มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ พ.ศ. ๒๕๖๘

อ้างอิงจากเอกสารฉบับทางการ ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (NCSA) เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ พ.ศ.2568 ตาม ราชกิจจานุเบกษา ลงวันที่ 16 กันยายน 2568 เล่ม 142 ตอนพิเศษ 305 ง มาตรฐานเว็บไซต์ที่ปลอดภัย (Website Security Standard) ส่งเสริมให้ หน่วยงานเอกชนทั่วไปใช้ และ หน่วยงานภาครัฐ ต้องใส่ใน TOR เพราะปีหน้า เราต้องมี ตรวจสอบ มาตรฐานฯ และ บริษัทที่รับงาน ปรับตัวด่วน!

เริ่มประเมิน วัดความรู้ เปิดเอกสาร PDF
แผนภาพโต้ตอบ: คลิกที่กล่องเพื่อดูคำอธิบาย

สาระสำคัญของมาตรฐาน

สรุปภาพรวมตามประกาศมาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ พ.ศ. ๒๕๖๘ เพื่อเตรียมพร้อมปฏิบัติตาม

  • บังคับใช้กับ: หน่วยงานของรัฐ, หน่วยงานควบคุมหรือกำกับดูแล, และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII)
  • ส่งเสริมให้ใช้: หน่วยงานเอกชนทั่วไป
  • วัตถุประสงค์: ให้การรักษาความมั่นคงปลอดภัยไซเบอร์ของเว็บไซต์เป็นไปอย่างมีประสิทธิภาพ
  • วันประกาศราชกิจจานุเบกษา: 16 กันยายน 2568 (2025-09-16)
  • วันเริ่มบังคับใช้: พ้นกำหนด 1 ปีนับแต่วันประกาศ (คาดหมาย 16 กันยายน 2569) กำลังคำนวณ...

ขอบเขตของมาตรฐาน

  • ครอบคลุมเว็บไซต์ทุกรูปแบบ: ระบบขององค์กร (On‑Premises), บนคลาวด์ (Cloud Service), หรือใช้บริการเว็บโฮสติ้ง (Web Hosting)
  • องค์ประกอบหลัก 2 ส่วน: การกำกับดูแล (Website Security Governance) และการดำเนินการปกป้อง (Website Security Operation)
  • Governance: การบริหารจัดการ, นโยบาย, การควบคุม
  • Operation: การดำเนินการทางเทคนิคเพื่อรักษาความปลอดภัยของ Web Server/Database Server

กระบวนการและข้อกำหนดอย่างน้อยปีละ 1 ครั้ง

  • ประเมินตนเอง (Self‑Assessment): ใช้แบบฟอร์ม ค๑ ท้ายประกาศ
  • ประเมินระดับผลกระทบ: กำหนดคุณลักษณะความมั่นคงปลอดภัยและระดับผลกระทบ (ต่ำ/กลาง/สูง)

การรายงานผล

  • ผลกระทบระดับต่ำ/กลาง: จัดทำ ค๑ เสนอต่อผู้บริหารสูงสุดและจัดเก็บรอการตรวจสอบ
  • ผลกระทบระดับสูง: จัดทำ ค๑ เสนอต่อผู้บริหารสูงสุด, หน่วยงานกำกับดูแล และส่งสำเนาให้ สกมช.

การปรับปรุง

  • หากยังไม่สอดคล้องมาตรฐาน ให้จัดทำแผนปรับปรุงแก้ไขในแบบฟอร์ม ค๒

มาตรฐานสากลที่ใช้อ้างอิงหรือเทียบเคียง

อ้างอิงข้อกำหนดจากมาตรฐานหลักของไทย และเทียบเคียงกับมาตรฐานสากลชั้นนำ

NIST Cybersecurity Framework (CSF) 2.0

กรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Framework) ที่ใช้วางโครงสร้างการกำกับดูแล (GOVERN) และการปฏิบัติการ (ID, PR, DE, RS, RC)

CIS Controls 8.1

ชุดแนวทางปฏิบัติ (Safeguard) ที่เน้นการลงมือทำจริง เช่น การจัดการทรัพย์สิน (Control 1, 2) การตั้งค่า (Control 4) และการจัดการช่องโหว่ (Control 7)

OWASP ASVS 5.0

มาตรฐานการตรวจสอบความปลอดภัยของแอปพลิเคชัน (Application Security) เน้นการป้องกันระดับโค้ด เช่น V2 (Auth), V4 (Access), V11 (Logging)

ทดลองตอบคำถาม (วัดความรู้)

แบบทดสอบ 10 ข้อ ครอบคลุม “การกำกับดูแล” และ “การดำเนินการ”

NCSA Website Security Standard 1.0 Quiz

0/10

ทดลองประเมินความเสี่ยงแบบรวดเร็ว
(Quick Self-Assessment Checklist)

ประเมินความเสี่ยงแบบเต็ม โปรดทำตาม แบบประเมินตาม "ภาคผนวก ค"
เพื่อตรวจสอบความสอดคล้องอย่างสมบูรณ์

ตัวกรองระดับข้อกำหนด:
การกำกับดูแล (ข้อ ๕)
การดำเนินการ (ข้อ ๖)

2.2.1 Website Security Identification (การระบุ)

2.2.2 Website Security Protection (การป้องกัน)

2.2.3 Website Security Detection (การตรวจจับ)

2.2.4 Website Incident Respond (การตอบสนอง)

2.2.5 Website Recovery (การฟื้นฟู)

อ่านต้นฉบับมาตรฐาน

ดูไฟล์ PDF ด้านล่างหรือดาวน์โหลด

เอกสาร: NCSA_Website_Security_Standard_2568.pdf ดาวน์โหลด PDF