1. เหตุผลของประกาศ :
เนื่องจากเว็บไซต์เป็นช่องทางสำคัญของหน่วยงาน และเป็นเป้าหมายหลักของภัยคุกคามทางไซเบอร์ จากสถิติปี 2566-2567 พบว่าภัยคุกคามกว่า 44% เกิดขึ้นกับเว็บไซต์ (เช่น Web Defacement, Gambling, Fake Website) การโจมตีเหล่านี้ส่งผลกระทบต่อข้อมูล การให้บริการ สร้างความเสียหายต่อชื่อเสียง และอาจกระทบต่อความมั่นคงของประเทศ จึงจำเป็นต้องมีมาตรฐานขั้นต่ำเพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์มีประสิทธิภาพ
2. หน่วยงานที่ต้องปฏิบัติตาม :
บังคับ :
หน่วยงานของรัฐ
หน่วยงานควบคุม หรือกำกับดูแล
หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII)
ส่งเสริม และสนับสนุนให้นำไปปรับใช้ :
หน่วยงานเอกชน
3. ขอบเขตของมาตรฐานฉบับนี้ :
มาตรฐานนี้ครอบคลุมเว็บไซต์ที่เชื่อมต่ออินเทอร์เน็ต, เว็บไซต์ที่มีข้อมูลสำคัญ, เว็บไซต์บริการประชาชน และเว็บไซต์ที่มีธุรกรรมทางอิเล็กทรอนิกส์ โดยใช้ได้กับเว็บไซต์ทุกรูปแบบไม่ว่าจะเป็นแบบ On-Premises (ติดตั้งในองค์กร), Cloud Service (บนคลาวด์) หรือ Web Hosting (ใช้บริการเว็บโฮสติ้ง)
องค์ประกอบที่อยู่ในขอบเขตมาตรฐาน :
การกำกับดูแลด้านความมั่นคงปลอดภัย (Website Security Governance): ครอบคลุมการบริหารจัดการ, นโยบาย, มาตรการควบคุมเชิงบริหาร และการควบคุมการเข้าถึง
การรักษาความมั่นคงปลอดภัย (Website Security) เน้น 2 ส่วนหลักคือ
เครื่องบริการเว็บ (Web Server) ประกอบด้วย เว็บไซต์ (Website), ซอฟต์แวร์ให้บริการเว็บ (Web Server Software), เว็บแอปพลิเคชัน (Web Application), ระบบจัดการเนื้อหา (CMS), ระบบปฏิบัติการ (Operating System) และ SSL/TLS
เครื่องบริการฐานข้อมูล (Database Server) ประกอบด้วย ระบบฐานข้อมูล (Database System), ระบบปฏิบัติการ (Operating System), และซอฟต์แวร์จัดการฐานข้อมูล (DBMS Software)
องค์ประกอบที่อยู่นอกเหนือขอบเขต (แต่แนะนำให้พิจารณา) :
เป็นส่วนของสภาพแวดล้อมที่เกี่ยวข้อง เช่น Firewall, Web Application Firewall (WAF), DNS Server, DNSSEC, EDR/XDR, และมาตรการควบคุมเชิงกายภาพ ซึ่งเป็นองค์ประกอบที่หน่วยงานพิจารณาดำเนินการเพื่อให้เว็บไซต์มีความมั่นคงปลอดภัยจากภัยคุกคามทางไซเบอร์
4. สิ่งที่หน่วยงานต้องดำเนินการ :
หน่วยงานที่อยู่ในขอบเขตบังคับใช้
ต้องดำเนินการอย่างน้อยปีละ 1 ครั้ง ดังนี้ :
กำหนดคุณลักษณะ และประเมินผลกระทบ
กำหนดคุณลักษณะความมั่นคงปลอดภัยให้แก่ข้อมูล และระบบของเว็บไซต์
ประเมิน และจัดระดับผลกระทบในแต่ละด้าน (เช่น ต่ำ, กลาง, สูง)
ประเมินตนเอง (Self-Assessment)
ตรวจสอบการดำเนินงานของตนเองเทียบกับข้อกำหนดในมาตรฐาน โดยใช้ "แบบฟอร์ม ค๑ แบบตรวจรายการเพื่อตรวจสอบสถานะความมั่นคงปลอดภัยสำหรับเว็บไซต์"
รายงานผลการประเมิน (ตามระดับผลกระทบ)
กรณีผลกระทบระดับต่ำหรือระดับกลาง : จัดทำรายงานตามแบบฟอร์ม ค๑ พร้อมหลักฐาน เสนอต่อผู้บริหารสูงสุดของหน่วยงาน และเก็บไว้เพื่อให้ สกมช. ตรวจสอบ
กรณีผลกระทบระดับสูง : จัดทำรายงานตามแบบฟอร์ม ค๑ พร้อมหลักฐาน เสนอต่อผู้บริหารสูงสุด, หน่วยงานควบคุมหรือกำกับดูแล และต้องส่งสำเนาให้ สกมช. ด้วย
กรณีที่ยังไม่สอดคล้องกับมาตรฐาน
หากผลการประเมินพบว่ายังดำเนินการไม่ครบถ้วน หรือไม่สอดคล้องกับมาตรฐาน ให้จัดทำ "แบบฟอร์ม ค๒ แบบรายงานรายการที่ยังต้องปรับปรุง"
แจ้งแบบฟอร์ม ค๒ ต่อผู้บริหารสูงสุด เพื่อใช้อำนาจสั่งการให้ผู้เกี่ยวข้องดำเนินการปรับปรุงแก้ไขให้สอดคล้องกับมาตรฐานต่อไป
5. โครงสร้างของเอกสารมาตรฐาน :
เอกสารมาตรฐานฉบับนี้มีโครงสร้างหลักอ้างอิงจาก NIST Cybersecurity Framework (CSF 2.0) และประกาศคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ประกอบด้วย
การกำกับดูแลด้านความมั่นคงปลอดภัย (Website Security Governance) ว่าด้วยการบริหารจัดการ และนโยบาย (หัวข้อ 5 ในประกาศ)
การสำรวจบริบทของหน่วยงาน (Organization Context)
นโยบายด้านความมั่นคงปลอดภัยสำหรับเว็บไซต์ (Website Security Policies)
กลยุทธการจัดการความเสี่ยง (Risk Management Strategy)
ความเสี่ยงที่ยอมรับได้ (Risk Appetite)
ระดับความเสี่ยงที่ยอมให้เบี่ยงเบนได้ (Risk Tolerance)
บทบาท และความรับผิดชอบด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ (Information Security Roles and Responsibilities)
การวางแผนกำหนดความต้องการด้านความมั่นคงปลอดภัยของเว็บไซต์
การกำหนดแนวทางด้านความมั่นคงปลอดภัยสำหรับเว็บไซต์
การรักษาความลับ (Confidentiality)
การรักษาความครบถ้วนสมบูรณ์ (Integrity)
การเตรียมความพร้อมใช้งาน (Availability)
การสำรองข้อมูล (Backup)
การจัดการข้อมูลจราจรทางคอมพิวเตอร์ (Log Management)
การรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ (Website Security and Operation) ว่าด้วยการปฏิบัติการ แบ่งเป็น 5 ด้าน (หัวข้อ 6 ในประกาศ)
การระบุความเสี่ยงที่จะเกิดขึ้นกับเว็บไซต์ (Website Security Identification)
การจัดการทรัพย์สิน (Asset Management)
การประเมินความเสี่ยง (Risk Assessment)
การประเมินช่องโหว่ และการทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing)
การป้องกันความเสี่ยงที่จะเกิดขึ้นกับเว็บไซต์ (Website Security Protection)
การพัฒนาโปรแกรมประยุกต์บนเว็บอย่างมั่นคงปลอดภัย
DevSecOps
การพัฒนาแอปพลิเคชันบนเว็บไซต์โดยพิจารณาปัจจัยเสี่ยงด้านความมั่นคงปลอดภัยของเว็บไซต์ที่พบได้บ่อย
OWASP
การออกแบบสถาปัตยกรรมเว็บไซต์อย่างมั่นคงปลอดภัย
Firewall
Web Application Firewall
IPS/IDS
XDR
SIEM
SOAR
การควบคุมการเข้าถึง (Access Control)
การกำหนดบทบาท และสิทธิ์การใช้งาน
การกำหนด และรักษารหัสผ่าน
การตั้งค่ารหัสผ่านใหม่
การพิสูจน์ตัวตนแบบหลายปัจจัย (Multi-Factor Authentication: MFA)
การตั้งค่าเพื่อความมั่นคงปลอดภัยพื้นฐาน
Operating System
Web Server Software
CMS
Database
การตรวจสอบ และเฝ้าระวังภัยคุกคามทางไซเบอร์สำหรับเว็บไซต์ (Website Security Detection)
การเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์สำหรับเว็บไซต์ (Website Incident Response)
การรักษา และฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์สำหรับเว็บไซต์ (Website Recovery)
6. การดำเนินการตามข้อกำหนดขั้นต่ำ และแนวทางในตรวจสอบ และปฏิบัติให้เป็นไปตามมาตรฐาน :
แนวทางในการดำเนินการตามข้อกำหนดขั้นต่ำ
ให้หน่วยงานกำหนดคุณลักษณะความมั่นคงปลอดภัยไซเบอร์ให้กับข้อมูล หรือสารสนเทศของเว็บไซต์ของหน่วยงานครบทั้ง 3 ด้าน ซึ่งประกอบด้วย ด้านการรักษาความลับ (Confidentiality) การรักษาความถูกต้องครบถ้วน (Integrity) และการรักษาสภาพพร้อมใช้ (Availability) ตามส่วนที่ 2 (ตาราง ค๑-ตาราง ค๕) ของแบบตรวจรายการเพื่อตรวจสอบสถานะความมั่นคงปลอดภัยสำหรับเว็บไซต์ (แบบฟอร์ม ค๑) นำผลที่ได้มาระบุเกณฑ์การดำเนินการตามข้อกำหนดขั้นต่ำในการปฏิบัติตามมาตรฐานฉบับนี้ ในตาราง ค๖
แนวทางในการตรวจสอบ และปฏิบัติเพื่อให้เป็นไปตามมาตรฐาน
กรณีที่หน่วยงานยังไม่ได้รับรอง ISO27001 หรือที่ได้รับการรับรองแต่ขอบเขตของการรับรองไม่ครอบคลุมถึงเว็บไซต์ของหน่วยงานจะต้องประเมินตนเอง (Self-Assessment) อย่างน้อยปีละ 1 ครั้ง
กรณีหน่วยงานได้รับการรับรอง ISO27001 ที่มีขอบเขตในการรับรองที่ครอบคลุมถึงเว็บไซต์ของหน่วยงานแล้ว หน่วยงานอาจจะพิจารณาดำเนินการตามมาตรฐานฉบับนี้ เฉพาะส่วนที่ยังไม่ได้ดำเนินการตามมาตรฐาน ISO27001 ตามที่หน่วยงานได้รับการรับรองนั้น
หมายเหตุ : เอกสารนี้เป็นเพียงการสรุปข้อมูลส่วนหนึ่งจากประกาศเรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ พ.ศ. 2568 เท่านั้น เพื่อทำความเข้าใจประกาศอย่างครบถ้วน องค์กรควรศึกษาข้อมูลเพิ่มเติมจากประกาศฉบับเต็ม https://ratchakitcha.