eGP
egp งานประมูลภาครัฐ
ซื้อยกเลิกประกาศเชิญชวน

ประกวดราคาซื้อซอฟต์แวร์คอมพิวเตอร์โครงการป้องกันภัยคุกคามของสำนักงานกิจการยุติธรรมและศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม ประจำปีงบประมาณ พ.ศ.๒๕๖๘

สำนักงานกิจการยุติธรรม 67119315120
฿7,700,000 ปีงบ 2568 ประกาศ 31 ก.ค. 2568 กรุงเทพมหานคร
รายละเอียดการจ้าง

โครงการนี้มีเป้าหมายหลักเพื่อยกระดับความมั่นคงปลอดภัยทางไซเบอร์ของสํานักงานกิจการยุติธรรมและศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม (DXC) ให้สอดคล้องกับมาตรฐาน ISO/IEC 27001:2022 และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ โดยมีวัตถุประสงค์เพื่อให้ระบบ DXC มีความมั่นคงปลอดภัย สามารถเข้าถึงข้อมูลระดับความมั่นคงปลอดภัย และปรับปรุงระบบรักษาความปลอดภัยทางด้านไซเบอร์ให้มีประสิทธิภาพ โครงการนี้จะทำการจัดหาระบบป้องกันการโจมตีทางไซเบอร์บนเว็บไซต์เพื่อป้องกันการฝังสคริปต์โฆษณาและการพนันออนไลน์ รวมถึงจัดหาระบบตรวจจับและตอบสนองภัยคุกคามขั้นสูง (Extended Detection and Response - XDR) เพื่อตรวจจับภัยคุกคามแบบเรียลไทม์ นอกจากนี้ยังมีการทดสอบเจาะระบบเพื่อสำรวจหาช่องโหว่ของ Web Application และสแกนหาช่องโหว่โดยใช้เครื่องมืออัตโนมัติ (Vulnerability Assessment) เพื่อให้ระบบเทคโนโลยีสารสนเทศของสํานักงานมีความพร้อมในการรับมือภัยคุกคามทางไซเบอร์และรองรับการขยายบริการให้ประชาชนในอนาคต รวมถึงจัดหาซอฟต์แวร์สำหรับเตรียมความพร้อมในการรับมือภัยคุกคามทางไซเบอร์ กรณีมัลแวร์เรียกค่าไถ่ (Ransomware) บนเครื่องให้บริการและเครื่องผู้ใช้งานของสํานักงานกิจการยุติธรรม

English summary

This project aims to enhance the cybersecurity of the Office of Justice Affairs and the Data Exchange Center (DXC) by procuring a cyberattack prevention system for websites, an Extended Detection and Response (XDR) system, and conducting penetration testing to assess vulnerabilities. It also includes providing anti-ransomware software to ensure IT systems are ready to deal with cyber threats and support service expansion to the public.

สถานที่ดำเนินการ

ไม่ได้ระบุ

คำสำคัญ
CybersecurityWeb Application FirewallExtended Detection and ResponsePenetration TestingVulnerability AssessmentRansomware ProtectionCyber ThreatISO 27001Cyber Security ActData Protection

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

  • เพื่อให้ระบบ DXC มีความมั่นคงปลอดภัยและเป็นไปตาม Standard หรือ Compliance ที่มีการระบุให้ทําการทดสอบเจาะระบบเป็นประจําอย่างน้อยทุก ๆ ๑ ปี และสามารถเข้าถึงข้อมูลแสดงระดับ ความมั่นคงปลอดภัยได้ในรูปแบบที่เหมาะสมสําหรับผู้บริหารและผู้จัดการระบบ
  • เพื่อปรับปรุงระบบรักษาความปลอดภัยทางด้านไซเบอร์ของสํานักงานกิจการยุติธรรม ให้มีประสิทธิภาพดีขึ้น และใช้เป็นเครื่องมือในการเพิ่มประสิทธิภาพการปฏิบัติงานให้กับผู้ดูแลระบบ โดยลดความเสี่ยง และผลกระทบจากภัยคุกคามทางด้านไซเบอร์ที่จะส่งผลต่อการดําเนินงานของสํานักงาน กิจการยุติธรรม
  • จัดหาระบบป้องกันการโจมตีทางไซเบอร์บนเว็บไซต์ เพื่อให้เว็บไซต์ของสํานักงานกิจการยุติธรรม ปลอดภัยจากการฝังสคริปต์โฆษณา และการพนันออนไลน์
  • จัดหาสิทธิ์การใช้งานและติดตั้งระบบตรวจจับการโจมตีและตอบสนองภัยคุกคามขั้นสูง (Extended Detection and Response - XDR) ตรวจจับภัยคุกคามได้แบบเรียลไทม์

ขอบเขตของงาน

  • จัดหาซอฟต์แวร์สําหรับเตรียมความพร้อมในการรับมือภัยคุกคามทางไซเบอร์ กรณีมัลแวร์เรียกค่าไถ่ (Ransomware) บนเครื่องให้บริการ และเครื่องผู้ใช้งานของสํานักงานกิจการยุติธรรม
  • จัดหาซอฟต์แวร์สําหรับป้องกันการโดนฝังสคริปต์โฆษณา และการพนันออนไลน์บนเว็บไซต์ ของสํานักงานกิจการยุติธรรม (OJA) ศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม (DXC) และศูนย์ปฏิบัติการ ฐานข้อมูลกระบวนการยุติธรรม (NJADC)
  • การทดสอบเจาะระบบเพื่อสํารวจหาช่องโหว่ Web Application ของสํานักงานกิจการยุติธรรม (OJA) และศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม (DXC) และการทดสอบสแกนหาช่องโหว่ โดยใช้เครื่องมืออัตโนมัติ (Vulnerability Assessment) ของสํานักงานกิจการยุติธรรม (OJA) และศูนย์แลกเปลี่ยน ข้อมูลกระบวนการยุติธรรม (DXC) ซึ่งเป็นข้อกําหนดของ ISO/IEC 27001:2022 และพระราชบัญญัติ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒
  • จัดหาระบบป้องกันการโจมตีทางไซเบอร์บนเว็บไซต์
  • จัดหาสิทธิ์การใช้งานและติดตั้งระบบตรวจจับการโจมตีและตอบสนองภัยคุกคามขั้นสูง (Extended Detection and Response - XDR)

สิ่งที่ต้องส่งมอบ

  • ซอฟต์แวร์สําหรับเตรียมความพร้อมในการรับมือภัยคุกคามทางไซเบอร์ กรณีมัลแวร์เรียกค่าไถ่ (Ransomware) บนเครื่องให้บริการ และเครื่องผู้ใช้งานของสํานักงานกิจการยุติธรรม
  • ซอฟต์แวร์สําหรับป้องกันการโดนฝังสคริปต์โฆษณา และการพนันออนไลน์บนเว็บไซต์ ของสํานักงานกิจการยุติธรรม (OJA) ศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม (DXC) และศูนย์ปฏิบัติการ ฐานข้อมูลกระบวนการยุติธรรม (NJADC)
  • รายงานการทดสอบเจาะระบบเพื่อสํารวจหาช่องโหว่ Web Application ของสํานักงานกิจการยุติธรรม (OJA) และศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม (DXC)
  • รายงานผลการทดสอบสแกนหาช่องโหว่ โดยใช้เครื่องมืออัตโนมัติ (Vulnerability Assessment) ของสํานักงานกิจการยุติธรรม (OJA) และศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม (DXC)
  • ระบบป้องกันการโจมตีทางไซเบอร์บนเว็บไซต์
  • ระบบตรวจจับการโจมตีและตอบสนองภัยคุกคามขั้นสูง (Extended Detection and Response - XDR) พร้อมสิทธิ์การใช้งาน

ระยะเวลาดำเนินการ

ไม่ได้ระบุ

คุณสมบัติผู้เสนอราคา

  • Eligibility Requirements:
    • ผู้ยื่นข้อเสนอต้องได้รับการสนับสนุนทางเทคนิคโดยแสดงเอกสารรับรองการสนับสนุน ทางเทคนิคตลอดอายุการรับประกันจากผู้ผลิตที่ระบุชื่อโครงการนี้มายื่นในวันนําเสนอราคา
    • ผู้ยื่นข้อเสนอต้องลงทะเบียนที่มีข้อมูลถูกต้องครบถ้วนในระบบจัดซื้อจัดจ้างภาครัฐด้วย อิเล็กทรอนิกส์ (Electronic Government Procurement : e-GP) ของกรมบัญชีกลาง
    • กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยซึ่งได้จดทะเบียนเกินกว่า ๑ ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิ ที่ปรากฏในงบแสดงฐานะ การเงินที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก ๑ ปีสุดท้ายก่อนวันยื่นข้อเสนอ หรือ
    • กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย ซึ่งยังไม่มีการรายงาน งบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ให้พิจารณาการกําหนดมูลค่าของทุนจดทะเบียน โดยผู้ยื่น ข้อเสนอจะต้องมีทุนจดทะเบียนที่เรียกชําระมูลค่าหุ้นแล้ว ณ วันที่ยื่นข้อเสนอ ไม่ต่ํากว่า 6 ล้านบาท หรือ
    • สําหรับการจัดซื้อจัดจ้างครั้งหนึ่งที่มีวงเงินเกิน ๕๐๐,000 บาทขึ้นไป กรณีผู้ยื่นข้อเสนอ เป็นบุคคลธรรมดา โดยพิจารณาจากหนังสือรับรองบัญชีเงินฝากไม่เกิน ๙๐ วัน ก่อนวันยื่นข้อเสนอ โดยต้องมี เงินฝากคงเหลือในบัญชีธนาคารเป็นมูลค่า ๑ ใน ๔ ของมูลค่างบประมาณของโครงการหรือรายการที่ยื่น ข้อเสนอ ในแต่ละครั้ง และหากเป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ได้รับการคัดเลือกจะต้องแสดงหนังสือ รับรองบัญชีเงินฝากที่มีมูลค่าดังกล่าวอีกครั้งหนึ่งในวันลงนามในสัญญา หรือ
    • กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียน หรือมีแต่ไม่เพียงพอ ที่จะเข้ายื่นข้อเสนอ ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ ๑ ใน ๔ ของมูลค่า งบประมาณที่ยื่นข้อเสนอในครั้งนั้น
  • Experience:
    • เคยมีผลงานขายพร้อมติดตั้งระบบการป้องกันบุกรุกทางไซเบอร์ เช่น Web Application Firewall และระบบตรวจจับเหตุการณ์ด้านความมั่นคงปลอดภัยและภัยคุกคามพร้อมทําการ ตอบสนอง (Extended Detection and Response)
    • เคยมีผลงานในการทํา Gap Analysis และผลงานในการวิเคราะห์ช่องโหว่ และทดสอบเจาะระบบ กับหน่วยงานภาครัฐหรือหน่วยงานเอกชนที่มีความน่าเชื่อถือ
  • Previous Project Cost:
    • โดยมีมูลค่าผลงานรวมทั้งหมดไม่น้อยกว่า ๓,๘๐๐,000 บาท (สามล้านแปดแสนบาทถ้วน) ย้อนหลังไม่เกิน ๕ ปี นับจากวันที่ยื่นข้อเสนอ
  • Personnel:
    • ผู้จัดการโครงการ (Project Manager) จํานวนอย่างน้อย ๑ คน โดยมีคุณสมบัติ ดังนี้
      • มีวุฒิทางการศึกษาอย่างน้อยปริญญาตรี สาขาวิศวกรรมคอมพิวเตอร์ หรือสาขาวิทยาการคอมพิวเตอร์ หรือสาขาวิทยาศาสตร์คอมพิวเตอร์ หรือสาขาสารสนเทศศาสตร์
      • มีอายุงานไม่น้อยกว่า ๕ ปี ในงานที่เกี่ยวข้องกับคอมพิวเตอร์
      • มีประสบการณ์ในการเป็นผู้จัดการโครงการ (Project Manager) เกี่ยวข้องกับ ด้านความมั่นคงปลอดภัยสารสนเทศไม่น้อยกว่า ๑ ปี และมีอย่างน้อย ๑ โครงการ ซึ่งมีมูลค่าไม่ต่ํากว่า ๑ ล้านบาท
    • ผู้เชี่ยวชาญด้านทดสอบเจาะระบบ โดยมีประสบการณ์ในการทดสอบเจาะระบบ ไม่น้อยกว่า ๑๐ ปี จํานวนอย่างน้อย ๑ คน และจะต้องได้รับประกาศนียบัตรรับรองความสามารถตามข้อกําหนด อย่างใดอย่างหนึ่งดังนี้
      • มีวุฒิทางการศึกษาอย่างน้อยปริญญาตรี สาขาวิทยาการคอมพิวเตอร์ หรือวิศวกรรมคอมพิวเตอร์ หรือสาขาที่เกี่ยวข้องด้านคอมพิวเตอร์
      • มีประสบการณ์ที่เกี่ยวข้อง มีหน้าที่และความรับผิดชอบในโครงการอย่างน้อย ๑ โครงการ ซึ่งมีมูลค่าไม่ต่ํากว่า ๑ ล้านบาท
      • ต้องได้รับการรับรอง หรือได้รับประกาศนียบัตรรับรองด้านความรู้ความสามารถ ทางด้านความมั่นคงปลอยภัยไซเบอร์จากหน่วยงานในระดับสากล อย่างใดอย่างหนึ่งดังนี้
        • GIAC Certified Network Penetration Testing (GPEN)
        • GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
        • OffSec Certified Professional (OSCP)
        • OffSec Certified Professional Plus (OSCP+)
        • Practical Network Penetration Tester (PNPT)

เกณฑ์การพิจารณา

ไม่ได้ระบุ

ข้อกำหนดทางเทคนิค

ไม่ได้ระบุ

เงื่อนไขสัญญา

ไม่ได้ระบุ

คำถามที่พบบ่อย (FAQ)

  • Q: โครงการนี้เกี่ยวข้องกับการปฏิบัติตามกฎหมายใดบ้าง?
    • A: โครงการนี้เกี่ยวข้องกับการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 รวมถึงมาตรฐาน ISO/IEC 27001:2022
    • Q: ทำไมต้องมีการทดสอบเจาะระบบ (Penetration Testing)?
    • A: เพื่อสำรวจและประเมินช่องโหว่ของ Web Application และระบบต่างๆ เพื่อให้สามารถปรับปรุงและป้องกันภัยคุกคามได้อย่างเหมาะสม
    • Q: ระบบ XDR (Extended Detection and Response) คืออะไร และมีประโยชน์อย่างไร?
    • A: เป็นระบบตรวจจับและตอบสนองภัยคุกคามขั้นสูงที่ช่วยให้สามารถตรวจจับภัยคุกคามได้แบบเรียลไทม์ และตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วและมีประสิทธิภาพ
    • Q: ซอฟต์แวร์ป้องกันมัลแวร์เรียกค่าไถ่ (Ransomware) จะถูกติดตั้งที่ใดบ้าง?
    • A: จะถูกติดตั้งบนเครื่องให้บริการและเครื่องผู้ใช้งานของสํานักงานกิจการยุติธรรม
    • Q: โครงการนี้มีผลต่อการให้บริการประชาชนอย่างไร?
    • A: ช่วยให้ศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม (DXC) มีความพร้อมด้านความมั่นคงปลอดภัยในการขยายบริการให้ประชาชนในอนาคต และสร้างความมั่นใจในการใช้บริการออนไลน์ของภาครัฐ
    • Q: หน่วยงานใดบ้างที่จะได้รับประโยชน์จากซอฟต์แวร์ป้องกันการฝังสคริปต์โฆษณาและการพนันออนไลน์?
    • A: สํานักงานกิจการยุติธรรม (OJA), ศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม (DXC), และศูนย์ปฏิบัติการฐานข้อมูลกระบวนการยุติธรรม (NJADC)
    • Q: ผู้ยื่นข้อเสนอต้องมีประสบการณ์ด้านใดบ้าง?
    • A: ต้องมีประสบการณ์ในการขายพร้อมติดตั้งระบบการป้องกันบุกรุกทางไซเบอร์ และมีผลงานในการทํา Gap Analysis รวมถึงการวิเคราะห์ช่องโหว่และทดสอบเจาะระบบ
    • Q: ผู้จัดการโครงการ (Project Manager) ต้องมีประสบการณ์ด้านใด?
    • A: ต้องมีประสบการณ์ในการเป็นผู้จัดการโครงการที่เกี่ยวข้องกับด้านความมั่นคงปลอดภัยสารสนเทศ
    • Q: ผู้เชี่ยวชาญด้านทดสอบเจาะระบบต้องมีคุณสมบัติอย่างไร?
    • A: ต้องมีประสบการณ์ในการทดสอบเจาะระบบไม่น้อยกว่า 10 ปี และได้รับการรับรองหรือมีประกาศนียบัตรด้านความรู้ความสามารถทางด้านความมั่นคงปลอดภัยไซเบอร์จากหน่วยงานในระดับสากล
    • Q: ทำไมโครงการนี้จึงต้องจัดหาระบบป้องกันการโจมตีทางไซเบอร์บนเว็บไซต์?
    • A: เพื่อให้เว็บไซต์ของสํานักงานกิจการยุติธรรมปลอดภัยจากการฝังสคริปต์โฆษณาและการพนันออนไลน์ ซึ่งเป็นภัยคุกคามที่พบบ่อยในปัจจุบัน

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการป้องกันภัยคุกคามของสํานักงานกิจการยุติธรรมและศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม ประจําปีงบประมาณ พ.ศ. ๒๕๖๘
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการป้องกันภัยคุกคามของสํานักงานกิจการยุติธรรมและศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม
ประจําปีงบประมาณ พ.ศ. ๒๕๖๘
๑. ความเป็นมา
ปัจจุบันหน่วยงานของรัฐใช้เทคโนโลยีและระบบดิจิทัลเป็นกลไกหลักในการขับเคลื่อนการปฏิบัติงาน ทําให้เผชิญกับความเสี่ยงจากภัยคุกคามทางไซเบอร์ (Cyber Threats) มากขึ้น สํานักงานกิจการยุติธรรมและ ศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม DXC มีการให้บริการบุคลากรภายในสํานักงาน และดําเนินการ พัฒนาระบบเพื่อยกระดับบริการของสํานักงานกิจการยุติธรรม และศูนย์ DXC ทั้งด้านอุปกรณ์ ด้านระบบ บริการ และระบบรักษาความมั่นคงปลอดภัย ในการวางกรอบการกํากับดูแล โดยศูนย์ DXC ได้ดําเนินการ ขอรับรองมาตรฐาน ISO/IEC 27001:2022 การบริหารจัดการความเสี่ยงทั้งด้านบุคลากร กระบวนการ และเครื่องมือหรือเทคโนโลยี เพื่อลดผลกระทบต่อผู้ใช้งานและหน่วยงานที่เกี่ยวข้องโดยรวม พร้อมทั้ง
รับประกันคุณภาพการให้บริการว่ามีความมั่นคงปลอดภัยขั้นสูง
สํานักงานกิจการยุติธรรม จึงได้กําหนดแผนการดําเนินงานและกําหนดแนวทางการบริหารจัดการ
ความเสี่ยงด้านไซเบอร์และมาตรการควบคุมด้านการรักษาความมั่นคงปลอดภัยที่พึงมี (Maturity Level) ให้สอดคล้องกับระดับความเสี่ยงตั้งต้นของตนเอง โดยปัจจุบันศูนย์ DXC ต้องดําเนินการเตรียมการรองรับ นโยบายตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และพระราชบัญญัติการรักษาความมั่นคง ปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ เนื่องจากปัจจุบัน มีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคล เป็นจํานวนมากจนสร้างความเดือดร้อนและเสียหายให้แก่ เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้า เทคโนโลยี ทําให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อันเป็นการล่วงละเมิดทําได้โดยง่าย จึงจําเป็นที่หน่วยงานของรัฐจะต้องคุ้มครองข้อมูลต่าง ๆ ของประชาชน โดยในปีงบประมาณ พ.ศ. ๒๕๖๕ แผนการดําเนินงานของศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม DXC ที่ได้มีการวางแนวทางการขับเคลื่อน ในระยะ ๓ ปี และเสนอคณะกรรมการพัฒนาการบริหารงานยุติธรรมแห่งชาติที่ได้รับความเห็นชอบ ให้ดําเนินการแล้วนั้น สํานักงานกิจการยุติธรรม กระทรวงยุติธรรม จึงมีโครงการสําคัญ เพื่อปฏิบัติตาม กฎหมายและสร้างความมั่นใจในการให้บริการของภาครัฐ ภายใต้คุณภาพของการบริการและการบริหารจัดการ ความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ที่เหมาะสม รวมถึงจัดหาโปรแกรมตรวจจับมัลแวร์ป้องกันการโจมตี
ชั้นสูงบนเครื่องผู้ใช้งาน และเครื่องการปฏิบัติงานของบุคลากรภายในสํานักงานกิจการยุติธรรม ซึ่งปัจจุบันและ
ในอนาคตมีการพัฒนาบริการประชาชนในรูปแบบออนไลน์มากขึ้น แต่ด้วยภัยคุกคามด้านความมั่นคงปลอดภัย สารสนเทศ มีแนวโน้มเพิ่มสูงขึ้นทุกปี และมีการพัฒนารูปแบบอย่างต่อเนื่อง โดยเฉพาะมัลแวร์สายพันธุ์ใหม่ จึงพบว่า ระบบเว็บไซต์ และระบบเครือข่ายของหน่วยงานรัฐยังคงมีความเสี่ยงต่อการโจมตี จึงจําเป็นต้องจัดหา อุปกรณ์และระบบที่ทันสมัยเพื่อสามารถใช้ในการวิเคราะห์ รับมือ และจัดการภัยคุกคามทางเทคโนโลยี (ไซเบอร์) ที่เกิดขึ้นได้อย่างเหมาะสมทันท่วงที สร้างความน่าเชื่อถือให้กับระบบสารสนเทศของสํานักงานกิจการ ยุติธรรมต่อไป
ساء

กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
/๑๘
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการป้องกันภัยคุกคามของสํานักงานกิจการยุติธรรมและศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม ประจําปีงบประมาณ พ.ศ. ๒๕๐๘
๒/๑๘
๒. วัตถุประสงค์
๒.๑ เพื่อให้ระบบ DXC มีความมั่นคงปลอดภัยและเป็นไปตาม Standard หรือ Compliance ที่มีการระบุให้ทําการทดสอบเจาะระบบเป็นประจําอย่างน้อยทุก ๆ ๑ ปี และสามารถเข้าถึงข้อมูลแสดงระดับ ความมั่นคงปลอดภัยได้ในรูปแบบที่เหมาะสมสําหรับผู้บริหารและผู้จัดการระบบ
๒.๒ เพื่อปรับปรุงระบบรักษาความปลอดภัยทางด้านไซเบอร์ของสํานักงานกิจการยุติธรรม ให้มีประสิทธิภาพดีขึ้น และใช้เป็นเครื่องมือในการเพิ่มประสิทธิภาพการปฏิบัติงานให้กับผู้ดูแลระบบ โดยลดความเสี่ยง และผลกระทบจากภัยคุกคามทางด้านไซเบอร์ที่จะส่งผลต่อการดําเนินงานของสํานักงาน กิจการยุติธรรม
๒.๓ จัดหาระบบป้องกันการโจมตีทางไซเบอร์บนเว็บไซต์ เพื่อให้เว็บไซต์ของสํานักงานกิจการ
ยุติธรรม ปลอดภัยจากการฝังสคริปต์โฆษณา และการพนันออนไลน์
๒.๔ จัดหาสิทธิ์การใช้งานและติดตั้งระบบตรวจจับการโจมตีและตอบสนองภัยคุกคามขั้นสูง (Extended. Detection and Response - XDR) ตรวจจับภัยคุกคามได้แบบเรียลไทม์
๓. เป้าหมายของโครงการ
๓.๑ ระบบเทคโนโลยีสารสนเทศของสํานักงานกิจการยุติธรรม สามารถรองรับข้อกําหนดในกฎหมาย ของประเทศ และมาตรฐานด้านความมั่นคงปลอดภัย และมีความพร้อมในการรับมือภัยคุกคามทางไซเบอร์
๓.๒ จัดหามาตรการพื้นฐานสําหรับเตรียมความพร้อมในการรับมือภัยคุกคามทางไซเบอร์ ระบบตรวจจับป้องกันการโจมตี และตอบสนองภัยคุกคามขั้นสูงที่ใช้ระบบอัตโนมัติ และเครื่องผู้ใช้งาน ของสํานักงานกิจการยุติธรรม
๓.๓ เตรียมความพร้อมศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม (DXC Service) ที่จะขยาย บริการให้ประชาชน และทํารองรับการโจมตีทางไซเบอร์บนเว็บไซต์ เพื่อให้เว็บไซต์ของสํานักงานกิจการ
ยุติธรรม ปลอดภัยจากการฝังสคริปต์โฆษณา และการพนันออนไลน์
๔. ประโยชน์ที่คาดว่าจะได้รับ
๔.๑ ด้านผลผลิต
๔.๑.๑ มีซอฟต์แวร์สําหรับเตรียมความพร้อมในการรับมือภัยคุกคามทางไซเบอร์ กรณีมัลแวร์ เรียกค่าไถ่ (Ransomware) บนเครื่องให้บริการ และเครื่องผู้ใช้งานของสํานักงานกิจการยุติธรรม
๔.๑.๒ มีซอฟต์แวร์สําหรับป้องกันการโดนฝังสคริปต์โฆษณา และการพนันออนไลน์บนเว็บไซต์ ของสํานักงานกิจการยุติธรรม (OJA) ศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม (DXC) และศูนย์ปฏิบัติการ ฐานข้อมูลกระบวนการยุติธรรม (NJADC)
๔.๑.๓ การทดสอบเจาะระบบเพื่อสํารวจหาช่องโหว่ Web Application ของสํานักงานกิจการ ยุติธรรม (OJA) และศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม (DXC) และการทดสอบสแกนหาช่องโหว่ โดยใช้เครื่องมืออัตโนมัติ (Vulnerability Assessment) ของสํานักงานกิจการยุติธรรม (OJA) และศูนย์แลกเปลี่ยน
کرے
DJ

0
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการป้องกันภัยคุกคามของสํานักงานกิจการยุติธรรมและศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม ประจําปีงบประมาณ พ.ศ. ๒๕๐๙
ข้อมูลกระบวนการยุติธรรม (DXC) ซึ่งเป็นข้อกําหนดของ ISO/IEC 27001:2022 และพระราชบัญญัติ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒
๔.๒ ด้านผลลัพธ์
๔.๒.๑ ระบบเทคโนโลยีสารสนเทศของสํานักงานกิจการยุติธรรม สามารถรองรับข้อกําหนด ในกฎหมายของประเทศ และมาตรฐานด้านความมั่นคงปลอดภัย และมีความพร้อมในการรับมือภัยคุกคาม ทางไซเบอร์
๔.๒.๒ ศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม (DXC) มีการเตรียมความพร้อมด้านความมั่นคง ปลอดภัยเพื่อขยายบริการให้ประชาชนในอนาคต
๕. คุณสมบัติของผู้ยื่นข้อเสนอ
๕.๑ มีความสามารถตามกฎหมาย ๕.๒ ไม่เป็นบุคคลล้มละลาย ๕.๓ ไม่อยู่ระหว่างเลิกกิจการ
๕.๔ ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังกําหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
๕.๕ ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของ
หน่วยงานของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วน ผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอํานาจในการดําเนินงานในกิจการของนิติบุคคลนั้นด้วย
๕.๖ มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหาร พัสดุภาครัฐกําหนดในราชกิจจานุเบกษา
๕.๗ เป็นบุคคลธรรมดาหรือนิติบุคคลผู้มีอาชีพรับจ้างงานที่ประกวดราคาอิเล็กทรอนิกส์ดังกล่าว ๕.๘ ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอราคารายอื่นที่เข้ายื่นข้อเสนอให้แก่สํานักงาน กิจการยุติธรรม ณ วันประกาศประกวดราคาอิเล็กทรอนิกส์ หรือไม่เป็นผู้กระทําการอันเป็นการขัดขวางการแข่งขัน ราคาอย่างเป็นธรรมในการประกวดราคาอิเล็กทรอนิกส์ครั้งนี้
๕.๙ ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้ยื่น ข้อเสนอได้มีคําสั่งให้สละเอกสิทธิ์ความคุ้มกันเช่นว่านั้น
๕.๑๐ ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติดังนี้
กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงระหว่างผู้เข้าร่วมค้าจะต้องมีการกําหนดสัดส่วนหน้าที่และความรับผิดชอบในปริมาณงานสิ่งของ
หรือมูลค่าตามสัญญาของผู้เข้าร่วมค้าหลักมากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก
กิจการร่วมค้านั้น ต้องใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอ
๗/๑๘
كبيره
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการป้องกันภัยคุกคามของสํานักงานกิจการยุติธรรมและศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม ประจําปีงบประมาณ พ.ศ. ๒๕๖๘
وله
สําหรับข้อตกลงระหว่างผู้เข้าร่วมค้าที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก
ผู้เข้าร่วมค้าทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่กําหนดไว้ในเอกสารเชิญชวน
กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากําหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่ง
เป็นผู้ยื่นข้อเสนอ ในนามกิจการร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอํานาจ
สําหรับข้อตกลงระหว่างผู้เข้าร่วมค้าที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอ ผู้เข้าร่วมค้าทุกรายจะต้องลงลายมือชื่อในหนังสือมอบอํานาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอ
ในนามกิจการร่วมค้า
๕.๑๑ ผู้ยื่นข้อเสนอต้องลงทะเบียนที่มีข้อมูลถูกต้องครบถ้วนในระบบจัดซื้อจัดจ้างภาครัฐด้วย อิเล็กทรอนิกส์ (Electronic Government Procurement : e-GP) ของกรมบัญชีกลาง
๕.๑๒ ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ ดังนี้
(๑) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยซึ่งได้จดทะเบียนเกินกว่า ๑ ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิ ที่ปรากฏในงบแสดงฐานะ การเงินที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก ๑ ปีสุดท้ายก่อนวันยื่นข้อเสนอ
(๒) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย ซึ่งยังไม่มีการรายงาน งบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ให้พิจารณาการกําหนดมูลค่าของทุนจดทะเบียน โดยผู้ยื่น ข้อเสนอจะต้องมีทุนจดทะเบียนที่เรียกชําระมูลค่าหุ้นแล้ว ณ วันที่ยื่นข้อเสนอ ไม่ต่ํากว่า 6 ล้านบาท
(๓) สําหรับการจัดซื้อจัดจ้างครั้งหนึ่งที่มีวงเงินเกิน ๕๐๐,000 บาทขึ้นไป กรณีผู้ยื่นข้อเสนอ เป็นบุคคลธรรมดา โดยพิจารณาจากหนังสือรับรองบัญชีเงินฝากไม่เกิน ๙๐ วัน ก่อนวันยื่นข้อเสนอ โดยต้องมี เงินฝากคงเหลือในบัญชีธนาคารเป็นมูลค่า ๑ ใน ๔ ของมูลค่างบประมาณของโครงการหรือรายการที่ยื่น ข้อเสนอ ในแต่ละครั้ง และหากเป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ได้รับการคัดเลือกจะต้องแสดงหนังสือ
รับรองบัญชีเงินฝากที่มีมูลค่าดังกล่าวอีกครั้งหนึ่งในวันลงนามในสัญญา
(๔) กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียน หรือมีแต่ไม่เพียงพอ ที่จะเข้ายื่นข้อเสนอ ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ ๑ ใน ๔ ของมูลค่า งบประมาณที่ยื่นข้อเสนอในครั้งนั้น (สินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุนหรือบริษัทเงินทุน หลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์ และประกอบธุรกิจค้ําประกันตามประกาศ
ของธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทยแจ้งเวียนให้ทราบ
โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สํานักงานใหญ่รับรอง หรือที่สํานักงานสาขารับรอง (กรณีได้รับ มอบอํานาจจากสํานักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวันยื่นข้อเสนอไม่เกิน ๙๐ วัน)
(๕) กรณีตาม (๑) - (๔) ยกเว้นสําหรับกรณี ดังต่อไปนี้
(๕.๑) กรณีที่ผู้ยื่นข้อเสนอเป็นหน่วยงานของรัฐ
(๕.๒) นิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยที่อยู่ระหว่างการฟื้นฟูกิจการตามพระราชบัญญัติ
ล้มละลาย (ฉบับที่ ๑๐) พ.ศ. ๒๕๖๑
کہیں
รว
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการป้องกันภัยคุกคามของสํานักงานกิจการยุติธรรมและศูนย์แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม ประจําปีงบประมาณ พ.ศ. ๒๕๑๘
๕.๑๓ ผู้ยื่นข้อเสนอต้องได้รับการสนับสนุนทางเทคนิคโดยแสดงเอกสารรับรองการสนับสนุน
ทางเทคนิคตลอดอายุการรับประกันจากผู้ผลิตที่ระบุชื่อโครงการนี้มายื่นในวันนําเสนอราคา
๕.๑๔ ผู้ยื่นข้อเสนอต้องมีผลงาน ดังต่อไปนี้
๕.๑๔.๑ เคยมีผลงานขายพร้อมติดตั้งระบบการป้องกันบุกรุกทางไซเบอร์ เช่น Web Application Firewall และระบบตรวจจับเหตุการณ์ด้านความมั่นคงปลอดภัยและภัยคุกคามพร้อมทําการ ตอบสนอง (Extended Detection and Response)
๕.๑๔.๒ เคยมีผลงานในการทํา Gap Analysis และผลงานในการวิเคราะห์ช่องโหว่ และทดสอบเจาะระบบ กับหน่วยงานภาครัฐหรือหน่วยงานเอกชนที่มีความน่าเชื่อถือ
โดยมีมูลค่าผลงานรวมทั้งหมดไม่น้อยกว่า ๓,๘๐๐,000 บาท (สามล้านแปดแสนบาทถ้วน) ย้อนหลังไม่เกิน ๕ ปี นับจากวันที่ยื่นข้อเสนอ โดยผู้ยื่นข้อเสนอต้องแนบสําเนาสัญญาคู่ฉบับหรือหนังสือรับรอง การจ้างงานดังกล่าวมาพร้อมด้วย
๕.๑๕ ผู้ยื่นข้อเสนอต้องมีทีมงานในการดําเนินงานโครงการ ประกอบด้วย
๕.๑๕.๑ ผู้จัดการโครงการ (Project Manager) จํานวนอย่างน้อย ๑ คน โดยมีคุณสมบัติ ดังนี้
มีวุฒิทางการศึกษาอย่างน้อยปริญญาตรี สาขาวิศวกรรมคอมพิวเตอร์ หรือสาขา
วิทยาการคอมพิวเตอร์ หรือสาขาวิทยาศาสตร์คอมพิวเตอร์ หรือสาขาสารสนเทศศาสตร์

  • มีอายุงานไม่น้อยกว่า ๕ ปี ในงานที่เกี่ยวข้องกับคอมพิวเตอร์
  • มีประสบการณ์ในการเป็นผู้จัดการโครงการ (Project Manager) เกี่ยวข้องกับ ด้านความมั่นคงปลอดภัยสารสนเทศไม่น้อยกว่า ๑ ปี และมีอย่างน้อย ๑ โครงการ ซึ่งมีมูลค่าไม่ต่ํากว่า ๑ ล้านบาท
    ๕.๑๕.๒ ผู้เชี่ยวชาญด้านทดสอบเจาะระบบ โดยมีประสบการณ์ในการทดสอบเจาะระบบ ไม่น้อยกว่า ๑๐ ปี จํานวนอย่างน้อย ๑ คน และจะต้องได้รับประกาศนียบัตรรับรองความสามารถตามข้อกําหนด อย่างใดอย่างหนึ่งดังนี้
    มีวุฒิทางการศึกษาอย่างน้อยปริญญาตรี สาขาวิทยาการคอมพิวเตอร์ หรือวิศวกรรม
    คอมพิวเตอร์ หรือสาขาที่เกี่ยวข้องด้านคอมพิวเตอร์
  • มีประสบการณ์ที่เกี่ยวข้อง มีหน้าที่และความรับผิดชอบในโครงการอย่างน้อย
    ๑ โครงการ ซึ่งมีมูลค่าไม่ต่ํากว่า ๑ ล้านบาท
    ต้องได้รับการรับรอง หรือได้รับประกาศนียบัตรรับรองด้านความรู้ความสามารถ
    ทางด้านความมั่นคงปลอยภัยไซเบอร์จากหน่วยงานในระดับสากล อย่างใดอย่างหนึ่งดังนี้
    • GIAC Certified Network Penetration Testing (GPEN)
    GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
    OffSec Certified Professional (OSCP)
    • OffSec Certified Professional Plus (OSCP+)
    Practical Network Penetration Tester (PNPT)
    ๕/๑๘
    c

    กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม