มาตรฐานนี้คืออะไร
Website Security Standard (มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์) คือมาตรฐานที่ออกโดย NCSA (สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ — "สกมช.") ในปี พ.ศ. 2568
เป้าหมายคือยกระดับความมั่นคงปลอดภัยของเว็บไซต์ในไทย โดยเฉพาะหน่วยงานรัฐและโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure — CII) ให้สอดคล้องกับ NIST Cybersecurity Framework
ใครต้องปฏิบัติตาม
มาตรฐานแบ่งกลุ่มเป้าหมายเป็น 2 กลุ่ม:
กลุ่มที่ 1 — บังคับ "จะต้องปฏิบัติ"
- หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII)
- หน่วยงานควบคุมหรือกำกับดูแล (Regulator)
- หน่วยงานของรัฐ
กลุ่มที่ 2 — "ส่งเสริมให้ปฏิบัติ"
- หน่วยงานเอกชน
แม้เอกชนจะไม่บังคับ แต่ภาคการเงิน, การแพทย์, e-commerce ที่ดูแลข้อมูลส่วนบุคคล (PDPA) ควรปฏิบัติเพื่อแสดง due diligence
โครงสร้างมาตรฐาน
มาตรฐานแบ่งเป็น 2 ส่วนหลัก สอดคล้องกับ NIST CSF:
หัวข้อ 5 — Governance (การกำกับดูแล)
- 5.1 — บริบทขององค์กร
- 5.2 — นโยบายความมั่นคงปลอดภัย
- 5.3 — กลยุทธ์การจัดการความเสี่ยง
- 5.4 — บทบาทและความรับผิดชอบ (Three Lines of Defense)
- 5.5 — การวางแผนความต้องการ
- 5.6 — แนวทางด้านความมั่นคงปลอดภัย (CIA Triad, ระบบคลาวด์, การสำรองข้อมูล, Log Management)
หัวข้อ 6 — Operational Security (การดำเนินการ)
- 6.1 Identify — Asset Management, Risk Assessment, VA, Pen Test, Third-Party
- 6.2 Protect — DevSecOps, OWASP Top 10, Secure Architecture, MFA, SSL/TLS
- 6.3 Detect — Cyber Threat Detection (SIEM, IDS)
- 6.4 Respond — Incident Response
- 6.5 Recover — Recovery + Backup
3 ระดับผลกระทบ (Impact Levels)
ข้อกำหนดที่ต้องทำขึ้นอยู่กับ "ระดับผลกระทบ" จากการประเมิน 4 ด้าน:
- มูลค่าความเสียหายทางการเงิน / ทรัพย์สิน / ชื่อเสียง
- จำนวนผู้ใช้บริการที่อาจได้รับอันตราย
- ความสามารถในการดำเนินการตามหน้าที่
- ความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ
| ระดับ | ต้องทำอะไร |
|---|---|
| สูง | ทำทุกข้อในมาตรฐาน |
| กลาง | ทำเกือบทุกข้อ ยกเว้นบางส่วน (VA + PT, Third-Party, etc.) |
| ต่ำ | ทำพื้นฐาน — Section 5 ทุกข้อ + Section 6 บางส่วน |
ข้อกำหนดสำคัญที่หลายคนพลาด
จากประสบการณ์ของทีม TechFinder ในการช่วยลูกค้าตรวจสอบมาตรฐานนี้ ข้อกำหนดที่พบว่าหน่วยงานพลาดบ่อย:
6.1.1 Asset Management + VA + Pen Test
- ต้องมี Asset Register และตรวจสอบทุกปี
- VA ครอบคลุม web app + เครื่องบริการเว็บ + network
- Pen Test อย่างน้อย 1 ครั้ง/ปี — หลายหน่วยงาน "ลืม" ข้อนี้
6.2.1 DevSecOps
- ต้องมีกระบวนการความมั่นคงปลอดภัยตั้งแต่ขั้น development
- ใช้แนวคิด OWASP DSOMM
6.2.2 OWASP Top 10
- ต้องมีแนวทางป้องกัน OWASP Top 10 ทั้งหมด
- ไม่ใช่แค่รู้จัก — ต้องมี evidence ว่าทำ
5.6.9 Log Management
- ต้องเก็บ log ตาม พ.ร.บ.คอมพิวเตอร์ (90 วัน ขั้นต่ำ)
- หลายหน่วยงานเก็บแต่ไม่ centralized
5.6.10 Secure Disposal
- เมื่อเลิกใช้เว็บไซต์ ต้องทำลายข้อมูลตาม NIST SP 800-88
- ลืมข้อนี้บ่อยมาก
หน่วยงานรัฐที่ไม่ปฏิบัติตามมาตรฐาน อาจถูก NCSA ตรวจสอบและออกหนังสือเตือน — กระทบ KPI ของหน่วยงานโดยตรง
วิธีเริ่ม Self-Assessment
NCSA จัดเตรียม 2 ฟอร์มให้:
ฟอร์ม ค1 — Self-Assessment Checklist
- กรอกข้อมูลเว็บไซต์ของหน่วยงาน
- ประเมินคุณลักษณะ CIA Triad (ระดับ ต่ำ/กลาง/สูง)
- ตรวจสอบทีละข้อ — ดำเนินการแล้ว / อยู่ระหว่างดำเนินการ / ยังไม่ได้ดำเนินการ
- แนบหลักฐาน (Evidence)
ฟอร์ม ค2 — แบบรายงานการแก้ไข
- ระบุข้อที่ยังต้องปรับปรุง
- กำหนด timeline + ผู้รับผิดชอบ
TechFinder ช่วยอะไรได้?
ทีม TechFinder ออกแบบบริการให้ตอบโจทย์มาตรฐานนี้โดยตรง:
- L2-L3 ตอบโจทย์ข้อ 6.1.1 — VA + Pen Test เป็นประจำ
- L3 ตอบโจทย์ข้อ 6.2.5 (MFA), 6.2.7 (SSL/TLS) — รวม authenticated scanning
- L4 ตอบโจทย์ข้อ 6.1.1 ครบ — รวม internal network assessment
- Auto Compliance Mapping — แสดงทุก finding ที่กระทบมาตรฐานนี้ พร้อมระบุ control ID