ความปลอดภัยและการปฏิบัติตามกฎเกณฑ์¶
การประเมินความเสี่ยง (VA Scan)¶
ภาพรวม¶
การประเมินความเสี่ยงเป็นส่วนหนึ่งของกระบวนการปฏิบัติตามกฎเกณฑ์ด้านความปลอดภัย โดยมีทางเลือกสองวิธี:
ตัวเลือกที่ 1: VA Scan จากหน่วยงานรัฐบาล (สกมช)¶
องค์กรนำ: สกมช (หน่วยงานรัฐบาลอย่างเป็นทางการ)
กำหนดเวลากระบวนการ: ประมาณ 1 เดือนรวมทั้งสิ้น
ขั้นตอนกระบวนการ:
- แจ้งเจตนา - สื่อสารไปยัง สกมช ว่าจะทำ VA Scan
- กำหนดการเปิด Kickoff - ทำงานร่วมกับ สกมช เพื่อกำหนดการ Scanning Engagement
- ดำเนินการ Scan - สกมช ดำเนินการประเมินความเสี่ยง
- รับ Summary Report - ได้รับการค้นพบเบื้องต้นและรายงาน Summary
- การประชุม Closing - เข้าร่วมการประชุม Closing เพื่อหารือผลลัพธ์และการแก้ไข
สำคัญ: ระบบต้องเสร็จสมบูรณ์และพร้อมสำหรับการ Scan ก่อนเริ่มต้น Engagement
ตัวเลือกที่ 2: VA Scan จากบริษัท Third-Party ที่ได้รับใบรับรอง¶
ผู้ให้บริการ: บริษัท Security Firm ที่ได้รับใบรับรอง
ลักษณะ: - ความเร็ว: การส่งมอบที่เร็วกว่ากระบวนการหน่วยงานรัฐบาล - ต้นทุน: มีค่าใช้จ่ายมากกว่าตัวเลือกรัฐบาล - ความน่าเชื่อถือ: องค์กร Security ที่ได้รับใบรับรอง
[เปิด] กำหนดวิธีการ VA Scanning ที่ต้องการและการจัดสรร Budget
การทดสอบ Penetration (Pentest)¶
ภาพรวม¶
Penetration Testing ให้การตรวจสอบความปลอดภัยที่ลึกซึ้งยิ่งขึ้นนอกเหนือจากการประเมินความเสี่ยง
พิจารณาด้าน Timeline¶
- ระยะเวลา: ใช้เวลานานกว่า Vulnerability Assessment Scans
- การวางแผน: ต้องวางแผน Timeline อย่างรอบคอบเพื่อรองรับระยะเวลา Engagement ที่นาน
[เปิด] กำหนด Pentest Scope, Timeline, และ Budget จัดเวลา Pentest หลังจากแก้ไข VA
ความเข้ากันได้ของการเข้าถึง¶
ข้อกำหนด WCAG 2.2 Level AA¶
มาตรฐาน: Web Content Accessibility Guidelines (WCAG) 2.2 Level AA
หน่วยงานที่มีอำนาจกำหนด: TOR 7.18.2
ข้อบัญชาด้านการปฏิบัติตามกฎเกณฑ์: - ไม่มีข้อผิดพลาด ยอมรับได้สำหรับความเข้ากันได้ของ Level AA - ระบบทั้งหมดต้องตรงตามมาตรฐาน Level AA ก่อนการจัดส่ง
ขอบเขต: - ส่วนติดต่อผู้ใช้ด้านเว็บทั้งหมด - เนื้อหาหน้าเว็บสาธารณะ - ส่วนติดต่อการจัดการ
การสแกน Code¶
ข้อกำหนด¶
Code Scanning เป็นสิ่งจำเป็นก่อนการจัดส่งระบบ
ขอบเขต: - Repositories ซอร์สโค้ดทั้งหมด - Code ที่พัฒนาเองเป็นอย่างดี - Third-party Integrations
เป้าหมาย: - ระบุ Security Vulnerabilities ในโค้ด - ค้นหา Code Quality Issues - ตรวจสอบความปฏิบัติตามมาตรฐาน Secure Coding
Compliance Roadmap¶
| กิจกรรม | เจ้าของ | ขึ้นต่อกัน | Timeline |
|---|---|---|---|
| Code Scanning | ทีม Development | ซอร์สโค้ดที่เสร็จสมบูรณ์ | ต่อเนื่อง, ก่อนการจัดส่ง |
| WCAG 2.2 AA Testing | ทีม QA | ความเสร็จสมบูรณ์ของ UI | ก่อน UAT |
| VA Scan (แจ้งเจตนา) | Project Manager | ระบบพร้อม | |
| VA Scan (การดำเนินการ) | สกมช | เสร็จสิ้นการแจ้งเจตนา | ~1 เดือน |
| VA Remediation | ทีม Development | ได้รับ VA Scan Report | |
| Penetration Test | ทีม Security | เสร็จสิ้น VA Remediation | |
| Final Compliance Review | Project Manager | เสร็จสิ้นทั้งหมดข้างต้น | ก่อน Production |
[เปิด] สร้าง Compliance Execution Timeline โดยละเอียดและมอบหมาย Ownership
Compliance Checklist¶
- Code Scanning ถูกรวมเข้าไปในกระบวนการ Development
- WCAG 2.2 Level AA Testing Framework ได้รับการ Implement
- กระบวนการ VA Scan สกมช เริ่มต้น
- ระบบแก้ไขตามการค้นพบ VA
- Penetration Testing เสร็จสมบูรณ์และการค้นพบได้รับการแก้ไข
- Accessibility Audit ขั้นสุดท้าย Passed
- การรวบรวมและตรวจสอบเอกสาร Compliance ทั้งหมด
- ระบบพร้อมสำหรับการปล่อยไปยัง Production