WSS

Website Security Standard
มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์
โดย สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช. / NCSA Thailand)
ขมธอ. 1-2557 (เดิม) พ.ศ. 2568 (ปัจจุบัน) มีผลบังคับใช้ 2569 เทียบเคียง NIST CSF
ชื่อมาตรฐาน
Website Security Standard
รหัสมาตรฐาน
ขมธอ. 1-2557 (WSS 1.0)
หน่วยงาน
สกมช. (NCSA) + ETDA
สถานะล่าสุด
ประกาศใช้ 2568 บังคับ TOR รัฐ 2569
กลุ่มเป้าหมาย
รัฐ / CII / เอกชน
มาตรฐานเสริม
WAS ขมธอ. 4-2560

📋 ภาพรวม (Overview)

Website Security Standard (WSS) คือมาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ที่พัฒนาโดย สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช. — NCSA Thailand) ร่วมกับสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) เพื่อกำหนดแนวทางและข้อกำหนดด้านความมั่นคงปลอดภัยสำหรับเว็บไซต์ของหน่วยงานต่าง ๆ ในประเทศไทย

เดิมเริ่มต้นเป็น ข้อเสนอแนะมาตรฐาน ขมธอ. 1-2557 (WSS 1.0) ในปี พ.ศ. 2557 โดย ETDA และถูกพัฒนาเป็น ข้อกำหนดบังคับสำหรับหน่วยงานภาครัฐ ในปี พ.ศ. 2568 โดย สกมช. โดยมีผลต่อการจัดซื้อจัดจ้าง (TOR) ของหน่วยงานรัฐตั้งแต่ปี พ.ศ. 2569 เป็นต้นไป

📜 วิวัฒนาการของ WSS

WSS 1.0 ขมธอ. 1-2557

พ.ศ. 2557 (2014)

  • ออกโดย ETDA (สพธอ.)
  • เป็นข้อเสนอแนะมาตรฐาน (Recommendation)
  • สมัครใจ ไม่มีผลบังคับใช้
  • ครอบคลุม Web Server, CMS, DB, Web App
  • มี Checklist สำหรับประเมินตนเอง
  • อ้างอิง NIST SP 800-44, OWASP, ThaiCERT
  • มีมาตรฐานเสริม WAS (ขมธอ. 4-2560)

WSS 2025 มาตรฐานเว็บไซต์ภาครัฐ

พ.ศ. 2568 (2025)

  • ออกโดย สกมช. (NCSA Thailand)
  • เป็นข้อกำหนดบังคับสำหรับหน่วยงานรัฐ
  • มีผลต่อ TOR ตั้งแต่ปี 2569
  • ยึดหลัก CIA Triad
  • กำหนด MFA สำหรับ Admin / Remote Access
  • กำหนด Firewall, WAF, DNSSEC, EDR/XDR
  • ต้องมี Monitoring & Incident Response Plan
  • มี Checklist + Remediation Report
  • เอกชนควรนำไปใช้เพื่อยกระดับความน่าเชื่อถือ

🎯 หลักการและเกณฑ์การประเมิน

หลักการพื้นฐาน: CIA Triad

การประเมินระดับผลกระทบ (4 ด้าน)

หน่วยงานประเมินผลกระทบใน 4 ด้าน โดยแต่ละด้านให้คะแนน ต่ำ / กลาง / สูง ตาม CIA Triad:

#ด้านที่ประเมินเกณฑ์การประเมิน
1มูลค่าความเสียหายทางการเงินหรือทรัพย์สิน หรือชื่อเสียงเปิดเผย/แก้ไข/ไม่พร้อมใช้ → เสียหายทางการเงิน ทรัพย์สิน หรือชื่อเสียง
2จำนวนผู้ใช้บริการ/บุคลากร/ประชาชนที่อาจได้รับอันตรายเปิดเผย/แก้ไข/ไม่พร้อมใช้ → อันตรายต่อชีวิต ร่างกาย อนามัย ทรัพย์สิน
3ความสามารถในการดำเนินการตามหน้าที่ของหน่วยงานเปิดเผย/แก้ไข/ไม่พร้อมใช้ → ส่งผลต่อภารกิจหลักของหน่วยงาน
4ความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศเปิดเผย/แก้ไข/ไม่พร้อมใช้ → กระทบต่อความมั่นคงของรัฐ

ข้อกำหนดขั้นต่ำตามระดับผลกระทบ

ระดับเกณฑ์การดำเนินการ
สูงหน่วยงาน จะต้อง ดำเนินการตามข้อกำหนดในมาตรฐานนี้ ทุกข้อ
กลางหน่วยงาน จะต้อง ดำเนินการตามข้อกำหนดด้านการกำกับดูแล (หัวข้อ 5) + ด้านเทคนิคบางส่วน (หัวข้อ 6)
ต่ำหน่วยงาน จะต้อง ดำเนินการตามข้อกำหนดด้านการกำกับดูแล (หัวข้อ 5) เท่านั้น

กลุ่มหน่วยงานที่ต้องปฏิบัติตาม

กลุ่มลักษณะหน่วยงานสถานะ
กลุ่มที่ 1CII, Regulator, หน่วยงานของรัฐจะต้องปฏิบัติตาม
กลุ่มที่ 2หน่วยงานเอกชนส่งเสริมให้ปฏิบัติตาม

แบบตรวจรายการ (Checklist) — หมวดการกำกับดูแล

หัวข้อที่ 5 ของมาตรฐาน — ข้อกำหนดด้านการกำกับดูแล จำนวน 20 ข้อ

ข้อ 1: การสำรวจบริบทของหน่วยงาน
ข้อข้อกำหนดข้อเสนอแนะ / รายละเอียด
1.1การสำรวจบริบทของหน่วยงานหน่วยงานจะต้องมีการทำความเข้าใจสถานการณ์ต่าง ๆ ที่เกี่ยวข้องกับการตัดสินใจในการจัดทำเว็บไซต์
ข้อ 2: นโยบายด้านความมั่นคงปลอดภัยสำหรับเว็บไซต์
ข้อข้อกำหนดข้อเสนอแนะ / รายละเอียด
2.1นโยบายความมั่นคงปลอดภัยฯหน่วยงานจะต้องมีการกำหนดนโยบายตามบริบทขององค์กรและสอดคล้องกับกฎหมาย
เฉพาะ: ถ้ามีนโยบาย IS/MS อยู่แล้ว ควรสอดคล้องกัน
2.2ทบทวนและสื่อสารนโยบายหน่วยงานจะต้องมีการทบทวน ปรับปรุง สื่อสาร และบังคับใช้นโยบาย
ข้อ 3: กลยุทธ์การจัดการความเสี่ยง
ข้อข้อกำหนดข้อเสนอแนะ / รายละเอียด
3.1กรอบบริหารความเสี่ยงกำหนดวัตถุประสงค์การบริหารความเสี่ยงและจัดทำกรอบการบริหารความเสี่ยง
3.2ประเมินความเสี่ยงเฉพาะ CII: พิจารณาดำเนินการประเมินความเสี่ยง
3.3ทะเบียนความเสี่ยงจัดทำ สื่อสาร และเก็บรักษารายการความเสี่ยงในทะเบียนความเสี่ยง
ข้อ 4: บทบาทและความรับผิดชอบ
ข้อข้อกำหนดข้อเสนอแนะ / รายละเอียด
4.1โครงสร้างองค์กรจัดโครงสร้างให้ถ่วงดุล พร้อมกำหนดอำนาจ บทบาทหน้าที่ และความรับผิดชอบ
4.2ผู้รับผิดชอบเว็บไซต์กำหนดให้มีผู้รับผิดชอบในการจัดทำและบริหารจัดการเว็บไซต์ของหน่วยงาน
4.3สื่อสารบทบาทกำหนด สื่อสาร ทำความเข้าใจและบังคับใช้บทบาท ความรับผิดชอบ และอำนาจ
ข้อ 5: การวางแผนกำหนดความต้องการ
ข้อข้อกำหนดข้อเสนอแนะ / รายละเอียด
5.1วัตถุประสงค์และความต้องการกำหนดวัตถุประสงค์และความต้องการในการจัดทำเว็บไซต์ ทั้งด้านฟังก์ชันและความมั่นคงปลอดภัย
ข้อ 6: การกำหนดแนวทางด้านความมั่นคงปลอดภัย
ข้อข้อกำหนดข้อเสนอแนะ / รายละเอียด
6.1แนวทางพื้นฐานมีแนวทางด้านความมั่นคงปลอดภัยระดับพื้นฐานตามคุณลักษณะด้านความมั่นคงปลอดภัยฯ
6.2คุณลักษณะฯ ข้อมูลกำหนดคุณลักษณะความมั่นคงปลอดภัยให้กับข้อมูลหรือสารสนเทศของเว็บไซต์
6.3ธุรกรรมอิเล็กทรอนิกส์เฉพาะ: หน่วยงานมีธุรกรรมอิเล็กทรอนิกส์ ต้องดำเนินการตามกฎหมายที่เกี่ยวข้อง
6.4หน่วยงานภาครัฐเฉพาะ: ดำเนินการตาม Government Website Standard
6.5คลาวด์เฉพาะ: หน่วยงานใช้บริการคลาวด์ ต้องรักษาความมั่นคงปลอดภัยตามแนวทาง cloud security
6.6ผู้ให้บริการพิจารณาเลือกผู้ให้บริการด้านความมั่นคงปลอดภัยไซเบอร์สำหรับเว็บไซต์
6.7แนวปฏิบัติ สกมช.เฉพาะรัฐ/CII: ปฏิบัติตามแนวปฏิบัติการรักษาความมั่นคงปลอดภัยที่ สกมช. กำหนด
6.8การสำรองข้อมูลกำหนดแนวทางในการสำรองข้อมูลเพื่อลดผลกระทบหากเว็บไซต์ถูกโจมตี
6.9การจัดการ Logจัดการข้อมูลจราจรทางคอมพิวเตอร์ตาม พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
6.10การเลิกใช้งานเว็บไซต์กำหนดหลักปฏิบัติในการเลิกใช้งานเว็บไซต์เพื่อป้องกันภัยคุกคามที่อาจเกิดกับผู้ใช้

🛡️ แบบตรวจรายการ — หมวดการดำเนินการและรักษาความมั่นคงปลอดภัย

หัวข้อที่ 6 ของมาตรฐาน — ข้อกำหนดด้านเทคนิค 61 ข้อ (รวมข้อเสนอแนะย่อย)

ข้อ 7: การระบุความเสี่ยง (Website Security Identification)
ข้อข้อกำหนดข้อเสนอแนะ / รายละเอียด
7.1จัดการทรัพย์สินและประเมินความเสี่ยงAsset Management, Risk Assessment, VA/PT อย่างน้อยปีละ 1 ครั้ง
ทะเบียนทรัพย์สินจัดทำทะเบียนทรัพย์สินและตรวจสอบอย่างน้อยปีละ 1 ครั้ง
ประเมินความเสี่ยงประเมินความเสี่ยงด้านไซเบอร์ ปีละครั้ง หรือเมื่อมีการเปลี่ยนแปลง
ควบคุมความเสี่ยงมีแนวทางจัดการ ควบคุม และป้องกันความเสี่ยงที่เหมาะสม
VAประเมินช่องโหว่ (Vulnerability Assessment) โดยอ้างอิงหลักการ
Penetration Testingทดสอบเจาะระบบอย่างน้อยปีละ 1 ครั้ง (ควรจะ)
Third Partyตรวจสอบผู้ให้บริการภายนอก กำหนดข้อกำหนดใน SLA
ข้อ 8: การป้องกันความเสี่ยง (Website Security Protection)
ข้อข้อกำหนดข้อเสนอแนะ / รายละเอียด
8.1Secure Developmentกำหนดแนวทางพัฒนา Web App อย่างมั่นคงปลอดภัย เช่น Secure Coding, Input Validation
8.2OWASP Top 10พิจารณาปัจจัยเสี่ยงที่พบได้บ่อยของ OWASP
8.3Secure Architectureออกแบบสถาปัตยกรรมเว็บไซต์อย่างมั่นคงปลอดภัย แบ่งเป็นโครงสร้าง 4 ส่วน
วาง Web Serverวางเครื่อง Web Server ร่วมกับอุปกรณ์รักษาความมั่นคงปลอดภัย
4 ส่วนออกแบบเป็น DMZ, Web Server, Application Server, Database Server
8.4Access Control & Hardeningควบคุมการเข้าถึงและทำให้ระบบมีความแข็งแกร่ง
Access Controlควบคุมการเข้าถึงตามประมวลแนวทางปฏิบัติด้านไซเบอร์
System Hardeningทำให้ระบบแข็งแกร่งตามประมวลแนวทางปฏิบัติ
Remote Connectionบริหารจัดการเชื่อมต่อระยะไกลอย่างปลอดภัย
Removable Mediaบริหารจัดการสื่อเก็บข้อมูลแบบถอดได้
Information Sharingแบ่งปันข้อมูลตามแนวทางที่กำหนด
Security Awarenessสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์สำหรับเว็บไซต์
8.5MFA 🔑พิสูจน์ตัวตนแบบหลายปัจจัยสำหรับ Admin, Remote Access, ข้อมูลอ่อนไหว
8.6Secure Configurationตั้งค่าเพื่อความมั่นคงปลอดภัยพื้นฐานของ Web Server Software
Web Serverตั้งค่า Web Server อย่างปลอดภัย
Web Applicationตั้งค่า Web Application อย่างปลอดภัย
CMSตั้งค่าระบบ CMS ตามข้อเสนอแนะ
OSตั้งค่าระบบปฏิบัติการ (อ้างอิง NIST SP 800-123)
Databaseตั้งค่าฐานข้อมูลเพื่อความมั่นคงปลอดภัย
8.7แนวทางเลือกบริการกำหนดแนวทางเลือก Web Server, CMS, Domain Registrar, TLS Cipher Suite
8.8Firewall / WAFตั้งค่า Firewall และ WAF เพื่อควบคุมและป้องกันการบุกรุก
ข้อ 9: การตรวจจับภัยคุกคาม (Website Security Detection)
ข้อข้อกำหนดข้อเสนอแนะ / รายละเอียด
9.1Monitoring & Threat Detectionตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์ตามประมวลแนวทางปฏิบัติ
กลไกตรวจจับสร้างกลไกตรวจจับ จัดประเภท วิเคราะห์ ระบุภัยคุกคาม
ทบทวนกลไกทบทวนกลไกอย่างน้อยปีละ 1 ครั้ง
ข้อ 10: การเผชิญเหตุ (Website Incident Response)
ข้อข้อกำหนดข้อเสนอแนะ / รายละเอียด
10.1Incident Response Planจัดทำแผนการรับมือภัยคุกคามทางไซเบอร์สำหรับเว็บไซต์
แผน IRจัดทำ Website Security Incident Response Plan
ฝึกซ้อมสื่อสาร ทบทวน ปรับปรุง และฝึกซ้อมแผน
Crisis Commsจัดทำแผนการสื่อสารในภาวะวิกฤต
ระดับชาติฝึกซ้อมรับมือภัยคุกคามระดับชาติหรือระดับหน่วยงาน
ข้อ 11: การฟื้นฟู (Website Recovery)
ข้อข้อกำหนดข้อเสนอแนะ / รายละเอียด
11.1Recovery & BCPรักษาและฟื้นฟูความเสียหายจากภัยคุกคามทางไซเบอร์สำหรับเว็บไซต์
BCPจัดทำแผนความต่อเนื่องทางธุรกิจ (BCP)
ฝึกซ้อม BCPฝึกซ้อม BCP อย่างน้อยปีละ 1 ครั้ง

📄 แบบฟอร์มตรวจสอบ

แบบฟอร์ม ค1 — แบบตรวจรายการ

ประกอบด้วย 3 ส่วน:

ระดับการประเมินข้อเสนอแนะ: ดำเนินการแล้ว อยู่ในระหว่างดำเนินการ ยังไม่ได้ดำเนินการ

ระดับการประเมินข้อกำหนด: ดำเนินการแล้ว ยังต้องปรับปรุง

แบบฟอร์ม ค2 — แบบรายงานรายการที่ยังต้องปรับปรุง

เมื่อพบรายการที่ "ยังต้องปรับปรุง" ให้บันทึกในแบบฟอร์ม ค2 ประกอบด้วย:

⚖️ เปรียบเทียบ: WSS (สกมช.) vs NIST CSF

WSS เป็นมาตรฐาน เฉพาะทางด้านความปลอดภัยเว็บไซต์ ส่วน NIST CSF เป็นกรอบแนวทาง ระดับองค์กรแบบครอบคลุม

มุมมองWSS (สกมช./ETDA)NIST CSF
องค์กรผู้ออกสกมช. + ETDA ประเทศไทยNIST สหรัฐอเมริกา
ปีที่เผยแพร่WSS 1.0: 2557 — WSS 2025: 2568CSF 1.0: 2014 — CSF 2.0: 2024
ขอบเขตเฉพาะเว็บไซต์ — Server, CMS, DB, Appครอบคลุมทั้งองค์กร — Govern, Identify, Protect, Detect, Respond, Recover
กลุ่มเป้าหมายผู้ดูแลเว็บ, นักพัฒนา, หน่วยงานรัฐผู้บริหาร CISO, ทีมความปลอดภัย
ลักษณะข้อกำหนด + Checklist ปฏิบัติได้จริงกรอบแนวทาง ยืดหยุ่น ปรับตามความเสี่ยง
การบังคับใช้บังคับรัฐไทย 2569สมัครใจ (แรงผลักดันจากกฎระเบียบ)
จุดแข็งเจาะจง, มี Checklist ภาษาไทย, นำไปใช้ได้ทันทีครอบคลุมภาพรวมองค์กร, เชื่อมโยงมาตรฐานสากล
จุดอ่อนจำกัดเฉพาะเว็บ — ไม่ครอบคลุมโครงสร้างพื้นฐานอื่นซับซ้อนสำหรับองค์กรเล็ก ต้องปรับใช้

ความสัมพันธ์: WSS 1.0 อ้างอิง NIST SP 800-44 และสอดคล้องกับกรอบ NIST CSF โดยเฉพาะด้าน Protect (Access Control, Awareness, Data Security) และ Respond (Incident Response Planning, Communication)

📎 มาตรฐานเสริม: WAS (ขมธอ. 4-2560)

Web Application Security Standard (WAS) — ออกโดย ETDA ในปี พ.ศ. 2560 เน้น การพัฒนาและทดสอบโปรแกรมประยุกต์บนเว็บ อย่างมั่นคงปลอดภัย ครอบคลุมภัยคุกคาม Top Threats จาก OWASP

📚 แหล่งข้อมูลอ้างอิง

แหล่งรายละเอียดลิงก์
ETDAWSS / WAS — เอกสารดาวน์โหลดetda.or.th
สกมช.สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติncsa.go.th
NISTNIST SP 800-44 — Guidelines on Securing Public Web Serverscsrc.nist.gov
NISTNIST Cybersecurity Framework (CSF) 2.0nist.gov/cyberframework
OWASPOWASP Top 10 — Web Application Security Risksowasp.org
ThaiCERTศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทยthaicert.or.th