นโยบายการรักษาความมั่นคงปลอดภัยเว็บไซต์ (Website Security Policy)

          เทศบาลเมืองมหาสารคาม ให้ความสำคัญอย่างยิ่งกับความมั่นคงปลอดภัยสารสนเทศ เพื่อรักษาไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลประชาชนและระบบงานราชการ นโยบายฉบับนี้กำหนดขึ้นเพื่อให้เป็นไปตามมาตรฐานสากลและพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ โดยมีรายละเอียด ดังนี้

การรักษาความลับ (Confidentiality)

  • การเข้ารหัสลับการส่งผ่านข้อมูล (Data Encryption in Transit): เว็บไซต์ให้บริการผ่านโปรโตคอล HTTPS โดยใช้การเข้ารหัสลับแบบ TLS (Transport Layer Security) มาตรฐานล่าสุด เพื่อสร้างช่องทางการสื่อสารที่ปลอดภัยระหว่างผู้ใช้และเซิร์ฟเวอร์ ป้องกันการดักจับข้อมูล (Eavesdropping) ระหว่างการรับส่งข้อมูลผ่านเครือข่ายอินเทอร์เน็ต

  • การควบคุมการเข้าถึง (Access Control): กำหนดสิทธิ์การเข้าถึงข้อมูลระบบ (Back-end) ตามหลักการ “สิทธิ์เท่าที่จำเป็น” (Least Privilege) โดยมีการพิสูจน์ตัวตนที่เข้มงวดสำหรับเจ้าหน้าที่ผู้ดูแลระบบ เพื่อป้องกันผู้ไม่มีสิทธิ์เข้าถึงข้อมูลส่วนบุคคล

การรักษาความถูกต้องครบถ้วน (Integrity)

  • โครงสร้างพื้นฐานคลาวด์ภาครัฐ (GDCC) ระบบบริหารจัดการและข้อมูลทั้งหมดถูกจัดเก็บไว้บน คลาวด์กลางภาครัฐ (Government Data Center and Cloud Services) ซึ่งผ่านการรับรองมาตรฐานด้านความปลอดภัยสารสนเทศระดับสากล มีระบบ Firewall และระบบป้องกันการบุกรุก (IPS) ในระดับโครงสร้างพื้นฐานที่มีประสิทธิภาพสูงสุด

  • ความปลอดภัยระดับแอปพลิเคชัน เทศบาลกำหนดมาตรการตรวจสอบความถูกต้องของข้อมูล (Input Validation) ในระดับซอฟต์แวร์ เพื่อป้องกันช่องโหว่จากการโจมตีประเภท SQL Injection หรือมัลแวร์ต่างๆ

  • การเฝ้าระวังภัยคุกคาม มีการติดตั้งซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ที่ทันสมัยบนระบบปฏิบัติการ และมีการตรวจสอบประวัติการเข้าใช้งานระบบ (Log Files) อย่างสม่ำเสมอเพื่อตรวจสอบความผิดปกติ

การรักษาความพร้อมใช้งานและความต่อเนื่อง (Availability)

  • ระบบสำรองข้อมูล (Data Backup) มีกระบวนการสำรองข้อมูลที่สำคัญอย่างสม่ำเสมอตามมาตรฐานการกู้คืนระบบ เพื่อให้มั่นใจว่าข้อมูลจะไม่สูญหายและสามารถกู้คืนกลับมาใช้งานได้ทันทีหากเกิดเหตุขัดข้อง

  • การบริหารจัดการเหตุการณ์ผิดปกติ มีแนวปฏิบัติในการตอบสนองต่อเหตุการณ์ผิดปกติทางไซเบอร์ เพื่อจำกัดความเสียหายและฟื้นฟูระบบให้กลับมาให้บริการได้โดยเร็วที่สุด

ข้อแนะนำสำหรับผู้ใช้บริการ

  • ตรวจสอบชื่อเว็บไซต์ ตรวจสอบชื่อ Address ให้ถูกต้องคือ https://www.mkm.go.th หรือ https://main.mkm.go.th ก่อนกรอกข้อมูลใดๆ เพื่อป้องกันเว็บไซต์ปลอม (Phishing)
  • อัปเดตซอฟต์แวร์: ควรใช้เว็บเบราว์เซอร์เวอร์ชันล่าสุด และติดตั้งโปรแกรมป้องกันไวรัสบนอุปกรณ์ที่ใช้งานเสมอ
  • ความปลอดภัยส่วนบุคคล: หลีกเลี่ยงการดาวน์โหลดไฟล์ที่น่าสงสัยจากแหล่งที่ไม่รู้จัก และระมัดระวังการเข้าถึงเว็บไซต์ผ่านเครือข่าย Wi-Fi สาธารณะที่ไม่มีความปลอดภัย