Government Website Standard

มาตรฐานเว็บไซต์ภาครัฐ(Government Website Standard)

...

การดําเนินงานด้านรัฐบาลอิเล็กทรอนิกส์(e-Government) เพื่อให้บริการตามภารกิจและนําเสนอข้อมูลข่าวสารแก่ประชาชนรวมทั้งการมี
ปฏิสัมพันธ์กับประชาชนและยกระดับความสามารถของการให้บริการรัฐบาลอิเล็กทรอนิกส์ผ่านทางเว็บไซต์ของหน่วยงาน เพิ่มประสิทธิภาพการให้บริการรวมทั้งสร้างความสัมพันธ์ที่ดีระหว่างประชาชน หน่วยงานราชการ และหน่วยงานธุรกิจภาครัฐให้สามารถก้าวไปสู่จุดหมายของการ
บูรณาการเชื่อมโยงหน่วยงานภาครัฐ (Connected Government) ที่สมบูรณ์แบบอย่างแท้จริง

ความมั่นคงปลอดภัยสำหรับเว็บไซต์(Website Security)

1. การบริหารจัดการเว็บไซต์ (Website Management)

  • มีการเข้ารหัสข้อมูล (Encryption) เพื่อเพิ่มความปลอดภัยในการสื่อสารหรือส่งข้อมูลผ่านเครือข่าย อินเทอร์เน็ต เช่น การใช้ Secure Sockets Layer (SSL) (https) เป็นต้น

  • ทำการตรวจสอบช่องโหว่ของเว็บไซต์ด้วยวิธีการที่เหมาะสม

  • เก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ตามข้อกำหนดในพระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550      และประกาศกระทรวงดิจิทัล เพื่อเศรษฐกิจและสังคม เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ    พ.ศ. 2550

2. บริการบนเว็บไซต์ที่มีการลงทะเบียนผู้ใช้งาน (User Registration)

  • กำหนดให้มีขั้นตอนทางปฏิบัติสำหรับการลงทะเบียนผู้ใช้งาน (User Registration) และการตัดออกจากทะเบียนของผู้ใช้งานหรือกำหนดสถานะผู้ใช้งานเสมือน ยกเลิกการใช้งาน เมื่อมีการยกเลิกเพิกถอนการอนุญาต ดังกล่าว

  • มีการบริหารจัดการสิทธิของผู้ใช้งาน ต้องจัดให้มีการควบคุมและจำกัดสิทธิเพื่อเข้าถึงและใช้งานตามความเหมาะสม

  • มีกระบวนการบริหารจัดการรหัสผ่านสำหรับผู้ใช้งาน(User Password Management) อย่างรัดกุม เช่น กำหนดแนวปฏิบัติที่ดีสำหรับผู้ใช้งานในการกำหนดรหัสผ่าน, การใช้งานรหัสผ่าน และการเปลี่ยนรหัสผ่าน ภายในระยะเวลาที่เหมาะสม เป็นต้น

  • มีการใช้ Captcha ควบคู่กับการให้บริการที่จำเป็น ต้องรับข้อมูลจากผู้ใช้บริการหรือวิธีการอื่นตามความเหมาะสม

  • เมื่อมีการว่างเว้นจากการใช้งานในระยะเวลาหนึ่งให้ยุติการใช้งานบริการนั้น(Session time-out) ตลอดจนต้องมีการเข้ารหัส Session ID เมื่อต้องส่งค่าผ่านช่องทางการสื่อสาร(Encrypted Connection)

3. มาตรฐานที่เกี่ยวข้อง (Related Standard)

  • เพื่อลดความเสี่ยงจากการถูกโจมตีทางเทคโนโลยีสารสนเทศและการสื่อสารหรือทางออนไลน์ควรพิจารณาพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544  พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551  และ “มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์(Website Security Standard)”ประกาศโดยสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์(องค์การ มหาชน) โดยการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์(Website Security Standard) เน้นที่การรักษาความมั่นคงปลอดภัยของเครื่องบริการเว็บในส่วนของโปรแกรมสำหรับให้บริการเว็บ (Web server software) ระบบบริหารจัดการเว็บไซต์(Content management system: CMS) ระบบฐานข้อมูล (Database system) และโปรแกรมประยุกต์บนเว็บ
    (Web applications)

คุณลักษณะที่ควรมี (Recommended Features)

1. การแสดงผล (Display Feature)

  • มีการแสดงผลอย่างน้อย 2 ภาษา คือ ภาษาไทย และ ภาษาอังกฤษ

  • สามารถเพิ่มหรือลดขนาดตัวอักษรได้โดยไม่กระทบต่อการแสดงผล และเพื่อรองรับการแสดงผลบนอุปกรณ์ที่มีความหลากหลายควรคำนึงถึงการออกแบบเว็บไซต์ในลักษณะ Responsive (Responsive web design)

2. รูปแบบการนำเสนอข้อมูล (Presentation Feature)

  • มีการใช้งาน Really Simple Syndication (RSS)  เพื่อ นำเสนอข้อมูลข่าวสารของหน่วยงาน

  • มีการนำเสนอเนื้อหาในรูปแบบของเสียง และวีดีโอ

3. ระบบสืบค้นข้อมูล (Search Engine)

  • มีส่วนที่เป็นบริการสืบค้นข้อมูลทั่วไป และข้อมูลภายใน หน่วยงานได้

4. เครื่องมือสนับสนุนการใช้งาน

  • มีระบบ Navigation ที่ชัดเจนง่ายต่อการเข้าใจ

  • มีเครื่องมือในการแนะนำการใช้งาน (Help) ได้แก่ Tool tips, Pop-up, Help เป็นต้น

5. เครื่องมือสำหรับเก็บข้อมูลการเยี่ยมชมเว็บไซต์ (Web Analytic)

  • มีเครื่องมือสำหรับเก็บข้อมูลการเยี่ยมชมเว็บไซต์ เพื่อแสดงข้อมูลเชิงสถิติ เช่น จำนวนผู้ใช้บริการ, ความพึง พอใจ, จำนวนรายการที่ให้บริการ และ แสดงรายการบริการที่มีจำนวนผู้ใช้บริการเป็นจำนวนมากที่สุด แสดงผลความพึงพอใจ เป็นต้น

6. การให้บริการเฉพาะบุคคล (Personalized e-Service)  ในลักษณะที่ผู้ใช้บริการสามารถกำหนดรูปแบบส่วนตัวในการใช้ บริการเว็บไซต์ได้

  • มีบริการส่งข้อมูลให้ผู้ใช้บริการเป็นรายบุคคลสำหรับผู้ลงทะเบียน

  • ผู้ใช้บริการสามารถกำหนดรูปแบบข้อมูลที่ต้องการ และจัดเนื้อหาที่สนใจได้ (My Page หรือ Personal Dashboard) หรือจัดรูปแบบรายงานได้ตามความต้องการ (Dynamic Report)

  • เว็บไซต์สามารถนำเสนอหัวข้อข่าว/ข้อมูล/บริการ ที่ ผู้ใช้บริการเข้ามาใช้งานครั้งล่าสุดได้ (Last Visited)

  • มีการจัดเก็บข้อมูลการใช้งาน เพื่อการปรับปรุงการให้บริการของหน่วยงานผ่านทางเว็บไซต์จากการวิเคราะห์พฤติกรรมของผู้ใช้บริการ

7. การทำให้เนื้อหาเว็บสามารถเข้าถึงและใช้ประโยชน์ได้ (Web Accessibility) 

  • เว็บไซต์ควรสอดคล้องกับข้อกำหนดขององค์การมาตรฐานเวิลด์ไวด์เว็บ (World Wide Web Consortium: W3C) คณะริเริ่มดำเนินการทำให้เว็บเข้าถึงและใช้ประโยชน์ได้ (Web Accessibility Initiative: WAI) ตามข้อกำหนดการทำให้เนื้อหาเว็บสามารถเข้าถึงและใช้ประโยชน์ได้รุ่น 2.0 (Web Content Accessibility Guidelines 2.0: WCAG 2.0) ในเกณฑ์ความสำเร็จระดับ เอ (A)

8. ส่วนล่างของเว็บไซต์ทุกๆ หน้าควรจะแสดงข้อมูลต่างๆ ในส่วนล่างของเว็บไซต์ ดังต่อไปนี้ 

  • เมนูหลักในรูปแบบข้อความ

  • ข้อมูลติดต่อหน่วยงาน ได้แก่ ชื่อและที่อยู่ หมายเลข โทรศัพท์ หมายเลขโทรสาร และที่อยู่ไปรษณีย์ อิเล็กทรอนิกส์

  • คำสงวนลิขสิทธิ์(Copyright)

  • การปฏิเสธความรับผิด (Disclaimer)การประกาศนโยบาย เช่น นโยบายเว็บไซต์ (Website Policy), นโยบายการคุ้มครองข้อมูลส่วน บุคคล (Privacy Policy), นโยบายการรักษาความมั่นคงปลอดภัยของเว็บไซต์(Website Security Policy) เป็นต้น

  • การเข้าถึงเว็บไซต์ (Web Accessibility) ข้อมูลที่ช่วยให้สามารถใช้งานเว็บไซต์ได้สะดวกขึ้นรับทราบข้อจำกัด หรือความจำเป็นพื้นฐานทางเทคนิคในการแสดงผลโดยมีตัวอย่างของข้อมูล เช่น ความต้องการพื้นฐาน, เวอร์ชันขั้นต่ำของ เบราว์เซอร์ที่รองรับการแสดงผล หรือ การทำงานที่สมบูรณ์  โปรแกรมสำหรับใช้ในการดูเอกสารบนเว็บไซต์ เช่น PDF Readers/Viewers หรือ Open source อื่น เป็นต้น

การประกาศนโยบาย (Policy)

1. นโยบายเว็บไซต์(Website Policy)

  • การประกาศนโยบายเว็บไซต์มีจุดมุ่งหมายเพื่อให้ผู้ใช้บริการได้ทราบถึงวัตถุประสงค์และข้อกำหนดต่างๆในการใช้งานเว็บไซต์ โดยการประกาศนโยบายเว็บไซต์ควรมีเนื้อหาครอบคุมในเรื่องดังต่อไปนี้
    – วัตถุประสงค์
    – เงื่อนไขและข้อกำหนดในการใช้งานเว็บไซต์
    – สิทธิ หน้าที่ และความรับผิดชอบของผู้ใช้บริการ
    – การเชื่อมโยงกับเว็บไซต์อื่นๆ
    – การปฏิเสธความรับผิด (Disclaimer)
    – กรรมสิทธิ์และสิทธิในทรัพย์สินทางปัญญา
    – กฎหมายที่ใช้บังคับ

2. นโยบายการคุ้มครองข้อมูลส่วนบุคคล(Privacy Policy)

  • การประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลมีจุดมุ่งหมายเพื่อแจ้งให้ผู้ใช้บริการเว็บไซต์ทราบถึงแนวปฏิบัติของเว็บไซต์ต่อข้อมูลส่วนบุคคลของผู้ใช้บริการ การประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล ควรมีเนื้อหาครอบคลุมในเรื่องดังต่อไปนี้
    – การเก็บรวบรวมข้อมูลส่วนบุคคล
    – การใช้ข้อมูลส่วนบุคคล
    – สิทธิในการคุ้มครองข้อมูลส่วนบุคคลของท่าน
    – การรักษาความปลอดภัยสำหรับข้อมูลส่วนบุคคล
    – การใช้คุกกี้ (Cookies)
    – การปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
    – การปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลและการติดต่อกับ หน่วยงาน/เว็บไซต์

3. นโยบายการรักษาความมั่นคงปลอดภัยเว็บไซต์(Website Security Policy)

  • การประกาศนโยบายการรักษาความมั่นคงปลอดภัยเว็บไซต์เพื่อให้ผู้ใช้บริการได้ทราบถึงมาตรการรักษาความมั่นคงปลอดภัยของเว็บไซต์ เพื่อให้ผู้ใช้บริการเกิดความเชื่อมั่นในการใช้บริการเว็บไซต์มากยิ่งขึ้น โดยเนื้อหาของนโยบายควรจะครอบคลุมในเรื่องต่อไปนี้
    – มีมาตรการและวิธีการรักษาความมั่นคงปลอดภัยเว็บไซต์อย่างไร
    – อุปกรณ์ หรือ เทคโนโลยีที่นำมาใช้ในการรักษาความมั่นตงปลอดภัย
    – ข้อแนะนำเกี่ยวกับการรักษาความมั่นคงปลอดภัยเบื้องต้นสำหรับผู้ใช้บริการเว็บไซต์

อ้างอิงจาก : https://www.dga.or.th/th/profile/888/

อ่านเพิ่มเติม : https://itdept.ipst.ac.th/wp-content/uploads/2021/01/มาตรฐานเว็บไซต์ภาครัฐ-เวอร์ชัน-2.pdf