Website Security Standard (WSS) คือมาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ที่พัฒนาโดย สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช. — NCSA Thailand) ร่วมกับสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) เพื่อกำหนดแนวทางและข้อกำหนดด้านความมั่นคงปลอดภัยสำหรับเว็บไซต์ของหน่วยงานต่าง ๆ ในประเทศไทย
เดิมเริ่มต้นเป็น ข้อเสนอแนะมาตรฐาน ขมธอ. 1-2557 (WSS 1.0) ในปี พ.ศ. 2557 โดย ETDA และถูกพัฒนาเป็น ข้อกำหนดบังคับสำหรับหน่วยงานภาครัฐ ในปี พ.ศ. 2568 โดย สกมช. โดยมีผลต่อการจัดซื้อจัดจ้าง (TOR) ของหน่วยงานรัฐตั้งแต่ปี พ.ศ. 2569 เป็นต้นไป
พ.ศ. 2557 (2014)
พ.ศ. 2568 (2025)
หน่วยงานประเมินผลกระทบใน 4 ด้าน โดยแต่ละด้านให้คะแนน ต่ำ / กลาง / สูง ตาม CIA Triad:
| # | ด้านที่ประเมิน | เกณฑ์การประเมิน |
|---|---|---|
| 1 | มูลค่าความเสียหายทางการเงินหรือทรัพย์สิน หรือชื่อเสียง | เปิดเผย/แก้ไข/ไม่พร้อมใช้ → เสียหายทางการเงิน ทรัพย์สิน หรือชื่อเสียง |
| 2 | จำนวนผู้ใช้บริการ/บุคลากร/ประชาชนที่อาจได้รับอันตราย | เปิดเผย/แก้ไข/ไม่พร้อมใช้ → อันตรายต่อชีวิต ร่างกาย อนามัย ทรัพย์สิน |
| 3 | ความสามารถในการดำเนินการตามหน้าที่ของหน่วยงาน | เปิดเผย/แก้ไข/ไม่พร้อมใช้ → ส่งผลต่อภารกิจหลักของหน่วยงาน |
| 4 | ความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ | เปิดเผย/แก้ไข/ไม่พร้อมใช้ → กระทบต่อความมั่นคงของรัฐ |
| ระดับ | เกณฑ์การดำเนินการ |
|---|---|
| สูง | หน่วยงาน จะต้อง ดำเนินการตามข้อกำหนดในมาตรฐานนี้ ทุกข้อ |
| กลาง | หน่วยงาน จะต้อง ดำเนินการตามข้อกำหนดด้านการกำกับดูแล (หัวข้อ 5) + ด้านเทคนิคบางส่วน (หัวข้อ 6) |
| ต่ำ | หน่วยงาน จะต้อง ดำเนินการตามข้อกำหนดด้านการกำกับดูแล (หัวข้อ 5) เท่านั้น |
| กลุ่ม | ลักษณะหน่วยงาน | สถานะ |
|---|---|---|
| กลุ่มที่ 1 | CII, Regulator, หน่วยงานของรัฐ | จะต้องปฏิบัติตาม |
| กลุ่มที่ 2 | หน่วยงานเอกชน | ส่งเสริมให้ปฏิบัติตาม |
หัวข้อที่ 5 ของมาตรฐาน — ข้อกำหนดด้านการกำกับดูแล จำนวน 20 ข้อ
| ข้อ | ข้อกำหนด | ข้อเสนอแนะ / รายละเอียด |
|---|---|---|
| 1.1 | การสำรวจบริบทของหน่วยงาน | หน่วยงานจะต้องมีการทำความเข้าใจสถานการณ์ต่าง ๆ ที่เกี่ยวข้องกับการตัดสินใจในการจัดทำเว็บไซต์ |
| ข้อ | ข้อกำหนด | ข้อเสนอแนะ / รายละเอียด |
|---|---|---|
| 2.1 | นโยบายความมั่นคงปลอดภัยฯ | หน่วยงานจะต้องมีการกำหนดนโยบายตามบริบทขององค์กรและสอดคล้องกับกฎหมาย เฉพาะ: ถ้ามีนโยบาย IS/MS อยู่แล้ว ควรสอดคล้องกัน |
| 2.2 | ทบทวนและสื่อสารนโยบาย | หน่วยงานจะต้องมีการทบทวน ปรับปรุง สื่อสาร และบังคับใช้นโยบาย |
| ข้อ | ข้อกำหนด | ข้อเสนอแนะ / รายละเอียด |
|---|---|---|
| 3.1 | กรอบบริหารความเสี่ยง | กำหนดวัตถุประสงค์การบริหารความเสี่ยงและจัดทำกรอบการบริหารความเสี่ยง |
| 3.2 | ประเมินความเสี่ยง | เฉพาะ CII: พิจารณาดำเนินการประเมินความเสี่ยง |
| 3.3 | ทะเบียนความเสี่ยง | จัดทำ สื่อสาร และเก็บรักษารายการความเสี่ยงในทะเบียนความเสี่ยง |
| ข้อ | ข้อกำหนด | ข้อเสนอแนะ / รายละเอียด |
|---|---|---|
| 4.1 | โครงสร้างองค์กร | จัดโครงสร้างให้ถ่วงดุล พร้อมกำหนดอำนาจ บทบาทหน้าที่ และความรับผิดชอบ |
| 4.2 | ผู้รับผิดชอบเว็บไซต์ | กำหนดให้มีผู้รับผิดชอบในการจัดทำและบริหารจัดการเว็บไซต์ของหน่วยงาน |
| 4.3 | สื่อสารบทบาท | กำหนด สื่อสาร ทำความเข้าใจและบังคับใช้บทบาท ความรับผิดชอบ และอำนาจ |
| ข้อ | ข้อกำหนด | ข้อเสนอแนะ / รายละเอียด |
|---|---|---|
| 5.1 | วัตถุประสงค์และความต้องการ | กำหนดวัตถุประสงค์และความต้องการในการจัดทำเว็บไซต์ ทั้งด้านฟังก์ชันและความมั่นคงปลอดภัย |
| ข้อ | ข้อกำหนด | ข้อเสนอแนะ / รายละเอียด |
|---|---|---|
| 6.1 | แนวทางพื้นฐาน | มีแนวทางด้านความมั่นคงปลอดภัยระดับพื้นฐานตามคุณลักษณะด้านความมั่นคงปลอดภัยฯ |
| 6.2 | คุณลักษณะฯ ข้อมูล | กำหนดคุณลักษณะความมั่นคงปลอดภัยให้กับข้อมูลหรือสารสนเทศของเว็บไซต์ |
| 6.3 | ธุรกรรมอิเล็กทรอนิกส์ | เฉพาะ: หน่วยงานมีธุรกรรมอิเล็กทรอนิกส์ ต้องดำเนินการตามกฎหมายที่เกี่ยวข้อง |
| 6.4 | หน่วยงานภาครัฐ | เฉพาะ: ดำเนินการตาม Government Website Standard |
| 6.5 | คลาวด์ | เฉพาะ: หน่วยงานใช้บริการคลาวด์ ต้องรักษาความมั่นคงปลอดภัยตามแนวทาง cloud security |
| 6.6 | ผู้ให้บริการ | พิจารณาเลือกผู้ให้บริการด้านความมั่นคงปลอดภัยไซเบอร์สำหรับเว็บไซต์ |
| 6.7 | แนวปฏิบัติ สกมช. | เฉพาะรัฐ/CII: ปฏิบัติตามแนวปฏิบัติการรักษาความมั่นคงปลอดภัยที่ สกมช. กำหนด |
| 6.8 | การสำรองข้อมูล | กำหนดแนวทางในการสำรองข้อมูลเพื่อลดผลกระทบหากเว็บไซต์ถูกโจมตี |
| 6.9 | การจัดการ Log | จัดการข้อมูลจราจรทางคอมพิวเตอร์ตาม พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ |
| 6.10 | การเลิกใช้งานเว็บไซต์ | กำหนดหลักปฏิบัติในการเลิกใช้งานเว็บไซต์เพื่อป้องกันภัยคุกคามที่อาจเกิดกับผู้ใช้ |
หัวข้อที่ 6 ของมาตรฐาน — ข้อกำหนดด้านเทคนิค 61 ข้อ (รวมข้อเสนอแนะย่อย)
| ข้อ | ข้อกำหนด | ข้อเสนอแนะ / รายละเอียด |
|---|---|---|
| 7.1 | จัดการทรัพย์สินและประเมินความเสี่ยง | Asset Management, Risk Assessment, VA/PT อย่างน้อยปีละ 1 ครั้ง |
| → | ทะเบียนทรัพย์สิน | จัดทำทะเบียนทรัพย์สินและตรวจสอบอย่างน้อยปีละ 1 ครั้ง |
| → | ประเมินความเสี่ยง | ประเมินความเสี่ยงด้านไซเบอร์ ปีละครั้ง หรือเมื่อมีการเปลี่ยนแปลง |
| → | ควบคุมความเสี่ยง | มีแนวทางจัดการ ควบคุม และป้องกันความเสี่ยงที่เหมาะสม |
| → | VA | ประเมินช่องโหว่ (Vulnerability Assessment) โดยอ้างอิงหลักการ |
| → | Penetration Testing | ทดสอบเจาะระบบอย่างน้อยปีละ 1 ครั้ง (ควรจะ) |
| → | Third Party | ตรวจสอบผู้ให้บริการภายนอก กำหนดข้อกำหนดใน SLA |
| ข้อ | ข้อกำหนด | ข้อเสนอแนะ / รายละเอียด |
|---|---|---|
| 8.1 | Secure Development | กำหนดแนวทางพัฒนา Web App อย่างมั่นคงปลอดภัย เช่น Secure Coding, Input Validation |
| 8.2 | OWASP Top 10 | พิจารณาปัจจัยเสี่ยงที่พบได้บ่อยของ OWASP |
| 8.3 | Secure Architecture | ออกแบบสถาปัตยกรรมเว็บไซต์อย่างมั่นคงปลอดภัย แบ่งเป็นโครงสร้าง 4 ส่วน |
| → | วาง Web Server | วางเครื่อง Web Server ร่วมกับอุปกรณ์รักษาความมั่นคงปลอดภัย |
| → | 4 ส่วน | ออกแบบเป็น DMZ, Web Server, Application Server, Database Server |
| 8.4 | Access Control & Hardening | ควบคุมการเข้าถึงและทำให้ระบบมีความแข็งแกร่ง |
| → | Access Control | ควบคุมการเข้าถึงตามประมวลแนวทางปฏิบัติด้านไซเบอร์ |
| → | System Hardening | ทำให้ระบบแข็งแกร่งตามประมวลแนวทางปฏิบัติ |
| → | Remote Connection | บริหารจัดการเชื่อมต่อระยะไกลอย่างปลอดภัย |
| → | Removable Media | บริหารจัดการสื่อเก็บข้อมูลแบบถอดได้ |
| → | Information Sharing | แบ่งปันข้อมูลตามแนวทางที่กำหนด |
| → | Security Awareness | สร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์สำหรับเว็บไซต์ |
| 8.5 | MFA 🔑 | พิสูจน์ตัวตนแบบหลายปัจจัยสำหรับ Admin, Remote Access, ข้อมูลอ่อนไหว |
| 8.6 | Secure Configuration | ตั้งค่าเพื่อความมั่นคงปลอดภัยพื้นฐานของ Web Server Software |
| → | Web Server | ตั้งค่า Web Server อย่างปลอดภัย |
| → | Web Application | ตั้งค่า Web Application อย่างปลอดภัย |
| → | CMS | ตั้งค่าระบบ CMS ตามข้อเสนอแนะ |
| → | OS | ตั้งค่าระบบปฏิบัติการ (อ้างอิง NIST SP 800-123) |
| → | Database | ตั้งค่าฐานข้อมูลเพื่อความมั่นคงปลอดภัย |
| 8.7 | แนวทางเลือกบริการ | กำหนดแนวทางเลือก Web Server, CMS, Domain Registrar, TLS Cipher Suite |
| 8.8 | Firewall / WAF | ตั้งค่า Firewall และ WAF เพื่อควบคุมและป้องกันการบุกรุก |
| ข้อ | ข้อกำหนด | ข้อเสนอแนะ / รายละเอียด |
|---|---|---|
| 9.1 | Monitoring & Threat Detection | ตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์ตามประมวลแนวทางปฏิบัติ |
| → | กลไกตรวจจับ | สร้างกลไกตรวจจับ จัดประเภท วิเคราะห์ ระบุภัยคุกคาม |
| → | ทบทวนกลไก | ทบทวนกลไกอย่างน้อยปีละ 1 ครั้ง |
| ข้อ | ข้อกำหนด | ข้อเสนอแนะ / รายละเอียด |
|---|---|---|
| 10.1 | Incident Response Plan | จัดทำแผนการรับมือภัยคุกคามทางไซเบอร์สำหรับเว็บไซต์ |
| → | แผน IR | จัดทำ Website Security Incident Response Plan |
| → | ฝึกซ้อม | สื่อสาร ทบทวน ปรับปรุง และฝึกซ้อมแผน |
| → | Crisis Comms | จัดทำแผนการสื่อสารในภาวะวิกฤต |
| → | ระดับชาติ | ฝึกซ้อมรับมือภัยคุกคามระดับชาติหรือระดับหน่วยงาน |
| ข้อ | ข้อกำหนด | ข้อเสนอแนะ / รายละเอียด |
|---|---|---|
| 11.1 | Recovery & BCP | รักษาและฟื้นฟูความเสียหายจากภัยคุกคามทางไซเบอร์สำหรับเว็บไซต์ |
| → | BCP | จัดทำแผนความต่อเนื่องทางธุรกิจ (BCP) |
| → | ฝึกซ้อม BCP | ฝึกซ้อม BCP อย่างน้อยปีละ 1 ครั้ง |
ประกอบด้วย 3 ส่วน:
ระดับการประเมินข้อเสนอแนะ: ดำเนินการแล้ว อยู่ในระหว่างดำเนินการ ยังไม่ได้ดำเนินการ
ระดับการประเมินข้อกำหนด: ดำเนินการแล้ว ยังต้องปรับปรุง
เมื่อพบรายการที่ "ยังต้องปรับปรุง" ให้บันทึกในแบบฟอร์ม ค2 ประกอบด้วย:
WSS เป็นมาตรฐาน เฉพาะทางด้านความปลอดภัยเว็บไซต์ ส่วน NIST CSF เป็นกรอบแนวทาง ระดับองค์กรแบบครอบคลุม
| มุมมอง | WSS (สกมช./ETDA) | NIST CSF |
|---|---|---|
| องค์กรผู้ออก | สกมช. + ETDA ประเทศไทย | NIST สหรัฐอเมริกา |
| ปีที่เผยแพร่ | WSS 1.0: 2557 — WSS 2025: 2568 | CSF 1.0: 2014 — CSF 2.0: 2024 |
| ขอบเขต | เฉพาะเว็บไซต์ — Server, CMS, DB, App | ครอบคลุมทั้งองค์กร — Govern, Identify, Protect, Detect, Respond, Recover |
| กลุ่มเป้าหมาย | ผู้ดูแลเว็บ, นักพัฒนา, หน่วยงานรัฐ | ผู้บริหาร CISO, ทีมความปลอดภัย |
| ลักษณะ | ข้อกำหนด + Checklist ปฏิบัติได้จริง | กรอบแนวทาง ยืดหยุ่น ปรับตามความเสี่ยง |
| การบังคับใช้ | บังคับรัฐไทย 2569 | สมัครใจ (แรงผลักดันจากกฎระเบียบ) |
| จุดแข็ง | เจาะจง, มี Checklist ภาษาไทย, นำไปใช้ได้ทันที | ครอบคลุมภาพรวมองค์กร, เชื่อมโยงมาตรฐานสากล |
| จุดอ่อน | จำกัดเฉพาะเว็บ — ไม่ครอบคลุมโครงสร้างพื้นฐานอื่น | ซับซ้อนสำหรับองค์กรเล็ก ต้องปรับใช้ |
ความสัมพันธ์: WSS 1.0 อ้างอิง NIST SP 800-44 และสอดคล้องกับกรอบ NIST CSF โดยเฉพาะด้าน Protect (Access Control, Awareness, Data Security) และ Respond (Incident Response Planning, Communication)
Web Application Security Standard (WAS) — ออกโดย ETDA ในปี พ.ศ. 2560 เน้น การพัฒนาและทดสอบโปรแกรมประยุกต์บนเว็บ อย่างมั่นคงปลอดภัย ครอบคลุมภัยคุกคาม Top Threats จาก OWASP
| แหล่ง | รายละเอียด | ลิงก์ |
|---|---|---|
| ETDA | WSS / WAS — เอกสารดาวน์โหลด | etda.or.th |
| สกมช. | สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ | ncsa.go.th |
| NIST | NIST SP 800-44 — Guidelines on Securing Public Web Servers | csrc.nist.gov |
| NIST | NIST Cybersecurity Framework (CSF) 2.0 | nist.gov/cyberframework |
| OWASP | OWASP Top 10 — Web Application Security Risks | owasp.org |
| ThaiCERT | ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย | thaicert.or.th |