จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างพัฒนาระบบบริหารจัดการความมั่วคงปลอดภัยสารสนเทศ ตามมาตราฐาน ISO 270012022 และ NIST Cybersecurity

กรมควบคุมโรค 68039210628

฿3,000,000 ปีงบ 2568 ประกาศ 24 เม.ย. 2568 นนทบุรี

รายละเอียดการจ้าง

โครงการนี้มีวัตถุประสงค์หลักเพื่อพัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ของกรมควบคุมโรคให้เป็นไปตามมาตรฐาน ISO 27001:2022 และกรอบมาตรฐาน NIST Cybersecurity Framework โดยมีเป้าหมายเพื่อเสริมสร้างความมั่นคงปลอดภัยทางไซเบอร์และยกระดับการบริหารจัดการศูนย์ข้อมูล (Data Center) ของกรมควบคุมโรค

ขอบเขตงานประกอบด้วย:

การจัดทำแผนและกรอบแนวทางการพัฒนาระบบ ISMS
การพัฒนาโครงสร้างทีม ISMS
การพัฒนาระบบ ISMS ที่รองรับการขอรับรองตามมาตรฐาน ISO 27001:2022 โดยครอบคลุมการบริหารจัดการทรัพย์สินสารสนเทศ, การควบคุมทางกายภาพ, ระบบเครือข่าย, ระบบสำรองข้อมูล และความเสี่ยงที่เกี่ยวข้อง
การจัดทำเอกสารและคู่มือต่างๆ ที่เกี่ยวข้องกับการพัฒนา ISMS
การพัฒนาการตรวจประเมินและวิเคราะห์ความเสี่ยง
การจัดอบรมให้แก่บุคลากรที่เกี่ยวข้อง
การเตรียมความพร้อมสำหรับการตรวจประเมินจากภายนอก (External Audit) เพื่อขอใบรับรองมาตรฐาน ISO/IEC 27001:2022
การพัฒนามาตรฐาน NIST Cybersecurity Framework
การพัฒนาเครื่องมือและ Template ที่ใช้ในการจัดการความมั่นคงปลอดภัยสารสนเทศ

ผู้รับจ้างจะต้องส่งมอบงานภายใน 150 วัน นับถัดจากวันลงนามในสัญญา โดยแบ่งการส่งมอบงานเป็น 3 งวด

English summary

This project aims to hire a contractor to develop an Information Security Management System (ISMS) based on ISO 27001:2022 and the NIST Cybersecurity Framework. The goal is to enhance the data center management standards of the Department of Disease Control (DDC) in accordance with its cybersecurity policy. The contractor will conduct risk assessments, develop documentation and manuals, provide staff training, and prepare for audits to achieve certification. The scope includes ISMS development, risk assessment, documentation, training, and external audit preparation, with deliverables due in three phases within 150 days of contract signing.

สถานที่ดำเนินการ

กองดิจิทัลเพื่อการควบคุมโรค ชั้น 3 อาคาร 2 กรมควบคุมโรค ตําบลตลาดขวัญ อําเภอเมือง

คำสำคัญ

ISO 27001 NIST Cybersecurity Framework Information Security Management System ISMS Data Center Cybersecurity Risk Assessment Vulnerability Assessment Security Audit Compliance

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

เพื่อจัดจ้างผู้รับจ้างเข้าดําเนินการพัฒนาระบบระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ตามมาตรฐาน ISO 27001:2022 และ NIST Cybersecurity Framework
เพื่อสร้างมาตรฐานด้านการบริหารจัดการศูนย์ข้อมูล (Data Center) กรมควบคุมโรค สอดคล้องตามนโยบายความมั่นคงปลอดภัยสารสนเทศทางไซเบอร์

ขอบเขตของงาน

4.1 การพัฒนาระบบและแผนการดําเนินงาน:
- 4.1.1 จัดทําแผนและกรอบแนวทางในการพัฒนาระบบ ISMS โดยใช้เครื่องมือที่เหมาะสม
- 4.1.2 จัดประชุมเริ่มงาน (Kick off Meeting) เพื่อนําเสนอแผนการดําเนินงานให้กรมควบคุมโรค
4.2 การพัฒนาโครงสร้างทีม ISMS:
- จัดทําโครงสร้างทีมงานสําหรับบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Committee) และทีมตรวจสอบภายใน (Internal ISMS Auditor)
4.3 การดําเนินการพัฒนาระบบ ISMS:
- 4.3.1 พัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ที่รองรับการขอรับรอง ตามมาตรฐาน ISO 27001:2022
- 4.3.2 จัดทําการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ, การจัดทําแผน การลดความเสี่ยง และการจัดการการเปลี่ยนแปลงที่สอดคล้องตามข้อกําหนด ISMS
- 4.3.3 จัดให้มีการซ้อมแผนรับมือภัยคุกคามทางไซเบอร์ จํานวน 1 ครั้ง
4.4 การจัดทําเอกสารและคู่มือ:
- 4.4.1 จัดทําเอกสารการพัฒนา ISMS, แผนการควบคุมเอกสาร, นโยบายความมั่นคงปลอดภัย สารสนเทศ, คู่มือระบบ ISMS และขั้นตอนการบริหารความเสี่ยงต่าง ๆ
- 4.4.2 จัดทําเอกสารขั้นตอนการปฏิบัติการที่เกี่ยวข้อง เช่น การควบคุมเอกสาร, การบริหารจัดการ สิทธิการเข้าถึง, การสํารองข้อมูล และแผนสํารองฉุกเฉิน
- 4.4.3 จัดทํา Master list กระบวนการพัฒนาและจัดการระบบความมั่นคงปลอดภัยสารสนเทศ (ISMS)
- 4.4.4 จัดทําเอกสารสรุปมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล (Statement of Applicability)
4.5 การพัฒนาการตรวจประเมินและวิเคราะห์ความเสี่ยง:
- 4.5.1 ออกแบบเครื่องมือในการดําเนินการตรวจประเมินความเสี่ยงด้านความมั่นคงปลอดภัย สารสนเทศ (Information Security Risk Assessment)
- 4.5.2 จัดทํารายงานการวิเคราะห์ความเสี่ยง รวมถึงวิธีการควบคุมเพื่อลดความเสี่ยงและ แผนการพัฒนาเพื่อลดความเสี่ยง
- 4.5.3 ดําเนินการตรวจสอบช่องโหว่ (Vulnerability Assessment) ไม่น้อยกว่า 10 IP Addresses
4.6 การพัฒนาและฝึกอบรม:
- 4.6.1 จัดอบรมหลักสูตรข้อกําหนดของมาตรฐาน ISO/IEC 27001:2022 สําหรับคณะกรรมการ บริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
- 4.6.2 จัดอบรมหลักสูตรการประยุกต์ใช้มาตรฐาน ISO/IEC 27001:2022 สําหรับคณะทํางาน บริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
- 4.6.3 จัดอบรมหลักสูตรการตรวจประเมินภายใน ISO/IEC 27001:2022 สําหรับคณะทํางาน ตรวจประเมินภายใน
- 4.6.4 จัดอบรมหลักสูตรมาตรฐานความมั่นคงปลอดภัยทางไซเบอร์ตามมาตรฐาน NIST Framework เวอร์ชันปัจจุบัน
- 4.6.5 จัดอบรมหลักสูตรสร้างความตระหนักรู้ (Cybersecurity Awareness Training)
4.7 การตรวจประเมินและการรับรองผล:
- 4.7.1 จัดเตรียมเอกสารที่เกี่ยวข้องกับการตรวจประเมินภายใน (Internal Audit) และจัดทํา เอกสารการแก้ไขประเด็นความไม่สอดคล้อง
- 4.7.2 จัดเตรียมเอกสารการตรวจประเมินตามมาตรฐาน ISMS และบุคลากรที่เกี่ยวข้อง สําหรับการ ตรวจประเมินจากภายนอก (External Audit) เพื่อขอใบรับรองมาตรฐานจนกว่าจะผ่านการ ตรวจสอบ และได้รับเอกสารใบรับรองมาตรฐาน ISO/IEC 27001:2022
- 4.7.3 จัดหาผู้ตรวจประเมินภายนอก (Certification Body) เพื่อมาตรวจรับรองมาตรฐาน ISO/IEC 27001:2022
4.8 การพัฒนามาตรฐาน NIST Cybersecurity Framework:
- 4.8.1 ออกแบบและและปรับปรุงเอกสาร ISMS ให้สอดคล้องกับมาตรฐาน NIST Cybersecurity Framework เวอร์ชันล่าสุด
- 4.8.2 พัฒนากระบวนการจัดการความมั่นคงปลอดภัยสารสนเทศให้สอดคล้องกับมาตรฐาน NIST Cybersecurity Framework
4.9 การพัฒนาเครื่องมือและ Template:
- 4.9.1 ออกแบบและพัฒนาเครื่องมือหรือ Template ที่ใช้ในการจัดการความมั่นคงปลอดภัย สารสนเทศ
- 4.9.2 จัดทําเอกสารคู่มือที่ช่วยให้การใช้งานและการบํารุงรักษาเครื่องมือหรือ Template ดังกล่าว
4.10 จัดหาบุคลากรเพื่อสนับสนุนในการพัฒนามาตรฐานสากล ISO/IEC 27001:2022

สิ่งที่ต้องส่งมอบ

แผนการดําเนินงานโครงการ
เอกสารโครงสร้างทีมงานสําหรับบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Committee) และทีมตรวจสอบภายใน (Internal ISMS Auditor)
แผนการฝึกอบรม
เอกสารผลการประเมินความเสี่ยง
รายงานการซ้อมแผนรับมือภัยคุกคามทางไซเบอร์
ผลการออกแบบเครื่องมือในการการประเมินความเสี่ยง ที่สอดคล้องตามข้อกําหนด ISMS
รายงานผลการทดสอบเจาะระบบ
เอกสารประกอบการฝึกอบรม และรายงานผลการอบรมแต่ละหลักสูตร
เอกสารการทบทวนและปรับปรุง SOA
รายงานการวิเคราะห์ความเสี่ยง รวมถึงวิธีการควบคุมเพื่อลดความเสี่ยงและแผนการพัฒนาเพื่อลดความเสี่ยง
เอกสาร ISMS ที่มีมีการจัดทํา ตามข้อ 4.4
- เอกสารการพัฒนา ISMS, แผนการควบคุมเอกสาร, นโยบายความมั่นคงปลอดภัย สารสนเทศ, คู่มือระบบ ISMS และขั้นตอนการบริหารความเสี่ยงต่าง ๆ
- เอกสารขั้นตอนการปฏิบัติการที่เกี่ยวข้อง เช่น การควบคุมเอกสาร, การบริหาร จัดการสิทธิการเข้าถึง, การสํารองข้อมูล และแผนสํารองฉุกเฉิน ที่ครอบคลุมด้านการ พัฒนา ISMS
- เอกสาร Master list กระบวนการพัฒนาและจัดการระบบความมั่นคงปลอดภัย สารสนเทศ (ISMS)
- เอกสารสรุปมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล (Statement of Applicability)
เอกสารการพัฒนามาตรฐาน NIST Cybersecurity Framework
เครื่องมือหรือ Template สําหรับบริหารจัดการระบบ ISMS ที่ผ่านการทดสอบการใช้งาน
เอกสารการตรวจสอบภายในระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Internal ISMS Auditor)
เอกสารการปรับปรุงแก้ไขมาตรการควบคุม (Corrective and Preventive actions)
เอกสารรับรองผลการตรวจประเมินตามมาตรฐานสากล ISO/IEC 27001:2022
เอกสารรับประกันผลงาน 2 ปี

ระยะเวลาดำเนินการ

ผู้รับจ้างต้องดําเนินการให้แล้วเสร็จภายใน 150 วัน นับถัดจากวันลงนามในสัญญา

คุณสมบัติผู้เสนอราคา

Eligibility Requirements:
- ผู้ยื่นข้อเสนอต้องมีมูลค่าของกิจการ ดังนี้
  - กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย/กฎหมายต่างประเทศ ซึ่งได้จดทะเบียน เกินกว่า 1 ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิ หักด้วยหนี้สินสุทธิที่ปรากฏในงบ แสดงฐานะการเงินที่มีการตรวจรับรองแล้ว ของ 1 ปีสุดท้ายก่อนวัน ยื่นข้อเสนอ ซึ่งจะต้องแสดงค่าเป็นบวก
  - กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย/กฎหมาย ต่างประเทศ ซึ่งยังไม่มี การรายงานงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ให้พิจารณาการกําหนด มูลค่าของทุนจดทะเบียน โดยผู้ยื่นข้อเสนอจะต้องมีทุนจดทะเบียนที่เรียกชําระมูลค่าหุ้นแล้ว ณ วันที่ ยื่นข้อเสนอ ต้องมีทุนจดทะเบียน ไม่ต่ํากว่า 1 ล้านบาท
  - กรณีผู้ยื่นข้อเสนอเป็นบุคคลธรรมดาถือสัญชาติไทย/บุคคลธรรมดาที่มิได้ถือสัญชาติไทย ให้พิจารณาจากหนังสือรับรองบัญชีเงินฝาก โดยต้องมีเงินฝากคงเหลือในบัญชีธนาคารเป็น มูลค่า ไม่น้อยกว่า 1 ใน 2 ของมูลค่างบประมาณของโครงการ
  - กรณีที่ผู้ยื่นข้อเสนอมีคุณสมบัติไม่เป็นไปตามข้อ 3.12.1.1 ข้อ 3.12.1.2 และข้อ 3.12.2 ผู้ยื่นข้อเสนอสามารถขอหนังสือรับรองวงเงินสินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุน หรือบริษัทเงินทุนหลักทรัพย์ฯ
Experience:
- ผู้ยื่นข้อเสนอต้องยื่นหลักฐานผลงานที่เกี่ยวข้องกับการตรวจประเมินเพื่อให้การรับรองการ บริหารความมั่นคงปลอดภัยสารสนเทศ (ISMS) ตามมาตรฐาน ISO/IEC 27001 ที่ได้ดําเนินการแล้วเสร็จ และเป็นคู่สัญญาโดยตรงกับหน่วยงานของรัฐ หรือรัฐวิสาหกิจ หรือเอกชน อย่างน้อย 3 ผลงาน มีมูลค่าไม่ต่ํากว่า 1,000,000 บาทต่อสัญญา ภายในระยะเวลาไม่เกิน 3 ปี นับย้อนหลังจากวันที่ยื่นซองข้อเสนอ
- ผู้ยื่นข้อเสนอจะต้องยื่นหลักฐานข้อมูลการจดทะเบียนบริษัทในประเทศไทยมาเป็นเวลา ไม่ต่ํากว่า 5 ปี
Personnel:
- ผู้ยื่นข้อเสนอต้องยื่นหลักฐานแสดงข้อมูลบุคลากรผู้เชี่ยวชาญด้านการดําเนินการ ตามมาตรฐานสากล ISO/IEC 27001:2022 ตามข้อ 4.10 (ผู้จัดการโครงการ, ผู้เชี่ยวชาญอาวุโสด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ, ผู้เชี่ยวชาญด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ, ผู้เชี่ยวชาญด้านการตรวจสอบช่องโหว่, ผู้เชี่ยวชาญด้านการจัดการตรวจสอบข้อมูลส่วนบุคคล, ผู้ประสานงานโครงการ)

เกณฑ์การพิจารณา

พิจารณาตัดสินโดยใช้หลักเกณฑ์ราคาและจะพิจารณาราคารวม

ข้อกำหนดทางเทคนิค

พัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ที่รองรับการขอรับรองตามมาตรฐาน ISO 27001:2022 โดยครอบคลุมการบริหารจัดการทรัพย์สินสารสนเทศ, การควบคุมทางกายภาพ, ระบบเครือข่าย, ระบบสํารองข้อมูล และความเสี่ยงที่เกี่ยวข้อง ที่สอดคล้องตามข้อกําหนด ISMS
ออกแบบและและปรับปรุงเอกสาร ISMS ให้สอดคล้องกับมาตรฐาน NIST Cybersecurity Framework เวอร์ชันล่าสุด

เงื่อนไขสัญญา

งวดที่ 1 ชําระเงินร้อยละ 20 ของจํานวนเงินในสัญญา เมื่อส่งมอบงานงวดที่ 1 และได้ตรวจรับเรียบร้อยแล้ว
งวดที่ 2 ชําระเงินร้อยละ 30 ของจํานวนเงินในสัญญา เมื่อส่งมอบงานงวดที่ 2 และได้ตรวจรับเรียบร้อยแล้ว
งวดที่ 3 ชําระเงินร้อยละ 50 ของจํานวนเงินในสัญญา เมื่อส่งมอบงานงวดที่ 3 และได้ตรวจรับเรียบร้อยแล้ว
หากผู้รับจ้างไม่สามารถทํางานให้แล้วเสร็จภายในเวลาที่กําหนดไว้ในสัญญา และผู้ว่าจ้างมิได้ บอกเลิกสัญญา ผู้รับจ้างจะต้องชําระค่าปรับให้แก่ผู้ว่าจ้างเป็นรายวัน ในอัตราร้อยละ 0.10 ของค่าจ้าง ตามสัญญานับถัดจากวันที่ครบกําหนดเวลาแล้วเสร็จของงานตามสัญญา
ผู้รับจ้างต้องรับประกันผลงานการพัฒนาระบบ ISMS เป็นระยะเวลา 2 ปี พร้อมจัดหาผู้ตรวจประเมิน ภายนอก (Certification Body) เพื่อตรวจติดตาม (surveillance audit) เป็นระยะเวลา 2 ปี
ผู้รับจ้างต้องดําเนินการให้คําปรึกษาและตรวจสอบความพร้อมของเอกสารที่เกี่ยวข้องกับ การดําเนินการ ตรวจประเมินภายใน และการตรวจประเมินภายนอก ระยะเวลา 3 ปี

คำถามที่พบบ่อย (FAQ)

ถาม: ขอบเขตของการพัฒนาระบบ ISMS ครอบคลุมถึงส่วนใดบ้าง?
ตอบ: ขอบเขตครอบคลุมการบริหารจัดการทรัพย์สินสารสนเทศ, การควบคุมทางกายภาพ, ระบบเครือข่าย, ระบบสํารองข้อมูล และความเสี่ยงที่เกี่ยวข้อง ที่สอดคล้องตามข้อกําหนด ISMS
ถาม: ผู้รับจ้างต้องจัดอบรมอะไรบ้าง?
ตอบ: ต้องจัดอบรมหลักสูตรข้อกําหนดของมาตรฐาน ISO/IEC 27001:2022, หลักสูตรการประยุกต์ใช้มาตรฐาน ISO/IEC 27001:2022, หลักสูตรการตรวจประเมินภายใน ISO/IEC 27001:2022, หลักสูตรมาตรฐานความมั่นคงปลอดภัยทางไซเบอร์ตามมาตรฐาน NIST Framework เวอร์ชันปัจจุบัน, และหลักสูตรสร้างความตระหนักรู้ (Cybersecurity Awareness Training)
ถาม: ผู้รับจ้างต้องส่งมอบเอกสารอะไรบ้างในงวดงานที่ 3?
ตอบ: ในงวดงานที่ 3 จะต้องส่งมอบเอกสาร ISMS ที่มีการจัดทำ, เอกสารการพัฒนามาตรฐาน NIST Cybersecurity Framework, เครื่องมือหรือ Template สำหรับบริหารจัดการระบบ ISMS, เอกสารการตรวจสอบภายใน, เอกสารการปรับปรุงแก้ไขมาตรการควบคุม, และเอกสารรับรองผลการตรวจประเมินตามมาตรฐานสากล ISO/IEC 27001:2022
ถาม: ผู้รับจ้างต้องทำอะไรบ้างเกี่ยวกับการตรวจประเมินภายนอก (External Audit)?
ตอบ: ผู้รับจ้างต้องจัดเตรียมเอกสารการตรวจประเมินตามมาตรฐาน ISMS และบุคลากรที่เกี่ยวข้องสำหรับการตรวจประเมินจากภายนอก (External Audit) เพื่อขอใบรับรองมาตรฐานจนกว่าจะผ่านการตรวจสอบ และได้รับเอกสารใบรับรองมาตรฐาน ISO/IEC 27001:2022 รวมถึงจัดหาผู้ตรวจประเมินภายนอก (Certification Body) เพื่อมาตรวจรับรองมาตรฐาน
ถาม: ผู้รับจ้างต้องรับผิดชอบค่าใช้จ่ายอะไรบ้าง?
ตอบ: ผู้รับจ้างต้องรับผิดชอบค่าใช้จ่ายทั้งหมดของโครงการ
ถาม: ระยะเวลารับประกันผลงานคือเท่าใด?
ตอบ: ผู้รับจ้างต้องรับประกันผลงานการพัฒนาระบบ ISMS เป็นระยะเวลา 2 ปี พร้อมจัดหาผู้ตรวจประเมิน ภายนอก (Certification Body) เพื่อตรวจติดตาม (surveillance audit) เป็นระยะเวลา 2 ปี
ถาม: ผู้รับจ้างต้องให้คำปรึกษาและตรวจสอบความพร้อมของเอกสารที่เกี่ยวข้องกับการตรวจประเมินเป็นระยะเวลานานเท่าใด?
ตอบ: ผู้รับจ้างต้องดําเนินการให้คําปรึกษาและตรวจสอบความพร้อมของเอกสารที่เกี่ยวข้องกับการดําเนินการ ตรวจประเมินภายใน และการตรวจประเมินภายนอก ระยะเวลา 3 ปี
ถาม: ผู้ยื่นข้อเสนอต้องมีผลงานที่เกี่ยวข้องกับ ISMS มูลค่าเท่าใด?
ตอบ: ผู้ยื่นข้อเสนอต้องยื่นหลักฐานผลงานที่เกี่ยวข้องกับการตรวจประเมินเพื่อให้การรับรองการ บริหารความมั่นคงปลอดภัยสารสนเทศ (ISMS) ตามมาตรฐาน ISO/IEC 27001 ที่ได้ดําเนินการแล้วเสร็จ อย่างน้อย 3 ผลงาน มีมูลค่าไม่ต่ํากว่า 1,000,000 บาทต่อสัญญา
ถาม: ผู้ยื่นข้อเสนอต้องมีประสบการณ์การจดทะเบียนบริษัทในประเทศไทยนานเท่าใด?
ตอบ: ผู้ยื่นข้อเสนอจะต้องยื่นหลักฐานข้อมูลการจดทะเบียนบริษัทในประเทศไทยมาเป็นเวลา ไม่ต่ํากว่า 5 ปี
ถาม: วงเงินงบประมาณของโครงการนี้คือเท่าใด?
ตอบ: วงเงินงบประมาณ 3,000,000 บาท (สามล้านบาทถ้วน) (รวมภาษีมูลค่าเพิ่มแล้ว)

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

2
ร่างขอบเขตของงาน (Terms of Reference : TOR) จ้างพัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
ตามมาตรฐาน ISO 27001:2022 และ NIST Cybersecurity Framework

หลักการและเหตุผล
กรมควบคุมโรค ได้รับรองมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Management Systems : ISMS) ตามมาตรฐาน ISO/IEC 27001:2013 ในปีงบประมาณ 2564 ตามขอบเขต การรับรองของห้องศูนย์ข้อมูล (Data Center) ประกอบด้วย 1) การบริการเครือข่ายสารสนเทศ (Network Management) 2) การบริการเครื่องคอมพิวเตอร์เสมือน (Virtual private server) 3) การให้บริการรับฝาก เครื่องแม่ข่าย (Co-location) 4) โครงสร้างพื้นฐานและสิ่งสนับสนุน (Infrastructure, Facilities and Supporting systems) และในปัจจุบันมีการกําหนดมาตรฐาน ISO/IEC 27001:2022 เป็นเวอร์ชันใหม่ที่มี การปรับปรุงให้สอดคล้องกับการดําเนินงานด้านการรักษาความมั่นคงปลอดภัยสารสนเทศที่เป็นปัจจุบัน
รวมถึงจัดทํามาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ NIST Cybersecurity Framework
ซึ่งสอดคล้องตามประมวลแนวปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
วัตถุประสงค์
เพื่อจัดจ้างผู้รับจ้างเข้าดําเนินการพัฒนาระบบระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
ตามมาตรฐาน ISO 27001:2022 และ NIST Cybersecurity Framework เพื่อสร้างมาตรฐานด้านการบริหาร จัดการศูนย์ข้อมูล (Data Center) กรมควบคุมโรค สอดคล้องตามนโยบายความมั่นคงปลอดภัยสารสนเทศ ทางไซเบอร์
คุณสมบัติผู้ยื่นข้อเสนอ
3.1 มีความสามารถตามกฎหมาย 3.2 ไม่เป็นบุคคลล้มละลาย
3.3 ไม่อยู่ระหว่างเลิกกิจการ
3.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบ ที่รัฐมนตรีว่าการกระทรวงการคลังกําหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศ
ของกรมบัญชีกลาง
3.5 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงาน
ของหน่วยงานของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้ง
คคลที่ผู้ทิ้งงานเป็น หุ้นส่วน ผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอํานาจในการดําเนินงานในกิจการของนิติบุคคลนั้นด้วย
3.6 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหาร พัสดุภาครัฐกําหนดในราชกิจจานุเบกษา
3.7 เป็นบุคคลธรรมดาหรือนิติบุคคล ผู้มีอาชีพรับจ้าง ดังกล่าว
3.8 ไม่เป็น…..
18/6/02
t
.
2
3.8 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่กรมควบคุมโรค ณ วันประกาศประกวดราคาอิเล็กทรอนิกส์ หรือไม่เป็นผู้กระทําการอันเป็นการขัดขวางการแข่งขัน อย่างเป็นธรรมในการประกวดราคาอิเล็กทรอนิกส์ครั้งนี้
3.9 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่ รัฐบาลของ ผู้ยื่นข้อเสนอได้มีคําสั่งให้สละเอกสิทธิ์ความคุ้มกันเช่นว่านั้น
3.10 ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติดังนี้
กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงระหว่างผู้เข้าร่วมค้าจะต้องมีการกําหนดสัดส่วนหน้าที่และความรับผิดชอบในปริมาณงานสิ่งของหรือ
มูลค่าตามสัญญาของผู้เข้าร่วมค้าหลักมากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก
กิจการร่วมค้านั้นต้องใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอ
สําหรับข้อตกลงระหว่างผู้เข้าร่วมค้าที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก
ผู้เข้าร่วมค้าทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่กําหนดไว้ในเอกสารเชิญชวน
กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากําหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่งเป็น
ผู้ยื่นข้อเสนอ ในนามกิจการร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอํานาจ
สําหรับข้อตกลงระหว่างผู้เข้าร่วมค้าที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอ
ผู้เข้าร่วมค้าทุกรายจะต้องลงลายมือชื่อในหนังสือมอบอํานาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอ
ในนามกิจการร่วมค้า
3.11 ผู้ยื่นข้อเสนอต้องลงทะเบียนที่มีข้อมูลถูกต้องครบถ้วนในระบบจัดซื้อจัดจ้างภาครัฐ ด้วยอิเล็กทรอนิกส์ (Electronic Government Procurement : e - GP) ของกรมบัญชีกลาง
3.12 ผู้ยื่นข้อเสนอต้องมีมูลค่าของกิจการ ดังนี้
3.12.1 กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคล ให้พิจารณาดังนี้
3.12.1.1 กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย/กฎหมาย ต่างประเทศ ซึ่งได้จดทะเบียน เกินกว่า 1 ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิ หักด้วยหนี้สินสุทธิที่ปรากฏในงบ แสดงฐานะการเงินที่มีการตรวจรับรองแล้ว ของ 1 ปีสุดท้ายก่อนวัน ยื่นข้อเสนอ ซึ่งจะต้องแสดงค่าเป็นบวก
3.12.1.2 กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย/กฎหมาย
ต่างประเทศ ซึ่งยังไม่มี การรายงานงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ให้พิจารณาการกําหนด มูลค่าของทุนจดทะเบียน โดยผู้ยื่นข้อเสนอจะต้องมีทุนจดทะเบียนที่เรียกชําระมูลค่าหุ้นแล้ว ณ วันที่ ยื่นข้อเสนอ ต้องมีทุนจดทะเบียน ไม่ต่ํากว่า 1 ล้านบาท
3.12.2 กรณีผู้ยื่นข้อเสนอเป็นบุคคลธรรมดาถือสัญชาติไทย/บุคคลธรรมดาที่มิได้ถือสัญชาติไทย
ให้พิจารณาจากหนังสือรับรองบัญชีเงินฝาก โดยต้องมีเงินฝากคงเหลือในบัญชีธนาคารเป็น
มูลค่า ไม่น้อยกว่า 1 ใน 2 ของมูลค่างบประมาณของโครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้งและหาก เป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ได้รับการคัดเลือก จะต้องแสดงหนังสือรับรองบัญชีเงินฝากที่มีมูลค่า ดังกล่าว อีกครั้งหนึ่งในวันลงนามในสัญญา ทั้งนี้ หนังสือรับรองบัญชีเงินฝากซึ่งธนาคารออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวันยื่นข้อเสนอหรือวันลงนามในสัญญา ไม่เกิน 90 วัน
3.12.3 กรณี…
3
3.12.3 กรณีที่ผู้ยื่นข้อเสนอมีคุณสมบัติไม่เป็นไปตามข้อ 3.12.1.1 ข้อ 3.12.1.2 และข้อ 3.12.2 ผู้ยื่นข้อเสนอสามารถขอหนังสือรับรองวงเงินสินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุน หรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจ
ค้ําประกันตามประกาศของธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทย
แจ้งเวียนให้ทราบ หรือเป็นสินเชื่อที่ธนาคารต่างประเทศหรือบริษัทเงินทุนหรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับ อนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้ําประกันตามประกาศของธนาคารกลาง ของประเทศนั้นตามรายชื่อบริษัทเงินทุนที่ธนาคารกลางของประเทศนั้นแจ้งเวียนให้ทราบโดยพิจารณา
จากยอดเงินรวม ของวงเงินสินเชื่อที่สํานักงานใหญ่รับรอง หรือที่สํานักงานสาขารับรอง (กรณีได้รับมอบอํานาจ จากสํานักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวันยื่นข้อเสนอไม่เกิน 90 วัน โดยต้องมีวงเงินสินเชื่อจาก ธนาคารไม่น้อยกว่า 1 ใน 4 ของมูลค่างบประมาณของโครงการหรือรายการที่ยืนข้อเสนอในแต่ละครั้ง ทั้งนี้ สําหรับธนาคาร ภายในประเทศหนังสือรับรองวงเงินสินเชื่อให้เป็นไปตามแบบที่กําหนด
3.12.4 กรณีนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศและบุคคลธรรมดาที่มิได้ ถือสัญชาติไทย ตามข้อ 3.12.1.2 ข้อ 3.12.2 และข้อ 3.12.3 มูลค่าจะต้องเป็นไปตามอัตราแลกเปลี่ยนเงินตรา ตามประกาศที่ ธนาคารแห่งประเทศไทยกําหนด ในช่วงระหว่างวันที่เผยแพร่ประกาศและเอกสารเชิญชวน ในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (e - GP) หรือมีหนังสือเชิญชวน จนถึงวันเสนอราคา
ขอบเขตของงานที่จะดําเนินการจัดจ้าง
4.1 การพัฒนาระบบและแผนการดําเนินงาน
4.1.1 จัดทําแผนและกรอบแนวทางในการพัฒนาระบบ ISMS โดยใช้เครื่องมือที่เหมาะสม เช่น Gantt Chart, กําหนดกิจกรรม วันที่ และวัตถุประสงค์เบื้องต้นของกิจกรรมนั้น ๆ เพื่อให้
กรมควบคุมโรคสามารถติดตามความคืบหน้าและเตรียมความพร้อมในการพัฒนาระบบ
ISMS
4.1.2 จัดประชุมเริ่มงาน (Kick off Meeting) เพื่อนําเสนอแผนการดําเนินงานให้กรมควบคุมโรค 4.2 การพัฒนาโครงสร้างทีม ISMS
จัดทําโครงสร้างทีมงานสําหรับบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Committee) และทีมตรวจสอบภายใน (Internal ISMS Auditor) โดยต้องประกอบด้วย การกําหนดให้มีหน้าที่ และบทบาทที่ชัดเจนในการพัฒนาระบบ ISMS
4.3 การดําเนินการพัฒนาระบบ ISMS
4.3.1 พัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ที่รองรับการขอรับรอง ตามมาตรฐาน ISO 27001:2022 โดยครอบคลุมการบริหารจัดการทรัพย์สินสารสนเทศ, การควบคุมทางกายภาพ, ระบบเครือข่าย, ระบบสํารองข้อมูล และความเสี่ยงที่เกี่ยวข้อง ที่สอดคล้องตามข้อกําหนด ISMS
4.3.2 จัดทําการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ, การจัดทําแผน การลดความเสี่ยง และการจัดการการเปลี่ยนแปลงที่สอดคล้องตามข้อกําหนด ISMS
4.3.3 จัดให้…
4.3.3 จัดให้มีการซ้อมแผนรับมือภัยคุกคามทางไซเบอร์ จํานวน 1 ครั้ง ตามที่กรมควบคุมโรคกําหนด 4.4 การจัดทําเอกสารและคู่มือ
4.4.1
จัดทําเอกสารการพัฒนา ISMS, แผนการควบคุมเอกสาร, นโยบายความมั่นคงปลอดภัย สารสนเทศ, คู่มือระบบ ISMS และขั้นตอนการบริหารความเสี่ยงต่าง ๆ
4.4.2 จัดทําเอกสารขั้นตอนการปฏิบัติการที่เกี่ยวข้อง เช่น การควบคุมเอกสาร, การบริหารจัดการ
สิทธิการเข้าถึง, การสํารองข้อมูล และแผนสํารองฉุกเฉิน ที่ครอบคลุมด้านการพัฒนา ISMS 4.4.3 ต้องจัดทํา Master list กระบวนการพัฒนาและจัดการระบบความมั่นคงปลอดภัยสารสนเทศ (ISMS) เพื่อให้การบริหารจัดการทรัพย์สินสารสนเทศ, การควบคุมเอกสาร, และการ ดําเนินการต่าง ๆ เป็นไปอย่างมีระเบียบและสามารถตรวจสอบได้ง่าย
4.4.4 จัดทําเอกสารสรุปมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล (Statement of
Applicability)
4.5 การพัฒนาการตรวจประเมินและวิเคราะห์ความเสี่ยง
4.5.1
ออกแบบเครื่องมือในการดําเนินการตรวจประเมินความเสี่ยงด้านความมั่นคงปลอดภัย
สารสนเทศ (Information Security Risk Assessment)
4.5.2 จัดทํารายงานการวิเคราะห์ความเสี่ยง รวมถึงวิธีการควบคุมเพื่อลดความเสี่ยงและ
แผนการพัฒนาเพื่อลดความเสี่ยง
4.5.3 ดําเนินการตรวจสอบช่องโหว่ (Vulnerability Assessment) ไม่น้อยกว่า 10 IP Addresses
ตามที่กรมควบคุมโรคกําหนด
4.6 การพัฒนาและฝึกอบรม
4.6.1 ต้องจัดอบรมหลักสูตรข้อกําหนดของมาตรฐาน ISO/IEC 27001:2022 สําหรับคณะกรรมการ บริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ระยะเวลาไม่น้อยกว่า 3 ชั่วโมง จํานวนไม่น้อยกว่า 5 คน
4.6.2 ต้องจัดอบรมหลักสูตรการประยุกต์ใช้มาตรฐาน ISO/IEC 27001:2022 สําหรับคณะทํางาน บริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ระยะเวลาไม่น้อยกว่า 1 วัน จํานวนไม่น้อย
กว่า 5 คน
4.6.3 ต้องจัดอบรมหลักสูตรการตรวจประเมินภายใน ISO/IEC 27001:2022 สําหรับคณะทํางาน
ตรวจประเมินภายใน ระยะเวลาไม่น้อยกว่า 2 วัน จํานวนไม่น้อยกว่า 5 คน
4.6.4 ต้องจัดอบรมหลักสูตรมาตรฐานความมั่นคงปลอดภัยทางไซเบอร์ตามมาตรฐาน NIST Framework เวอร์ชันปัจจุบัน ระยะเวลาไม่น้อยกว่า 1 วัน จํานวนไม่น้อยกว่า 5 คน 4.6.5 ต้องจัดอบรมหลักสูตรสร้างความตระหนักรู้ (Cybersecurity Awareness Training)
ระยะเวลาไม่น้อยกว่า 1 วัน จํานวนไม่น้อยกว่า 50 คน
4.7 การตรวจประเมินและการรับรองผล
4.7.1 จัดเตรียมเอกสารที่เกี่ยวข้องกับการตรวจประเมินภายใน (Internal Audit) และจัดทํา
เอกสารการแก้ไขประเด็นความไม่สอดคล้อง
4.7.2 จัดเตรียม…
1
2
5
4.7.2 จัดเตรียมเอกสารการตรวจประเมินตามมาตรฐาน ISMS และบุคลากรที่เกี่ยวข้อง สําหรับการ ตรวจประเมินจากภายนอก (External Audit) เพื่อขอใบรับรองมาตรฐานจนกว่าจะผ่านการ ตรวจสอบ และได้รับเอกสารใบรับรองมาตรฐาน ISO/IEC 27001:2022
4.7.3 จัดหาผู้ตรวจประเมินภายนอก (Certification Body) เพื่อมาตรวจรับรองมาตรฐาน ISO/IEC
27001:2022
4.8 การพัฒนามาตรฐาน NIST Cybersecurity Framework
4.8.1 ออกแบบและและปรับปรุงเอกสาร ISMS ให้สอดคล้องกับมาตรฐาน NIST Cybersecurity
Framework เวอร์ชันล่าสุด
4.8.2 พัฒนากระบวนการจัดการความมั่นคงปลอดภัยสารสนเทศให้สอดคล้องกับมาตรฐาน NIST
Cybersecurity Framework
4.9 การพัฒนาเครื่องมือและ Template
4.9.1
ออกแบบและพัฒนาเครื่องมือหรือ Template ที่ใช้ในการจัดการความมั่นคงปลอดภัย สารสนเทศ เช่น ระบบการควบคุมเอกสาร, การจัดการทรัพย์สิน, การบริหารความเสี่ยง, การประเมินช่องโหว่ เป็นต้น
4.9.2 จัดทําเอกสารคู่มือที่ช่วยให้การใช้งานและการบํารุงรักษาเครื่องมือหรือ Template ดังกล่าว
เป็นไปได้อย่างต่อเนื่องในอนาคต
4.10 จัดหาบุคลากรเพื่อสนับสนุนในการพัฒนามาตรฐานสากล ISO/IEC 27001:2022 โดยมีรายละเอียด
ดังนี้
ลําดับ
ตําแหน่ง
1 ผู้จัดการโครงการ
คุณสมบัติ
จบการศึกษาระดับปริญญาโท ด้านวิศวกรรม คอมพิวเตอร์ เทคโนโลยีสารสนเทศ การบริหารจัดการ เทคโนโลยีสารสนเทศ หรือที่เกี่ยวข้อง

มีประสบการณ์ในการบริหารงานโครงการที่
เกี่ยวข้องกับ ISO 27001 ไม่น้อยกว่า 5 ปี
ได้รับประกาศนียบัตร ISO 27001 Lead Auditor และ Certified Information Security Manager (CISM)
ผู้เชี่ยวชาญอาวุโสด้านการบริหารจัดการ - จบการศึกษาระดับปริญญาโท ด้านวิศวกรรม
2
ความมั่นคงปลอดภัยสารสนเทศ
คอมพิวเตอร์ เทคโนโลยีสารสนเทศ การบริหารด้าน เทคโนโลยีสารสนเทศ หรือที่เกี่ยวข้อง
มีประสบการณ์ในการบริหารงานโครงการที่
เกี่ยวข้องกับ ISO 27001 ไม่น้อยกว่า 5 ปี
ได้รับประกาศนียบัตร ISO 27001 Lead
Implementer a Certified Information
Systems Security Professional (CISSP)
จํานวน
(คน)
1
1
ลําดับ…
6
ลําาดับ
3
4
เก
ตําแหน่ง
คุณสมบัติ
ผู้เชี่ยวชาญด้านการบริหารจัดการความ - จบการศึกษาระดับปริญญาโท ด้านวิศวกรรม
มันคงปลอดภัยสารสนเทศ
ผู้เชี่ยวชาญด้านการตรวจสอบช่องโหว่
คอมพิวเตอร์ เทคโนโลยีสารสนเทศ การบริหาร เทคโนโลยีสารสนเทศ หรือที่เกี่ยวข้อง
มีประสบการณ์ในการบริหารงานโครงการที่
เกี่ยวข้องกับ ISO 27001 ไม่น้อยกว่า 3 ปี
ได้รับประกาศนียบัตร ISO 27001 Lead Auditor
หรือ ISO 27001 Lead Implementer
จบการศึกษาระดับปริญญาตรี ด้านเทคโนโลยี สารสนเทศ ความมั่นคงปลอดภัยสารสนเทศ หรือที่ เกี่ยวข้อง
มีประสบการณ์การทดสอบเจาะระบบและตรวจ
ประเมินความเสี่ยงไม่น้อยกว่า 3 ปี
-ได้รับประกาศนียบัตรด้านการรักษาความมั่นคง
ปลอดภัยสารสนเทศ ได้แก่ OSCP, GPEN, CEH อย่างน้อย 1 ประกาศนียบัตร
ผู้เชี่ยวชาญด้านการจัดการตรวจสอบ - จบการศึกษาระดับปริญญาตรี ด้านกฎหมาย
ข้อมูลส่วนบุคคล
6 ผู้ประสานงานโครงการ
มีประสบการณ์ในการทํางานโครงการที่เกี่ยวข้องกับ
ISO 27001 ไม่น้อยกว่า 3 ปี
ได้รับประกาศนียบัตร GDPR Foundation หรือ CIPM S Data Protection Officer (DPO)
Certification อย่างน้อย 1 ประกาศนียบัตร
จบการศึกษาระดับปริญญาตรี ด้านเทคโนโลยี สารสนเทศ, บริหารธุรกิจคอมพิวเตอร์ หรือสาขาที่ เกี่ยวข้องกับคอมพิวเตอร์
มีประสบการณ์ในการประสานงานโครงการ ไม่น้อย
กว่า 1 ปี
จํานวน
(คน)
2
1
1
1

เงื่อนไขอื่น ๆ
5.1. ผู้รับจ้างต้องรับผิดชอบค่าใช้จ่ายทั้งหมดของโครงการ
5.2. ผู้รับจ้างต้องรับประกันผลงานการพัฒนาระบบ ISMS เป็นระยะเวลา 2 ปี พร้อมจัดหาผู้ตรวจประเมิน
ภายนอก (Certification Body) เพื่อตรวจติดตาม (surveillance audit) เป็นระยะเวลา 2 ปี
5.3. ผู้รับจ้างต้องดําเนินการให้คําปรึกษาและตรวจสอบความพร้อมของเอกสารที่เกี่ยวข้องกับ
การดําเนินการ ตรวจประเมินภายใน และการตรวจประเมินภายนอก ระยะเวลา 3 ปี
กําหนดเวลาส่งมอบพัสดุ
ผู้รับจ้างต้องดําเนินการให้แล้วเสร็จภายใน 150 วัน นับถัดจากวันลงนามในสัญญา แก่กรมควบคุมโรค ณ กองดิจิทัลเพื่อการควบคุมโรค ชั้น 3 อาคาร 2 กรมควบคุมโรค ตําบลตลาดขวัญ อําเภอเมือง จังหวัดนนทบุรี ในรูปแบบรายงานเอกสารจํานวน 1 ชุด และบันทึก Flash Drive จํานวน 1 ชุด โดยกําหนดการส่งมอบงานเป็น 3 งวด มีรายละเอียดดังนี้
1
6.1 งวดงาน…
7
6.1 งวดงานที่ 1 ภายใน 30 วัน นับถัดจากวันลงนามในสัญญา

แผนการดําเนินงานโครงการ ตามข้อ 4.1
เอกสารโครงสร้างทีมงานสําหรับบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Committee) และทีมตรวจสอบภายใน (Internal ISMS Auditor) โดยต้องประกอบด้วย การกําหนดให้มีหน้าที่ และบทบาท ตามข้อ 4.2
แผนการฝึกอบรม ตามข้อ 4.6
6.2 งวดงานที่ 2 ภายใน 90 วัน นับถัดจากวันลงนามในสัญญา

เอกสารผลการประเมินความเสี่ยง และ รายงานการซ้อมแผนรับมือภัยคุกคามทางไซเบอร์ ตามข้อ 4.3 ผลการออกแบบเครื่องมือในการการประเมินความเสี่ยง ที่สอดคล้องตามข้อกําหนด ISMS ตามข้อ
4.5.1 และ 4.3.2

รายงานผลการทดสอบเจาะระบบ ตามข้อ 4.5.3
เอกสารประกอบการฝึกอบรม และรายงานผลการอบรมแต่ละหลักสูตร ตามข้อ 4.2 - เอกสารการทบทวนและปรับปรุง SOA
จัดทํารายงานการวิเคราะห์ความเสี่ยง รวมถึงวิธีการควบคุมเพื่อลดความเสี่ยงและแผนการพัฒนา เพื่อลดความเสี่ยง ตามข้อ 4.5.2
6.3 งวดงานที่ 3 ภายใน 150 วัน นับถัดจากวันลงนามในสัญญา
ตามข้อ 4.9
เอกสาร ISMS ที่มีที่มีการจัดทํา ตามข้อ 4.4 ดังนี้
4.4.1 เอกสารการพัฒนา ISMS, แผนการควบคุมเอกสาร, นโยบายความมั่นคงปลอดภัย สารสนเทศ, คู่มือระบบ ISMS และขั้นตอนการบริหารความเสี่ยงต่าง ๆ
4.4.2 เอกสารขั้นตอนการปฏิบัติการที่เกี่ยวข้อง เช่น การควบคุมเอกสาร, การบริหาร จัดการสิทธิการเข้าถึง, การสํารองข้อมูล และแผนสํารองฉุกเฉิน ที่ครอบคลุมด้านการ
พัฒนา ISMS
4.4.3 เอกสาร Master list กระบวนการพัฒนาและจัดการระบบความมั่นคงปลอดภัย สารสนเทศ (ISMS) เพื่อให้การบริหารจัดการทรัพย์สินสารสนเทศ, การควบคุมเอกสาร, และการดําเนินการต่าง ๆ
4.4.4 เอกสารสรุปมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล (Statement of Applicability)
เอกสารการพัฒนามาตรฐาน NIST Cybersecurity Framework ตามข้อ 4.8
ส่งมอบเครื่องมือหรือ Template สําหรับบริหารจัดการระบบ ISMS ที่ผ่านการทดสอบการใช้งาน
เอกสารการตรวจสอบภายในระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Internal ISMS Auditor) เอกสารการปรับปรุงแก้ไขมาตรการควบคุม (Corrective and Preventive actions) รวมทั้ง ดําเนินการร่วมกับคณะทํางานหรือเจ้าหน้าที่ที่เกี่ยวข้องในการติดตามการแก้ไขข้อบกพร่อง (Corrective Action Request: CAR) ที่ตรวจพบจากผลการตรวจสอบภายใน
เอกสาร…
เอกสารรับรองผลการตรวจประเมินตามมาตรฐานสากล ISO/IEC 27001:2022
เอกสารรับประกันผลงาน 2 ปี ตามข้อ 5.2

หลักเกณฑ์ในการพิจารณาคัดเลือกข้อเสนอ
พิจารณาตัดสินโดยใช้หลักเกณฑ์ราคาและจะพิจารณาราคารวม
วงเงินงบประมาณ/วงเงินที่ได้รับจัดสรร
วงเงินงบประมาณ 3,000,000 บาท (สามล้านบาทถ้วน) (รวมภาษีมูลค่าเพิ่มแล้ว) เบิกจ่ายจากงบประมาณ กองดิจิทัลเพื่อการควบคุมโรค ประจําปีงบประมาณ พ.ศ. 2568 โครงการพัฒนาระบบดิจิทัลเพื่อสนับสนุนการ ขับเคลื่อนการเฝ้าระวังและการเตือนภัยด้านสุขภาพ (กองดิจิทัลเพื่อการควบคุมโรค) โครงการย่อยที่ 8 โครงการ พัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ตามมาตรฐาน ISO 27001:2022 และ NIST Cybersecurity ผลผลิตที่ 8 กิจกรรมหลักที่ 8.6 กิจกรรมที่ 1 พัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ตามมาตรฐาน ISO 27001:2022 และ NIST Cybersecurity Framework
งวดงานและการจ่ายเงิน
กําหนดงวดงาน 3 งวด โดยผู้ว่าจ้างจะจ่ายเงินค่าจ้าง ซึ่งได้รวมภาษีมูลค่าเพิ่ม ตลอดจนภาษีอากรอื่น ๆ และค่าใช้จ่ายทั้งปวงแล้วให้แก่ผู้รับจ้าง เมื่อผู้รับจ้างได้ส่งมอบงานจ้าง และคณะกรรมการตรวจรับพัสดุ ได้ตรวจรับมอบงานจ้างไว้เรียบร้อยแล้ว ดังนี้
งวดที่ 1 ชําระเงินร้อยละ 20 ของจํานวนเงินในสัญญา เมื่อส่งมอบงานงวดที่ 1 และได้ตรวจรับเรียบร้อยแล้ว งวดที่ 2 ชําระเงินร้อยละ 30 ของจํานวนเงินในสัญญา เมื่อส่งมอบงานงวดที่ 2 และได้ตรวจรับเรียบร้อยแล้ว งวดที่ 3 ชําระเงินร้อยละ 50 ของจํานวนเงินในสัญญา เมื่อส่งมอบงานงวดที่ 3 และได้ตรวจรับเรียบร้อยแล้ว
อัตราค่าปรับ
หากผู้รับจ้างไม่สามารถทํางานให้แล้วเสร็จภายในเวลาที่กําหนดไว้ในสัญญา และผู้ว่าจ้างมิได้ บอกเลิกสัญญา ผู้รับจ้างจะต้องชําระค่าปรับให้แก่ผู้ว่าจ้างเป็นรายวัน ในอัตราร้อยละ 0.10 ของค่าจ้าง ตามสัญญานับถัดจากวันที่ครบกําหนดเวลาแล้วเสร็จของงานตามสัญญาหรือวันที่ ผู้ว่าจ้างได้ขยายเวลาทํางาน ให้จนถึงวันที่ทํางานแล้วเสร็จจริง นอกจากนี้ผู้รับจ้างยอมให้ผู้ว่าจ้าง เรียกค่าเสียหายอันเกิดขึ้นจากการที่ ผู้รับจ้างทํางานล่าช้าเฉพาะส่วนที่เกินกว่าจํานวนค่าปรับดังกล่าวได้อีกด้วย ในระหว่างที่ผู้ว่าจ้างยังมิได้บอกเลิก สัญญานั้น หากผู้ว่าจ้างเห็นว่าผู้รับจ้าง จะไม่สามารถปฏิบัติตามสัญญาต่อไปได้ ผู้ว่าจ้างจะใช้สิทธิบอกเลิก สัญญาและใช้สิทธิก็ได้ และถ้าผู้ว่าจ้างขอเรียกร้องไปยังผู้รับจ้างเมื่อครบกําหนดเวลาแล้วเสร็จของงาน ขอให้ชําระค่าปรับแล้ว ผู้ว่าจ้างมีสิทธิที่ปรับผู้รับจ้างจนถึงวันบอกเลิกสัญญาได้อีกด้วย
การกําหนดระยะเวลารับประกันความชํารุดบกพร่อง
น
เมื่องานแล้วเสร็จบริบูรณ์ และผู้ว่าจ้าง ได้รับมอบงาน จากผู้รับจ้าง หรือจากผู้รับจ้างรายใหม่ ในกรณี ที่มีการบอกเลิกสัญญา หากมีเหตุชํารุด บกพร่อง หรือ เสียหายเกิดขึ้นจากการจ้างนี้ภายในกําหนด 2 (สอง) ปี นับถัดจากวันที่ได้รับมอบงานดังกล่าว ซึ่งความชํารุดบกพร่อง หรือเสียหายนั้น เกิดจากความบกพร่องของ ผู้รับจ้าง อันเกิดจากการใช้วัสดุที่ไม่ถูกต้อง หรือทําไว้ไม่เรียบร้อยหรือทําไม่ถูกต้องตามมาตรฐานแห่งหลักวิชา
ผู้รับจ้าง…
.
ผู้รับจ้างจะต้องรีบทําการแก้ไขให้เป็นที่เรียบร้อยโดยไม่ชักช้า โดยผู้ว่าจ้างไม่ต้องออกเงินใด ๆ ในการนี้ทั้งสิ้น หากผู้รับจ้างบิดพลิ้วไม่กระทําการดังกล่าว ภายในกําหนด 15 วัน นับแต่วันที่ได้แจ้งเป็นหนังสือจากผู้ว่าจ้าง หรือไม่ทําการแก้ไขให้ถูกต้องเรียบร้อย
ภายในเวลาที่ผู้ว่าจ้างกําหนดให้ผู้ว่าจ้างมีสิทธิที่จะทําการนั้นเอง หรือจ้างผู้อื่นให้ทําางานนั้นโดย
ผู้รับจ้างต้องเป็นผู้ออกค่าใช้จ่ายเองทั้งสิ้น
ในกรณีเร่งด่วนจําเป็นต้องรีบแก้ไขเหตุชํารุดบกพร่องหรือเสียหายโดยเร็ว และไม่อาจรอให้ผู้รับจ้าง
แก้ไขในระยะเวลาที่กําหนดไว้ตามวรรคหนึ่งได้
ผู้ว่าจ้างมีสิทธิเข้าจัดการแก้ไขเหตุชํารุดบกพร่องหรือเสียหาย
นั้นเอง หรือจ้างผู้อื่นให้ซ่อมแซมความชํารุดบกพร่องหรือเสียหาย โดยผู้รับจ้างต้องรับผิดชอบชําระค่าใช้จ่าย
ทั้งหมด
การที่ผู้ว่าจ้างทําการนั้นเอง หรือจ้างผู้อื่นให้ทํางานนั้นแทนผู้รับจ้าง ไม่ทําให้ผู้รับจ้างหลุดพ้น จากความรับผิดตามสัญญา หากผู้รับจ้างไม่ชดใช้ค่าใช้จ่าย หรือค่าเสียหายตามที่ผู้ว่าจ้างเรียกร้องผู้ว่าจ้าง
มีสิทธิบังคับจากหลักประกันการปฏิบัติตามสัญญาได้
คุณสมบัติด้านความมั่นคงปลอดภัยสารสนเทศ (IT Security Specification)
12.1 ผู้รับจ้างต้องตระหนักถึงการรักษาความปลอดภัยในข้อมูลและทรัพย์สิน รวมทั้งความปลอดภัย ของบุคลากรของกรมควบคุมโรค และปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศ กรมควบคุมโรคอย่างเคร่งครัด
ๆ
12.2 ผู้รับจ้างต้องไม่เปิดเผยความลับ รวมทั้งเงื่อนไขอื่นหรือข้อกําหนดต่าง ๆ ที่เกี่ยวข้อง กับการไม่เปิดเผยความลับของข้อมูลสําคัญของกรมควบคุมโรค และต้องยินยอมให้กรมควบคุมโรค หรือหน่วยงานภายนอกที่กรมควบคุมโรคมอบหมาย หรือหน่วยงานกํากับดูแล กรมควบคุมโรคมีสิทธิ์
ในการเข้าตรวจสอบการทํางาน รวมถึงสิทธิ์ในการเรียกดูข้อมูลที่เกี่ยวข้อง
12.3 ห้ามนําอุปกรณ์ที่ไม่ได้รับอนุญาตมาต่อเชื่อมกับระบบเครือข่ายสื่อสารของกรมควบคุมโรค หรือทําการเชื่อมต่อจากระบบเครือข่ายสื่อสารของกรมควบคุมโรคไปยังเครือข่ายสื่อสารภายนอก
และห้ามเคลื่อนย้ายอุปกรณ์ของกรมควบคุมโรคโดยเด็ดขาด เว้นแต่ได้รับอนุญาตโดยการดําเนินการดังกล่าว
กรมควบคุมโรคจะจัดให้มีเจ้าหน้าที่ ติดตามควบคุมทุกครั้ง
12.4 ข้อมูลและสื่อบันทึกข้อมูลที่จัดเก็บอยู่ในลําดับชั้นความลับขึ้นไป ห้ามนําออกไปใช้งาน
โดยไม่ได้รับอนุญาตจากกรมควบคุมโรคโดยเด็ดขาด
12.5 ซอฟต์แวร์ทุกประเภทที่นํามาใช้กับงานกับกรมควบคุมโรคต้องมีลิขสิทธิ์ใช้งานถูกต้องตาม กฎหมายและต้องไม่มีโปรแกรมแอบแฝงหรือโปรแกรมมุ่งร้ายใด ๆ ฝังตัวอยู่และหากกรมควบคุมโรคตรวจ พบว่ามีโปรแกรมดังกล่าว และได้ก่อให้เกิดความเสียหายต่อระบบงาน ระบบคอมพิวเตอร์และระบบเครือข่าย สื่อสารของกรมควบคุมโรค ผู้รับจ้างข้อเสนอต้องรับผิดชอบต่อความเสียหายที่เกิดขึ้นทั้งหมด
12.6 ผู้รับจ้างต้องแจ้งรายชื่อผู้เข้ามาปฏิบัติงานต่อกรมควบคุมโรคก่อนเข้าพื้นที่ควบคุมความ ปลอดภัยห้ามนําบุคคลภายนอกที่ไม่มีรายชื่อนอกเหนือจากที่ได้แจ้งไว้ก่อนเข้าพื้นที่ควบคุมความปลอดภัยโดย เด็ดขาดและต้องควบคุมการปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
ของกรมควบคุมโรค อย่างเคร่งครัด
เงื่อนไข…
10
เงื่อนไขการเสนอราคา
13.1 ผู้ยื่นข้อเสนอต้องยื่นหลักฐานผลงานที่เกี่ยวข้องกับการตรวจประเมินเพื่อให้การรับรองการ บริหารความมั่นคงปลอดภัยสารสนเทศ (ISMS) ตามมาตรฐาน ISO/IEC 27001 ที่ได้ดําเนินการแล้วเสร็จ และเป็นคู่สัญญาโดยตรงกับหน่วยงานของรัฐ หรือรัฐวิสาหกิจ หรือเอกชน อย่างน้อย 3 ผลงาน มีมูลค่าไม่ต่ํากว่า 1,000,000 บาทต่อสัญญา ภายในระยะเวลาไม่เกิน 3 ปี นับย้อนหลังจากวันที่ยื่นซองข้อเสนอ การประกวดราคาจ้างในครั้งนี้ โดยต้องมีหนังสือรับรองผลงานที่ระบุระยะเวลาการเริ่มและสิ้นสุด ของงานจ้าง หรือสําเนาสัญญา หรือใบสั่งจ้าง และขอบเขตของงาน (TOR)
13.2 ผู้ยื่นข้อเสนอจะต้องยื่นหลักฐานข้อมูลการจดทะเบียนบริษัทในประเทศไทยมาเป็นเวลา ไม่ต่ํากว่า 5 ปี
13.3 ผู้ยื่นข้อเสนอต้องยื่นหลักฐานแสดงข้อมูลบุคลากรผู้เชี่ยวชาญด้านการดําเนินการ ตามมาตรฐานสากล ISO/IEC 27001:2022 ตามข้อ 4.10
13.4 ผู้ยื่นข้อเสนอต้องยื่นแผนและกรอบแนวทางในการดําเนินงานโครงการ (Gantt Chart)
ภายใต้ขอบเขตการดําเนินจ้างพัฒนา ISO 27001:2022
13.5 ผู้ยื่นข้อเสนอจะต้องทําตารางเปรียบเทียบรายละเอียดและเงื่อนไขเฉพาะต่อข้อกําหนดและรายละเอียด
คุณลักษณะเฉพาะเป็นรายข้อทุกข้อของเอกสารโครงการฯ โดยใช้ตัวอย่างแบบฟอร์มการเปรียบเทียบ
ในการเปรียบเทียบรายการดังกล่าวหากมีกรณีที่ต้องมีการอ้างอิงข้อความหรือเอกสารในส่วนอื่นที่จัดทําเสนอมา ผู้รับจ้างต้องระบุให้เห็นอย่างชัดเจนสามารถตรวจสอบได้โดยง่ายไว้ในเอกสารเปรียบเทียบด้วยว่า สิ่งที่ต้อง การอ้างอิงถึงนั้นอยู่ในส่วนใดตําแหน่งใดของเอกสารอื่น ๆ ที่จัดทําเสนอมา สําหรับเอกสารที่อ้างอิงถึงให้หมายเหตุ หรือขีดเส้นใต้ระบายสีพร้อมเขียนหัวข้อกํากับไว้เพื่อให้สามารถตรวจสอบกับเอกสารเปรียบเทียบได้ง่าย
และตรงกันด้วย พร้อมแสดงหลักฐานในวันที่ยื่นข้อเสนอ
ตัวอย่างรูปแบบตารางเปรียบเทียบคุณสมบัติข้อกําหนดและรายละเอียดข้อเสนอโครงการฯ
ข้อกําหนด/อุปกรณ์ที่นําเสนอ เอกสารอ้างอิง
ระบุหัวข้อ
รายละเอียดฯ
ที่กรมควบคุมโรคกําหนด
ระบุข้อและชื่อ ให้คัดลอกคุณลักษณะ

ยี่ห้อผลิตภัณฑ์ที่เสนอ
ระบุหมายเลข
รายการให้ตรง เฉพาะที่กรมควบคุมโรค
แสดงรายละเอียดของผลิตภัณฑ์ที่ หน้า, ข้อ
ตามรายละเอียด กําหนดมากรอกในช่องนี้
นําเสนอให้ตรงกับหัวข้อที่กรมฯ
คุณลักษณะแต่
ของเอกสารอ้างอิง
กําหนดในแต่ละหัวข้อ หาคุณสมบัติ
ละข้อ
ของบริษัทฯ
ในข้อใดไม่มี ให้พิมพ์ ในข้อที่ไม่มี

เอกสารตามข้อ 13.1, 13.2, 13.3, 13.4 และ 13.5 ต้องแนบในวันยื่นข้อเสนอ