DATA GOVERNANCE Guideline in Thailand

1. Data Governance in Practice
หลักสูตร Data Governance Guideline Training สำหรับบริษัทประกันภัย
ดร. เอกลักษณ+ อิสระมโนรส
CDMP CIMP CEPAS-DPO ISMS BCMS
สมาคม ดาต(า เมเนจเม(นต, (ประเทศไทย)
DATA MANAGEMENT ASSOCIATION (THAILAND)
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)

2. หัวข%อ
2
§ การกำกับดูแลข%อมูล (Data Governance)
§ การบริหารจัดการข%อมูล (Data Management)
§ แนวทางการประเมินระดับการกำกับดูแลข%อมูล (Data Governance Maturity Assessment)
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)

3. การกำกับดูแลข9อมูล
(Data Governance)
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND) 3

4. ที่มาและความสำคัญของการกำกับดูแลข%อมูล (Introduction)
4
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)
ปCญหา การค(นหาข(อมูล | การเข(าถึงข(อมูล | การใช(งานข(อมูล ปCญหา การขาดการกำกับดูแลข(อมูล | การกำกับดูแลไมUครอบคลุม
Ref: DGA, DAMA DMBOK II

5. การกำกับดูแลข%อมูล (Data Governance)
5
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)
Optimized
ปรับปรุงพัฒนา
Transformation
เปลี่ยนแปลง
Compliance
เพื่อปฏิบัติตามข้อกําหนด
Data Analytics
เพื่อพัฒนาการวิเคราะห์ข้อมูล
กํากับดูแลข้อมูลและใช้ข้อมูลเพื่อปรับปรุงกระบวนการและรูปแบบธุรกิจในปัจจุบัน
ใช้การวิเคราะห์มูลเพื่อแก้ไขปัญหาในอดีตและสร้างรูปแบบธุรกิจใหม่แทนที่รูปแบบ/แนวทางเดิม
to
*Required
Data Governance vs. Data Management
เป4นการบริหารจัดการสิทธิในการตัดสินใจ และบทบาท
ความรับผิดชอบในการบริหารจัดการขCอมูล ตั้งแตGการ
วางแผน กำกับ ติดตาม และบังคับใชC

6. 6
Ref: OIC
ภาพรวมแนวปฏิบัติ เรื่อง การกำกับดูแลขCอมูล
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)
กรอบการกำกับดูแลข%อมูลของ คปภ. (OIC’s Data Governance Framework)

7. 7
Ref: DAMA DMBOK II, BOT, DGA
กรอบการกำกับดูแลขCอมูล ที่ถูกอCางอิงใน OIC’s Guideline
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)
กรอบการกำกับดูแลข%อมูลอื่น (Other Data Governance Frameworks)
2018
2020

8. โครงสร%างการกำกับดูแลข%อมูล (Data Governance Structure)
8
แนวทางการกำหนดโครงสรCางการกำกับดูแลขCอมูล (Data Governance Structure Guide)
• โครงสร&างการกำกับมีขนาดใหญ4 อาจมี
หลายระดับชั้นการทำงาน
• การกำหนดเป@าหมายและความสำคัญ
ของข&อมูลให&สอดคล&องกับองคDกร
1
2
3
• เปEนแบบรวมศูนยDการกำกับ
ข&อมูลไว&ที่ส4วนกลาง
• มีการตัดสินใจที่ชัดเจน
• จำเปEนต&องพิจารณาการปรับปรุง
โครงสร&างองคDกรให&มีหน4วยงานข&อมูล
อย4างเปEนทางการ (Re-Organization)
• เปEนการกระจายการกำกับข&อมูล
ไปเปEนหน&าที่หน4วยงานภายใต&
• เข&าใจข&อมูลตนเปEนอย4างดี
• คณะทำงาน อาจไม4มีผู&รับผิดชอบหลัก
หรืออำนาจตัดสินใจที่ชัดเจน ซึ่งมีผลต4อ
ระยะยาว
• เปEนการรวมศูนยDการกำกับ
เชิงนโยบายและกระจาย
การปฏิบัติให&หน4วยงานภายใต&
จุดเดGน จุดดCอย
Ref: DAMA International, 2017
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)

9. โครงสร%างการกำกับดูแลข%อมูล (Data Governance Structure)
9
บทบาทและหนCาที่ (Role and Responsibility)
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)
คณะกรรมการบริษัท
คณะกรรมการกำกับดูแลข3อมูล
(Data Governance Committee)
บริกรข3อมูล (Data Steward)
เจ3าของข3อมูล (Data Owner)
กำกับดูแลให+บริษัทดำเนินการกำกับดูแลข+อมูล อย8างเหมาะสมกับองค=กร โดยกำหนดบทบาทหน+าที่อย8างชัดเจนตาม Three Line of
Defense และให+ดำเนินการ กำหนดนโยบาย กำหนดกระบวนการ กำหนดให+มีผู+รับผิดชอบ จัดให+มีโครงสร+าง จัดให+มีการสร+างความรู+
ความตระหนัก รวมถึงจัดสรรทรัพยากรและงบประมาณ
กำหนดนโยบาย และวิธีปฏิบัติเกี่ยวกับการกำกับดูแลข+อมูลและการบริหารจัดการข+อมูล รวมถึงทบทวนอย8างสม่ำเสมอ จัดให+มีการสื่อสาร
เกี่ยวกับนโยบายและวิธีปฏิบัติ ติดตามสถานการณ=กำกับดูแลข+อมูลและการบริหารจัดการข+อมูล และรายงานผลประเด็นปZญหา หรือความ
เสี่ยงที่พบ
สนับสนุนการร8างนโยบาย วิธีปฏิบัติ และมาตรฐานข+อมูล รวมถึงสนับสนุนให+เกิดการกำกับดูแลข+อมูลและบริหารจัดการข+อมูลในองค=กร
โดยให+เป^นไปตามนโยบายและวิธีปฏิบัติขององค=กร โดยทั่วไปมีอย8างน+อยด+านธุรกิจ (Business) และด+านเทคนิค (Technical)
บุคลากรหรือหน8วยงานที่รับผิดชอบข+อมูลขององค=กร ทำหน+าที่ทบทวน อนุมัติการดำเนินงานต8างๆ ที่เกี่ยวกับข+อมูล รวมถึงบริหารจัดการ
ข+อมูลตามนโยบาย การกำหนดและสอบทานสิทธิ์การเข+าถึงข+อมูล กำหนดคุณภาพข+อมูล และชั้นความลับของข+อมูล
ผู3ดูแลข3อมูล (Data Custodian)
บุคลากรหรือหน8วยงานที่รับผิดชอบในการดูแล และ/หรือสนับสนุนข+อมูลขององค=กร ผู+ดูแลข+อมูลมีมักความรับผิดชอบตามนโยบายด+าน
ข+อมูล ด+านความมั่นคงปลอดภัยสารสนเทศ ด+านการปmองกันข+อมูลส8วนบุคคล
ผู3ใช3ข3อมูล (Data User) เป^นผู+ใช+ข+อมูลในการทํางานประจํา โดยมีความรับผิดชอบตามนโยบายองค=กร

10. กระบวนการการกำกับดูแลข%อมูล (Data Governance Process)
10
แนวทางการกำหนดกระบวนการกำกับดูแลขCอมูล (Data Governance Process Guide)
Ref: DGA
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)

11. การจัดทำนโยบาย มาตรฐาน กระบวนการ และเทคโนโลยีที่เกี่ยวข%องกับธรรมาภิบาลข%อมูล
11
แนวทางการจัดทำนโยบายขCอมูล (Data Policy)
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)
การกำหนดนโยบายจำเป^นต+องระบุอย8างชัดเจน สอดคล+องกับกฎหมาย ระเบียบข+อบังคับ คำสั่ง หรือข+อกำหนดอื่น ๆ ที่เกี่ยวข+อง โดยผ8านการอนุมัติจากผู+บริหาร มีการเผยแพร8และ
สื่อสารให+กับเจ+าหน+าที่หรือผู+ที่เกี่ยวข+อง รวมถึงควรมีการทบทวนนโยบายอย8างสม่ำเสมอ เพื่อให+นโยบายได+ถูกนำมาใช+ปฏิบัติอย8างมีประสิทธิภาพและต8อเนื่อง โดยนโยบายควรจะ
ครอบคลุมวงจรชีวิตของข+อมูล ซึ่งอาจจะประกอบด+วยหัวข+อต8าง ๆ หรือหมวดนโยบาย อาทิ
Ref: DGA

12. นโยบายการกำกับดูแลข%อมูล (Data Governance Policy)
12
แนวทางการจัดทำนโยบายการกำกับดูแลขCอมูล (Data Governance Policy)
ครอบคลุมอยTางน3อย
ขอบเขตของข%อมูล
โครงสร%างการกำกับดูแลข%อมูล
กระบวนการการกำกับดูแลข%อมูล
การวัดการดำเนินการของการกำกับดูแลข%อมูล
การบริหารจัดการข%อมูล
การปรับปรุงและทบทวนนโยบาย
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)

13. การบริหารจัดการข9อมูล
(Data Management)
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND) 13

14. การบริหารจัดการข%อมูล (Data Management)
บริหารจัดการขCอมูล (Data Management)
14
A T A
Management
D
“การบริหารจัดการขMอมูล”
กระบวนการที*ใช ้ในการวางแผน (Plan) ระบุ (Specify)
เปิดใช ้งาน (Enable) สร ้าง (Create) รับ (Acquire)
ดูแลรักษา (Maintain) ใช ้(Use) จัดเก็บถาวร (Archive)
ดึงข ้อมูล (Retrieve) ควบคุม (Control) และทําลายข ้อมูล (Purge)
Ref: DGA, DAMA DMBOK II
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)

15. การบริหารจัดการข%อมูล (Data Management)
วงจรชีวิตของขCอมูล (Data Life Cycle)
15
วางแผน
> DM Strategy
> Governance
> Define
policies,
procedures for
quality,
retention, security,
etc.
กําหนด&
ออกแบบ
> Architecture
> Conceptual,
Logical, Physical
Modelling
จัดทําระบบ
> Install or
provision servers,
networks, storage,
DBMSs
> Access controls
สร้าง&ได้รับ
ข้อมูล
> Data created,
acquired (external),
extracted, imported,
migrated, organized
บํารุงรักษา&ใช้
> Data validated,
edited, cleansed,
converted,
reviewed,
reported, analyzed
จัดเก็บ & กู้คืน
> Data archived,
retained and
retrieved
ลบ&ทําลาย
> Data deleted
Data Life Cycle ≠ SDLC
Ref: DAMA DMBOK II
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)

16. การบริหารจัดการข%อมูล (Data Management)
วงจรชีวิตของขCอมูล (Data Life Cycle) : OIC Guideline
16
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)
• การบริหารจัดการข+อมูลตลอดทั้งวงจรชีวิตของข+อมูล โดยครอบคลุมในเรื่อง การบริหารจัดการคําอธิบายชุดข<อมูล (Metadata Management) การบริหารจัดการคุณภาพข<อมูล (Data
Quality Management) การรักษาความมั่นคงปลอดภัยของข<อมูล (Data Security) และการรักษาความเปYนส[วนบุคคลของข<อมูล (Data Privacy)
• วงจรชีวิตของข+อมูล หมายถึง ลำดับขั้นตอนของข<อมูลตั้งแต[การเริ่มสร<างข<อมูลไปจนถึงการทำลาย ข<อมูล ประกอบด<วย 5 ขั้นตอน ดังนี้
• การสร+างข+อมูล (Create) คือ การสร<างข<อมูลขึ้นมาใหม[ โดยวิธีการบันทึกด<วยบุคคลหรือบันทึกอัตโนมัติ ด<วยอุปกรณgอิเล็กทรอนิกสg ทั้งนี้ กระบวนการสร<างข<อมูลให<รวมถึงการ
ซื้อ หรือการรับข<อมูลจากภายนอกด<วย
• การจัดเก็บข+อมูล (Store) คือ การจัดเก็บข<อมูลที่เกิดจากกระบวนการสร<างหรือจัดเก็บข<อมูลให<มีระเบียบ ง[ายต[อการใช<งาน ไม[สูญหายหรือถูกทำลาย และให<ผู<ใช<งานสามารถ
ประมวลผลข<อมูลต[างๆ ตามความต<องการได<อย[างรวดเร็ว โดยสามารถดำเนินการได<ทั้งในรูปแบบการลงแฟnมข<อมูล (File) หรือระบบการจัดการฐานข<อมูล (Database
Management System - DBMS) และรวมถึงการจัดเก็บข<อมูลถาวร เพื่อทำสำเนาสำหรับการเก็บรักษา โดยข<อมูลนั้นไม[มีการลบ ปรับปรุง แก<ไข และสามารถนำกลับไปใช<งาน
ใหม[ได< เมื่อต<องการใช<งาน
• การใช+ข+อมูล (Use) คือ การกระทำใดๆ ที่นําข<อมูลที่ได<จากกระบวนการจัดเก็บมาประมวลผล หรือดำเนินการให<เกิดประโยชนgตามวัตถุประสงคgการนำข<อมูลมา เช[น การโอน
ข<อมูล การวิเคราะหgข<อมูล การจัดทำรายงาน การเปลี่ยนรูปแบบการจัดเก็บข<อมูล เปYนต<น ทั้งนี้ กระบวนการใช<ข<อมูล ให<รวมถึงการสำรอง (Back up) หรือสำเนาข<อมูลด<วย
• การเผยแพร8ข+อมูล (Publish) คือ การแบ[งปwน การกระจาย และการแลกเปลี่ยนข<อมูลทั้งภายในและ ภายนอกองคgกร ทั้งนี้ ให<รวมถึงการดำเนินการกำหนดเงื่อนไขของการนำ
ข<อมูลไปใช< และการควบคุมการเข<าถึงข<อมูล (Access Control) ก[อนดำเนินการเผยแพร[ข<อมูล
• การทำลายข+อมูล (Destroy) คือ การดำเนินการทำลายข<อมูลที่เกินกว[าระยะเวลาจัดเก็บที่กําหนด
เพื่อให<เห็นภาพความเชื่อมโยงของข<อมูลทั่วทั้งองคgกรที่ครอบคลุมตามวงจรชีวิตของข<อมูล รวมทั้ง การจัดเก็บข<อมูลสำคัญ และการเข<าถึงหรือใช<งานข<อมูลต[างๆ ภายในองคgกร
โดยบริษัทสามารถพิจารณาจัดทำแผนผังการไหลของข<อมูล (Data Flow Diagram) ภายในบริษัท เพื่อประโยชนgในการบริหารจัดการข<อมูลให< เหมาะสมกับความเสี่ยงและลำดับชั้น
ความสำคัญของข<อมูล

17. การบริหารจัดการข%อมูล (Data Management)
การบริหารจัดการคำอธิบายชุดขCอมูล (Metadata Management)
17
Metadata คือ คำอธิบายลักษณะ/รายละเอียดของชุดข&อมูล หรือ ข&อมูลของข&อมูล
โดย Metadata ของชุดข&อมูล จะช4วยให&เห็นว4า ใครเปEนเจ&าของข&อมูล มีที่มาและ
ความสำคัญของข&อมูล ความถี่ในการเปลี่ยนแปลงข&อมูล วิธีการเข&าถึงข&อมูล หรือ
ระดับชั้นความลับของข&อมูล เปEนอย4างไร
Metadata จําเป็นต้องมีการกําหนด Standard และ Process
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)

18. การบริหารจัดการข%อมูล (Data Management)
การบริหารจัดการคำอธิบายชุดขCอมูล (Metadata Management) : OIC Guideline
18
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)
• กําหนดมาตรฐานและระเบียบวิธีปฏิบัติการบริหารจัดการคําอธิบายชุดข+อมูล โดยให<ครอบคลุมถึง บทบาทหน<าที่ของบุคลากรหรือหน[วยงานที่รับผิดชอบ กระบวนการจัดทำคำอธิบาย
ชุดข<อมูล การควบคุมดูแล และสอบทานคำอธิบายชุดข<อมูล
• จัดทำคําอธิบายชุดข+อมูลที่สำคัญของบริษัท โดยการจัดทำคําอธิบายชุดข<อมูลควรประกอบด<วย คําอธิบายชุดข<อมูล 2 ประเภทอย[างน<อยดังต[อไปนี้
o คําอธิบายข+อมูลเชิงธุรกิจ (Business Metadata) ครอบคลุมอย[างน<อย ชื่อชุดข<อมูล คําอธิบายอย[างย[อ ผู<ทำหน<าที่อนุมัติ และควบคุมดูแลข<อมูล วันที่เริ่มต<นใช<งาน วันที่ทำ
การเปลี่ยนแปลงข<อมูลล[าสุด แหล[งที่มาของข<อมูล
o คําอธิบายข+อมูลเชิงเทคนิค (Technical Metadata) ครอบคลุมอย[างน<อย ชื่อตารางข<อมูลในฐานข<อมูล ชื่อฟ}ลดgข<อมูลในตารางข<อมูล ประเภทข<อมูล ความกว<างของฟ}ลดg
ข<อมูล คียgข<อมูล รวมถึงการสำรองข<อมูล และกู<คืนข<อมูล
การจัดทำคำอธิบายชุดข<อมูลที่สำคัญของบริษัท ควรพิจารณาให<ครอบคลุมชุดข+อมูลสำคัญที่จำเปYนต<องมีคุณภาพ (Critical Data Element) ในการดำเนินธุรกิจ โดยอย8าง
น+อยควรพิจารณาข+อมูลที่เกี่ยวข+องกับการดำเนินงาน ด+านการรับประกันภัย (Underwriting) งานด+านการบริหารจัดการค8าสินไหมทดแทน (Claims Management) และ งานที่
เกี่ยวข+องกับข+อมูลลูกค+าหรือผู+เอาประกันภัย เนื่องจากข<อมูลดังกล[าวมีความสำคัญในการให<บริการผู<เอาประกันภัย การพิจารณารับประกันภัย รวมถึงการปฏิบัติตามภาระผูกพันที่มีต[อผู<
เอาประกันภัย
• กําหนดให+มีกระบวนการควบคุมการเข<าถึง การกำหนดสิทธิ์ และการปรับปรุงแก<ไขคําอธิบายชุดข<อมูล
• กําหนดให+มีการปรับปรุงรายการคําอธิบายชุดข+อมูลให+เป^นปZจจุบัน และควรทำการทบทวนและตรวจสอบคําอธิบายชุดข<อมูลอย[างน<อยป•ละ 1 ครั้ง
โดยบริษัทสามารถพิจารณาให<คณะทำงานที่ปฎิบัติหน<าที่ด<านการบริกรข<อมูล (Data Steward) เปYนผู<รับผิดชอบหลักในการดำเนินการบริหารจัดการคําอธิบายชุดข<อมูล
ร[วมกับหน[วยงานอื่นๆ ที่เกี่ยวข<อง

19. การบริหารจัดการข%อมูล (Data Management)
ตัวอยGางขCอมูลสำคัญในธุรกิจประกันภัย : OIC Guideline
19
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)

20. การบริหารจัดการข%อมูล (Data Management)
ตัวอยGางแนวทางการกำหนดขCอมูลสำคัญ (Critical Data)
20
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)
กำหนดจาก Critical / Executive Report กำหนดจาก Stakeholder Requirements
Ref: PWC, DAMA DMBOK II

21. การบริหารจัดการข%อมูล (Data Management)
การบริหารจัดการคุณภาพขCอมูล (Data Quality Management)
21
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)
Ref: DAMA DMBOK II

22. การบริหารจัดการข%อมูล (Data Management)
การบริหารจัดการคุณภาพขCอมูล (Data Quality Management) : OIC Guideline
22
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)
1. การกําหนดหลักเกณฑ=คุณภาพของข+อมูล
o กําหนดข+อมูลสำคัญที่จำเป^นต+องมีคุณภาพ (Critical Data Element) ในแต8ละชุดข+อมูล รวมทั้งกำหนดระดับคุณภาพข<อมูลในแต[ละชุด
ข<อมูล เพื่อใช<ในการประเมิน โดยอาจพิจารณาจากคุณลักษณะข<อมูล ตามที่บริษัทกำหนดไว<
o กําหนดให+มีกระบวนการควบคุมการเปลี่ยนแปลงหลักเกณฑ=คุณภาพข+อมูล รวมถึงกำหนดบุคลากรหรือหน[วยงานที่รับผิดชอบ
บริษัทอาจพิจารณาให<เจ<าของข<อมูล
(Data Owners) เปYนผู<รับผิดชอบหลัก
ในการดำเนินการดังกล[าว
โดยมีคณะทำงานที่ปฏิบัติหน<าที่ด<าน
การบริกรข<อมูล (Data Steward) เปYน
ผู<ให<คำปรึกษาและแนะนำ เพื่อให<
สามารถดำเนินการดังกล[าวได<อย[างมี
ประสิทธิภาพ รวมทั้งกำหนด
คุณลักษณะข<อมูลที่มีคุณภาพที่ ชัดเจน
4. การควบคุมและติดตามให+ข+อมูลมีคุณภาพ (Measure and Monitor Data Quality)
o มีกระบวนการควบคุมและติดตามผลการประเมินคุณภาพข+อมูลอย8างต8อเนื่อง รวมถึงควรมีการสอบทานคุณภาพข<อมูลให<เปYนไปตามหลักเกณฑgที่กำหนดอย[างสม่ำเสมอ
o กำหนดให+มีขั้นตอนในการรายงานไปยังบุคลากรหรือหน8วยงานที่เกี่ยวข+อง เมื่อตรวจพบชุดข<อมูลที่มีคุณภาพต่ำกว[าที่เกณฑgกำหนดไว<
o จัดทำรายงานผลการติดตามคุณภาพข+อมูล สรุปความคืบหน<าการแก<ไขปรับปรุงชุดข<อมูล รวมทั้งรายงานประเด็นปwญหาหรือความเส[ียงที่พบ ภาพรวมปwญหาและสาเหตุที่ทำให<ชุด
ข<อมูลไม[มีคุณภาพ นําเสนอ ต[อคณะกรรมการที่ทำหน<าที่กำกับดูแลข<อมูล หรือคณะกรรมการชุดย[อยที่ได<รับมอบหมายอย[างสม่ำเสมอ
3. การปรับปรุงคุณภาพข+อมูล (Data Quality Improvement)
o มีกระบวนการปรับปรุงข+อมูล สำหรับชุดข<อมูลที่ไม[ผ[านเกณฑgการประเมินคุณภาพตามที่กำหนด
o วิเคราะห=สาเหตุ (Root Cause Analysis) เพื่อปnองกันไม[ให<เกิดชุดข<อมูลที่ไม[มีคุณภาพในลักษณะเดียวกันอีกในอนาคต
o มีกระบวนการควบคุมการปรับปรุงคุณภาพข+อมูลที่รัดกุม เช[น กระบวนการบริหารจัดการ การเปลี่ยนแปลงการจัดเก็บหลักฐานสำหรับก[อน
และหลังการแก<ไขข<อมูล เปYนต<น รวมถึงกำหนดบุคลากร หรือหน[วยงานท[ีรับผิดชอบในเรื่องดังกล[าว
2. การประเมินคุณภาพของข+อมูล (Data Quality Assessment)
o กําหนดแนวทางในการประเมินคุณภาพข+อมูล เพื่อติดตามคุณภาพข<อมูลอย[างต[อเนื่อง รวมถึงควรกำหนดบุคลากรหรือหน[วยงานท[ี
รับผิดชอบในเรื่องดังกล[าว
o จัดทำผลการประเมินคุณภาพข+อมูล เพื่อใช<ติดตามคุณภาพข<อมูลอย[างต[อเนื่อง และรวบรวมชุดข<อมูลที่ไม[เปYนไปตามเกณฑgคุณภาพที่กำหนด
โดยควรรายงานไปยังบุคลากรหรือหน[วยงานที่เกี่ยวข<อง เพื่อดำเนินการแก<ไขให<ถูกต<องตามเกณฑgคุณภาพที่กําหนด

23. การบริหารจัดการข%อมูล (Data Management)
Data Risk | Data Security | Data Privacy : OIC Guideline
23
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)
• กําหนดเกณฑgในการประเมินความเสี่ยงจากปwจจัยหรือเหตุการณgซึ่งอาจส[งผลกระทบต[อคุณภาพข<อมูล ได<แก[ ความถูกต<อง (Accuracy) ความครบถ<วน
(Completeness) ความสอดคล<องกัน (Consistency) ความเปYนปwจจุบัน (Timeliness) ตรงกับความต<องการของผู<ใช< (Relevancy) และความพร<อมใช<งาน
(Availability) ที่อาจเกิดขึ้นในการดําเนินงานที่เกี่ยวข<องกับการกำกับดูแลข<อมูล และการบริหารจัดการข<อมูล
• กําหนดแนวทางและมาตรการในการควบคุมความเสี่ยงที่อาจเกิดขึ้นให<สอดคล<องกับผลการประเมินความเสี่ยงด<านข<อมูล และส[งผลต[อคุณภาพของข<อมูล
• การติดตามและรายงานผลการบริหารความเสี่ยงด<านข<อมูล ให<คณะกรรมการที่ได<รับมอบหมายทราบภายในระยะเวลาที่เหมาะสม รวมทั้งรายงานประเด็น
ปwญหาเหตุการณgความเสียหาย เหตุการณgความเสี่ยง ที่ส[งผลกระทบต[อคุณภาพข<อมูลให<ทราบโดยไม[ชักช<า
• ให<บริษัทดำเนินการตามที่ประกาศคณะกรรมการกำกับและส[งเสริมการประกอบธุรกิจประกันภัย เรื่อง หลักเกณฑgการกำกับดูแลและบริหารจัดการความเสี่ยง
ด<านเทคโนโลยี สารสนเทศของบริษัทประกันชีวิต/ประกันวินาศภัย พ.ศ.2563
• แนวปฏิบัติเร[ืองการกำกับดูแลและบริหาร จัดการความเส[ียงด<านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต/ประกันวินาศภัย พ.ศ. 2564
• พิจารณาให<ครอบคลุมตามหลักการ CIA ซึ่งประกอบด<วย การรักษาความลับ (Confidentiality) การรักษาความ ครบถ<วน (Integrity) และการรักษาสภาพ
พร<อมใช<งาน (Availability)
o จัดให<มีนโยบายการรักษาความมั่นคงปลอดภัยของข<อมูล (Data Security Policy)
o กําหนดมาตรฐาน หรือระเบียบวิธีด<านการรักษาความมั่นคงปลอดภัยของข<อมูล
• พระราชบัญญัติคุ<มครองข<อมูลส[วนบุคคล พ.ศ. 2562
• ประกาศสํานักงาน คปภ. เร[ือง แนวปฏิบัติในการ คุ<มครองข<อมูลส[วนบุคคลของลูกค<าสําหรับธุรกิจประชีวิต/วินาศภัย พ.ศ. 2564
ความเสี่ยงข+อมูล
(Data Risk)
ความปลอดภัยข+อมูล
(Data Security)
ความเป^นส8วนบุคคลของข+อมูล
(Data Privacy)
ทั้งนี้บริษัทอาจพิจารณาให<เจ<าของข<อมูล (Data Owners) เปYนผู<รับผิดชอบหลักในการดําเนินการดังกล[าว โดยมีหน[วยงานที่ปฏิบัติหน<าที่ในการ
บริหารความเสี่ยงเปYนผู<ให<คําปรึกษาและแนะนํา เพื่อให<สามารถดำเนินการ ดังกล[าวได<อย[างมีประสิทธิภาพ

24. การบริหารจัดการข%อมูล (Data Management)
Data Risk | Data Security | Data Privacy
24
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)
Ref: DAMA DMBOK II
Stakeholder concerns
Government regulation
Legitimate Business Concerns
Necessary Business Need
PII, Information Sensitivity, DB roles, User group,
Accountability, Data Breach, Change
§ Data classifications
§ Data inventory
§ Data regulatory in Metadata
§ Data risk
§ Data access controls
§ Access history
§ Audit reports
§ Device and perimeter
§ Tools used to manage
§ Data encryption std. and mechanisms
§ Access guidelines to external vendors
§ Data transmission protocols
§ Documentation requirement
§ Remote access std.
§ Metrics and Measurements
1. Requirements
2. Policy & Procedure
3. Standards &
Controls

25. Regulation Area Affected Policy | Procedure Links
แนวปฏิบัติการกํากับ
ดูแลข ้อมูล (BOT)
• กําหนดเจ ้าของข ้อมูล (Information Owner)
• กําหนดการจัดชัQนความลับข ้อมูล (Information classification)
• กําหนดแนวทางการรักษาความมัXนคงปลอดภัยข ้อมูลสอดคล ้องตามชัQนความลับ ทัQงบนอุปกรณ์ ขณะรับส่ง และบนระบบงาน สืXอบันทึก
• กําหนดวิธีปฏิบัติการทําลายข ้อมูล (information disposal)
• กําหนดวิธีปฏิบัติการจัดการการเข ้ารหัสข ้อมูล ตามความสําคัญของข ้อมูล (Cryptography)
• กําหนดให ้มีการเข ้ารหัสและช่องทางทีXใช ้รับส่งข ้อมูลสําคัญกับภายนอก
• นโยบายด ้านความมัXนคงปลอดภัย
สารสนเทศ, 256X
• แนวปฏิบัติ
• นโยบายการจัดชัQนความลับ, 256X
• แนวปฏิบัติตามนโยบายการจัดชัQน
ความลับ, 256X
• มาตรฐานการปฏิบัติงานและขัQนตอน
ปฏิบัติงาน เรืXองการบริหารจัดการ
การเปลีXยนแปลงเทคโนโลยี
สารสนเทศ, 256X
- เกณฑ์วิเคราะห์ ไม่พบด ้านข ้อมูล
- มีด ้านข ้อมูลและให ้Custodian
วิเคราะห์และพิจารณาความเสีXยงทีX
เกีXยวกับข ้อมูล
• ระเบียบเรืXองการเก็บรักษาและ
ทําลายเอกสาร, 256X
• นโยบายคุ้มครองข ้อมูลส่วนบุคคล
• แนวปฏิบัติด ้านคุ้มครองข ้อมูลส่วน
บุคคล
คู่มือการประเมินผลการ
ดําเนินงานรัฐวิสาหกิจ
(SEPO)
• มาตรการในการรักษาความมัXนคงปลอดภัยและความเป็นส่วนบุคคล
• การจัดชัQนความลับของข ้อมูล (Information Classification)
• กําหนดแนวทางการรักษาความมัXนคงปลอดภัยข ้อมูลทีXสอดคล ้องตามชัQนความลับ
• กําหนดมาตรฐานและวิธีปฏิบัติในการทําลายข ้อมูล ให ้สอดคล ้องกับชัQนความลับ
• การบริหารจัดการการเข ้ารหัสข ้อมูล (Cryptography)
• การควบคุมการเข ้าถึงข ้อมูล ตามสิทธิทีXกําหนด (Access Control)
• วิธีการสํารองข ้อมูล (Data backup)
• การรักษาความมัXนคงปลอดภัยของข ้อมูลทีXมีการรับส่งผ่านเครือข่ายสืXอสาร (Communication Security)
• การบริหารจัดการผู้ให ้บริการภายนอก ทีXสามารถเข ้าถึงข ้อมูลสําคัญขององค์กรได ้ (Third Party Management)
กรอบกํากับดูแลข ้อมูล
(DGA)
• นโยบายและแนวปฏิบัติด ้านความมัXนคงปลอดภัยและความเป็นส่วนบุคคลของข ้อมูล (Data Security & Privacy Policy and Guideline)
• มาตรฐานการจัดชัQนความลับข ้อมูล (Data Classification Standard)
พ.ร.บ. คุ้มครองข ้อมูล
ส่วนบุคคล พ.ศ. 2562
• นโยบายและวิธีปฏิบัติการคุ้มครองข ้อมูลส่วนบุคคล
• วิธีปฏิบัติต่อคําขอของเจ ้าของข ้อมูล (Data Subject Request Procedure)
• วิธีปฏิบัติการแจ ้งเหตุการณ์ละเมิดข ้อมูลส่วนบุคคล (Data Breach Procedure)
• มาตรฐานแบบฟอร์ม/หนังสือสําหรับ Consent / Contract / Agreement
• บันทึกรายการ (Record of Processing Activities: ROPA)
พ.ร.บ. การรักษาความ
มัXนคงปลอดภัยไซเบอร์
พ.ศ. 2562
• นโยบายความมัXนคงปลอดภัยข ้อมูล ครอบคลุม การเข ้าถึงข ้อมูลอ่อนไหว
• การเข ้ารหัสลับข ้อมูล
• การสํารองข ้อมูล
• การตรวจสอบการเข ้าถึงข ้อมูลโดยไม่ได ้รับอนุญาต
• การแจ ้งเตือนเจ ้าของข ้อมูล กรณีเกิดเหตุ
การบริหารจัดการข%อมูล (Data Management)
ตัวอยGาง Regulation Requirements : Data Security & Privacy
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND) 25

26. การบริหารจัดการข%อมูล (Data Management)
ตัวอยGาง แผนผังระบบงานเพื่อประกอบการพิจารณาจัดทำ Data Management Diagram
26
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)

27. แนวทางการประเมินระดับการกำกับดูแลข9อมูล
(Data Governance Maturity Assessment)
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND) 27

28. แนวทางการประเมินระดับการกำกับดูแลข%อมูล (Data Governance Maturity Assessment)
28
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)
ปwจจัยที่สามารถนำมาใช<เปYนเกณฑgในการวัดระดับการดำเนินการกำกับดูแลข<อมูล 4 ด<าน
• การดำเนินงาน (Current) โดยประเมินจากสถานะปwจจุบันของการดำเนินงานด<าน
การกำกับดูแลและบริหารจัดการ รวมถึงความมีประสิทธิภาพและประสิทธิผลของ
การดำเนินงานโดยมุ[งหวังให<เปYนไปตามที่องคgกรตั้งเปnาไว<
• เครื่องมือ (Tool & Technology) การดำเนินงานด<านการกำกับดูแลและบริหาร
จัดการข<อมูลได<รับการจัดสรรทรัพยากรที่เพียงพอ มีการกำหนดการเข<าถึงและการใช<
งานเครื่องมือที่เหมาะสม เพื่อให<ได<ผลลัพธgที่มีประสิทธิภาพ รวมถึงมีการวางแผนการ
นําเครื่องมือและเทคโนโลยีมาใช<เพื่อรองรับความสามารถในด<านการกำกับดูแลและ
บริหารจัดการข<อมูลในอนาคต
• มาตรฐาน และระเบียบวิธีปฏิบัติ (Policy & Procedure & Standard) การ
ดำเนินงานที่เกี่ยวข<องในด<านการกำกับดูแลและบริหารจัดการข<อมูลมี มาตรฐานและ
ระเบียบวิธีปฏิบัติเพื่อเปYนแนวทางให<แก[บุคลากรที่เกี่ยวข<องรวมทั้งการนำปฏิบัติจริง
ได<อย[างมีประสิทธิผล
• บุคลากร (People) องคgกรมีบุคลากรเพื่อดำเนินงานด<านการกำกับดูแลและบริหาร
จัดการข<อมูล รวมทั้งมีความรู<และความเข<าใจที่สามารถดำเนินงานดังกล[าวได<อย[างมี
ประสิทธิภาพ และได<รับการฝ‘กอบรมให<ความรู<ที่เกี่ยวข<องกับการดำเนินการดังกล[าว
อย[างเพียงพอเหมาะสม
ตัวอยGางแนวทางการประเมินระดับของการกำกับดูแลขCอมูล

29. แนวทางการประเมินระดับการกำกับดูแลข%อมูล (Data Governance Maturity Assessment)
ตัวอยGางเกณฑ+ในการประเมินระดับของการกำกับดูแลขCอมูลในปzจจุบันกับเป{าหมายที่องค+กรกำหนดไวC
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND) 29

30. แนวทางการประเมินระดับการกำกับดูแลข%อมูล (Data Governance Maturity Assessment)
ตัวอยGางการวัดการดำเนินการของการกำกับดูแลขCอมูลในภาครัฐ
การประเมินตาม
กรอบการกํากับ
ดูแลข ้อมูลภาครัฐ
โครงสร ้าง
กระบวนกา
ร
นิยามและ
กฏเกณฑ์
ความมัPนคง
ปลอดภัย
ข ้อมูล
การรักษา
ความเป็นส่วน
บุคคล
คุณภาพ
ข ้อมูล
เชืPอมโยง
เป็นประโยชน์
และข ้อมูล
เปิด
เทคโนโลยี
และ
เครื@องมือ
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND) 30
Ref: DGA

31. แนวทางการประเมินระดับการกำกับดูแลข%อมูล (Data Governance Maturity Assessment)
ตัวอยGางการวัดการดำเนินการของการกำกับดูแลขCอมูลในภาครัฐ
จัดทําตามวงจรชีวิตของข้อมูล
Data Life Cycle
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND) 31
Ref: DGA

32. แนวทางการประเมินระดับการกำกับดูแลข%อมูล (Data Governance Maturity Assessment)
ตัวอยGางการวัดการดำเนินการของการบริหารจัดการขCอมูล CMMI
จัดทําตามวงจรชีวิตของข้อมูล
Data Life Cycle
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND) 32
Ref: CMMI

33. แนวทางการประเมินระดับการกำกับดูแลข%อมูล (Data Governance Maturity Assessment)
สรุปขCอกำหนดเบื้องตCนในการจัดทำการกำกับดูแลขCอมูล
33
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)
1. มีการประเมินระดับการกำกับดูแลข+อมูล (DG Assessment)
2. มีการพัฒนาแนวทางการบริหารจัดการข+อมูล (Plan / Roadmap)
3. มีการกำหนดโครงสร+างองค=กรในการกำกับดูแลข+อมูล (DG Structure)
4. มีการกำหนดหน+าที่ความรับผิดชอบในกระบวนการกับดูแลข+อมูลอย8างชัดเจนเป^นลายลักษณ=อักษร (Responsibility)
5. มีการจัดทำนโยบายการกำกับดูแลข+อมูล (DG Policy)
6. มีการกำหนดวิธีปฏิบัติในการกำกับดูแล (DG Procedure / DG Process) ครอบคลุมในเรื่องการบริหารจัดการข+อมูล ดังนี้
• การบริหารจัดการวงจรชีวิตของข+อมูล ครอบคลุมการสร+าง จัดเก็บ ใช+ เป’ดเผยเผยแพร8 และทำลายข+อมูล
• การบริหารจัดการคำอธิบายชุดข+อมูล ครอบคลุมกระบวนการการบริหารจัดการชุดข+อมูล มาตรฐานคำอธิบายชุดข+อมูลทั้งเชิงธุรกิจและเชิงเทคนิค แนวทางการกำหนดชุดข+อมูลที่สำคัญ
• การบริหารจัดการคุณภาพของข+อมูล ครอบคลุมกระบวนการกำหนดหลักเกณฑ=คุณภาพข+อมูล แนวทางการกำหนดฟ’ลด=ข+อมูลที่สำคัญ (CDE) การประเมินคุณภาพข+อมูล การปรับปรุง
คุณภาพข+อมูล และการควบคุมติดตาม
• การบริหารจัดการความเสี่ยงด+านข+อมูล ครอบคลุมคุณภาพข+อมูล การบริหารจัดการข+อมูล และความมั่นคงปลอดภัยข+อมูล ทั้งมีการกำหนดเกณฑ=ประเมินความเสี่ยง แนวทางและ
มาตรการควบคุม ติดตามและรายงานผล
• การรักษาความมั่นคงปลอดภัยของข+อมูล ตามประกาศสำนักงาน คปภ. ครอบคลุมกฎหมายที่เกี่ยวข+อง หน+าที่ความรับผิดชอบ มาตรฐานชั้นความลับ การกำหนดสิทธิ์ การควบคุมดูแล
ติดตาม ตรวจสอบ
• การรักษาความเป^นส8วนบุคคลของข+อมูล ตาม PDPA และประกาศสำนักงาน คปภ.
7. มีการสื่อสารนโยบายและวิธีปฏิบัติอย8างทั่วถึง (Communication)

34. ตัวอยhางกิจกรรมที่เกี่ยวข%องกับการกำกับดูแลข%อมูล
34
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)

35. ตัวอยhางกิจกรรมที่เกี่ยวข%องกับการกำกับดูแลข%อมูล
35
กรอบการกํากับดูแลข้อมูลขององค์กร
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)

36. ตัวอยhางกิจกรรมที่เกี่ยวข%องกับการกำกับดูแลข%อมูล
36
Data Classification
Metadata
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)

37. 37
All Right Reserved. DATA MANAGEMENT ASSOCIATION (THAILAND)
ขอบคุณครับ