การปฏิบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ สกมช.
คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) ภายใต้ สกมช. ออกมาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ พ.ศ. 2568 (Version 1.0) ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 บังคับใช้กับหน่วยงานรัฐและ CII และแนะนำให้เอกชนนำไปปรับใช้
มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ สกมช. คืออะไร?
มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ พ.ศ. 2568 (Website Security Standard - Version 1.0) เป็นข้อกำหนดด้านความปลอดภัยที่ออกโดยคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) ภายใต้สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 16 กันยายน 2568 กำหนดข้อกำหนดด้านความปลอดภัยขั้นต่ำสำหรับเว็บไซต์ที่ดำเนินการโดยหน่วยงานรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) โดยใช้หลัก "High Water Mark" ในการประเมินความเสี่ยงตามแนวคิด CIA (Confidentiality, Integrity, Availability) และส่งเสริมให้หน่วยงานเอกชนนำไปปรับใช้
- ออกโดย กมช. ภายใต้ สกมช. ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
- ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 16 กันยายน 2568
- มีผลบังคับใช้ 16 กันยายน 2569 โดยให้เวลาองค์กร 1 ปีในการปฏิบัติตาม
- ใช้หลัก "High Water Mark" ประเมินความเสี่ยงตาม CIA triad (Confidentiality, Integrity, Availability)
- กำหนดให้จัดระดับผลกระทบของเว็บไซต์เป็น ต่ำ กลาง หรือ สูง
- บังคับใช้กับหน่วยงานรัฐ หน่วยงานกำกับดูแล และ CII; แนะนำให้เอกชนนำไปใช้
- อ้างอิงจากมาตรฐานสากล ได้แก่ OWASP ASVS และ NIST frameworks
อ้างอิง: มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ พ.ศ. 2568 (Version 1.0), กมช., ราชกิจจานุเบกษา, 16 กันยายน 2568
ใครต้องปฏิบัติตาม?
มาตรฐานนี้บังคับใช้กับหน่วยงานรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ที่ดำเนินการเว็บไซต์ และส่งเสริมให้หน่วยงานเอกชนนำไปปรับใช้เป็นแนวทางรักษาความปลอดภัย
หน่วยงานรัฐ
หน่วยงานราชการทั้งหมดที่ดำเนินการเว็บไซต์และเว็บแอปพลิเคชันที่เปิดให้สาธารณะเข้าถึง
บริการทางการเงิน CII
ธนาคาร บริษัทหลักทรัพย์ บริษัทประกันภัย และผู้ให้บริการชำระเงินที่ถูกกำหนดเป็น CII
ICT และโทรคมนาคม CII
ผู้ให้บริการเทคโนโลยีสารสนเทศและการสื่อสาร และผู้ให้บริการโทรคมนาคม
พลังงานและสาธารณูปโภค CII
ผู้ให้บริการด้านพลังงานและสาธารณูปโภคที่ดำเนินระบบเว็บที่สำคัญ
การขนส่ง CII
ผู้ดำเนินการโครงสร้างพื้นฐานด้านการขนส่งที่มีบริการและระบบบนเว็บ
สาธารณสุข CII
องค์กรด้านสาธารณสุขที่ดำเนินการเว็บไซต์ที่จัดการข้อมูลผู้ป่วยที่ละเอียดอ่อน
ข้อกำหนดด้านความปลอดภัยหลักของ สกมช.
มาตรฐานกำหนดข้อกำหนดด้านความปลอดภัยที่ครอบคลุมสำหรับเว็บแอปพลิเคชันในหลายด้าน
การประเมินช่องโหว่และทดสอบเจาะระบบเว็บ
ดำเนินการประเมินช่องโหว่อย่างต่อเนื่อง สแกนทรัพยากรที่เข้าถึงได้ผ่านอินเทอร์เน็ตเพื่อค้นหา CVE และการตั้งค่าที่ไม่ปลอดภัย ทดสอบเจาะระบบอย่างน้อยปีละครั้ง ครอบคลุม OWASP Top 10 รวมถึง XSS, SQL Injection และ Broken Authentication
แนวปฏิบัติการพัฒนาที่ปลอดภัย
นำวงจรการพัฒนาซอฟต์แวร์ที่ปลอดภัย (SSDLC) มาใช้ รวมถึงมาตรฐานการเขียนโค้ดที่ปลอดภัย กระบวนการตรวจสอบโค้ด และการทดสอบความปลอดภัยก่อนเปิดตัว แนะนำอย่างยิ่งให้ทำ Secure Code Review เพื่อกำจัดช่องโหว่ OWASP Top 10 ตั้งแต่ระดับ Source Code
การตั้งค่า SSL/TLS และ DNSSEC
บังคับใช้ HTTPS ด้วย TLS 1.2 ขึ้นไป, Cipher Suite ที่แข็งแกร่ง, ใบรับรองที่ถูกต้อง และ HSTS headers พร้อมติดตั้ง DNSSEC เพื่อรักษาความปลอดภัย DNS
การควบคุมการเข้าถึงและการยืนยันตัวตน
จัดให้มีกลไกควบคุมการเข้าถึงที่แข็งแกร่งพร้อม Multi-Factor Authentication (MFA) สำหรับการเข้าถึงระดับผู้ดูแลระบบและระบบที่ละเอียดอ่อน บังคับใช้การจัดการเซสชันและการอนุญาตตามบทบาท
การตอบสนองต่อเหตุการณ์สำหรับการโจมตีเว็บ
จัดทำขั้นตอนที่มีเอกสารรองรับสำหรับการตรวจจับ ตอบสนอง และกู้คืนจากเหตุการณ์ด้านความปลอดภัยบนเว็บ รวมถึงการถูกเปลี่ยนหน้าเว็บ การละเมิดข้อมูล และการโจมตี DDoS
การตรวจสอบและบันทึกความปลอดภัย
จัดให้มีการบันทึกเหตุการณ์เว็บแอปพลิเคชันอย่างครอบคลุม ระบบตรวจสอบความปลอดภัย และกระบวนการตรวจสอบบันทึกอย่างสม่ำเสมอ
ผลกระทบจากการไม่ปฏิบัติตาม
สกมช. บังคับใช้มาตรฐานเหล่านี้ภายใต้อำนาจของ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ซึ่งกำหนดกลไกบังคับใช้สำหรับองค์กรที่ไม่ปฏิบัติตาม
สกมช. สามารถออกคำสั่งให้องค์กร CII ดำเนินมาตรการรักษาความปลอดภัยเฉพาะภายในระยะเวลาที่กำหนด การไม่ปฏิบัติตามคำสั่งอาจนำไปสู่มาตรการบังคับที่เข้มข้นขึ้น
องค์กรที่ไม่ปฏิบัติตามข้อกำหนด CII ตาม พ.ร.บ. ไซเบอร์ จะถูกลงโทษทางปกครอง สกมช. มีอำนาจในการกำหนดมาตรการแก้ไขและบทลงโทษ
การไม่ปฏิบัติตามมาตรฐาน สกมช. อาจถูกเปิดเผยผ่านช่องทางรายงานของหน่วยงานกำกับดูแล ส่งผลต่อชื่อเสียงองค์กร ความเชื่อมั่นของสาธารณะ และความสัมพันธ์ทางธุรกิจกับหน่วยงานรัฐ
การทดสอบเว็บแอปพลิเคชันช่วยตอบโจทย์มาตรฐาน สกมช. อย่างไร
การทดสอบความปลอดภัยเว็บแอปพลิเคชันอย่างมืออาชีพแมปตรงกับข้อกำหนดมาตรฐาน สกมช. โดยเป็นหลักฐานการปฏิบัติตามในหลายด้าน
รายการตรวจสอบการปฏิบัติตามมาตรฐาน สกมช.
การดำเนินการสำคัญเพื่อแสดงการปฏิบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ สกมช.
เอกสารอ้างอิงอย่างเป็นทางการ
ศึกษาเอกสารกฎระเบียบฉบับเต็มจากแหล่งข้อมูลอย่างเป็นทางการ
บริการรักษาความปลอดภัยที่เกี่ยวข้อง
บริการทดสอบที่ครอบคลุมเพื่อตอบสนองทุกด้านของการปฏิบัติตามมาตรฐาน สกมช.
คำถามที่พบบ่อยเกี่ยวกับมาตรฐาน สกมช.
คำถามทั่วไปเกี่ยวกับมาตรฐานการรักษาความมั่นคงปลอดภัยของเว็บไซต์ สกมช. และข้อกำหนดการปฏิบัติตาม
เตรียมพร้อมปฏิบัติตามมาตรฐาน สกมช.
เตรียมตัวล่วงหน้าก่อนวันบังคับใช้กันยายน 2569 การประเมินความปลอดภัยเว็บแอปพลิเคชันจากผู้เชี่ยวชาญของเราสอดคล้องกับข้อกำหนดมาตรฐาน สกมช. โดยตรง พร้อมเอกสารสำหรับการตรวจสอบ
Reconix เป็นบริษัทชั้นนำด้านความปลอดภัยไซเบอร์ในประเทศไทย ที่ให้บริการระดับโลกแก่ธุรกิจทุกขนาด