ประกวดราคาจ้างตรวจสอบและประเมินความปลอดภัยของเครื่องคอมพิวเตอร์แม่ข่าย

• ตรวจสอบและประเมินความปลอดภัยของเครื่องคอมพิวเตอร์แม่ข่ายของ ทอท.
• ค้นหาช่องโหว่และจุดอ่อนของระบบที่อาจถูกโจมตีได้
• ปรับปรุงแก้ไขการตั้งค่ามาตรฐานด้านความมั่นคงปลอดภัยของระบบ
• จัดทำรายงานและข้อเสนอแนะในการปรับปรุงแก้ไขระบบ
• ถ่ายทอดความรู้และทักษะให้แก่พนักงาน ทอท. ในการตรวจสอบและประเมินความปลอดภัยของระบบ

• ตรวจสอบช่องโหว่ของระบบ (Vulnerability Assessment) ทั้งจากเครือข่ายภายในและภายนอก
• ตรวจสอบการตั้งค่ามาตรฐานด้านความมั่นคงปลอดภัย (Security Configuration Baseline Assessment)
• ทดสอบเจาะระบบ (Penetration Testing) ทั้งจากเครือข่ายภายในและภายนอก
• จัดทำรายงานผลการตรวจสอบและข้อเสนอแนะในการปรับปรุงแก้ไขระบบ โดยแยกรายงานสำหรับผู้บริหาร (Executive Report) และผู้ดูแลระบบ (Detail Report)
• จัดทำคู่มือสำหรับการตั้งค่ามาตรฐานด้านความมั่นคงปลอดภัย (Security Configuration Baseline)
• ตรวจสอบและทดสอบซ้ำในระบบที่พบปัญหา (Revisit) ภายหลังการแก้ไข
• จัดการฝึกอบรมให้แก่พนักงาน ทอท. ในการตรวจสอบและประเมินความปลอดภัยของเครื่องคอมพิวเตอร์แม่ข่าย
• จัดทำแผนการดำเนินงานอย่างละเอียดเสนอต่อคณะกรรมการตรวจรับพัสดุ

• รายงานผลการตรวจสอบช่องโหว่ของระบบ (Vulnerability Assessment) พร้อมข้อเสนอแนะ (Executive Report และ Detail Report) แยกตามเครือข่ายภายในและภายนอก
• รายงานผลการตรวจสอบการตั้งค่ามาตรฐานด้านความมั่นคงปลอดภัย (Security Configuration Baseline Assessment) พร้อมข้อเสนอแนะ (Executive Report และ Detail Report) แยกตามประเภทและเวอร์ชั่นของระบบปฏิบัติการ
• คู่มือสำหรับการตั้งค่ามาตรฐานด้านความมั่นคงปลอดภัย (Security Configuration Baseline)
• รายงานผลการทดสอบเจาะระบบ (Penetration Testing) พร้อมข้อเสนอแนะ (Executive Report และ Detail Report) แยกตามเครือข่ายภายในและภายนอก
• รายงานผลการดำเนินการทดสอบซ้ำ (Revisit)
• แผนการดำเนินงานอย่างละเอียด

• ผู้รับจ้างต้องส่งแผนการดำเนินงานภายใน 15 วันนับถัดจากวันที่ลงนามในสัญญา

• พนักงานของผู้รับจ้างต้องมีประกาศนียบัตร CISSP, CISA หรือ CISM อย่างน้อย 1 คน
• พนักงานของผู้รับจ้างต้องมีประกาศนียบัตร OSCP, OSWE, GPEN, GWAPT, eCPPT หรือ eWPT จำนวนอย่างน้อย 2 คน
• พนักงานตามข้อ 3.1 และ 3.2 ต้องไม่เป็นบุคคลเดียวกัน

• การตรวจสอบช่องโหว่ของระบบ (Vulnerability Assessment) ครอบคลุมทั้งเครือข่ายภายในและภายนอก
• การตรวจสอบการตั้งค่ามาตรฐานด้านความมั่นคงปลอดภัย (Security Configuration Baseline Assessment) ครอบคลุมประเภทและเวอร์ชั่นของระบบปฏิบัติการของเครื่องคอมพิวเตอร์แม่ข่าย
• การทดสอบเจาะระบบ (Penetration Testing) ครอบคลุมทั้งเครือข่ายภายในและภายนอก

• Q: โครงการนี้ครอบคลุมการตรวจสอบระบบใดบ้าง?

  • A: โครงการนี้ครอบคลุมการตรวจสอบและประเมินความปลอดภัยของเครื่องคอมพิวเตอร์แม่ข่ายของ ทอท. ทั้งหมด

  • Q: ผู้รับจ้างต้องมีคุณสมบัติเฉพาะด้านใดบ้าง?

  • A: ผู้รับจ้างต้องมีพนักงานที่มีประกาศนียบัตร CISSP, CISA หรือ CISM อย่างน้อย 1 คน และพนักงานที่มีประกาศนียบัตร OSCP, OSWE, GPEN, GWAPT, eCPPT หรือ eWPT จำนวนอย่างน้อย 2 คน โดยพนักงานทั้งสองกลุ่มต้องไม่เป็นบุคคลเดียวกัน

  • Q: รายงานที่ผู้รับจ้างต้องส่งมอบมีอะไรบ้าง?

  • A: ผู้รับจ้างต้องส่งมอบรายงานผลการตรวจสอบช่องโหว่, รายงานผลการตรวจสอบการตั้งค่ามาตรฐานด้านความมั่นคงปลอดภัย, รายงานผลการทดสอบเจาะระบบ, และรายงานผลการดำเนินการทดสอบซ้ำ

  • Q: ผู้รับจ้างต้องฝึกอบรมอะไรให้แก่พนักงาน ทอท. บ้าง?

  • A: ผู้รับจ้างต้องฝึกอบรมให้แก่พนักงาน ทอท. ในการตรวจสอบและประเมินความปลอดภัยของเครื่องคอมพิวเตอร์แม่ข่าย

  • Q: การตรวจสอบช่องโหว่ของระบบ (Vulnerability Assessment) ครอบคลุมส่วนใดบ้าง?

  • A: ครอบคลุมการตรวจสอบช่องโหว่ของระบบทั้งจากเครือข่ายภายในและภายนอก

  • Q: การทดสอบเจาะระบบ (Penetration Testing) จะดำเนินการอย่างไร?

  • A: จะดำเนินการโดยจำลองการโจมตีจากทั้งเครือข่ายภายในและภายนอก เพื่อประเมินความสามารถในการป้องกันระบบ

  • Q: คู่มือสำหรับการตั้งค่ามาตรฐานด้านความมั่นคงปลอดภัย (Security Configuration Baseline) มีความสำคัญอย่างไร?

  • A: เพื่อให้ ทอท. สามารถนำไปใช้ปรับปรุงระบบปฏิบัติการของเครื่องแม่ข่ายคอมพิวเตอร์ในอนาคตได้

  • Q: ทำไมต้องมีการตรวจสอบและทดสอบซ้ำ (Revisit)?

  • A: เพื่อตรวจสอบว่าระบบที่พบปัญหาได้รับการแก้ไขอย่างถูกต้องและมีประสิทธิภาพ

  • Q: แผนการดำเนินงานที่ผู้รับจ้างต้องส่งมอบมีรายละเอียดอะไรบ้าง?

  • A: แผนการดำเนินงานต้องมีรายละเอียดขั้นตอนการดำเนินงาน, ระยะเวลา, ผู้รับผิดชอบ, และทรัพยากรที่ใช้

  • Q: ทำไมต้องแยกรายงานสำหรับผู้บริหารและผู้ดูแลระบบ?

  • A: เพื่อให้ข้อมูลที่เหมาะสมกับความต้องการและระดับความเข้าใจของแต่ละกลุ่ม

2
2.4 รายงานผลการดําเนินการตามข้อ 2.1 – 2.3 ประกอบด้วยรายงานอย่างน้อยดังต่อไปนี้
2.4.1 รายงานผลการตรวจสอบช่องโหว่ของระบบ (Vulnerability Assessment) ตามข้อ 2.1 พร้อมทั้ง ให้ข้อเสนอแนะในการปรับปรุงแก้ไขระบบโดยจัดทํารายงานสําหรับผู้บริหาร (Executive Report) และรายงานโดย ละเอียดสําหรับผู้ดูแลระบบ (Detail Report) โดยให้แยกผลการตรวจสอบจากเครือข่ายภายในและจากเครือข่าย ภายนอกให้ชัดเจน
2.4.2 รายงานผลการตรวจสอบการตั้งค่ามาตรฐานด้านความมั่นคงปลอดภัย (Security Configuration Baseline Assessment) ตามข้อ 2.2 พร้อมทั้งให้ข้อเสนอแนะในการปรับแต่งค่ามาตรฐานด้านความมั่นคงปลอดภัยให้ เหมาะสม โดยจะทํารายงานสําหรับผู้บริหาร (Executive Report) และรายงานโดยละเอียดสําหรับผู้ดูแลระบบ (Detail Report) โดยให้แยกผลการตรวจสอบตามประเภทและเวอร์ชั่นของระบบปฏิบัติการของเครื่องคอมพิวเตอร์แม่ข่ายที่ได้ถูก ดําเนินการตรวจสอบ พร้อมทั้งให้จัดทําเอกสารคู่มือสําหรับการตั้งค่ามาตรฐานด้านความมั่นคงปลอดภัย (Security Configuration Baseline) เพื่อ ทอท. สามารถนําเอาไปใช้ปรับแต่งระบบปฏิบัติการของเครื่องแม่ข่ายคอมพิวเตอร์ใน อนาคตได้
2.4.3 รายงานผลการทดสอบเจาะระบบ (Penetration Testing) ตามข้อ 2.3 พร้อมทั้งให้ข้อเสนอแนะใน การปรับปรุงแก้ไขระบบโดยจัดทํารายงานสําหรับผู้บริหาร (Executive Report) และรายงานโดยละเอียดสําหรับผู้ดูแล ระบบ (Detail Report)โดยให้แยกผลการทดสอบเจาะระบบจากเครือข่ายภายในและจากเครือข่ายภายนอกให้ชัดเจน
2.5 ตรวจสอบและทดสอบซ้ําในระบบที่พบปัญหาจากผลลัพธ์ตามข้อ 2.1 - 2.3 (Revisit) ภายหลังจากที่ ทอท. ดําเนินการปรับปรุงแก้ไขระบบ พร้อมทั้งจัดทํารายงานผลการดําเนินการทดสอบซ้ํา (Revisit)
2.6 ผู้รับจ้างต้องจัดการฝึกอบรมให้แก่พนักงาน ทอท. ในการตรวจสอบและประเมินความปลอดภัยของเครื่อง คอมพิวเตอร์แม่ข่าย
3. คุณสมบัติของพนักงานของผู้รับจ้าง
3.1 พนักงานของผู้รับจ้างต้องมีประกาศนียบัตร CISSP (Certified Information System Security Professional) CISA (Certified Information System Auditor) e CISM (Certified Information Security Management) จํานวนอย่างน้อย 1 คน
3.2 พนักงานของผู้รับจ้างต้องมีประกาศนียบัตร OSCP (Offensive Security Certified Professional) หรือ OSWE (Offensive Security Web Expert) wa GPEN (GIAC Certified Penetration Tester) so GWAPT (GIAC Web Application Penetration Tester) so eCPPT (eLearnSecurity Certified Professional Penetration Tester) หรือ eWPT (eLearnSecurity Web application Penetration Tester) จํานวนอย่างน้อย 2 คน
3.3 พนักงานของผู้รับจ้างตามข้อ 3.1 และ 3.2 ต้องไม่เป็นบุคคลเดียวกัน
4. เงื่อนไขที่ผู้รับจ้างต้องปฏิบัติ
4.1 ผู้รับจ้างต้องส่งแผนการดําเนินงานอย่างละเอียดให้คณะกรรมการตรวจรับพัสดุของ ทอท.พิจารณาภายใน 15 วันนับถัดจากวันที่ลงนามในสัญญา
4.2 ผู้รับจ้างต้องควบคุมดูแลกวดขันพนักงานของผู้รับจ้าง ให้ปฏิบัติตามคําสั่ง กฎ ระเบียบ และข้อบังคับของ ทอท.โดยเคร่งครัด
(1)……..
J
(2)……..
быбый
(3)………
/4.3 ในกรณี…