Reconix LogoReconix
สกมช.

มาตรฐานเว็บไซต์ สกมช. กันยายน 2569 — องค์กรคุณพร้อมหรือยัง?

มาตรฐานความปลอดภัยเว็บไซต์ พ.ศ. 2568 กำลังจะบังคับใช้ในกันยายน 2569 หน่วยงานรัฐและผู้ดูแล CII ต้องเตรียมตัวตั้งแต่ตอนนี้

v1.0
เวอร์ชันมาตรฐาน
ความปลอดภัยเว็บไซต์
ก.ย. 2569
วันบังคับใช้
ระยะเปลี่ยนผ่าน 1 ปี
CII
บังคับใช้กับ
โครงสร้างพื้นฐานสำคัญ
ประจำปี
รอบการทดสอบ
ข้อกำหนดขั้นต่ำ
รับการประเมินตามมาตรฐาน สกมช.

มาตรฐานความปลอดภัยเว็บไซต์ สกมช. คืออะไร?

มาตรฐานฉบับนี้ประกาศในราชกิจจานุเบกษาเมื่อ 16 กันยายน 2568 โดย กมช. อาศัยอำนาจตาม พ.ร.บ. Cybersecurity พ.ศ. 2562 เป็นเกณฑ์ขั้นต่ำที่เว็บไซต์ของหน่วยงานรัฐ หน่วยงานกำกับดูแล และ CII ทุกแห่งต้องทำตาม ใช้โมเดล "High Water Mark" ตาม CIA triad ในการประเมินความเสี่ยง และแนะนำให้เอกชนนำไปใช้ด้วย

  • ออกโดย กมช. ภายใต้ สกมช. ตาม พ.ร.บ. Cybersecurity พ.ศ. 2562
  • ประกาศในราชกิจจานุเบกษา 16 กันยายน 2568
  • บังคับใช้จริง 16 กันยายน 2569 — มีเวลาเตรียมตัว 1 ปี
  • ใช้หลัก "High Water Mark" จาก CIA triad (Confidentiality, Integrity, Availability) ประเมินความเสี่ยง
  • องค์กรต้องจัดระดับผลกระทบเว็บไซต์เป็น ต่ำ กลาง หรือ สูง
  • บังคับกับหน่วยงานรัฐ หน่วยงานกำกับ และ CII — เอกชนแนะนำให้ใช้เป็นแนวทาง
  • พัฒนาจากมาตรฐานสากล OWASP ASVS และ NIST

อ้างอิง: มาตรฐานความปลอดภัยเว็บไซต์ พ.ศ. 2568 (Version 1.0), กมช., ราชกิจจานุเบกษา, 16 กันยายน 2568

ใครต้องทำตาม?

บังคับใช้กับหน่วยงานรัฐ หน่วยงานกำกับดูแล และ CII ทุกราย ส่วนภาคเอกชนแนะนำให้ใช้เป็นมาตรฐานขั้นต่ำด้านความปลอดภัย

หน่วยงานรัฐ

ทุกหน่วยงานราชการที่มีเว็บไซต์หรือเว็บแอปพลิเคชันเปิดให้ประชาชนเข้าถึง

การเงิน CII

ธนาคาร บริษัทหลักทรัพย์ ประกันภัย และผู้ให้บริการชำระเงินที่เป็น CII

ICT และโทรคมนาคม CII

ผู้ให้บริการ ICT และโทรคมนาคมที่เป็นโครงสร้างพื้นฐานสำคัญ

พลังงานและสาธารณูปโภค CII

ผู้ให้บริการพลังงานและสาธารณูปโภคที่มีระบบเว็บสำคัญ

การขนส่ง CII

ผู้ดำเนินงานโครงสร้างพื้นฐานด้านขนส่งที่มีระบบเว็บ

สาธารณสุข CII

หน่วยงานสาธารณสุขที่มีเว็บไซต์จัดการข้อมูลผู้ป่วย

เวอร์ชัน 1.0

ข้อกำหนดหลักที่ต้องทำ

6 ด้านที่องค์กรต้องดำเนินการ ตั้งแต่ Penetration Testing ไปจนถึง Incident Response และ Monitoring

Vulnerability Assessment & Penetration Testing

สแกนช่องโหว่อย่างต่อเนื่องในระบบที่เปิดเชื่อมต่ออินเทอร์เน็ต พร้อมทดสอบเจาะระบบอย่างน้อยปีละครั้ง ครอบคลุม OWASP Top 10 ทั้ง XSS, SQL Injection และ Broken Authentication

Secure Development (SSDLC)

ต้องมี SSDLC ครบวงจร ทั้งมาตรฐาน Secure Coding, Code Review และทดสอบความปลอดภัยก่อน Deploy แนะนำอย่างยิ่งให้ทำ Secure Code Review เพื่อกำจัดช่องโหว่ตั้งแต่ระดับ Source Code

SSL/TLS และ DNSSEC

บังคับ HTTPS ด้วย TLS 1.2 ขึ้นไป ใช้ Cipher Suite ที่แข็งแกร่ง ใบรับรองที่ถูกต้อง HSTS headers และติดตั้ง DNSSEC ป้องกัน DNS ด้วย

Access Control และ Authentication

ต้องมี MFA สำหรับระบบ Admin และระบบสำคัญ พร้อม Role-based Access Control และ Session Management ที่รัดกุม

Incident Response สำหรับการโจมตีเว็บ

ต้องมีขั้นตอนที่ชัดเจนและเป็นลายลักษณ์อักษรสำหรับตรวจจับ ตอบสนอง และกู้คืนจากเหตุการณ์ด้าน Security ทั้ง Web Defacement, Data Breach และ DDoS

Security Monitoring และ Logging

บันทึก Log ของเว็บแอปพลิเคชันอย่างครบถ้วน มีระบบ Monitoring ด้านความปลอดภัย และตรวจสอบ Log เป็นประจำ

ไม่ทำตามจะเกิดอะไรขึ้น?

พ.ร.บ. Cybersecurity พ.ศ. 2562 มีผลบังคับใช้แล้ว แต่มาตรฐานเว็บไซต์ พ.ศ. 2568 จะบังคับใช้ตั้งแต่ 16 กันยายน 2569 หลังจากนั้นองค์กรที่ไม่ปฏิบัติตามจะเจอผลกระทบที่รุนแรงขึ้นเรื่อย ๆ

คำสั่งกำกับดูแล
พ.ร.บ. ไซเบอร์

ตาม พ.ร.บ. ไซเบอร์ (บังคับใช้แล้ว) สกมช. สั่งให้องค์กร CII แก้ไขด้านความปลอดภัยได้ เมื่อมาตรฐานเว็บไซต์มีผลบังคับใช้ในกันยายน 2569 การไม่ปฏิบัติตามจะถูกดำเนินมาตรการที่เข้มข้นขึ้น

โทษทางปกครอง
พ.ร.บ. ไซเบอร์

องค์กร CII ที่ไม่ทำตามข้อกำหนดจะถูกลงโทษทางปกครอง เมื่อมาตรฐานเว็บไซต์บังคับใช้แล้ว (ตั้งแต่กันยายน 2569) สกมช. จะมีเหตุผลทางกฎหมายในการสั่งแก้ไขและลงโทษได้

เสียชื่อเสียง
การเปิดเผยสาธารณะ

ข้อมูลการไม่ปฏิบัติตามอาจถูกเปิดเผยผ่านช่องทางกำกับดูแล กระทบชื่อเสียง ความเชื่อมั่นจากสาธารณะ และความสัมพันธ์กับหน่วยงานรัฐ

Security Testing ตอบโจทย์มาตรฐาน สกมช. อย่างไร

บริการทดสอบแต่ละอย่างแมปตรงกับข้อกำหนดเฉพาะของมาตรฐาน และเป็นหลักฐานที่ผู้ตรวจสอบต้องการเห็น

Web Application Penetration Testing

ทดสอบประจำปี (บังคับตั้งแต่กันยายน 2569) จำลองการโจมตีจริงตาม OWASP Top 10 ทั้ง XSS, SQL Injection และ Broken Authentication เพื่อพิสูจน์ว่าระบบป้องกันได้จริง

Vulnerability Assessment

สแกนอย่างต่อเนื่อง (บังคับตั้งแต่กันยายน 2569) ในเว็บเซิร์ฟเวอร์ ฐานข้อมูล และ API ที่เปิดเชื่อมต่ออินเทอร์เน็ต เพื่อหา CVE และ Misconfiguration

Secure Code Review

แนะนำอย่างยิ่ง — ใช้ SAST และตรวจสอบโดยผู้เชี่ยวชาญเพื่อกำจัดช่องโหว่ OWASP Top 10 ตั้งแต่ระดับ Source Code ก่อน Deploy

SSL/TLS, DNSSEC & Configuration Assessment

ตรวจสอบ TLS 1.2+, DNSSEC, การจัดการใบรับรอง และความปลอดภัยของ Protocol ตามที่มาตรฐานกำหนด

รายการตรวจสอบ

Checklist เตรียมตัวตามมาตรฐาน สกมช.

สิ่งที่องค์กรต้องทำให้ครบก่อนกำหนดบังคับใช้กันยายน 2569

จัดระดับผลกระทบเว็บไซต์ (ต่ำ กลาง สูง) ตามหลัก High Water Mark
ทำ Vulnerability Assessment อย่างต่อเนื่องกับระบบที่เชื่อมต่ออินเทอร์เน็ต
ทำ Penetration Testing เว็บแอปพลิเคชันปีละครั้ง ครอบคลุม OWASP Top 10
จัดทำเอกสาร SSDLC ให้ครบถ้วน
ตั้งค่า SSL/TLS ด้วย TLS 1.2+ พร้อม Cipher Suite ที่แข็งแกร่งและใบรับรองที่ถูกต้อง
ติดตั้ง DNSSEC ป้องกัน DNS
เปิด HSTS headers และบังคับ HTTPS ทุกเว็บไซต์
เปิด MFA สำหรับ Admin และระบบสำคัญทั้งหมด
ทำ Role-based Access Control และ Session Management ให้รัดกุม
ติดตั้ง WAF (Web Application Firewall)
จัดทำและซ้อมแผน Incident Response สำหรับการโจมตีเว็บ
เปิด Security Logging และ Monitoring แบบ Real-time
อบรม Cybersecurity ให้ทีม Dev และ Ops เป็นประจำ
เก็บหลักฐานการประเมินทั้งหมดให้พร้อมสำหรับ สกมช. ตรวจสอบ
ติดตามการแก้ไขช่องโหว่พร้อมกำหนดเวลาชัดเจน
ทบทวนนโยบาย Web Security อย่างน้อยปีละครั้ง

เอกสารอ้างอิง

อ่านเอกสารกฎระเบียบฉบับเต็มจากแหล่งทางการ

ระเบียบข้อบังคับและมาตรฐาน สกมช.
พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
มาตรฐานความมั่นคงปลอดภัยเว็บไซต์ พ.ศ. 2568 – ราชกิจจานุเบกษา (PDF)
พ.ร.บ. ไซเบอร์ พ.ศ. 2562 – ฉบับเต็ม (ราชกิจจานุเบกษา PDF)

บริการที่ช่วยให้ Comply ได้

บริการทดสอบและที่ปรึกษาครบวงจร ตอบโจทย์ทุกข้อกำหนดของ สกมช. พร้อมเอกสารสำหรับตรวจสอบ

Web Application Penetration Testing

ทดสอบเจาะระบบโดยผู้เชี่ยวชาญ ครอบคลุม OWASP Top 10 พร้อมรายงานที่แมปตรงกับข้อกำหนด สกมช.

เรียนรู้เพิ่มเติม

Vulnerability Assessment

สแกนและวิเคราะห์ช่องโหว่อย่างเป็นระบบทั่วทั้ง Web Infrastructure

เรียนรู้เพิ่มเติม

Cybersecurity Consulting

ที่ปรึกษาด้านกลยุทธ์ Compliance สกมช. ตั้งแต่ Gap Assessment ไปจนถึงวางแผนดำเนินการ

เรียนรู้เพิ่มเติม
กลับไปหน้า Compliance ทั้งหมด

คำถามที่พบบ่อย

รวมคำถามเกี่ยวกับมาตรฐานความปลอดภัยเว็บไซต์ สกมช. และการเตรียมตัว Comply

อย่ารอจนใกล้ Deadline

กันยายน 2569 ใกล้กว่าที่คิด เริ่มประเมินความพร้อมกับผู้เชี่ยวชาญตั้งแต่วันนี้ พร้อมรายงานที่แมปตรงทุกข้อกำหนด สกมช.

Reconix เป็นบริษัทชั้นนำด้านความปลอดภัยไซเบอร์ในประเทศไทย ที่ให้บริการระดับโลกแก่ธุรกิจทุกขนาด