Governance
มีเจ้าของระบบ นโยบาย ความรับผิดชอบ แผนรับมือเหตุ และ audit log
security compliance
เว็บสวยอย่างเดียวไม่พอ ต้องมีกรอบความปลอดภัย
สรุปแนวทางจาก Website Security Standard และเอกสารอบรม GDCC ให้กลายเป็น checklist ที่นำไปขายงานและพัฒนาเว็บหน่วยงานได้จริง
Wikimedia Commons / Oatz
implementation checklist
สิ่งที่ระบบ COMELOA เตรียมไว้ตั้งแต่โครงสร้าง
โครงสร้างและ UX ของ COMELOA ออกแบบให้ตรวจสอบและขยายเป็นระบบ production ได้
Protection
ออกแบบให้รองรับ HTTPS, MFA, role permission, validation, rate limit และ WAF
Detection
เก็บ event สำคัญและแจ้งเตือน LINE/dashboard เมื่อมีเหตุผิดปกติ
Response & Recovery
เตรียม incident workflow, backup, restore และข้อความแจ้งผู้เกี่ยวข้อง
ประกาศ
16 กันยายน 2568
อ้างอิงประกาศมาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ พ.ศ. 2568
ขอบเขต
Governance + Operation
ต้องคิดทั้งนโยบาย ผู้รับผิดชอบ และระบบเทคนิค เช่น web server, database, CMS, app
เตรียมใช้งาน
Self-assessment ปีละครั้ง
ควรมีหลักฐาน ค1/แผนปรับปรุง และ audit log ให้ตรวจย้อนหลังได้
ข้อความขายงานราชการที่ควรมี
เว็บไซต์สามารถจัดทำ policy, PDPA consent, audit log, backup plan, role permission และ incident response workflow เพื่อช่วยให้หน่วยงานมีหลักฐานการกำกับดูแลระบบ
ให้ GoodShot House ทำเว็บข้อจำกัดที่ต้องพูดตรง ๆ
ต้องมีระบบ hosting, backup, WAF, monitoring และ incident process จริงเมื่อ deploy
ข้อมูลส่วนบุคคลจาก RFQ/Lead ต้องมี consent และไม่ส่งต่อเกินจำเป็น
ไฟล์สำคัญ เช่น หลักฐานแพ็กของหรือเอกสารลูกค้า ควรอยู่ใน private storage พร้อม signed URL
เหตุโจมตีหรือข้อมูลรั่วต้องมีขั้นตอนแจ้งผู้เกี่ยวข้องตามความรุนแรงของเหตุ