ชื่อโครงการจ้างที่ปรึกษาศึกษาวิเคราะห์และจัดทําสถาปัตยกรรมองค์กร ธรรมาภิบาลข้อมูลและนโยบายข้อมูลส่วนบุคคล ตาม พ.ร.บ.ข้อมูลส่วนบุคคล พ.ศ. 2562
สถานที่ : องค์การอุตสาหกรรมป่าไม้
ผู้ว่าจ้าง : องค์การอุตสาหกรรมป่าไม้
วันที่เริ่มโครงการ : 23 ธ.ค. 64
วันสิ้นสุดโครงการ : 20 ก.ค. 65

วัตถุประสงค์

  1. เพื่อจัดทําแนวทางการบริหารและการกํากับดูแลขอมูลตามหลักธรรมาภิบาลข้อมูลภาครัฐ
  2. เพื่อวิเคราะห์นโยบายข้อมูลในกระบวนการทํางานหลักขององค์กรรวมถึงจัดทําแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล
  3. เพื่อกําหนดเป้าหมายการพัฒนาสถาปัตยกรรมองค์กรในอนาคต (Target EA Capability & Development) ทั้ง 5 ด้าน เพื่อนํามาปรับปรุงประสิทธิภาพและให้เป็นไปตามเป้าหมาย
  4. เพื่อวิเคราะห์ถึงความแตกต่างระหว่างสถานะปัจจุบันและเป้าหมายการพัฒนาสถาปัตยกรรมองค์กร (Gap Analysis) นําไปสู่การกําหนดกรอบสถาปัตยกรรมองค์กรในอนาคต (Future Enterprise Architecture Framework)
  5. เพื่อจัดทําข้อเสนอด้านเทคนิคในการคุ้มครองข้อมูลส่วนบุคคล

ขอบเขตการดำเนินงาน

1. จัดทำแผนการดำเนินงาน (Project Planning) ให้ครอบคลุมขอบเขตการดำเนินงาน ประกอบด้วย ขั้นตอน กิจกรรม ระยะเวลา และผู้รับผิดชอบในแต่ละกิจกรรม วิธีการหรือแนวทางในการดำเนินโครงการฯ และจัดทำ โครงสร้าง บทบาทหน้าที่ความรับผิดชอบ (Organization Chart) ของทีมที่ปรึกษาของการบริหารจัดการโครงการ ภายใน 30 วัน นับถัดจากวันที่ลงนามในสัญญาฯ
2. จัดประชุมเปิดตัวโครงการ (Kick-off Project) ภายใน 15 วันทำการ นับตั้งแต่วันลงนามในสัญญาฯ พร้อมนำเสนอรายละเอียดกรอบแนวคิด วิธีการ แผนการดำเนินงานของโครงการฯ ระบุกิจกรรม บุคลากรที่รับผิดชอบ งวดงานส่งมอบ ข้อเสนอแนะและแสดงผลลัพธ์ของการดำเนินรายกิจกรรม จำนวน 1 ครั้ง ณ สำนักงานกลางของ องค์การอุตสาหกรรมป่าไม้ หรือการประชุมผ่านสื่ออิเล็กทรอนิกส์ในกรณีที่สามารถจัดประชุมได้โดยในขั้นตอนการ เก็บความต้องการ (Requirement) ขอให้ทีมที่ปรึกษานำบุคลากรที่มีความเชี่ยวชาญเข้ามาเก็บข้อมูลตามรายชื่อ ที่เสนอและที่รับผิดชอบในเรื่องที่เกี่ยวข้องโดยมีหนังสือขออนุญาตทุกครั้ง
3. การจัดทำธรรมาภิบาลข้อมูล (Data Governance)
3.1 ศึกษาหลักเกณฑ์ประเมินกระบวนการปฏิบัติการและการจัดการ Enablers ของรัฐวิสาหกิจและ ผลการดำเนินงานของ อ.อ.ป. ด้านเทคโนโลยีดิจิทัล (DT) หัวข้อ การกำกับดูแลข้อมูลและการบริหารจัดการข้อมูล ขนาดใหญ่ขององค์กร
3.2 ดำเนินการวิเคราะห์การประเมินสถานะปัจจุบันของ อ.อ.ป. ด้านธรรมาภิบาลข้อมูล (Data Governance Maturity Assessment)
3.3 ดำเนินการจัดทำรายละเอียดผลการวิเคราะห์ธรรมาภิบาลข้อมูลของ อ.อ.ป. ในปัจจุบันที่ประกอบ ไปด้วย
(1) สถาปัตยกรรมข้อมูล
(2) การวิเคราะห์กระบวนการขององค์กร
(3) ข้อมูลหลักของกระบวนการ
(4) แหล่งข้อมูล
(5) รูปแบบของข้อมูล (Data Model)
(6) การจัดเก็บและการบูรณาการข้อมูล
(7) การสำรองและการกำหนดสิทธิการใช้
(8) การบริการข้อมูล
3.4 ดำเนินการจัดทำวิธีบริหารจัดการและแนวทางปฏิบัติธรรมาภิบาลข้อมูลของ อ.อ.ป. ในภาพรวม ตามแนวทางมาตรฐานที่หน่วยงานภาครัฐต้องดำเนินการ ที่ประกอบไปด้วย
(1) โครงสร้างการกำกับดูแลข้อมูลที่ชัดเจน
(2) นโยบายธรรมาภิบาลข้อมูล
(3) แนวทางการจัดการกระบวนการธรรมาภิบาลข้อมูลภาครัฐ (Data Governance Process Guidelines)
(4) การบริหารจัดการข้อมูลตลอดวงจรชีวิตของข้อมูล (Data Life Cycle Management)
(5) รายละเอียดสถาปัตยกรรมข้อมูล
(6) ข้อมูลหลักขององค์กร
(7) การแบ่งระดับชั้นความลับของข้อมูล
(8) การเปิดเผยและการปกปิดข้อมูล
(9) การสำรองและการบูรณาการข้อมูล
(10) การบริหารคุณภาพข้อมูล (Data Quality Policy)
3.5 จัดทำบัญชีข้อมูล (Data Catalog) และคำอธิบายข้อมูล (Metadata) ในกระบวนการทำงานหลัก ของ อ.อ.ป. จำนวนไม่น้อยกว่า 30 ชุดข้อมูล
3.6จัดทำมาตรการ/นโยบายการรักษาความมั่นคงปลอดภัยของข้อมูล (Information Security) ดังนี้
(1) การกำหนดให้ผู้เป็นเจ้าของข้อมูล (Information Owner) รับผิดชอบในการกำหนดผู้ใช้งาน สิทธิในการเข้าถึงและการใช้งานข้อมูลอย่างปลอดภัย
(2) การกำหนดหลักเกณฑ์การจัดชั้นความลับของข้อมูล (Information Classification)
(3) กำหนดแนวทางการรักษาความมั่นคงปลอดภัยของข้อมูลที่สอดคล้องตามชั้นความลับ
(4) การกำหนดมาตรฐานและระเบียบวิธีปฏิบัติในการทำลายข้อมูล (Information Disposal)
(5) การบริหารจัดการการเข้ารหัสข้อมูล (Cryptography) กำหนดมาตรฐานและระเบียบวิธี ปฏิบัติการบริหารจัดการการเข้ารหัสข้อมูลที่สอดคล้องตามลำดับความสำคัญของข้อมูลและการบริหารจัดการกุญแจ (Key Management)
4. การจัดทำสถาปัตยกรรมองค์กร (Enterprise Architecture)
4.1 ศึกษา วิเคราะห์ แผนยุทธศาสตร์ขององค์การอุตสาหกรรมป่าไม้ แผนนโยบายและแผนปฏิบัติ การดิจิทัลระดับต่างๆ ที่เกี่ยวข้อง เพื่อนำมาพัฒนาสถาปัตยกรรมองค์กร
4.2 ศึกษาหลักเกณฑ์ประเมินกระบวนการปฏิบัติการและการจัดการ Enablers ของรัฐวิสาหกิจและ ผลการดำเนินงานของ อ.อ.ป. ด้านเทคโนโลยีดิจิทัล (DT) หัวข้อ การวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร (Enterprise Architecture)
4.3 จัดทำภาพสถาปัตยกรรมองค์กรหรือพิมพ์เขียวองค์กรดิจิทัล (Digital Enterprise Blueprint) และรายงานสถาปัตยกรรมองค์กรของ อ.อ.ป. ในปัจจุบัน (As-is Enterprise Architecture) ที่ครอบคลุมด้านต่างๆ ดังนี้
(1) ด้านการดำเนินงาน (Business Architecture)
(2) ด้านข้อมูลสารสนเทศ (Data Architecture)
(3) ด้านระบบงานและโปรแกรมประยุกต์ (Application Architecture)
(4) ด้านเทคโนโลยีและโครงสร้างพื้นฐาน (Technology Architecture)
(5) ด้านความมั่นคงปลอดภัย (Security Architecture)
4.4 จัดทำกระบวนการวิเคราะห์สถาปัตยกรรมองค์กร (Enterprise Architecture) และแนวปฏิบัติ ที่ครบถ้วนอย่างมีระบบ
5. การดำเนินการที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
5.1 ตรวจสอบข้อมูลและจัดทำรายงานการวิเคราะห์ผลการตรวจสอบกิจกรรมการประมวลผลข้อมูล ส่วนบุคคล โดยจัดทำรายการคำถามเพื่อนำส่งให้บุคลากรที่เกี่ยวข้องกรอกข้อมูลและใช้เป็นแนวทางในการสัมภาษณ์
5.2 การเข้าสัมภาษณ์ในแต่ละฝ่ายงานเป็นไปตามที่ทำความตกลงร่วมกันกับ อ.อ.ป.
5.3 ตรวจทานข้อมูลเอกสารที่เกี่ยวข้องตลอดจนสัญญา เพื่อประกอบการวิเคราะห์
5.4 จัดทำรายงานผลการวิเคราะห์การประมวลผลข้อมูลส่วนบุคคลของ อ.อ.ป. และแผนผังการ ไหลเวียนของข้อมูล (Data Flow and Gap Analysis) พร้อมข้อเสนอแนะแนวทางการปรับปรุงแกไขเพิ่มเดิม เพื่อให้ เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
5.5 ออกแบบรายละเอียดทางเทคนิคที่ต้องการเพื่อการคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พร้อมกำหนดความต้องการทางเทคนิค สถาปัตยกรรมของระบบและกรอบ งบประมาณ
5.6 จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล การวิเคราะห์กระแสข้อมูล ในกระบวนการทำงาน หลักของ อ.อ.ป. ไม่น้อยกว่า 15 ชุดข้อมูล
5.7 แต่งตั้งคณะทำงานและคัดเลือกเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล โดยจะต้องกำหนดอำนาจ หน้าที่ความรับผิดชอบให้สอดคล้องตามที่กำหนดไวิในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ ตามที่คุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศ
5.8 จัดทำคำประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice)
5.9 จัดทำเอกสารแสดงความยินยอม (Consent Form)
5.10 จัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล
5.11 แนวปฏิบัติในการบันทึกรายการประมวลผลข้อมูลส่วนบุคคล
5.12 ข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (Personal Data Sharing Agreement)
5.13 แบบคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights Request Form)
5.14 หนังสือตอบกลับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights Responding)
5.15 หนังสือแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Notification)
5.16 คำประกาศเกี่ยวกับความเป็นส่วนตัวในการใช้กล้องวงจรปิด (CC7V Privacy Notice)
5.17 แบบฟอร์มสมัครงาน
5.18 จัดทำสัญญาจ้างปฏิบัติงาน
5.19 จัดทำคำประกาศเกี่ยวกับความเป็นส่วนตัวสำหรับผู้สมัครงานและผู้ปฏิบัติงาน
5.20 จัดทำข้อตกลงการเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วม (Joint Controller Agreement)
5.21 จัดทำสัญญามาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคล (Template Clauses) สำหรับการ นำไปใช้ในองค์กรหรือสัญญาต่างๆ ที่ อ.อ.ป. มีกับบุคคลภายนอก เช่น คู่ค้าและผู้มาติดต่อ/สมาชิก เป็นด้น
5.22 จัดทำหนังสือแจ้งการประมวลผลข้อมูลและหนังสือยินยอม สำหรับใช้กับบุคคลภายนอก
5.23 จัดทำหนังสือแจ้งการประมวลผลข้อมูลและหนังสือยินยอม สำหรับใช้กับผู้สมัครงานและ ลูกจ้าง/พนักงาน
5.24 จัดทำเอกสารหรือแบบฟอร์มอื่นๆ ที่นอกเหนือจากข้อ 3.5.8-3.5.23 ที่ทีมที่ปรึกษาเห็นว่า มีประโยชน์สามารถนำประยุกต์ใช้กับแนวปฏิบัตินี้ได้
5.25 จัดทำคู่มือการปฏิบัติงาน (Manual) การคุ้มครองข้อมูลส่วนบุคคล โดยใช้กรอบตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยแสดงภาพรวมและขั้นตอนที่จะต้องดำเนินการทั้งหมดตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
6. จัดประชุมเชิงปฏิบัติการ (Workshop) เพื่อถ่ายทอดแนวปฏิบัติให้แก่ผู้มีส่วนได้ส่วนเสีย ดังนี้
6.1 กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรกับผู้บริหารและเจ้าหน้าที่ผู้ปฏิบัติงานที่ เกี่ยวข้องในภารกิจหลักและภารกิจสนับสนุนขององค์กร จำนวนไม่น้อยกว่า 50 คน
6.2 กระบวนการวิเคราะห์และจัดทำธรรมาภิบาลข้อมูลกับผู้บริหารและเจ้าหน้าที่ผู้ปฏิบัติงานที่ เกี่ยวข้องในภารกิจหลักและภารกิจสนับสนุนขององค์กร จำนวนไม่น้อยกว่า 50 คน
6.3 กระบวนการวิเคราะห์และจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลกับผู้บริหารและเจ้าหน้าที่ ผู้ปฏิบัติงานที่เกี่ยวข้องในภารกิจหลักและภารกิจสนับสนุนขององค์กร จำนวนไม่น้อยกว่า 50 คน
7. เมื่อเสร็จสิ้นการประชุมเชิงปฏิบัติการ (Workshop) ที่ปรึกษาจะต้องรวบรวม จัดทำรายงาน และสรุปผล การประชุมและจะต้องรับผิดชอบค่าใช้จ่ายในการจัดประชุม เช่น ค่าอาหารกลางวัน ค่าอาหารว่างและเครื่องดื่ม ค่าเอกสารประกอบ ตลอดจนอุปกรณ์และสื่ออื่นๆ สำหรับจำนวนชุดข้อมูลหรือจำนวนผู้เข้าร่วมประชุม สามารถน้อยกว่าจำนวนที่ระบุในข้อกำหนด TOR ได้ ในกรณีที่หน่วยงานไม่สามารถหาชุดข้อมูลหรือบุคลากรมาได้ตามจำนวนที่กำหนดหรือกรณีอื่นใด ที่ปรึกษาสามารถ แสดงหลักฐานและให้ถือว่าคำวินิจฉัยของคณะกรรมการตรวจรับพัสดุเป็นที่สิ้นสุดเด็ดขาดแล้ว ทั้งนี้ในการจัดประชุมหรือประชุมเชิงปฏิบัติการ (Workshop) ให้เป็นไปตามสถานการณ์การแพร่ระบาดใหม่ ของโรคเชื้อไวรัสโคโรนา 2019 ((Covid-19) หรือสถานการณ์อื่นๆ ตามที่รัฐบาลกำหนด