นโยบายและข้อกำหนด
กลับหน้าหลัก
นโยบายการรักษาความมั่นคงปลอดภัยเว็บไซต์

นโยบายการรักษาความมั่นคงปลอดภัยเว็บไซต์

องค์การบริหารส่วนตำบลกุดรัง

ปรับปรุงล่าสุด: 1 มกราคม 2568
เวอร์ชัน 2.0
อ่าน 15 นาที
บทนำ มาตรฐานความปลอดภัย การบำรุงรักษา การเก็บ Log ระบบ คำแนะนำผู้ใช้ รายงานเหตุการณ์ กฎหมายและมาตรฐาน
1

บทนำและความสำคัญ

องค์การบริหารส่วนตำบลกุดรัง ให้ความสำคัญสูงสุดกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) เพื่อสร้างความเชื่อมั่นให้กับประชาชนผู้ใช้บริการเว็บไซต์และระบบ e-Service ของเรา โดยปฏิบัติตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

24/7
เฝ้าระวังระบบ
HTTPS/SSL
การเข้ารหัส
Diary
Backup Strategy
2

มาตรฐานความปลอดภัยระดับสูง

🛡️

Web Application Firewall

ระบบป้องกันการโจมตีเว็บแอปพลิเคชันขั้นสูง ตรวจจับและป้องกันภัยคุกคามแบบ Real-time ตลอด 24 ชั่วโมง

🔐

HTTPS/SSL Encryption

การเข้ารหัสข้อมูลด้วย HTTPS และใบรับรอง SSL ที่ได้มาตรฐาน เพื่อความปลอดภัยในการรับส่งข้อมูล

🔑

Two-Factor Authentication (2FA)

ระบบยืนยันตัวตนสองชั้น เพิ่มความปลอดภัยให้กับบัญชีผู้ใช้ ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

🦠

Malware Scanner

ระบบสแกนและตรวจจับมัลแวร์อัตโนมัติ ป้องกันไฟล์อันตรายและโค้ดที่เป็นภัยต่อเว็บไซต์

🔒

Access Control

ระบบควบคุมการเข้าถึงด้วย Permission-based Access ป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

🤖

Anti-Bot Protection

ป้องกัน Bot และการโจมตีอัตโนมัติด้วย Google reCAPTCHA และระบบตรวจจับพฤติกรรม

📝

Traffic Log System

เก็บบันทึก Log การใช้งานไม่น้อยกว่า 90 วัน ตาม พ.ร.บ. คอมพิวเตอร์ พ.ศ. 2560

🚫

Content Filtering

ระบบกรองคำหยาบคายและเนื้อหาไม่เหมาะสม เพื่อรักษาความเหมาะสมของเว็บไซต์

2.1 การเข้ารหัสข้อมูล

HTTPS/TLS Protection
เราใช้การเข้ารหัส SSL/TLS เพื่อความปลอดภัยสูงสุด

2.2 ระบบตรวจจับมัลแวร์

  • Real-time Scanning - สแกนไฟล์แบบเรียลไทม์
  • Signature-based Detection - ฐานข้อมูลอัปเดต

2.3 ระบบยืนยันตัวตนสองชั้น (Two-Factor Authentication - 2FA)

เรามีระบบ 2FA เพื่อเพิ่มความปลอดภัยให้กับบัญชีผู้ใช้:

  • Authenticator App: รองรับการใช้งานแอปพลิเคชันยืนยันตัวตน เช่น Google Authenticator
  • Backup Codes: รหัสสำรองสำหรับกรณีฉุกเฉิน
  • Time-Based: รหัส OTP มีอายุจำกัด เพื่อความปลอดภัย
แนะนำให้เปิดใช้งาน 2FA:
การเปิดใช้งาน 2FA จะช่วยป้องกันการเข้าถึงบัญชีโดยไม่ได้รับอนุญาต แม้ว่ารหัสผ่านจะรั่วไหลก็ตาม ผู้ไม่หวังดีจะไม่สามารถเข้าสู่ระบบได้หากไม่มีรหัส OTP จากอุปกรณ์ของท่าน

2.4 ระบบควบคุมการเข้าถึง (Access Control)

เรามีระบบควบคุมการเข้าถึงข้อมูลและระบบอย่างเข้มงวด:

  • Role-Based Access Control (RBAC): กำหนดสิทธิ์การเข้าถึงตามบทบาทหน้าที่
  • Permission-Based System: ควบคุมการเข้าถึงแต่ละฟังก์ชันอย่างละเอียด
  • Least Privilege Principle: ให้สิทธิ์เฉพาะที่จำเป็นต่อการทำงาน
  • Access Logging: บันทึกการเข้าถึงทุกครั้งเพื่อตรวจสอบย้อนหลัง
  • Session Management: จัดการ Session อย่างปลอดภัย มีการหมดอายุอัตโนมัติ

2.5 การป้องกัน Bot (Anti-Bot Protection)

เราใช้เทคโนโลยีป้องกัน Bot และการโจมตีอัตโนมัติ:

  • Google reCAPTCHA v3: ตรวจจับ Bot แบบไม่รบกวนผู้ใช้งาน
  • Behavioral Analysis: วิเคราะห์พฤติกรรมการใช้งานเพื่อตรวจจับ Bot
  • Rate Limiting: จำกัดจำนวนคำขอต่อช่วงเวลา ป้องกัน Brute Force
  • IP Reputation Checking: ตรวจสอบชื่อเสียงของ IP Address
  • Challenge-Response: แสดง CAPTCHA เมื่อสงสัยว่าเป็น Bot
การทำงานแบบอัตโนมัติ
ระบบป้องกัน Bot ทำงานโดยอัตโนมัติในพื้นหลัง ไม่รบกวนประสบการณ์การใช้งานของผู้ใช้จริง

2.6 ระบบบันทึก Traffic Log

เราเก็บบันทึกการเข้าใช้งานระบบตามกฎหมาย:

  • ระยะเวลาเก็บ: เก็บ Log ไม่น้อยกว่า 90 วัน ตาม พ.ร.บ. คอมพิวเตอร์ พ.ศ. 2560
  • ข้อมูลที่บันทึก: IP Address, Timestamp, URL, User Agent, HTTP Method
  • การเข้ารหัส: Log Files เข้ารหัสด้วย AES-256
  • การควบคุมการเข้าถึง: เฉพาะผู้มีอำนาจเท่านั้นที่เข้าถึง Log ได้
  • Audit Trail: บันทึกการเข้าถึง Log Files เพื่อตรวจสอบ
การปฏิบัติตามกฎหมาย
การเก็บ Log เป็นไปตามมาตรา 26 แห่ง พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 และสามารถเปิดเผยให้เจ้าหน้าที่ตามคำสั่งศาลเท่านั้น

2.7 ระบบกรองเนื้อหา (Content Filtering)

เราใช้ระบบกรองคำหยาบคายและเนื้อหาไม่เหมาะสม:

  • Keyword Filtering: กรองคำหยาบคายและคำที่ไม่เหมาะสมโดยอัตโนมัติ
  • Pattern Matching: ตรวจจับรูปแบบการเขียนหลีกเลี่ยงการกรอง
  • Context Analysis: วิเคราะห์บริบทของข้อความเพื่อความแม่นยำ
  • Multi-Language Support: รองรับการกรองภาษาไทยและภาษาอังกฤษ
  • Real-time Filtering: กรองแบบเรียลไทม์ก่อนแสดงผลบนเว็บไซต์
  • Admin Review: ผู้ดูแลระบบสามารถตรวจสอบและอนุมัติเนื้อหาที่ถูกกรอง
สภาพแวดล้อมที่ปลอดภัย
ระบบกรองเนื้อหาช่วยสร้างสภาพแวดล้อมออนไลน์ที่เหมาะสมและปลอดภัยสำหรับผู้ใช้งานทุกวัย
3

การจัดการและบำรุงรักษาระบบ

3.1 กลยุทธ์การสำรองข้อมูล

เราปฏิบัติสำรองข้อมูลทุกวัน:

  • เราสำรองข้อมูลทุกวันเพื่อให้มั่นใจได้ว่าข้อมูลไม่หาย

3.2 ตารางการบำรุงรักษา

  • Automated Backup - สำรองอัตโนมัติทุกวัน เวลา 01:00 น.

3.3 ระบบเฝ้าระวัง 24/7

Monitoring & Logging
เฝ้าระวังระบบตลอด 24 ชั่วโมง พร้อมแจ้งเตือนทันทีผ่าน Email เมื่อพบเหตุการณ์ผิดปกติ บันทึก Log ครบถ้วนและเก็บไว้อย่างน้อย 90 วัน
4

การเก็บบันทึกข้อมูล Traffic Log

เพื่อปฏิบัติตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 เราดำเนินการเก็บบันทึกข้อมูล Traffic Log ของระบบอย่างเคร่งครัด

ฐานทางกฎหมาย
ตามมาตรา 26 แห่ง พ.ร.บ. คอมพิวเตอร์ พ.ศ. 2560 ผู้ให้บริการต้องเก็บข้อมูล Traffic Log ไม่น้อยกว่า 90 วัน เพื่อใช้ในการสอบสวนและดำเนินคดี

4.1 ข้อมูลที่เก็บบันทึก (Traffic Log)

เราเก็บบันทึกข้อมูลดังต่อไปนี้เพื่อวัตถุประสงค์ทางกฎหมายและความปลอดภัย:

ประเภทข้อมูล รายละเอียด ระยะเวลาเก็บ
IP Address ที่อยู่ IP ของผู้เข้าใช้งาน 90 วัน
Timestamp วันและเวลาที่เข้าใช้งาน 90 วัน
URL ที่เข้าถึง หน้าเว็บและ Resource ที่เข้าชม 90 วัน
User Agent ข้อมูล Browser และ Device 90 วัน
HTTP Method รูปแบบคำขอ (GET, POST, etc.) 90 วัน
Response Code สถานะการตอบกลับของระบบ 90 วัน
Referrer URL แหล่งที่มาก่อนเข้าสู่เว็บไซต์ 90 วัน
Session ID รหัส Session ของผู้ใช้ (ถ้ามี) 90 วัน

4.2 Log การเข้าสู่ระบบ (Login Log)

สำหรับระบบที่มีการ Authentication เราเก็บข้อมูลเพิ่มเติม:

  • Username/User ID: รหัสผู้ใช้ที่พยายามเข้าสู่ระบบ
  • Login Status: สถานะสำเร็จ/ไม่สำเร็จ
  • Login Timestamp: วันเวลาที่เข้าสู่ระบบ
  • Logout Timestamp: วันเวลาที่ออกจากระบบ
  • IP Address: ที่อยู่ IP ที่ใช้ Login
  • Failed Login Attempts: จำนวนครั้งที่พยายาม Login ไม่สำเร็จ
  • Account Actions: การเปลี่ยนแปลงข้อมูลบัญชี เช่น เปลี่ยนรหัสผ่าน
การรักษาความปลอดภัยของ Log
Log Files ทั้งหมดได้รับการเข้ารหัสและจัดเก็บอย่างปลอดภัย มีการควบคุมการเข้าถึงอย่างเคร่งครัด เฉพาะผู้มีอำนาจเท่านั้นที่สามารถเข้าถึงได้

4.3 วัตถุประสงค์ในการเก็บ Log

⚖️

ปฏิบัติตามกฎหมาย

เพื่อให้เป็นไปตามพระราชบัญญัติคอมพิวเตอร์และกฎหมายที่เกี่ยวข้อง

🔍

การสอบสวน

ช่วยในการสอบสวนเมื่อเกิดเหตุการณ์ความปลอดภัย หรือการใช้งานที่ผิดกฎหมาย

📊

วิเคราะห์และป้องกัน

วิเคราะห์รูปแบบการโจมตี เพื่อเสริมสร้างมาตรการป้องกันที่ดีขึ้น

🛡️

ตรวจจับภัยคุกคาม

ตรวจจับพฤติกรรมผิดปกติและการพยายามเข้าถึงโดยไม่ได้รับอนุญาต

4.4 การเปิดเผยข้อมูล Log

ข้อมูล Traffic Log จะถูกเก็บเป็นความลับและจะเปิดเผยเฉพาะในกรณีดังต่อไปนี้:

  • ตามคำสั่งศาล: เมื่อได้รับหมายศาลหรือคำสั่งจากหน่วยงานที่มีอำนาจตามกฎหมาย
  • การสอบสวนคดีอาญา: เมื่อเจ้าหน้าที่ตำรวจหรือพนักงานสอบสวนร้องขอตามกฎหมาย
  • ภัยคุกคามด้านความมั่นคง: เมื่อจำเป็นต่อความมั่นคงของชาติตามที่กฎหมายกำหนด
  • การป้องกันอาชญากรรม: เพื่อป้องกันหรือหยุดยั้งการกระทำความผิดที่กำลังจะเกิดขึ้น
คำเตือนสำหรับผู้ใช้งาน
การใช้งานเว็บไซต์และบริการของเราต้องเป็นไปตามกฎหมายเท่านั้น การพยายามโจมตีระบบ ทำลายข้อมูล หรือกระทำการใดๆ ที่ผิดกฎหมาย จะถูกบันทึกและดำเนินคดีตามกฎหมาย

4.5 การจัดการและทำลาย Log

  • ระยะเวลาเก็บรักษา: Log Files จะถูกเก็บไว้ไม่น้อยกว่า 90 วัน ตามที่กฎหมายกำหนด
  • การเข้ารหัส: Log Files ได้รับการเข้ารหัสด้วยมาตรฐาน AES-256
  • Backup Log: มีการสำรอง Log Files เพื่อป้องกันการสูญหาย
  • Audit Trail: มีการบันทึกการเข้าถึง Log Files เพื่อตรวจสอบย้อนหลัง
5

คำแนะนำความปลอดภัยสำหรับผู้ใช้งาน

5.1 การสร้างรหัสผ่านที่แข็งแรง

รหัสผ่านที่ดีควรมีลักษณะ:

  • ความยาวอย่างน้อย 8 ตัวอักษร
  • ผสม ตัวพิมพ์ใหญ่-เล็ก + ตัวเลข + อักขระพิเศษ
  • ไม่ใช้ข้อมูลส่วนตัวที่เดาง่าย เช่น วันเกิด ชื่อ
  • ไม่ใช้รหัสเดิมซ้ำกับเว็บไซต์อื่น
  • เปลี่ยนรหัสผ่านทุก 90 วัน
  • เปิดใช้งาน Two-Factor Authentication (2FA)

5.2 ระวังภัย Phishing และ Social Engineering

⚠️ สัญญาณเตือนอีเมล Phishing

  • อีเมลผู้ส่งที่ดูน่าสงสัย ไม่ใช่โดเมนอย่างเป็นทางการ
  • มีความเร่งด่วนให้คลิกลิงก์หรือกรอกข้อมูล
  • มีการสะกดผิด หรือใช้ภาษาแปลกๆ
  • ขอข้อมูลส่วนตัวหรือรหัสผ่าน
  • ลิงก์ที่ดูแปลกหรือไม่ตรงกับชื่อองค์กร

5.3 การใช้งานอย่างปลอดภัย

  • ตรวจสอบแม่กุญแจ 🔒 และ https:// ก่อนกรอกข้อมูล
  • Logout ทันทีเมื่อใช้งานเสร็จ โดยเฉพาะคอมพิวเตอร์สาธารณะ
  • ไม่บันทึกรหัสผ่านในเบราว์เซอร์สาธารณะ
  • ใช้ VPN เมื่อเชื่อมต่อ Wi-Fi สาธารณะ
  • อัปเดต Browser และระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุด
  • เปิดใช้งาน Automatic Security Updates
  • สำรองข้อมูลสำคัญอย่างสม่ำเสมอ
คำเตือน!
หน่วยงานของเราจะไม่มีวันขอรหัสผ่านหรือข้อมูลส่วนตัวผ่านอีเมล โทรศัพท์ หรือช่องทางอื่นใด หากได้รับการติดต่อแบบนี้ กรุณาติดต่อกลับผ่านช่องทางอย่างเป็นทางการ
6

การรายงานเหตุการณ์ด้านความปลอดภัย

หากท่านพบเห็นกิจกรรมที่น่าสงสัย ช่องโหว่ด้านความปลอดภัย หรือการละเมิดความปลอดภัย กรุณาแจ้งให้เราทราบทันทีผ่านช่องทางดังนี้:

อีเมล ฉุกเฉิน
saraban@kudrang.go.th และ support@assystem.co.th
โทรศัพท์
043-750-210
(ในเวลาราชการ)
Line Official
@assystem
(ตอบรับภายใน 24 ชม.)

✅ Responsible Disclosure Program

เรายินดีรับฟังข้อเสนอแนะและรายงานช่องโหว่จากผู้เชี่ยวชาญด้านความปลอดภัย หากท่านพบช่องโหว่และรายงานตามหลัก Responsible Disclosure เราจะดำเนินการแก้ไขโดยเร่งด่วน

ขั้นตอนการรายงาน

  • แจ้งรายละเอียดของช่องโหว่หรือเหตุการณ์ที่พบ
  • ระบุขั้นตอนการทำซ้ำ (Reproduction Steps) ถ้ามี
  • แนบหลักฐาน Screenshot หรือ Log ถ้าเป็นไปได้
  • ทีมงานจะตอบกลับภายใน 24-48 ชั่วโมง
  • เราจะแก้ไขปัญหาและแจ้งผลการดำเนินการ
7

การปฏิบัติตามกฎหมายและมาตรฐาน

เราปฏิบัติตามกฎหมายและมาตรฐานด้านความปลอดภัยทางไซเบอร์อย่างเคร่งครัด:

⚖️

กฎหมายไทย

  • พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ 2562
  • พ.ร.บ. คอมพิวเตอร์ 2560
  • พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562
การตรวจสอบและรับรอง
เว็บไซต์ของเราได้รับการตรวจสอบอยู่เสม่ำเสมอ และมีการทบทวนนโยบายความปลอดภัยอย่างสม่ำเสมอเพื่อให้ทันต่อภัยคุกคามใหม่ๆ

ติดต่อเจ้าหน้าที่ความปลอดภัยสารสนเทศ

องค์การบริหารส่วนตำบลกุดรัง

📍 ต.กุดรัง อ.กุดรัง จ.มหาสารคาม 44130

📞 043-750-210 | ✉️ saraban@kudrang.go.th และ support@assystem.co.th

นโยบายที่เกี่ยวข้อง

ข้อกำหนดการใช้งาน คุ้มครองข้อมูล PDPA ความเป็นส่วนตัว นโยบายคุกกี้ สมาชิก กลับหน้าหลัก