แม่แบบการสื่อสารเหตุการณ์
รหัสเอกสาร: COMM-001
เวอร์ชัน: 1.0
อัปเดตล่าสุด: 2026-02-15
เจ้าของ: SOC Manager / IR Lead
ตารางการแจ้ง
| ระดับ |
ภายใน |
ผู้บริหาร |
Legal |
ภายนอก |
หน่วยงานกำกับ |
| P1 |
ทันที |
ทันที |
ทันที |
4 ชม. |
ตามกฎหมาย |
| P2 |
15 นาที |
1 ชม. |
ถ้ามีข้อมูลรั่ว |
ตามจำเป็น |
ถ้าจำเป็น |
| P3 |
30 นาที |
รายงานรายวัน |
ไม่ |
ไม่ |
ไม่ |
| P4 |
standup ถัดไป |
รายงานรายสัปดาห์ |
ไม่ |
ไม่ |
ไม่ |
แม่แบบ 1: แจ้งเตือนภายใน
🚨 เหตุการณ์ความปลอดภัย — [P1/P2] — [ประเภท]
Incident ID: INC-[YYYY]-[###]
ความรุนแรง: [P1 วิกฤต / P2 สูง]
ตรวจพบ: [วัน-เวลา]
ระบบที่โดน: [ระบบ / ผู้ใช้ / ข้อมูล]
สรุป: [1-2 ประโยค]
สถานะ:
- [ ] กำลังควบคุมเหตุการณ์
- [ ] กำลังสืบสวน
- [ ] แจ้งผู้ใช้ที่ได้รับผลกระทบแล้ว
อัปเดตถัดไป: [เวลา]
ผู้รับผิดชอบ: [ชื่อ]
ห้องปฏิบัติการ: [Slack/Teams link]
⚠️ ห้ามพูดคุยนอกช่องทางนี้
แม่แบบ 2: สรุปให้ผู้บริหาร
เรื่อง: 🔴 สรุปเหตุการณ์ — [INC-ID]
เรียน CISO / CTO
สรุป: [คำอธิบายสั้น]
ความรุนแรง: [P1/P2] — [ผลกระทบธุรกิจ]
สถานะ: [ควบคุมได้ / กำลังดำเนินการ]
ผลกระทบ:
- ระบบ: [จำนวน]
- ข้อมูล: [ประเภท]
- ผู้ใช้: [จำนวน]
สิ่งที่ดำเนินการ:
1. [ตอนนี้]
2. [ขั้นต่อไป]
ต้องการอนุมัติ:
- [ถ้ามี]
อัปเดตถัดไป: [เวลา]
แม่แบบ 3: แจ้ง User รีเซ็ตรหัสผ่าน
เรื่อง: กรุณาดำเนินการ: รีเซ็ตรหัสผ่านเพื่อความปลอดภัย
เรียน [ผู้ใช้],
ทีมความปลอดภัยตรวจพบกิจกรรมผิดปกติในบัญชีของคุณ
เราได้รีเซ็ตรหัสผ่านและยกเลิก session เป็นมาตรการป้องกัน
สิ่งที่ต้องทำ:
1. ตั้งรหัสผ่านใหม่ที่ [link]
2. ลงทะเบียน MFA ใหม่
3. ตรวจดูกิจกรรมล่าสุดในบัญชี
4. แจ้ง security@company.com หากพบสิ่งผิดปกติ
— ทีมรักษาความปลอดภัยข้อมูล
แม่แบบ 4: แจ้งลูกค้า — ข้อมูลรั่วไหล
เรื่อง: แจ้งเตือนด้านความปลอดภัยจาก [ชื่อบริษัท]
เรียน ลูกค้า,
เราขอแจ้งให้ทราบเกี่ยวกับเหตุการณ์ด้านความปลอดภัย:
สิ่งที่เกิดขึ้น:
[คำอธิบาย]
ข้อมูลที่อาจได้รับผลกระทบ:
- [รายการข้อมูล]
สิ่งที่เราดำเนินการ:
- แจ้งหน่วยงาน PDPC แล้ว
- เสริมมาตรการป้องกัน
- ให้บริการ identity protection ฟรี
สิ่งที่คุณควรทำ:
- เปลี่ยนรหัสผ่าน
- ระวัง phishing email
สายด่วน: [เบอร์]
อีเมล: [incident@company.com]
แม่แบบ 5: แจ้ง PDPC (สำนักงานคุ้มครองข้อมูลส่วนบุคคล)
เรียน สำนักงาน PDPC
ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(4)
1. ข้อมูลผู้แจ้ง: [ชื่อองค์กร, DPO]
2. ลักษณะเหตุการณ์: [ประเภท, ระบบ, จำนวนเจ้าของข้อมูล]
3. ประเภทข้อมูล: [ชื่อ/อีเมล/การเงิน/สุขภาพ]
4. มาตรการที่ดำเนินการ: [containment + remediation]
5. ระดับความเสี่ยง: [สูง/กลาง/ต่ำ]
6. แผนป้องกัน: [อนาคต]
ลงชื่อ: DPO
แม่แบบ 6: รายงานหลังเหตุการณ์
สรุปเหตุการณ์ INC-[ID]
ประเภท: [Ransomware / BEC / etc.]
ระดับ: [P1-P4]
ระยะเวลา: [เริ่ม] ถึง [จบ]
MTTD: [เวลาตรวจพบ]
MTTR: [เวลาแก้ไข]
Timeline + สาเหตุ + ผลกระทบ + สิ่งที่ดี + สิ่งที่ปรับปรุง + Action Items
เทมเพลตเพิ่มเติม
แจ้งผู้บริหาร (Critical Incident)
เรียน [ตำแหน่งผู้รับ],
ขอแจ้งเหตุการณ์ด้านความปลอดภัยระดับ [Critical/High]:
📋 รายละเอียด:
- Incident ID: [INC-YYYY-NNN]
- ตรวจพบเมื่อ: [วัน/เวลา]
- ประเภท: [Ransomware/Data Breach/ฯลฯ]
- ระบบที่ได้รับผลกระทบ: [ระบุ]
- ผลกระทบทางธุรกิจ: [downtime/data exposure/ฯลฯ]
🔒 สถานะการจัดการ:
- สถานะปัจจุบัน: [Contained/Under Investigation]
- มาตรการที่ดำเนินการ: [ระบุ]
- ETA แก้ไข: [ระบุ]
👤 ผู้ประสานงาน: [ชื่อ, เบอร์โทร]
อัปเดตถัดไป: [เวลา]
แจ้งลูกค้า / เจ้าของข้อมูล (PDPA)
เรียน [ชื่อ/ท่าน],
[ชื่อองค์กร] ขอแจ้งให้ท่านทราบว่าเราตรวจพบเหตุการณ์ด้านความปลอดภัย
ที่อาจส่งผลกระทบต่อข้อมูลส่วนบุคคลของท่าน
📋 สิ่งที่เกิดขึ้น:
[อธิบายเหตุการณ์อย่างกระชับ]
📊 ข้อมูลที่อาจได้รับผลกระทบ:
[ประเภทข้อมูล — เช่น ชื่อ, อีเมล, เบอร์โทร]
🔒 สิ่งที่เราดำเนินการ:
1. [มาตรการที่ 1]
2. [มาตรการที่ 2]
🛡️ สิ่งที่ท่านควรทำ:
1. เปลี่ยนรหัสผ่าน
2. เปิดใช้งาน Multi-Factor Authentication
3. ระวังอีเมล/SMS ที่น่าสงสัย
📞 ผู้ประสานงาน DPO: [ชื่อ, อีเมล, โทร]
สรุปเหตุการณ์ (Post-Incident)
เรื่อง: สรุปเหตุการณ์ [INC-YYYY-NNN] — [ประเภท]
📋 สรุป:
- ตรวจพบ: [วัน/เวลา]
- ควบคุมได้: [วัน/เวลา]
- แก้ไขเสร็จ: [วัน/เวลา]
- ระยะเวลาทั้งหมด: [XX ชั่วโมง]
📊 ผลกระทบ:
- ระบบที่ได้รับผลกระทบ: [XX] ระบบ
- ข้อมูลรั่วไหล: [ใช่/ไม่]
- Downtime: [XX ชั่วโมง]
✅ บทเรียน:
1. [สิ่งที่ทำได้ดี]
2. [สิ่งที่ต้องปรับปรุง]
🔧 Action Items:
- [รายการแก้ไข + ผู้รับผิดชอบ + กำหนด]
Communication Do's & Don'ts
| ✅ ควรทำ |
❌ ไม่ควรทำ |
| ใช้ภาษาชัดเจน ไม่ใช้ศัพท์เทคนิค (กับผู้บริหาร) |
เปิดเผยรายละเอียดทาง technical กับสื่อ |
| ระบุ Incident ID ทุกการสื่อสาร |
คาดเดาสาเหตุก่อนสอบสวนเสร็จ |
| ให้ข้อมูลที่เป็นข้อเท็จจริงเท่านั้น |
โทษบุคคลหรือทีมใดทีมหนึ่ง |
| ระบุ next update time |
สัญญาว่า "จะไม่เกิดอีก" |
| เก็บ audit trail ของทุกการสื่อสาร |
ส่งข้อมูลผ่านช่องทางไม่เข้ารหัส |
การสื่อสารตามระดับความรุนแรง
Communication Matrix
| Severity |
แจ้งใคร |
ช่องทาง |
Timeline |
| Critical |
CEO, CISO, Legal, PR |
Phone + Email |
ภายใน 15 นาที |
| High |
CISO, IT Director |
Email + Chat |
ภายใน 30 นาที |
| Medium |
SOC Manager, IT Lead |
Email |
ภายใน 2 ชั่วโมง |
| Low |
SOC Team |
Ticketing system |
ภายใน 24 ชั่วโมง |
Status Update Template
## Incident Status Update #[N]
- **Incident ID**: INC-YYYY-NNNN
- **Severity**: [Critical/High/Medium/Low]
- **Current Status**: [Investigating/Containing/Eradicating/Recovering]
- **Impact**: [ระบุผลกระทบ]
- **Actions Taken**: [ดำเนินการแล้ว]
- **Next Steps**: [ขั้นตอนถัดไป]
- **ETA Resolution**: [ประมาณเวลา]
- **Contact**: [ผู้รับผิดชอบ + เบอร์]
External Communication Guidelines
| ผู้รับ |
เมื่อไหร่ |
ใครเป็นคนส่ง |
อนุมัติโดย |
| ลูกค้า |
ข้อมูลรั่ว |
PR + Legal |
CEO |
| หน่วยงานกำกับ |
PDPA breach |
DPO |
CISO |
| สื่อมวลชน |
เหตุสาธารณะ |
PR |
CEO |
| Partner/Vendor |
ส่งผลกระทบ |
IT Director |
CISO |
Post-Incident Communication
| Timing |
Content |
Audience |
| +24 hrs |
Initial summary |
Internal stakeholders |
| +72 hrs |
Root cause update |
Management |
| +7 days |
Full post-mortem |
All affected parties |
| +30 days |
Remediation status |
Regulatory (if needed) |
| Role |
Primary |
Backup |
| CISO |
Phone |
SMS |
| SOC Lead |
Chat |
Phone |
| Legal |
Email |
Phone |
เอกสารที่เกี่ยวข้อง