eGP
egp งานประมูลภาครัฐ
จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างผู้ให้บริการประเมินประสิทธิภาพด้านการรักษาความมั่นคงปลอดภัยแอพพลิเคชั่นด้วยการทดสอบเจาะระบบ

กองทุนบำเหน็จบำนาญข้าราชการ (กบข.) 68049391797
฿900,000 ปีงบ 2568 ประกาศ 30 เม.ย. 2568 กรุงเทพมหานคร
รายละเอียดการจ้าง

กองทุนบำเหน็จบำนาญข้าราชการ (กบข.) มีความประสงค์จะจ้างผู้ให้บริการเพื่อประเมินประสิทธิภาพด้านการรักษาความมั่นคงปลอดภัยของแอปพลิเคชันด้วยการทดสอบเจาะระบบ (Penetration Testing) เพื่อให้เป็นไปตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 โดยมีวัตถุประสงค์เพื่อวิเคราะห์ความเสี่ยง ช่องโหว่ และจุดอ่อนของระบบตามมาตรฐานสากล และนำผลการประเมินมาปรับปรุงระบบรักษาความปลอดภัยของบริการที่สำคัญของ กบข.

ขอบเขตงานรวมถึงการจัดทำแผนการดำเนินงาน, การประเมินและควบคุมผลกระทบที่อาจเกิดขึ้น, การทดสอบในรูปแบบ External Black Box และ Gray Box กับระบบงานต่างๆ ของ กบข. (เช่น ระบบเว็บไซต์, ระบบ Backoffice, ระบบ Line OA, ระบบ My GPF Web/Application, ระบบ DMS), การเสนอแนะวิธีการปรับปรุงแก้ไขช่องโหว่, และการจัดทำรายงานผลการทดสอบ (ภาษาไทย) ซึ่งประกอบด้วยรายละเอียดแผนการทดสอบ, ผลการตรวจสอบ, ข้อเสนอแนะในการแก้ไข, และรายงานสรุปสำหรับผู้บริหาร โดยมีระยะเวลาดำเนินการ 180 วัน

English summary

GPF seeks a service provider to assess application security through penetration testing, complying with the Cybersecurity Act B.E. 2562. The project aims to analyze risks, vulnerabilities, and weaknesses based on international standards, and improve security measures for GPF’s critical services. The scope includes developing a testing plan, conducting External Black Box and Gray Box testing on GPF’s systems (e.g., website, Backoffice, Line OA, My GPF Web/Application, DMS), recommending remediation methods, and delivering a Thai report with test details, findings, recommendations, and an executive summary. The project duration is 180 days.

สถานที่ดำเนินการ
คำสำคัญ
penetration testingทดสอบเจาะระบบapplication securityความมั่นคงปลอดภัยแอพพลิเคชั่นcybersecurityความมั่นคงปลอดภัยไซเบอร์OWASPvulnerability assessmentประเมินช่องโหว่security audit

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

  • เพื่อจัดหาผู้ให้บริการตรวจสอบความมั่นคงปลอดภัยไซเบอร์ของ กบข.
  • เพื่อประเมินประสิทธิภาพด้านการรักษาความมั่นคงปลอดภัยแอพพลิเคชั่นด้วยการทดสอบเจาะระบบ (PENETRATION TESTING)
  • เพื่อวิเคราะห์ความเสี่ยง ช่องโหว่ จุดอ่อนตามมาตรฐานสากล
  • เพื่อเป็นแนวทางให้ กบข. พิจารณาปรับเพิ่มประสิทธิภาพระบบการรักษาความมั่นคงปลอดภัยของบริการที่สำคัญของ กบข.
  • เพื่อให้เป็นไปตามมาตรฐานสากล และสอดคล้องตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

ขอบเขตของงาน

  • จัดทำแผนงาน รายละเอียดการดำเนินการ เครื่องมือที่ใช้งาน โปรแกรมที่เกี่ยวข้อง หรือวิธีการหรือเทคนิคที่ใช้ในการทดสอบ (Project Plan and Detail) ซึ่งรวมถึงผังโครงสร้างทีมงาน (Project Organization) และกำหนดบทบาทหน้าที่ในทีมงานที่เกี่ยวข้อง ที่รับผิดชอบดำเนินงานตลอดโครงการ
  • จัดทำการประเมินและควบคุมผลกระทบที่อาจมีขึ้นเพื่อป้องกันไม่ให้เกิดความเสียหายต่อระบบสารสนเทศ ชื่อเสียงของ กบข.
  • ตรวจสอบความมั่นคงปลอดภัยไซเบอร์ในมุมมองของบุคคลภายนอก (External Black Box) ต่อระบบงานต่างๆ ของ กบข. ดังนี้:
    • www.gpf.or.th (ระบบเว็บไซต์ กบข.)
    • cfl.gpf.or.th (ระบบ Backoffice ของเว็บไซต์ กบข.)
    • lineconnect.gpf.or.th (ระบบ Line OA / Line BCRM)
    • lineconnectprod.gpf.or.th
    • mass.gpf.or.th (ระบบเสริมงานทะเบียนสมาชิก (MASS))
    • mygpfprod.gpf.or.th (API ของระบบ My GPF Web)
    • gpfapisprod.gpf.or.th (API ของระบบ My GPF Application)
    • ระบบ My GPF Application (IOS/Android)
  • ตรวจสอบความมั่นคงปลอดภัยไซเบอร์ในมุมมองของบุคคลภายนอก (External Gray Box) ต่อระบบงานต่างๆ ของ กบข. ดังนี้:
    • mygpf.gpf.or.th (ระบบ My GPF Web)
    • dms.gpf.or.th (ระบบ Document Management System (DMS))
  • นำเสนอวิธีการ ปรับปรุงแก้ไขช่องโหว่ความมั่นคงปลอดภัย และการตั้งค่าระบบรักษาความปลอดภัยของแอพพลิเคชั่นที่ระบุ รวมถึงดำเนินการตรวจสอบซ้ำ หลังจากที่ กบข. ปรับปรุงแก้ไข ให้แล้วเสร็จตามกรอบระยะเวลาของโครงการ
  • จัดส่งมอบรายงานต่างๆ (ภาษาไทย) ตามกำหนดเวลาในรูปแบบรายงาน โดยเอกสารจะต้องมีรายละเอียดอย่างน้อย ดังต่อไปนี้
    • รายละเอียดแผนการ วิธีการ เครื่องมือ และมาตรฐานที่ใช้ตรวจสอบ และประเมินความมั่นคงปลอดภัยและการตั้งค่าระบบรักษาความปลอดภัยของแอพพลิเคชั่นทั้งหมดตามที่ระบุ
    • รายละเอียดผลการตรวจสอบและประเมินความมั่นคงปลอดภัยที่ตรวจพบ
    • รายละเอียดข้อเสนอแนะและวิธีการปรับปรุงแก้ไขและรายละเอียดการตรวจประเมินซ้ำ หลังจาก กบข. ปรับปรุงแก้ไขแล้วเสร็จ
    • รายงานสรุปผู้บริหาร (Executive Report) พร้อมทั้งรายงานผลการดำเนินการให้แก่ผู้บริหารและผู้ที่เกี่ยวข้อง ตามที่ กบข. กำหนด

สิ่งที่ต้องส่งมอบ

  • แผนงาน รายละเอียดการดำเนินการ เครื่องมือที่ใช้งาน โปรแกรมที่เกี่ยวข้อง หรือวิธีการหรือเทคนิคที่ใช้ในการทดสอบ (Project Plan and Detail) ซึ่งรวมถึงผังโครงสร้างทีมงาน (Project Organization)
  • การประเมินและควบคุมผลกระทบที่อาจมีขึ้นเพื่อป้องกันไม่ให้เกิดความเสียหายต่อระบบสารสนเทศ ชื่อเสียงของ กบข.
  • รายงานผลการตรวจสอบและประเมินความมั่นคงปลอดภัย (ภาษาไทย)
    • รายละเอียดแผนการ วิธีการ เครื่องมือ และมาตรฐานที่ใช้ตรวจสอบ
    • รายละเอียดผลการตรวจสอบและประเมินความมั่นคงปลอดภัยที่ตรวจพบ
    • รายละเอียดข้อเสนอแนะและวิธีการปรับปรุงแก้ไข
    • รายละเอียดการตรวจประเมินซ้ำ หลังจาก กบข. ปรับปรุงแก้ไขแล้วเสร็จ
    • รายงานสรุปผู้บริหาร (Executive Report)

ระยะเวลาดำเนินการ

การดำเนินการตามแผนงานทั้งหมด ให้แล้วเสร็จภายใน 180 วันนับถัดจากวันที่ลงนามในสัญญา

คุณสมบัติผู้เสนอราคา

  • Experience:
    • ผู้ยื่นข้อเสนอต้องเป็นผู้เชี่ยวชาญและให้บริการตรวจสอบความมั่นคงปลอดภัยไซเบอร์ โดยวิเคราะห์ความเสี่ยง ช่องโหว่ จุดอ่อนตามมาตรฐานสากล
  • Technical Capabilities:
    • เจ้าหน้าที่บริหารโครงการ (Project Manager) อย่างน้อย 1 คน จะต้องมีประสบการณ์ทำงานด้านการบริหารจัดการโครงการที่เกี่ยวข้องตาม TOR อย่างน้อย 3 ปี และจะต้องมีเอกสาร Certificate ด้านการบริหารจัดการโครงการอย่างน้อย 1 รายการ ดังนี้:
      • Project Management Professional (PMP)
      • CompTIA Project+
    • ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Consultant) อย่างน้อย 1 คน จะต้องมีประสบการณ์ทำงานทางด้านความมั่นคงปลอดภัยไซเบอร์อย่างน้อย 5 ปีและจะต้องมีเอกสาร Certificate ทางด้านความมั่นคงปลอดภัยไซเบอร์อย่างน้อย 1 รายการ และทางด้านการทดสอบเจาะระบบอย่างน้อย 1 รายการดังนี้:
      • Certificate ทางด้านความมั่นคงปลอดภัยไซเบอร์:
        • Certified Information Systems Security Professional (CISSP)
        • Certified Secure Software Lifecycle Professional (CSSLP)
      • Certificate ทางด้านการทดสอบเจาะระบบ:
        • Certified Ethical Hacker (CEH)
        • Offensive Security Certified Professional (OSCP)
        • GIAC Penetration Tester (GPEN)
    • เจ้าหน้าที่ทดสอบเจาะระบบ (Pentester) อย่างน้อย 5 คน และทุกคนจะต้องมีเอกสาร Certificate ทางด้านการทดสอบเจาะระบบ ได้แก่:
      • Certified Ethical Hacker (CEH)
      • Offensive Security Certified Professional (OSCP)
      • GIAC Penetration Tester (GPEN)
      • CompTIA PenTest+
      • เจ้าหน้าที่ทดสอบเจาะระบบ (Pentester) มีประสบการณ์ทำงานด้านการทดสอบเจาะระบบอย่างน้อย 5 ปี อย่างน้อย 2 คน และทั้ง 2 คนจะต้องมี Certificate ทางด้านการทดสอบเจาะระบบอย่างน้อย 2 รายการ
      • เจ้าหน้าที่ทดสอบเจาะระบบ (Pentester) มีประสบการณ์ทำงานด้านการทดสอบเจาะระบบอย่างน้อย 2 ปีขึ้นไป อย่างน้อย 3 คน และทั้ง 3 คนจะต้องมี Certificate ทางด้านการทดสอบเจาะระบบอย่างน้อย 1 รายการ
  • Previous Project Cost:
    • ข้อมูลโครงการและหน่วยงานที่ผู้ยื่นข้อเสนอเคยรับทำงานให้ (Site Reference) ที่มีลักษณะคล้ายกับงานตาม TOR
      • เอกสารแสดงผลงานด้านบริการ 2-5 งาน
      • เอกสารแสดงผลงานด้านบริการ 2-5 งานและหนังสือรับรองผลงานอย่างน้อย 1 งาน
      • เอกสารแสดงผลงานด้านบริการ 6-10 งาน
      • เอกสารแสดงผลงานด้านบริการ 6-10 งานและหนังสือรับรองผลงานอย่างน้อย 2 งาน
      • เอกสารแสดงผลงานด้านบริการมากกว่า 10 งานขึ้นไป
      • เอกสารแสดงผลงานด้านบริการมากกว่า 10 งานขึ้นไปและมีหนังสือรับรองผลงานอย่างน้อย 2 งาน

เกณฑ์การพิจารณา

การพิจารณาผลการยื่นข้อเสนอครั้งนี้ กบข. จะพิจารณาตัดสินโดยใช้หลักเกณฑ์คะแนนรวมด้านคุณภาพและด้านราคาสูงที่สุด (Price Performance) โดยพิจารณาจาก:

  • ราคาที่ยื่นข้อเสนอ (Price) กำหนดน้ำหนักเท่ากับร้อยละ 30
  • ข้อเสนอด้านเทคนิค กำหนดน้ำหนักเท่ากับร้อยละ 70
    • ข้อมูลโครงการและหน่วยงานที่ผู้ยื่นข้อเสนอเคยรับทำงานให้ (Site Reference) ที่มีลักษณะคล้ายกับงานตาม TOR (ร้อยละ 30)
    • รายละเอียดของการบริหารโครงการ และรายละเอียดทางด้านเทคนิค (ร้อยละ 20)
    • รายละเอียดเจ้าหน้าที่บริหารโครงการ ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยไซเบอร์ และเจ้าหน้าที่ทดสอบเจาะระบบผู้มีความชำนาญ (ร้อยละ 20)

ข้อกำหนดทางเทคนิค

ผู้ให้บริการที่ได้รับการคัดเลือกต้องนำเสนอแผนการดำเนินการ วิธีการ และดำเนินการประเมินประสิทธิภาพด้านการรักษาความมั่นคงปลอดภัยแอพพลิเคชั่นด้วยการทดสอบเจาะระบบ (PENETRATION TESTING) โดยตรวจสอบช่องโหว่ความมั่นคงปลอดภัยไซเบอร์ รวมถึงระบบรักษาความปลอดภัยด้านแอพพลิเคชั่นของบริการที่สำคัญของ กบข. ให้สอดคล้องตามมาตรฐาน OWASP หรือมาตรฐานสากลอื่นๆที่เหมาะสม

เงื่อนไขสัญญา

  • ผู้ชนะการคัดเลือกจะต้องทำสัญญาจ้างตามแบบที่ กบข. กำหนดภายใน 15 วัน นัดถัดจากวันที่ได้รับแจ้งจาก กบข. และจะต้องวางหลักประกันสัญญาเป็นเงินเท่ากับร้อยละ 5 ของราคาค่าจ้าง
  • กบข. จะจ่ายค่าจ้างซึ่งได้รวมภาษีมูลค่าเพิ่ม ภาษีอากรอื่น และค่าใช้จ่ายทั้งปวงด้วยแล้ว ให้แก่ผู้รับจ้างที่ได้รับการคัดเลือกให้เป็นผู้รับจ้างภายใน 30 วัน เมื่อผู้รับจ้างได้ปฏิบัติงานถูกต้องและครบถ้วนตามสัญญาจ้างหรือข้อตกลง และ กบข. ได้ตรวจรับมอบงานจ้างเรียบร้อยแล้วพร้อมทั้ง กบข. ได้รับหนังสือเรียกเก็บเงินจากผู้รับจ้าง
  • ค่าปรับ:
    • กรณีจ้างช่วง: ร้อยละ 10 ของวงเงินของงานจ้างช่วง
    • กรณีปฏิบัติผิดสัญญา: ร้อยละ 0.1 ของราคาค่าจ้าง (ขั้นต่ำ 100 บาท/วัน)

คำถามที่พบบ่อย (FAQ)

  • คำถาม: ขอบเขตของการทดสอบ External Black Box และ Gray Box ครอบคลุมระบบงานใดบ้าง?

  • คำตอบ: การทดสอบ External Black Box ครอบคลุมระบบเว็บไซต์ กบข. (www.gpf.or.th), ระบบ Backoffice (cfl.gpf.or.th), ระบบ Line OA/BCRM (lineconnect.gpf.or.th, lineconnectprod.gpf.or.th), ระบบ MASS (mass.gpf.or.th), API ของระบบ My GPF Web (mygpfprod.gpf.or.th), API ของระบบ My GPF Application (gpfapisprod.gpf.or.th) และระบบ My GPF Application (IOS/Android) ส่วนการทดสอบ External Gray Box ครอบคลุมระบบ My GPF Web (mygpf.gpf.or.th) และระบบ DMS (dms.gpf.or.th)

  • คำถาม: ผู้ให้บริการต้องมีคุณสมบัติเฉพาะด้านบุคลากรอย่างไรบ้าง?

  • คำตอบ: ผู้ให้บริการต้องมี Project Manager ที่มีประสบการณ์บริหารโครงการที่เกี่ยวข้องอย่างน้อย 3 ปี และมี Certificate ด้านการบริหารจัดการโครงการ (PMP หรือ CompTIA Project+), Cybersecurity Consultant ที่มีประสบการณ์ด้านความมั่นคงปลอดภัยไซเบอร์อย่างน้อย 5 ปี และมี Certificate ด้านความมั่นคงปลอดภัยไซเบอร์ (CISSP หรือ CSSLP) และด้านการทดสอบเจาะระบบ (CEH, OSCP หรือ GPEN), และ Pentester อย่างน้อย 5 คน ที่มี Certificate ด้านการทดสอบเจาะระบบ (CEH, OSCP, GPEN หรือ CompTIA PenTest+) โดยมีเงื่อนไขด้านประสบการณ์ขั้นต่ำของ Pentester แต่ละคน

  • คำถาม: รายงานที่ต้องส่งมอบมีรายละเอียดอะไรบ้าง?

  • คำตอบ: รายงานที่ต้องส่งมอบประกอบด้วย รายละเอียดแผนการทดสอบ, วิธีการ, เครื่องมือ, มาตรฐานที่ใช้, ผลการตรวจสอบความมั่นคงปลอดภัยที่ตรวจพบ, ข้อเสนอแนะและวิธีการปรับปรุงแก้ไข, รายละเอียดการตรวจประเมินซ้ำหลังจาก กบข. ปรับปรุงแก้ไขแล้วเสร็จ และรายงานสรุปสำหรับผู้บริหาร (Executive Report)

  • คำถาม: กบข. มีมาตรฐานอะไรที่ผู้ให้บริการต้องปฎิบัติตามในการทำงาน?

  • คำตอบ: ผู้รับจ้างและบุคลากรของผู้รับจ้างที่มาปฏิบัติงานตาม TOR นี้ จะต้องรักษาข้อมูลที่เป็นความลับของ กบข.

  • คำถาม: ระยะเวลาในการยืนราคาที่เสนอคือเท่าไร?

  • คำตอบ: ผู้ยื่นข้อเสนอต้องยืนราคาเป็นเวลาไม่น้อยกว่า 90 วัน นับตั้งแต่วันที่เสนอราคา

  • คำถาม: วงเงินในการจัดจ้างครั้งนี้เป็นเท่าไร?

  • คำตอบ: วงเงินในการจัดซื้อครั้งนี้เป็นเงิน 900,000.00 บาท (เก้าแสนบาทถ้วน) ซึ่งรวมภาษีมูลค่าเพิ่ม ภาษีอากรอื่น และค่าใช้จ่ายทั้งปวงด้วยแล้ว

  • คำถาม: หลักเกณฑ์ในการพิจารณาผู้ชนะการยื่นข้อเสนอคืออะไร?

  • คำตอบ: กบข. จะพิจารณาตัดสินโดยใช้หลักเกณฑ์คะแนนรวมด้านคุณภาพและด้านราคาสูงที่สุด (Price Performance) โดยให้คะแนนตามปัจจัยหลักและน้ำหนักที่กำหนด

  • คำถาม: จะมีการประเมินผลกระทบต่อระบบสารสนเทศและชื่อเสียงของ กบข. อย่างไร?

  • คำตอบ: ผู้ให้บริการจัดทำการประเมินและควบคุมผลกระทบที่อาจมีขึ้นเพื่อป้องกันไม่ให้เกิดความเสียหายต่อระบบสารสนเทศ ชื่อเสียงของ กบข.

  • คำถาม: หากเกิดความเสียหายต่อระบบงานของ กบข. จากการดำเนินการของผู้ให้บริการ ใครจะเป็นผู้รับผิดชอบ?

  • คำตอบ: หากมีความเสียหายใด ๆ อันเกิดจากการดำเนินการของผู้ให้บริการ ผู้ให้บริการจะต้องรายงานให้ กบข. ทราบในทันทีและจะต้องเป็นผู้รับผิดชอบต่อความเสียหายนั้น รวมถึงผู้รับจ้างจะต้องทำให้ระบบงานที่เสียหายหรือได้รับผลกระทบนั้นกลับใช้งานได้เป็นปกติดังเดิมในระยะเวลาอันรวดเร็ว โดยไม่มีค่าใช้จ่ายใด ๆ ทั้งสิ้น

  • คำถาม: นโยบายการคุ้มครองข้อมูลส่วนบุคคลมีรายละเอียดอย่างไร?

  • คำตอบ: กบข. มีการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้เสนองาน กรรมการของนิติบุคคลที่เป็นผู้เสนองาน ผู้แทน ผู้รับมอบฉันทะ หรือผู้รับมอบอำนาจ แล้วแต่กรณี ซึ่งต่อไปนี้จะเรียกว่า “ผู้เสนองาน” ตามที่ผู้เสนองานได้จัดส่ง ให้แก่ กบข.

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

ขอบเขตของงาน (Terms of Reference : TOR)
การจ้างผู้ให้บริการประเมินประสิทธิภาพด้านการรักษาความมั่นคงปลอดภัยแอพพลิเคชั่นด้วย การทดสอบเจาะระบบ

  1. หลักการและเหตุผล
    เพื่อเป็นการปฏิบัติตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ในการตรวจสอบความมั่นคงปลอดภัยไซเบอร์ของบริการที่สำคัญของกองทุนบำเหน็จบำนาญข้าราชการ (กบข.) กบข. จึงจัดให้มีประเมินประสิทธิภาพด้านการรักษาความมั่นคงปลอดภัยแอพพลิเคชั่นด้วยการทดสอบเจาะระบบ (PENETRATION TESTING) เพื่อพัฒนาและปรับปรุงมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ซึ่งจะทำให้การดำเนินธุรกิจของ กบข. และการให้บริการด้านระบบสารสนเทศแก่สมาชิกของ กบข. มีความมั่นคงปลอดภัยและน่าเชื่อถือ
  2. วัตถุประสงค์
    เพื่อจัดหาผู้ให้บริการตรวจสอบความมั่นคงปลอดภัยไซเบอร์ของ กบข. เพื่อประเมินประสิทธิภาพด้าน การรักษาความมั่นคงปลอดภัยแอพพลิเคชั่นด้วยการทดสอบเจาะระบบ (PENETRATION TESTING) โดยวิเคราะห์ ความเสี่ยง ช่องโหว่ จุดอ่อนตามมาตรฐานสากล เพื่อเป็นแนวทางให้ กบข. พิจารณาปรับเพิ่มประสิทธิภาพระบบ การรักษาความมั่นคงปลอดภัยของบริการที่สำคัญของ กบข. เพื่อให้เป็นไปตามมาตรฐานสากล และสอดคล้อง ตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  3. คุณสมบัติผู้ยื่นข้อเสนอ
    3.1 ผู้ยื่นข้อเสนอต้องมีคุณสมบัติตามมาตรฐานที่ระบบการจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (Electronic Government Procurement : e-GP) กำหนด
    3.2 ผู้ยื่นข้อเสนอต้องเป็นผู้เชี่ยวชาญและให้บริการตรวจสอบความมั่นคงปลอดภัยไซเบอร์ โดยวิเคราะห์ ความเสี่ยง ช่องโหว่ จุดอ่อนตามมาตรฐานสากล
  4. รายละเอียดของงานซื้อ/จ้าง
    ผู้ให้บริการที่ได้รับการคัดเลือกต้องนำเสนอแผนการดำเนินการ วิธีการ และดำเนินการ ประเมิน ประสิทธิภาพด้านการรักษาความมั่นคงปลอดภัยแอพพลิเคชั่นด้วยการทดสอบเจาะระบบ (PENETRATION TESTING) โดยตรวจสอบช่องโหว่ความมั่นคงปลอดภัยไซเบอร์รวมถึงระบบรักษาความปลอดภัยด้านแอพพลิเคชั่น ของบริการที่สำคัญของ กบข. ให้สอดคล้องตามมาตรฐาน OWASP หรือมาตรฐานสากลอื่นๆที่เหมาะสม โดยมี ขอบเขตการดำเนินการดังต่อไปนี้
    4.1 ผู้ให้บริการจัดทำแผนงาน รายละเอียดการดำเนินการ เครื่องมือที่ใช้งาน โปรแกรมที่เกี่ยวข้อง หรือวิธีการหรือเทคนิคที่ใช้ในการทดสอบ (Project Plan and Detail) ซึ่งรวมถึงผังโครงสร้างทีมงาน (Project Organization) และกำหนดบทบาทหน้าที่ในทีมงานที่เกี่ยวข้อง ที่รับผิดชอบดำเนินงานตลอดโครงการ
    4.2 ผู้ให้บริการจัดทำการประเมินและควบคุมผลกระทบที่อาจมีขึ้นเพื่อป้องกันไม่ให้เกิดความเสียหาย ต่อระบบสารสนเทศ ชื่อเสียงของ กบข.
    4.3 การดำเนินงานของผู้ให้บริการต้องไม่ส่งผลกระทบ หรือสร้างความเสียหายต่อระบบงานของ กบข. หากมีความเสียหายใด ๆ อันเกิดจากการดำเนินการของผู้ให้บริการ ผู้ให้บริการจะต้องรายงานให้ กบข. ทราบในทันทีและจะต้องเป็นผู้รับผิดชอบต่อความเสียหายนั้น รวมถึงผู้รับจ้างจะต้องทำให้ระบบงานที่เสียหาย หรือได้รับผลกระทบนั้นกลับใช้งานได้เป็นปกติดังเดิมในระยะเวลาอันรวดเร็ว โดยไม่มีค่าใช้จ่ายใด ๆ ทั้งสิ้น
    4.4 ผู้ให้บริการตรวจสอบความมั่นคงปลอดภัยไซเบอร์ในมุมมองของบุคคลภายนอก (External Black Box) ต่อระบบงานต่างๆ ของ กบข. ดังต่อไปนี้
    No.
    Domain
    ระบบงาน
    1
    www.gpf.or.th
    ระบบเว็บไซต์ กบข.
    2
    cfl.gpf.or.th
    ระบบ Backoffice ของเว็บไซต์ กบข.
    3
    lineconnect.gpf.or.th
    ระบบ Line OA / Line BCRM
    4
    lineconnectprod.gpf.or.th
    5
    mass.gpf.or.th
    ระบบเสริมงานทะเบียนสมาชิก (MASS)

No.
Domain
ระบบงาน
6
mygpfprod.gpf.or.th
API ของระบบ My GPF Web
7
gpfapisprod.gpf.or.th
API ของระบบ My GPF Application
8
-
ระบบ My GPF Application (IOS/Android)

4.5 ผู้ให้บริการตรวจสอบความมั่นคงปลอดภัยไซเบอร์ในมุมมองของบุคคลภายนอก (External Gray Box) ต่อระบบงานต่างๆ ของ กบข. ดังต่อไปนี้
No.
Domain
ระบบงาน
1
mygpf.gpf.or.th
ระบบ My GPF Web
2
dms.gpf.or.th
ระบบ Document Management System (DMS)

4.6 ผู้ให้บริการนำเสนอวิธีการ ปรับปรุงแก้ไขช่องโหว่ความมั่นคงปลอดภัย และการตั้งค่าระบบรักษา ความปลอดภัยของแอพพลิเคชั่นที่ระบุ รวมถึงดำเนินการตรวจสอบซ้ำ หลังจากที่ กบข. ปรับปรุงแก้ไข ให้แล้ว เสร็จตามกรอบระยะเวลาของโครงการ
4.7 ผู้ให้บริการจัดส่งมอบรายงานต่างๆ (ภาษาไทย) ตามกำหนดเวลาในรูปแบบรายงาน โดยเอกสาร จะต้องมีรายละเอียดอย่างน้อย ดังต่อไปนี้
4.7.1 รายละเอียดแผนการ วิธีการ เครื่องมือ และมาตรฐานที่ใช้ตรวจสอบ และประเมินความ มั่นคงปลอดภัยและการตั้งค่าระบบรักษาความปลอดภัยของแอพพลิเคชั่นทั้งหมดตามที่ระบุ 4.7.2 รายละเอียดผลการตรวจสอบและประเมินความมั่นคงปลอดภัยที่ตรวจพบ
4.7.3 รายละเอียดข้อเสนอแนะและวิธีการปรับปรุงแก้ไขและรายละเอียดการตรวจประเมินซ้ำ หลังจาก กบข. ปรับปรุงแก้ไขแล้วเสร็จ
4.7.4 รายงานสรุปผู้บริหาร (Executive Report) พร้อมทั้งรายงานผลการดำเนินการให้แก่ ผู้บริหารและผู้ที่เกี่ยวข้อง ตามที่ กบข. กำหนด
4.8 การดำเนินการตามแผนงานทั้งหมด ให้แล้วเสร็จภายใน 180 วันนับถัดจากวันที่ลงนามในสัญญา
5. รายละเอียดผู้ยื่นข้อเสนอ
ผู้รับจ้างจะต้องเสนอเอกสารหลักฐานยื่นมาพร้อมการเสนอราคาโดยแยกเป็น 2 ส่วน ดังต่อไปนี้ 5.1 ส่วนที่ 1 อย่างน้อยต้องมีเอกสารดังต่อไปนี้
(1) ในกรณีผู้รับจ้างเป็นนิติบุคคล
(ก) ห้างหุ้นส่วนสามัญหรือห้างหุ้นส่วนจำกัด ให้ยื่นสำเนาหนังสือรับรองการจดทะเบียน นิติบุคคลที่มีระยะเวลาไม่เกิน 90 วัน นับถึงวันที่ยื่นข้อเสนอ บัญชีรายชื่อหุ้นส่วนผู้จัดการ ผู้มีอำนาจควบคุม (ถ้ามี) พร้อมรับรองสำเนาถูกต้อง
(ข) บริษัทจำกัดหรือบริษัทมหาชนจำกัด ให้ยื่นสำเนาหนังสือรับรองการจดทะเบียน นิติบุคคลที่มีระยะเวลาไม่เกิน 90 วัน นับถึงวันที่ยื่นข้อเสนอ หนังสือบริคณห์สนธิ บัญชีรายชื่อกรรมการผู้จัดการ ผู้ มีอำนาจควบคุม(ถ้ามี) บัญชีผู้ถือหุ้นรายให้ญ่ (ถ้ามี) พร้อมรับรองสำเนาถูกต้อง
(2) ในกรณีผู้รับจ้างเป็นบุคคลธรรมดาหรือคณะบุคคลที่ไม่ใช่นิติบุคคลให้ยื่นสำเนาบัตรประจำตัว ประชาชนของผู้นั้น สำเนาข้อตกลงที่แสดงถึงการเข้าเป็นหุ้นส่วน (ถ้ามี) สำเนาบัตรประจำตัวประชาชนของผู้เป็น หุ้นส่วน หรือสำเนาหนังสือเดินทางของผู้เป็นหุ้นส่วนที่มิได้ถือสัญชาติไทย พร้อมทั้งรับรองสำเนาถูกต้อง
(3) ในกรณีผู้รับจ้างเป็นผู้รับจ้างร่วมกันในฐานะเป็นผู้ร่วมค้า ให้ยื่นสำเนาสัญญาของการเข้าร่วมค้า และเอกสารตามที่ระบุไว้ใน (1) หรือ (2) ของผู้ร่วมค้า แล้วแต่กรณี
(4) เอกสารเพิ่มเติมอื่น ๆ ได้แก่ สำเนาใบทะเบียนพาณิชย์ สำเนาทะเบียนภาษีมูลค่าเพิ่ม พร้อมทั้ง รับรองสำเนาถูกต้อง
5.2 ส่วนที่ 2 อย่างน้อยต้องมีเอกสารดังต่อไปนี้
(1) ในกรณีที่ผู้รับจ้างมอบอำนาจให้บุคคลอื่นกระทำการแทนให้แนบหนังสือมอบอำนาจ ซึ่งปิดอากรแสตมป์ตามกฎหมาย จะต้องระบุในหนังสือมอบอำนาจให้ชัดเจนว่ามีอำนาจในการเสนอราคาแทน หรือทำการในเรื่องใด โดยมีหลักฐานแสดงตัวตนของผู้มอบอำนาจและผู้รับมอบอำนาจ (แนบสำเนา บัตรประจำตัวประชาชนผู้มอบอำนาจและผู้รับมอบอำนาจพร้อมรับรองสำเนาถูกต้อง) ทั้งนี้ หากผู้รับมอบอำนาจ เป็นบุคคลธรรมดาต้องเป็นผู้ที่บรรลุนิติภาวะตามกฎหมายแล้วเท่านั้น
(2) ผู้รับจ้างต้องจัดทำตารางเปรียบเทียบคุณสมบัติของผู้ยื่นเสนอราคา รายละเอียดคุณลักษณะ เฉพาะที่ กบข. ต้องการ และการรับประกัน (ถ้ามี) ตาม TOR นี้ กับข้อเสนอของผู้รับจ้าง
ซึ่งคุณลักษณะเฉพาะจะต้องระบุหัวข้อให้ถูกต้องตรงกันกับเอกสารหรือแคตตาล็อกที่เสนอโดยให้จัดทำในรูปแบบ ดังต่อไปนี้
ลำดับ
ข้อกำหนดตาม TOR
ความสอดคล้อง
รายละเอียดข้อเสนอ
เอกสารอ้างอิง

▪ คัดลอกคุณสมบัติของผู้รับจ้าง ▪ คัดลอกข้อกำหนดรายละเอียด คุณลักษณะเฉพาะของงาน ตามที่กำหนดใน TOR

▪ คัดลอกการรับประกัน (ถ้ามี)
▪ ตรงหรือดีกว่า ข้อกำหนดตาม TOR
▪ ระบุคุณสมบัติผู้รับจ้างราคา ▪ ระบุรายการและรายละเอียด คุณลักษณะเฉพาะของงานที่ เสนอมาให้พิจารณา
▪ ระบุรายละเอียดการรับประกัน งานที่เสนอมาให้พิจารณา
▪ ระบุเลขหน้าของ เอกสารอ้างอิง หรือแคตตาล็อก (ถ้ามี)

  1. การเสนอราคาและระยะเวลาส่งมอบงาน
    6.1 ผู้ยื่นข้อเสนอต้องยื่นข้อเสนอและเสนอราคาโดยไม่มีเงื่อนไขใด ๆ ทั้งสิ้น
    6.2 ราคาที่เสนอจะต้องเป็นราคาที่รวมภาษีมูลค่าเพิ่มและภาษีอื่น (ถ้ามี) รวมค่าใช้จ่ายทั้งปวงไว้ด้วยแล้ว
    6.3 ผู้ยื่นข้อเสนอต้องยืนราคาเป็นเวลาไม่น้อยกว่า 90 วัน นับตั้งแต่วันที่เสนอราคา
    โดยภายในกำหนดยืนราคา ผู้ยื่นข้อเสนอจะต้องรับผิดชอบราคาที่ตนเสนอไว้ และถอนการเสนอราคามิได้
    6.4 ผู้ยื่นข้อเสนอจะต้องดำเนินการส่งมอบพัสดุภายใน 180 วัน นับถัดจากวันลงนามในสัญญาหรือวันที่ ได้รับหนังสือแจ้งจาก กบข. ให้ส่งมอบพัสดุ
    6.5 กรณีงานจัดซื้อที่ประกอบด้วยพัสดุหลายประเภทในโครงการเดียวกัน ผู้เสนอราคาต้องแยกราคาต่อ หน่วยของพัสดุแต่ละประเภท (cost breakdown) ให้ชัดเจน (ถ้ามี)
  2. หลักเกณฑ์และสิทธิในการพิจารณา
    การพิจารณาผลการยื่นข้อเสนอครั้งนี้ กบข. จะพิจารณาตัดสินโดยใช้หลักเกณฑ์คะแนนรวมด้านคุณภาพ และด้านราคาสูงที่สุด (Price Performance) ในการพิจารณาผู้ชนะการยื่นข้อเสนอ กบข. จะพิจารณาโดยให้ คะแนนตามปัจจัยหลักและน้ำหนักที่กำหนด ดังต่อไปนี้
    (1) ราคาที่ยื่นข้อเสนอ (Price) กำหนดน้ำหนักเท่ากับร้อยละ 30
    (2) ข้อเสนอด้านเทคนิค กำหนดน้ำหนักเท่ากับร้อยละ 70
    ข้อพิจารณา
    คะแนน
    ร้อยละ
    1. ข้อมูลโครงการและหน่วยงานที่ผู้ยื่นข้อเสนอเคยรับทำงานให้ (Site Reference) ที่ มีลักษณะคล้ายกับงานตาม TOR
      เงื่อนไข:

1.1 เอกสารแสดงผลงานด้านบริการ 2-5 งาน
1.2 เอกสารแสดงผลงานด้านบริการ 2-5 งานและหนังสือรับรองผลงานอย่างน้อย 1 งาน
1.3 เอกสารแสดงผลงานด้านบริการ 6-10 งาน
1.4 เอกสารแสดงผลงานด้านบริการ 6-10 งานและหนังสือรับรองผลงานอย่าง น้อย 2 งาน
1.5 เอกสารแสดงผลงานด้านบริการมากกว่า 10 งานขึ้นไป
1.6 เอกสารแสดงผลงานด้านบริการมากกว่า 10 งานขึ้นไปและมี หนังสือรับรอง ผลงานอย่างน้อย 2 งาน
2. รายละเอียดของการบริหารโครงการ และรายละเอียดทางด้านเทคนิค เงื่อนไข:
2.1 รายละเอียดแผนการดำเนินงาน 2.2 วิธีการ และมาตรฐานที่ใช้ในการทดสอบเจาะระบบ 2.3 เครื่องมือ หรือโปรแกรมที่เกี่ยวข้อง
50 60
70 80
90 100

30 30 20
10
30

ข้อพิจารณา
คะแนน
ร้อยละ
2.4 การประเมินและควบคุมผลกระทบที่อาจมีขึ้นเพื่อป้องกันไม่ให้เกิดความ เสียหายต่อระบบสารสนเทศ ชื่อเสียงของ กบข.
3. รายละเอียดเจ้าหน้าที่บริหารโครงการ ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยไซ เบอร์ และเจ้าหน้าที่ทดสอบเจาะระบบผู้ มีความชำนาญ ประวัติการทำงานและ ประกาศนียบัตรของผู้ดำเนินการที่บอกถึงระดับของความรู้และประสบการณ์ที่เกี่ยวข้อง เพื่อดำเนินการตามแผนงานการทดสอบเจาะระบบ (PENETRATION TESTING) ให้กับ กบข.
เงื่อนไข:
3.1 เจ้าหน้าที่บริหารโครงการ (Project Manager) อย่างน้อย 1 คน จะต้องมี ประสบการณ์ทำงานด้านการบริหารจัดการโครงการที่เกี่ยวข้องตาม TOR อย่างน้อย 3 ปี และจะต้องมีเอกสาร Certificate ด้านการบริหารจัดการโครงการอย่างน้อย 1 รายการ ดังนี้

  • Project Management Professional (PMP)
  • CompTIA Project+
    3.2 ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Consultant) อย่างน้อย 1 คน จะต้องมีประสบการณ์ทำงานทางด้านความมั่นคงปลอดภัย ไซเบอร์อย่างน้อย 5 ปีและจะต้องมีเอกสาร Certificate ทางด้านความมั่นคงปลอดภัยไซ เบอร์อย่างน้อย 1 รายการ และทางด้านการทดสอบเจาะระบบอย่างน้อย 1 รายการดังนี้
    3.2.1 Certificate ทางด้านความมั่นคงปลอดภัยไซเบอร์
  • Certified Information Systems Security Professional (CISSP) - Certified Secure Software Lifecycle Professional (CSSLP)
    3.2.2 Certificate ทางด้านการทดสอบเจาะระบบ
  • Certified Ethical Hacker (CEH)
  • Offensive Security Certified Professional (OSCP)
    20

10
20
30

ข้อพิจารณา คะแนน

  • GIAC Penetration Tester (GPEN) 3.3 เจ้าหน้าที่ทดสอบเจาะระบบ (Pentester) อย่างน้อย 5 คน และทุกคนจะต้อง มีเอกสาร Certificate ทางด้านการทดสอบเจาะระบบ ได้แก่
  • Certified Ethical Hacker (CEH)
  • Offensive Security Certified Professional (OSCP)
  • GIAC Penetration Tester (GPEN)
  • CompTIA PenTest+
    ร้อยละ

70
โดยมีเงื่อนไขดังนี้
3.3.1 เจ้าหน้าที่ทดสอบเจาะระบบ (Pentester) มีประสบการณ์ทำงานด้านการ ทดสอบเจาะระบบอย่างน้อย 5 ปี อย่างน้อย 2 คน และทั้ง 2 คนจะต้องมีCertificate ทางด้านการทดสอบเจาะระบบอย่างน้อย 2 รายการ ตามรายละเอียดข้างต้น
3.3.2 เจ้าหน้าที่ทดสอบเจาะระบบ (Pentester) มีประสบการณ์ทำงานด้านการ ทดสอบเจาะระบบอย่างน้อย 2 ปีขึ้นไป อย่างน้อย 3 คน และทั้ง 3 คนจะต้องมีCertifi cate ทางด้านการทดสอบเจาะระบบอย่างน้อย 1 รายการ ตามรายละเอียดข้างต้น

  1. การทำสัญญาจ้าง
    ผู้ชนะการคัดเลือกจะต้องทำสัญญาจ้างตามแบบที่ กบข. กำหนดภายใน 15 วัน นัดถัดจากวันที่ได้รับแจ้ง จาก กบข. และจะต้องวางหลักประกันสัญญาเป็นเงินเท่ากับร้อยละ 5 ของราคาค่าจ้าง
  2. ค่าจ้างและการจ่ายเงิน
    กบข. จะจ่ายค่าจ้างซึ่งได้รวมภาษีมูลค่าเพิ่ม ภาษีอากรอื่น และค่าใช้จ่ายทั้งปวงด้วยแล้ว ให้แก่ผู้รับจ้างที่ ได้รับการคัดเลือกให้เป็นผู้รับจ้างภายใน 30 วัน เมื่อผู้รับจ้างได้ปฏิบัติงานถูกต้องและครบถ้วนตามสัญญาจ้างหรือ ข้อตกลง และ กบข. ได้ตรวจรับมอบงานจ้างเรียบร้อยแล้วพร้อมทั้ง กบข. ได้รับหนังสือเรียกเก็บเงินจากผู้รับจ้าง
  3. อัตราค่าปรับ
    10.1 กรณีที่ผู้รับจ้างนำงานที่รับจ้างไปจ้างช่วงให้ผู้อื่นทำอีกทอดหนึ่งโดยไม่ได้รับอนุญาตจาก กบข. จะกำหนดค่าปรับสำหรับการฝ่าฝืนดังกล่าวเป็นจำนวนร้อยละ 10 ของวงเงินของงานจ้างช่วงนั้น
    10.2 กรณีที่ผู้รับจ้างปฏิบัติผิดสัญญาจ้างนอกเหนือจากข้อ 10.1 จะกำหนดค่าปรับเป็นรายวันในอัตรา ร้อยละ 0.1 ของราคาค่าจ้าง แต่จะต้องไม่ต่ำกว่าวันละ 100 บาท
    10.3 วิธีการคิดค่าปรับ “ถ้าวันสุดท้ายของระยะเวลาสัญญาเป็นวันหยุดราชการให้นับวันเริ่มตันทำการใหม่ ต่อจากวันหยุดราชการ เป็นวันสุดท้ายของระยะเวลาสัญญา” ค่าปรับจะเริ่มคิดถัดจากวันสุดท้ายของสัญญา กรณี การส่งมอบงานแล้วพบว่ามีข้อบกพร่องยังไม่ถูกต้องหรือยังไม่ครบถ้วน กบข. จะแจ้งผู้รับจ้างให้แก้ไข และเริ่มคิด ค่าปรับตั้งแต่วันที่แจ้งจนกว่าจะส่งมอบงานถูกต้อง ครบถ้วน ทั้งนี้ระยะเวลาดังกล่าวไม่รวมถึงระยะเวลาในการ ตรวจทดลอง หรือตรวจสอบในทางเทคนิค
  4. วงเงินในการจัดจ้าง
    วงเงินในการจัดซื้อครั้งนี้เป็นเงิน 900,000.00 บาท (เก้าแสนบาทถ้วน) ซึ่งรวมภาษีมูลค่าเพิ่ม ภาษีอากรอื่น และค่าใช้จ่ายทั้งปวงด้วยแล้ว
  5. ข้อสงวนสิทธิในการยื่นข้อเสนอและอื่นๆ
    ผู้รับจ้างและบุคลากรของผู้รับจ้างที่มาปฏิบัติงานตาม TOR นี้ จะต้องรักษาข้อมูลที่เป็นความลับของ กบข. รายละเอียดดังนี้
  6. ข้อมูลที่เป็นความลับ
    “ข้อมูลที่เป็นความลับ” หมายความถึง ข้อมูลใด ๆ ที่สามารถสื่อความหมายได้ที่ กบข. หรือ พนักงานของ กบข. ซึ่งต่อไปจะเรียกว่า “ผู้ให้ข้อมูล” ได้เปิดเผยให้แก่ผู้รับจ้าง ลูกจ้าง หรือผู้แทนของผู้รับจ้าง ซึ่ง ต่อไปจะเรียกว่า “ผู้รับข้อมูล” ทราบ และมีความประสงค์ให้ผู้รับข้อมูลเก็บรักษาข้อมูลดังกล่าวไว้เป็นความลับ
  7. การเปิดเผยและการรักษาข้อมูลที่เป็นความลับ
    ผู้รับข้อมูลตกลงจะเก็บรักษาข้อมูลที่เป็นความลับเป็นระยะเวลาหนึ่งปีนับแต่วันที่สัญญาสิ้นสุดลง โดยผู้รับข้อมูลตกลงที่จะดำเนินการดังต่อไปนี้
    (1) เก็บรักษาข้อมูลที่เป็นความลับไว้ในสถานที่ปลอดภัยและไม่เปิดเผยข้อมูลที่เป็นความลับไม่ ว่าทั้งหมดหรือแต่บางส่วนให้แก่บุคคลใดทราบ เว้นแต่จะเป็นการเปิดเผยข้อมูลที่เป็นความลับให้แก่บุคคลที่ต้อง เกี่ยวข้องโดยตรงกับข้อมูลที่เป็นความลับนั้นและผู้รับข้อมูลจะต้องจัดให้บุคคลนั้นได้ผูกพันและปฏิบัติตามเงื่อนไข ในการรักษาข้อมูลที่เป็นความลับด้วย หรือเป็นกรณีที่ได้รับอนุญาตเป็นลายลักษณ์อักษรจากผู้ให้ข้อมูล
    (2) ใช้ข้อมูลที่เป็นความลับเพียงเพื่อให้บรรลุตามวัตถุประสงค์ที่กำหนดไว้ในสัญญาเท่านั้น (3) ในกรณีที่ผู้รับข้อมูลมีเหตุผลความจำเป็นต้องเปิดเผยข้อมูลที่เป็นความลับโดยกฎหมายหรือ ตามคำสั่งศาล ผู้รับข้อมูลจะต้องแจ้งเป็นหนังสือให้ผู้ให้ข้อมูลทราบถึงข้อกำหนดหรือคำสั่งดังกล่าวก่อนที่จะ ดำเนินการเปิดเผยข้อมูลที่เป็นความลับ และในการเปิดเผยข้อมูลที่เป็นความลับ ผู้รับข้อมูลจะต้องดำเนินการตาม ขั้นตอนทางกฎหมายเพื่อขอให้คุ้มครองข้อมูลดังกล่าวไม่ให้ถูกเปิดเผยต่อสาธารณะด้วย
  8. วิธีปฏิบัติเมื่อสัญญาสิ้นสุดลง
    เมื่อสัญญาสิ้นสุดลง ผู้รับข้อมูลจะต้องส่งมอบข้อมูลที่เป็นความลับและสำเนาของข้อมูลที่เป็น ความลับ (ถ้ามี) คืนให้แก่ผู้ให้ข้อมูล หรือทำลายข้อมูลที่เป็นความลับที่ได้รับจากผู้ให้ข้อมูลทั้งหมดและแจ้งยืนยัน เป็นลายลักษณ์อักษรถึงการทำลายดังกล่าวให้ผู้ให้ข้อมูลทราบ ตลอดจนยุติการใช้ข้อมูลที่เป็นความลับ
  9. มาตราการป้องกันการทุจริตและประพฤติมิชอบ
    ด้วย กบข. มีนโยบายต่อต้านการทุจริตและประพฤติมิชอบที่บั่นทอนเศรษฐกิจและสังคมของประเทศ กบข. ไม่ยอมรับการทุจริตและประพฤติมิชอบทุกรูปแบบ (Zero Tolerance) ไม่ว่าจะเป็นการกระทำโดยบุคลากร ของ กบข. หรือบริษัทในเครือของ กบข. หรือบุคคลที่เกี่ยวข้องกับกิจการของ กบข. ซึ่งรวมถึงคู่ค้าของ กบข. ทุก ราย นอกจากนี้ กบข. ยังยึดมั่นในการดำเนินธุรกิจอย่างมีจริยธรรม จรรยาบรรณ และรับผิดชอบต่อสังคมและผู้มี ส่วนได้เสียทุกกลุ่มด้วย
    กบข. จึงขอความร่วมมือจากผู้รับจ้าง หากพบเห็นการกระทำของบุคลากรของ กบข. หรือบริษัทในเครือ ของ กบข. หรือบุคคลที่เกี่ยวข้องกับกิจการของ กบข. หรือคู่ค้าของ กบข. รายใดที่มีการกระทำเข้าข่ายทุจริต ติด สินบน หรือเรียกรับเงิน ทรัพย์สินหรือประโยชน์อื่นใดที่ไม่เหมาะสม ไม่ว่าในรูปแบบใด ขอให้แจ้งโดยตรงไปยัง บุคคลและที่อยู่ดังต่อไปนี้
    “ประธานอนุกรรมการตรวจสอบ
    ฝ่ายตรวจสอบภายใน กองทุนบำเหน็จบำนาญข้าราชการ
    เลขที่ 990 อาคารอับดุลราฮิม เพลส ถนนพระราม 4
    แขวงสีลม เขตบางรัก กรุงเทพมหานคร 10500”
  10. นโยบายคุ้มครองข้อมูลส่วนบุคคล
  11. การแจ้งการเก็บรวบรวมข้อมูลส่วนบุคคล (Privacy Notice)
    กบข. มีการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้เสนองาน กรรมการของนิติบุคคลที่เป็นผู้เสนองาน ผู้แทน ผู้รับมอบฉันทะ หรือผู้รับมอบอำนาจ แล้วแต่กรณี ซึ่งต่อไปนี้จะเรียกว่า “ผู้เสนองาน” ตามที่ผู้เสนองานได้จัดส่ง ให้แก่ กบข. และตรวจสอบข้อมูลส่วนบุคคลของผู้เสนองานจากแหล่งอื่น เพื่อวัตถุประสงค์ในการพิจารณาคัดเลือก ผู้เสนองานที่จะปฏิบัติงานตามข้อกำหนดการจัดซื้อจัดจ้างและการบริหารพัสดุ และเพื่อการทำนิติกรรมสัญญา ทั้งนี้ ตามที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดย กบข. จะจัดเก็บรวบรวมข้อมูล ส่วนบุคคลของผู้เสนองานที่เป็นต้นฉบับและสำเนาเอกสาร รวมทั้งข้อมูลอิเล็กทรอนิกส์ไว้เป็นระยะเวลา 10 ปี นับ แต่วันที่ข้อผูกพันตามนิติกรรมสัญญาเกี่ยวกับการจัดซื้อจัดจ้างและการบริหารพัสดุที่ผู้เสนองานมีอยู่กับ กบข. สิ้นสุดลง
    ตลอดระยะเวลาที่ กบข. เก็บรวบรวมข้อมูลส่วนบุคคลของผู้เสนองานไว้นั้น กบข. อาจใช้หรือเปิดเผย ข้อมูลส่วนบุคคลของผู้เสนองานในการติดต่อหรือประสานงานกับผู้เสนองานเพื่อการจัดซื้อจัดจ้างและการบริหาร พัสดุของ กบข. เพื่อการสอบบัญชีของ กบข. เพื่อการใช้สิทธิเรียกร้องตามกฎหมาย หรือเปิดเผยต่อหน่วยงานที่มี อำนาจตามกฎหมายในการขอทราบข้อมูลส่วนบุคคลนั้น โดยผู้เสนองานได้รับทราบนโยบายเกี่ยวกับการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของ กบข. รวมทั้งสิทธิของผู้เสนองานในฐานะเจ้าของข้อมูลส่วนบุคคล ตามที่ กบข. กำหนดแล้ว
  12. กรณีผู้เสนองานมีขอบเขตการทำงานเป็นการประมวลผลข้อมูลส่วนบุคคล
    ในกรณีที่ผู้เสนองานได้รับการคัดเลือกให้เข้าทำนิติกรรมสัญญากับ กบข. ซึ่งเป็นการจัดซื้อจัดจ้างที่มี ขอบเขตการทำงานเป็นการประมวลผลข้อมูลส่วนบุคคล กบข. อาจมีความจำเป็นที่จะต้องเปิดเผยข้อมูลส่วนบุคคล ของบุคคลที่เกี่ยวข้องซึ่ง กบข. เก็บรวบรวมมาจากเจ้าของข้อมูลส่วนบุคคลให้แก่ผู้เสนองาน เพื่อให้ผู้เสนองาน สามารถดำเนินการตามข้อกำหนดของนิติกรรมสัญญาได้ จึงเป็นผลให้ผู้เสนองานมีสถานะเป็นผู้ประมวลผลข้อมูล ส่วนบุคคล (Data Processor) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในการนี้ กบข. อาจ ต้องการทราบแนวทางการจัดการข้อมูลส่วนบุคคลที่จะได้รับจาก กบข. ของผู้เสนองาน ซึ่งผู้เสนองานต้องจัดให้
    กบข. รับทราบถึงนโยบายคุ้มครองข้อมูลส่วนบุคคลหรือมาตรการที่ใช้จัดการเกี่ยวกับข้อมูลส่วนบุคคลที่จะได้รับ จาก กบข. ที่เป็นลายลักษณ์อักษร โดยนโยบายหรือมาตรการดังกล่าวจะต้องสอดคล้องตามพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งอย่างน้อยต้องประกอบด้วย
    (1) มาตรการรักษาความมั่นคงปลอดภัยในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนมาตรการที่จะใช้ดำเนินการเมื่อข้อมูลรั่วไหลหรือถูกละเมิด
    (2) มาตรการควบคุมดูแลการใช้และเปิดเผยข้อมูลส่วนบุคคล
    (3) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือบุคคลผู้รับผิดชอบประสานงานเกี่ยวกับข้อมูลส่วน บุคคล
    นอกจากนี้ผู้เสนองานจะต้องถือปฏิบัติตาม “ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล” ซึ่งจะได้ลงนาม ในวันทำนิติกรรมสัญญาด้วย
  13. กรณีผู้เสนองานต้องส่งบุคคลเข้ามาทำงานภายในสถานที่ทำการของ กบข.
    ผู้เสนองานที่ได้รับการคัดเลือกให้เข้าทำนิติกรรมสัญญากับ กบข. และต้องส่งบุคคลเข้ามาทำงานภายในสถานที่ทำ การของ กบข. ผู้เสนองานจะเป็นผู้เก็บรวบรวมข้อมูลส่วนบุคคลของบุคคลดังกล่าวและเปิดเผยให้ กบข. รับทราบ ในการนี้ผู้เสนองานมีหน้าที่แจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล รวมทั้งนโยบาย คุ้มครองข้อมูลส่วนบุคคลของ กบข. ให้เจ้าของข้อมูลส่วนบุคคลทราบด้วย
  14. ผู้จัดทำขอบเขตของงาน (Terms of Reference: TOR)
  15. ชื่น ชื่นงูเหลือม
  16. ณัฐสุดา เป้าเพ็ชร์