

S

S

S

S

R = Responsible (ปฏิบัติการหลัก ตามกระบวนการหรือกิจกรรมที่กำหนดไว้) C = Consulted (ให้คาปรึกษาต่อผู้ปฏิบัติการ)

S = Supportive (ให้การสนับสนุน ช่วยเหลือการปฏิบัติงาน) I = Informed (รับทราบผลการปฏิบัติการ)

A = Accountable (ทบทวน เห็นชอบ อนุมัติผลที่ได้จากการปฏิบัติการ)

  1. 3. การตรวจสอบ วัดผล และรายงาน

กิจกรรม/กระบวนการ (การตรวจสอบ วัดผล และรายงาน : Check, Measure and Report)

ผู้มีส่วนได้ส่วนเสียกับข้อมูล

คณะกรรมการ

ธรรมาภิบาลข้อมูล

ทีมบริกรข้อมูล

เจ้าของข้อมูล

ผู้สร้างข้อมูล

ผู้ใช้ข้อมูล

ผู้ดูแลข้อมูล

ตรวจสอบการปฏิบัติตามกฎหมาย กฎเกณฑ์ นโยบาย และมาตรฐานเกี่ยวกับธรรมาภิบาลข้อมูล ตามแผนธรรมาภิบาลข้อมูล

I

R

S

S/C

S/C

S

ตรวจสอบภายในเกี่ยวกับธรรมาภิบาลข้อมูล

I

S

I

I

I

I

ประเมินวัดผล จัดทำรายงาน และติดตามผลการดำเนินงานด้านความพร้อมธรรมาภิบาลข้อมูล

I

R

S

S

S

S

ประเมินวัดผล จัดทำรายงาน และติดตามผลการดำเนินงานด้านความมั่นคงปลอดภัยข้อมูล

I

R

S

S

S

S

ประเมินวัดผล จัดทำรายงาน และติดตามผลการดำเนินงานด้านคุณภาพข้อมูล

I

R

S

S/C

S/C

S

ตรวจสอบการปฏิบัติงานและการบริหารความเสี่ยงที่เกี่ยวข้องกับข้อมูล

I

R

S

S

S

S

รวบรวมและบริหารจัดการประเด็นปัญหา ทั้งการระบุประเด็น การจัดลำดับความสำคัญ และการแก้ไขประเด็นที่เกี่ยวข้องกับธรรมาภิบาลข้อมูล

I

R

S

S

S

S

R = Responsible (ปฏิบัติการหลัก ตามกระบวนการหรือกิจกรรมที่กาหนดไว้) C = Consulted (ให้คาปรึกษาต่อผู้ปฏิบัติการ)

S = Supportive (ให้การสนับสนุน ช่วยเหลือการปฏิบัติงาน) I = Informed (รับทราบผลการปฏิบัติการ)

A = Accountable (ทบทวน เห็นชอบ อนุมัติผลที่ได้จากการปฏิบัติการ)

  1. 4. การปรับปรุงอย่างต่อเนื่อง

กิจกรรม/กระบวนการ

(การปรับปรุงอย่างต่อเนื่อง : Act and Improvement)

ผู้มีส่วนได้ส่วนเสียกับข้อมูล

คณะกรรมการ

ธรรมาภิบาลข้อมูล

ทีมบริกรข้อมูล

เจ้าของข้อมูล

ผู้สร้างข้อมูล

ผู้ใช้ข้อมูล

ผู้ดูแลข้อมูล

รายงานผล

- รายงานกฎหมายด้านข้อมูลที่เปลี่ยนแปลง

- รายงานความต้องการจากผู้บริหาร และผู้ที่เกี่ยวข้องกับข้อมูล

- รายงานผลการตรวจสอบความสอดคล้อง ของการดำเนินงานต่อนโยบายข้อมูล รายงานคุณภาพข้อมูล รายงานความมั่นคงปลอดภัย รายงานความเสี่ยงต่อข้อมูล

I

R

S/C

S/C

S/C

S/C

พิจารณา เห็นชอบ ให้ข้อเสนอแนะ ผลการตรวจสอบ

A

S

I

I

I

I

ปรับปรุงนโยบาย แนวปฏิบัติ มาตรฐาน และกระบวนการต่าง ๆ

A

R

S

C

C

S

ปรับปรุงเกณฑ์การประเมินความพร้อม คุณภาพข้อมูล ความมั่นคงปลอดภัยข้อมูล

A

R

C

C

C

C

R = Responsible (ปฏิบัติการหลัก ตามกระบวนการหรือกิจกรรมที่กำหนดไว้) C = Consulted (ให้คาปรึกษาต่อผู้ปฏิบัติการ)

S = Supportive (ให้การสนับสนุน ช่วยเหลือการปฏิบัติงาน) I = Informed (รับทราบผลการปฏิบัติการ)

A = Accountable (ทบทวน เห็นชอบ อนุมัติผลที่ได้จากการปฏิบัติการ)

 

3.2.3 การสร้างความรู้และความตระหนักด้านธรรมาภิบาลข้อมูลในองค์กร

สสปท. จัดให้มีการดำเนินการ ดังนี้

1) จัดทำโปรแกรมการอบรมและพัฒนาความรู้ความเชี่ยวชาญด้านธรรมาภิบาลข้อมูล (Training Program) ให้แก่บุคลากรที่เกี่ยวข้อง โดยมีการวัดประสิทธิผลของหลักสูตรฝึกอบรมที่จัดขึ้นเป็นรายปี

2) จัดทำโปรแกรมในการเสริมสร้างความตระหนัก (Awareness Program) ด้านธรรมาภิบาลข้อมูลแก่บุคลากรทุกระดับและบุคคลภายนอกที่เกี่ยวข้อง โดยมีแผนงานที่ชัดเจน ต่อเนื่องและวัดผลได้ รวมถึงมีการทบทวนและปรับปรุงเนื้อหาอย่างเหมาะสมและสม่ำเสมอ

3.3 แนวปฏิบัติการบริหารจัดการข้อมูล (Data Management)

การบริหารจัดการข้อมูลเป็นสิ่งสำคัญ ซึ่ง สสปท. ตระหนักว่าข้อมูลที่มีอยู่เป็นทรัพย์สินที่มีค่า และจากการเกิดขึ้นของข้อมูลที่มีปริมาณมหาศาล ไม่ว่าจะเป็นข้อมูลที่รวบรวมมาโดยอัตโนมัติจากระบบ หรืออุปกรณ์ต่าง ๆ หรือข้อมูลที่เกิดขึ้นจากการป้อนข้อมูลหรือโต้ตอบกับผู้ใช้งาน เพื่อให้ สสปท. สามารถ นำข้อมูลเหล่านี้ไปประมวลผลหรือใช้ในการตัดสินใจได้อย่างแม่นยำ จึงต้องได้รับการบริหารจัดการ อย่างถูกต้อง เหมาะสม และสอดคล้องกับวัตถุประสงค์ในการบริหารจัดการข้อมูล

 

3.3.1 แนวปฏิบัติการบริหารจัดการข้อมูลตลอดวงจรชีวิต มีหลักปฏิบัติดังนี้

ธรรมาภิบาลข้อมูล (Data Governance) ให้ข้อมูลมีความสมบูรณ์ ถูกต้อง และทันต่อเวลา และ มีการกำหนดบทบาท หน้าที่และความรับผิดชอบของผู้ที่เกี่ยวข้อง รวมถึงกำหนดกระบวนการต่าง ๆ สำหรับ ธรรมาภิบาลข้อมูลตลอดวงจรชีวิตของข้อมูล (Data Life Cycle) ตั้งแต่กระบวนการสร้าง (Data Creation) การจัดเก็บ (Data Storage) การใช้ข้อมูล (Data Usage) การเปิดเผย (Data Publish) การจัดเก็บถาวร (Data Archival) และการทำลาย (Data Destroy) และบริหารจัดการข้อมูลเป็นไปอย่างถูกต้อง ครบถ้วน น่าเชื่อถือ และ เป็นปัจจุบัน

ภาพที่ 4 : วงจรชีวิตของข้อมูล

 

สำหรับการบริหารจัดการข้อมูลตลอดวงจรชีวิต สามารถอธิบายตามขั้นตอนวงจรชีวิต ได้ดังนี้

  1. 1. การสร้างและการจัดเก็บรักษา (Creation & Storage)

1) ทีมบริกรข้อมูล ออกแบบและกำหนดมาตรฐานข้อมูลให้เป็นมาตรฐานเดียวกัน มีวิธีการจัดเก็บ รักษาอย่างมั่นคงปลอดภัย เพื่อใช้สำหรับการตรวจสอบข้อมูล พร้อมทั้งกำหนดแนวปฏิบัติ การสร้าง การจัดเก็บ รักษา และการควบคุมคุณภาพข้อมูลให้สอดคล้องกับความต้องการ และวัตถุประสงค์ในการดำเนินงาน

2) ทีมบริกรข้อมูล ประกาศแจ้งให้ผู้เกี่ยวข้องทราบถึงเอกสารที่ต้องใช้ในการดำเนินการในการเก็บรวบรวมข้อมูลใด ๆ หน่วยงานที่เกี่ยวข้องกับการสร้างข้อมูลและการจัดเก็บรักษา ตรวจสอบและบันทึกข้อมูลตั้งต้นให้ถูกต้อง ครบถ้วน ตรงกับข้อเท็จจริงที่ตรงกับเอกสารต้นฉบับ โดยมีการบันทึกข้อมูลและจัดเก็บตามขั้นตอนการรักษาความปลอดภัย

3) หน่วยงานที่เกี่ยวข้องกับสร้างข้อมูลและจัดเก็บรักษา ตรวจสอบและบันทึกข้อมูลตั้งแต่ต้นให้ครบถ้วน ถูกต้อง ตรงกับข้อเท็จจริงที่ตรงกับเอกสารต้นฉบับ โดยมีการบันทึกข้อมูลและจัดเก็บตามขั้นตอนการรักษาความปลอดภัย

4) ทีมบริกรข้อมูล ตรวจสอบความถูกต้องของข้อมูลที่จัดเก็บไปแล้ว หากตรวจพบว่าข้อมูลผิด ให้แจ้งเจ้าของข้อมูล เพื่อปรับปรุงแก้ไขข้อมูลให้ถูกต้องครบถ้วน

5) ทีมบริกรข้อมูลร่วมกับเจ้าของข้อมูล กำหนดระดับชั้นความลับของข้อมูล พิจารณาจากปัจจัย ต่างๆ โดยอ้างอิงเนื้อหาจากแนวปฏิบัติตามนโยบายความมั่นคงปลอดภัยสารสนเทศ การจัดระดับชั้นสารสนเทศ และแจ้งให้ผู้ปฏิบัติ บุคลากร หน่วยงานภายในทราบและปฏิบัติตามอย่างเคร่งครัด เพื่อให้ข้อมูลมีความมั่นคง ปลอดภัยข้อมูล และรักษาคุณภาพของข้อมูล

6) ผู้ดูแลระบบ จัดทำสิทธิการเข้าถึงระบบและโปรแกรมโดยวิธีการใด ๆ ที่เป็นไปตามขั้นตอน การดำเนินงานตามที่ผู้ดูแลข้อมูลกำหนด โดยไม่ขัดต่อหลักกฎหมายที่ประกาศใช้อยู่ในขณะนั้น และกำหนดวิธีและขั้นตอนการสำรองข้อมูลตามมาตรฐานสากล เพื่อให้องค์กรสามารถใช้ข้อมูลได้อย่างต่อเนื่อง เมื่อเกิดเหตุสุดวิสัย

7) ทีมบริกรข้อมูลจะต้องมีการตรวจสอบมาตรฐานคุณภาพของข้อมูลที่กำหนดไว้โดยเจ้าของข้อมูล และผู้ใช้ข้อมูล ซึ่งต้องไม่ต่ำกว่ามาตรฐานที่ สสปท. กำหนด

8) ทีมบริกรข้อมูล ต้องมีการประเมินคุณภาพข้อมูลเมทาดาต้าในภาพรวม เพื่อรายงานผลให้กับ คณะกรรมการธรรมาภิบาลข้อมูล อย่างน้อยปี ละ 1 ครั้ง

  1. 2. การใช้ข้อมูลและการเผยแพร่ (Data Usage & Publish)

1) ทีมบริกรข้อมูล กำหนดแนวปฏิบัติการประมวลผลและการใช้ข้อมูลให้เป็นมาตรฐานเดียวกัน ทั้งองค์กร และขออนุมัติคณะกรรมการธรรมาภิบาลข้อมูลเพื่อประกาศใช้

2) ผู้ดูแลข้อมูล ต้องดำเนินการดังนี้

2.1) จัดทำระบบสำหรับการบันทึกประวัติการประมวลผลและการใช้ข้อมูล (Log Files) ของผู้ใช้ข้อมูล (Data User)

2.2) จัดทำวิธีป้องกันมิให้ผู้ใช้ข้อมูลหรือบุคคลอื่นที่ไม่ได้รับมอบหมายเข้าไปแก้ไขบันทึกประวัติการประมวลผลและการใช้ข้อมูล (Log Files) ได้

2.3) จัดทำเมทาดาต้าสาหรับข้อมูลที่จัดเก็บอยู่ในฐานข้อมูล (Database) ที่สามารถใช้งานได้ตามวัตถุประสงค์ของ สสปท.

3) ผู้ขอใช้หรือประมวลผลข้อมูล ต้องดำเนินการดังนี้

3.1) ขออนุมัติการใช้จากเจ้าของข้อมูล โดยระบุขอบเขตและความละเอียดของข้อมูลที่ร้องขออย่างน้อยต้องมีวัตถุประสงค์ ความถี่ ระยะเวลาที่ต้องใช้

3.2) ต้องประมวลผลและใช้ข้อมูล ตรงตามวัตถุประสงค์ที่แจ้งไว้กับเจ้าของข้อมูลแล้วเท่านั้น

4) เจ้าของข้อมูล พิจารณาความถูกต้องของวัตถุประสงค์ สิทธิ และชั้นความลับ รวมไปถึงเงื่อนไข การเข้าใช้งานชุดข้อมูลนั้น ๆ (ถ้ามี)

4.1) หากโดยสิทธิ ผู้ร้องขอไม่สามารถเข้าถึงข้อมูลที่ร้องขอได้ และผู้ร้องขอจำเป็นต้องใช้ข้อมูลดังกล่าวเพื่อการปฏิบัติงาน ให้ส่งผ่านคำขอไปยังทีมบริกรข้อมูลเพื่อเสนอขออนุมัติการใช้ไปยังคณะกรรมการธรรมาภิบาลข้อมูล และนาส่งผู้ร้องขอโดยผู้จัดการทั่วไปหรือผู้มีอานาจลงนาม

4.2) หากพิจารณาแล้วสามารถใช้ข้อมูลได้ ให้เจ้าของข้อมูลกำหนดสิทธิตามระบบ และทำความเข้าใจถึงข้อควรระวังในการใช้ข้อมูลให้กับผู้ร้องขอ และเจ้าของข้อมูลปรับปรุงข้อมูลเมทาดาต้า เพื่อบันทึกเพิ่มผู้ใช้และประมวลผลข้อมูลชุดนี้ต่อไป

5) การร้องขอข้อมูล ครอบคลุมการร้องขอข้อมูลในกรณีที่บุคคลหรือหน่วยงานภายนอก หน่วยงานภายใน ผู้ร้องเป็นบุคคลภายในหรือหน่วยงานภาครัฐโดยสิทธิ และเจ้าของข้อมูลในการปรับปรุงข้อมูล เมทาดาต้า และดาเนินการตามการร้องขอ

5.1) ในกรณีที่บุคคล หรือหน่วยงานภายนอก ต้องการร้องขอข้อมูลของ สสปท. ให้มีหนังสือเป็นลายลักษณ์อักษร หรือรายงานการประชุมแจ้งมาที่ สสปท. สามารถพิจารณาได้ดังนี้

(1) หากเป็นข้อมูลของผู้ร้องขอ ซึ่งเป็นเจ้าของข้อมูลโดยตรงให้มีการยืนยันตัวตนก่อน ที่จะเปิดเผยและส่งออกข้อมูล ทั้งนี้ หน่วยงานที่เกี่ยวข้องต้องมีช่องทางให้แก้ไขปรับปรุงข้อมูลนั้นด้วย

(2) หากเป็นหน่วยงานภายนอก หน่วยงานราชการ หรือเอกชน หรือบุคคลอื่นที่ไม่ใช่ เจ้าของข้อมูล ให้ดำเนินการสอดคล้องตามนโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy) หรือไม่ขัดต่อคำสั่ง ระเบียบ และข้อกฎหมายใด ๆ ที่ สสปท. กำหนด

5.2) จัดทำกระบวนการพิจารณาอนุมัติโดยผู้จัดการทั่วไปหรือผู้มีอำนาจลงนาม

  1. 3. การจัดเก็บและการทำลายข้อมูล (Data Archival and Destroy)

1) เจ้าของข้อมูล กำหนดระยะเวลาในการจัดเก็บข้อมูลกับข้อมูลแต่ละประเภท

2) ผู้ดูแลข้อมูล ศึกษาขนาดและชนิดของข้อมูลที่ต้องจัดเก็บ โดยเลือกเครื่องมือและ กระบวนการที่เป็นมาตรฐานสากลในการจัดเก็บข้อมูลให้อยู่ในสภาพที่พร้อมใช้งานได้ตลอดเวลาที่จัดเก็บข้อมูล

3) คณะกรรมการทำลายข้อมูล กำหนดแนวปฏิบัติการทำลายข้อมูล ทั้งนี้ ต้องไม่ขัดต่อข้อตกลง ระหว่างเจ้าของข้อมูลกับผู้ควบคุมข้อมูล หรือไม่ขัดต่อคำสั่ง ระเบียบ และข้อกฎหมายใด ๆ ที่ สสปท. กำหนด เมื่อข้อมูลนั้นไม่มีการใช้งานหรือมีการเก็บข้อมูลไว้นานเกินกว่าระยะเวลาที่กำหนด

4) ผู้ดูแลข้อมูล กำหนดอำนาจอนุมัติ สิทธิ และการยืนยันตัวบุคคลของผู้ที่จะดำเนินการทำลาย ข้อมูล และเก็บ Log Files ไว้ด้วยทุกครั้ง

4.1 กองกลางหรือส่วนอำนวยการของหน่วยงาน เป็นผู้ดำเนินการทำลายข้อมูลเอกสาร และรายงานผลการทำลายแก่ผู้จัดการทั่วไป

4.2 ผู้รับผิดชอบแต่ละฝ่าย ทำหน้าที่ลบข้อมูลที่มีการจัดเก็บข้อมูลภายในฝ่าย

5) คณะกรรมการทำลายข้อมูลดำเนินงานต่าง ๆ ร่วมกับหน่วยงานที่เกี่ยวข้อง จัดอบรมชี้แจงให้ ผู้ปฏิบัติและผู้ที่เกี่ยวข้องมีความรู้ความเข้าใจในการทำลายข้อมูลทั้งภายในและภายนอกหน่วยงาน

6) ทีมบริกรข้อมูล ติดตามการดำเนินงานต่าง ๆ เพื่อให้การลบและทำลายเป็นไปตามปฏิบัติการทำลายข้อมูล

3.3.2 แนวปฏิบัติมาตรฐานการจัดทำบัญชีข้อมูล (Data Catalog Procedure) มีหลักปฏิบัติดังนี้

1) เจ้าของข้อมูล ผู้ดูแลข้อมูล และทีมบริกรข้อมูล ต้องจัดทาและทบทวนคำอธิบายชุดข้อมูล อย่างสม่ำเสมอเพื่อเพิ่มประสิทธิภาพในการนำข้อมูลไปใช้อย่างครบถ้วนถูกต้อง โดยกำหนดแนวปฏิบัติในการจัด โครงสร้างข้อมูลสารสนเทศให้เป็นมาตรฐานตามหัวข้อดังนี้

1.1) การรวบรวมคำอธิบายชุดข้อมูล (Collected Metadata)

1.2) การใช้คำอธิบายชุดข้อมูล (Used Metadata)

1.3) การจัดเก็บคำอธิบายชุดข้อมูล (Stored Metadata)

1.4) การทบทวนและปรับปรุงคำอธิบายชุดข้อมูล (Review and Improve Metadata)

2) ทีมบริกรข้อมูล มีหน้าที่จัดทำมาตรฐาน ตรวจสอบ บำรุงรักษา Metadata Repository ที่อยู่ในความรับผิดชอบอย่างสม่ำเสมอตามมาตรฐานที่กาหนดทุกชุดข้อมูลสำคัญอย่างครบถ้วน โดยมีการสอบทานอย่างสม่ำเสมออย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ รวมถึงกำหนดให้เป็นส่วนหนึ่งในกระบวนการพัฒนาระบบเทคโนโลยีสารสนเทศ ได้แก่

2.1) คำอธิบายข้อมูลเชิงธุรกิจ (Business Metadata) ประกอบด้วยอย่างน้อย ชื่อชุดข้อมูล คำอธิบายอย่างย่อ ผู้ทำหน้าที่อนุมัติและควบคุมดูแลข้อมูล วันที่เริ่มต้นใช้งาน วันที่ทำการเปลี่ยนแปลงข้อมูลล่าสุด

2.2) คำอธิบายข้อมูลเชิงเทคนิค (Technical Metadata) ประกอบด้วยอย่างน้อย ชื่อตาราง ข้อมูลในฐานข้อมูล ชื่อฟิลด์ข้อมูลในตารางข้อมูล ประเภทข้อมูล ความกว้างของฟิลด์ข้อมูล คีย์ข้อมูล ( Primary Key หรือ Foreign Key)

3) ทีมบริกรข้อมูล มีหน้าที่กำหนดให้มีกระบวนการควบคุม การเข้าถึงข้อมูล ( Data Access Control) การกำหนดสิทธิ์ การปรับปรุงแก้ไขคำอธิบายชุดข้อมูล เพื่อป้องกันความเสี่ยงหรือข้อผิดพลาดในการปฏิบัติงาน

4) เจ้าของข้อมูล ทำหน้าที่บันทึก จัดทำคำอธิบายชุดข้อมูลในเชิงธุรกิจ (Business Metadata)

5) ผู้ดูแลข้อมูล มีหน้าที่บันทึก จัดทำคำอธิบายชุดข้อมูลในเชิงเทคนิค (Technical Metadata)

6) ผู้ใช้ข้อมูล มีหน้าที่ให้ข้อคิดเห็น เสนอแนะ รายงานปัญหาของเมทาดาต้า เพื่อปรับปรุงเมทาดาต้า ให้เป็นปัจจุบัน

3.3.3 แนวปฏิบัติการบริหารจัดการคุณภาพข้อมูล (Data Quality Management) มีองค์ประกอบ การบริหารจัดการคุณภาพข้อมูล 4 ขั้นตอน ได้แก่

1) การกำหนดหลักเกณฑ์คุณภาพข้อมูล (Data Quality Requirement)

สสปท. จะต้องดำเนินการกาหนดหลักเกณฑ์คุณภาพข้อมูล อย่างน้อยดังนี้

(1) กำหนดองค์ประกอบข้อมูลที่สาคัญ (Critical Data Elements หรือ CDE) ในแต่ละชุด ข้อมูล โดยประเมินตามคุณลักษณะข้อมูลที่มีคุณภาพของ สสปท. เพื่อจัดลำดับความสำคัญ โดยอาจใช้เกณฑ์พิจารณา เช่น

1.1) ข้อมูลหลัก (Master Data)

1.2) มูลค่าทางการเงิน (Financial value)

1.3) ผลกระทบต่อผู้รับบริการ (impact on customers)

1.4) ผลกระทบต่อองค์กร (Business Impact analysis)

1.5) ข้อกาหนดด้านกฎระเบียบ (Regulatory Requirements)

บริกรข้อมูล ผู้เชี่ยวชาญเฉพาะทางต่าง ๆ และผู้ใช้ข้อมูลจาเป็นต้องระบุกฎเกณฑ์ทาง ธุรกิจที่อธิบายถึงความคาดหวังเกี่ยวกับลักษณะคุณภาพของข้อมูล

(2) กำหนดระดับคุณภาพข้อมูล (Data Quality Threshold) ในแต่ละชุดข้อมูล เพื่อใช้ในการประเมินคุณภาพของชุดข้อมูล เป็นการกำหนดระดับในแต่ละมิติคุณภาพข้อมูล

2) การประเมินคุณภาพข้อมูล (Data Quality Assessment)

สสปท. จะต้องดำเนินการประเมินคุณภาพข้อมูล อย่างน้อยดังนี้

(1) ประเมินคุณภาพข้อมูลตามหลักเกณฑ์คุณภาพข้อมูล โดยการทำโปรไฟล์ข้อมูล (Data Profiling) กับชุดข้อมูลที่เป็น CDE และเปรียบเทียบกับระดับคุณภาพข้อมูล

      บริกรข้อมูล ผู้เชี่ยวชาญเฉพาะทางต่าง ๆ และผู้ใช้ข้อมูล ร่วมกำหนดเป้าหมายของการประเมินคุณภาพข้อมูลเบื้องต้น คือ การศึกษารายละเอียดเกี่ยวกับข้อมูล เพื่อกำหนดแผนปฏิบัติการสำหรับการปรับปรุงคุณภาพข้อมูล โดยปกติจะเริ่มต้นจากชุดข้อมูลขนาดเล็ก เพื่อเป็นการพิสูจน์วิธีการและหลักการในการประเมินคุณภาพข้อมูล และแสดงให้เห็นว่ากระบวนการปรับปรุงทำงานอย่างไร การทำโปรไฟล์ข้อมูล (Data Profiling) มีขั้นตอน ดังนี้

1.1) กำหนดเป้าหมายของการประเมินคุณภาพข้อมูล

1.2) ระบุชุดข้อมูลที่จะทำการประเมิน ควรมุ่งเน้นที่ชุดข้อมูลขนาดเล็ก หรือ อาจเป็นแค่ฟิลด์ข้อมูลเดียว หรือปัญหาคุณภาพของข้อมูลที่เฉพาะเจาะจง

1.3) ระบุการใช้ข้อมูลและผู้ใช้ข้อมูล

1.4) ระบุความเสี่ยงของข้อมูลที่จะประเมิน รวมถึงผลกระทบที่อาจเกิดขึ้นจากปัญหาของข้อมูลในกระบวนการทางานขององค์กร

1.5) ตรวจสอบข้อมูลตามกฎเกณฑ์ที่กำหนด

1.6) จัดทำรายงานผลการตรวจสอบและประเภทของประเด็นปัญหาของคุณภาพข้อมูล

1.7) ดำเนินการวิเคราะห์เชิงลึกตามสิ่งที่พบเบื้องต้น เพื่อ

- หาจำนวนของความไม่สอดคล้องและประเภทของประเด็นปัญหา

- จัดลำดับความสำคัญของปัญหาตามผลกระทบทางธุรกิจ (Business Impact) หาสาเหตุที่แท้จริงของปัญหาคุณภาพข้อมูล

1.8) ประชุมร่วมกับบริกรข้อมูล ผู้เชี่ยวชาญเฉพาะด้านในแต่ละประเภทของ ชุดข้อมูล และผู้ใช้ข้อมูล เพื่อยืนยันปัญหาและลำดับความสำคัญ

1.9) นำปัญหาที่ได้รับการจัดลำดับความสำคัญมาจัดทำเป็นการแผนการดำเนินงานลดปัญหาที่อาจจะเกิดขึ้นอีก

- การแก้ไขปัญหาจากต้นเหตุ

- การควบคุม และการปรับปรุงกระบวนการทางานเพื่อป้องกัน

- การควบคุมและการรายงานอย่างต่อเนื่อง

(2) มิติคุณภาพข้อมูล (Data Quality Dimension) กำหนดมิติคุณภาพข้อมูลเป็นคุณลักษณะ หรือลักษณะเฉพาะของข้อมูลที่สามารถประเมินคุณภาพได้ มิติคุณภาพข้อมูล ระบุข้อกำหนดด้านคุณภาพข้อมูล และกำหนดผลลัพธ์ของการประเมินคุณภาพข้อมูลเบื้องต้นและการวัดผลอย่างต่อเนื่องในการ ประเมินคุณภาพของข้อมูล สสปท. จำเป็นต้องสร้างคุณลักษณะที่สำคัญต่อกระบวนการหลักขององค์กรและสามารถวัดผลได้ มิติคุณภาพข้อมูล เป็นพื้นฐานที่วัดผลได้ซึ่งสามารถเชื่อมโยงกับความเสี่ยงที่อาจเกิดขึ้นในกระบวนการที่สำคัญ ซึ่งประกอบด้วย 6 องค์ประกอบ ดังนี้

  1. 1. ความครบถ้วน (Completeness)ข้อมูลบางประเภทหากไม่ครบถ้วนจัดเป็นข้อมูลที่ด้อยคุณภาพได้เช่นกัน เช่น ข้อมูลประวัตินักเรียน หากไม่มีค่าเกรดของนักเรียนก็จะไม่สามารถดำเนินการได้ ในกรณีที่ผู้ร้องขอข้อมูลต้องการข้อมูลผลการศึกษาของนักเรียน หรือข้อมูลที่อยู่ของลูกค้าที่กรอกผ่านแบบฟอร์ม ถ้ามีชื่อและนามสกุลโดยไม่มีที่ตั้งของบ้าน ข้อมูลเหล่านั้นก็ไม่สามารถนำมาใช้ได้เช่นกัน
  2. 2. ตรงตามความต้องการใช้ (Relevancy) ระดับของข้อมูลที่บริหารจัดการ ต้องนำเสนอโดยตรงและมีประสิทธิภาพ โดยสามารถใช้งานได้ตามวัตถุประสงค์ เช่น ข้อมูลทางสถิติที่จะเป็นการนำเสนอในรูปแบบตารางเข้าใจง่าย และข้อความอยู่ในหลาย ๆ ย่อหน้า ซึ่งสามารถใช้งานได้ตามความต้องการ
  3. 3. ความเป็นปัจจุบัน (Timeliness) ข้อมูลที่ดีนั้นนอกจากจะเป็นข้อมูลที่มี ความถูกต้องเชื่อถือได้แล้ว จะต้องเป็นข้อมูลที่เป็นปัจจุบัน ทั้งนี้เพื่อให้ผู้ใช้สามารถนำเอาผลลัพธ์ที่ได้ไปใช้ได้ ทันเวลา นั่นคือ จะต้องเก็บข้อมูลได้รวดเร็วเพื่อทันความต้องการของผู้ใช้ เช่น ตัวอย่างข้อมูลเจ้าหน้าที่ที่เข้ามา ปฏิบัติงานโดยส่วนงานที่มีหน้าที่นำเข้าข้อมูลเข้าสู่ระบบได้มีการดำเนินการตามเวลาที่กำหนด คือ ทำให้ข้อมูลเป็น ปัจจุบัน ซึ่งจะทาให้หน่วยงานที่เกี่ยวข้องสามารถนำข้อมูลที่เป็นปัจจุบันไปใช้ประโยชน์ได้อย่างมีประสิทธิภาพ
  4. ความถูกต้อง (Accuracy) ข้อมูลจะมีความถูกต้องและเชื่อถือได้ขึ้นกับวิธีการที่ใช้ในการควบคุมข้อมูลนำเข้า และการควบคุมการประมวลผล การควบคุมข้อมูลนาเข้าเป็นการกระทา เพื่อให้เกิดความมั่นใจว่าข้อมูลนำเข้ามีความถูกต้อง เชื่อถือได้ เพราะถ้าข้อมูลนำเข้าไม่มีความถูกต้องแล้ว ถึงแม้จะใช้วิธีการวิเคราะห์และประมวลผลข้อมูลที่ดีแต่ผลลัพธ์ที่ได้ก็จะไม่มีความถูกต้องหรือนำไปใช้ไม่ได้ ข้อมูลนำเข้าจะต้องเป็นข้อมูลที่ผ่านการตรวจสอบว่าถูกต้องแล้ว ข้อมูลบางประเภทอาจต้องแปลงให้อยู่ในรูปแบบที่เครื่องคอมพิวเตอร์สามารถเข้าใจได้อย่างถูกต้อง ซึ่งนำข้อมูลมาตรวจสอบก่อนการประมวลผล ถึงแม้ว่าจะมีการตรวจสอบข้อมูลนำเข้าแล้วก็ตาม ก็อาจทำให้ได้ข้อมูลที่ผิดพลาด เช่น การเขียนโปรแกรมหรือใช้สูตรคำนวณผิดพลาด ดังนั้น จึงควรกำหนดวิธีการควบคุมการประมวลผล ได้แก่ การตรวจสอบยอดรวมที่ได้จากการประมวลผลแต่ละครั้ง หรือการตรวจสอบผลลัพธ์ที่ได้จากการประมวลผลด้วยเครื่องคอมพิวเตอร์ กับข้อมูลสมมติที่มีการคำนวณให้มีความถูกต้องตรงกัน
  5. 5. ความต้องกัน (Consistency) ค่าข้อมูลในชุดข้อมูลเดียวที่สอดคล้องกับ ค่าในชุดข้อมูลอื่น นอกจากนี้คำจำกัดความของความสอดคล้องระบุว่าหากมีการดึงข้อมูลสองค่าจากชุดข้อมูลแยก ต่างหากต้องไม่ขัดแย้งกัน เช่น ข้อมูลวันที่หรือเวลาที่เก็บในฐานข้อมูลเจ้าหน้าที่ และฐานข้อมูลผู้ลงทะเบียนใช้ บริการชุดข้อมูลที่มีรูปแบบต่างกัน ทั้งนี้อาจจะเกิดขึ้นในขณะที่การออกแบบระบบมีการนำเข้าข้อมูลก็เป็นอีกสาเหตุหนึ่ง หรือแม้กระทั่งการใช้กฎตรวจวัดความถูกต้องของข้อมูลที่ต่างกัน
  6. 6. ความพร้อมใช้ (Availability) ข้อมูลควรเข้าถึงได้ง่าย สามารถใช้งานได้จริง และสามารถใช้งานได้ตลอดเวลา ตัวอย่างเช่น นักวิเคราะห์แผนงานต้องการข้อมูลบัญชีของการประกันภัยต่อ เขตต่าง ๆ แต่ข้อมูลไม่พร้อมใช้งาน จนกระทั่งต้องใช้คนเขียนโปรแกรมเพื่อดึงข้อมูลนั้นออกมา ในกรณีนี้ หากข้อมูลมีความพร้อมใช้ตรงกับความต้องการใช้ ผู้ใช้สามารถใช้ข้อมูลดังกล่าวได้ทันที

3) การปรับปรุงคุณภาพข้อมูล (Data Quality Improvement)

สสปท. จะต้องดำเนินการปรับปรุงคุณภาพข้อมูล อย่างน้อยดังนี้

(1) มีกระบวนการนำชุดข้อมูลที่ไม่ผ่านเกณฑ์การประเมินคุณภาพมาปรับปรุง รวมถึง การลำดับความสำคัญของคุณภาพข้อมูลที่ต้องการปรับปรุง โดยพิจารณาตามผลกระทบทางธุรกิจ ให้ดำเนินการ เช่น

1.1) การระบุและจัดลำดับความสำคัญของคุณภาพข้อมูลที่คาดหวัง โดยจัดทำโปรไฟล์ ข้อมูล (Data Profiling) กับชุดข้อมูลขนาดใหญ่ เพื่อทำความเข้าใจปัญหาคุณภาพที่แท้จริง

1.2) การสัมภาษณ์ผู้มีส่วนได้ส่วนเสียเกี่ยวกับปัญหาข้อมูล

1.3) การวิเคราะห์ผลกระทบขององค์กรของปัญหาข้อมูล

(2) กำหนดเป้าหมายสำหรับการปรับปรุงคุณภาพข้อมูล ควรคำนึงถึงการแก้ไขปัญหาให้สำเร็จอย่างรวดเร็ว สามารถแก้ไขได้ทันทีด้วยต้นทุนที่ต่ำ และการเปลี่ยนแปลงเชิงกลยุทธ์ในระยะยาว นอกจากนั้นต้องมีผลตอบแทนจากการลงทุน (Return On Investment: ROI) เชิงบวกสำหรับการปรับปรุงข้อมูล เมื่อพบปัญหาให้กาหนด ROI ของการแก้ไข เช่น

2.1) การจัดลำดับความสำคัญของข้อมูลที่ได้รับผลกระทบ

2.2) จำนวนข้อมูลที่ได้รับผลกระทบ

2.3) อายุของข้อมูล

2.5) จำนวนและประเภทของกระบวนการทางธุรกิจที่ได้รับผลกระทบจากปัญหา

2.6) จำนวนลูกค้า ผู้รับบริการ ผู้จำหน่าย หรือพนักงานที่ได้รับผลกระทบจากปัญหา

2.7) ความเสี่ยงที่เกี่ยวข้องกับปัญหา

2.8) ค่าใช้จ่ายในการแก้ไขสาเหตุที่แท้จริง

2.9) ค่าใช้จ่ายในการแก้ไขปัญหาที่อาจเกิดขึ้น

(3) วิเคราะห์หาสาเหตุที่แท้จริง (Root Cause Analysis) เพื่อป้องกันไม่ให้เกิดชุดข้อมูลที่ ไม่มีคุณภาพขึ้นอีกในอนาคต หลักการสำคัญคือการให้ทีมงานวิเคราะห์ ซึ่งมี 6 ขั้นตอน ดังนี้

3.1) กำหนดประเด็นปัญหา (Problem)

3.2) กำหนดกลุ่มปัจจัยที่จะทำให้เกิดปัญหานั้น (Factors) ระบุปัจจัย 4 ด้าน กระบวนการ (Processes) วัสดุ (Materials) เครื่องมือ (Machines) และ วิธีการ (Methods)

3.3) ระดมสมองเพื่อหาสาเหตุในแต่ละปัจจัย (Cause)

3.4) หาสาเหตุหลักของปัญหา (Main Cause)

3.5) จัดลำดับความสำคัญของสาเหตุ (Prioritization)

3.6) ใช้แนวทางการปรับปรุงที่จาเป็น (Improvement)

(4) กำหนดให้มีกระบวนการควบคุมการปรับปรุงคุณภาพข้อมูลที่รัดกุม การพัฒนา ทั้งเชิงป้องกันและแก้ไข (Preventive and Corrective Actions) รวมทั้งจัดเก็บหลักฐานแสดงข้อมูลก่อนและหลังการแก้ไขข้อมูล เพื่อป้องกันการแก้ไขข้อมูลโดยไม่ได้รับอนุญาต

4.1) กระบวนการป้องกันคุณภาพข้อมูล (Preventive Actions) เป็นป้องกันไม่ให้ข้อมูลมีคุณภาพต่ำ

4.2) กระบวนการแก้ไขคุณภาพข้อมูล (Corrective Actions) โดยทั่วไปมี 3 วิธีดังนี้

- การแก้ไขอัตโนมัติ (Automated correction) ได้แก่ การกำหนดมาตรฐาน การทำให้เป็นไปตามมาตรฐาน และการแก้ไขตามมาตรฐาน เช่น การแก้ไขที่อยู่อัตโนมัติ ทำได้โดยกาหนดมาตรฐานที่อยู่ การวิเคราะห์ตามมาตรฐาน ข้อกำหนด และตารางอ้างอิง

- การแก้ไขกึ่งอัตโนมัติ (Manually-Directed Correction) เป็นการใช้เครื่องมืออัตโนมัติเพื่อแก้ไขข้อมูลแต่ต้องมีการตรวจสอบด้วยตนเองก่อนที่จะดำเนินการแก้ไข และได้รับการทบทวนการแก้ไขโดยบริกรข้อมูล

- การแก้ไขด้วยตนเอง (Manual Correction)เป็นการแก้ไขที่มีกระบวนการควบคุมและตรวจสอบเป็นอย่างดี

4) การควบคุมและติดตามให้ข้อมูลมีคุณภาพ (Monitoring and Control)

สสปท. จะต้องดำเนินการควบคุมและติดตามให้ข้อมูลมีคุณภาพ อย่างน้อยดังนี้

(1) ติดตามและปรับปรุงผลการประเมินคุณภาพข้อมูลอย่างต่อเนื่อง เพื่อให้สามารถติดตามคุณภาพของชุดข้อมูลได้อย่างทันการณ์ การตรวจสอบการปฏิบัติตามกฎเกณฑ์คุณภาพข้อมูลแบบอัตโนมัติ สามารถทำได้ทั้งในขณะที่ข้อมูลประมวลผลอยู่ (In-Stream) หรือข้อมูลผ่านกระบวนการประมวลผลแบบกลุ่มในแต่ละช่วงเวลา (Batch Process)

(2) จัดทำกระบวนการหรือเครื่องมือแจ้งเตือนไปยังเจ้าของข้อมูล เมื่อพบว่าชุดข้อมูลมีคุณภาพต่ำกว่าระดับคุณภาพข้อมูลที่กำหนด

(3) สอบทานคุณภาพข้อมูลให้เป็นไปตามหลักเกณฑ์ที่กาหนดอย่างสม่ำเสมอ

(4) จัดทำรายงานผลการติดตามคุณภาพข้อมูล สรุปความคืบหน้าการแก้ไขปรับปรุงชุดข้อมูลที่ไม่ผ่านเกณฑ์การประเมินคุณภาพ รวมทั้งรายงานประเด็นปัญหาหรือความเสี่ยงที่พบ ภาพรวมปัญหา และสาเหตุที่ทำให้ชุดข้อมูลไม่มีคุณภาพ เพื่อรายงานคณะกรรมการธรรมาภิบาลข้อมูลเป็นประจำ โดยการรายงาน ควรมุ่งเน้น เช่น

- การวัดผลคุณภาพข้อมูล (Data Quality Scorecard) จะให้มุมมองภาพรวมของ คะแนนที่เกี่ยวข้องกับการประเมินต่าง ๆ รายงานไปยังคณะกรรมการธรรมาภิบาลข้อมูล

- แนวโน้มคุณภาพข้อมูล จะแสดงให้เห็นว่าคุณภาพข้อมูลถูกประเมินเป็นอย่างไร และมีแนวโน้มดีขึ้นหรือแย่ลง

- การจัดการปัญหาคุณภาพข้อมูล มีการตรวจสอบสถานะของปัญหาและการแก้ไขอย่างไร

- ความสอดคล้องของกับนโยบายธรรมาภิบาลข้อมูล และนโยบายคุณภาพข้อมูล

- ผลกระทบเชิงบวกของโครงการปรับปรุงคุณภาพข้อมูล

3.3.4 แนวปฏิบัติการรักษาความมั่นคงปลอดภัยและส่วนบุคคลของข้อมูล (Data security & Privacy)

การรักษาความมั่นคงปลอดภัยและส่วนบุคคลของข้อมูล เป็นการรักษาความมั่นคงปลอดภัยและ ส่วนบุคคลของข้อมูล ครอบคลุมการรับส่งข้อมูลผ่านเครือข่ายสื่อสาร การจัดเก็บหรือใช้ข้อมูลบนระบบงานและ สื่อบันทึกข้อมูลต่าง ๆ การเก็บรักษาและการทำลายข้อมูล รวมถึงการปฏิบัติตามกฎหมายหรือหลักเกณฑ์ที่เกี่ยวข้อง การเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลเท่าที่จาเป็นตามวัตถุประสงค์ที่กาหนดไว้

1) การกำหนดแนวทางการรักษาความมั่นคงปลอดภัยของข้อมูลตลอดวงจรชีวิตของข้อมูล ให้ สสปท. อ้างอิง แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ ของ สสปท.

2) การจัดชั้นความลับของข้อมูล ให้ สสปท. อ้างอิงแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ ของ สสปท. ที่เกี่ยวกับสิทธิ หน้าที่และความรับผิดชอบเกี่ยวกับความมั่นคงปลอดภัย

3) การรักษาความเป็นส่วนบุคคลของข้อมูลตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้อง ทั้งใน รูปแบบอิเล็กทรอนิกส์ และไม่ใช่อิเล็กทรอนิกส์ ให้ สสปท. อ้างอิง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ของ สสปท.

3.3.5 แนวปฏิบัติการเชื่อมโยงและแลกเปลี่ยนข้อมูล (Data Exchange & Integration)

การเชื่อมโยงและแลกเปลี่ยนข้อมูล เป็นกระบวนการของการรับส่งข้อมูลหรือแบ่งปันข้อมูลภายในหรือระหว่างหน่วยงาน ตัวอย่างการเชื่อมโยงและแลกเปลี่ยนข้อมูลภาครัฐ เช่น ข้อมูลจำนวนของสถานประกอบกิจการที่สมัครเข้าร่วมกิจกรรม ข้อมูลกิจกรรมการรณรงค์ลดสถิติอุบัติเหตุจากการทำงานให้เป็นศูนย์ ข้อมูลโครงการพัฒนาสถานประกอบกิจการตามมาตรฐานระบบการจัดการด้านความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน ข้อมูลโครงการเสริมศักยภาพด้านสุขศาสตร์อุตสาหกรรมในสถานประกอบกิจการ ทั้งนี้ข้อมูลที่มีการเชื่อมโยงและแลกเปลี่ยนต้องไม่เป็นข้อมูลเปิด (Open Data) หรือข้อมูลที่สามารถนำไปใช้ได้โดยอิสระ มีขั้นตอนดังนี้

1) คณะกรรมการธรรมาภิบาลข้อมูล (Data Governance Council) เป็นผู้อนุมัติชุดข้อมูลที่จะ เชื่อมโยงและแลกเปลี่ยนข้อมูล และทีมบริกรข้อมูลตามภารกิจด้านเทคโนโลยีเป็นผู้ดำเนินการเชื่อมโยงและ แลกเปลี่ยนข้อมูล เช่น บุคคลที่ทำหน้าที่ออกแบบกระบวนการและเทคโนโลยีในการเชื่อมโยงและแลกเปลี่ยน ข้อมูล (Data Integration Architect) บุคคลที่ทำหน้าที่ดำเนินการเชื่อมโยงและ แลกเปลี่ยนข้อมูลให้สอดคล้อง กับที่ได้ออกแบบไว้ (Data Integration Specialist)

2) ทีมบริกรข้อมูลและเจ้าของข้อมูล ตรวจสอบชั้นความลับของข้อมูล (Data Classification) ว่าอยู่ในชั้นความลับที่สามารถเปิดเผยได้หรือไม่ นั่นคือต้องไม่ขัดต่อกฎหมาย ระเบียบ ข้อบังคับ ความมั่นคงของ ประเทศ ความลับทางราชการ และความเป็นส่วนบุคคล พร้อมทั้งตรวจสอบสิทธิ์ของหน่วยงานที่สามารถนาข้อมูล ไปใช้ได้ตามบทบาทและภารกิจตามกฎหมายของหน่วยงานนั้น ๆ

3) เจ้าของข้อมูล จัดทาเมทาดาต้า (Metadata) ของชุดข้อมูลที่ร้องขอ ทั้งนี้ต้องตรวจสอบให้ แน่ใจได้ว่า เมทาดาต้า มีฟิลด์ข้อมูลครบถ้วนสอดคล้องกับความต้องการของหน่วยงานที่ขอใช้ข้อมูล

4) เจ้าของข้อมูล จัดทาสัญญาอนุญาตหรือเงื่อนไขในการเชื่อมโยงและแลกเปลี่ยนและการนา ข้อมูลไปใช้ ตัวอย่างส่วนประกอบของสัญญา เช่น วัตถุประสงค์ในการนำไปใช้ ขอบเขตในการนำไปใช้ ช่วงวันที่ ในการเข้าถึง ความถี่ในการเข้าถึง ระดับการให้บริการ (Service Level Agreement-SLA) ช่วงเวลาในการนาไปใช้ ฟิลด์ที่สามารถเข้าถึง รายการข้อมูลที่สามารถเข้าถึง ในกรณีขอข้อมูลส่วนบุคคลเป็นรายคน ต้องจัดทาหนังสือ แสดงความยินยอม (Consent Letter) เพื่อรับการยินยอมจากบุคคลนั้น ๆ ยกเว้นหน่วยงานที่ขอใช้ข้อมูลมีอำนาจตามกฎหมายโดยชอบธรรม พร้อมทั้งกาหนดเทคโนโลยีและมาตรฐานทางเทคนิคที่ใช้ในการเชื่อมโยงและ แลกเปลี่ยนข้อมูล เช่น Representational State Transfer (REST) Simple Object Access Protocol (SOAP)

5) ผู้ดูแลข้อมูล ดำเนินการไม่แสดงตัวตน (Anonymization) ของข้อมูลส่วนบุคคลและข้อมูลที่ไม่สามารถเปิดเผยได้ พร้อมทั้งตรวจสอบและปรับปรุงคุณภาพของข้อมูล (Data Quality) ให้อยู่ในเกณฑ์ มาตรฐานก่อนการเชื่อมโยงและแลกเปลี่ยน

6) ผู้ดูแลข้อมูล ดำเนินการเชื่อมโยงและแลกเปลี่ยนข้อมูลตามเงื่อนไขและมาตรฐาน การเชื่อมโยงและแลกเปลี่ยนที่กาหนดไว้

7) ทีมบริกรข้อมูลและเจ้าของข้อมูล ติดตามและควบคุมประสิทธิภาพระหว่างการเชื่อมโยงและแลกเปลี่ยนข้อมูล เพื่อรักษาไว้ซึ่งความปลอดภัยของข้อมูล คุณภาพข้อมูล และสอดคล้องกับระดับการให้บริการ

8) ทีมบริกรข้อมูลรายงานผลการเชื่อมโยงและแลกเปลี่ยน พร้อมรายงานความคืบหน้า แก่คณะกรรมการธรรมาภิบาลข้อมูลเป็นระยะ

3.3.6 แนวปฏิบัติการเปิดเผยข้อมูล (Open Data Procedure)

แนวปฏิบัติการเปิดเผยข้อมูล มีขั้นตอนดังนี้

1) กำหนดบทบาทหน้าที่ที่เกี่ยวข้องกับการเปิดเผยข้อมูล ได้แก่ กำหนดบุคคลหรือกลุ่มบุคคลที่มีสิทธิ์ตัดสินใจในการเปิดเผยข้อมูล กำหนดบุคคลหรือกลุ่มบุคคลในการดาเนินการและปรับปรุงการเปิดเผยข้อมูล และกำหนดบุคคลหรือกลุ่มบุคคลในการรับเรื่องและแก้ไขปัญหาเบื้องต้นในการเข้าถึงข้อมูลและการนำข้อมูลไปใช้ ดังนี้

1.1) คณะกรรมการธรรมาภิบาลข้อมูล เป็นผู้ที่มีสิทธิ์ตัดสินใจในการเปิดเผยข้อมูล

1.2) เจ้าของข้อมูล เป็นผู้ดำเนินการและปรับปรุงการเปิดเผยข้อมูล

1.3) งานเทคโนโลยีสารสนเทศ สำนักบริหารกลาง เป็นผู้รับเรื่องและแก้ไขปัญหาเบื้องต้นในการเข้าถึงข้อมูลและการนำข้อมูลไปใช้

2) เจ้าของข้อมูลและทีมบริกรข้อมูล คัดเลือกชุดข้อมูลที่ต้องการเผยแพร่ ทั้งนี้ควรจะต้องพิจารณาชุดข้อมูลที่มีคุณภาพและเป็นที่ต้องการของทุกภาคส่วน เพื่อส่งเสริมให้เกิดการนำไปใช้อย่างแพร่หลาย และเกิดประโยชน์สูงสุด โดยชุดข้อมูลที่คัดเลือกสาหรับเผยแพร่นั้น มีรายละเอียดดังนี้

2.1) ชั้นความลับที่สามารถเผยแพร่ได้ และต้องไม่ขัดต่อกฎหมาย ระเบียบ ข้อบังคับ ความมั่นคงของประเทศ ความลับทางราชการ และความเป็นส่วนตัว

2.2) กำหนดหมวดหมู่ของข้อมูลที่จะเปิดเผย

2.3) จัดทำเมทาดาต้า

2.4) ระบุประเภทข้อมูลที่จะเปิดเผย และระดับการเปิดเผยข้อมูล

2.5) การเผยแพร่ข้อมูลบน Data.go.th

3) ผู้ดูแลข้อมูล จัดเตรียมข้อมูลให้อยู่ในรูปแบบที่ง่ายต่อการนำไปใช้ในรูปแบบที่คอมพิวเตอร์ สามารถอ่านได้ (Machine-Readable) เช่น รูปแบบของ Comma-Separated Values –CSV Application Programming Interface –API

4) งานเทคโนโลยีสารสนเทศ สำนักบริหารกลาง เป็นผู้รับผิดชอบนำชุดข้อมูลขึ้นเผยแพร่สู่สาธารณะผ่านศูนย์กลางข้อมูลเปิดภาครัฐ โดยปฏิบัติตามเอกสาร คู่มือการนาข้อมูลขึ้นเผยแพร่บน data.go.th

5) เจ้าของข้อมูลร่วมกับผู้ดูแลข้อมูล เป็นผู้ที่มีส่วนร่วมในกระบวนการปรับปรุงคุณภาพของ ข้อมูลที่หน่วยงานได้เผยแพร่ให้ข้อมูลมีคุณภาพและตรงกับความต้องการของผู้ใช้ข้อมูล

6) การทบทวนนโยบาย

6.1) ให้มีการประกาศเผยแพร่นโยบายและแนวปฏิบัติธรรมาภิบาลข้อมูลแก่ผู้เกี่ยวข้อง ทั้งหมดทราบ เพื่อให้สามารถเข้าถึง เข้าใจ และปฏิบัติตามนโยบายและแนวปฏิบัติธรรมาภิบาลข้อมูลได้

6.2) กำหนดให้ทบทวนนโยบายและแนวปฏิบัติธรรมาภิบาลข้อมูลอย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ