Government Website Standard
มาตรฐานเว็บไซต์ภาครัฐ(Government Website Standard)
...
การดําเนินงานด้านรัฐบาลอิเล็กทรอนิกส์(e-Government) เพื่อให้บริการตามภารกิจและนําเสนอข้อมูลข่าวสารแก่ประชาชนรวมทั้งการมี
ปฏิสัมพันธ์กับประชาชนและยกระดับความสามารถของการให้บริการรัฐบาลอิเล็กทรอนิกส์ผ่านทางเว็บไซต์ของหน่วยงาน เพิ่มประสิทธิภาพการให้บริการรวมทั้งสร้างความสัมพันธ์ที่ดีระหว่างประชาชน หน่วยงานราชการ และหน่วยงานธุรกิจภาครัฐให้สามารถก้าวไปสู่จุดหมายของการ
บูรณาการเชื่อมโยงหน่วยงานภาครัฐ (Connected Government) ที่สมบูรณ์แบบอย่างแท้จริง
ความมั่นคงปลอดภัยสำหรับเว็บไซต์(Website Security)
1. การบริหารจัดการเว็บไซต์ (Website Management)
-
มีการเข้ารหัสข้อมูล (Encryption) เพื่อเพิ่มความปลอดภัยในการสื่อสารหรือส่งข้อมูลผ่านเครือข่าย อินเทอร์เน็ต เช่น การใช้ Secure Sockets Layer (SSL) (https) เป็นต้น
-
ทำการตรวจสอบช่องโหว่ของเว็บไซต์ด้วยวิธีการที่เหมาะสม
-
เก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ตามข้อกำหนดในพระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550 และประกาศกระทรวงดิจิทัล เพื่อเศรษฐกิจและสังคม เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550
2. บริการบนเว็บไซต์ที่มีการลงทะเบียนผู้ใช้งาน (User Registration)
-
กำหนดให้มีขั้นตอนทางปฏิบัติสำหรับการลงทะเบียนผู้ใช้งาน (User Registration) และการตัดออกจากทะเบียนของผู้ใช้งานหรือกำหนดสถานะผู้ใช้งานเสมือน ยกเลิกการใช้งาน เมื่อมีการยกเลิกเพิกถอนการอนุญาต ดังกล่าว
-
มีการบริหารจัดการสิทธิของผู้ใช้งาน ต้องจัดให้มีการควบคุมและจำกัดสิทธิเพื่อเข้าถึงและใช้งานตามความเหมาะสม
-
มีกระบวนการบริหารจัดการรหัสผ่านสำหรับผู้ใช้งาน(User Password Management) อย่างรัดกุม เช่น กำหนดแนวปฏิบัติที่ดีสำหรับผู้ใช้งานในการกำหนดรหัสผ่าน, การใช้งานรหัสผ่าน และการเปลี่ยนรหัสผ่าน ภายในระยะเวลาที่เหมาะสม เป็นต้น
-
มีการใช้ Captcha ควบคู่กับการให้บริการที่จำเป็น ต้องรับข้อมูลจากผู้ใช้บริการหรือวิธีการอื่นตามความเหมาะสม
-
เมื่อมีการว่างเว้นจากการใช้งานในระยะเวลาหนึ่งให้ยุติการใช้งานบริการนั้น(Session time-out) ตลอดจนต้องมีการเข้ารหัส Session ID เมื่อต้องส่งค่าผ่านช่องทางการสื่อสาร(Encrypted Connection)
3. มาตรฐานที่เกี่ยวข้อง (Related Standard)
-
เพื่อลดความเสี่ยงจากการถูกโจมตีทางเทคโนโลยีสารสนเทศและการสื่อสารหรือทางออนไลน์ควรพิจารณาพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551 และ “มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์(Website Security Standard)”ประกาศโดยสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์(องค์การ มหาชน) โดยการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์(Website Security Standard) เน้นที่การรักษาความมั่นคงปลอดภัยของเครื่องบริการเว็บในส่วนของโปรแกรมสำหรับให้บริการเว็บ (Web server software) ระบบบริหารจัดการเว็บไซต์(Content management system: CMS) ระบบฐานข้อมูล (Database system) และโปรแกรมประยุกต์บนเว็บ
(Web applications)
คุณลักษณะที่ควรมี (Recommended Features)
1. การแสดงผล (Display Feature)
-
มีการแสดงผลอย่างน้อย 2 ภาษา คือ ภาษาไทย และ ภาษาอังกฤษ
-
สามารถเพิ่มหรือลดขนาดตัวอักษรได้โดยไม่กระทบต่อการแสดงผล และเพื่อรองรับการแสดงผลบนอุปกรณ์ที่มีความหลากหลายควรคำนึงถึงการออกแบบเว็บไซต์ในลักษณะ Responsive (Responsive web design)
2. รูปแบบการนำเสนอข้อมูล (Presentation Feature)
-
มีการใช้งาน Really Simple Syndication (RSS) เพื่อ นำเสนอข้อมูลข่าวสารของหน่วยงาน
-
มีการนำเสนอเนื้อหาในรูปแบบของเสียง และวีดีโอ
3. ระบบสืบค้นข้อมูล (Search Engine)
-
มีส่วนที่เป็นบริการสืบค้นข้อมูลทั่วไป และข้อมูลภายใน หน่วยงานได้
4. เครื่องมือสนับสนุนการใช้งาน
-
มีระบบ Navigation ที่ชัดเจนง่ายต่อการเข้าใจ
-
มีเครื่องมือในการแนะนำการใช้งาน (Help) ได้แก่ Tool tips, Pop-up, Help เป็นต้น
5. เครื่องมือสำหรับเก็บข้อมูลการเยี่ยมชมเว็บไซต์ (Web Analytic)
-
มีเครื่องมือสำหรับเก็บข้อมูลการเยี่ยมชมเว็บไซต์ เพื่อแสดงข้อมูลเชิงสถิติ เช่น จำนวนผู้ใช้บริการ, ความพึง พอใจ, จำนวนรายการที่ให้บริการ และ แสดงรายการบริการที่มีจำนวนผู้ใช้บริการเป็นจำนวนมากที่สุด แสดงผลความพึงพอใจ เป็นต้น
6. การให้บริการเฉพาะบุคคล (Personalized e-Service) ในลักษณะที่ผู้ใช้บริการสามารถกำหนดรูปแบบส่วนตัวในการใช้ บริการเว็บไซต์ได้
-
มีบริการส่งข้อมูลให้ผู้ใช้บริการเป็นรายบุคคลสำหรับผู้ลงทะเบียน
-
ผู้ใช้บริการสามารถกำหนดรูปแบบข้อมูลที่ต้องการ และจัดเนื้อหาที่สนใจได้ (My Page หรือ Personal Dashboard) หรือจัดรูปแบบรายงานได้ตามความต้องการ (Dynamic Report)
-
เว็บไซต์สามารถนำเสนอหัวข้อข่าว/ข้อมูล/บริการ ที่ ผู้ใช้บริการเข้ามาใช้งานครั้งล่าสุดได้ (Last Visited)
-
มีการจัดเก็บข้อมูลการใช้งาน เพื่อการปรับปรุงการให้บริการของหน่วยงานผ่านทางเว็บไซต์จากการวิเคราะห์พฤติกรรมของผู้ใช้บริการ
7. การทำให้เนื้อหาเว็บสามารถเข้าถึงและใช้ประโยชน์ได้ (Web Accessibility)
-
เว็บไซต์ควรสอดคล้องกับข้อกำหนดขององค์การมาตรฐานเวิลด์ไวด์เว็บ (World Wide Web Consortium: W3C) คณะริเริ่มดำเนินการทำให้เว็บเข้าถึงและใช้ประโยชน์ได้ (Web Accessibility Initiative: WAI) ตามข้อกำหนดการทำให้เนื้อหาเว็บสามารถเข้าถึงและใช้ประโยชน์ได้รุ่น 2.0 (Web Content Accessibility Guidelines 2.0: WCAG 2.0) ในเกณฑ์ความสำเร็จระดับ เอ (A)
8. ส่วนล่างของเว็บไซต์ทุกๆ หน้าควรจะแสดงข้อมูลต่างๆ ในส่วนล่างของเว็บไซต์ ดังต่อไปนี้
-
เมนูหลักในรูปแบบข้อความ
-
ข้อมูลติดต่อหน่วยงาน ได้แก่ ชื่อและที่อยู่ หมายเลข โทรศัพท์ หมายเลขโทรสาร และที่อยู่ไปรษณีย์ อิเล็กทรอนิกส์
-
คำสงวนลิขสิทธิ์(Copyright)
-
การปฏิเสธความรับผิด (Disclaimer)การประกาศนโยบาย เช่น นโยบายเว็บไซต์ (Website Policy), นโยบายการคุ้มครองข้อมูลส่วน บุคคล (Privacy Policy), นโยบายการรักษาความมั่นคงปลอดภัยของเว็บไซต์(Website Security Policy) เป็นต้น
-
การเข้าถึงเว็บไซต์ (Web Accessibility) ข้อมูลที่ช่วยให้สามารถใช้งานเว็บไซต์ได้สะดวกขึ้นรับทราบข้อจำกัด หรือความจำเป็นพื้นฐานทางเทคนิคในการแสดงผลโดยมีตัวอย่างของข้อมูล เช่น ความต้องการพื้นฐาน, เวอร์ชันขั้นต่ำของ เบราว์เซอร์ที่รองรับการแสดงผล หรือ การทำงานที่สมบูรณ์ โปรแกรมสำหรับใช้ในการดูเอกสารบนเว็บไซต์ เช่น PDF Readers/Viewers หรือ Open source อื่น เป็นต้น
การประกาศนโยบาย (Policy)
1. นโยบายเว็บไซต์(Website Policy)
-
การประกาศนโยบายเว็บไซต์มีจุดมุ่งหมายเพื่อให้ผู้ใช้บริการได้ทราบถึงวัตถุประสงค์และข้อกำหนดต่างๆในการใช้งานเว็บไซต์ โดยการประกาศนโยบายเว็บไซต์ควรมีเนื้อหาครอบคุมในเรื่องดังต่อไปนี้
– วัตถุประสงค์
– เงื่อนไขและข้อกำหนดในการใช้งานเว็บไซต์
– สิทธิ หน้าที่ และความรับผิดชอบของผู้ใช้บริการ
– การเชื่อมโยงกับเว็บไซต์อื่นๆ
– การปฏิเสธความรับผิด (Disclaimer)
– กรรมสิทธิ์และสิทธิในทรัพย์สินทางปัญญา
– กฎหมายที่ใช้บังคับ
2. นโยบายการคุ้มครองข้อมูลส่วนบุคคล(Privacy Policy)
-
การประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลมีจุดมุ่งหมายเพื่อแจ้งให้ผู้ใช้บริการเว็บไซต์ทราบถึงแนวปฏิบัติของเว็บไซต์ต่อข้อมูลส่วนบุคคลของผู้ใช้บริการ การประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล ควรมีเนื้อหาครอบคลุมในเรื่องดังต่อไปนี้
– การเก็บรวบรวมข้อมูลส่วนบุคคล
– การใช้ข้อมูลส่วนบุคคล
– สิทธิในการคุ้มครองข้อมูลส่วนบุคคลของท่าน
– การรักษาความปลอดภัยสำหรับข้อมูลส่วนบุคคล
– การใช้คุกกี้ (Cookies)
– การปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
– การปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลและการติดต่อกับ หน่วยงาน/เว็บไซต์
3. นโยบายการรักษาความมั่นคงปลอดภัยเว็บไซต์(Website Security Policy)
-
การประกาศนโยบายการรักษาความมั่นคงปลอดภัยเว็บไซต์เพื่อให้ผู้ใช้บริการได้ทราบถึงมาตรการรักษาความมั่นคงปลอดภัยของเว็บไซต์ เพื่อให้ผู้ใช้บริการเกิดความเชื่อมั่นในการใช้บริการเว็บไซต์มากยิ่งขึ้น โดยเนื้อหาของนโยบายควรจะครอบคลุมในเรื่องต่อไปนี้
– มีมาตรการและวิธีการรักษาความมั่นคงปลอดภัยเว็บไซต์อย่างไร
– อุปกรณ์ หรือ เทคโนโลยีที่นำมาใช้ในการรักษาความมั่นตงปลอดภัย
– ข้อแนะนำเกี่ยวกับการรักษาความมั่นคงปลอดภัยเบื้องต้นสำหรับผู้ใช้บริการเว็บไซต์