ระบบเชื่อมโยงข้อมูลเพื่อการพิสูจน์และยืนยันตัวตนทางดิจิทัล (Digital ID)


17 March 2565
50223

การพิสูจน์และยืนยันตัวตนเป็นกระบวนการแรก ๆ ในการติดต่อขอรับบริการจากภาครัฐ และถือเป็นกระบวนการที่สำคัญอย่างยิ่ง ซึ่งปกติแล้ว เจ้าหน้าที่จะตรวจสอบประชาชนผู้ขอรับบริการจากบัตรประจำตัวประชาชน ก่อนที่จะให้ข้อมูลหรือให้บริการกับประชาชนท่านนั้นๆ ในการให้บริการผ่านระบบดิจิทัล (Digital Service) หน่วยงานของรัฐก็ต้องมีวิธีการสำหรับพิสูจน์และยืนยันตัวตนทางดิจิทัลของประชาชนผู้ขอรับบริการเช่นกัน โดยกระบวนการดังกล่าวต้องมีระดับความน่าเชื่อถือสูง เพื่อให้เจ้าหน้าที่ผู้ให้บริการมั่นใจได้ว่า ผู้ขอรับบริการมีตัวตนอยู่จริง และเป็นบุคคลที่กล่าวอ้าง นอกจากนี้ การพิสูจน์และยืนยันตัวตนทางดิจิทัล ต้องมีการคุ้มครองข้อมูลส่วนบุคคลที่ดี มีระดับความมั่นคงปลอดภัยสูง สอดคล้องกับกฎ ระเบียบ และมาตรฐานต่าง ๆ ที่เกี่ยวข้อง ตลอดจนต้องไม่สร้างภาระให้กับประชาชนผู้ขอรับบริการมากจนเกินไป

พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 ให้หน่วยงานของรัฐจัดให้มีการบริหารงานและการจัดทำบริการสาธารณะในรูปแบบและช่องทางดิจิทัล โดยมีการบริหารจัดการและการบูรณาการข้อมูลภาครัฐและการทำงานให้มีความสอดคล้องกันและเชื่อมโยง เข้าด้วยกันอย่างมั่นคงปลอดภัย โดยที่มาตรา 12 (2) กำหนดให้หน่วยงานของรัฐจัดทำกระบวนการ หรือการดำเนินงานทางดิจิทัลนั้นต้องทำงานร่วมกันได้ ประกอบมาตรา 12 (4) จัดให้มีระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล เพื่อประโยชน์ในการอำนวยความสะดวกในการบริการประชาชน ซึ่งมีมาตรฐานและแนวทางที่สอดคล้องกันตามที่คณะกรรมการพัฒนารัฐบาลดิจิทัลกำหนด สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) ได้ดำเนินการร่าง มาตรฐานและหลักเกณฑ์การจัดทำกระบวนการและการดำเนินงานทางดิจิทัล ว่าด้วย เรื่องการใช้ดิจิทัลไอดีสำหรับบริการภาครัฐ สำหรับบุคคลธรรมดาที่มีสัญชาติไทย ผ่านกระบวนการดำเนินงานและคณะทำงานต่าง ๆ ที่เกี่ยวข้อง เสนอต่อคณะกรรมการพัฒนารัฐบาลดิจิทัลพิจารณาลงประกาศราชกิจจานุเบกษาเพื่อเผยแพร่ให้ทราบโดยทั่วกันแล้ว เมื่อวันที่ 11 ตุลาคม 2564 ซึ่งมีผลทำให้ผู้ให้บริการที่เป็นหน่วยงานภาครัฐต้องใช้มาตรฐานและแนวทางดังกล่าวในการพิสูจน์และยืนยันตัวตนผู้ขอรับบริการทางดิจิทัลภายในสองปีนับแต่วันที่ประกาศดังกล่าวมีผลใช้บังคับ

สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) มีการพัฒนาและให้บริการระบบพิสูจน์และยืนยันตัวตนทางดิจิทัล (DGA Digital ID) มาตั้งแต่ปีงบประมาณ พ.ศ. 2559 จนถึง ณ วันที่ 30 กันยายน พ.ศ.​2565 มีผู้ใช้งานแล้วประมาณ 1.5 ล้านบัญชีผู้ใช้งาน (User Accounts) และนำไปใช้กับบริการต่าง ๆ ทั้งบริการของ สพร. เอง เช่น ระบบพอร์ทัลกลางเพื่อประชาชน (Citizen Portal) ระบบศูนย์การบริการภาครัฐเพื่อภาคธุรกิจ (Biz Portal) และบริการดิจิทัลของหน่วยงานต่าง ๆ เช่น สำนักงานคณะกรรมการอาหารและยา กรมการจัดหางาน และสำนักงานคณะกรรมการกิจการกระจายเสืยง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) เป็นต้น ซึ่งทำให้ประชาชนสามารถได้รับบริการจากหน่วยงานต่าง ๆ เหล่านี้ โดยไม่ต้องพิสูจน์และยืนยันตัวตนซ้ำ (Single Account) นอกจากนี้ หน่วยงานต่าง ๆ ดังกล่าวยังสามารถประหยัดงบประมาณจากการที่จะต้องพัฒนาระบบพิสูจน์และยืนยันตัวตนด้วยตนเอง และประหยัดเวลาในการพัฒนาระบบดังกล่าวอีกด้วย

สพร. ได้มีการพัฒนา และปรับปรุงระบบพิสูจน์และยืนยันตัวตนทางดิจิทัล (Digital ID) อย่างต่อเนื่อง และในปีงบประมาณ พ.ศ. 2565 จะเริ่มนำร่องการให้บริการที่ให้สอดคล้องกับ ประกาศคณะกรรมการพัฒนารัฐบาลดิจิทัล เรื่อง มาตรฐานและหลักเกณฑ์การจัดทำกระบวนการและการดำเนินงานทางดิจิทัลว่าด้วยเรื่องการใช้ดิจิทัลไอดีสำหรับบริการภาครัฐ สำหรับบุคคลธรรมดาที่มีสัญชาติไทย โดยเฉพาะการรองรับการเพิ่มระดับความน่าเชื่อถือของบัญชีผู้ใช้งาน (Identity Assurance Level : IAL) ให้เหมาะกับการขอรับบริการภาครัฐที่มีความเสี่ยงระดับปานกลางถึงความเสี่ยงสูงได้ เช่น บริการตรวจสอบข้อมูลเครดิตบูโร เป็นต้น อย่างไรก็ตาม การที่ประชาชนจะยกระดับความน่าเชื่อถือของบัญชีผู้ใช้งานของตนได้ ประชาชนจำเป็นจะต้องไปพิสูจน์ตัวตนแบบพบเห็นต่อหน้า (Face-to-Face) หรือหากพิสูจน์ตัวตนแบบไม่พบเห็นต่อหน้า ก็ต้อง สามารถพิสูจน์หลักฐานแสดงตนได้ ซึ่งในประเทศไทยมักใช้วิธีการให้ผู้ขอรับบริการเสียบบัตรประจำตัวประชาชนกับจุดให้บริการอัตโนมัติ (Kiosk หรือตู้ ATM) หรือใช้บริการยืนยันตัวตนรูปแบบดิจิทัล (National Digital ID : NDID) เป็นต้น สพร. จึงจัดทำโครงการนี้ขึ้น เพื่อให้ประชาชนมีบัญชีผู้ใช้งาน (Digital ID) ที่มีระดับความน่าเชื่อถือสูงได้โดยสะดวก สามารถขอรับบริการพิสูจน์และยืนยันตัวตนทางดิจิทัลกับจุดให้บริการใกล้บ้าน หรือผ่านช่องทางดิจิทัลที่น่าเชื่อถือ เช่น บริการยืนยันตัวตนรูปแบบดิจิทัล (National Digital ID : NDID) ได้

ประโยชน์ที่หน่วยงานจะได้รับ

ประชาชนมีบัญชีผู้ใช้งาน (Digital ID) ที่มีระดับความน่าเชื่อถือสูงได้โดยสะดวก และสามารถนำไปใช้ในการเข้าถึงข้อมูล และบริการต่าง ๆ ของรัฐได้ (Single Account)

หน่วยงานภาครัฐสามารถนำระบบพิสูจน์และยืนยันตัวตนทางดิจิทัล (Digital ID) ที่มีระดับความน่าเชื่อถือ มีการคุ้มครองข้อมูลส่วนบุคคลที่ดี มีระดับความมั่นคงปลอดภัยสูง สอดคล้องกับกฎ ระเบียบ และมาตรฐานต่าง ๆ ที่เกี่ยวข้อง ไปใช้ในการให้บริการผ่านช่องทางดิจิทัล (Digital Service) ของหน่วยงานตนได้

สื่อการเรียนรู้

ลักษณะเชิงเทคนิค

กรอบแนวคิดเกี่ยวกับการพิสูจน์และยืนยันตัวตนทางดิจิทัล

ดิจิทัลไอดี (digital identity) คือ คุณลักษณะเฉพาะสำหรับเข้าใช้บริการธุรกรรมออนไลน์ของภาครัฐ ซึ่งเป็นกระบวนการที่ประกอบด้วย การลงทะเบียนและพิสูจน์ตัวตน (enrolment and identity proofing) และการยืนยันตัวตน (authentication) โดยผู้ถูกพิสูจน์ตัวตนจะเรียกว่า “ผู้สมัครใช้บริการ (applicant)” และเมื่อผู้สมัครใช้บริการทำการพิสูจน์ตัวตนแล้วว่าเป็นบุคคลนั้นจริง หรือเป็นเจ้าของไอเดนทิตีนั้นจริงจะถูกเปลี่ยนสถานะเป็น “ผู้ใช้บริการ (subscriber)” 

ในการวัดระดับความเข้มงวดของกระบวนการพิสูจน์ตัวตน เรียกว่า “ระดับความน่าเชื่อถือของไอเดนทิตี (identity assurance level: IAL)” ประกอบด้วย IAL1 IAL2 และ IAL3 โดย IAL1 IAL2 และ IAL3 จะมีข้อกำหนดในการพิสูจน์ตัวตนจำแนกตามกลุ่มการให้บริการภาครัฐในรูปแบบดิจิทัล 

ผู้ใช้บริการเข้าใช้บริการของผู้ให้บริการภาครัฐ (relying party: RP) จะต้องยืนยันตัวตนว่าเป็นบุคคลนั้นจริง หรือเป็นเจ้าของไอเดนทิตีที่กล่าวอ้างนั้นจริง โดยแสดงให้ผู้พิสูจน์และยืนยันตัวตน (identity provider: IdP) เห็นว่าตนครอบครองสิ่งที่ใช้ยืนยันตัวตนตามเกณฑ์ที่กำหนด เมื่อผู้พิสูจน์และยืนยันตัวตนตรวจสอบความถูกต้องจะส่งผลการยืนยันตัวตนให้กับผู้ให้บริการภาครัฐ โดยผู้ให้บริการภาครัฐสามารถใช้ข้อมูลที่อยู่ในผลการยืนยันตัวตนไปพิจารณาสิทธิ ทั้งนี้ต้องมีกระบวนการที่ผู้ใช้บริการอนุญาตให้ผู้ให้บริการภาครัฐเข้าถึงข้อมูลของตน (authorization) ในการวัดระดับความเข้มงวดของกระบวนการยืนยันตัวตน เรียกว่า “ระดับความน่าเชื่อถือของสิ่งที่ใช้ยืนยันตัวตน (authenticator assurance level: AAL)” ประกอบด้วย AAL1 AAL2 และ AAL3 โดย AAL1 ต้องใช้การยืนยันตัวตนแบบปัจจัยเดียว (single-factor authentication) ในขณะที่ AAL2 ต้องใช้การยืนยันตัวตนแบบ ๒ ปัจจัยที่แตกต่างกัน (two-factor authentication: 2FA) และ AAL3 ต้องใช้การยืนยันตัวตนเช่นเดียวกับ AAL2 แต่ควรมีหนึ่งปัจจัยที่เป็นอุปกรณ์ที่ใช้ในการยืนยันตัวตน (hardware-base) และต้องป้องกันการปลอมแปลงเป็นบุคคลอื่นได้

จากรูปแสดงให้เห็นว่าการพิสูจน์และยืนยันตัวตนทางดิจิทัล มีทั้งหมด ๒ กระบวนการหลัก ได้แก่ (๑)การลงทะเบียนและพิสูจน์ตัวตน (๒) การยืนยันตัวตน ทั้งนี้ ผู้พิสูจน์และยืนยันตัวตน ต้องมีส่วนร่วมในการบริหารจัดการระบบให้มีความต่อเนื่องและมั่นคงปลอดภัย เช่น การเพิ่ม ปรับปรุง หรือยกเลิกข้อมูลไอเดนทิตีของผู้สมัครใช้บริการและผู้ใช้บริการให้เป็นปัจจุบัน 

จากรูปด้านซ้าย เป็นกระบวนการลงทะเบียนและพิสูจน์ตัวตน ซึ่งมีขั้นตอน ดังนี้

  1. ผู้สมัครใช้บริการลงทะเบียนและพิสูจน์ตัวตนกับผู้พิสูจน์และยืนยันตัวตน โดยผู้พิสูจน์และยืนยันตัวตนอาจตรวจสอบข้อมูลกับแหล่งให้ข้อมูลที่น่าเชื่อถือ
  2. หากพิสูจน์ตัวตนสำเร็จ ผู้พิสูจน์และยืนยันตัวตนจะลงทะเบียนหรือออกสิ่งที่ใช้ยืนยันตัวตน และสร้างสิ่งที่ใช้รับรองตัวตนให้กับผู้ใช้บริการ
  3. ผู้สมัครใช้บริการ เปลี่ยนสถานะเป็น ผู้ใช้บริการ

ทั้งนี้ ผู้พิสูจน์และยืนยันตัวตน ต้องเก็บรักษาสิ่งที่ใช้รับรองตัวตน สถานะของสิ่งที่ใช้รับรองตัวตน และข้อมูลที่ใช้ในกระบวนการลงทะเบียน ตลอดอายุการใช้งานของสิ่งที่ใช้รับรองตัวตน (เป็นอย่างน้อย) ส่วนผู้ใช้บริการต้องเก็บรักษาสิ่งที่ใช้ยืนยันตัวตน

จากรูปด้านขวา เป็นกระบวนการยืนยันตัวตน ซึ่งมีขั้นตอน ดังนี้

  1. ผู้ใช้บริการขอเข้าใช้บริการกับผู้ให้บริการภาครัฐ โดยผู้ให้บริการภาครัฐอาจให้ผู้ใช้บริการยืนยันตัวตนกับผู้พิสูจน์และยืนยันตัวตนแทน (redirect)
  2. ผู้พิสูจน์และยืนยันตัวตนต้องตรวจสอบสิ่งที่ใช้ยืนยันตัวตนที่เชื่อมโยงไอเดนทิตีของผู้ใช้บริการ

องค์ประกอบของระบบ อ้างอิงจากมาตรฐาน NIST 800-63-3 Digital Identity Guideline ของสหัรฐอเมริกา ซึ่งมีองค์ประกอบในกระบวนการอยู่ 4 ส่วนหลักๆ ได้แก่

  1. Entity ผู้ขอใช้บริการพิสูจน์อัตลักษณ์ ซึ่งก็คือประชาชนทั่วไปที่ต้องพิสูจน์ตัวตนก่อนใช้บริการ รวมถึงนิติบุคคลที่ต้องการใช้บริการด้วย
  2. ID Provider (IDP) : ผู้ให้บริการด้านการเข้าถึงข้อมูล ทำหน้าที่บริหารข้อมูลในกระบวนการพิสูจน์และยืนยันตัวตนทางดิจิทัลแก่ผู้ใช้และ Relying Party – ในภาพนี้ DGA Digital ID ทำหน้าที่เป็น ID Provider สำหรับบริการดิจิทัลของหน่วยงานภาครัฐ ซึ่งรองรับการพิสูจน์ตัวตนทางดิจิทัลเอง (ผ่านตู้บริการเอนกประสงค์ของสำนักงาน (DGA Smart Kiosk)) และสามารถเชื่อมต่อไปยังระบบพิสูจน์และยืนยันตัวตนอื่น เช่น บริการ NDID แอปพลิเคชัน D,DOPA ของกรมการปกครอง เป็นต้น
  3. Relying Party (RP) : ผู้ให้บริการที่ต้องการข้อมูลยืนยันตัวตนของผู้ใช้บริการ เพื่ออนุมัติให้ผู้ใช้ได้รับบริการบางอย่าง โดย Relying Party จะขอข้อมูลจาก IdProvider และ Authorising Source ในที่นี้หมายถึงหน่วยงานภาครัฐต่าง ๆ ที่มีบริการดิจิทัลให้ประชาชนใช้งาน เช่น สพร. กรมสรรพากร กรมพัฒนาธุรกิจการค้า เป็นต้น
  4. Authorising Source (AS) : หน่วยงานผู้เข้าถึงหรือเป็นเจ้าของข้อมูลอัตลักษณ์บุคคลดิจิทัล เป็นผู้ยืนยันความน่าเชื่อถือของข้อมูลบุคคล มักเป็นหน่วยงานเก็บข้อมูลซึ่งทำหน้าที่นี้อยู่เดิม ได้แก่ กรมการปกครอง หรือ สำนักงานเครดิตบูโร

ระบบเชื่อมโยงข้อมูลเพื่อการพิสูจน์และยืนยันตัวตนทางดิจิทัล

ระบบเชื่อมโยงข้อมูลเพื่อการพิสูจน์และยืนยันตัวตนทางดิจิทัล (DGA Digital ID) จัดทำขึ้นเพื่อให้หน่วยงานภาครัฐที่โดยส่วนใหญ่แล้วเป็นผู้ให้บริการ (Relying Party : RP) สามารถเชื่อมต่อไปยังระบบพิสูจน์และยืนยันตัวตน (ID Provider : IDP) ต่างๆ ที่มีระดับความน่าเชื่อถือสูงได้ ดังภาพข้างล่าง

โดยขั้นตอนในการเชื่อมโยงข้อมูลเพื่อการพิสูจน์และยืนยันตัวตน มีดังนี้

  1. ระบบให้บริการประชาชน (e-Service) ของหน่วยงานผู้ให้บริการ มีความจำเป็นต้องพิสูจน์และยืนยันตัวตนผู้ขอใช้บริการ และส่งคำร้องขอพิสูจน์/ยืนยันตัวตนไปยังระบบพิสูจน์และยืนยันตัวตน (DGA Digital ID)
  2. ประชาชนที่ต้องการใช้ระบบให้บริการฯ เลือกว่าตนเองจะใช้วิธีใดในการพิสูจน์และยืนยันตัวตน โดยในปัจจุบัน สพร. รองรับการพิสูจน์และยืนยันตัวตนในหลายรูปแบบดังนี้
    1. พิสูจน์และยืนยันตัวตนกับ สพร. โดยในปัจจุบัน รองรับการพิสูจน์ตัวตนโดยใช้เลขเลเซอร์โค้ดหลังบัตร และการเสียบบัตรประจำตัวประชาชน ณ ตู้บริการประชาชนเอนกประสงค์ (DGA Smart Kiosk)
    2. พิสูจน์และยืนยันตัวตน โดยใช้ แอปพลิเคชัน D.DOPA ของกรมการปกครอง
    3. พิสูจน์และยืนยันตัวตน โดยใช้ ผู้ให้บริการ (IDP) ที่เข้าถึงผ่านระบบ National Digital ID (NDID) ได้ซึ่งโดยส่วนใหญ่แล้วคือ ธนาคารพาณิชย์ (เตรียมเปิดให้บริการในปีงบประมาณ พ.ศ. 2565 นี้)
  3. เมื่อประชาชนทำการพิสูจน์และยืนยันตัวตนทางดิจิทัลกับระบบ DGA Digital ID แล้ว ระบบจะทำการส่งผลการยืนยันตัวตนกลับไปยังระบบให้บริการประชาชน (e-Service) ของหน่วยงาน พร้อมทั้งข้อมูลต่าง ๆ ที่เกี่ยวข้อง เช่น ชื่อ นามสกุล ระดับความน่าเชื่อถือของการยืนยันตัวตน เป็นต้น เพื่อให้หน่วยงานสามารถให้ข้อมูล และบริการที่เหมาะสมกับผู้ขอใช้บริการได้

ทั้งนี้ ประชาชนที่ทำการพิสูจน์ตัวตนกับระบบพิสูจน์และยืนยันตัวตน (DGA Digital ID) แล้วจะได้รับ บัญชีผู้ใช้งาน (Authenticator) ที่สามารถนำไปใช้ในการเข้าถึงระบบให้บริการอื่นของหน่วยงานภาครัฐได้ โดยไม่ต้องลงทะเบียนซ้ำซ้อน 

ตัวอย่างหน่วยงานที่ใช้บริการ

  • ระบบบริการต่างๆ ของกรมการจัดหางาน เช่น ระบบไทยมีงานทำ ระบบขึ้นทะเบียนและรายงานตนกรณีว่างงาน
  • ระบบบริการต่าง ๆ สำหรับผู้ประกอบการ ของสำนักงานคณะกรรมการอาหารและยา เช่น ระบบ e-Submission เป็นต้น

ข้อกฎหมายที่เกี่ยวข้อง

หน่วยงานผู้ให้บริการ

พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 ให้หน่วยงานของรัฐจัดให้มีการบริหารงานและการจัดทำบริการสาธารณะในรูปแบบและช่องทางดิจิทัล โดยมีการบริหารจัดการและการบูรณาการข้อมูลภาครัฐและการทำงานให้มีความสอดคล้องกันและเชื่อมโยง เข้าด้วยกันอย่างมั่นคงปลอดภัย 

มาตรา 12 (2) กำหนดให้หน่วยงานของรัฐจัดทำกระบวนการ หรือการดำเนินงานทางดิจิทัลนั้นต้องทำงานร่วมกันได้ ประกอบมาตรา 12 (4) จัดให้มีระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล เพื่อประโยชน์ในการอำนวยความสะดวกในการบริการประชาชน ซึ่งมีมาตรฐานและแนวทางที่สอดคล้องกันตามที่คณะกรรมการพัฒนารัฐบาลดิจิทัลกำหนด

สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน)

  1. พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 มาตรา 10 (5) “สนับสนุนการเชื่อมโยงบริการดิจิทัลของหน่วยงานของรัฐให้เกิดบริการสาธารณะแบบเบ็ดเสร็จ ตามที่คณะกรรมการพัฒนารัฐบาลดิจิทัลกำหนด เพื่ออำนวยความสะดวกให้แก่ประชาชน”
  2. พระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี (ฉบับที่ 2) พ.ศ. 2562 มาตรา ๑๐ “ในวาระเริ่มแรก ให้สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) จัดให้มีแพลตฟอร์มดิจิทัลกลางเพื่อให้ส่วนราชการใช้ในการบริการประชาชนและการติดต่อประสานงานระหว่างกันได้ภายในเก้าสิบวันนับแต่วันที่พระราชกฤษฎีกานี้ใช้บังคับ”

มาตรฐานต่างๆ ที่เกี่ยวข้อง

การรักษาความมั่นคงปลอดภัยของระบบ

ระบบพิสูจน์และยืนยันตัวบุคคลทางดิจิทัล ติดตั้งอยู่บนระบบคลาวด์ที่ให้บริการ และบริหารจัดการ โดย สพร. ระบบคลาวด์ภาครัฐดังกล่าวมีระดับเสถียรภาพ (SLA) ไม่น้อยกว่า 99.5% และเป็นระบบที่มีมาตรการป้องกันการโจรกรรมข้อมูลอย่างรัดกุม มีความปลอดภัยสูง ได้รับการรับรองมาตรฐาน ISO/IEC 27001: 2013 ระบบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management Systems – ISMS)

ทั้งนี้ แอปพลิเคชัน และระบบงานต่างๆ ที่เกี่ยวข้อง มีการดำเนินงานต่างๆ ตาม พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ และ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒

นอกจากนี้ ระบบฯ ได้รับการพัฒนาขึ้น โดยคำนึงถึงความมั่นคงปลอดภัยต่างๆ ดังนี้

  1. การพัฒนาแอปพลิเคชัน ระบบและแพลตฟอร์มต่างๆ ของ สพร. ดำเนินการภายใต้มาตรฐาน ISO/IEC 9001
  2. ก่อนที่จะเปิดแอปพลิเคชัน ระบบและแพลตฟอร์ม เพื่อให้บริการจริง แอปพลิเคชันระบบ และแพลตฟอร์มดังกล่าวจะต้องผ่านการทดสอบ ทั้งในด้านคุณสมบัติ (Functional Test) และด้านอื่นๆ (Non-Functional Test) เช่น Performance Test และ Security Test โดยผลการทดสอบต้องแสดงให้เห็นว่าระบบทำงานได้โดยสมบูรณ์ มีระดับความมั่นคงสูง (Highly Available) มีความเสี่ยงด้านความปลอดภัยต่ำ

สพร. ทดสอบความปลอดภัยของแอปพลิเคชันและแพลตฟอร์ม (Security Test) โดยใช้อย่างน้อย 2 วิธี ดังนี้

  1. วิธี Static Application Security Testing (SAST) ซึ่งเป็นการตรวจสอบ Source Code ของแอปพลิเคชัน และแพลตฟอร์มที่เขียนขึ้น ว่าเป็นการเขียนโปรแกรมที่มีความเสี่ยงที่จะถูกโจมตี หรือถูกเจาะโดยผู้ไม่หวังดีมากน้อยเพียงใด
  2. วิธี Vulnerability Assessment (VA) ซึ่งเป็นการตรวจสอบแอปพลิเคชันและแพลตฟอร์มที่ติดตั้งแล้วในภาพรวม ว่ามีความเสี่ยงที่จะถูกโจมตีเนื่องจากการตั้งค่า (Settings) ต่างๆ หรือโครงสร้างพื้นฐานที่ไม่ปลอดภัยเพียงพอหรือไม่

การติดต่อขอใช้บริการ

  • ประชาชนทั่วไปที่สนใจใช้บริการ สามารถดูรายละเอียดได้ที่เว็บไซต์ https://connect.egov.go.th
  • หน่วยงานภาครัฐที่สนใจใช้บริการ ติดต่อได้ที่ DGA Contact Center โทร 02-612-6060 หรือ อีเมล์ contact@dga.or.th

รายละเอียดเพิ่มเติม