ประกวดราคาจ้างบริการตรวจหาช่องโหว่และทดสอบเจาะระบบด้านความมั่นคงปลอดภัยทางไซเบอร์

• เพื่อค้นหาจุดกำเนิดช่องโหว่ของระบบเว็บแอปพลิเคชัน (Web Application) โดยทีมงานผู้เชี่ยวชาญ
• เพื่อให้ทราบถึงช่องโหว่และแนวทางในการปิดช่องโหว่ของระบบงาน, อุปกรณ์คอมพิวเตอร์, อุปกรณ์เครือข่าย และอุปกรณ์ในระบบรักษาความปลอดภัยสารสนเทศ
• เพื่อเสริมสร้างความมั่นคงปลอดภัย และทบทวนการประเมินความเสี่ยงระบบเทคโนโลยีสารสนเทศของการไฟฟ้าส่วนภูมิภาค
• เพื่อทดสอบเจาะระบบ นำผลไปเป็นแนวทางในการปรับปรุง ป้องกันและรับมือภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์ที่อาจเกิดขึ้นกับระบบเทคโนโลยีสารสนเทศของการไฟฟ้าส่วนภูมิภาค ในด้านบุคลากร กระบวนการ และเทคโนโลยี (People Process Technology) อย่างเป็นระบบและมีประสิทธิภาพ

• ผู้ชนะการยื่นข้อเสนอต้องจัดทำแผนการดำเนินงานรวมถึงแนวทางการเข้าดำเนินงานทั้งหมด ส่งให้การไฟฟ้าส่วนภูมิภาคพิจารณาให้ความเห็นชอบภายใน 30 วัน นับถัดจากวันลงนามในสัญญา
• ผู้ชนะการยื่นข้อเสนอจะต้องจัดประชุม Kick-off เพื่ออธิบายแผนดำเนินการที่ได้รับความเห็นชอบจาก การไฟฟ้าส่วนภูมิภาค ณ การไฟฟ้าส่วนภูมิภาค ภายในระยะเวลาไม่เกิน 45 วัน นับถัดจากวันลงนามในสัญญา
• ผู้ชนะการยื่นข้อเสนอต้องจัดประชุมและเข้าร่วมประชุมกับเจ้าหน้าที่การไฟฟ้าส่วนภูมิภาคเพื่อประสานงานกับหน่วยงานเจ้าของระบบหรือเว็บไซต์ เพื่อให้การไฟฟ้าส่วนภูมิภาคกำหนดวันและเวลา หรือสถานที่ในการเข้าดำเนินงาน รวมถึงอธิบายขั้นตอนการดำเนินงานและผลกระทบที่อาจจะเกิดขึ้น
• การทดสอบเจาะระบบเว็บแอปพลิเคชัน (Web Application Penetration Testing) พร้อมจัดทำรายงานผลการทดสอบ จำนวน 2 ครั้ง
• การสแกนการตั้งค่าระบบตามมาตรฐานการกำหนดค่าความมั่นคงปลอดภัย (Security Configuration Baseline and Hardening)
• การค้นหาภัยคุกคามทางไซเบอร์ (Threats Hunting Services) จำนวน 1 ครั้ง
• จัดประชุมเพื่อบรรยายสรุปผลการดำเนินงาน (Executive Project Summary)
• จัดหาหลักสูตรการฝึกอบรม Web App Penetration Testing and Ethical Hacking สถาบัน SANS Institute ให้กับพนักงาน กฟภ. จำนวน 1 รุ่น รุ่นละไม่น้อยกว่า 3 คน

• รายงานการประชุมเริ่มต้นโครงการ (Kick-Off)
• แผนการดำเนินงาน ที่ได้รับความเห็นชอบจาก การไฟฟ้าส่วนภูมิภาค
• รายงานผลการทดสอบเจาะระบบเว็บแอปพลิเคชัน (Web Application) ครั้งที่ 1
• รายงานผลการสแกนการตั้งค่าระบบตามมาตรฐานการกำหนดค่าความมั่นคงปลอดภัย
• เอกสารมาตรฐานกำหนดค่าความมั่นคงปลอดภัย
• รายงานผลการทดสอบเจาะระบบ เว็บแอปพลิเคชัน (Web Application) ครั้งที่ 2 (Revisit)
• รายงานผลการสแกนการตั้งค่าระบบตามมาตรฐานการกำหนดค่าความมั่นคงปลอดภัย (Revisit)
• รายงานผลการทดสอบทำ Threat Hunting Services
• รายงานสรุปผลการดำเนินงาน (Summary Session)
• หลักฐานการจัดหาหลักสูตรฝึกอบรมและรายชื่อผู้เข้าร่วม

ระยะเวลาให้บริการ 365 วัน นับถัดจากวันลงนามในสัญญาหรือข้อตกลงเป็นหนังสือหรือใบสั่งจ้าง

• Eligibility Requirements: มีความสามารถตามกฎหมาย, ไม่เป็นบุคคลล้มละลาย, ไม่อยู่ระหว่างเลิกกิจการ, ไม่เป็นผู้ถูกระงับการยื่นข้อเสนอ, ไม่มีผลประโยชน์ร่วมกัน, ไม่ได้รับเอกสิทธิ์หรือความคุ้มกัน
• Standards Compliance: -
• Experience: มีสัญญาหรือผลงานการให้บริการเกี่ยวกับการทดสอบความมั่นคงปลอดภัยทางไซเบอร์ หรือ Red Teaming หรือ Risk Assessment ให้กับหน่วยงานที่มีภารกิจหรือให้บริการในด้านต่างๆ ที่สำคัญต่อความมั่นคงและเสถียรภาพของประเทศ (CII) โดยมีมูลค่ารวมไม่น้อยกว่า 9 ล้านบาท (รวมภาษีมูลค่าเพิ่ม) โดยเป็นผลงานที่ดำเนินการแล้วเสร็จแล้ว ภายในระยะเวลาไม่เกิน 5 ปี นับจากวันยื่นข้อเสนอ
• Previous Project Cost: ผลงานที่มีมูลค่ารวมไม่น้อยกว่า 9 ล้านบาท (รวมภาษีมูลค่าเพิ่ม)
• Technical Capabilities: สามารถดำเนินการทดสอบเจาะระบบ Web Application จากเครือข่ายภายนอก (External Black-box Penetration Testing), สามารถใช้เครื่องมือสแกนค้นหาความเสี่ยงจากภายนอก (EASM หรือ ASM), รองรับระบบปฏิบัติการ (OS) ของเครื่องแม่ข่ายเสมือน (VM) อย่างน้อย Ubuntu 18.04, Windows server 2012, 2016, 2019
• Personnel:
  • ทีมงานผู้เชี่ยวชาญจะต้องมีคุณสมบัติตามเงื่อนไขเฉพาะงาน ข้อ 8.7.7, 8.8.12, 8.9.15
  • ทีมงานผู้เชี่ยวชาญที่ให้บริการมีข้อตกลงร่วมกันหรือเป็นพันธมิตรร่วมกับ Interpol และ Europol
  • ทีมงานผู้เชี่ยวชาญที่ให้บริการจากต่างประเทศที่ได้รับการให้คะแนนหรือได้รับการจัดลำดับให้อยู่ในกลุ่มที่มีคะแนนไม่น้อยกว่า 4.5 ของ Digital Forensics and Incident Response Retainer Services จาก Gartner Peer Insight หรือ อยู่ในกลุ่ม Leader ของ Cybersecurity Incident Response Services 2024 หรือล่าสุด จาก Forrester Wave
  • ทีมงานผู้เชี่ยวชาญที่ให้บริการจากต่างประเทศ ที่เป็นสมาชิกของสถาบันอุตสาหกรรมทางด้านไซเบอร์ที่มีชื่อเสียงอย่างน้อย 2 แห่ง
• Exclude the basic requirements(valid business license, has a legal entity…): valid business license, has a legal entity…

พิจารณาโดยใช้หลักเกณฑ์ราคา

• การทดสอบเจาะระบบ Web Application จากเครือข่ายภายนอก (External Black-box Penetration Testing) อ้างอิงมาตรฐาน OWASP Top 10 Application Security หรือ OWASP Web Application Security Testing Guide (WSTG) Version ล่าสุด
• การสแกนการตั้งค่าระบบตามมาตรฐานการกำหนดค่าความมั่นคงปลอดภัย (Security Configuration Baseline and Hardening)
• การค้นหาภัยคุกคามทางไซเบอร์ (Threat Hunting Services) ครอบคลุมเครื่องแม่ข่ายเสมือน (VM) จำนวน 1500 เครื่อง
• การจัดทำ Signature และ YARA Rules หรือ Detection Rules สำหรับผลิตภัณฑ์ XDR หรือ SIEM ของการไฟฟ้าส่วนภูมิภาค

• ค่าจ้างแบ่งจ่าย 4 งวดงาน: งวดที่ 1 (10%), งวดที่ 2 (30%), งวดที่ 3 (30%), งวดที่ 4 (30%)
• ค่าปรับ:
  • หากไม่จัดให้มีทีมงานผู้เชี่ยวชาญ หรือผู้เชี่ยวชาญปฏิบัติงานแทน อัตรา 0.20% ของค่าจ้าง (รายงวด) ต่อวัน
  • หากไม่เข้าปฏิบัติงานหรือไม่ดำเนินการหรือไม่สามารถปฏิบัติงานได้แล้วเสร็จ หรือไม่สามารถปฏิบัติตามเงื่อนไข อัตรา 0.20% ของค่าจ้าง (รายงวด) ต่อวัน
  • หากส่งมอบงานล่าช้า อัตรา 0.20% ของราคางานจ้าง (รายงวด) ต่อวัน
• หลักประกันสัญญา: 5% ของราคาทั้งหมดตามสัญญา

• ผู้เสนอราคาต้องส่งมอบรายงานผลการทดสอบและเอกสารต่างๆ ให้ กฟภ. ในรูปแบบใดบ้าง?
  ผู้เสนอราคาต้องส่งมอบเอกสารสิ่งส่งมอบเป็นภาษาไทย พร้อมบันทึกข้อมูลลงใน เครื่องบันทึกข้อมูลขนาดพกพา (Thumb Drive) ทั้งหมด 4 งวด งวดละ 1 ชุด
• หากทีมงานผู้เชี่ยวชาญตามรายชื่อที่ยื่นข้อเสนอไม่สามารถปฏิบัติงานได้ จะต้องดำเนินการอย่างไร?
  ผู้ชนะการยื่นข้อเสนอต้องจัดหาผู้เชี่ยวชาญที่มีคุณสมบัติตรงตามที่ กฟภ. กำหนดมาปฏิบัติงานแทน โดยต้องแจ้งให้ กฟภ. ทราบเป็นลายลักษณ์อักษรล่วงหน้าอย่างน้อย 5 วันทำการและได้รับความเห็นชอบจากกองมาตรฐานและรักษาความมั่นคงปลอดภัยไซเบอร์ กฟภ. ก่อนปฏิบัติงาน
• ผู้ชนะการยื่นข้อเสนอจะต้องจัดหาหลักสูตรการฝึกอบรมอะไรให้แก่พนักงาน กฟภ.?
  ผู้ชนะการยื่นข้อเสนอจะต้องจัดหาหลักสูตรการฝึกอบรม Web App Penetration Testing and Ethical Hacking สถาบัน SANS Institute พร้อมให้มีการสอบประกาศนียบัตรรับรองความสามารถ (Certificate) ให้กับพนักงาน กฟภ. จำนวน 1 รุ่น รุ่นละไม่น้อยกว่า 3 คน
• หากเกิดความเสียหายต่ออุปกรณ์ของ กฟภ. อันเนื่องมาจากการปฏิบัติงานของผู้ชนะการยื่นข้อเสนอ จะต้องรับผิดชอบอย่างไร?
  ผู้ชนะการยื่นข้อเสนอจะต้องจัดหาอุปกรณ์ที่มีคุณภาพและประสิทธิภาพเทียบเท่าหรือดีกว่าของเดิมชดใช้แทน หรือชดใช้ราคาอุปกรณ์ ณ ขณะที่เกิดความเสียหาย
• หากผู้ชนะการยื่นข้อเสนอต้องการจ้างช่วงงาน จะสามารถทำได้หรือไม่?
  ผู้ชนะการยื่นข้อเสนอจะต้องไม่เอางานทั้งหมดหรือแต่บางส่วนแห่งสัญญานี้ไปจ้างช่วงอีกทอดหนึ่ง เว้นแต่ได้รับอนุญาตเป็นหนังสือจากการไฟฟ้าส่วนภูมิภาค

การไฟฟ้าส่วนภูมิภาค ร่างขอบเขตของงาน สำหรับการจัดจ้างบริการตรวจหาช่องโหว่และทดสอบเจาะระบบ ด้านความมั่นคงปลอดภัยทางไซเบอร์ กองสนับสนุนเทคโนโลยีดิจิทัล ฝ่ายโครงสร้างพื้นฐานเทคโนโลยีดิจิทัล การไฟฟ้าส่วนภูมิภาค พฤศจิกายน 2567 สารบัญ 1. เงื่อนไขเฉพาะงาน 1. วัตถุประสงค์ 2. คุณสมบัติของผู้ยื่นข้อเสนอ 3. หลักฐานการยื่นข้อเสนอ 4. การเสนอราคา 5. หลักเกณฑ์และสิทธิในการพิจารณา 6. ระยะเวลาให้บริการ 7. ค่าจ้างและการจ่ายเงิน 8. ขอบเขตการให้บริการ 3 3 4 4 5 5 6 6 9. การตรวจรับงานจ้าง 13 10. การอบรม. 14 11. ค่าปรับ 15 12. ความรับผิดของผู้ชนะการยื่นข้อเสนอ 15 13. หลักประกันการปฏิบัติตามสัญญา 16 14. การจ้างช่วง. 16 15. การบอกเลิกสัญญา 17 16. การบังคับค่าปรับ ค่าเสียหาย และค่าใช้จ่าย 17 17. การงดหรือลดค่าปรับ หรือการขยายเวลาปฏิบัติงานตามสัญญา. 17 18. การรักษาข้อมูลที่เป็นความลับ 18 19. การประมวลผลข้อมูลส่วนบุคคล 18 2. เอกสารแนบท้ายเพิ่มเติม 2.1 รายละเอียดคำชี้แจงเงื่อนไขเฉพาะงาน 19 2.2 ตารางสรุปรายการที่เสนอ. .21 2.3 สถานที่ติดตั้ง. .23 2.4 สัญญาการรักษาข้อมูลที่เป็นความลับ (Non-Disclosure Agreement) และการปฏิบัติตามนโยบายด้าน ความมั่นคงปลอดภัยสารสนเทศ. 25 2.5 สัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement). 29 2.6 ตัวอย่างแผนการทำงาน. 35 ลงนาม Πλ ประธานกรรมการ ลงนาม. กรรมการ ลงนาม กรรมการ 2 เงื่อนไขเฉพาะงาน การจัดจ้างบริการตรวจหาช่องโหว่และทดสอบเจาะระบบด้านความมั่นคงปลอดภัยทางไซเบอร์ 1. วัตถุประสงค์ การไฟฟ้าส่วนภูมิภาค มีความประสงค์จะจัดจ้างบริการตรวจหาช่องโหว่และทดสอบเจาะระบบด้านความมั่นคง ปลอดภัยทางไซเบอร์ โดยมีวัตถุประสงค์ ดังนี้ 1.1 เพื่อค้นหาจุดกำเนิดช่องโหว่ของระบบเว็บแอปพลิเคชัน (Web Application) โดยทีมงานผู้เชี่ยวชาญ 1.2 เพื่อให้ทราบถึงช่องโหว่และแนวทางในการปิดช่องโหว่ของระบบงาน, อุปกรณ์คอมพิวเตอร์, อุปกรณ์ เครือข่าย และอุปกรณ์ในระบบรักษาความปลอดภัยสารสนเทศ 1.3 เพื่อเสริมสร้างความมั่นคงปลอดภัย และทบทวนการประเมินความเสี่ยงระบบเทคโนโลยีสารสนเทศของ การไฟฟ้าส่วนภูมิภาค 1.4 เพื่อทดสอบเจาะระบบ นำผลไปเป็นแนวทางในการปรับปรุง ป้องกันและรับมือภัยคุกคามด้านความมั่นคง ปลอดภัยไซเบอร์ที่อาจเกิดขึ้นกับระบบเทคโนโลยีสารสนเทศของการไฟฟ้าส่วนภูมิภาค ในด้านบุคลากร กระบวนการ และเทคโนโลยี (People Process Technology) อย่างเป็นระบบและมีประสิทธิภาพ 2. คุณสมบัติของผู้ยื่นข้อเสนอ 2.1 มีความสามารถตามกฎหมาย 2.2 ไม่เป็นบุคคลล้มละลาย 2.3 ไม่อยู่ระหว่างเลิกกิจการ 2.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทำสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจาก เป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการกระทรวงการคลัง กำหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง 2.5 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงานของรัฐ ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วนผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอำนาจในการดำเนินงานในกิจการของนิติบุคคลนั้นด้วย 2.6 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหารพัสดุ ภาครัฐกำหนดในราชกิจจานุเบกษา 2.7 เป็นบุคคลธรรมดาหรือนิติบุคคลผู้มีอาชีพขายพัสดุที่จัดจ้างดังกล่าว 2.8 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่การไฟฟ้าส่วนภูมิภาค หรือ ไม่เป็นผู้กระทำการอันเป็นการขัดขวางการแข่งขันอย่างเป็นธรรมในการจัดจ้างครั้งนี้ 2.9 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทยเว้นแต่รัฐบาลของผู้ยื่นข้อเสนอได้มี คำสั่งให้สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น 2.10 ผู้ยื่นข้อเสนอต้องมีสัญญาหรือผลงานการให้บริการเกี่ยวกับ การทดสอบความมั่นคงปลอดภัยทางไซเบอร์ หรือ Red Teaming หรือ Risk Assessment ให้กับหน่วยงานที่มีภารกิจหรือให้บริการในด้านต่างๆ ที่สำคัญต่อความ มั่นคงและเสถียรภาพของประเทศ (CII) ซึ่งสัญญาหรือผลงานดังกล่าวต้องเป็นงานในสัญญาเดียวเท่านั้น และเป็นงานที่ เป็นคู่สัญญาโดยตรงกับหน่วยงาน โดยมีมูลค่ารวมไม่น้อยกว่า 9 ล้านบาท (รวมภาษีมูลค่าเพิ่ม) โดยเป็นผลงานที่ ดำเนินการแล้วเสร็จแล้ว ภายในระยะเวลาไม่เกิน 5 ปี นับจากวันยื่นข้อเสนอ ลงนาม. ประธานกรรมการ ลงนาม. กรรมการ ลงนาม. กรรมการ 3 3. หลักฐานการยื่นข้อเสนอ ผู้ยื่นข้อเสนอต้องเสนอเอกสารหลักฐานยื่นมาพร้อมกับการเสนอราคา โดยแยกเป็น 2 ส่วน ดังนี้ 3.1 ส่วนที่ 1 อย่างน้อยต้องมีเอกสารดังต่อไปนี้ (1) ในกรณีผู้ยื่นข้อเสนอเป็นนิติบุคคล (ก) ห้างหุ้นส่วนสามัญหรือห้างหุ้นส่วนจำกัด ให้ยื่นสำเนาหนังสือรับรองการจดทะเบียนนิติบุคคล บัญชีรายชื่อหุ้นส่วนผู้จัดการ ผู้มีอำนาจควบคุม (ถ้ามี) (ข) บริษัทจำกัดหรือบริษัทมหาชนจำกัด ให้ยื่นสำเนาหนังสือรับรองการจดทะเบียนนิติบุคคล หนังสือ บริคณห์สนธิ บัญชีรายชื่อกรรมการผู้จัดการ ผู้มีอำนาจควบคุม (ถ้ามี) และบัญชีผู้ถือหุ้นรายใหญ่ (ถ้ามี) (2) ในกรณีผู้ยื่นข้อเสนอเป็นบุคคลธรรมดาหรือคณะบุคคลที่มิใช่นิติบุคคล ให้ยื่นสำเนาบัตรประจำตัว ประชาชนของผู้นั้น สำเนาข้อตกลงที่แสดงถึงการเข้าเป็นหุ้นส่วน (ถ้ามี) สำเนาบัตรประจำตัว ประชาชนของผู้เป็นหุ้นส่วน หรือสำเนาหนังสือเดินทางของผู้เป็นหุ้นส่วนที่มิได้ถือสัญชาติไทย (3) ในกรณีผู้ยื่นข้อเสนอเป็นผู้ยื่นข้อเสนอร่วมกันในฐานะเป็นผู้ร่วมค้า ให้ยื่นสำเนาสัญญาของ การเข้าร่วมค้า และเอกสารที่ระบุไว้ตาม (1) หรือ (2) ของผู้ร่วมค้า แล้วแต่กรณี (4) เอกสารเพิ่มเติมอื่น ๆ (4.1) สำเนาใบทะเบียนพาณิชย์ (ถ้ามี) (4.2) สำเนาใบทะเบียนภาษีมูลค่าเพิ่ม (ถ้ามี) 3.2 ส่วนที่ 2 อย่างน้อยต้องมีเอกสารดังต่อไปนี้ (1) ในกรณีที่ผู้ยื่นข้อเสนอมอบอำนาจให้บุคคลอื่นกระทำการแทนให้แนบหนังสือมอบอำนาจซึ่งติดอากร แสตมป์ตามกฎหมาย โดยมีหลักฐานแสดงตัวตนของผู้มอบอำนาจและผู้รับมอบอำนาจ ทั้งนี้หาก ผู้รับมอบอำนาจเป็นบุคคลธรรมดาต้องเป็นผู้ที่บรรลุนิติภาวะตามกฎหมายแล้วเท่านั้น (2) แคตตาล็อกและ/หรือแบบรูปรายการละเอียดคุณลักษณะเฉพาะ (ถ้ามี) (3) รายละเอียดคำชี้แจงเงื่อนไขเฉพาะงาน (เอกสารแนบท้ายเพิ่มเติม ข้อ 2.1) (4) ตารางสรุปรายการที่เสนอ (เอกสารแนบท้ายเพิ่มเติม ข้อ 2.2) (5) รายชื่อ ประวัติการศึกษาและประสบการณ์ ของเจ้าหน้าที่ผู้เชี่ยวชาญเพื่อให้บริการ (ตามเงื่อนไข เฉพาะงาน ข้อ 8.7.7, 8.8.12, 8.9.15) (6) หนังสือรับรองมาตรฐาน (Certification) (ตามเงื่อนไขเฉพาะงาน ข้อ 8.7.7, 8.8.12 และ 8.9.15) (7) เอกสารยืนยันคุณสมบัติของทีมงานผู้เชี่ยวชาญ (ตามเงื่อนไขเฉพาะงาน ข้อ 8.9.12, 8.9.13, 8.9.14) (8) สัญญาหรือหนังสือรับรองผลงานการให้บริการจากผู้จ้างหรือผู้รับบริการหรือคู่สัญญาของผู้ยื่นข้อเสนอ (ตามเงื่อนไขเฉพาะงาน ข้อ 2.10) (9) แผนการทำงาน 4. การเสนอราคา 4.1 ผู้ยื่นข้อเสนอต้องเปรียบเทียบรายละเอียดทั้งหมด ตามรายละเอียดที่ได้ระบุไว้ในเงื่อนไขเฉพาะงาน เป็น รายข้อทุกข้อ และต้องอ้างอิงถึงเอกสารว่าอยู่ในหน้าใดของเอกสารที่เสนอให้ชัดเจน ในกรณีที่มีรายละเอียดอื่นใดที่เห็น ว่าเป็นส่วนสำคัญซึ่งแตกต่างไปจากเงื่อนไขเฉพาะงาน ผู้ยื่นข้อเสนอต้องอธิบายพร้อมเปรียบเทียบข้อดีข้อเสียให้ชัดเจน (ตามเอกสารแนบท้ายเพิ่มเติม ข้อ 2.1 รายละเอียดคำชี้แจงเงื่อนไขเฉพาะงาน และตามเอกสารแนบท้ายเพิ่มเติม ข้อ 2.2 ตารางสรุปรายการที่เสนอ) หากผู้ยื่นข้อเสนอไม่ดำเนินการตามที่กล่าวข้างต้น การไฟฟ้าส่วนภูมิภาคจะไม่พิจารณา ลงนาม. ประธานกรรมการ ลงนาม. ..กรรมการ ลงนาม.. ..กรรมการ 4 ข้อเสนอของผู้ยื่นข้อเสนอรายนั้น เว้นแต่เป็นการผิดพลาดเล็กน้อยในส่วนที่มิใช่สาระสำคัญ และความแตกต่างนั้นไม่มี ผลทำให้เกิดการได้เปรียบเสียเปรียบต่อผู้ยื่นข้อเสนอรายอื่น 4.2 ผู้ชนะการยื่นข้อเสนอต้องจัดทำแผนการทำงานมาให้ภายใน 15 วัน นับถัดจากวันลงนามในสัญญา เว้นแต่ เป็นกรณีการเช่าซึ่งสัญญาอายุไม่เกิน 90 วัน หรือกรณีการซื้อซึ่งสัญญากำหนดส่งงานงวดเดียว หรือกรณีการซื้อ การเช่า การจ้าง และการจ้างก่อสร้าง ซึ่งสัญญาหรือบันทึกข้อตกลงเป็นหนังสือมีวงเงินไม่เกิน 500,000 บาท โดยจัดทำแผน การทำงาน (ตัวอย่างตามเอกสารแนบท้ายเพิ่มเติม ข้อ 2.6) ทั้งนี้ แผนการทำงานดังกล่าวให้ถือเป็นเอกสารส่วนหนึ่งของ สัญญา 4.3 ก่อนเสนอราคา ผู้ยื่นข้อเสนอควรตรวจดูรายละเอียดและขอบเขตของงาน ฯลฯ ให้ถี่ถ้วนและเข้าใจเอกสาร 4.4 หากมีข้อเสนอใดที่ผู้ยื่นข้อเสนอเห็นว่าเป็นประโยชน์ต่อการไฟฟ้าส่วนภูมิภาคให้เสนอเพิ่มเติมเพื่อพิจารณาด้วย การเสนอราคาทั้งหมดเสียก่อนที่จะตกลงยื่นข้อเสนอตามเงื่อนไขในเอกสารการเสนอราคา 5. หลักเกณฑ์และสิทธิในการพิจารณา 5.1 ในการพิจารณาผลการยื่นข้อเสนอครั้งนี้การไฟฟ้าส่วนภูมิภาคจะพิจารณาตัดสินโดยใช้หลักเกณฑ์ราคา 5.2 ในการพิจารณาผู้ชนะการยื่นข้อเสนอ การไฟฟ้าส่วนภูมิภาคจะพิจารณาจากราคารวม และจากผู้ยื่นข้อเสนอรายเดียว 5.3 การไฟฟ้าส่วนภูมิภาคต้องได้รับสิทธิในการใช้งานพัสดุและ/หรืออุปกรณ์ทั้งหมดทุกรายการตามที่ระบุไว้ใน เงื่อนไขเฉพาะงานและข้อกำหนดการใช้งานอย่างถูกต้องตามกฎหมาย ในกรณีที่มีบุคคลภายนอกกล่าวอ้าง หรือใช้สิทธิ เรียกร้องใดๆ ในการใช้สิทธินี้ ผู้ชนะการยื่นข้อเสนอต้องเป็นผู้รับผิดชอบต่อความเสียหายที่เกิดขึ้นทั้งหมด 5.4 การไฟฟ้าส่วนภูมิภาคทรงไว้ซึ่งสิทธิที่จะไม่รับราคาต่ำสุด หรือราคาหนึ่งราคาใด หรือราคาที่เสนอทั้งหมดก็ได้ และอาจพิจารณาเลือกจ้างในจำนวน หรือขนาด หรือเฉพาะรายการหนึ่งรายการใด หรืออาจจะยกเลิกการเสนอราคา โดยไม่พิจารณาจัดซื้อจัดจ้างเลยก็ได้ สุดแต่จะพิจารณา ทั้งนี้เพื่อประโยชน์ของทางราชการเป็นสำคัญ และให้ถือว่าการ ตัดสินของการไฟฟ้าส่วนภูมิภาคเป็นเด็ดขาด ผู้ยื่นข้อเสนอจะเรียกร้องค่าใช้จ่าย หรือค่าเสียหายใดๆ มิได้ รวมทั้ง การไฟฟ้าส่วนภูมิภาคจะพิจารณายกเลิกการเสนอราคาและลงโทษผู้ยื่นข้อเสนอเป็นผู้ทิ้งงาน ไม่ว่าจะเป็นผู้ยื่นข้อเสนอที่ ได้รับการคัดเลือกหรือไม่ก็ตาม หากมีเหตุที่เชื่อถือได้ว่าการยื่นข้อเสนอกระทำการโดยไม่สุจริต เช่น การเสนอเอกสาร อันเป็นเท็จ หรือใช้ชื่อบุคคลธรรมดา หรือนิติบุคคลอื่นมายื่นข้อเสนอแทน เป็นต้น ในกรณีที่ผู้ยื่นข้อเสนอรายที่เสนอราคาต่ำสุด เสนอราคาต่ำจนคาดหมายได้ว่าไม่อาจดำเนินงานตามเอกสาร การเสนอราคาได้ คณะกรรมการฯ หรือการไฟฟ้าส่วนภูมิภาคจะให้ผู้ยื่นข้อเสนอนั้นชี้แจงและแสดงหลักฐานที่ทำให้เชื่อได้ ว่า ผู้ยื่นข้อเสนอสามารถดำเนินงานตามเอกสารการเสนอราคาให้เสร็จสมบูรณ์ หากคำชี้แจงไม่เป็นที่รับฟังได้ การไฟฟ้า ส่วนภูมิภาคมีสิทธิที่จะไม่รับข้อเสนอ หรือไม่รับราคาของผู้ยื่นข้อเสนอรายนั้น ทั้งนี้ผู้ยื่นข้อเสนอไม่มีสิทธิเรียกร้อง ค่าใช้จ่าย หรือค่าเสียหายใด ๆ จากการไฟฟ้าส่วนภูมิภาค 5.5 ก่อนลงนามในสัญญา การไฟฟ้าส่วนภูมิภาคอาจประกาศยกเลิกการเสนอราคา หากปรากฏว่ามีการกระทำที่ เข้าลักษณะผู้ยื่นข้อเสนอที่ชนะการเสนอราคาหรือที่ได้รับการคัดเลือกมีผลประโยชน์ร่วมกัน หรือมีส่วนได้เสียกับผู้ยื่น ข้อเสนอรายอื่น หรือขัดขวางการแข่งขันอย่างเป็นธรรม หรือสมยอมกันกับผู้ยื่นข้อเสนอรายอื่น หรือเจ้าหน้าที่ในการเสนอ ราคา หรือส่อว่ากระทำการทุจริตอื่นใดในการเสนอราคา 6. ระยะเวลาให้บริการ ผู้ชนะการยื่นข้อเสนอตกลงให้บริการตามสัญญานี้ ให้มีผลนับถัดจากวันลงนามในสัญญาหรือข้อตกลงเป็นหนังสือ หรือใบสั่งจ้างจนครบเวลา 365 วัน ลงนาม Badm ..ประธานกรรมการ Οπ ลงนาม กรรมการ ลงนาม กรรมการ 5 7. ค่าจ้างและการจ่ายเงิน การไฟฟ้าส่วนภูมิภาคตกลงชำระค่าจ้างซึ่งได้รวมภาษีมูลค่าเพิ่มแล้ว ตลอดจนค่าแรงงานค่าสิ่งของตลอดอายุ สัญญา ภาษีอากรอื่น และค่าใช้จ่ายทั้งปวงไว้ด้วยแล้ว โดยการไฟฟ้าส่วนภูมิภาคจะแบ่งจ่ายให้แก่ผู้ชนะการยื่นข้อเสนอ เป็น 4 งวด เมื่อผู้ชนะการยื่นข้อเสนอได้ส่งมอบงานตามเงื่อนไขเฉพาะงานข้อ 9 ครบถ้วนถูกต้องตามสัญญา และผ่าน การตรวจรับจากคณะกรรมการตรวจรับของการไฟฟ้าส่วนภูมิภาค เป็นที่เรียบร้อยแล้ว ดังนี้ 7.1 งวดที่ 1 ร้อยละ 10 (สิบ) ของวงเงินค่าจ้างตามสัญญา 7.2 งวดที่ 2 ร้อยละ 30 (สามสิบ) ของวงเงินค่าจ้างตามสัญญา 7.3 งวดที่ 3 ร้อยละ 30 (สามสิบ) ของวงเงินค่าจ้างตามสัญญา 7.4 งวดที่ 4 ร้อยละ 30 (สามสิบ) ของวงเงินค่าจ้างตามสัญญา 8. ขอบเขตการให้บริการ 8.1 ผู้ชนะการยื่นข้อเสนอต้องจัดทำแผนการดำเนินงานรวมถึงแนวทางการเข้าดำเนินงานทั้งหมดตามขอบเขต งาน ส่งให้การไฟฟ้าส่วนภูมิภาคพิจารณาให้ความเห็นชอบภายใน 30 วัน นับถัดจากวันลงนามในสัญญา 8.2 ผู้ชนะการยื่นข้อเสนอจะต้องจัดประชุม Kick-off เพื่ออธิบายแผนดำเนินการที่ได้รับความเห็นชอบจาก การไฟฟ้าส่วนภูมิภาค ณ การไฟฟ้าส่วนภูมิภาค ภายในระยะเวลาไม่เกิน 45 วัน นับถัดจากวันลงนามในสัญญา ของงานจ้างบริการตรวจหาช่องโหว่และทดสอบเจาะระบบด้านความมั่นคงปลอดภัยทางไซเบอร์ 8.3 ผู้ชนะการยื่นข้อเสนอต้องจัดประชุมและเข้าร่วมประชุมกับเจ้าหน้าที่การไฟฟ้าส่วนภูมิภาคเพื่อประสานงาน กับหน่วยงานเจ้าของระบบหรือเว็บไซต์ เพื่อให้การไฟฟ้าส่วนภูมิภาคกำหนดวันและเวลา หรือสถานที่ในการเข้า ดำเนินงาน รวมถึงอธิบายขั้นตอนการดำเนินงานและผลกระทบที่อาจจะเกิดขึ้น พร้อมทั้งต้องจัดให้มีเจ้าหน้าที่เข้ามา ประสานงานระหว่างผู้ชนะการยื่นข้อเสนอกับเจ้าหน้าที่การไฟฟ้าส่วนภูมิภาค ตลอดระยะเวลาการดำเนินงานตาม เงื่อนไขเฉพาะงานข้อ 8.7 – 8.9 ณ การไฟฟ้าส่วนภูมิภาคสำนักงานใหญ่ อย่างน้อย 1 คน จนกว่าจะเสร็จเรียบร้อยตาม สัญญา นอกจากนี้ หากผู้ชนะการยื่นข้อเสนอจะต้องเข้าดำเนินการเพิ่มนอกเหนือจากวันเวลาที่กำหนด จะต้อง ประสานงานกับหน่วยงานที่เกี่ยวข้องหรือเจ้าของระบบเพื่อกำหนด วัน เวลา หรือสถานที่ ก่อนเข้าดำเนินการ 8.4 เอกสารข้อมูล เครื่องมือ ฮาร์ดแวร์และซอฟต์แวร์ต่างๆ ที่ผู้ชนะการยื่นข้อเสนอนำมาใช้ในการดำเนินการตาม เงื่อนไขเฉพาะงานข้อ 8.7 – 8.9 จะต้องเป็นแบบ Commercial ที่ถูกต้องตามกฎหมาย ไม่ละเมิดลิขสิทธิ์ หรือสิทธิบัตร ของผู้อื่น กรณีเอกสาร ข้อมูล เครื่องมือฮาร์ดแวร์ และซอฟต์แวร์ต่างๆ ที่ผู้ชนะการยื่นข้อเสนอนำมาใช้ดำเนินการเป็น การละเมิดลิขสิทธิ์หรือสิทธิบัตรของผู้อื่น ผู้ชนะการยื่นข้อเสนอต้องเป็นผู้ชำระค่าเสียหายและค่าใช้จ่ายใดๆ ที่เกี่ยวกับ หรือเกี่ยวเนื่องกับกรณีดังกล่าวทั้งสิ้นแก่การไฟฟ้าส่วนภูมิภาค และบุคคลภายนอกผู้ถูกละเมิดลิขสิทธิ์หรือสิทธิบัตร 8.5 หากจำเป็นที่จะต้องนำข้อมูลออกจากการไฟฟ้าส่วนภูมิภาค ผู้ชนะการยื่นข้อเสนอจะต้องเป็นผู้จัดหาสื่อเก็บ ข้อมูลที่เหมาะสมและมีความสามารถในการเข้ารหัสเพื่อรักษาความปลอดภัยของข้อมูล 8.6 ห้ามผู้ชนะการยื่นข้อเสนอนำอุปกรณ์ประมวลผล อุปกรณ์เครือข่ายหรืออื่นๆ มาเชื่อมต่อเข้ากับระบบ เครือข่ายภายในของการไฟฟ้าส่วนภูมิภาค รวมถึงห้ามติดตั้งโปรแกรมใดๆ โดยไม่ได้รับอนุญาต 8.7 การทดสอบเจาะระบบเว็บแอปพลิเคชัน (Web Application Penetration Testing) พร้อมจัดทำ รายงานผลการทดสอบ จำนวน 2 ครั้ง ดังนี้ 8.7.1 ผู้ชนะการยื่นข้อเสนอจะต้องดำเนินการทดสอบเจาะระบบ Web Application จากเครือข่ายภายนอก (External Black-box Penetration Testing) ครั้งที่ 1 ไม่น้อยกว่า 30 IP Address โดยอ้างอิงมาตรฐาน OWASP Top 10 Application Security หรือ OWASP Web Application Security Testing Guide (WSTG) Version ล่าสุด และดำเนินการตามเงื่อนไขเฉพาะงานข้อ 8.7.6 ลงนามอันญาณ ประธานกรรมการ ลงนาม, ..กรรมการ ลงนาม. 7 ....กรรมการ 6 CISSP (Certified Information Systems Security Professional) Red Hat Certified System Administrator (RHCSA) Microsoft Certified Solutions Associate (MCSA) Fortinet Certified Associate (FCA) 8.8.13 หากทีมงานผู้เชี่ยวชาญตามรายชื่อที่ยื่นข้อเสนอไม่สามารถเข้ามาปฏิบัติงานได้ ผู้ชนะการยื่นข้อเสนอ โดยต้องแจ้งให้การไฟฟ้า ต้องจัดหาผู้เชี่ยวชาญที่มีคุณสมบัติตรงตามที่การไฟฟ้าส่วนภูมิภาคกำหนดมาปฏิบัติงานแทน ส่วนภูมิภาคทราบเป็นลายลักษณ์อักษรก่อนเข้าปฏิบัติงานอย่างน้อย 5 วันทำการและต้องได้รับความเห็นชอบจาก กองมาตรฐานและรักษาความมั่นคงปลอดภัยไซเบอร์ การไฟฟ้าส่วนภูมิภาค ก่อนปฏิบัติงาน 8.9 การค้นหาภัยคุกคามทางไซเบอร์ (Threats Hunting Services) จำนวน 1 ครั้ง ดังนี้ 8.9.1 ผู้ชนะการยื่นข้อเสนอต้องมีการทำการค้นหาภัยคุกคามทางไซเบอร์ (Threat Hunting Services) โดยให้บริการครอบคลุมเครื่องแม่ข่ายเสมือน (VM) จำนวน 1500 เครื่อง 8.9.2 หากผู้ชนะการยื่นข้อเสนอ นำเครื่องมือมาให้บริการฯ ต้องรองรับกับระบบปฏิบัติการ (Operating System: OS) ของเครื่องเครื่องแม่ข่ายเสมือน (VM) ดังต่อไปนี้ ได้เป็นอย่างน้อย 8.9.2.1 Ubuntu Version 18.04 หรือใหม่กว่า ได้เป็นอย่างน้อย 8.9.2.2 Windows server Version 2012, 2016, 2019 ได้เป็นอย่างน้อย 8.9.3 ผู้ชนะการยื่นข้อเสนอสามารถใช้ผลิตภัณฑ์ Extended Detection and Response (XDR) ที่ทาง การไฟฟ้าส่วนภูมิภาคใช้งานอยู่ มาใช้ในการเก็บข้อมูลเพื่อดำเนินการ Threat Hunting Services ได้ 8.9.4 หากผู้ชนะการยื่นข้อเสนอที่ให้บริการ Threat Hunting Services ไม่สามารถใช้ผลิตภัณฑ์ Extended Detection and Response (XDR) ที่ทางการไฟฟ้าส่วนภูมิภาคใช้งานอยู่ ผู้ชนะการยื่นข้อเสนอสามารถนำผลิตภัณฑ์ XDR มาใช้เพื่อดำเนินงานได้ แต่จะต้องนำเสนอและได้รับความเห็นชอบจากการไฟฟ้าส่วนภูมิภาคก่อน 8.9.5 ผู้ชนะการยื่นข้อเสนอต้องใช้เครื่องมือสแกนค้นหาความเสี่ยงจากภายนอกเพิ่มเติม (External Attack Surface Management: EASM หรือ Attack Surface Management: ASM) เพื่อเปิดเผยการตั้งค่าที่ไม่ปลอดภัยหรือ ช่องโหว่ที่มีอยู่ในปัจจุบัน 8.9.6 ผู้ชนะการยื่นข้อเสนอที่ให้บริการ Threat Hunting Services ต้องมีทีมงานผู้เชี่ยวชาญในการ วิเคราะห์ข้อมูลที่เกี่ยวข้องกับเหตุการณ์ที่เกิดขึ้น 8.9.7 ผู้ชนะการยื่นข้อเสนอที่ให้บริการ Threat Hunting Services ต้องมีการรวบรวมข้อมูล ภัยคุกคามทางไซเบอร์ที่เกี่ยวข้องกับการไฟฟ้าส่วนภูมิภาค โดยข้อมูลต้องมาจากระบบติดตามข้อมูลข่าวสาร ภัยคุกคามไซเบอร์ (Threat Intelligent) ของผู้ชนะการยื่นข้อเสนอ 8.9.8 ในระหว่างดำเนินการ Threat Hunting Services หากผู้ชนะการยื่นข้อเสนอฯ ตรวจพบเหตุการณ์ภัย คุกคามทางไซเบอร์ที่มีโอกาสส่งผลกระทบกับการดำเนินงานของการไฟฟ้าส่วนภูมิภาคในระดับรุนแรง (Critical) ผ่าน การทดสอบสมุติฐาน (hypotheses) ต้องมีการตอบสนองต่อเหตุการณ์ที่เกิดขึ้นในเบื้องต้น ดังนี้ 8.9.8.1 แจ้งเตือนให้กับการไฟฟ้าส่วนภูมิภาคผ่านช่องทางต่างๆ เช่น ทางวาจา ทาง LINE หรือทาง ไปรษณีย์อิเล็กทรอนิกส์ (Email) หรือทางโทรศัพท์ เป็นต้น 8.9.8.2 ร่วมวิเคราะห์เหตุการณ์เพิ่มเติม กับการไฟฟ้าส่วนภูมิภาค 8.9.8.3 ร่วมควบคุมเหตุการณ์ (กรณีที่เป็นไปได้) 8.9.8.4 ร่วมกำจัดภัยคุกคาม (กรณีที่เป็นไปได้) 8.9.8.5 แนะนำวิธีการแก้ไขสำหรับเหตุการณ์ที่ตรวจพบ ลงนาม. मुलाच ลงนาม.. ประธานกรรมการ .กรรมการ .กรรมการ ลงนาม.. 11 8.9.9 ผู้ชนะการยื่นข้อเสนอที่ให้บริการ Threat Hunting Services จะต้องสามารถจัดทำ Signature และ YARA Rules หรือ Detection Rules สำหรับผลิตภัณฑ์ XDR หรือ SIEM ของการไฟฟ้าส่วนภูมิภาคในกรณีที่ตรวจพบ ภัยคุกคามทางไซเบอร์ 8.9.10 หากผู้ชนะการยื่นข้อเสนอที่ให้บริการ Threat Hunting Services มีการติดตั้งเครื่องมือผลิตภัณฑ์ หรือนำ Script ต่างๆ มาใช้ในการดำเนินงาน เมื่อดำเนินการตามเงื่อนไขเฉพาะงานเสร็จเรียบร้อยแล้ว ผู้ชนะการยื่น ข้อเสนอต้องดำเนินการถอนการติดตั้งเครื่องมือหรือผลิตภัณฑ์ การแก้ไขการตั้งค่าต่างๆ รวมถึงกำจัด Script ต่างๆ เพื่อให้ระบบของการไฟฟ้าส่วนภูมิภาคกลับมาอยู่ในสถานะปกติเหมือนก่อนดำเนินการตามสัญญา 8.9.11 ผู้ชนะการยื่นข้อเสนอที่ให้บริการ Threat Hunting Services ต้องจัดประชุมโดยมีผู้เชี่ยวชาญ เข้าร่วมบรรยาย (Briefing session) ให้แก่การไฟฟ้าส่วนภูมิภาค รับทราบ พร้อมทั้งต้องจัดทำรายงานส่งให้การไฟฟ้า ส่วนภูมิภาค ในรูปแบบ Soft Copy (ไฟล์ Microsoft Word และ Portable Document Format (PDF)) และ ในรูปแบบ Hard Copy (เอกสาร) เพื่อใช้สำหรับปรับปรุงความมั่นคงปลอดภัยไซเบอร์ โดยมีเนื้อหาอย่างน้อย ดังนี้ 8.9.11.1 บทสรุปผู้บริหาร (Executive Summary) 8.9.11.2 ภาพรวมภัยคุกคาม 8.9.11.3 การสร้างสมมุติฐานในการทดสอบ (Threat landscape and hypotheses) แสดงการ รวบรวมข้อมูลที่เกี่ยวข้องกับสมมุติฐานในการทดสอบ (Hypotheses) จากผลิตภัณฑ์ที่ ผู้ให้บริการเสนอหรือผลิตภัณฑ์ที่ทางการไฟฟ้าส่วนภูมิภาคใช้งานอยู่ 8.9.11.4 ขอบเขตและเป้าหมาย (Scope and Goals) แสดงผลการรวบรวมข้อมูลภัยคุกคามทาง ไซเบอร์ที่เกี่ยวข้องกับการไฟฟ้าส่วนภูมิภาคที่มาจากระบบติดตามข้อมูลข่าวสารภัยคุกคาม ไซเบอร์ (Threat Intelligent) ที่ผู้ชนะการยื่นข้อเสนอใช้งาน 8.9.11.5 การวิเคราะห์ข้อมูลโดย XDR (Analysis of XDR data) 8.9.11.6 วิเคราะห์เหตุการณ์ใน SIEM (Analysis of events in SIEM) 8.9.11.7 ภัยคุกคามทางไซเบอร์ที่ตรวจพบ แสดงรายละเอียดภัยคุกคามทางไซเบอร์ที่ตรวจพบ 8.9.11.8 คำแนะนำและวิธีการแก้ไข (Recommendations & Mitigation) ตลอดจนการจัดทำ Signature และ YARA Rules หรือ Detection Rules สำหรับผลิตภัณฑ์ XDR หรือ SIEM ของการไฟฟ้าส่วนภูมิภาคในกรณีที่ตรวจพบภัยคุกคามทางไซเบอร์ 8.9.11.9 แสดงผลการทำความสะอาดระบบ (Clean up) (ถ้ามี) แสดงรายละเอียดและผลการถอน การติดตั้งเครื่องมือหรือผลิตภัณฑ์ การแก้ไขการตั้งค่าต่างๆ รวมถึง Script ต่างๆ (ตาม เงื่อนไขเฉพาะงานข้อ 8.9.10) 8.9.12 ผู้ชนะการยื่นข้อเสนอต้องมีทีมงานผู้เชี่ยวชาญที่ให้บริการมีข้อตกลงร่วมกันหรือเป็นพันธมิตรร่วมกับ Interpol และ Europol ในการดำเนินการร่วมกับองค์กรเหล่านี้ เพื่อให้มั่นใจว่าทีมงานผู้เชี่ยวชาญมีความเข้าใจ ประสบการณ์ความรู้ และความสามารถในการประสานงาน รวบรวมข้อมูลภัยคุกคามทางไซเบอร์ ในระดับสากล 8.9.13 ผู้ชนะการยื่นข้อเสนอต้องมีทีมงานผู้เชี่ยวชาญที่ให้บริการจากต่างประเทศที่ได้รับการให้คะแนนหรือ ได้รับการจัดลำดับให้อยู่ในกลุ่มที่มีคะแนนไม่น้อยกว่า 4.5 ของ Digital Forensics and Incident Response Retainer Services จาก Gartner Peer Insight หรือ อยู่ในกลุ่ม Leader ของ Cybersecurity Incident Response Services 2024 หรือล่าสุด จาก Forrester Wave 8.9.14 ผู้ชนะการยื่นข้อเสนอต้องมีทีมงานผู้เชี่ยวชาญที่ให้บริการจากต่างประเทศ ที่เป็นสมาชิกของสถาบัน อุตสาหกรรมทางด้านไซเบอร์ที่มีชื่อเสียงอย่างน้อย 2 แห่ง ดังนี้ เช่น FIRST, TRUSTED INTRODUCER, APWG, ประธานกรรมการ ลงนาม N ลงนาม... .กรรมการ ลงนาม F กรรมการ 12 OIC-CERT เป็นต้น เพื่อให้มั่นใจว่าทีมงานผู้เชี่ยวชาญมีเครือข่ายที่มีความรู้ ประสบการณ์ ความสามารถ ให้คำปรึกษา และประสานงานในระดับสากลได้ 8.9.15 ทีมงานผู้เชี่ยวชาญที่จะทำกิจกรรมการค้นหาภัยคุกคามเชิงรุก (Threat Hunting) ของผู้ชนะการยื่น ข้อเสนอจะต้องมี ความรู้ความสามารถและได้รับหนังสือรับรองมาตรฐาน (Certification) ด้านความมั่นคงปลอดภัย ระบบเทคโนโลยีสารสนเทศจากหน่วยงานระดับสากล รวมกันอย่างน้อยดังนี้ GIAC Cyber Threat Intelligence หรือ GIAC Certified Incident Handler GIAC Certified Intrusion Analyst หรือ GIAC Certified Forensic Analyst Security Blue Team Level 1 หรือ ICSI Certified Network Security Specialist EC-Council Computer Hacking Forensic Investigator eLearn Security Certified Digital Forensics Professional ISO/IEC 27001 Lead Implementer ISO/IEC 27035 Lead Incident Manager 8.9.16 หากทีมงานผู้เชี่ยวชาญตามรายชื่อที่ยื่นข้อเสนอไม่สามารถเข้ามาปฏิบัติงานได้ ผู้ชนะการยื่นข้อเสนอ ต้องจัดหาผู้เชี่ยวชาญที่มีคุณสมบัติตรงตามที่การไฟฟ้าส่วนภูมิภาคกำหนดมาปฏิบัติงานแทน โดยต้องแจ้งให้การไฟฟ้า ส่วนภูมิภาคทราบเป็นลายลักษณ์อักษรก่อนเข้าปฏิบัติงานอย่างน้อย 5 วันทำการ และต้องได้รับความเห็นชอบจาก กองมาตรฐานและรักษาความมั่นคงปลอดภัยไซเบอร์ การไฟฟ้าส่วนภูมิภาค ก่อนปฏิบัติงาน 8.10 จัดประชุมเพื่อบรรยายสรุปผลการดำเนินงาน (Executive Project Summary) หลังจากดำเนินการตามเงื่อนไขเฉพาะงานข้อ 8.7 – 8.9 เสร็จเรียบร้อย ผู้ชนะการยื่นข้อเสนอต้องจัดประชุม เพื่อบรรยายสรุปผลการดำเนินงานภาพรวมของโครงการ (Executive Project Summary) ให้แก่ผู้บริหารการไฟฟ้า ส่วนภูมิภาค รับทราบ พร้อมส่งรายงานสรุปผลการดำเนินงานภาพรวมของโครงการให้การไฟฟ้าส่วนภูมิภาคในรูปแบบ Soft Copy (ไฟล์ Microsoft Word และ Portable Document Format (PDF)) และในรูปแบบ Hard Copy (เอกสาร) 9. การตรวจรับงานจ้าง เมื่อการไฟฟ้าส่วนภูมิภาคได้ตรวจรับงานจ้างที่ส่งมอบและเห็นว่าถูกต้องครบถ้วนตามสัญญาแล้ว การไฟฟ้า ส่วนภูมิภาคจะออกหลักฐานการรับมอบเป็นหนังสือไว้ให้ เพื่อผู้ชนะการยื่นข้อเสนอนำมาเป็นหลักฐานประกอบการ ขอรับเงินค่างานจ้างนั้น ถ้าผลของการตรวจรับงานจ้างปรากฏว่างานจ้างที่ผู้ชนะการยื่นข้อเสนอส่งมอบไม่ตรงตามสัญญา การไฟฟ้า ส่วนภูมิภาคทรงไว้ซึ่งสิทธิที่จะไม่รับงานจ้างนั้น ในกรณีเช่นว่านี้ ผู้ชนะการยื่นข้อเสนอต้องทำการแก้ไขให้ถูกต้องตาม สัญญาด้วยค่าใช้จ่ายของผู้ชนะการยื่นข้อเสนอเอง และระยะเวลาที่เสียไปเพราะเหตุดังกล่าวผู้ชนะการยื่นข้อเสนอจะ นำมาอ้างเป็นเหตุขอขยายเวลาส่งมอบงานจ้างตามสัญญาหรือของดหรือลดค่าปรับไม่ได้ ในกรณีที่ผู้ชนะการยื่นข้อเสนอส่งมอบงานจ้างถูกต้องแต่ไม่ครบจำนวน หรือส่งมอบครบจำนวน แต่ไม่ถูกต้อง ทั้งหมด การไฟฟ้าส่วนภูมิภาคจะตรวจรับงานจ้างเฉพาะส่วนที่ถูกต้อง โดยออกหลักฐานการตรวจรับงานจ้างเฉพาะส่วน นั้นก็ได้ คณะกรรมการตรวจรับของการไฟฟ้าส่วนภูมิภาค หรือผู้ที่ได้รับมอบหมายจะทำการตรวจรับ ณ การไฟฟ้า ส่วนภูมิภาค สำนักงานใหญ่ หรืออาจมีการเปลี่ยนแปลงสถานที่ภายหลังตามความเหมาะสม และจะต้องมีเจ้าหน้าที่ของ ผู้ชนะการยื่นข้อเสนอเข้าร่วมทำการตรวจรับด้วย ลงนาม. ประธานกรรมการ ลงนาม. .กรรมการ ลงนาม. .กรรมการ 13 ผู้ชนะการยื่นข้อเสนอจะต้องปฏิบัติงานและส่งมอบงานให้แก่ การไฟฟ้าส่วนภูมิภาค โดยจัดพิมพ์เอกสารสิ่งส่งมอบ เป็นภาษาไทย พร้อมทั้งบันทึกข้อมูลลงใน เครื่องบันทึกข้อมูลขนาดพกพา (Thumb Drive) ทั้งหมด 4 งวด จำนวน งวดละ 1 ชุด โดยมีรายละเอียดการส่งมอบในแต่ละงวด ดังนี้ งวดงาน งวดที่ 1 งวดที่ 2 งวดที่ 3 งวดที่ 4 งานที่จะส่งมอบ • รายงานการประชุมเริ่มต้นโครงการ (Kick-Off) • แผนการดำเนินงาน ที่ได้รับความเห็นชอบจาก การไฟฟ้าส่วนภูมิภาค • รายงานผลการทดสอบเจาะระบบเว็บแอปพลิเคชัน (Web Application) ครั้งที่ 1 ตามเงื่อนไขเฉพาะงานข้อ 8.7.1 กำหนดส่งมอบ ภายใน 45 วัน นับถัดจากวัน ลงนามในสัญญา ภายใน 210 วัน นับถัดจากวัน • รายงานผลการสแกนการตั้งค่าระบบตามมาตรฐานการกำหนดค่าความ ลงนามในสัญญา มั่นคงปลอดภัยตามบรรทัดฐานระบบสารสนเทศ (Security Configuration Baseline and Hardening) ของการไฟฟ้าส่วนภูมิภาคก่อนการดำเนินการ ปรับปรุงการตั้งค่า ตามเงื่อนไขเฉพาะงานข้อ 8.8.3 • เอกสารมาตรฐานกำหนดค่าความมั่นคงปลอดภัยตามบรรทัดฐานระบบ สารสนเทศ (Security Configuration Baseline and Hardening) ตามเงื่อนไขเฉพาะงาน ข้อ 8.8.6 และ ข้อ 8.8.7 • รายงานผลการทดสอบเจาะระบบ เว็บแอปพลิเคชัน (Web Application) ภายใน 300 วัน ครั้งที่ 2 (Revisit) ตามเงื่อนไขเฉพาะงาน ข้อ 8.7.4 นับถัดจากวัน รายงานผลการสแกนการตั้งค่าระบบตามมาตรฐานการกำหนดค่าความ ลงนามในสัญญา มั่นคงปลอดภัยตามบรรทัดฐานระบบสารสนเทศ (Security Configuration Baseline and Hardening) ของการไฟฟ้าส่วนภูมิภาค หลังการดำเนินการปรับปรุงการตั้งค่า ครั้งที่ 2 (Revisit) ตามเงื่อนไข เฉพาะงานข้อ 8.8.9 รายงานผลการทดสอบทำ Threat Hunting Services ตามเงื่อนไข ภายใน 365 วัน เฉพาะงานข้อ 8.9.1 นับถัดจากวัน รายงานสรุปผลการดำเนินงาน (Summary Session) ตามเงื่อนไข ลงนามในสัญญา เฉพาะงานข้อ 8.10 หลักฐานการจัดหาหลักสูตรฝึกอบรมและรายชื่อผู้เข้าร่วม ตามเงื่อนไข เฉพาะงานข้อ 10 10.1 ผู้ชนะการยื่นข้อเสนอต้องดำเนินการจัดหาหลักสูตรการฝึกอบรม Web App Penetration Testing and Ethical Hacking สถาบัน SANS Institute พร้อมให้มีการสอบประกาศนียบัตรรับรองความสามารถ (Certificate) ให้กับพนักงานการไฟฟ้าส่วนภูมิภาค จำนวน 1 รุ่น รุ่นละไม่น้อยกว่า 3 คน 10.2 ผู้ชนะการยื่นข้อเสนอต้องรับผิดชอบค่าใช้จ่ายที่เกิดขึ้นในการจัดฝึกอบรมทั้งหมด การไฟฟ้าส่วนภูมิภาคจะ ไม่จ่ายค่าใช้จ่ายใดๆ ที่เกิดขึ้นนี้ เช่น ค่าลงทะเบียน ค่าอุปกรณ์ที่ใช้ในการฝึกอบรม เอกสารประกอบการฝึกอบรม เอกสารคู่มือ ค่าเดินทาง และค่าที่พักของพนักงานการไฟฟ้าส่วนภูมิภาค ค่าสถานที่ ค่าอาหาร และเครื่องดื่ม เป็นต้น หากสถานที่จัดฝึกอบรมอยู่ภายนอกสำนักงานการไฟฟ้าส่วนภูมิภาค ผู้ชนะการยื่นข้อเสนอต้องจัดให้มีรถ รับ-ส่ง ลงนาม. ประธานกรรมการ Da ลงนาม... กรรมการ ลงนาม. กรรมการ 14 ระหว่างที่พักกับสถานที่ฝึกอบรมให้กับพนักงานการไฟฟ้าส่วนภูมิภาคตลอดระยะเวลาที่มีการฝึกอบรม ในกรณีที่ใช้ สถานที่ของการไฟฟ้าส่วนภูมิภาคต้องกำหนดวันและแจ้งล่วงหน้าไม่น้อยกว่า 30 วัน และต้องชำระค่าใช้จ่ายตามที่ การไฟฟ้าส่วนภูมิภาคกำหนด โดยสามารถดำเนินการภายใน 1 ปี นับถัดจากวันลงนามในสัญญา 10.3 หากมีการเปลี่ยนแปลงหลักสูตรระหว่างดำเนินโครงการ ผู้ชนะการยื่นข้อเสนอจะต้องส่งรายละเอียดหลักสูตร ที่เทียบเท่า โดยค่าใช้จ่ายอยู่ในวงเงินตามสัญญาและให้การไฟฟ้าส่วนภูมิภาค เห็นชอบเป็นลายลักษณ์อักษรก่อน ล่วงหน้าอย่างน้อย 7 วัน โดยที่ผู้ชนะการยื่นข้อเสนอจะยกเอาเหตุดังกล่าวเป็นข้ออ้างในการที่ทำให้การปฏิบัติตาม สัญญาจ้างล่าช้ามิได้ 11. ค่าปรับ 11.1 หากผู้ชนะการยื่นข้อเสนอไม่สามารถจัดให้มีทีมงานผู้เชี่ยวชาญปฏิบัติงาน หรือผู้เชี่ยวชาญปฏิบัติงาน ทดแทนมาปฏิบัติงานตามเงื่อนไขเฉพาะงานข้อ 8.7.7, 8.8.12, 8.9.15 ได้ ผู้ชนะการยื่นข้อเสนอต้องยินยอมให้ การไฟฟ้าส่วนภูมิภาคคิดค่าปรับตามช่วงเวลาที่ทีมงานผู้เชี่ยวชาญปฏิบัติงาน หรือผู้เชี่ยวชาญ ไม่มาปฏิบัติงานนั้นเป็น รายวันในอัตราร้อยละ 0.20 ของค่าจ้าง (รายงวด) ตามสัญญา นับตั้งแต่วันที่ไม่มาปฏิบัติงานจนกว่าผู้ชนะการยื่น ข้อเสนอจะจัดหาทีมงานผู้เชี่ยวชาญปฏิบัติงาน หรือผู้เชี่ยวชาญที่มีคุณสมบัติถูกต้อง ครบถ้วน มาปฏิบัติงานให้การไฟฟ้า ส่วนภูมิภาค ปฏิบัติงานถ้าไม่ถึงวันหรือเศษของวันให้คิดเป็น 1(หนึ่ง) วัน 11.2 หากผู้ชนะการยื่นข้อเสนอไม่เข้าปฏิบัติงานหรือไม่ดำเนินการหรือไม่สามารถปฏิบัติงานได้แล้วเสร็จ หรือ ไม่สามารถปฏิบัติตามเงื่อนไขที่กำหนดได้ครบถ้วน สมบูรณ์ ตามเงื่อนไขเฉพาะงานข้อ 8 ผู้ชนะการยื่นข้อเสนอยินยอม ให้คิดค่าปรับเป็นรายวัน ในอัตราร้อยละ 0.20 ของค่าจ้าง (รายงวด) ตามสัญญา นับจากเวลาที่ครบกำหนดจนถึงเวลาที่ ผู้ชนะการยื่นข้อเสนอได้เริ่มเข้าปฏิบัติงาน (เศษของวันให้นับเป็น 1 วัน) 11.3 หากผู้ชนะการยื่นข้อเสนอไม่สามารถส่งมอบงานตามงวดงานที่ 1-4 ภายในเวลาที่กำหนดไว้ในสัญญาและ การไฟฟ้าส่วนภูมิภาค ยังมิได้บอกเลิกสัญญา ผู้ชนะการยื่นข้อเสนอจะต้องชำระค่าปรับให้แก่ การไฟฟ้าส่วนภูมิภาค เป็นรายวัน (เศษของวันให้นับเป็น 1 วัน) ในอัตราร้อยละ 0.20 ของราคางานจ้าง (รายงวด) ตามสัญญา นับถัดจากวันที่ ครบกำหนดเวลาแล้วเสร็จของงานตามสัญญาหรือวันที่การไฟฟ้าส่วนภูมิภาคได้ขยายเวลาทำงานให้ จนถึงวันที่ทำงาน แล้วเสร็จจริงหรือจนกว่าจะสามารถส่งมอบงานได้ นอกจากนี้ผู้ชนะการยื่นข้อเสนอยอมให้ การไฟฟ้าส่วนภูมิภาค เรียก ค่าเสียหายอันเกิดขึ้นจากการที่ผู้ชนะการยื่นข้อเสนอทำงานล่าช้าเฉพาะส่วนที่เกินกว่าจำนวนค่าปรับดังกล่าวได้อีกด้วย ในระหว่างที่การไฟฟ้าส่วนภูมิภาคยังมิได้บอกเลิกสัญญานั้น หากการไฟฟ้าส่วนภูมิภาคเห็นว่าผู้ชนะการจัดจ้างจะ ไม่สามารถปฏิบัติตามสัญญาต่อไปได้ การไฟฟ้าส่วนภูมิภาคจะใช้สิทธิบอกเลิกสัญญาและใช้สิทธิตามเงื่อนไขเฉพาะงาน ข้อ 15 สิทธิของผู้ว่าจ้างภายหลังบอกเลิกสัญญาก็ได้ และถ้าการไฟฟ้าส่วนภูมิภาคได้แจ้งข้อเรียกร้องไปยังผู้ชนะการจัด จ้างเมื่อครบกำหนดเวลาแล้วเสร็จของงานขอให้ชำระค่าปรับแล้ว การไฟฟ้าส่วนภูมิภาคมีสิทธิที่จะปรับผู้ชนะการจัดจ้าง จนถึงวันบอกเลิกสัญญาได้อีกด้วย 12. ความรับผิดของผู้ชนะการยื่นข้อเสนอ ผู้ชนะการยื่นข้อเสนอจะต้องรับผิดต่อการไฟฟ้าส่วนภูมิภาคในกรณีที่ผู้ชนะการยื่นข้อเสนอ ผู้แทน ช่าง หรือลูกจ้าง ของผู้ชนะการยื่นข้อเสนอจงใจหรือประมาทเลินเล่อ หรือไม่มีความรู้ความชำนาญพอ กระทำหรืองดเว้นการกระทำใด ๆ เป็นเหตุให้เครื่องไมโครคอมพิวเตอร์ คอมพิวเตอร์โน้ตบุ๊ก อุปกรณ์เครือข่าย หรืออุปกรณ์ต่อพ่วง ของการไฟฟ้า ส่วนภูมิภาค เสียหายหรือไม่อยู่ในสภาพที่ใช้การได้ดี โดยไม่อาจแก้ไขได้ โดยผู้ชนะการยื่นข้อเสนอจะต้องจัดหาอุปกรณ์ ต่าง ๆ ที่มีคุณภาพ ประสิทธิภาพ และความสามารถในการใช้งานไม่ต่ำกว่าของเดิมชดใช้แทน หรือชดใช้ราคาอุปกรณ์ ลงนาม. Basha ประธานกรรมการ ลงนาม.... .กรรมการ ลงนาม f กรรมการ 15 ต่าง ๆ ในขณะที่เกิดความเสียหายในกรณีที่ไม่อาจจัดหาอุปกรณ์ต่าง ๆ ดังกล่าวชดใช้แทนได้ ให้แก่การไฟฟ้า ส่วนภูมิภาคภายใน 30 วัน นับถัดจากวันที่ได้รับแจ้งเป็นหนังสือจากการไฟฟ้าส่วนภูมิภาค นับตั้งแต่เวลาที่การไฟฟ้าส่วนภูมิภาคบอกกล่าวเป็นหนังสือให้ผู้ชนะการยื่นข้อเสนอจัดหาอุปกรณ์ต่าง ๆ มาชดใช้ ให้แทน หรือชดใช้ราคาจัดหาอุปกรณ์ต่าง ๆ ตามวรรคหนึ่ง ผู้ชนะการยื่นข้อเสนอยินยอมให้การไฟฟ้าส่วนภูมิภาคปรับ เป็นรายวัน (เศษของวันให้นับเป็น 1 วัน) ในอัตราร้อยละ 0.10 ของค่าจ้างทั้งหมดตามสัญญานี้ จนกว่าการไฟฟ้า ส่วนภูมิภาคบอกเลิกสัญญา และหากการไฟฟ้าส่วนภูมิภาคต้องใช้จัดหาอุปกรณ์ต่าง ๆ ที่อื่นทดแทน ผู้ชนะการยื่น ข้อเสนอยินยอมชดใช้ค่าใช้จ่ายเพื่อการดังกล่าวทั้งสิ้นแทนการไฟฟ้าส่วนภูมิภาคอีกด้วย นอกจากนี้ ผู้ชนะการยื่นข้อเสนอจะต้องรับผิดชอบต่ออุบัติเหตุ ความเสียหาย หรือภยันตรายใด ๆ อันเกิดจาก การปฏิบัติงานของผู้ชนะการยื่นข้อเสนอ และต้องรับผิดต่อความเสียหายจากการกระทำหรืองดเว้นกระทำโดยผิด กฎหมายหรือโดยจงใจหรือประมาทเลินเล่อของผู้แทน ช่าง หรือลูกจ้างของผู้ชนะการยื่นข้อเสนออีกด้วย 13. หลักประกันการปฏิบัติตามสัญญา ผู้ชนะการยื่นข้อเสนอจะต้องวางหลักประกันสัญญาเป็นจำนวนเต็มในอัตราร้อยละ 5 ของราคาทั้งหมดตามสัญญา มามอบให้การไฟฟ้าส่วนภูมิภาคเมื่อลงนามในสัญญาเพื่อเป็นหลักประกันความเสียหายที่อาจจะเกิดขึ้นจากการปฏิบัติ ตามสัญญา ดังนี้ 13.1 เงินสด 13.2 เช็คหรือดราฟท์ ที่ธนาคารเซ็นสั่งจ่าย ซึ่งเป็นเช็คหรือดราฟท์ลงวันที่ที่ใช้เช็คหรือดราฟท์นั้นชำระต่อ เจ้าหน้าที่ หรือก่อนวันนั้นไม่เกิน 3 วันทำการ (โดยสั่งจ่ายในนาม การไฟฟ้าส่วนภูมิภาค) 13.3 หนังสือค้ำประกันของธนาคารภายในประเทศ ตามตัวอย่างที่คณะกรรมการนโยบายกำหนด โดยกำหนด เป็นหนังสือค้ำประกันอิเล็กทรอนิกส์ตามวิธีการที่กรมบัญชีกลางกำหนดได้ 13.4 หนังสือค้ำประกันของบริษัทเงินทุน หรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุน เพื่อการพาณิชย์และประกอบธุรกิจค้ำประกันตามประกาศของธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ ธนาคารแห่งประเทศไทยแจ้งเวียนให้ทราบ โดยอนุโลมให้ใช้ตามตัวอย่างหนังสือค้ำประกันของธนาคารที่ คณะกรรมการนโยบายกำหนด 13.5 พันธบัตรรัฐบาลไทย หลักประกันนี้จะคืนให้ โดยไม่มีดอกเบี้ย เมื่อผู้ชนะการยื่นข้อเสนอพ้นจากข้อผูกพันและความรับผิดชอบทั้งปวง ตามสัญญานี้แล้ว 14. การจ้างช่วง ผู้ชนะการยื่นข้อเสนอจะต้องไม่เอางานทั้งหมดหรือแต่บางส่วนแห่งสัญญานี้ไปจ้างช่วงอีกทอดหนึ่ง เว้นแต่ การจ้างช่วงงานแต่บางส่วนที่ได้รับอนุญาตเป็นหนังสือจากการไฟฟ้าส่วนภูมิภาคแล้ว การที่การไฟฟ้าส่วนภูมิภาคได้ อนุญาตให้จ้างช่วงงานแต่บางส่วนดังกล่าวนั้น ไม่เป็นเหตุให้ผู้ชนะการยื่นข้อเสนอหลุดพ้นจากความรับผิดหรือพันธะหน้าที่ ตามสัญญานี้ และผู้ชนะการยื่นข้อเสนอจะยังคงต้องรับผิดในความผิดและความประมาทเลินเล่อของผู้รับจ้างช่วง หรือของ ตัวแทนหรือลูกจ้างของผู้รับจ้างช่วงนั้นทุกประการ กรณีผู้ชนะการยื่นข้อเสนอไปจ้างช่วงงานแต่บางส่วนโดยฝ่าฝืนความในวรรคหนึ่ง ผู้ชนะการยื่นข้อเสนอต้องชำระ ค่าปรับให้แก่การไฟฟ้าส่วนภูมิภาคเป็นจำนวนเงินในอัตราร้อยละ 10 ของวงเงินของงานที่จ้างช่วงตามสัญญา ทั้งนี้ ไม่ตัดสิทธิการไฟฟ้าส่วนภูมิภาคในการบอกเลิกสัญญา ลงนาม anel ประธานกรรมการ ลงนาม. ..กรรมการ ลงนาม .กรรมการ 16 15. การบอกเลิกสัญญา หากการไฟฟ้าส่วนภูมิภาคเห็นว่าผู้ชนะการยื่นข้อเสนอไม่อาจปฏิบัติตามสัญญาได้ หรือผู้ชนะการยื่นข้อเสนอ ผิดสัญญาข้อใดข้อหนึ่งหรือตกเป็นผู้ล้มละลาย การไฟฟ้าส่วนภูมิภาคมีสิทธิบอกเลิกสัญญาได้ และมีสิทธิจ้างผู้รับจ้าง รายใหม่เข้าทำงานของผู้ชนะการยื่นข้อเสนอให้ลุล่วงไป การใช้สิทธิบอกเลิกสัญญานั้นไม่กระทบสิทธิของ การไฟฟ้าส่วนภูมิภาคที่จะเรียกร้องค่าเสียหายและค่าใช้จ่ายใด ๆ (ถ้ามี) จากผู้ชนะการยื่นข้อเสนอ ในกรณีที่การไฟฟ้าส่วนภูมิภาคใช้สิทธิบอกเลิกสัญญา การไฟฟ้าส่วนภูมิภาคมีสิทธิริบหรือบังคับจากหลักประกัน การปฏิบัติตามสัญญา เป็นจำนวนเงินทั้งหมดหรือแต่บางส่วน ตามแต่จะเห็นสมควรได้ทันที นอกจากนั้น ผู้ชนะการยื่น ข้อเสนอจะต้องรับผิดชอบในค่าเสียหายซึ่งเป็นจำนวนเกินกว่าหลักประกันการปฏิบัติตามสัญญา และค่าเสียหายต่าง ๆ ที่เกิดขึ้น รวมทั้งค่าใช้จ่ายที่เพิ่มขึ้นในการทำงานนั้นต่อให้แล้วเสร็จตามสัญญาซึ่งการไฟฟ้าส่วนภูมิภาคจะหักเอาจาก จำนวนเงินใด ๆ ที่จะจ่ายให้แก่ผู้ชนะการยื่นข้อเสนอก็ได้ การที่การไฟฟ้าส่วนภูมิภาคไม่ใช้สิทธิเลิกสัญญาดังกล่าวตามวรรคหนึ่งไม่เป็นเหตุให้ผู้ชนะการยื่นข้อเสนอพ้นจาก ความรับผิดตามสัญญา 16. การบังคับค่าปรับ ค่าเสียหาย และค่าใช้จ่าย ในกรณีที่ผู้ชนะการยื่นข้อเสนอไม่ปฏิบัติตามสัญญาข้อใดข้อหนึ่งด้วยเหตุใด ๆ ก็ตาม จนเป็นเหตุให้เกิดค่าปรับ ค่าเสียหาย หรือค่าใช้จ่ายแก่การไฟฟ้าส่วนภูมิภาค ผู้ชนะการยื่นข้อเสนอต้องชดใช้ค่าปรับ ค่าเสียหาย หรือค่าใช้จ่าย ดังกล่าวให้แก่การไฟฟ้าส่วนภูมิภาคโดยสิ้นเชิงภายในกำหนด 30 วัน นับถัดจากวันที่ได้รับแจ้งเป็นหนังสือจาก การไฟฟ้าส่วนภูมิภาค หากผู้ชนะการยื่นข้อเสนอไม่ชดใช้ให้ถูกต้องครบถ้วนภายในระยะเวลาดังกล่าวให้ การไฟฟ้าส่วนภูมิภาคมีสิทธิที่จะหักเอาจากจำนวนเงินค่าจ้างที่ต้องชำระ หรือบังคับจากหลักประกันการปฏิบัติตาม สัญญาได้ทันที หากค่าปรับ ค่าเสียหาย หรือค่าใช้จ่ายที่บังคับจากเงินค่าจ้างที่ต้องชำระ หรือหลักประกันการปฏิบัติตามสัญญา แล้วยังไม่เพียงพอ ผู้ชนะการยื่นข้อเสนอยินยอมชำระส่วนที่เหลือที่ยังขาดอยู่จนครบถ้วนตามจำนวนค่าปรับ ค่าเสียหาย หรือค่าใช้จ่ายนั้น ภายในกำหนด 30 วัน นับถัดจากวันที่ได้รับแจ้งเป็นหนังสือจากการไฟฟ้าส่วนภูมิภาค หากมีเงินค่าจ้างตามสัญญาที่หักไว้จ่ายเป็นค่าปรับ ค่าเสียหาย หรือค่าใช้จ่ายแล้วยังเหลืออยู่อีกเท่าใด การไฟฟ้าส่วนภูมิภาคจะคืนให้แก่ผู้ชนะการยื่นข้อเสนอทั้งหมด 17. การงดหรือลดค่าปรับ หรือการขยายเวลาปฏิบัติงานตามสัญญา ในกรณีที่มีเหตุเกิดจากความผิดหรือความบกพร่องของการไฟฟ้าส่วนภูมิภาค หรือเหตุสุดวิสัย หรือเกิดจาก พฤติการณ์อันหนึ่งอันใดที่ผู้ชนะการยื่นข้อเสนอไม่ต้องรับผิดตามกฎหมาย หรือเหตุอื่นตามที่กำหนดในกฎกระทรวง ซึ่ง ออกตามความในกฎหมายว่าด้วยการจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ ทำให้ผู้ชนะการยื่นข้อเสนอไม่สามารถ ทำงานให้แล้วเสร็จตามเงื่อนไขและกำหนดเวลาแห่งสัญญานี้ได้ ผู้ชนะการยื่นข้อเสนอจะต้องแจ้งเหตุหรือพฤติการณ์ ดังกล่าวพร้อมหลักฐานเป็นหนังสือให้การไฟฟ้าส่วนภูมิภาคทราบ เพื่อของดหรือลดค่าปรับ หรือขยายเวลาทำงาน ออกไปภายใน 15 วันนับถัดจากวันที่เหตุนั้นสิ้นสุดลง หรือตามที่กำหนดในกฎกระทรวงดังกล่าว แล้วแต่กรณี ถ้าผู้ชนะการยื่นข้อเสนอไม่ปฏิบัติให้เป็นไปตามความในวรรคหนึ่ง ให้ถือว่าผู้ชนะการยื่นข้อเสนอได้สละสิทธิ เรียกร้องในการที่จะของดหรือลดค่าปรับ หรือขยายเวลาทำงานออกไปโดยไม่มีเงื่อนไขใด ๆ ทั้งสิ้น เว้นแต่กรณีเหตุเกิด จากความผิดหรือความบกพร่องของฝ่ายการไฟฟ้าส่วนภูมิภาค ซึ่งมีหลักฐานชัดแจ้ง หรือการไฟฟ้าส่วนภูมิภาคทราบดี อยู่แล้วตั้งแต่ต้น ลงนาม.. ประธานกรรมกาΣ ลงนาม.. กรรมการ ลงนาม กรรมการ 17 18. การรักษาข้อมูลที่เป็นความลับ ผู้ชนะการยื่นข้อเสนอโดยภายใต้นิติกรรมสัญญาหรือข้อตกลงเป็นหนังสือฉบับนี้ ต้องรับทราบและลงนามในสัญญา การรักษาข้อมูลที่เป็นความลับ (Non-Disclosure Agreement) และการปฏิบัติตามนโยบายด้านความมั่นคงปลอดภัย สารสนเทศ (ตามเอกสารแนบท้ายเพิ่มเติม ข้อ 2.4 สัญญาการรักษาข้อมูลที่เป็นความลับ (Non-Disclosure Agreement) และการปฏิบัติตามนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ) โดยคู่สัญญาต้องทำความเข้าใจกับ หนังสือสัญญาโดยละเอียดและ ลงลายมือชื่อพร้อมประทับตรา (ถ้ามี) 19. การประมวลผลข้อมูลส่วนบุคคล ผู้ชนะการยื่นข้อเสนอ ภายใต้นิติกรรมสัญญาหรือข้อตกลงเป็นหนังสือ รวมทั้งผู้ได้รับการคัดเลือก หรือติดต่อมีนิติ สัมพันธ์กับการไฟฟ้าส่วนภูมิภาค โดยไม่ได้จัดทำเป็นสัญญาหรือข้อตกลงเป็นหนังสือ ต้องรับทราบและลงนามในสัญญา การประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) และการปฏิบัติตามนโยบายและแนวปฏิบัติการ คุ้มครองข้อมูลส่วนบุคคลของการไฟฟ้าส่วนภูมิภาค (ตามเอกสารแนบท้ายเพิ่มเติม ข้อ 2.5 สัญญาการประมวลผลข้อมูล ส่วนบุคคล (Data Processing Agreement)) โดยผู้ชนะการยื่นข้อเสนอต้องทำความเข้าใจกับหนังสือสัญญา โดยละเอียดและลงลายมือชื่อพร้อมประทับตรา (ถ้ามี) ลงนาม. सकल ลงนาม ประธานกรรมการ .กรรมการ .กรรมการ ลงนาม. 18 2. เอกสารแนบท้ายเพิ่มเติม 2.1 รายละเอียดคำชี้แจงเงื่อนไขเฉพาะงาน 19 รายละเอียดคำชี้แจงเงื่อนไขเฉพาะงาน ชื่อผู้ยื่นข้อเสนอ เลขที่ เอกสารที่ใช้อ้างอิง ลำดับที่ เงื่อนไขเฉพาะงาน คำชี้แจงของผู้ยื่นข้อเสนอ ลำดับที่สารบัญเอกสาร ชื่อเอกสาร หน้า 1. เงื่อนไขเฉพาะงาน (ทุกข้อ) 20 2. เอกสารแนบท้ายเพิ่มเติม 2.2 ตารางสรุปรายการที่เสนอ 21

ลำดับที่	ชื่อผู้ยื่นข้อเสนอ	รายการ	จำนวน	ราคารวม (บาท)
1		จ้างบริการตรวจหาช่องโหว่และทดสอบเจาะระบบด้านความมั่นคงปลอดภัยทางไซเบอร์	1 ระบบ
			รวม

ให้เสนอราคาในระบบจัดซื้อจัดจ้างภาครัฐ ด้วยอิเล็กทรอนิกส์ ผู้เสนอราคา 22 2. เอกสารแนบท้ายเพิ่มเติม 2.3 สถานที่ติดตั้ง 23

ลำดับที่	สถานที่	จำนวน/งาน
1	การไฟฟ้าส่วนภูมิภาค สำนักงานใหญ่	1

รวมทั้งสิ้น 1 24 2. เอกสารแนบท้ายเพิ่มเติม 2.4 สัญญาการรักษาข้อมูลที่เป็นความลับ (Non-Disclosure Agreement) และการปฏิบัติตามนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ 25 การไฟฟ้าส่วนภูมิภาค PROVINCIAL ELECTRICITY AUTHORITY สัญญาการรักษาข้อมูลที่เป็นความลับ (Non-Disclosure Agreement) และการปฏิบัติตามนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ สัญญาฉบับนี้ ทำขึ้นที่ สำนักงานใหญ่ การไฟฟ้าส่วนภูมิภาค ตั้งอยู่เลขที่ ๒๐๐ ถนนงามวงศ์วาน แขวงลาดยาว เขตจตุจักร กรุงเทพมหานคร รหัสไปรษณีย์ ๑๐๙๐๐ เมื่อวันที่ ระหว่าง การไฟฟ้าส่วนภูมิภาค โดย เรียกว่า “ผู้ให้ข้อมูล” ฝ่ายหนึ่ง กับ โดย ซึ่งมีนิติสัมพันธ์กับ การไฟฟ้าส่วนภูมิภาค ตาม (ระบุรายละเอียดของสัญญา/ข้อตกลง/โครงการ/การวิจัย/) ซึ่งต่อไปนี้เรียกว่า “ผู้รับข้อมูล” อีกฝ่ายหนึ่ง ทั้งคู่สัญญาได้ตกลงกัน โดยมีข้อความดังต่อไปนี้ ข้อ ๑. คำนิยาม ซึ่งต่อไปนี้ “ข้อมูลที่เป็นความลับ” หมายความถึง บรรดาข้อความ เอกสาร ข้อมูล ตลอดจน รายละเอียดทั้งปวงที่เป็นของผู้ให้ข้อมูล รวมถึงที่อยู่ในความครอบครองหรือควบคุมดูแลของผู้ให้ข้อมูล และ ไม่เป็นที่รับรู้ของสาธารณชนโดยทั่วไป ไม่ว่าจะในรูปแบบที่จับต้องได้หรือไม่ หรือสื่อแบบใด ไม่ว่าจะถูก ดัดแปลงแก้ไขโดยผู้รับข้อมูลหรือไม่ และไม่ว่าจะเปิดเผยเมื่อใดและอย่างไร ให้ถือว่าเป็นความลับ ข้อ ๒. การรักษาข้อมูลที่เป็นความลับ ๒.๑ ผู้รับข้อมูลต้องรับผิดชอบรักษาข้อมูลที่เป็นความลับ และเก็บข้อมูลความลับไว้โดย ครบถ้วน และอย่างเคร่งครัด ผู้รับข้อมูลจะต้องไม่เปิดเผย ทำสำเนา หรือทำการอื่นใดทำนองเดียวกันแก่ บุคคลอื่นไม่ว่าทั้งหมดหรือบางส่วน เว้นแต่ได้รับอนุญาตเป็นหนังสือจากผู้ให้ข้อมูล ๒.๒ ผู้รับข้อมูลต้องใช้ข้อมูลที่เป็นความลับเพื่อการอันเกี่ยวกับหรือสัมพันธ์กับการ ดำเนินงานที่มีอยู่ระหว่างผู้ให้ข้อมูลกับผู้รับข้อมูล โดยผู้รับข้อมูลต้องแจ้งให้ผู้ให้ข้อมูลทราบโดยทันทีที่พบการ ใช้หรือการเปิดเผยข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต หรือการละเมิดหรือฝ่าฝืนข้อกำหนดตามสัญญานี้ อีกทั้งผู้รับข้อมูลจะต้องให้ความร่วมมือกับผู้ให้ข้อมูลอย่างเต็มที่ในการเรียกคืนซึ่งการครอบครองข้อมูลที่เป็น ความลับ การป้องกันการใช้ข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต และการระงับยับยั้งการเผยแพร่ข้อมูล ที่เป็นความลับออกสู่สาธารณะ ๒.๓ ผู้รับข้อมูลต้องใช้มาตรการที่เหมาะสมในการเก็บรักษาข้อมูลที่เป็นความลับ เพื่อป้องกันมิให้ข้อมูลที่เป็นความลับถูกนำไปใช้โดยมิได้รับอนุญาตหรือถูกเปิดเผยแก่บุคคลอื่น โดยผู้รับข้อมูล ต้องใช้มาตรการการเก็บรักษาข้อมูลที่เป็นความลับในระดับเดียวกันกับที่ผู้รับข้อมูลใช้กับข้อมูลที่เป็นความลับ ของตนเอง ซึ่งต้องไม่น้อยกว่าการดูแลที่สมควร ๒.๔ 26 - ๒ - ๒.๔ ผู้รับข้อมูลต้องแจ้งให้บุคลากร พนักงาน ลูกจ้าง ที่ปรึกษาของผู้รับข้อมูล และ/หรือ บุคคลภายนอกที่ต้องเกี่ยวข้องกับข้อมูลที่เป็นความลับนั้นทราบถึงความเป็นความลับและข้อจำกัดสิทธิใน การใช้และการเปิดเผยข้อมูลที่เป็นความลับ และผู้รับข้อมูลต้องดำเนินการให้บุคคลดังกล่าวต้องผูกพันด้วยสัญญา หรือข้อตกลงเป็นหนังสือในการรักษาข้อมูลที่เป็นความลับโดยมีข้อกำหนดเช่นเดียวกับหรือไม่น้อยกว่า ข้อกำหนดและเงื่อนไขในสัญญาฉบับนี้ด้วย ๒.๕ ข้อมูลที่เป็นความลับตามข้อตกลงฉบับนี้ ไม่รวมไปถึงข้อมูลดังต่อไปนี้ (๑) ข้อมูลที่ ผู้ให้ข้อมูล เปิดเผยแก่สาธารณะ (๒) ข้อมูลที่ผู้รับข้อมูลทราบอยู่ก่อนที่ ผู้ให้ข้อมูล จะเปิดเผยข้อมูลนั้น (๓) ข้อมูลที่มาจากการพัฒนาโดยอิสระของผู้รับข้อมูลเอง (๔) ข้อมูลที่ต้องเปิดเผยโดยกฎหมายหรือตามคำสั่งศาล ทั้งนี้ผู้รับข้อมูลต้องมีหนังสือ แจ้งให้ ผู้ให้ข้อมูล ได้รับทราบถึงข้อกำหนดหรือคำสั่งดังกล่าวพร้อมทั้งหมายศาล และ/หรือ หมายค้นอย่างเป็นทางการยื่นต่อผู้ให้ข้อมูล ก่อนที่จะดำเนินการ เปิดเผยข้อมูลดังกล่าว และในการเปิดเผยข้อมูลดังกล่าวผู้รับข้อมูลจะต้อง ดำเนินการตามขั้นตอนทางกฎหมายเพื่อขอให้คุ้มครองข้อมูลดังกล่าวไม่ให้ถูก เปิดเผยต่อสาธารณะด้วย (๕) เป็นการเปิดเผยข้อมูลโดยได้รับความเห็นชอบจากผู้ให้ข้อมูล เป็นลายลักษณ์อักษร ก่อนที่ผู้รับข้อมูลจะเปิดเผยข้อมูลนั้น ข้อ ๓. ทรัพย์สินทางปัญญา สัญญาฉบับนี้ไม่มีผลบังคับใช้เป็นการโอนสิทธิหรือการอนุญาตให้ใช้สิทธิ (ไม่ว่าโดยตรง หรือ โดยอ้อม) ให้แก่ผู้รับข้อมูลที่ได้รับความลับซึ่ง สิทธิบัตร ลิขสิทธิ์ การออกแบบ เครื่องหมายการค้า ตราสัญลักษณ์ รูปประดิษฐ์อื่นใด ชื่อทางการค้า ความลับทางการค้า ไม่ว่าจดทะเบียนไว้ตามกฎหมายหรือไม่ก็ตาม หรือ สิทธิอื่นๆ ของผู้ให้ข้อมูล ซึ่งอาจมีอยู่ใน ปรากฏอยู่ หรือนำมาทำซ้ำไว้ในเอกสารข้อมูลที่เป็นความลับ ทั้งนี้ ผู้รับข้อมูลหรือบุคคลอื่นใดที่เกี่ยวข้องกับผู้รับข้อมูล และเกี่ยวข้องกับข้อมูลที่เป็นความลับดังกล่าว จะไม่ยื่น ขอรับสิทธิและหรือขอจดทะเบียนเกี่ยวกับทรัพย์สินทางปัญญาใดๆ ตลอดจนไม่นำไปใช้โดยไม่ได้รับการอนุญาต เป็นหนังสือจากผู้ให้ข้อมูล เกี่ยวกับรายละเอียดข้อมูลที่เป็นความลับหรือส่วนหนึ่งส่วนใดของรายละเอียดดังกล่าว ข้อ ๔. หน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศ ผู้รับข้อมูลต้องปฏิบัติตามนโยบาย แนวปฏิบัติ หลักเกณฑ์ ประกาศ ระเบียบ หรือกฎหมาย เกี่ยวกับความมั่นคงปลอดภัยสารสนเทศ บรรดาซึ่งใช้บังคับอยู่ในปัจจุบัน รวมทั้งที่จะมีการประกาศใช้ ในกรณีผู้รับข้อมูลมีการดำเนินการที่เกี่ยวข้องกับระบบสารสนเทศของผู้ให้ข้อมูล นอกจาก จะต้องการดำเนินการตามวรรคแรกแล้ว ผู้รับข้อมูลต้องปฏิบัติตามสรุปรายละเอียดนโยบายด้านความมั่นคง ปลอดภัยสารสนเทศสำหรับผู้ให้บริการภายนอก และต้องดำเนินการให้ถูกต้องสอดคล้องตามนโยบาย การพัฒนาระบบสารสนเทศด้วย ข้อ ๕. 27 ๓ ข้อ ๕. การส่งคืน ลบ หรือการทำลายข้อมูลที่เป็นความลับ เมื่อการดำเนินงานที่มีอยู่ระหว่างผู้ให้ข้อมูลกับผู้รับข้อมูลเสร็จสิ้นลง ผู้รับข้อมูลจะต้องส่งมอบ ข้อมูลที่เป็นความลับและสำเนาของข้อมูลที่เป็นความลับที่ผู้รับข้อมูลได้รับไว้คืนให้แก่ผู้ให้ข้อมูล ตลอดจนลบ หรือทำลายข้อมูลที่เป็นความลับที่ถูกจัดเก็บไว้ในคอมพิวเตอร์ หรืออุปกรณ์อื่นใดที่ใช้จัดเก็บข้อมูล (ถ้ามี) หรือ ดำเนินการอื่นตามที่ได้รับการแจ้งเป็นหนังสือจากผู้ให้ข้อมูล ตลอดจนยุติการใช้ข้อมูลที่เป็นความลับที่ได้จาก ผู้ให้ข้อมูลทันที และผู้รับข้อมูลจะต้องรักษาความลับของข้อมูลที่ได้รับจากผู้ให้ข้อมูลตลอดไป แม้ว่าการ ดำเนินงานเสร็จสิ้นลงแล้วก็ตาม ข้อ 5. การชดใช้ค่าเสียหาย ในกรณีที่ผู้รับข้อมูล และ/หรือบุคคลที่ได้รับข้อมูลที่เป็นความลับตามสัญญานี้ซึ่งอยู่ใน ความรับผิดชอบดูแลของผู้รับข้อมูล ฝ่าฝืนข้อกำหนดตามข้อตกลงนี้ และก่อให้เกิดความเสียหายแก่ผู้ให้ข้อมูล ผู้รับข้อมูลจะต้องชดใช้ค่าเสียหายที่เกิดขึ้นทั้งหมดให้แก่ผู้ให้ข้อมูลภายใน ๓๐ (สามสิบ) วัน นับแต่ได้รับ หนังสือแจ้งค่าเสียหาย ข้อ ๗. การบังคับใช้ ๗.๑ ในกรณีที่ปรากฏในภายหลังว่าส่วนใดส่วนหนึ่งในสัญญาฉบับนี้เป็นโมฆะ ให้ถือว่า ข้อกำหนดส่วนที่เป็นโมฆะไม่มีผลบังคับในสัญญานี้ และข้อกำหนดที่เหลืออยู่ในสัญญาฉบับนี้ ยังคงใช้บังคับ และมีผลอยู่อย่างสมบูรณ์ ๗.๒ สัญญาฉบับนี้อยู่ภายใต้การบังคับใช้และตีความตามกฎหมายไทย สัญญานี้ทำขึ้นสองฉบับ มีข้อความถูกต้องตรงกัน คู่สัญญาได้อ่านและเข้าใจข้อความโดยละเอียด ตลอดแล้ว จึงได้ลงลายมือชื่อพร้อมทั้งประทับตรา (ถ้ามี) ไว้เป็นสำคัญต่อหน้าพยานและคู่สัญญาต่างยึดถือไว้ ฝ่ายละหนึ่งฉบับ ลงชื่อ ( ผู้ให้ข้อมูล ) ลงชื่อ ผู้รับข้อมูล ( ลงชื่อ พยาน ) ลงชื่อ ( ( พยาน ) 28 2. เอกสารแนบท้ายเพิ่มเติม 2.5 สัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) 29 กายไฟฟ้าด่วนภูมิภาค * การไฟฟ้าส่วนภูมิภาค PROVINCIAL ELECTRICITY AUTHORITY สัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) สัญญาฉบับนี้ทำขึ้นที่ การไฟฟ้าส่วนภูมิภาค (สถานที่ที่จัดทำสัญญา). รหัสไปรษณีย์ ตามหนังสือมอบอำนาจเลขที่ เมื่อวันที่ เดือน .พ.ศ. ระหว่าง การไฟฟ้าส่วนภูมิภาค. ตั้งอยู่เลขที่ ถนน. ตำบล/แขวง. อำเภอ/เขต. จังหวัด. โดย (ชื่อผู้มีอำนาจลงนาม). ตำแหน่ง ลงวันที่ (ชื่อหน่วยงาน........ตั้งอยู่เลขที่ ถนน. .อำเภอ/เขต. (ชื่อผู้มีอำนาจลงนาม) ตำแหน่ง ตามหนังสือมอบอำนาจเลขที่ ซึ่งต่อไปในสัญญาฉบับนี้เรียกว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” ฝ่ายหนึ่ง กับ จังหวัด. รหัสไปรษณีย์ ตำบล/แขวง โดย ลงวันที่ ซึ่งต่อไปในสัญญาฉบับนี้เรียกว่า “ผู้ประมวลผลข้อมูลส่วนบุคคล” อีกฝ่ายหนึ่ง ทั้งสองฝ่ายจึงตกลงจัดทำสัญญาฉบับนี้เพื่อเป็นหลักฐานการควบคุมดูแลการประมวลผลข้อมูลส่วน บุคคล อันเนื่องมาจากการดำเนินการตามหน้าที่และความรับผิดชอบตาม....(ระบุชื่อบันทึกข้อตกลงความ โดยมีรายละเอียดดังนี้ “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้น ร่วมมือ/สัญญาหลัก/โครงการฯ/).....ฉบับลงวันที่ ได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ข้อ 1 การปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องนำข้อมูลส่วนบุคคลที่ได้รับจากผู้ควบคุมข้อมูล ส่วนบุคคล เพื่อไปดำเนินการตาม.....(ระบุชื่อบันทึกข้อตกลงความร่วมมือ/สัญญาหลัก/โครงการฯ/)....หรือตาม คำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น กรณีผู้ประมวลผลข้อมูลส่วนบุคคลมีความจำเป็นต้องนำข้อมูลส่วนบุคคลไป ประมวลผลเพิ่มเติมนอกเหนือจากวรรคแรก ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องชี้แจงถึงเหตุความจำเป็น ดังกล่าวเป็นลายลักษณ์อักษรให้ผู้ควบคุมข้อมูลส่วนบุคคลพิจารณาและได้รับอนุญาตก่อนนำข้อมูลส่วนบุคคลไป ประมวลผลทุกครั้ง กรณีผู้ประมวลผลข้อมูลส่วนบุคคลมีการนำข้อมูลส่วนบุคคลออกไปจากพื้นที่ของผู้ควบคุม ข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลและแนวทางการเก็บ รวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดทั้งในเชิงองค์กรและเชิงเทคนิค 30 ข้อ 2 หน้าที่ความรับผิดชอบ 2.1 ผู้ประมวลผลข้อมูลส่วนบุคคลต้องปฏิบัติตามกฎหมายที่เกี่ยวกับความมั่นคง ปลอดภัยสารสนเทศ และการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนหนังสือบอกกล่าวให้ดำเนินการใด ๆ ของ ผู้ควบคุมข้อมูลส่วนบุคคลด้วย 2.2 เมื่อผู้ประมวลผลข้อมูลส่วนบุคคลได้ล่วงรู้หรือรับทราบถึงเหตุแห่งการละเมิดของ ข้อมูลส่วนบุคคล จะต้องแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงการละเมิดข้อมูลส่วนบุคคลดังกล่าวทันที และ ให้แจ้งเป็นลายลักษณ์อักษรไปยังผู้ควบคุมข้อมูลส่วนบุคคลภายใน 24 ชั่วโมง นับแต่ได้ล่วงรู้หรือทราบถึงเหตุ ดังกล่าว และให้ความร่วมมือกับผู้ควบคุมข้อมูลส่วนบุคคลดังนี้ (ก) ให้ข้อมูลที่เกี่ยวข้องกับเหตุแห่งการละเมิดให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล โดยข้อมูลเช่นว่านั้นหมายความรวมถึง ลักษณะของการละเมิด รายการข้อมูลส่วนบุคคลและจำนวนเจ้าของ ข้อมูลส่วนบุคคล ที่ถูกละเมิด ผลกระทบที่อาจเกิดขึ้นจากการละเมิดข้อมูลส่วนบุคคล มาตรการที่ได้ดำเนินการ แล้วหรือที่จะเสนอให้ดำเนินการ และมาตรการเยียวยาผลกระทบที่อาจเกิดขึ้นจากการละเมิดข้อมูลส่วนบุคคล นั้น และ (ข) ให้ความร่วมมืออย่างเต็มความสามารถแก่ผู้ควบคุมข้อมูลส่วนบุคคล และ ดำเนินการใด ๆ ตามที่ผู้ควบคุมข้อมูลส่วนบุคคลกำหนดเพื่อการตรวจสอบ แก้ไขปัญหา รวมถึงการบรรเทาและ เยียวยาผลกระทบจากการละเมิดข้อมูลส่วนบุคคลนั้น 2.3 ผู้ควบคุมข้อมูลส่วนบุคคลขอสงวนสิทธิการเข้าตรวจสอบมาตรฐานใน การดำเนินการเกี่ยวกับการประมวลข้อมูลส่วนบุคคลทั้งที่อยู่ในรูปแบบอิเล็กทรอนิกส์หรือในรูปแบบเอกสาร เพื่อให้เป็นไปตามกฎหมายที่เกี่ยวกับความมั่นคงปลอดภัยสารสนเทศ และการคุ้มครองข้อมูลส่วนบุคคล ที่ใช้ บังคับอยู่ในปัจจุบันและที่จะมีการแก้ไข เพิ่มเติมในอนาคต 2.4 ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดทำรายการกิจกรรมประมวลผลข้อมูล ส่วนบุคคลตามแบบฟอร์มที่ผู้ควบคุมข้อมูลส่วนบุคคลกำหนดโดยเร็วหรือตามที่ได้ตกลงกัน ทั้งนี้ หากมี การเปลี่ยนแปลงการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลให้ปรับปรุงรายการ กิจกรรมประมวลผลข้อมูลส่วนบุคคลและจัดส่งให้ผู้ควบคุมข้อมูลส่วนบุคคลอีกครั้งหนึ่ง ข้อ 3 การส่งคืน ลบ หรือการทำลายข้อมูลส่วนบุคคล เมื่อการดำเนินการตาม....(ระบุชื่อบันทึกข้อตกลงความร่วมมือ/สัญญาหลัก/โครงการฯ/) หรือตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลสิ้นสุดลง ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องยุติการใช้ข้อมูล ส่วนบุคคลทันที และจะต้องส่งคืนหรือทำลายข้อมูลส่วนบุคคลที่อยู่ในความครอบครอง หรือดำเนินการอย่างอื่น ตามที่ได้รับการแจ้งเป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูลส่วนบุคคล ข้อ 4 การชดใช้ค่าเสียหาย หากผู้ประมวลผลข้อมูลส่วนบุคคลกระทำการใด ๆ ไปในทางที่ก่อให้เกิดหรืออาจ ก่อให้เกิดความเสียหาย หรือเป็นการละเมิดข้อมูลส่วนบุคคล หรือไม่ปฏิบัติตามเงื่อนไขของสัญญาฉบับนี้และ หรือตามที่กฎหมายกำหนด จนเป็นเหตุให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลหรือผู้ควบคุมข้อมูล ส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องเป็นผู้รับผิดชอบในความเสียหายที่เกิดขึ้นทั้งหมด 31 การชดใช้ค่าเสียหายตามวรรคแรกผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องดำเนินการ ชดใช้ค่าเสียหายที่เกิดขึ้นทั้งหมดให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลให้แล้วเสร็จภายใน 30 (สามสิบ) วันนับแต่ ได้รับหนังสือแจ้งให้ชดใช้ค่าเสียหาย ข้อ 5 การโอนสิทธิ ผู้ประมวลผลข้อมูลส่วนบุคคลไม่สามารถโอนสิทธิและหน้าที่ตามสัญญาฉบับนี้ให้แก่ บุคคลอื่นได้ เว้นแต่จะได้รับความยินยอมเป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูลส่วนบุคคล ข้อ 6 การบอกกล่าว บรรดาคำบอกกล่าวหรือการให้ความยินยอมหรือความเห็นชอบใด ๆ ตามสัญญาฉบับ นี้ต้องทำเป็นลายลักษณ์อักษร และจะถือว่าได้ส่งให้แก่ฝ่ายใดฝ่ายหนึ่งโดยชอบ หากได้จัดส่งโดยช่องทางหนึ่ง ช่องทางใด ดังต่อไปนี้ 6.1 ส่งมอบให้บุคคลหรือผู้แทนที่ได้รับมอบหมายของแต่ละฝ่าย 6.2 ทางไปรษณีย์ลงทะเบียนไปยังที่อยู่ของอีกฝ่ายตามที่ระบุไว้ในสัญญาฉบับนี้หรือ ตามที่อยู่แห่งใหม่ที่ได้มีหนังสือแจ้งให้อีกฝ่ายทราบแล้ว ทางโทรสาร หรือทางจดหมายอิเล็กทรอนิกส์ (Email) ทั้งนี้ กรณีมีความจำเป็นเร่งด่วน สามารถใช้ช่องทางอื่นใดตามที่ตกลงกัน และยืนยันเป็น ลายลักษณ์อักษรให้อีกฝ่ายหนึ่งทราบโดยเร็ว ข้อ 7 ผู้ประสานงาน และหรือผู้แทนที่ได้รับมอบหมายของแต่ละฝ่าย 7.1 ผู้ประสานงานและหรือผู้แทนของผู้ควบคุมข้อมูลส่วนบุคคล ชื่อ-สกุล : ตำแหน่ง : สังกัด : หมายเลขโทรศัพท์ E-mail: ชื่อ-สกุล : ตำแหน่ง : สังกัด : หมายเลขโทรศัพท์ : E-mail: 7.2 ผู้ประสานงานและหรือผู้แทนของผู้ประมวลผลข้อมูลส่วนบุคคล ชื่อ-สกุล : ตำแหน่ง : สังกัด : หมายเลขโทรศัพท์ : E-mail: 32 ข้อ 8 การบังคับใช้ 8.1 สัญญาฉบับนี้มีผลบังคับใช้ตั้งแต่วันที่ลงนามสัญญา......(ระบุชื่อบันทึกข้อตกลง ความร่วมมือ/สัญญาหลัก/โครงการฯ........หรือ ตั้งแต่วันที่ ...(ว/ด/ป...ที่ทั้งสองฝ่ายตกลงกัน.....เป็นต้นไป 8.2 ในกรณีที่ปรากฏในภายหลังว่าส่วนใดส่วนหนึ่งในสัญญาฉบับนี้เป็นโมฆะ ให้ถือว่า ข้อกำหนดหรือเงื่อนไขในส่วนที่เป็นโมฆะจะไม่มีผลบังคับในสัญญาฉบับนี้ ในสัญญาฉบับนี้ยังคงใช้บังคับและมีผลอยู่อย่างสมบูรณ์ และข้อกำหนดหรือเงื่อนไขที่เหลืออยู่ 8.3 สัญญาฉบับนี้อยู่ภายใต้การบังคับใช้และตีความตามกฎหมายไทย สัญญานี้ทำขึ้น 2 (สอง) ฉบับ มีข้อความถูกต้องตรงกัน คู่สัญญาได้อ่านและเข้าใจข้อความโดย ละเอียดตลอดแล้ว จึงได้ลงลายมือชื่อพร้อมทั้งประทับตรา (ถ้ามี) ไว้เป็นสำคัญต่อหน้าพยานและคู่สัญญาต่าง ยึดถือไว้ฝ่ายละหนึ่งฉบับ ลงชื่อ (. ลงชื่อ ผู้ควบคุมข้อมูลส่วนบุคคล .) ผู้ประมวลผลข้อมูลส่วนบุคคล ..) ลงชื่อ พยาน ..) ลงชื่อ (. ..) พยาน 33 รายการอ้างอิงเอกสารสัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) สัญญาการประมวลผลข้อมูลส่วนบุคคล ข้อ 1 การปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคล ข้อ 2 หน้าที่ความรับผิดชอบ ข้อ 3 การส่งคืน ลบ หรือการทำลายข้อมูลส่วน บุคคล ข้อ 4 การชดใช้ค่าเสียหาย ข้อ 5 การโอนสิทธิ ข้อ 6 การบอกกล่าว ข้อ 7 ผู้ประสานงาน และหรือผู้แทนที่ได้รับ มอบหมายของแต่ละฝ่าย ข้อ 8 การบังคับใช้

สัญญาการประมวลผลข้อมูลส่วนบุคคล	หมายเลขมาตร
ข้อ 1 การปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคล
ข้อ 2 หน้าที่ความรับผิดชอบ
ข้อ 3 การส่งคืน ลบ หรือการทำลายข้อมูลส่วน
บุคคล
ข้อ 4 การชดใช้ค่าเสียหาย	มาตรา 40
ข้อ 5 การโอนสิทธิ	มาตรา 40
ข้อ 6 การบอกกล่าว	มาตรา 37(1)(3)
ข้อ 7 ผู้ประสานงาน และหรือผู้แทนที่ได้รับ	และมาตรา 40(1)
มอบหมายของแต่ละฝ่าย
ข้อ 8 การบังคับใช้	มาตรา 77 และมาตร 78
	มาตรา 37 และมาตรา 40(1)

34 2. เอกสารแนบท้ายเพิ่มเติม 2.6 ตัวอย่างแผนการทำงาน 35 การจัดจ้างบริการตรวจหาช่องโหว่และทดสอบเจาะระบบ ด้านความมั่นคงปลอดภัยทางไซเบอร์ ตัวอย่างแผนการทำงาน งวดที่ 1 เดือน..... งวดที่ 2 เดือน..... งวดที่ 3 เดือน..... งวดที่ 4 เดือน..... 36