สรุปมาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ พ.ศ. 2568

1. เหตุผลของประกาศ : 

เนื่องจากเว็บไซต์เป็นช่องทางสำคัญของหน่วยงาน และเป็นเป้าหมายหลักของภัยคุกคามทางไซเบอร์ จากสถิติปี 2566-2567 พบว่าภัยคุกคามกว่า 44% เกิดขึ้นกับเว็บไซต์ (เช่น Web Defacement, Gambling, Fake Website) การโจมตีเหล่านี้ส่งผลกระทบต่อข้อมูล การให้บริการ สร้างความเสียหายต่อชื่อเสียง และอาจกระทบต่อความมั่นคงของประเทศ จึงจำเป็นต้องมีมาตรฐานขั้นต่ำเพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์มีประสิทธิภาพ

 

2. หน่วยงานที่ต้องปฏิบัติตาม :

บังคับ : 

  • หน่วยงานของรัฐ
  • หน่วยงานควบคุม หรือกำกับดูแล
  • หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII)

ส่งเสริม และสนับสนุนให้นำไปปรับใช้ : 

  • หน่วยงานเอกชน

 

3. ขอบเขตของมาตรฐานฉบับนี้ :

มาตรฐานนี้ครอบคลุมเว็บไซต์ที่เชื่อมต่ออินเทอร์เน็ต, เว็บไซต์ที่มีข้อมูลสำคัญ, เว็บไซต์บริการประชาชน และเว็บไซต์ที่มีธุรกรรมทางอิเล็กทรอนิกส์ โดยใช้ได้กับเว็บไซต์ทุกรูปแบบไม่ว่าจะเป็นแบบ On-Premises (ติดตั้งในองค์กร), Cloud Service (บนคลาวด์) หรือ Web Hosting (ใช้บริการเว็บโฮสติ้ง)

องค์ประกอบที่อยู่ในขอบเขตมาตรฐาน :

  • การกำกับดูแลด้านความมั่นคงปลอดภัย (Website Security Governance): ครอบคลุมการบริหารจัดการ, นโยบาย, มาตรการควบคุมเชิงบริหาร และการควบคุมการเข้าถึง
  • การรักษาความมั่นคงปลอดภัย (Website Security) เน้น 2 ส่วนหลักคือ
    • เครื่องบริการเว็บ (Web Server) ประกอบด้วย เว็บไซต์ (Website), ซอฟต์แวร์ให้บริการเว็บ (Web Server Software), เว็บแอปพลิเคชัน (Web Application), ระบบจัดการเนื้อหา (CMS), ระบบปฏิบัติการ (Operating System) และ SSL/TLS
    • เครื่องบริการฐานข้อมูล (Database Server) ประกอบด้วย ระบบฐานข้อมูล (Database System), ระบบปฏิบัติการ (Operating System), และซอฟต์แวร์จัดการฐานข้อมูล (DBMS Software)

องค์ประกอบที่อยู่นอกเหนือขอบเขต (แต่แนะนำให้พิจารณา) :

  • เป็นส่วนของสภาพแวดล้อมที่เกี่ยวข้อง เช่น Firewall, Web Application Firewall (WAF), DNS Server, DNSSEC, EDR/XDR, และมาตรการควบคุมเชิงกายภาพ ซึ่งเป็นองค์ประกอบที่หน่วยงานพิจารณาดำเนินการเพื่อให้เว็บไซต์มีความมั่นคงปลอดภัยจากภัยคุกคามทางไซเบอร์

 

4. สิ่งที่หน่วยงานต้องดำเนินการ :

หน่วยงานที่อยู่ในขอบเขตบังคับใช้

ต้องดำเนินการอย่างน้อยปีละ 1 ครั้ง ดังนี้ :

  • กำหนดคุณลักษณะ และประเมินผลกระทบ
    • กำหนดคุณลักษณะความมั่นคงปลอดภัยให้แก่ข้อมูล และระบบของเว็บไซต์
    • ประเมิน และจัดระดับผลกระทบในแต่ละด้าน (เช่น ต่ำ, กลาง, สูง)
  • ประเมินตนเอง (Self-Assessment)
    • ตรวจสอบการดำเนินงานของตนเองเทียบกับข้อกำหนดในมาตรฐาน โดยใช้ "แบบฟอร์ม ค๑ แบบตรวจรายการเพื่อตรวจสอบสถานะความมั่นคงปลอดภัยสำหรับเว็บไซต์"
  • รายงานผลการประเมิน (ตามระดับผลกระทบ)
    • กรณีผลกระทบระดับต่ำหรือระดับกลาง : จัดทำรายงานตามแบบฟอร์ม ค๑ พร้อมหลักฐาน เสนอต่อผู้บริหารสูงสุดของหน่วยงาน และเก็บไว้เพื่อให้ สกมช. ตรวจสอบ
    • กรณีผลกระทบระดับสูง : จัดทำรายงานตามแบบฟอร์ม ค๑ พร้อมหลักฐาน เสนอต่อผู้บริหารสูงสุด, หน่วยงานควบคุมหรือกำกับดูแล และต้องส่งสำเนาให้ สกมช. ด้วย
  • กรณีที่ยังไม่สอดคล้องกับมาตรฐาน
    • หากผลการประเมินพบว่ายังดำเนินการไม่ครบถ้วน หรือไม่สอดคล้องกับมาตรฐาน ให้จัดทำ "แบบฟอร์ม ค๒ แบบรายงานรายการที่ยังต้องปรับปรุง"
    • แจ้งแบบฟอร์ม ค๒ ต่อผู้บริหารสูงสุด เพื่อใช้อำนาจสั่งการให้ผู้เกี่ยวข้องดำเนินการปรับปรุงแก้ไขให้สอดคล้องกับมาตรฐานต่อไป

 

5. โครงสร้างของเอกสารมาตรฐาน : 

เอกสารมาตรฐานฉบับนี้มีโครงสร้างหลักอ้างอิงจาก NIST Cybersecurity Framework (CSF 2.0) และประกาศคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ประกอบด้วย

  • การกำกับดูแลด้านความมั่นคงปลอดภัย (Website Security Governance) ว่าด้วยการบริหารจัดการ และนโยบาย (หัวข้อ 5 ในประกาศ)
    • การสำรวจบริบทของหน่วยงาน (Organization Context)
    • นโยบายด้านความมั่นคงปลอดภัยสำหรับเว็บไซต์ (Website Security Policies)
    • กลยุทธการจัดการความเสี่ยง (Risk Management Strategy)
      • ความเสี่ยงที่ยอมรับได้ (Risk Appetite)
      • ระดับความเสี่ยงที่ยอมให้เบี่ยงเบนได้ (Risk Tolerance)
    • บทบาท และความรับผิดชอบด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ (Information Security Roles and Responsibilities)
    • การวางแผนกำหนดความต้องการด้านความมั่นคงปลอดภัยของเว็บไซต์
    • การกำหนดแนวทางด้านความมั่นคงปลอดภัยสำหรับเว็บไซต์
      • การรักษาความลับ (Confidentiality)
      • การรักษาความครบถ้วนสมบูรณ์ (Integrity)
      • การเตรียมความพร้อมใช้งาน (Availability)
      • การสำรองข้อมูล (Backup)
      • การจัดการข้อมูลจราจรทางคอมพิวเตอร์ (Log Management)
  • การรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ (Website Security and Operation) ว่าด้วยการปฏิบัติการ แบ่งเป็น 5 ด้าน (หัวข้อ 6 ในประกาศ)
    • การระบุความเสี่ยงที่จะเกิดขึ้นกับเว็บไซต์ (Website Security Identification)
      • การจัดการทรัพย์สิน (Asset Management)
      • การประเมินความเสี่ยง (Risk Assessment)
      • การประเมินช่องโหว่ และการทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing)
    • การป้องกันความเสี่ยงที่จะเกิดขึ้นกับเว็บไซต์ (Website Security Protection)
      • การพัฒนาโปรแกรมประยุกต์บนเว็บอย่างมั่นคงปลอดภัย
        • DevSecOps
      • การพัฒนาแอปพลิเคชันบนเว็บไซต์โดยพิจารณาปัจจัยเสี่ยงด้านความมั่นคงปลอดภัยของเว็บไซต์ที่พบได้บ่อย
        • OWASP
      • การออกแบบสถาปัตยกรรมเว็บไซต์อย่างมั่นคงปลอดภัย
        • Firewall
        • Web Application Firewall
        • IPS/IDS
        • XDR
        • SIEM
        • SOAR
      • การควบคุมการเข้าถึง (Access Control)
        • การกำหนดบทบาท และสิทธิ์การใช้งาน
        • การกำหนด และรักษารหัสผ่าน
        • การตั้งค่ารหัสผ่านใหม่
      • การพิสูจน์ตัวตนแบบหลายปัจจัย (Multi-Factor Authentication: MFA)
      • การตั้งค่าเพื่อความมั่นคงปลอดภัยพื้นฐาน
        • Operating System
        • Web Server Software
        • CMS
        • Database
    • การตรวจสอบ และเฝ้าระวังภัยคุกคามทางไซเบอร์สำหรับเว็บไซต์ (Website Security Detection)
    • การเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์สำหรับเว็บไซต์ (Website Incident Response)
    • การรักษา และฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์สำหรับเว็บไซต์ (Website Recovery)

 

6. การดำเนินการตามข้อกำหนดขั้นต่ำ และแนวทางในตรวจสอบ และปฏิบัติให้เป็นไปตามมาตรฐาน :

  • แนวทางในการดำเนินการตามข้อกำหนดขั้นต่ำ
    • ให้หน่วยงานกำหนดคุณลักษณะความมั่นคงปลอดภัยไซเบอร์ให้กับข้อมูล หรือสารสนเทศของเว็บไซต์ของหน่วยงานครบทั้ง 3 ด้าน ซึ่งประกอบด้วย ด้านการรักษาความลับ (Confidentiality) การรักษาความถูกต้องครบถ้วน (Integrity) และการรักษาสภาพพร้อมใช้ (Availability) ตามส่วนที่ 2 (ตาราง ค๑-ตาราง ค๕) ของแบบตรวจรายการเพื่อตรวจสอบสถานะความมั่นคงปลอดภัยสำหรับเว็บไซต์ (แบบฟอร์ม ค๑) นำผลที่ได้มาระบุเกณฑ์การดำเนินการตามข้อกำหนดขั้นต่ำในการปฏิบัติตามมาตรฐานฉบับนี้ ในตาราง ค๖
  • แนวทางในการตรวจสอบ และปฏิบัติเพื่อให้เป็นไปตามมาตรฐาน
    • กรณีที่หน่วยงานยังไม่ได้รับรอง ISO27001 หรือที่ได้รับการรับรองแต่ขอบเขตของการรับรองไม่ครอบคลุมถึงเว็บไซต์ของหน่วยงานจะต้องประเมินตนเอง (Self-Assessment) อย่างน้อยปีละ 1 ครั้ง
    • กรณีหน่วยงานได้รับการรับรอง ISO27001 ที่มีขอบเขตในการรับรองที่ครอบคลุมถึงเว็บไซต์ของหน่วยงานแล้ว หน่วยงานอาจจะพิจารณาดำเนินการตามมาตรฐานฉบับนี้ เฉพาะส่วนที่ยังไม่ได้ดำเนินการตามมาตรฐาน ISO27001 ตามที่หน่วยงานได้รับการรับรองนั้น

 

หมายเหตุ : เอกสารนี้เป็นเพียงการสรุปข้อมูลส่วนหนึ่งจากประกาศเรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ พ.ศ. 2568 เท่านั้น เพื่อทำความเข้าใจประกาศอย่างครบถ้วน องค์กรควรศึกษาข้อมูลเพิ่มเติมจากประกาศฉบับเต็ม https://ratchakitcha.soc.go.th/documents/86192.pdf