จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างจ้างเจ้าหน้าที่เฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามทางไซเบอร์ประจำศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ในรูปแบบ 24 ชั่วโมง 7 วัน

การไฟฟ้าส่วนภูมิภาค 68059116273

฿21,400,000 ปีงบ 2568 ประกาศ 28 พ.ค. 2568 กรุงเทพมหานคร

รายละเอียดการจ้าง

การไฟฟ้าส่วนภูมิภาค (กฟภ.) มีความประสงค์จะจัดจ้างเจ้าหน้าที่เฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามทางไซเบอร์ เพื่อปฏิบัติงาน ณ ศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ตลอด 24 ชั่วโมง 7 วัน โดยมีวัตถุประสงค์เพื่อให้ กฟภ. มีบุคลากรที่มีความสามารถในการเฝ้าระวัง ตรวจสอบ วิเคราะห์ และแจ้งเตือนภัยคุกคามทางไซเบอร์อย่างต่อเนื่อง รวมถึงสามารถดำเนินการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามตามมาตรฐานความมั่นคงปลอดภัยไซเบอร์
ขอบเขตงานรวมถึงการจัดหาบุคลากรที่มีคุณสมบัติตามที่กำหนด มีประสบการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ และมีศูนย์ปฏิบัติการ SOC ที่ได้รับการรับรองมาตรฐาน ISO/IEC 27001 หรือ ISO/IEC 22301 ผู้ให้บริการจะต้องจัดทำรายงานต่างๆ เช่น รายงานประจำช่วงเวลา, รายงานประจำวัน, รายงานประจำเดือน, รายงานเหตุการณ์ผิดปกติ, และรายงานวิเคราะห์ภัยคุกคาม นอกจากนี้ยังต้องให้คำปรึกษาและถ่ายทอดความรู้ด้านความมั่นคงปลอดภัยไซเบอร์แก่พนักงานของ กฟภ.
การประเมินผลจะพิจารณาจากราคาและคุณสมบัติของผู้เสนอราคา โดย กฟภ. สงวนสิทธิ์ในการยกเลิกการเสนอราคาได้หากพบว่ามีการกระทำที่ไม่สุจริต

English summary

PEA wishes to hire cybersecurity monitoring, analysis, and threat alert personnel to work at the Security Operations Center (SOC) 24/7. The provider must provide qualified personnel with cybersecurity experience and a SOC that is ISO/IEC 27001 or ISO/IEC 22301 certified. To enable PEA to effectively detect, respond to, and reduce risks from cyber threats. The scope of work includes providing qualified personnel with cybersecurity experience and a SOC that is ISO/IEC 27001 or ISO/IEC 22301 certified. The provider must prepare reports such as shift reports, daily reports, monthly reports, incident reports, and threat analysis reports. In addition, provide consulting and transfer cybersecurity knowledge to PEA employees.

สถานที่ดำเนินการ

สํานักงานใหญ่ การไฟฟ้าส่วนภูมิภาค

คำสำคัญ

Cybersecurity SOC Security Operations Center Threat Intelligence Incident Response Vulnerability Management Security Analyst Cyber Threat ISO 27001 Network Security

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

เพื่อให้การไฟฟ้าส่วนภูมิภาคมีเจ้าหน้าที่เฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามทางไซเบอร์ประจํา ศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC)
เพื่อให้การไฟฟ้าส่วนภูมิภาคสามารถดําเนินการตรวจสอบข้อมูลที่เกี่ยวข้อง ข้อมูลคอมพิวเตอร์ และ ระบบคอมพิวเตอร์ของการไฟฟ้าส่วนภูมิภาค รวมถึงพฤติการณ์แวดล้อม และประเมินภัยคุกคามทางไซเบอร์ในรูปแบบ 24 ชั่วโมง 7 วัน
เพื่อให้การไฟฟ้าส่วนภูมิภาคสามารถดําเนินการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ตามกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ กรณีเกิดภัยคุกคามทางไซเบอร์ขึ้น
เพื่อให้การไฟฟ้าส่วนภูมิภาคสามารถดําเนินการเฝ้าระวังภัยคุกคามทางไซเบอร์ ตามพระราชบัญญัติการรักษา ความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

ขอบเขตของงาน

จัดหาเจ้าหน้าที่เฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามทางไซเบอร์ประจำศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ในรูปแบบ 24 ชั่วโมง 7 วัน
เจ้าหน้าที่เฝ้าระวังระดับ 1 (Security Analyst Tier 1): ปฏิบัติงาน 24 ชั่วโมง 7 วัน (3 คนต่อช่วงเวลา)
เจ้าหน้าที่เฝ้าระวังระดับ 2 (Security Analyst Tier 2): ปฏิบัติงาน 8 ชั่วโมง 5 วัน (1 คน)
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ (Specialist): สนับสนุนการปฏิบัติงานของเจ้าหน้าที่
เฝ้าระวัง ตรวจจับ ค้นหา และแจ้งเตือนภัยคุกคามไซเบอร์และเหตุการณ์ผิดปกติต่างๆ
จัดทํารายงานผลการเฝ้าระวังภัยคุกคามไซเบอร์ประจําช่วงเวลา, ประจำวัน, ประจำเดือน และประจำปี
ติดต่อประสานงาน แจ้งเตือน และให้คําแนะนําการแก้ไขปัญหาหรือการป้องกันภัยคุกคามไซเบอร์เบื้องต้น
ตรวจสอบ วิเคราะห์สาเหตุของเหตุการณ์ผิดปกติและภัยคุกคาม
ปรับปรุงรูปแบบการเฝ้าระวังและตรวจจับภัยคุกคาม (Use Case) และคู่มือตอบสนองต่อเหตุการณ์ (Playbook)
จัดทําคู่มือกระบวนการ วิธีการ และขั้นตอน (Knowledge Base) สําหรับการแก้ไขปัญหาภัยคุกคามไซเบอร์
ให้คําปรึกษา ประเมินจุดอ่อนและความเสี่ยง พร้อมทั้งนําเสนอแนวทางการแก้ไขและป้องกันภัยคุกคามทางไซเบอร์
ฝึกอบรม Cybersecurity Knowledge Sharing ให้กับพนักงานการไฟฟ้าส่วนภูมิภาค (2 รุ่น รุ่นละไม่น้อยกว่า 40 คน)
จัดเตรียมระบบ SOCRadar เพื่อทําการเฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์ สําหรับ Domain (*.pea.co.th) ตลอดระยะเวลาสัญญา และมีสิทธิการเข้าใช้งานสําหรับการไฟฟ้าส่วนภูมิภาค จํานวน 3 ผู้ใช้งาน

สิ่งที่ต้องส่งมอบ

กระบวนการการบริหารจัดการศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC)
กระบวนการการทํางานของเจ้าหน้าที่วิเคราะห์การแจ้งเตือนภัยคุกคาม
กระบวนการส่งมอบงานระหว่างช่วงเวลาของเจ้าหน้าที่เฝ้าระวัง
ตารางเวลาการดําเนินงานของเจ้าหน้าที่เฝ้าระวัง
รายงานประจําช่วงเวลา (Shift Report)
รายงานประจําวัน (Daily Report)
รายงานประจําเดือน (Monthly Report)
รายงานประจําปี (Yearly Report)
รายงานเหตุการณ์ผิดปกติ (Incidents Report)
รายงานข้อมูลข่าวสารเกี่ยวกับกลุ่มอาชญากรทางไซเบอร์, มัลแวร์, ช่องโหว่ ในรูปแบบ Tactics, Techniques, and Procedures (TTPs)
รายงานสรุปรูปแบบการเฝ้าระวังและตรวจจับภัยคุกคาม (Use Case Report)
รายงานข่าวการวิเคราะห์ภัยคุกคามที่เกี่ยวข้องกับอุตสาหกรรมพลังงานและสาธารณูปโภค (Energy & Utility Threat Landscape Report)
รายงานผลวิเคราะห์ต้นเหตุของภัยคุกคาม (Root Cause Report)
คู่มือกระบวนการ วิธีการ และขั้นตอน (Knowledge Base) สําหรับการแก้ไขปัญหาภัยคุกคามไซเบอร์
รายงานสถานะเหตุการณ์ผิดปกติ (Incidents Status Report)
รายงานอื่นตามที่การไฟฟ้าส่วนภูมิภาคร้องขอ
ระบบ SOCRadar เพื่อทําการเฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์

ระยะเวลาดำเนินการ

ผู้ชนะการยื่นข้อเสนอต้องเริ่มทํางานที่รับจ้างตามสัญญา นับถัดจากวันลงนามในสัญญาและได้รับหนังสือแจ้งจากการไฟฟ้าส่วนภูมิภาคให้เข้าปฏิบัติงาน และจะต้องให้บริการที่รับจ้างตามสัญญาตลอดระยะเวลา 24 เดือน นับถัดจากวันที่ได้รับแจ้งจากการไฟฟ้าส่วนภูมิภาค

คุณสมบัติผู้เสนอราคา

Standards Compliance: ต้องมีศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ และได้รับใบรับรองมาตรฐานการบริหารความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001 หรือ ISO/IEC 22301 ของศูนย์ปฏิบัติการฯ ดังกล่าว โดยต้องยังไม่หมดอายุนับถึงวันยื่นข้อเสนอ
Technical Capabilities: ต้องมีช่องทางติดต่อสื่อสารโดยตรงโดยต้องเป็นผู้ที่มีความสามารถในการตรวจสอบ ติดตาม และแก้ไขปัญหาการให้บริการได้
Personnel:
- เจ้าหน้าที่เฝ้าระวัง วิเคราะห์และแจ้งเตือนภัยคุกคามทางไซเบอร์ (Security Analyst Tier 1): คุณวุฒิการศึกษาขั้นต่ําระดับปริญญาตรีด้านวิศวกรรมคอมพิวเตอร์ หรือวิทยาศาสตร์ คอมพิวเตอร์ หรือสาขาอื่นที่เกี่ยวข้อง, มีประสบการณ์ทางด้านระบบความมั่นคงปลอดภัยสารสนเทศ ไม่น้อยกว่า 1 ปี, มีประกาศนียบัตรรับรองความสามารถ CompTIA Security Plus Certification (Sec+) หรือ CompTIA Cybersecurity Analyst Certification (CySA+) หรือ Blue Team Level 1 (BTL1) หรือ Certified Incident Handler (ECIH) โดยประกาศนียบัตรต้องยังไม่หมดอายุนับถึงวันยื่นข้อเสนอ
- เจ้าหน้าที่เฝ้าระวังและวิเคราะห์ภัยคุกคามทางไซเบอร์ (Security Analyst Tier 2): คุณวุฒิการศึกษาขั้นต่ําระดับปริญญาตรีด้านวิศวกรรมคอมพิวเตอร์ หรือวิทยาศาสตร์ คอมพิวเตอร์ หรือสาขาอื่นที่เกี่ยวข้อง, มีประสบการณ์ทางด้านระบบความมั่นคงปลอดภัยสารสนเทศ ไม่น้อยกว่า 2 ปี, มีประกาศนียบัตรรับรองความสามารถ CompTIA Security Plus Certification (Sec+) และ CompTIA Cybersecurity Analyst Certification (CYSA+) หรือ Blue Team Level 1 (BTL1) และ eLearnSecurity Certified incident Responder (eCIR) หรือ eLearnSecurity Certified Threat Hunting Professional (eCTHP) หรือ Certified CyberDefender (CCD) Computer Hacking Forensic Investigator (CHFI) หรือ Certified Incident Handler (ECH) หรือ EC-Council’s Certified Threat Intelligence Analyst (CTIA) หรือ CREST Registered Threat Intelligence Analyst (CRTIA) โดยประกาศนียบัตรต้องยังไม่หมดอายุนับถึงวันยื่นข้อเสนอ
- ผู้เชี่ยวชาญหรือทีมผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ (Specialist): การศึกษาขั้นต่ําระดับปริญญาตรีด้านวิศวกรรมคอมพิวเตอร์ หรือวิทยาศาสตร์คอมพิวเตอร์ หรือ สาขาอื่นที่เกี่ยวข้อง, มีประสบการณ์ทางด้านระบบความมั่นคงปลอดภัยสารสนเทศ ไม่น้อยกว่า 5 ปี, มีประกาศนียบัตรรับรองความสามารถ (Certificate) โดยประกาศนียบัตรต้องยังไม่หมดอายุนับถึงวันยื่นข้อเสนอ

เกณฑ์การพิจารณา

ในการพิจารณาผลการยื่นข้อเสนอครั้งนี้การไฟฟ้าส่วนภูมิภาคจะพิจารณาตัดสินโดยใช้หลักเกณฑ์ราคา

ข้อกำหนดทางเทคนิค

การให้บริการเฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามทางไซเบอร์ ตลอด 24 ชั่วโมง 7 วัน
การจัดทํารายงานต่างๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์
การให้คําปรึกษาและถ่ายทอดความรู้ด้านความมั่นคงปลอดภัยไซเบอร์
การฝึกอบรม Cybersecurity Knowledge Sharing ให้กับพนักงานการไฟฟ้าส่วนภูมิภาค
ระบบ SOCRadar เพื่อทําการเฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์

เงื่อนไขสัญญา

การไฟฟ้าส่วนภูมิภาคจะแบ่งจ่ายให้แก่ผู้ชนะการยื่นข้อเสนอเมื่อผู้ชนะการยื่นข้อเสนอได้ส่งมอบงานครบถ้วนถูกต้องตามสัญญา และผ่านการตรวจรับจากคณะกรรมการตรวจรับของการไฟฟ้าส่วนภูมิภาคเป็นที่เรียบร้อยแล้วโดย
- ชําระเงินร้อยละ 4 ของค่าจ้างทั้งหมดตามสัญญา เมื่อผู้ชนะการยื่นข้อเสนอส่งมอบงานตามเงื่อนไขเฉพาะงาน ข้อ 11.1
- แบ่งการชําระเงินส่วนที่เหลือเป็นงวด (3 เดือนต่องวด ตามเดือนปฏิทิน) ระยะเวลา 24 เดือน รวมทั้งหมด 8 งวด เมื่อผู้ชนะการยื่นข้อเสนอส่งมอบงานตามเงื่อนไขเฉพาะงาน ข้อ 11.2 – 11.4
ค่าปรับ: มีการกําหนดค่าปรับในกรณีต่างๆ เช่น การส่งมอบงานล่าช้า, การปฏิบัติงานไม่ถูกต้องตามสัญญา, เจ้าหน้าที่ไม่มาปฏิบัติงาน, หรือไม่เปลี่ยนตัวเจ้าหน้าที่ตามที่ร้องขอ

คำถามที่พบบ่อย (FAQ)

ถาม: เจ้าหน้าที่เฝ้าระวังระดับ 1 ต้องปฏิบัติงานอย่างไร?
- ตอบ: เจ้าหน้าที่เฝ้าระวังระดับ 1 ต้องปฏิบัติงานประจําที่ศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ของการไฟฟ้าส่วนภูมิภาค ตลอด 24 ชั่วโมง ทุกวัน เป็นระยะเวลา 24 เดือน ในรูปแบบการทํางานเป็นช่วงเวลา ช่วงเวลาละ 12 ชั่วโมง จํานวน 2 ช่วงเวลาต่อ 1 วัน
ถาม: ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์มีหน้าที่อะไร?
- ตอบ: ผู้เชี่ยวชาญ มีหน้าที่ควบคุมดูแล ให้คําปรึกษา ให้คําแนะนําแก่เจ้าหน้าที่เฝ้าระวังฯ ประจําที่ศูนย์ ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ของการไฟฟ้าส่วนภูมิภาค ในกรณีที่ไม่สามารถ แก้ไขหรือวิเคราะห์หาสาเหตุได้ พร้อมประสานงานกับเจ้าหน้าที่ของการไฟฟ้าส่วนภูมิภาค หากมีภัยคุกคามระดับวิกฤต ตลอด 24 ชั่วโมงผ่านช่องทางที่การไฟฟ้าส่วนภูมิภาคกําหนด และให้คําปรึกษา ประเมินจุดอ่อนและความเสี่ยงพร้อมทั้งนําเสนอแนวทางการแก้ไขและป้องกันภัย คุกคามทางไซเบอร์ที่มีโอกาสเกิดขึ้นกับการไฟฟ้าส่วนภูมิภาค
ถาม: ระบบ SOCRadar ต้องมีคุณสมบัติอย่างไร?
- ตอบ: ระบบ SOCRadar จะต้องให้บริการตรวจสอบ และแจ้งเตือนข้อมูลรั่วไหล (Leaked Credentials) ในแหล่งต่าง ๆ ภายใน 72 ชั่วโมง หรือตามที่การไฟฟ้า ส่วนภูมิภาคร้องขอ เฝ้าระวังและตรวจสอบข้อมูลที่รั่วไหลของพนักงาน และข้อมูลของผู้บริหารระดับสูง (C-Level) ได้ไม่น้อยกว่า 40 บัญชี มีการเฝ้าระวังและตรวจสอบช่องทางต่าง ๆ ที่ผู้ไม่ประสงค์ดีใช้งาน เช่น Discord, Telegram, Dark Web Forums เป็นต้น มี Credits ที่สามารถร้องขอการนําข้อมูล (Request Obtain) ออกจาก ตลาดมืด (Black Market) ได้จํานวนไม่น้อยกว่า 100 Credits รองรับการเฝ้าระวัง (Monitor) อย่างต่อเนื่อง สําหรับ 3 Domains (Slots) และมีความยืดหยุ่นให้เปลี่ยนได้ไม่น้อยกว่า 1 ครั้งต่อ Domain ต่อปี
ถาม: การไฟฟ้าส่วนภูมิภาคจะมีการตรวจรับงานอย่างไร?
- ตอบ: การไฟฟ้าส่วนภูมิภาคจะแบ่งการตรวจรับงานทั้งหมด 25 ครั้ง โดยมีการส่งมอบงานและรายงานต่างๆ ตามที่ระบุไว้ใน TOR
ถาม: หากเจ้าหน้าที่เฝ้าระวังมาสาย จะมีค่าปรับหรือไม่?
- ตอบ: มี หากเจ้าหน้าที่เฝ้าระวังของผู้ชนะการยื่นข้อเสนอมา ปฏิบัติงานสาย หรือกลับก่อนเวลาที่กําหนดการไฟฟ้าส่วนภูมิภาคจะคิดค่าปรับตามอัตราที่กําหนด
ถาม: ผู้ชนะการยื่นข้อเสนอต้องจัดฝึกอบรมอะไรให้กับการไฟฟ้าส่วนภูมิภาค?
- ตอบ: ผู้ชนะการยื่นข้อเสนอต้องดําเนินการฝึกอบรมจัดให้มี Cybersecurity Knowledge Sharing ที่มีหัวข้อ เกี่ยวกับ Security Operations Center, IT และ OT Security Monitoring ให้กับพนักงานการไฟฟ้าส่วนภูมิภาค จํานวน 2 รุ่น รุ่นละไม่น้อยกว่า 40 คน เป็นเวลารุ่นละไม่น้อยกว่า 1 วัน
ถาม: การไฟฟ้าส่วนภูมิภาคจะจ่ายเงินให้กับผู้ชนะการยื่นข้อเสนออย่างไร?
- ตอบ: การไฟฟ้าส่วนภูมิภาคจะแบ่งจ่ายให้แก่ผู้ชนะการยื่นข้อเสนอเมื่อผู้ชนะการยื่นข้อเสนอได้ส่งมอบงานครบถ้วนถูกต้องตามสัญญา และผ่านการตรวจรับจากคณะกรรมการตรวจรับของการไฟฟ้าส่วนภูมิภาคเป็นที่เรียบร้อยแล้วโดย ชําระเงินร้อยละ 4 ของค่าจ้างทั้งหมดตามสัญญา เมื่อผู้ชนะการยื่นข้อเสนอส่งมอบงานตามเงื่อนไขเฉพาะงาน ข้อ 11.1 และแบ่งการชําระเงินส่วนที่เหลือเป็นงวด (3 เดือนต่องวด ตามเดือนปฏิทิน) ระยะเวลา 24 เดือน รวมทั้งหมด 8 งวด เมื่อผู้ชนะการยื่นข้อเสนอส่งมอบงานตามเงื่อนไขเฉพาะงาน ข้อ 11.2 – 11.4
ถาม: หากผู้ชนะการยื่นข้อเสนอไม่สามารถส่งมอบงานได้ตามกําหนด จะมีผลอย่างไร?
- ตอบ: หากผู้ชนะการยื่นข้อเสนอไม่สามารถส่งมอบงานได้ตามเงื่อนไขที่กําหนด การไฟฟ้าส่วนภูมิภาคจะคิดค่าปรับเป็นรายวันในอัตราร้อยละที่กําหนด
ถาม: ผู้ชนะการยื่นข้อเสนอสามารถจ้างช่วงงานได้หรือไม่?
- ตอบ: ผู้ชนะการยื่นข้อเสนอจะต้องไม่เอางานทั้งหมดหรือแต่บางส่วนแห่งสัญญานี้ไปจ้างช่วงอีกทอดหนึ่ง เว้นแต่การจ้าง ช่วงงานแต่บางส่วนที่ได้รับอนุญาตเป็นหนังสือจากการไฟฟ้าส่วนภูมิภาคแล้ว
ถาม: ผู้ชนะการยื่นข้อเสนอต้องทําอย่างไรหากมีการละเมิดข้อมูลส่วนบุคคล?
- ตอบ: เมื่อผู้ประมวลผลข้อมูลส่วนบุคคลได้ล่วงรู้หรือรับทราบถึงเหตุแห่งการละเมิดของ ข้อมูลส่วนบุคคล จะต้องแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงการละเมิดข้อมูลส่วนบุคคลดังกล่าวทันที และ ให้แจ้งเป็นลายลักษณ์อักษรไปยังผู้ควบคุมข้อมูลส่วนบุคคลภายใน 24 ชั่วโมง นับแต่ได้ล่วงรู้หรือทราบถึงเหตุ ดังกล่าว และให้ความร่วมมือกับผู้ควบคุมข้อมูลส่วนบุคคล

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

ในภูมิภา
2101
ร่างขอบเขตของงาน
สําหรับการจัดจ้างเจ้าหน้าที่เฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามทางไซเบอร์ ประจําศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ในรูปแบบ 24 ชั่วโมง 7 วัน
กองสนับสนุนเทคโนโลยีดิจิทัล ฝ่ายโครงสร้างพื้นฐานเทคโนโลยีดิจิทัล การไฟฟ้าส่วนภูมิภาค
เมษายน 2568

เงื่อนไขเฉพาะงาน
วัตถุประสงค์
คุณสมบัติของผู้ยื่นข้อเสนอ
หลักฐานการยื่นข้อเสนอ
สารบัญ
การเสนอราคา
หลักเกณฑ์และสิทธิในการพิจารณา
ค่าจ้างและการจ่ายเงิน
กําหนดเวลาแล้วเสร็จและสิทธิของการไฟฟ้าส่วนภูมิภาคในการบอกเลิกสัญญา
การจ้างช่วง…………
ความรับผิดของผู้ชนะการยื่นข้อเสนอ
การจ่ายเงินแก่ลูกจ้าง……….
การตรวจรับงานจ้าง
รายละเอียดของงานจ้างคลาดเคลื่อน
……………..
สิทธิของการไฟฟ้าส่วนภูมิภาคภายหลังบอกเลิกสัญญา
การบังคับค่าปรับ ค่าเสียหาย และค่าใช้จ่าย
การงดหรือลดค่าปรับ หรือการขยายเวลาปฏิบัติงานตามสัญญา
การให้บริการ
การอบรม…
การรักษาข้อมูลที่เป็นความลับ
การประมวลผลข้อมูลส่วนบุคคล
3
3
3
4
5
5
6
6
6
7
7
9
9
10
10
11
11
11
12
12
เอกสารแนบท้ายเพิ่มเติม
2.1 รายละเอียดคําชี้แจงเงื่อนไขเฉพาะงาน..
2.2 ตารางสรุปรายการที่เสนอ
2.3 รายละเอียดคุณสมบัติเฉพาะการจ้างเจ้าหน้าที่เฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามทางไซเบอร์
ประจําศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ในรูปแบบ 24 ชั่วโมง 7 วัน
2.4 สัญญาการรักษาข้อมูลที่เป็นความลับ (Non-Disclosure Agreement) และการปฏิบัติตามนโยบาย
ด้านความมั่นคงปลอดภัยสารสนเทศ
2.5 สัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) 2.6 ตัวอย่างแผนการทํางาน
….13
.15
17
…..26
.30
..36
ลงนาม…….
ลงนาม,
ประธานกรรมการ
กรรมการ ลงนาม………….
OMA
กรรมการ
2
…
เงื่อนไขเฉพาะงาน
และแจ้งเตือนภัยคุกคามทางไซเบอร์ประจําศูนย์ปฏิบัติการความมั่นคง
การจัดจ้างเจ้าหน้าที่เฝ้าระวัง วิเคราะห์ ปลอดภัยไซเบอร์ (SOC) ในรูปแบบ 24 ชั่วโมง 7 วัน
วัตถุประสงค์
1.1 เพื่อให้การไฟฟ้าส่วนภูมิภาคมีเจ้าหน้าที่เฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามทางไซเบอร์ประจํา ศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC)
1.2 เพื่อให้การไฟฟ้าส่วนภูมิภาคสามารถดําเนินการตรวจสอบข้อมูลที่เกี่ยวข้อง ข้อมูลคอมพิวเตอร์ และ ระบบคอมพิวเตอร์ของการไฟฟ้าส่วนภูมิภาค รวมถึงพฤติการณ์แวดล้อม และประเมินภัยคุกคามทางไซเบอร์ในรูปแบบ 24 ชั่วโมง 7 วัน
1.3 เพื่อให้การไฟฟ้าส่วนภูมิภาคสามารถดําเนินการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ตามกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ กรณีเกิดภัยคุกคามทางไซเบอร์ขึ้น
1.4 เพื่อให้การไฟฟ้าส่วนภูมิภาคสามารถดําเนินการเฝ้าระวังภัยคุกคามทางไซเบอร์ ตามพระราชบัญญัติการรักษา ความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
คุณสมบัติของผู้ยื่นข้อเสนอ
2.1 มีความสามารถตามกฎหมาย 2.2 ไม่เป็นบุคคลล้มละลาย 2.3 ไม่อยู่ระหว่างเลิกกิจการ
2.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจาก เป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการกระทรวงการคลัง
กําหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
2.5 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงานของรัฐ ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วนผู้จัดการ กรรมการผู้จัดการ
ผู้บริหาร ผู้มีอ้านาจในการดาเนินงานในกิจการของนิติบุคคลนั้นด้วย
2.6 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหารพัสดุ ภาครัฐกําหนดในราชกิจจานุเบกษา
2.7 เป็นบุคคลธรรมดาหรือนิติบุคคลผู้มีอาชีพขายพัสดุที่จัดจ้างดังกล่าว
2.8 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่การไฟฟ้าส่วนภูมิภาค หรือ
ไม่เป็นผู้กระทําการอันเป็นการขัดขวางการแข่งขันอย่างเป็นธรรมในการจัดจ้างครั้งนี้
2.9 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทยเว้นแต่รัฐบาลของผู้ยื่นข้อเสนอได้มี คําสั่งให้สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
2.10 ในกรณีเอกสารใดๆ ที่ทําในต่างประเทศ ซึ่งผู้ยื่นข้อเสนอนําไปแสดงเป็นหลักฐานเพื่อประกอบการเสนอ ราคา เอกสารที่ใช้ในการยื่นข้อเสนอ จะต้องผ่านการรับรองตามระเบียบกระทรวงการต่างประเทศว่าด้วยการรับรอง เอกสาร พ.ศ. 2539 และที่แก้ไขเพิ่มเติม กําหนด
หลักฐานการยื่นข้อเสนอ
ผู้ยื่นข้อเสนอต้องเสนอเอกสารหลักฐานยื่นมาพร้อมกับการเสนอราคา โดยแยกเป็น 2 ส่วน ดังนี้
3.1 ส่วนที่ 1 อย่างน้อยต้องมีเอกสารดังต่อไปนี้
ลงนาม.
ประธานกรรมการ
ลงนาม…
…….กรรมการ ลงนาม………
..กรรมการ
3

3.2
(1) ในกรณีผู้ยื่นข้อเสนอเป็นนิติบุคคล
(ก) ห้างหุ้นส่วนสามัญหรือห้างหุ้นส่วนจํากัด ให้ยื่นสําเนาหนังสือรับรองการจดทะเบียนนิติบุคคล
บัญชีรายชื่อหุ้นส่วนผู้จัดการ ผู้มีอํานาจควบคุม (ถ้ามี)
(ข)
บริษัทจํากัดหรือบริษัทมหาชนจํากัด ให้ยื่นสําเนาหนังสือรับรองการจดทะเบียนนิติบุคคล หนังสือ บริคณห์สนธิ บัญชีรายชื่อกรรมการผู้จัดการ ผู้มีอํานาจควบคุม (ถ้ามี) และบัญชีผู้ถือหุ้นรายใหญ่ (ถ้ามี)
(2) ในกรณีผู้ยื่นข้อเสนอเป็นบุคคลธรรมดาหรือคณะบุคคลที่มิใช่นิติบุคคล ให้ยื่นสําเนาบัตรประจําตัว ประชาชนของผู้นั้น สําเนาข้อตกลงที่แสดงถึงการเข้าเป็นหุ้นส่วน (ถ้ามี) สําเนาบัตรประจําตัว ประชาชนของผู้เป็นหุ้นส่วน หรือสําเนาหนังสือเดินทางของผู้เป็นหุ้นส่วนที่มิได้ถือสัญชาติไทย
(3) ในกรณีผู้ยื่นข้อเสนอเป็นผู้ยื่นข้อเสนอร่วมกันในฐานะเป็นผู้ร่วมค้า ให้ยื่นสําเนาสัญญาของ
การเข้าร่วมค้า และเอกสารที่ระบุไว้ตาม (1) หรือ (2) ของผู้ร่วมค้า แล้วแต่กรณี
(4) เอกสารเพิ่มเติมอื่น ๆ
(4.1) สําเนาใบทะเบียนพาณิชย์ (ถ้ามี)
(4.2) สําเนาใบทะเบียนภาษีมูลค่าเพิ่ม (ถ้ามี)
ส่วนที่ 2 อย่างน้อยต้องมีเอกสารดังต่อไปนี้
(1) ในกรณีที่ผู้ยื่นข้อเสนอมอบอํานาจให้บุคคลอื่นกระทําการแทนให้แนบหนังสือมอบอํานาจซึ่งติดอากร แสตมป์ตามกฎหมาย โดยมีหลักฐานแสดงตัวตนของผู้มอบอํานาจและผู้รับมอบอํานาจ ทั้งนี้หาก
ผู้รับมอบอานาจเป็นบุคคลธรรมดาต้องเป็นผู้ที่บรรลุนิติภาวะตามกฎหมายแล้วเท่านั้น
(2) แคตตาล็อกและ/หรือแบบรูปรายการละเอียดคุณลักษณะเฉพาะ (ถ้ามี) (3) รายละเอียดคําชี้แจงเงื่อนไขเฉพาะงาน (ทุกข้อ) (เอกสารแนบท้ายเพิ่มเติม ข้อ 2.1) (4) ตารางสรุปรายการที่เสนอ (เอกสารแนบท้ายเพิ่มเติม ข้อ 2.2)
(5) แผนการทํางาน
(6) รายชื่อ ประวัติการศึกษาพร้อมเอกสารแสดงรายวิชา ผลการเรียน (Transcript) ประสบการณ์และ ประกาศนียบัตรรับรองความสามารถ (Certificate) ของเจ้าหน้าที่เฝ้าระวัง และผู้เชี่ยวชาญ ตามเอกสารแนบท้ายเพิ่มเติม ข้อ 2.3 (ข้อ 1.1 - 1.3)
(7) หลักฐานหรือเอกสารรับรองว่ามีศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ของผู้ยื่นข้อเสนอ และ ใบรับรองมาตรฐานการบริหารความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001 หรือ ISO/IEC 22301 ของศูนย์ปฏิบัติการฯ ดังกล่าว โดยต้องยังไม่หมดอายุนับถึงวันยื่นข้อเสนอ ตามเอกสารแนบท้าย เพิ่มเติม ข้อ 2.3 (ข้อ 2.3) พร้อมแสดงรูปถ่ายของศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์
การเสนอราคา
4.1 ผู้ยื่นข้อเสนอต้องเปรียบเทียบรายละเอียดทั้งหมด ตามรายละเอียดที่ได้ระบุไว้ในเงื่อนไขเฉพาะงาน เป็น รายข้อทุกข้อ และต้องอ้างอิงถึงเอกสารว่าอยู่ในหน้าใดของเอกสารที่เสนอให้ชัดเจน ในกรณีที่มีรายละเอียดอื่นใดที่เห็น ว่าเป็นส่วนสําคัญซึ่งแตกต่างไปจากเงื่อนไขเฉพาะงาน ผู้ยื่นข้อเสนอต้องอธิบายพร้อมเปรียบเทียบข้อดีข้อเสียให้ชัดเจน (ตามเอกสารแนบท้ายเพิ่มเติม ข้อ 2.1 รายละเอียดคําชี้แจงเงื่อนไขเฉพาะงาน และตามเอกสารแนบท้ายเพิ่มเติม ข้อ 2.2 ตารางสรุปรายการที่เสนอ) หากผู้ยื่นข้อเสนอไม่ดําเนินการตามที่กล่าวข้างต้น การไฟฟ้าส่วนภูมิภาคจะไม่พิจารณา ข้อเสนอของผู้ยื่นข้อเสนอรายนั้น เว้นแต่เป็นการผิดพลาดเล็กน้อยในส่วนที่มิใช่สาระสําคัญ และความแตกต่างนั้นไม่มี
ผลทําให้เกิดการได้เปรียบเสียเปรียบต่อผู้ยื่นข้อเสนอรายอื่น
ลงนาม…
ลงนาม.
..ประธานกรรมการ
กรรมการ ลงนาม
กรรมการ
4
4.2 ผู้ชนะการยื่นข้อเสนอต้องจัดทําแผนการทํางานมาให้ภายใน 7 วัน นับถัดจากวันลงนามในสัญญา เว้นแต่ เป็นกรณีการเช่าซึ่งสัญญาอายุไม่เกิน 90 วัน หรือกรณีการซื้อซึ่งสัญญากําหนดส่งงานงวดเดียว หรือกรณีการซื้อ การเช่า การจ้าง และการจ้างก่อสร้าง ซึ่งสัญญาหรือบันทึกข้อตกลงเป็นหนังสือมีวงเงินไม่เกิน 500,000 บาท โดยจัดทําแผน การทํางาน (ตัวอย่างตามเอกสารแนบท้ายเพิ่มเติม ข้อ 2.6) ทั้งนี้ แผนการทํางานดังกล่าวให้ถือเป็นเอกสารส่วนหนึ่งของ
สัญญา
4.3
ก่อนเสนอราคา ผู้ยื่นข้อเสนอควรตรวจดูรายละเอียดและขอบเขตของงาน ฯลฯ ให้ถี่ถ้วนและเข้าใจเอกสาร
การเสนอราคาทั้งหมดเสียก่อนที่จะตกลงยื่นข้อเสนอตามเงื่อนไขในเอกสารการเสนอราคา
4.4 หากมีข้อเสนอใดที่ผู้ยื่นข้อเสนอเห็นว่าเป็นประโยชน์ต่อการไฟฟ้าส่วนภูมิภาคให้เสนอเพิ่มเติมเพื่อพิจารณาด้วย
5. หลักเกณฑ์และสิทธิในการพิจารณา
5.1 ในการพิจารณาผลการยื่นข้อเสนอครั้งนี้การไฟฟ้าส่วนภูมิภาคจะพิจารณาตัดสินโดยใช้หลักเกณฑ์ราคา 5.2 ในการพิจารณาผู้ชนะการยื่นข้อเสนอ การไฟฟ้าส่วนภูมิภาคจะพิจารณาจากราคารวม และจากผู้ยื่นข้อเสนอรายเดียว 5.3 การไฟฟ้าส่วนภูมิภาคต้องได้รับสิทธิในการใช้งานพัสดุและ/หรืออุปกรณ์ทั้งหมดทุกรายการตามที่ระบุไว้ใน
เงื่อนไขเฉพาะงานและข้อกําหนดการใช้งานอย่างถูกต้องตามกฎหมาย ในกรณีที่มีบุคคลภายนอกกล่าวอ้าง หรือใช้สิทธิ
เรียกร้องใดๆ ในการใช้สิทธินี้ ผู้ชนะการยื่นข้อเสนอต้องเป็นผู้รับผิดชอบต่อความเสียหายที่เกิดขึ้นทั้งหมด
5.4 การไฟฟ้าส่วนภูมิภาคทรงไว้ซึ่งสิทธิที่จะไม่รับราคาต่ําสุด หรือราคาหนึ่งราคาใด หรือราคาที่เสนอทั้งหมดก็ได้ และอาจพิจารณาเลือกจ้างในจํานวน หรือขนาด หรือเฉพาะรายการหนึ่งรายการใด หรืออาจจะยกเลิกการเสนอราคา โดยไม่พิจารณาจัดซื้อจัดจ้างเลยก็ได้ สุดแต่จะพิจารณา ทั้งนี้เพื่อประโยชน์ของทางราชการเป็นสําคัญ และให้ถือว่าการ ตัดสินของการไฟฟ้าส่วนภูมิภาคเป็นเด็ดขาด ผู้ยื่นข้อเสนอจะเรียกร้องค่าใช้จ่าย หรือค่าเสียหายใดๆ มิได้ รวมทั้ง การไฟฟ้าส่วนภูมิภาคจะพิจารณายกเลิกการเสนอราคาและลงโทษผู้ยื่นข้อเสนอเป็นผู้ทิ้งงาน ไม่ว่าจะเป็นผู้ยื่นข้อเสนอที่ ได้รับการคัดเลือกหรือไม่ก็ตาม หากมีเหตุที่เชื่อถือได้ว่าการยื่นข้อเสนอกระทําการโดยไม่สุจริต เช่น การเสนอเอกสาร อันเป็นเท็จ หรือใช้ชื่อบุคคลธรรมดา หรือนิติบุคคลอื่นมายื่นข้อเสนอแทน เป็นต้น
ในกรณีที่ผู้ยื่นข้อเสนอรายที่เสนอราคาต่ําสุด เสนอราคาต่ําจนคาดหมายได้ว่าไม่อาจดําเนินงานตามเอกสาร การเสนอราคาได้ คณะกรรมการฯ หรือการไฟฟ้าส่วนภูมิภาคจะให้ผู้ยื่นข้อเสนอนั้นชี้แจงและแสดงหลักฐานที่ทําให้เชื่อได้ ว่า ผู้ยื่นข้อเสนอสามารถดําเนินงานตามเอกสารการเสนอราคาให้เสร็จสมบูรณ์ หากคําชี้แจงไม่เป็นที่รับฟังได้ การไฟฟ้า ส่วนภูมิภาคมีสิทธิที่จะไม่รับข้อเสนอ หรือไม่รับราคาของผู้ยื่นข้อเสนอรายนั้น ทั้งนี้ผู้ยื่นข้อเสนอไม่มีสิทธิเรียกร้อง ค่าใช้จ่าย หรือค่าเสียหายใด ๆ จากการไฟฟ้าส่วนภูมิภาค
ๆ
5.5 ก่อนลงนามในสัญญา การไฟฟ้าส่วนภูมิภาคอาจประกาศยกเลิกการเสนอราคา หากปรากฏว่ามีการกระทําที่ เข้าลักษณะผู้ยื่นข้อเสนอที่ชนะการเสนอราคาหรือที่ได้รับการคัดเลือกมีผลประโยชน์ร่วมกัน หรือมีส่วนได้เสียกับผู้ยื่น ข้อเสนอรายอื่น หรือขัดขวางการแข่งขันอย่างเป็นธรรม หรือสมยอมกันกับผู้ยื่นข้อเสนอรายอื่น หรือเจ้าหน้าที่ในการเสนอ ราคา หรือส่อว่ากระทําการทุจริตอื่นใดในการเสนอราคา
6. ค่าจ้างและการจ่ายเงิน
การไฟฟ้าส่วนภูมิภาคตกลงชําระค่าบริการการจ้างเจ้าหน้าที่เฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามทาง ไซเบอร์ประจําศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ในรูปแบบ 24 ชั่วโมง 7 วัน โดยการไฟฟ้า ส่วนภูมิภาคจะแบ่งจ่ายให้แก่ผู้ชนะการยื่นข้อเสนอเมื่อผู้ชนะการยื่นข้อเสนอได้ส่งมอบงานครบถ้วนถูกต้องตามสัญญา และผ่านการตรวจรับจากคณะกรรมการตรวจรับของการไฟฟ้าส่วนภูมิภาคเป็นที่เรียบร้อยแล้วโดย
6.1 ชําระเงินร้อยละ 4 ของค่าจ้างทั้งหมดตามสัญญา เมื่อผู้ชนะการยื่นข้อเสนอส่งมอบงานตามเงื่อนไข
เฉพาะงาน ข้อ 11.1
ลงนาม
ลงนาม..
ประธานกรรมการ
กรรมการ ลงนาม
กรรมการ
5
6.2 แบ่งการชําระเงินส่วนที่เหลือเป็นงวด (3 เดือนต่องวด ตามเดือนปฏิทิน) ระยะเวลา 24 เดือน รวมทั้งหมด 8 งวด เมื่อผู้ชนะการยื่นข้อเสนอส่งมอบงานตามเงื่อนไขเฉพาะงาน ข้อ 11.2 – 11.4
หากการจ้างในงวดแรกไม่ครบเดือนปฏิทินนั้น ให้คํานวณค่าจ้างเริ่มตั้งแต่วันถัดจากวันลงนามในสัญญา จนถึงวันสุดท้ายแห่งเดือนปฏิทินนั้น ส่วนการจ้างงวดสุดท้ายให้คํานวณค่าจ้างตั้งแต่วันแรกของเดือนปฏิทินนั้นจนถึงวัน สิ้นสุดสัญญา
การคํานวณค่าจ้างตามวรรคสอง ให้คํานวณค่าจ้างต่อวันจากอัตราค่าจ้างต่องวด (3 เดือน) โดยตามสัญญานี้ ให้ถือว่าหนึ่งเดือนมี 30 วัน
7. กําหนดเวลาแล้วเสร็จและสิทธิของการไฟฟ้าส่วนภูมิภาคในการบอกเลิกสัญญา
ผู้ชนะการยื่นข้อเสนอต้องเริ่มทํางานที่รับจ้างตามสัญญา นับถัดจากวันลงนามในสัญญาและได้รับหนังสือแจ้งจาก การไฟฟ้าส่วนภูมิภาคให้เข้าปฏิบัติงาน และจะต้องให้บริการที่รับจ้างตามสัญญาตลอดระยะเวลา 24 เดือน นับถัดจาก วันที่ได้รับแจ้งจากการไฟฟ้าส่วนภูมิภาค ถ้าผู้ชนะการยื่นข้อเสนอมิได้ลงมือทํางานภายในกําหนดเวลา หรือไม่สามารถ ทํางานที่รับจ้าง หรือมีเหตุให้เชื่อได้ว่าผู้ชนะการยื่นข้อเสนอไม่สามารถทํางานได้ตามสัญญา หรือผู้ชนะการยื่นข้อเสนอ ทําผิดสัญญาข้อใดข้อหนึ่ง หรือตกเป็นผู้ถูกพิทักษ์ทรัพย์เด็ดขาดหรือตกเป็นผู้ล้มละลาย หรือเพิกเฉยไม่ปฏิบัติตามคําสั่ง ของคณะกรรมการตรวจรับพัสดุ การไฟฟ้าส่วนภูมิภาคมีสิทธิที่จะบอกเลิกสัญญานี้ได้ และมีสิทธิจ้างผู้ชนะการยื่น ข้อเสนอรายใหม่เข้าทํางานของผู้ชนะการยื่นข้อเสนอให้ลุล่วงไปได้ด้วย การใช้สิทธิบอกเลิกสัญญานั้นไม่กระทบสิทธิของ การไฟฟ้าส่วนภูมิภาคที่จะเรียกร้องค่าเสียหายจากผู้ชนะการยื่นข้อเสนอ
การที่การไฟฟ้าส่วนภูมิภาคไม่ใช้สิทธิเลิกสัญญาดังกล่าวข้างต้นนั้น ไม่เป็นเหตุให้ผู้ชนะการยื่นข้อเสนอพ้นจาก
ความรับผิดตามสัญญา
8. การจ้างช่วง
ผู้ชนะการยื่นข้อเสนอจะต้องไม่เอางานทั้งหมดหรือแต่บางส่วนแห่งสัญญานี้ไปจ้างช่วงอีกทอดหนึ่ง เว้นแต่การจ้าง
ช่วงงานแต่บางส่วนที่ได้รับอนุญาตเป็นหนังสือจากการไฟฟ้าส่วนภูมิภาคแล้ว การที่การไฟฟ้าส่วนภูมิภาคได้อนุญาตให้
จ้างช่วงงานแต่บางส่วนดังกล่าวนั้น ไม่เป็นเหตุให้ผู้ชนะการยื่นข้อเสนอหลุดพ้นจากความรับผิดหรือพันธะหน้าที่ ตามสัญญานี้ และผู้ชนะการยื่นข้อเสนอจะยังคงต้องรับผิดในความผิดและความประมาทเลินเล่อของผู้รับจ้างช่วง
หรือของตัวแทนหรือลูกจ้างของผู้รับจ้างช่วงนั้นทุกประการ
กรณีผู้ชนะการยื่นข้อเสนอไปจ้างช่วงงานแต่บางส่วนโดยฝ่าฝืนความในวรรคหนึ่ง ผู้ชนะการยื่นข้อเสนอต้องชําระ ค่าปรับให้แก่การไฟฟ้าส่วนภูมิภาคเป็นจํานวนเงินในอัตราร้อยละ 10 ของวงเงินของงานที่จ้างช่วงตามสัญญา ทั้งนี้ ไม่ตัดสิทธิการไฟฟ้าส่วนภูมิภาคในการบอกเลิกสัญญา
9. ความรับผิดของผู้ชนะการยื่นข้อเสนอ
ผู้ชนะการยื่นข้อเสนอจะต้องรับผิดต่ออุบัติเหตุ ความเสียหาย หรือภยันตรายใดๆ อันเกิดจากการปฏิบัติงานของ ผู้ชนะการยื่นข้อเสนอ และจะต้องรับผิดต่อความเสียหายจากการกระทําของลูกจ้างหรือตัวแทนของผู้ชนะการยื่น ข้อเสนอ และจากการปฏิบัติงานของผู้รับจ้างช่วงด้วย (ถ้ามี)
ความเสียหายใดๆ อันเกิดแก่งานที่ผู้ชนะการยื่นข้อเสนอได้ทําขึ้น แม้จะเกิดขึ้นเพราะเหตุสุดวิสัยก็ตาม ผู้ชนะการยื่นข้อเสนอจะต้องรับผิดชอบโดยซ่อมแซมให้คืนดีหรือเปลี่ยนให้ใหม่โดยค่าใช้จ่ายของผู้ชนะการยื่นข้อเสนอเอง เว้นแต่ความเสียหายนั้นเกิดจากความผิดของการไฟฟ้าส่วนภูมิภาค ทั้งนี้ ความรับผิดของผู้ชนะการยื่นข้อเสนอดังกล่าว ในข้อนี้จะสิ้นสุดลงเมื่อการไฟฟ้าส่วนภูมิภาคได้รับมอบงานครั้งสุดท้าย
ลงนาม …………..
ลงนาม
ประธานกรรมการ
กรรมการ ลงนาม..
กรรมการ
6
ผู้ชนะการยื่นข้อเสนอจะต้องรับผิดต่อบุคคลภายนอกในความเสียหายใดๆ อันเกิดจากการปฏิบัติงานของ ผู้ชนะการยื่นข้อเสนอ หรือลูกจ้างหรือตัวแทนของผู้ชนะการยื่นข้อเสนอ รวมถึงผู้รับจ้างช่วง (ถ้ามี) ตามสัญญานี้ หากการไฟฟ้าส่วนภูมิภาคถูกเรียกร้องหรือฟ้องร้องหรือต้องชดใช้ค่าเสียหายให้แก่บุคคลภายนอกไปแล้ว
ผู้ชนะการยื่นข้อเสนอจะต้องดําเนินการใดๆ เพื่อให้มีการว่าต่างแก้ต่างให้แก่การไฟฟ้าส่วนภูมิภาคโดยค่าใช้จ่ายของ ผู้ชนะการยื่นข้อเสนอเอง รวมทั้งผู้ชนะการยื่นข้อเสนอจะต้องชดใช้ค่าเสียหายนั้นๆ ตลอดจนค่าใช้จ่ายใดๆ อันเกิดจาก
การถูกเรียกร้องหรือถูกฟ้องร้องให้แก่การไฟฟ้าส่วนภูมิภาคทันที
10. การจ่ายเงินแก่ลูกจ้าง
ผู้ชนะการยื่นข้อเสนอจะต้องจ่ายเงินแก่ลูกจ้างที่ผู้ชนะการยื่นข้อเสนอได้จ้างมาในอัตราและตามกําหนดเวลา
ที่ผู้ชนะการยื่นข้อเสนอได้ตกลงหรือทําสัญญาไว้ต่อลูกจ้างดังกล่าว
ถ้าผู้ชนะการยื่นข้อเสนอไม่จ่ายเงินค่าจ้างหรือค่าทดแทนอื่นใดแก่ลูกจ้างดังกล่าวในวรรคหนึ่งการไฟฟ้าส่วนภูมิภาค มีสิทธิที่จะเอาเงินค่าจ้างที่จะต้องจ่ายแก่ผู้ชนะการยื่นข้อเสนอมาจ่ายให้แก่ลูกจ้างของผู้ชนะการยื่นข้อเสนอดังกล่าว และ ให้ถือว่าการไฟฟ้าส่วนภูมิภาคได้จ่ายเงินจํานวนนั้นเป็นค่าจ้างให้แก่ผู้ชนะการยื่นข้อเสนอตามสัญญาแล้ว
ผู้ชนะการยื่นข้อเสนอจะต้องจัดให้มีประกันภัยสําหรับลูกจ้างทุกคนที่จ้างมาทํางาน โดยให้ครอบคลุมถึงความรับผิด ทั้งปวงของผู้ชนะการยื่นข้อเสนอ รวมทั้งผู้รับจ้างช่วง (ถ้ามี) ในกรณีความเสียหายที่คิดค่าสินไหมทดแทนได้ตามกฎหมาย ซึ่งเกิดจากอุบัติเหตุหรือภยันตรายใดๆ ต่อลูกจ้างหรือบุคคลอื่นที่ผู้ชนะการยื่นข้อเสนอหรือผู้รับจ้างช่วงจ้างมาทํางาน
ผู้ชนะการยื่นข้อเสนอจะต้องส่งมอบกรมธรรม์ประกันภัยดังกล่าวพร้อมทั้งหลักฐานการชําระเบี้ยประกันให้แก่
การไฟฟ้าส่วนภูมิภาคเมื่อการไฟฟ้าส่วนภูมิภาคเรียกร้อง
11. การตรวจรับงานจ้าง
การไฟฟ้าส่วนภูมิภาคจะแบ่งการตรวจรับงานทั้งหมด 25 ครั้ง โดยมีรายละเอียดดังนี้
11.1 ครั้งที่ 1 ผู้ชนะการยื่นข้อเสนอจะต้องส่งมอบงานภายใน 7 วัน นับถัดจากวันลงนามในสัญญา โดยต้อง
ส่งมอบ ดังนี
(1) กระบวนการการบริหารจัดการศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) (2) กระบวนการการทํางานของเจ้าหน้าที่วิเคราะห์การแจ้งเตือนภัยคุกคาม
(3) กระบวนการส่งมอบงานระหว่างช่วงเวลาของเจ้าหน้าที่เฝ้าระวัง
(4) ตารางเวลาการดําเนินงานของเจ้าหน้าที่เฝ้าระวัง
(5) ตัวอย่างเอกสารและรายงานต่าง ๆ อย่างน้อย ดังนี้
รายงานประจําช่วงเวลา (Shift Report)
รายงานประจําวัน (Daily Report) รายงานประจําเดือน (Monthly Report) รายงานประจําปี (Yearty Report)
รายงานเหตุการณ์ผิดปกติ (Incidents Report) ประกอบด้วยอย่างน้อย ดังนี้ เหตุการณ์ผิดปกติ แหล่งที่มาของการบุกรุก แนวทางการแก้ไขในเบื้องต้น เจ้าหน้าที่เฝ้าระวังจะต้องแจ้งเตือน เหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยสารสนเทศที่เกิดขึ้นในระบบเครือข่ายของการไฟฟ้า ส่วนภูมิภาค ยกเว้นจะได้รับการแจ้งอย่างเป็นลายลักษณ์อักษรจากการไฟฟ้าส่วนภูมิภาคถึง รายการที่ระงับการแจ้งเตือน (Exception List)
ลงนาม…
সীল
ประธานกรรมการ
ลงนาม………..
กรรมการ ลงนาม………..
….กรรมการ
7
รายงานข้อมูลข่าวสารเกี่ยวกับกลุ่มอาชญากรทางไซเบอร์, มัลแวร์, ช่องโหว่ในรูปแบบ Tactics, Techniques, and Procedures (TTPs), แนวโน้มลักษณะการโจมตี หรือภัยคุกคามที่เกิดขึ้น ทั่วโลกและการไฟฟ้าส่วนภูมิภาค (Cyber Security Trends Report)
รายงานสรุปรูปแบบการเฝ้าระวังและตรวจจับภัยคุกคาม (Use Case Report) ประกอบด้วย Flowchart, คําอธิบาย, วิธีการตรวจจับ, Logs Source (ถ้ามี) แหล่งอ้างอิง พร้อมเสนอแนวทาง และแผนงานการปรับปรุงความปลอดภัยให้กับการไฟฟ้าส่วนภูมิภาค
รายงานข่าวการวิเคราะห์ภัยคุกคามที่เกี่ยวข้องกับอุตสาหกรรมพลังงานและสาธารณูปโภค
(Energy & Utility Threat Landscape Report) หรือกลุ่มโครงสร้างพื้นฐานสําคัญทางสารสนเทศ
(Critical Information infrastructure: Cll)
รายงานผลวิเคราะห์ต้นเหตุของภัยคุกคาม (Root Cause Report)
คู่มือกระบวนการ วิธีการ และขั้นตอน (Knowledge Base) สําหรับการแก้ไขปัญหา ภัยคุกคามไซเบอร์
(6) รายชื่อบุคลากรที่จะปฏิบัติงานให้กับการไฟฟ้าส่วนภูมิภาค พร้อมคุณสมบัติ หลังจากการไฟฟ้าส่วนภูมิภาคได้รับมอบงานครั้งที่ 1 และตรวจสอบแล้ว การไฟฟ้าส่วนภูมิภาค จะทํา
หนังสือแจ้งให้บุคลากรเข้าปฏิบัติงาน
11.2 ครั้งที่ 2 ถึงครั้งที่ 25 ผู้ชนะการยื่นข้อเสนอจะต้องส่งมอบงานภายใน 7 วัน นับถัดจากวันสุดท้ายแห่งเดือน
ปฏิทินนั้น ดังนี้
รายงานประจําช่วงเวลาและรายงานประจําวัน (Daily Report)
รายงานประจําเดือน (Monthly report)
รายงานเหตุการณ์ผิดปกติ (Incidents Report)
รายงานข้อมูลข่าวสารเกี่ยวกับกลุ่มอาชญากรทางไซเบอร์, มัลแวร์, ช่องโหว่ ในรูปแบบ Tactics, Techniques, and Procedures (TTPs), แนวโน้มลักษณะการโจมตี หรือภัยคุกคามที่เกิดขึ้นทั่วโลก และการไฟฟ้าส่วนภูมิภาค (Cyber Security Trends Report)
รายงานสรุปรูปแบบการเฝ้าระวังและตรวจจับภัยคุกคาม (Use Case Report) ประกอบด้วย Flowchart, คําอธิบาย, วิธีการตรวจจับ, Logs Source (ถ้ามี) แหล่งอ้างอิง พร้อมเสนอแนวทางและ แผนงานการปรับปรุงความปลอดภัยให้กับการไฟฟ้าส่วนภูมิภาค
11.3 รายงานประจําปี (Yearly Report) (ครั้งที่ 13, 25) ภายใน 7 วัน นับถัดจากวันสุดท้ายแห่งเดือนปฏิทินนั้น โดยมีหัวข้ออย่างน้อย ดังนี้
รายงานสถานะเหตุการณ์ผิดปกติ (Incidents Status Report) ที่เกิดขึ้นกับการไฟฟ้าส่วนภูมิภาค รายงานข่าวการวิเคราะห์ภัยคุกคามที่เกี่ยวข้องกับอุตสาหกรรมพลังงานและสาธารณูปโภค (Energy & Utility Threat Landscape Report) หรือกลุ่มโครงสร้างพื้นฐานสําคัญทางสารสนเทศ (Critical
Information Infrastructure: CII)
11.4 รายงานอื่นตามที่การไฟฟ้าส่วนภูมิภาคร้องขอเป็นกรณีไป
ทั้งนี้การส่งมอบงาน ให้ผู้ชนะการยื่นข้อเสนอส่งมอบงานตามมาตรฐาน ISO27001:2022 และการไฟฟ้า ส่วนภูมิภาคขอสงวนสิทธิในการเพิ่มและปรับเปลี่ยนรายละเอียดของสิ่งส่งมอบในแต่ละข้อ โดยไม่เสียค่าใช้จ่ายเพิ่มใดๆ
ทางสน
ลงนาม..
ประธานกรรมการ
ลงนาม..
กรรมการ ลงนาม…….
oder
กรรมการ
8
เมื่อการไฟฟ้าส่วนภูมิภาคได้ตรวจรับงานจ้างที่ส่งมอบและเห็นว่าถูกต้องครบถ้วนตามสัญญาแล้วการไฟฟ้า
ส่วนภูมิภาคจะออกหลักฐานการรับมอบเป็นหนังสือไว้ให้ เพื่อผู้ชนะการยื่นข้อเสนอนํามาเป็นหลักฐานประกอบ
การขอรับเงินค่างานจ้างนั้น
ถ้าผลของการตรวจรับงานจ้างปรากฏว่างานจ้างที่ผู้ชนะการยื่นข้อเสนอส่งมอบไม่ตรงตามสัญญาการไฟฟ้า ส่วนภูมิภาคทรงไว้ซึ่งสิทธิที่จะไม่รับงานจ้างนั้น ในกรณีเช่นว่านี้ ผู้ชนะการยื่นข้อเสนอต้องทําการแก้ไขให้ถูกต้องตาม สัญญาด้วยค่าใช้จ่ายของผู้ชนะการยื่นข้อเสนอเอง และระยะเวลาที่เสียไปเพราะเหตุดังกล่าว
ผู้ชนะการยื่นข้อเสนอจะ
นํามาอ้างเป็นเหตุขอขยายเวลาส่งมอบงานจ้างตามสัญญาหรือของดหรือลดค่าปรับไม่ได้
ในกรณีที่ผู้ชนะการยื่นข้อเสนอส่งมอบงานจ้างถูกต้องแต่ไม่ครบจํานวน หรือส่งมอบครบจํานวน แต่ไม่ถูกต้อง ทั้งหมด การไฟฟ้าส่วนภูมิภาคจะตรวจรับงานจ้างเฉพาะส่วนที่ถูกต้อง โดยออกหลักฐานการตรวจรับงานจ้างเฉพาะส่วน
นนกเต
12. รายละเอียดของงานจ้างคลาดเคลื่อน
ผู้ชนะการยื่นข้อเสนอรับรองว่าได้ตรวจสอบและทําความเข้าใจในรายละเอียดของงานจ้างโดยถี่ถ้วนแล้ว หากปรากฏว่ารายละเอียดของงานจ้างนั้นผิดพลาดหรือคลาดเคลื่อนไปจากหลักการทางวิศวกรรมหรือทางเทคนิค
ผู้ชนะการยื่นข้อเสนอตกลงที่จะปฏิบัติตามคําวินิจฉัยของการไฟฟ้าส่วนภูมิภาค คณะกรรมการตรวจรับพัสดุ เพื่อให้งานแล้ว เสร็จบริบูรณ์ คําวินิจฉัยดังกล่าวให้ถือเป็นที่สุด โดยผู้ชนะการยื่นข้อเสนอจะคิดค่าจ้าง ค่าเสียหาย หรือค่าใช้จ่ายใดๆ เพิ่มขึ้นจากการไฟฟ้าส่วนภูมิภาค หรือขอขยายอายุสัญญาไม่ได้
13. ค่าปรับ
13.1 การคิดค่าปรับสิ่งที่ต้องส่งมอบ
13.1.1 หากผู้ชนะการยื่นข้อเสนอไม่สามารถส่งมอบงานตามเงื่อนไขเฉพาะงาน ข้อ 11.1 การไฟฟ้า ส่วนภูมิภาคจะคิดค่าปรับเป็นรายวัน (เศษของวันให้นับเป็น 1 วัน) ในอัตราร้อยละ 0.10 ของราคาค่าจ้างทั้งหมดตา สัญญา นับถัดจากวันครบกําหนดจนถึงวันที่ผู้ชนะการยื่นข้อเสนอได้ส่งมอบ ถูกต้อง ครบถ้วนตามสัญญา หรือวันที่ การไฟฟ้าส่วนภูมิภาคได้ขยายให้จนถึงวันที่ทํางานแล้วเสร็จจริง นอกจากนี้ผู้ชนะการยื่นข้อเสนอยอมให้การไฟฟ้า
ส่วนภูมิภาคเรียกค่าเสียหายอันเกิดขึ้นจากการที่ผู้ชนะการยื่นข้อเสนอทํางานล่าช้าเฉพาะส่วนที่เกินกว่าจํานวนค่าปรับ
ดังกล่าวได้อีกด้วย
13.1.2 ในกรณีที่ผู้ชนะการยื่นข้อเสนอปฏิบัติไม่ถูกต้องตามสัญญาในข้อใดข้อหนึ่ง (ตามเอกสารแนบท้าย เพิ่มเติม ข้อ 2.3 รายละเอียดคุณสมบัติเฉพาะการจ้างเจ้าหน้าที่เฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามทางไซเบอร์ ประจําศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ในรูปแบบ 24 ชั่วโมง 7 วัน (ข้อ 2 - 4)) ผู้ชนะการยื่นข้อเสนอ จะต้องชําระค่าปรับให้แก่การไฟฟ้าส่วนภูมิภาคเป็นรายวัน (เศษของวันให้นับเป็น 1 วัน) ในอัตราร้อยละ 0.20 ของค่าจ้าง
(รายงวด) ตามสัญญา นับถัดจากวันที่กําหนดแล้วเสร็จตามสัญญา
13.2 การคิดค่าปรับเจ้าหน้าที่เฝ้าระวัง
13.2.1 ผู้ชนะการยื่นข้อเสนอจะต้องจัดให้เจ้าหน้าที่เฝ้าระวังเข้าปฏิบัติงานทันที โดยกําหนดให้เริ่ม ปฏิบัติงานในวันถัดจากวันลงนามในสัญญา และได้รับหนังสือแจ้งจากการไฟฟ้าส่วนภูมิภาคหรือผู้ที่ได้รับมอบหมายจาก
การไฟฟ้าส่วนภูมิภาค
กรณีเข้าปฏิบัติงานล่วงเลยกําหนดเวลาตามที่ได้แจ้งไว้ตามวรรคแรก ผู้ชนะการยื่นข้อเสนอยินยอม ให้ปรับเป็นรายวัน (เศษของวันให้นับเป็น 1 วัน) ในอัตราร้อยละ 0.10 ของราคาค่าจ้างทั้งหมดตามสัญญา จนกว่าจะเข้า ปฏิบัติงานตามสัญญา
ลงนาม.
ประธานกรรมการ
ลงนาม…..
กรรมการ ลงนาม
…กรรมการ
9
13.2.2 ในระหว่างการปฏิบัติงานตามสัญญา ในกรณีที่เจ้าหน้าที่เฝ้าระวังของผู้ชนะการยื่นข้อเสนอมา ปฏิบัติงานสาย หรือกลับก่อนเวลาที่กําหนดการไฟฟ้าส่วนภูมิภาคจะคิดค่าปรับ ดังนี้
ข้อ 13.2.2)
(1) มาสาย หรือกลับก่อนเวลาไม่เกิน 20 นาที จะคิดค่าปรับในอัตราร้อยละ 20 ของค่าจ้างต่อคนต่อ
วันที่มาปฏิบัติงานสายหรือกลับก่อนเวลาที่กําหนด
(2) มาสายหรือกลับก่อนเวลาเกินกว่า 20 นาที จะคิดค่าปรับในอัตราร้อยละ 50 ของค่าจ้างต่อคน
ต่อวันที่มาปฏิบัติงานสายหรือกลับก่อนเวลาที่กําหนด
13.2.3 ถ้าเจ้าหน้าที่เฝ้าระวังของผู้ชนะการยื่นข้อเสนอไม่มาปฏิบัติงาน (ยกเว้นกรณีเงื่อนไขเฉพาะงาน หรือมาปฏิบัติงานไม่เป็นไปตามที่กําหนดในสัญญา การไฟฟ้าส่วนภูมิภาคจะคิดค่าปรับเป็นรายวัน (เศษของวัน ให้นับเป็น 1 วัน) ในอัตราร้อยละ 0.10 ของราคาค่าจ้างทั้งหมดตามสัญญา จนถึงเวลาที่ผู้ชนะการยื่นข้อเสนอจัด เจ้าหน้าที่เฝ้าระวังมาปฏิบัติงานครบถ้วนตามสัญญา หรือวันที่การไฟฟ้าส่วนภูมิภาคบอกเลิกสัญญาแล้วแต่กรณี
13.2.4 ในกรณีที่ผู้ชนะการยื่นข้อเสนอไม่เปลี่ยนตัวเจ้าหน้าที่เฝ้าระวังหรือผู้เชี่ยวชาญตามที่การไฟฟ้า ส่วนภูมิภาคร้องขอภายใน 1 เดือน นับถัดจากวันที่ได้รับแจ้งเป็นหนังสือจากการไฟฟ้าส่วนภูมิภาค ผู้ชนะการยื่น ข้อเสนอจะต้องชําระค่าปรับให้แก่การไฟฟ้าส่วนภูมิภาคเป็นรายวัน (เศษของวันให้นับเป็น 1 วัน) ในอัตราร้อยละ 0.10 ของราคาค่าจ้างทั้งหมดตามสัญญาในเดือนนั้นของเจ้าหน้าที่เฝ้าระวังหรือผู้เชี่ยวชาญที่ขอเปลี่ยนตัว ทั้งนี้ ไม่ต่ํากว่าวันละ
100 บาท นับถัดจากวันที่ล่วงเลยกําหนดจนถึงวันที่ผู้ชนะการยื่นข้อเสนอเปลี่ยนตัวเจ้าหน้าที่เฝ้าระวังหรือผู้เชี่ยวชาญให้
เรียบร้อยแล้ว
ในระหว่างที่การไฟฟ้าส่วนภูมิภาคยังมิได้บอกเลิกสัญญานั้น หากการไฟฟ้าส่วนภูมิภาคเห็นว่าผู้ชนะการยื่น ข้อเสนอจะไม่สามารถปฏิบัติตามสัญญาต่อไปได้ การไฟฟ้าส่วนภูมิภาคจะใช้สิทธิบอกเลิกสัญญาและใช้สิทธิตามเงื่อนไข เฉพาะงาน ข้อ 14 ก็ได้ และถ้าการไฟฟ้าส่วนภูมิภาคได้แจ้งข้อเรียกร้องไปยังผู้ชนะการยื่นข้อเสนอเมื่อครบกําหนดเวลา แล้วเสร็จของงานขอให้ชําระค่าปรับแล้ว การไฟฟ้าส่วนภูมิภาคมีสิทธิที่จะปรับผู้ชนะการยื่นข้อเสนอจนถึงวันบอกเลิก
สัญญาได้อีกด้วย
14. สิทธิของการไฟฟ้าส่วนภูมิภาคภายหลังบอกเลิกสัญญา
ในกรณีที่การไฟฟ้าส่วนภูมิภาคบอกเลิกสัญญา การไฟฟ้าส่วนภูมิภาคอาจทํางานนั้นเองหรือว่าจ้างผู้อื่นให้ทํางานนั้นต่อ จนแล้วเสร็จก็ได้ และในกรณีดังกล่าว การไฟฟ้าส่วนภูมิภาคมีสิทธิริบหรือบังคับจากหลักประกันการปฏิบัติตามสัญญา ทั้งหมดหรือบางส่วนตามแต่จะเห็นสมควร นอกจากนั้น ผู้ชนะการยื่นข้อเสนอจะต้องรับผิดชอบในค่าเสียหายซึ่งเป็น จํานวนเกินกว่าหลักประกันการปฏิบัติตามสัญญา รวมทั้งค่าใช้จ่ายที่เพิ่มขึ้นในการทํางานนั้นต่อให้แล้วเสร็จตามสัญญา ซึ่งการไฟฟ้าส่วนภูมิภาคจะหักเอาจากจํานวนเงินใดๆ ที่จะจ่ายให้แก่ผู้ชนะการยื่นข้อเสนอก็ได้
15. การบังคับค่าปรับ ค่าเสียหาย และค่าใช้จ่าย
ในกรณีที่ผู้ชนะการยื่นข้อเสนอไม่ปฏิบัติตามสัญญาข้อใดข้อหนึ่งด้วยเหตุใดๆ ก็ตาม จนเป็นเหตุให้เกิดค่าปรับ ค่าเสียหาย หรือค่าใช้จ่ายแก่การไฟฟ้าส่วนภูมิภาค ผู้ชนะการยื่นข้อเสนอต้องชดใช้ค่าปรับ ค่าเสียหาย หรือค่าใช้จ่าย ดังกล่าวให้แก่การไฟฟ้าส่วนภูมิภาคโดยสิ้นเชิงภายในกําหนด 30 วัน นับถัดจากวันที่ได้รับแจ้งเป็นหนังสือจาก การไฟฟ้าส่วนภูมิภาค หากผู้ชนะการยื่นข้อเสนอไม่ชดใช้ให้ถูกต้องครบถ้วนภายในระยะเวลาดังกล่าวให้
การไฟฟ้าส่วนภูมิภาคมีสิทธิที่จะหักเอาจากจํานวนเงินค่าจ้างที่ต้องชําระ หรือบังคับจากหลักประกันการปฏิบัติตาม
สัญญาได้ทันที
หากค่าปรับ ค่าเสียหาย หรือค่าใช้จ่ายที่บังคับจากเงินค่าจ้างที่ต้องชําระ หรือหลักประกันการปฏิบัติตามสัญญา แล้วยังไม่เพียงพอ ผู้ชนะการยื่นข้อเสนอยินยอมชําระส่วนที่เหลือที่ยังขาดอยู่จนครบถ้วนตามจํานวนค่าปรับ ค่าเสียหาย หรือค่าใช้จ่ายนั้น ภายในกําหนด 30 วัน นับถัดจากวันที่ได้รับแจ้งเป็นหนังสือจากการไฟฟ้าส่วนภูมิภาค
ลงนาม
ประธานกรรมการ
ลงนาม..
…กรรมการ ลงนาม……
…………กรรมการ
10
หากมีเงินค่าจ้างตามสัญญาที่หักไว้จ่ายเป็นค่าปรับ ค่าเสียหาย หรือค่าใช้จ่ายแล้วยังเหลืออยู่อีกเท่าใด การไฟฟ้าส่วนภูมิภาคจะคืนให้แก่ผู้ชนะการยื่นข้อเสนอทั้งหมด
16. การงดหรือลดค่าปรับ หรือการขยายเวลาปฏิบัติงานตามสัญญา
ในกรณีที่มีเหตุเกิดจากความผิดหรือความบกพร่องของการไฟฟ้าส่วนภูมิภาค หรือเหตุสุดวิสัย หรือเกิดจาก พฤติการณ์อันหนึ่งอันใดที่ผู้ชนะการยื่นข้อเสนอไม่ต้องรับผิดตามกฎหมาย หรือเหตุอื่นตามที่กําหนดในกฎกระทรวง ซึ่งออกตามความในกฎหมายว่าด้วยการจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ ทําให้ผู้ชนะการยื่นข้อเสนอไม่สามารถ ทํางานให้แล้วเสร็จตามเงื่อนไขและกําหนดเวลาแห่งสัญญานี้ได้ ผู้ชนะการยื่นข้อเสนอจะต้องแจ้งเหตุหรือพฤติการณ์ ดังกล่าวพร้อมหลักฐานเป็นหนังสือให้การไฟฟ้าส่วนภูมิภาคทราบ เพื่อของดหรือลดค่าปรับ หรือขยายเวลาทํางาน ออกไปภายใน 15 วันนับถัดจากวันที่เหตุนั้นสิ้นสุดลง หรือตามที่กําหนดในกฎกระทรวงดังกล่าว แล้วแต่กรณี
ถ้าผู้ชนะการยื่นข้อเสนอไม่ปฏิบัติให้เป็นไปตามความในวรรคหนึ่ง ให้ถือว่าผู้ชนะการยื่นข้อเสนอได้สละสิทธิ เรียกร้องในการที่จะของดหรือลดค่าปรับ หรือขยายเวลาทํางานออกไปโดยไม่มีเงื่อนไขใดๆ ทั้งสิ้น เว้นแต่กรณีเหตุเกิด จากความผิดหรือความบกพร่องของฝ่ายการไฟฟ้าส่วนภูมิภาค ซึ่งมีหลักฐานชัดแจ้ง หรือการไฟฟ้าส่วนภูมิภาค
ทราบดีอยู่แล้วตั้งแต่ต้น
การงดหรือลดค่าปรับ หรือขยายกําหนดเวลาทํางานตามวรรคหนึ่ง อยู่ในดุลพินิจของการไฟฟ้าส่วนภูมิภาค ที่จะพิจารณาตามที่เห็นสมควร
17. การให้บริการ
ผู้ชนะการยื่นข้อเสนอต้องจัดหาเจ้าหน้าที่เฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามทางไซเบอร์ประจําศูนย์ ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ในรูปแบบ 24 ชั่วโมง 7 วัน โดยมีขอบเขตงานการให้บริการตาม เอกสารแนบท้ายเพิ่มเติม ข้อ 2.3 รายละเอียดคุณสมบัติเฉพาะการจ้างเจ้าหน้าที่เฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัย คุกคามทางไซเบอร์ประจําศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ในรูปแบบ 24 ชั่วโมง 7 วัน
18. การอบรม
18.1 ผู้ชนะการยื่นข้อเสนอต้องดําเนินการฝึกอบรมจัดให้มี Cybersecurity Knowledge Sharing ที่มีหัวข้อ เกี่ยวกับ Security Operations Center, IT และ OT Security Monitoring ให้กับพนักงานการไฟฟ้าส่วนภูมิภาค จํานวน 2 รุ่น รุ่นละไม่น้อยกว่า 40 คน เป็นเวลารุ่นละไม่น้อยกว่า 1 วัน โดยผู้ชนะการยื่นข้อเสนอต้องจัดทําแผน การฝึกอบรม ส่งให้การไฟฟ้าส่วนภูมิภาคเห็นชอบล่วงหน้าไม่น้อยกว่า 10 วัน ก่อนถึงกําหนดการฝึกอบรม ซึ่งมีหัวข้อ และรายละเอียดหลักสูตรการฝึกอบรม อย่างน้อยดังนี้
(1) ชื่อหลักสูตร
(2) รายละเอียดของหลักสูตร
(3) ระยะเวลา
(4) รายชื่อวิทยากร
(5) สถานที่
(6) ใบประกาศ (Certification) ที่ได้รับการรับรองและมีความเกี่ยวข้องกับหัวข้อที่อบรม
18.2 การฝึกอบรมสามารถดําเนินการภายใน 1 ปีแรก ในช่วงรับประกันและไม่ถือเป็นเงื่อนไขในการตรวจรับแต่ ถือเป็นเงื่อนไขในการปฏิบัติตามสัญญาในช่วงรับประกัน
ลงนาม.
ลงนาม.
ประธานกรรมการ
กรรมการ ลงนาม
Colin
…กรรมการ
11
18.3 ผู้ชนะการยื่นข้อเสนอต้องรับผิดชอบค่าใช้จ่ายที่เกิดขึ้นในการจัดฝึกอบรมทั้งหมด การไฟฟ้าส่วนภูมิภาคจะไม่จ่าย ค่าใช้จ่ายใดๆ ที่เกิดขึ้นนี้ เช่น ค่าอุปกรณ์ที่ใช้ในการฝึกอบรม เอกสารประกอบการฝึกอบรม ค่าวิทยากรที่สอน ค่าสถานที่ เป็นต้น หากสถานที่จัดฝึกอบรมอยู่ภายนอกสํานักงานการไฟฟ้าส่วนภูมิภาค ผู้ชนะการยื่นข้อเสนอต้องจัดให้มีรถรับ-ส่ง
ระหว่างสํานักงานใหญ่การไฟฟ้าส่วนภูมิภาค กับสถานที่ฝึกอบรมให้กับพนักงานการไฟฟ้าส่วนภูมิภาคตลอดระยะเวลา
ที่มีการฝึกอบรม
19. การรักษาข้อมูลที่เป็นความลับ
ผู้ชนะการยื่นข้อเสนอโดยภายใต้นิติกรรมสัญญาหรือข้อตกลงเป็นหนังสือฉบับนี้ ต้องรับทราบและ ลงนามในสัญญาการรักษาข้อมูลที่เป็นความลับ (Non-Disclosure Agreement) และการปฏิบัติตามนโยบายด้านความ มั่นคงปลอดภัยสารสนเทศ (ตามเอกสารแนบท้ายเพิ่มเติม ข้อ 2.4 สัญญาการรักษาข้อมูลที่เป็นความลับ (Non-Disclosure Agreement) และการปฏิบัติตามนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ) โดยคู่สัญญาต้อง
ทําความเข้าใจกับหนังสือสัญญาโดยละเอียดและลงลายมือชื่อพร้อมประทับตรา (ถ้ามี)
20. การประมวลผลข้อมูลส่วนบุคคล
ผู้ชนะการยื่นข้อเสนอ ภายใต้นิติกรรมสัญญาหรือข้อตกลงเป็นหนังสือ รวมทั้งผู้ได้รับการคัดเลือก หรือติดต่อมีนิติ สัมพันธ์กับการไฟฟ้าส่วนภูมิภาค โดยไม่ได้จัดทําเป็นสัญญาหรือข้อตกลงเป็นหนังสือ ต้องรับทราบและลงนามในสัญญา การประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) และการปฏิบัติตามนโยบายและแนวปฏิบัติการ คุ้มครองข้อมูลส่วนบุคคลของการไฟฟ้าส่วนภูมิภาค (ตามเอกสารแนบท้ายเพิ่มเติม ข้อ 2.5 สัญญาการประมวลผลข้อมูล ส่วนบุคคล (Data Processing Agreement)) โดยผู้ชนะการยื่นข้อเสนอต้องทําความเข้าใจกับหนังสือสัญญา โดยละเอียดและลงลายมือชื่อพร้อมประทับตรา (ถ้ามี)
ลงนาม
ประธานกรรมการ
ลงนาม…..
กรรมการ ลงนาม……….
adn
…….กรรมการ
12
!
:
2. เอกสารแนบท้ายเพิ่มเติม 2.1 รายละเอียดคําชี้แจงเงื่อนไขเฉพาะงาน
13
เลขท
รายละเอียดค่า แจงเงื่อนไขเฉพาะงาน
ชื่อผู้ยื่นข้อเสนอ.
เอกสารทเซอางอง
ชี้แจงของผู้ยื่นข้อเสนอ
ลําดับที่สารบัญเอกสาร ชื่อเอกสาร
หนา
ลําดับที่
เงื่อนไขเฉพาะงาน
1.
เงื่อนไขเฉพาะงาน (ทุกข้อ)
2.
รายละเอียดคุณสมบัติเฉพาะการจ้างเจ้าหน้าที่
เฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามทาง
ไซเบอร์ประจําศูนย์ปฏิบัติการความมั่นคง
ปลอดภัยไซเบอร์ (SOC) ในรูปแบบ 24 ชั่วโมง
7 วัน (ทุกข้อ)
14
2. เอกสารแนบท้ายเพิ่มเติม 2.2 ตารางสรุปรายการที่เสนอ
15
ตารางสรุปรายการที่เสนอ
ชื่อผู้ยื่นข้อเสนอ.
เลขท
ลําดับ
ราคารวม
รายการ
จํานวน
ที
(บาท)
1
จ้างเจ้าหน้าที่เฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามทางไซเบอร์ประจําศูนย์ปฏิบัติการ 1 งาน
ความมั่นคงปลอดภัยไซเบอร์ (SOC) ในรูปแบบ 24 ชั่วโมง 7 วัน
(ลงชื่อ)
ตําแหน่ง
สงวนท.
รวม
ภาษีมูลค่าเพิ่ม
รวมลงสน
ประทับตรา (ถ้ามี)
ให้เสนอราคาในระบบ
จตซอจดจางภาครัฐ ด้วยอิเล็กทรอนิกส์
ผู้เสนอราคา
16
……………………………….
2. เอกสารแนบท้ายเพิ่มเติม
2.3 รายละเอียดคุณสมบัติเฉพาะการจ้างเจ้าหน้าที่เฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามทางไซเบอร์ประจําศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ในรูปแบบ 24 ชั่วโมง 7 วัน
17
t… …. …. . -…………..
รายละเอียดคุณสมบัติเฉพาะการจ้างเจ้าหน้าที่เฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามทางไซเบอร์ ประจําศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ในรูปแบบ 24 ชั่วโมง 7 วัน

บุคลากรที่ต้องปฏิบัติงานให้การไฟฟ้าส่วนภูมิภาค ต้องมีคุณสมบัติ ดังต่อไปนี้
1.1 เจ้าหน้าที่เฝ้าระวัง วิเคราะห์และแจ้งเตือนภัยคุกคามทางไซเบอร์ (Security Analyst Tier 1) ประจําศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ณ การไฟฟ้าส่วนภูมิภาค สํานักงานใหญ่ ในรูปแบบ 24 ชั่วโมง 7 วัน ประจํา แต่ละช่วงเวลาอย่างน้อย 3 คน สําหรับบุคลากรดังกล่าวจะเรียกว่า “เจ้าหน้าที่เฝ้าระวัง ระดับ 1” โดยมีคุณสมบัติ ดังนี้
คุณวุฒิการศึกษาขั้นต่ําระดับปริญญาตรีด้านวิศวกรรมคอมพิวเตอร์ หรือวิทยาศาสตร์ คอมพิวเตอร์ หรือสาขาอื่นที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ
มีประสบการณ์ทางด้านระบบความมั่นคงปลอดภัยสารสนเทศ ไม่น้อยกว่า 1 ปี หลังสําเร็จ
การศึกษา นับถึงวันยื่นเสนอรา
อราคา
มีประกาศนียบัตรรับรองความสามารถ CompTIA Security Plus Certification (Sec+) หรือ CompTIA Cybersecurity Analyst Certification (CySA+) 50 Blue Team Level 1 (BTL1) หรือ Certified Incident Handler (ECIH) โดยประกาศนียบัตรต้องยังไม่หมดอายุนับถึงวันยื่น ข้อเสนอ
1.2 เจ้าหน้าที่เฝ้าระวังและวิเคราะห์ภัยคุกคามทางไซเบอร์ (Security Analyst Tier 2) ประจําศูนย์ ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ณ การไฟฟ้าส่วนภูมิภาค สํานักงานใหญ่ ในรูปแบบ 8 ชั่วโมง 5 วัน จํานวน 1 คน สําหรับบุคลากรดังกล่าวจะเรียกว่า “เจ้าหน้าที่เฝ้าระวังระดับ 2” โดยมีคุณสมบัติ ดังนี้
คุณวุฒิการศึกษาขั้นต่ําระดับปริญญาตรีด้านวิศวกรรมคอมพิวเตอร์ หรือวิทยาศาสตร์ คอมพิวเตอร์ หรือสาขาอื่นที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ
มีประสบการณ์ทางด้านระบบความมั่นคงปลอดภัยสารสนเทศ ไม่น้อยกว่า 2 ปี หลังสําเร็จ
การศึกษา นับถึงวันยื่นเสนอราคา
มีประกาศนียบัตรรับรองความสามารถ CompTIA Security Plus Certification (Sec+) และ CompTIA Cybersecurity Analyst Certification (CYSA+) vão Blue Team Level 1 (BTL1) และ eLearnSecurity Certified incident Responder (eCIR) หรือ eLearnSecurity Certified Threat Hunting Professional (eCTHP) wa Certified CyberDefender (CCD) Computer Hacking Forensic Investigator (CHFI) a Certified Incident Handler (ECH) @ EC-Council’s Certified Threat Intelligence Analyst (CTIA) ŝo CREST Registered Threat Intelligence Analyst (CRTIA) โดยประกาศนียบัตรต้องยังไม่หมดอายุนับ ถึงวันยื่นข้อเสนอ
1.3 ผู้เชี่ยวชาญหรือทีมผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ (Specialist) สําหรับบุคลากร ดังกล่าวจะเรียกว่า “ผู้เชี่ยวชาญ” เพื่อสนับสนุนเจ้าหน้าที่ปฏิบัติงาน เป็นระยะเวลา 24 เดือน โดยมีคุณสมบัติ
ดังนี้
การศึกษาขั้นต่ําระดับปริญญาตรีด้านวิศวกรรมคอมพิวเตอร์ หรือวิทยาศาสตร์คอมพิวเตอร์ หรือ สาขาอื่นที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ
มีประสบการณ์ทางด้านระบบความมั่นคงปลอดภัยสารสนเทศ ไม่น้อยกว่า 5 ปี หลังสําเร็จ
การศึกษา นับถึงวันยื่นเสนอราคา
ลงนาม
ลงนาม…
ม
ประธานกรรมการ
กรรมการ ลงนาม…
athy
กรรมการ
18
1.3.1 กรณีมีบุคลากรผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ 1 คน ต้องมีประกาศนียบัตร รับรองความสามารถ (Certificate) โดยประกาศนียบัตรต้องยังไม่หมดอายุนับถึงวันยื่นข้อเสนอ ดังนี้
Certified Information Systems Security Professional (CISSP) so Certified Information Security Manager (CISM) no GIAC Security Operations Manager Certification (GSOM)
Certified Incident Handler (ECIH) sa eLearnSecurity Certified Incident Responder (eCIR) vše Blue Team Level 2 (BTL2)
eLearnSecurity Certified Threat Hunting Professional (eCTHP) a Certified CyberDefender (CCD) e GIAC Certified Intrusion Analyst (GCIA) vẫʼn GIAC Security Operations Certified (GSOC) ɔ̃ в GIAC Continuous Monitoring Certification (GMON) sa CREST Registered Intrusion Analyst (CRIA)
OffSec Certified Professional (OSCP) 0 CREST Certified Threat Intelligence Manager (CCTIM) vs GIAC Certified Incident Handler Certification (GCIH) vão
GIAC Penetration Tester Certification (GPEN)
1.3.2 กรณีมีบุคลากรผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์มากกว่า 1 คน ต้องมี ประกาศนียบัตรรับรองความสามารถ (Certificate) รวมกัน โดยประกาศนียบัตรต้องยังไม่หมดอายุนับถึงวัน ยื่นข้อเสนอ ดังนี้
Certified Information Systems Security Professional (CISSP)
a Certified
Information Security Manager (CISM) ve GIAC Security Operations Manager
Certification (GSOM)
Certified Incident Handler (ECIH) ʼn
eLearnSecurity Certified Incident
Responder (eCIR) 0 Blue Team Level 2 (BTL2)
eLearnSecurity Certified Threat Hunting Professional (eCTHP) a Certified CyberDefender (CCD) 30 GIAC Certified Intrusion Analyst (GCIA)
◊ GIAC
Security Operations Certified (GSOC) GIAC Continuous Monitoring Certification (GMON) иão CREST Registered Intrusion Analyst (CRIA) OffSec Certified Professional (OSCP) šo CREST Certified Threat Intelligence Manager (CCTIM) หรือ GIAC Certified Incident Handter Certification (GCIH) หรือ
GIAC Penetration Tester Certification (GPEN)
ข้อกําหนดในการให้บริการ
2.1 ผู้ชนะการยื่นข้อเสนอตกลงว่า จะเฝ้าระวังความมั่นคงปลอดภัย วิเคราะห์และแจ้งเตือนภัยคุกคาม ไซเบอร์ ตลอดจนการดูแล สนับสนุน ให้คําปรึกษาด้านความมั่นคงปลอดภัยไซเบอร์ ตลอดระยะเวลาตาม สัญญานี้ โดยจะดําเนินให้มีบุคลากร เพื่อปฏิบัติงานเฝ้าระวังเหตุการณ์ผิดปกติและภัยคุกคามทางไซเบอร์ใน รูปแบบ 24 ชั่วโมง ทุกวัน และในรูปแบบ 8 ชั่วโมง 5 วัน ตลอดระยะเวลาตามสัญญาจ้าง เพื่อให้ระบบ สารสนเทศของการไฟฟ้าส่วนภูมิภาค มีความมั่นคงปลอดภัยจากภัยคุกคามทางไซเบอร์ และอยู่ในสภาพพร้อม ใช้งานได้ดีตามปกติโดยไม่คิดค่าใช้จ่ายใดๆ เพิ่มเติมนอกเหนือจากค่าจ้างตามสัญญานี้
ลงนาม..
ประธานกรรมการ
ลงนาม..
…กรรมการ ลงนาม
Only
กรรมการ
19
2.2 ผู้ชนะการยื่นข้อเสนอจะต้องจัดให้เจ้าหน้าที่เฝ้าระวังระดับ 1 และเจ้าหน้าที่เฝ้าระวังระดับ 2 ที่มี ความรู้ความชํานาญในการเฝ้าระวังความมั่นคงปลอดภัย วิเคราะห์และแจ้งเตือนภัยคุกคามไซเบอร์ มา ปฏิบัติงานประจําที่ศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ของการไฟฟ้าส่วนภูมิภาค โดยใช้ พร้อมทั้งจัด ให้มีผู้เชี่ยวชาญ ที่สามารถทําหน้าที่ ควบคุมดูแล ให้คําปรึกษา ให้คําแนะนํา แก่ผู้ที่ปฏิบัติงานภายในศูนย์ ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ รวมถึงพนักงานการไฟฟ้าส่วนภูมิภาค ตลอดระยะเวลาตามสัญญา หากไม่ปฏิบัติตาม ผู้ชนะการยื่นข้อเสนอยินยอมให้หักเงินค่าจ้างบริการนั้นได้
เครื่องมือและเทคโนโลยีที่การไฟฟ้าส่วนภูมิภาคใช้งานอยู่ในปัจจุบันและที่จะจัดหามาในอนาคต
2.3 ผู้ชนะการยื่นข้อเสนอต้องมีศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ และได้รับใบรับรอง มาตรฐานการบริหารความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001 หรือ ISO/IEC 22301 พร้อมช่องทาง ติดต่อสื่อสารโดยตรงโดยต้องเป็นผู้ที่มีความสามารถในการตรวจสอบ ติดตาม และแก้ไขปัญหาการให้บริการได้ 2.4 ในกรณีที่ผู้ชนะการยื่นข้อเสนอไม่สามารถจัดให้เจ้าหน้าที่เฝ้าระวัง มาปฏิบัติงานตามสัญญาได้ ผู้ชนะการยื่นข้อเสนอต้องจัดให้มีเจ้าหน้าที่เฝ้าระวังทดแทน ทั้งนี้ เจ้าหน้าที่เฝ้าระวังทดแทนต้องมีคุณสมบัติ เทียบเท่า หรือสูงกว่าเจ้าหน้าที่เฝ้าระวังเดิมตามที่ระบุไว้ในข้อ 1.1 หรือ 1.2 และต้องได้รับความเห็นชอบจาก การไฟฟ้าส่วนภูมิภาคหรือผู้ที่ได้รับมอบหมายจากการไฟฟ้าส่วนภูมิภาคเป็นลายลักษณ์อักษรก่อนเริ่ม
ปฏิบัติงาน หากผู้ชนะการยื่นข้อเสนอไม่ดําเนินการดังกล่าว การไฟฟ้าส่วนภูมิภาคมีสิทธิจ้างบุคคลภายนอกให้ มาปฏิบัติงานแทนได้ โดยผู้ชนะการยื่นข้อเสนอจะต้องออกค่าใช้จ่ายในการจ้างบุคคลภายนอกแทนการไฟฟ้า ส่วนภูมิภาคทั้งสิ้น และผู้ชนะการยื่นข้อเสนอยินยอมให้การไฟฟ้าส่วนภูมิภาคปรับตามช่วงเวลาที่ไม่มา ปฏิบัติงานนั้น
2.5 ในกรณีระบบสารสนเทศของการไฟฟ้าส่วนภูมิภาคถูกผู้ไม่ประสงค์ดีเข้าถึงและยึดครองสําเร็จ
ผู้ชนะการยื่นข้อเสนอต้องส่งผู้เชี่ยวชาญ เข้ามาปฏิบัติงานร่วมกับพนักงานของการไฟฟ้าส่วนภูมิภาคเพื่อ สืบสวน แก้ไขการถูกเข้าถึงและยึดครอง รวมถึงให้คําแนะนําในการกู้คืนระบบสารสนเทศให้อยู่ในสภาพใช้งาน ได้ตามปกติ โดยต้องเข้ามาปฏิบัติงานสืบสวน และวิเคราะห์ต้นเหตุ (Root Cause) ของภัยคุกคามตาม กระบวนการสากลภายใน 4 ชั่วโมง พร้อมทั้งจัดทํารายงานผลวิเคราะห์ต้นเหตุของภัยคุกคาม (Root Cause Report) นับตั้งแต่เวลาที่ได้รับแจ้งจากการไฟฟ้าส่วนภูมิภาคหรือผู้ที่ได้รับมอบหมายจากการไฟฟ้าส่วนภูมิภาค โดยจะแจ้งให้ผู้ชนะการยื่นข้อเสนอหรือผู้ที่ได้รับมอบหมายจากการไฟฟ้าส่วนภูมิภาคทราบทางวาจา ทาง โทรสาร หรือทางไปรษณีย์อิเล็กทรอนิกส์ (Email) หรือทางโทรศัพท์ ไม่ว่าวิธีใดวิธีหนึ่งให้ถือเป็นการแจ้งโดย ชอบตามสัญญา
2.6 ในกรณีระบบสารสนเทศของการไฟฟ้าส่วนภูมิภาคถูกผู้ไม่ประสงค์ดีเข้าถึงและยึดครองสําเร็จ
ผู้ชนะการยื่นข้อเสนอไม่สามารถส่งผู้เชี่ยวชาญ เข้ามาปฏิบัติงานร่วมกับพนักงานของการไฟฟ้าส่วนภูมิภาคเพื่อ สืบสวน แก้ไขการถูกเข้าถึงและยึดครอง รวมถึงให้คําแนะนําในการกู้คืนระบบสารสนเทศได้ภายใน 4 ชั่วโมง นับแต่เวลาที่ได้รับแจ้งจากการไฟฟ้าส่วนภูมิภาคหรือผู้ที่ได้รับมอบหมายจากการไฟฟ้าส่วนภูมิภาค ผู้ชนะ การยื่นข้อเสนอต้องจัดให้มีผู้เชี่ยวชาญ ทดแทนมาปฏิบัติงาน ทั้งนี้ ผู้เชี่ยวชาญทดแทนต้องมีคุณสมบัติ เทียบเท่า หรือสูงกว่าผู้เชี่ยวชาญเดิมตามที่ระบุไว้ใน ข้อ 1.3 หากผู้ชนะการยื่นข้อเสนอไม่ดําเนินการดังกล่าว การไฟฟ้าส่วนภูมิภาคมีสิทธิจ้างบุคคลภายนอกให้มาปฏิบัติงานแทนได้โดยผู้ชนะการยื่นข้อเสนอจะต้อง
ออกค่าใช้จ่ายในการจ้างบุคคลภายนอกแทนการไฟฟ้าส่วนภูมิภาคทั้งสิ้น และผู้ชนะการยื่นข้อเสนอยินยอมให้ การไฟฟ้าส่วนภูมิภาคปรับตามช่วงเวลาที่ไม่มาปฏิบัติงานนั้น
ลงนาม..
ประธานกรรมการ
ลงนาม
กรรมการ ลงนาม………..
กรรมการ
20
2.7 การเปลี่ยนแปลงเจ้าหน้าที่เฝ้าระวังและผู้เชี่ยวชาญ
(1) ในกรณีที่เจ้าหน้าที่เฝ้าระวังไม่สามารถมาปฏิบัติงานได้ ผู้ชนะการยื่นข้อเสนอต้องหาเจ้าหน้าที่
เฝ้าระวังมาแทน โดยมีคุณสมบัติเทียบเท่าหรือสูงกว่าเจ้าหน้าที่เฝ้าระวังที่ไม่สามารถเข้ามา ปฏิบัติงานได้
(2) ในกรณีที่ผู้ชนะการยื่นข้อเสนอต้องการเปลี่ยนแปลงเจ้าหน้าที่เฝ้าระวังหรือผู้เชี่ยวชาญ เจ้าหน้าที่เฝ้าระวังหรือผู้เชี่ยวชาญ รายใหม่ต้องมีคุณสมบัติเทียบเท่า หรือสูงกว่าเจ้าหน้าที่ เฝ้าระวังหรือผู้เชี่ยวชาญเดิม ซึ่งผู้ชนะการยื่นข้อเสนอต้องทําหนังสือแจ้งและได้รับ
ความเห็นชอบจากการไฟฟ้าส่วนภูมิภาคหรือผู้ที่ได้รับมอบหมายจากการไฟฟ้าส่วนภูมิภาค เป็นลายลักษณ์อักษรก่อนเริ่มปฏิบัติงาน 3 วัน (วันทําการ)
(3) การไฟฟ้าส่วนภูมิภาคสามารถร้องขอให้เปลี่ยนเจ้าหน้าที่เฝ้าระวัง หรือผู้เชี่ยวชาญได้ ในกรณีที่ เจ้าหน้าที่เฝ้าระวังหรือผู้เชี่ยวชาญไม่สามารถปฏิบัติงานได้ หรือขาดความรับผิดชอบในหน้าที่
หรือมีความประพฤติที่ไม่เหมาะสมตามระเบียบหรือนโยบายของการไฟฟ้าส่วนภูมิภาค
โดยผู้ชนะการยื่นข้อเสนอต้องดําเนินการเปลี่ยนภายใน 1 เดือน นับถัดจากวันที่การไฟฟ้า ส่วนภูมิภาคหรือผู้ที่ได้รับมอบหมายจากการไฟฟ้าส่วนภูมิภาค ได้มีหนังสือแจ้งให้ดําเนินการ
หน้าที่ความรับผิดชอบของบุคลากรที่ต้องปฏิบัติงานให้การไฟฟ้าส่วนภูมิภาค
3.1 เจ้าหน้าที่เฝ้าระวังระดับที่ 1 ต้องปฏิบัติงานประจําที่ศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ของการไฟฟ้าส่วนภูมิภาค ตลอด 24 ชั่วโมง ทุกวัน เป็นระยะเวลา 24 เดือน ในรูปแบบการทํางานเป็น ช่วงเวลา ช่วงเวลาละ 12 ชั่วโมง จํานวน 2 ช่วงเวลาต่อ 1 วัน และต้องลงเวลาการเข้า-ออกการปฏิบัติงาน โดย มีรายละเอียดดังนี้
ช่วงเวลาที่ 1 ตั้งแต่เวลา 08.00 น. ถึง 20.00 น.
ช่วงเวลาที่ 2 ตั้งแต่เวลา 20.00 น. ถึง 08.00 น.
ทั้งนี้ หากมีสถานการณ์ที่ไม่ปกติ การไฟฟ้าส่วนภูมิภาคสามารถพิจารณาเปลี่ยนแปลงช่วงเวลาที่ 1 และ 2 ได้ตามความเหมาะสม
3.2 เจ้าหน้าที่เฝ้าระวังระดับที่ 2 ต้องปฏิบัติงานประจําที่ศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ของการไฟฟ้าส่วนภูมิภาค ตั้งแต่เวลา 08.00 น. - 16.00 น. (วันจันทร์ - วันศุกร์) เป็นระยะเวลา 24 เดือน และต้องลงเวลาการเข้า-ออกการปฏิบัติงาน
3.3 เจ้าหน้าที่เฝ้าระวังที่เข้าปฏิบัติงานจะต้องมีการประชุมก่อนเข้าปฏิบัติงานประจําช่วงเวลา ในรูปแบบออนไลน์ (Online Meeting) โดยมีเจ้าหน้าที่ของการไฟฟ้าส่วนภูมิภาคเข้าร่วมฟังด้วย
3.4 เจ้าหน้าที่เฝ้าระวังระดับ 1 มีหน้าที่รับผิดชอบ ดังนี้
3.4.1 ประจําที่ศูนย์ปฏิบัติการฯ ตามช่วงเวลาในการปฏิบัติงาน
3.4.2 เฝ้าระวัง ตรวจจับ ค้นหา แจ้งเตือนภัยคุกคามไซเบอร์และเหตุการณ์ผิดปกติต่าง ๆ ที่ปรากฏ ขึ้นในระบบ, อุปกรณ์ และเว็บไซต์ รวมถึงเครื่องคอมพิวเตอร์แม่ข่ายต่างๆ ที่อยู่ในระบบ สารสนเทศของการไฟฟ้าส่วนภูมิภาค โดยเมื่อพบเหตุภัยคุกคามจะต้องดําเนินการแจ้งภายใน ระยะเวลาที่กําหนด
3.4.3 จัดทํารายงานผลการเฝ้าระวังภัยคุกคามไซเบอร์ประจําช่วงเวลา ประกอบด้วยข้อมูลสรุป สถานะและปัญหาที่พบของระบบเฝ้าระวังฯ ระบบ, อุปกรณ์ และเว็บไซต์ของการไฟฟ้า
ลงนาม
ประธานกรรมการ
ลงนาม..
กรรมการ ลงนาม..
…กรรมการ
21
ส่วนภูมิภาค รวมถึงเครื่องคอมพิวเตอร์แม่ข่ายต่างๆ ที่อยู่ในระบบสารสนเทศ โดยมี รายละเอียดอย่างน้อยดังนี้
(1) ข้อมูลสถานะของเหตุการณ์ผิดปกติ (Incident Case) ที่ตรวจพบ
(2) ข้อมูลภัยคุกคามและเหตุการณ์ผิดปกติ (Threat & Incidents) และผลกระทบที่อาจจะ
เกิดขึ้นกับการไฟฟ้าส่วนภูมิภาค
(3) ข้อมูลแนวทางการแก้ไข (ถ้ามี)
(4) ข้อมูลข่าวสารประจําช่วงเวลา (ถ้าพบข่าวในช่วงเวลา)
3.4.4 สรุปผลการเฝ้าระวังในแต่ละช่วงเวลา อย่างน้อย 1 ครั้ง และส่งรายงานประจําช่วงเวลา
ภายในเวลา 30 นาที หลังจากหมดช่วงเวลาทํางาน
3.4.5 รายงานอื่นๆ ตามที่การไฟฟ้าส่วนภูมิภาคร้องขอ
3.4.6 ติดต่อประสานงาน แจ้งเตือน และให้คําแนะนําการแก้ไขปัญหาหรือการป้องกันภัยคุกคาม
ไซเบอร์เบื้องต้นให้แก่หน่วยงานภายในการไฟฟ้าส่วนภูมิภาค
3.4.7 ดําเนินการตรวจสอบ วิเคราะห์สาเหตุของเหตุการณ์ผิดปกติและภัยคุกคาม รวมทั้ง ให้คําแนะนําการแก้ไขปัญหา หรือการป้องกันเบื้องต้นแก่พนักงานของการไฟฟ้า ส่วนภูมิภาคในกรณีที่ต้องการคําแนะนํา หรือต้องการความช่วยเหลือในการแก้ปัญหา
3.4.8 ถ่ายทอดความรู้วิธีการตรวจสอบ วิเคราะห์ และตอบสนองต่อเหตุการณ์ความมั่นคงปลอดภัย
ไซเบอร์ให้แก่พนักงานการไฟฟ้าส่วนภูมิภาค
3.5 เจ้าหน้าที่เฝ้าระวังระดับ 2 มีหน้าที่รับผิดชอบ ดังนี้
3.5.1 ประจําที่ศูนย์ปฏิบัติการฯ
3.5.2 เฝ้าระวัง ตรวจจับ ค้นหา แจ้งเตือนภัยคุกคามไซเบอร์และเหตุการณ์ผิดปกติต่างๆ ที่ปรากฏ ขึ้นในระบบ, อุปกรณ์ และเว็บไซต์ รวมถึงเครื่องคอมพิวเตอร์แม่ข่ายต่างๆ ที่อยู่ในระบบ สารสนเทศของการไฟฟ้าส่วนภูมิภาค
3.5.3 ศึกษาภัยคุกคามไซเบอร์ใหม่ วิธีการวิเคราะห์ และวิธีการตอบสนองต่อเหตุการณ์ความมั่นคง ปลอดภัยไซเบอร์และนํามาถ่ายทอดใหม่ให้แก่ผู้ปฏิบัติงานและเจ้าหน้าที่ของการไฟฟ้า
ส่วนภูมิภาค
3.5.4 ติดตามเหตุการณ์ที่ยังไม่ได้รับการตอบสนองกับเจ้าหน้าที่ของการไฟฟ้าส่วนภูมิภาค 3.5.5 ตรวจสอบและวิเคราะห์ข้อมูลภัยคุกคามและเหตุการณ์ผิดปกติ (Threat & Incidents) และ ผลกระทบที่อาจจะเกิดขึ้นกับการไฟฟ้าส่วนภูมิภาคที่ได้รับจากเจ้าหน้าที่เฝ้าระวังระดับ 1
ก่อนส่งต่อให้พนักงานของการไฟฟ้าส่วนภูมิภาค
3.5.6 ติดต่อประสานงาน แจ้งเตือน ให้คําปรึกษา ช่วยเหลือ และให้คําแนะนําในการตอบรับ
เหตุการณ์ความมั่นคงปลอดภัยไซเบอร์กับพนักงานของการไฟฟ้าส่วนภูมิภาค
3.5.7 ปรับปรุงรูปแบบการเฝ้าระวังและตรวจจับภัยคุกคาม (Use Case) และคู่มือตอบสนองต่อ เหตุการณ์ (Playbook) สําหรับการเฝ้าระวัง วิเคราะห์ และแจ้งเตือนเหตุการณ์ผิดปกติและ ภัยคุกคามทางไซเบอร์ พร้อมจัดทํารายงานสรุปรูปแบบการเฝ้าระวังและตรวจจับภัยคุกคาม (Use Case Report) ให้การไฟฟ้าส่วนภูมิภาค
3.5.8 จัดทําคู่มือกระบวนการ วิธีการ และขั้นตอน (Knowledge Base) สําหรับการแก้ไขปัญหาภัย
คุกคามไซเบอร์ ที่ปรากฏขึ้นกับการไฟฟ้าส่วนภูมิภาค
ลงนาม.
ประธานกรรมการ
ลงนาม..
กรรมการ ลงนาม……….
กรรมการ
22
3.6 ผู้เชี่ยวชาญ มีหน้าที่รับผิดชอบ ดังนี้
(1) สามารถทําหน้าที่ควบคุมดูแล ให้คําปรึกษา ให้คําแนะนําแก่เจ้าหน้าที่เฝ้าระวังฯ ประจําที่ศูนย์ ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) ของการไฟฟ้าส่วนภูมิภาค ในกรณีที่ไม่สามารถ แก้ไขหรือวิเคราะห์หาสาเหตุได้ พร้อมประสานงานกับเจ้าหน้าที่ของการไฟฟ้าส่วนภูมิภาค หากมีภัยคุกคามระดับวิกฤต ตลอด 24 ชั่วโมงผ่านช่องทางที่การไฟฟ้าส่วนภูมิภาคกําหนด (2) ให้คําปรึกษา ประเมินจุดอ่อนและความเสี่ยงพร้อมทั้งนําเสนอแนวทางการแก้ไขและป้องกันภัย
คุกคามทางไซเบอร์ที่มีโอกาสเกิดขึ้นกับการไฟฟ้าส่วนภูมิภาค
ขั้นตอนการปฏิบัติงาน
4.1 เจ้าหน้าที่เฝ้าระวังระดับ 1, เจ้าหน้าที่เฝ้าระวังระดับ 2 และผู้เชี่ยวชาญ ต้องตรวจจับและค้นหา พร้อม วิเคราะห์ Flow ของการโจมตี หรือภัยคุกคาม ที่เกิดขึ้นกับการไฟฟ้าส่วนภูมิภาค
4.2 เจ้าหน้าที่เฝ้าระวังระดับ 2 ต้องเข้ามาดําเนินการปรับปรุงรูปแบบการเฝ้าระวังและตรวจจับภัย คุกคาม (Use Case) และคู่มือตอบสนองต่อเหตุการณ์ (Playbook) สําหรับการเฝ้าระวัง วิเคราะห์ และ แจ้งเตือนเหตุการณ์ผิดปกติและภัยคุกคามทางไซเบอร์จํานวนเดือนละไม่น้อยกว่า 2 Use Cases หรือตามที่ การไฟฟ้าส่วนภูมิภาคร้องขอ โดยจะต้องมีพนักงานของการไฟฟ้าส่วนภูมิภาคกํากับดูแลทุกครั้ง รวมทั้งสรุปผล การดําเนินการในการประชุมและรายงานสรุปรูปแบบการเฝ้าระวังและตรวจจับภัยคุกคาม (Use Case
Report)
3
4.3 เจ้าหน้าที่เฝ้าระวังระดับ 1 ระดับ 2 และผู้เชี่ยวชาญ ต้องเข้าร่วมประชุมกับเจ้าหน้าที่ของการไฟฟ้า ส่วนภูมิภาคอย่างน้อยเดือนละ 1 ครั้ง หรือตามที่การไฟฟ้าส่วนภูมิภาคร้องขอ อย่างน้อย 24 ครั้ง เพื่อสรุปผลการปฏิบัติงาน วิเคราะห์ปัญหา ให้คําแนะนําแนวทางปรับปรุง/ปรับแต่งอุปกรณ์และโครงสร้าง พื้นฐานด้านสารสนเทศให้มีความมั่นคงปลอดภัย พร้อมทําการถ่ายทอดเทคโนโลยีและความรู้ (Technology and Knowledge Transfer) หรือให้คําปรึกษาอื่น ๆ ที่เกี่ยวข้อง โดยการประชุมต้องมีการสรุปผลดังนี้
4.3.1 บทสรุปผู้บริหาร (Executive Summary)
ๆ
4.3.2 Security Alert ในภาพรวม และรายละเอียดที่เกี่ยวข้อง
4.3.3 ผลและสถานะของการแจ้งเตือนเหตุการณ์ผิดปกติและภัยคุกคามประจําเดือน (Incident) 4.3.4 รายงานสรุปรูปแบบการเฝ้าระวังและตรวจจับภัยคุกคาม (Use Case Report) และรายงาน
ผลการนํา Use Case ไปใช้งาน
4.3.5 ข่าวสารและผลการวิเคราะห์ข่าวสาร (Security NEWS Analysis) 4.3.6 รายงานผลวิเคราะห์ต้นเหตุของภัยคุกคาม (Root Cause Report) (ถ้ามี) 4.3.7 อื่น ๆ ตามที่การไฟฟ้าส่วนภูมิภาคร้องขอ
4.4 เจ้าหน้าที่เฝ้าระวังระดับ 1 ระดับ 2 ต้องทําการเฝ้าระวัง วิเคราะห์ และแจ้งเตือนเหตุการณ์ผิดปกติ และภัยคุกคามไซเบอร์ ให้การไฟฟ้าส่วนภูมิภาคทราบผ่านทางอีเมล (Email), โทรศัพท์ หรือผ่านช่องทางที่การ ไฟฟ้าส่วนภูมิภาคกําหนด เช่น ระบบ SOAR (Security Orchestration, Automation and Response) หรือ Incident Management หรือช่องทางอื่นตามที่การไฟฟ้าส่วนภูมิภาคกําหนด โดยการแจ้งเหตุการณ์ผิดปกติและ ภัยคุกคามไซเบอร์ ในกรณีพบการบุกรุก แบ่งตาม Service Level Agreement (SLA) และระดับความรุนแรง (Severity) ที่การไฟฟ้าส่วนภูมิภาคกําหนด ดังต่อไปนี้
ลงนาม..
….ประธานกรรมการ
ลงนาม
กรรมการ ลงนาม ………
กรรมการ
23
ระดับความรุนแรง
(Severity)
ระยะเวลาในการแจ้งเตือน
(Notification).
ระยะเวลาในการตรวจสอบและวิเคราะห์
เหตุการณ์ผิดปกติและภัยคุกคามเพิ่มเติม (Investigation) พร้อมจัดทํา Incident Case ภายใน 30 นาทีหลังจากแจ้งเตือน
…
ระดับวิกฤต (Critical) ระดับสูง (High)
ภายใน 15 นาที
ภายใน 30 นาที
ภายใน 30 นาทีหลังจากแจ้งเตือน
ภายใน 60 นาทีหลังจากแจ้งเตือน
ระดับปานกลาง (Medium) ภายใน 2 ชั่วโมง
4.4.1 กรณีการบุกรุกนั้นส่งผลร้ายแรงต่อการดําเนินงานของการไฟฟ้าส่วนภูมิภาค เจ้าหน้าที่ เฝ้าระวังระดับ 1 หรือ ระดับ 2 จะต้องดําเนินการแจ้งให้การไฟฟ้าส่วนภูมิภาคทราบทันทีผ่านช่องทางที่ การไฟฟ้าส่วนภูมิภาคกําหนด พร้อมทั้งให้คําแนะนํา และวิธีการแก้ไขปัญหาให้กับการไฟฟ้าส่วนภูมิภาค
4.4.2 กรณีการบุกรุกนั้นไม่ส่งผลร้ายแรงต่อการดําเนินงานของการไฟฟ้าส่วนภูมิภาค เจ้าหน้าที่ เฝ้าระวังระดับ 1 หรือ ระดับ 2 จะต้องดําเนินการแจ้งให้การไฟฟ้าส่วนภูมิภาคภายใน 2 ชั่วโมง ผ่านช่องทางที่ การไฟฟ้าส่วนภูมิภาคกําหนด พร้อมทั้งให้คําแนะนํา และวิธีการแก้ไขปัญหาให้กับการไฟฟ้าส่วนภูมิภาค
4.5 เจ้าหน้าที่เฝ้าระวังระดับ 1 หรือ ระดับ 2 ต้องจัดทํารายงานด้านต่าง ๆ ดังต่อไปนี้
4.5.1 รายงานประจําช่วงเวลา (Shift Report)
4.5.2 รายงานประจําวัน (Daily Report)
4.5.3 รายงานประจําเดือน (Monthly Report) 4.5.4 รายงานประจําปี (Yearly Report)
4.5.5 รายงานเหตุการณ์ผิดปกติ (Incidents Report) ประกอบด้วยอย่างน้อย ดังนี้ เหตุการณ์ ผิดปกติ แหล่งที่มาของการบุกรุก แนวทางการแก้ไขในเบื้องต้น เจ้าหน้าที่ปฏิบัติงานจะต้องแจ้งเตือนเหตุการณ์ ที่เกี่ยวข้องกับความปลอดภัยสารสนเทศที่เกิดขึ้นในระบบเครือข่ายของการไฟฟ้าส่วนภูมิภาค ยกเว้นจะได้รับ การแจ้งอย่างเป็นลายลักษณ์อักษรจากการไฟฟ้าส่วนภูมิภาคถึงรายการที่ระงับการแจ้งเตือน (Exception
List)
4.5.6 รายงานข้อมูลข่าวสารเกี่ยวกับกลุ่มอาชญากรทางไซเบอร์, มัลแวร์, ช่องโหว่ ในรูปแบบ Tactics, Techniques, and Procedures (TTPs), แนวโน้มลักษณะการโจมตี หรือภัยคุกคามที่เกิดขึ้นทั่วโลก และการไฟฟ้าส่วนภูมิภาค (Cyber Security Trends Report)
4.5.7 รายงานสรุปรูปแบบการเฝ้าระวังและตรวจจับภัยคุกคาม (Use Case Report) ประกอบด้วย Flowchart, คําอธิบาย, วิธีการตรวจจับ, Logs Source (ถ้ามี) แหล่งอ้างอิง พร้อมเสนอแนวทาง และแผนงานการปรับปรุงความปลอดภัยให้กับการไฟฟ้าส่วนภูมิภาค
4.5.8 รายงานข่าวการวิเคราะห์ภัยคุกคามที่เกี่ยวข้องกับอุตสาหกรรมพลังงานและสาธารณูปโภค (Energy & Utility Threat Landscape Report) หรือกลุ่มโครงสร้างพื้นฐานสําคัญทางสารสนเทศ (Critical
Information Infrastructure: Cil)
4.5.9 คู่มือกระบวนการ วิธีการ และขั้นตอน (Knowledge Base) สําหรับการแก้ไขปัญหา ภัยคุกคามไซเบอร์
น
ทั้งนี้ รายงาน (ตามข้อ 4.5.3 - 4.5.7) จะต้องส่งถึง การไฟฟ้าส่วนภูมิภาค ภายใน 7 วัน นับถัดจาก วันสุดท้ายแห่งเดือนปฏิทินนั้น โดยต้องผ่านการตรวจสอบพร้อมทั้งลงนามรับรองจากผู้เชี่ยวชาญก่อนส่งมอบให้ การไฟฟ้าส่วนภูมิภาค
ลงนามิ……
ประธานกรรมการ
ลงนาม….
….กรรมการ ลงนาม..
กรรมการ
24
4.6 เจ้าหน้าที่เฝ้าระวังระดับ 1 หรือ ระดับ 2 ต้องแจ้งข่าวสารที่เกี่ยวข้องกับการรักษาความปลอดภัย สารสนเทศและเครือข่ายของการไฟฟ้าส่วนภูมิภาคที่เกิดขึ้น ผ่านทางอีเมล (Email) หรือช่องทางอื่นที่เหมาะสม ซึ่งข่าวสารนั้นจะประกอบด้วยรายละเอียดต่าง ๆ ดังนี้
4.6.1 ภัยคุกคามหรือมัลแวร์หรือการโจมตีหรือช่องโหว่ใหม่ของอุปกรณ์เครือข่าย ระบบปฏิบัติการ ฐานข้อมูล แอปพลิเคชัน หรือโปรแกรมต่าง ๆ ที่เห็นว่าจะก่อให้เกิดผลเสียหายต่อการดําเนินงานของการไฟฟ้า ส่วนภูมิภาคโดยข่าวสารดังกล่าวประกอบด้วย คําอธิบายโดยสังเขป รายละเอียดผลกระทบ ระบบที่ได้รับ ผลกระทบ แนวทางแก้ไข (ถ้ามี) พร้อมแหล่งอ้างอิง
4.6.2 กลุ่มอาชญากรทางไซเบอร์ ในรูปแบบ Tactics, Techniques, and Procedures (TTPs), แนวโน้มลักษณะการโจมตี หรือภัยคุกคามที่เกิดขึ้นทั่วโลก
4.7 เจ้าหน้าที่เฝ้าระวังระดับ 1 ระดับ 2 และผู้เชี่ยวชาญ ต้องปฏิบัติงานร่วมกับพนักงานของการไฟฟ้า ส่วนภูมิภาคเพื่อสืบสวน แนะนําแนวทางและวิธีการแก้ไขการถูกเข้าถึงและยึดครองระบบสารสนเทศ รวมถึงให้ คําแนะนําในการกู้คืนระบบสารสนเทศ รวมทั้งจัดทํารายงานผลวิเคราะห์ต้นเหตุของภัยคุกคาม (Root Cause
Report)
4.8 ผู้เชี่ยวชาญ ต้องตรวจสอบและลงนามรับรองรายงานทุกฉบับ (ตามข้อ 4.5) รวมถึงคู่มือกระบวนการ วิธีการ และขั้นตอน (Knowledge Base) สําหรับการแก้ไขปัญหาภัยคุกคามไซเบอร์ก่อนส่งมอบให้แก่การไฟฟ้า ส่วนภูมิภาค หากผู้ชนะการยื่นข้อเสนอไม่ดําเนินการ การไฟฟ้าส่วนภูมิภาคจะคิดค่าปรับตามเงื่อนไขเฉพาะงาน
ข้อ 13.1.2
ๆ
4.9 ผู้ชนะการยื่นข้อเสนอต้องจัดเตรียมระบบ SOCRadar เพื่อทําการเฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัย คุกคามด้านความมั่นคงปลอดภัยไซเบอร์ สําหรับ Domain (*.pea.co.th) ตลอดระยะเวลาสัญญา และมีสิทธิ การเข้าใช้งานสําหรับการไฟฟ้าส่วนภูมิภาค จํานวน 3 ผู้ใช้งาน โดยระบบ SOCRadar จะต้องให้บริการตรวจสอบ และแจ้งเตือนข้อมูลรั่วไหล (Leaked Credentials) ในแหล่งต่าง ๆ ภายใน 72 ชั่วโมง หรือตามที่การไฟฟ้า ส่วนภูมิภาคร้องขอ เฝ้าระวังและตรวจสอบข้อมูลที่รั่วไหลของพนักงาน และข้อมูลของผู้บริหารระดับสูง (C-Level) ได้ไม่น้อยกว่า 40 บัญชี มีการเฝ้าระวังและตรวจสอบช่องทางต่าง ๆ ที่ผู้ไม่ประสงค์ดีใช้งาน เช่น Discord, Telegram, Dark Web Forums เป็นต้น มี Credits ที่สามารถร้องขอการนําข้อมูล (Request Obtain) ออกจาก ตลาดมืด (Black Market) ได้จํานวนไม่น้อยกว่า 100 Credits รองรับการเฝ้าระวัง (Monitor) อย่างต่อเนื่อง สําหรับ 3 Domains (Slots) และมีความยืดหยุ่นให้เปลี่ยนได้ไม่น้อยกว่า 1 ครั้งต่อ Domain ต่อปี
ลงนาม..
ลงนาม..
A
ประธานกรรมการ
กรรมการ ลงนาม…….
…กรรมการ
35
25
2.4
เอกสารแนบท้ายเพิ่มเติม
สัญญาการรักษาข้อมูลที่เป็นความลับ (Non-Disclosure Agreement)
และการปฏิบัติตามนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ
26
การไฟฟ้าส่วนภูมิภาค
PROVINCIAL ELECTRICITY AUTHORITY
สัญญาการรักษาข้อมูลที่เป็นความลับ (Non-Disclosure Agreement)
และการปฏิบัติตามนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ
สัญญาฉบับนี้ ทําขึ้นที่ สํานักงานใหญ่ การไฟฟ้าส่วนภูมิภาค ตั้งอยู่เลขที่ ๒๐๐ ถนนงามวงศ์วาน
แขวงลาดยาว เขตจตุจักร กรุงเทพมหานคร รหัสไปรษณีย์ ๑๐๙๐๐ เมื่อวันที่
ระหว่าง การไฟฟ้าส่วนภูมิภาค โดย
เรียกว่า “ผู้ให้ข้อมูล” ฝ่ายหนึ่ง กับ
โดย
ซึ่งมีนิติสัมพันธ์กับ การไฟฟ้าส่วนภูมิภาค ตาม
(ระบุรายละเอียดของสัญญา/ข้อตกลง/โครงการ/การวิจัย/
ซึ่งต่อไปนี้เรียกว่า “ผู้รับข้อมูล” อีกฝ่ายหนึ่ง
ทั้งคู่สัญญาได้ตกลงกัน โดยมีข้อความดังต่อไปนี้
ตุ้ย ต.
ค่านิยาม
ซึ่งต่อไปนี้
“ข้อมูลที่เป็นความลับ” หมายความถึง บรรดาข้อความ เอกสาร ข้อมูล ตลอดจน รายละเอียดทั้งปวงที่เป็นของผู้ให้ข้อมูล รวมถึงที่อยู่ในความครอบครองหรือควบคุมดูแลของผู้ให้ข้อมูล และ ไม่เป็นที่รับรู้ของสาธารณชนโดยทั่วไป ไม่ว่าจะในรูปแบบที่จับต้องได้หรือไม่ หรือสื่อแบบใด ไม่ว่าจะถูก ดัดแปลงแก้ไขโดยผู้รับข้อมูลหรือไม่ และไม่ว่าจะเปิดเผยเมื่อใดและอย่างไร ให้ถือว่าเป็นความลับ
ข้อ ๒. การรักษาข้อมูลที่เป็นความลับ
๒.๑ ผู้รับข้อมูลต้องรับผิดชอบรักษาข้อมูลที่เป็นความลับ และเก็บข้อมูลความลับไว้โดย ครบถ้วน และอย่างเคร่งครัด ผู้รับข้อมูลจะต้องไม่เปิดเผย ทําสําเนา หรือทําการอื่นใดทํานองเดียวกันแก่ บุคคลอื่นไม่ว่าทั้งหมดหรือบางส่วน เว้นแต่ได้รับอนุญาตเป็นหนังสือจากผู้ให้ข้อมูล
๒.๒ ผู้รับข้อมูลต้องใช้ข้อมูลที่เป็นความลับเพื่อการอันเกี่ยวกับหรือสัมพันธ์กับการ ดําเนินงานที่มีอยู่ระหว่างผู้ให้ข้อมูลกับผู้รับข้อมูล โดยผู้รับข้อมูลต้องแจ้งให้ผู้ให้ข้อมูลทราบโดยทันทีที่พบการ ใช้หรือการเปิดเผยข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต หรือการละเมิดหรือฝ่าฝืนข้อกําหนดตามสัญญานี้
อีกทั้งผู้รับข้อมูลจะต้องให้ความร่วมมือกับผู้ให้ข้อมูลอย่างเต็มที่ในการเรียกคืนซึ่งการครอบครองข้อมูลที่เป็น
ความลับ การป้องกันการใช้ข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต และการระงับยับยั้งการเผยแพร่ข้อมูล ที่เป็นความลับออกสู่สาธารณะ
๒.๓ ผู้รับข้อมูลต้องใช้มาตรการที่เหมาะสมในการเก็บรักษาข้อมูลที่เป็นความลับ
เพื่อป้องกันมิให้ข้อมูลที่เป็นความลับถูกนําไปใช้โดยมิได้รับอนุญาตหรือถูกเปิดเผยแก่บุคคลอื่น โดยผู้รับข้อมูล ต้องใช้มาตรการการเก็บรักษาข้อมูลที่เป็นความลับในระดับเดียวกันกับที่ผู้รับข้อมูลใช้กับข้อมูลที่เป็นความลับ
ของตนเอง ซึ่งต้องไม่น้อยกว่าการดูแลที่สมควร
๒,๔
27
……….

6-
๒.๔ ผู้รับข้อมูลต้องแจ้งให้บุคลากร พนักงาน ลูกจ้าง ที่ปรึกษาของผู้รับข้อมูล และ/หรือ บุคคลภายนอกที่ต้องเกี่ยวข้องกับข้อมูลที่เป็นความลับนั้นทราบถึงความเป็นความลับและข้อจํากัดสิทธิใน
การใช้และการเปิดเผยข้อมูลที่เป็นความลับ
และผู้รับข้อมูลต้องดําเนินการให้บุคคลดังกล่าวต้องผูกพันด้วยสัญญา
หรือข้อตกลงเป็นหนังสือในการรักษาข้อมูลที่เป็นความลับโดยมีข้อกําหนดเช่นเดียวกับหรือไม่น้อยกว่า
ข้อกําหนดและเงื่อนไขในสัญญาฉบับนี้ด้วย
ข้อ ๓.
๒.๕ ข้อมูลที่เป็นความลับตามข้อตกลงฉบับนี้ ไม่รวมไปถึงข้อมูลดังต่อไปนี้
(๑) ข้อมูลที่ ผู้ให้ข้อมูล เปิดเผยแก่สาธารณะ
(๒) ข้อมูลที่ผู้รับข้อมูลทราบอยู่ก่อนที่ ผู้ให้ข้อมูล จะเปิดเผยข้อมูลนั้น (๓) ข้อมูลที่มาจากการพัฒนาโดยอิสระของผู้รับข้อมูลเอง
(๔) ข้อมูลที่ต้องเปิดเผยโดยกฎหมายหรือตามคําสั่งศาล ทั้งนี้ผู้รับข้อมูลต้องมีหนังสือ แจ้งให้ ผู้ให้ข้อมูล ได้รับทราบถึงข้อกําหนดหรือคําสั่งดังกล่าวพร้อมทั้งหมายศาล และ/หรือ หมายค้นอย่างเป็นทางการยื่นต่อผู้ให้ข้อมูล ก่อนที่จะดําเนินการ เปิดเผยข้อมูลดังกล่าว และในการเปิดเผยข้อมูลดังกล่าวผู้รับข้อมูลจะต้อง
ดําเนินการตามขั้นตอนทางกฎหมายเพื่อขอให้คุ้มครองข้อมูลดังกล่าวไม่ให้ถูก
เปิดเผยต่อสาธารณะด้วย
(๕) เป็นการเปิดเผยข้อมูลโดยได้รับความเห็นชอบจากผู้ให้ข้อมูล เป็นลายลักษณ์อักษร
ก่อนที่ผู้รับข้อมูลจะเปิดเผยข้อมูลนั้น
ทรัพย์สินทางปัญญา
สัญญาฉบับนี้ไม่มีผลบังคับใช้เป็นการโอนสิทธิหรือการอนุญาตให้ใช้สิทธิ (ไม่ว่าโดยตรง หรือ
โดยอ้อม) ให้แก่ผู้รับข้อมูลที่ได้รับความลับซึ่ง สิทธิบัตร ลิขสิทธิ์ การออกแบบ เครื่องหมายการค้า ตราสัญลักษณ์ รูปประดิษฐ์อื่นใด ชื่อทางการค้า ความลับทางการค้า ไม่ว่าจดทะเบียนไว้ตามกฎหมายหรือไม่ก็ตาม หรือ สิทธิอื่นๆ ของผู้ให้ข้อมูล ซึ่งอาจมีอยู่ใน ปรากฏอยู่ หรือนํามาทําซ้ําไว้ในเอกสารข้อมูลที่เป็นความลับ ทั้งนี้ ผู้รับข้อมูลหรือบุคคลอื่นใดที่เกี่ยวข้องกับผู้รับข้อมูล และเกี่ยวข้องกับข้อมูลที่เป็นความลับดังกล่าว จะไม่ยื่น ขอรับสิทธิและหรือขอจดทะเบียนเกี่ยวกับทรัพย์สินทางปัญญาใดๆ ตลอดจนไม่นําไปใช้โดยไม่ได้รับการอนุญาต
เป็นหนังสือจากผู้ให้ข้อมูล เกี่ยวกับรายละเอียดข้อมูลที่เป็นความลับหรือส่วนหนึ่งส่วนใดของรายละเอียดดังกล่าว
ข้อ ๔. หน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศ
ผู้รับข้อมูลต้องปฏิบัติตามนโยบาย แนวปฏิบัติ หลักเกณฑ์ ประกาศ ระเบียบ หรือกฎหมาย เกี่ยวกับความมั่นคงปลอดภัยสารสนเทศ บรรดาซึ่งใช้บังคับอยู่ในปัจจุบัน รวมทั้งที่จะมีการประกาศใช้
ในอนาคตด้วย
ในกรณีผู้รับข้อมูลมีการดําเนินการที่เกี่ยวข้องกับระบบสารสนเทศของผู้ให้ข้อมูล นอกจาก
จะต้องการดําเนินการตามวรรคแรกแล้ว ผู้รับข้อมูลต้องปฏิบัติตามสรุปรายละเอียดนโยบายด้านความมั่นคง ปลอดภัยสารสนเทศสําหรับผู้ให้บริการภายนอก และต้องดําเนินการให้ถูกต้องสอดคล้องตามนโยบาย
การพัฒนาระบบสารสนเทศด้วย
ข้อ ๕.
28
ล

ข้อ ๕. การส่งคืน ลบ หรือการทําลายข้อมูลที่เป็นความลับ
เมื่อการดําเนินงานที่มีอยู่ระหว่างผู้ให้ข้อมูลกับผู้รับข้อมูลเสร็จสิ้นลง ผู้รับข้อมูลจะต้องส่งมอบ ข้อมูลที่เป็นความลับและสําเนาของข้อมูลที่เป็นความลับที่ผู้รับข้อมูลได้รับไว้คืนให้แก่ผู้ให้ข้อมูล
ตลอดจนลบ หรือทําลายข้อมูลที่เป็นความลับที่ถูกจัดเก็บไว้ในคอมพิวเตอร์ หรืออุปกรณ์อื่นใดที่ใช้จัดเก็บข้อมูล (ถ้ามี) หรือ ดําเนินการอื่นตามที่ได้รับการแจ้งเป็นหนังสือจากผู้ให้ข้อมูล ตลอดจนยุติการใช้ข้อมูลที่เป็นความลับที่ได้จาก
ผู้ให้ข้อมูลทันที และผู้รับข้อมูลจะต้องรักษาความลับของข้อมูลที่ได้รับจากผู้ให้ข้อมูลตลอดไป แม้ว่าการ ดําเนินงานเสร็จสิ้นลงแล้วก็ตาม
ข้อ 5. การชดใช้ค่าเสียหาย
ในกรณีที่ผู้รับข้อมูล และ/หรือบุคคลที่ได้รับข้อมูลที่เป็นความลับตามสัญญานี้ซึ่งอยู่ใน ความรับผิดชอบดูแลของผู้รับข้อมูล ฝ่าฝืนข้อกําหนดตามข้อตกลงนี้ และก่อให้เกิดความเสียหายแก่ผู้ให้ข้อมูล ผู้รับข้อมูลจะต้องชดใช้ค่าเสียหายที่เกิดขึ้นทั้งหมดให้แก่ผู้ให้ข้อมูลภายใน ๓๐ (สามสิบ) วัน นับแต่ได้รับ
หนังสือแจ้งค่าเสียหาย
ข้อ ๗. การบังคับใช้
๗.๑ ในกรณีที่ปรากฏในภายหลังว่าส่วนใดส่วนหนึ่งในสัญญาฉบับนี้เป็นโมฆะ ให้ถือว่า ข้อกําหนดส่วนที่เป็นโมฆะไม่มีผลบังคับในสัญญานี้ และข้อกําหนดที่เหลืออยู่ในสัญญาฉบับนี้ ยังคงใช้บังคับ
และมีผลอยู่อย่างสมบูรณ์
๗.๒ สัญญาฉบับนี้อยู่ภายใต้การบังคับใช้และตีความตามกฎหมายไทย
สัญญานี้ทําขึ้นสองฉบับ มีข้อความถูกต้องตรงกัน คู่สัญญาได้อ่านและเข้าใจข้อความโดยละเอียด ตลอดแล้ว จึงได้ลงลายมือชื่อพร้อมทั้งประทับตรา (ถ้ามี) ไว้เป็นสําคัญต่อหน้าพยานและคู่สัญญาต่างยึดถือไว้ ฝ่ายละหนึ่งฉบับ
ลงชื่อ
ผู้ให้ข้อมูล
(…
}
ผู้รับข้อมูล
)
ลงชื่อ
ลงชื่อ
ลงชื่อ
{
{
( …………
)
)
พยาน
พยาน
29
2. เอกสารแนบท้ายเพิ่มเติม
2.5 สัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement)
30
การไฟฟ้าส่วนภูมิภาค
PROVINCIAL ELECTRICITY AUTHORITY
สัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement)
สัญญาฉบับนี้ทําขึ้นที่ การไฟฟ้าส่วนภูมิภาค
(สถานที่ที่จัดทําสัญญา),
ตั้งอยู่เลขที่…….. ถนน..
เมื่อวันที่
เดือน
พ.ศ. ………ระหว่าง
การไฟฟ้าส่วนภูมิภาค
ตําบล/แขวง..
อําเภอ/เขต…..
จังหวัด..
โดย
..(ชื่อผู้มีอํานาจลงนาม),
ตําแหน่ง
ลงวันที่
(ชื่อหน่วยงาน………….ตั้งอยู่เลขที่
..อําาเภอ/เขต…..
จังหวัด.
C
(ชื่อผู้มีอํานาจ………………..ตําแหน่ง
รหัสไปรษณีย์
ตามหนังสือมอบอํานาจเลขที่
ซึ่งต่อไปในสัญญาฉบับนี้เรียกว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” ฝ่ายหนึ่ง กับ
ถนน…..
รหัสไปรษณีย์.
ตามหนังสือมอบอํานาจเลขที่
ตําบล/แขวง
โดย
ลงวันที่
ซึ่งต่อไปในสัญญาฉบับนี้เรียกว่า “ผู้ประมวลผลข้อมูลส่วนบุคคล” อีกฝ่ายหนึ่ง ทั้งสองฝ่ายจึงตกลงจัดทําสัญญาฉบับนี้เพื่อเป็นหลักฐานการควบคุมดูแลการประมวลผลข้อมูลส่วน
บุคคล อันเนื่องมาจากการดําเนินการตามหน้าที่และความรับผิดชอบตาม…..(ระบุชื่อบันทึกข้อตกลงความ
ร่วมมือ/สัญญาหลัก/โครงการฯ/)….ฉบับลงวันที่
โดยมีรายละเอียดดังนี้
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทําให้สามารถระบุตัวบุคคลนั้น
ได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ข้อ 1 การปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องน่าข้อมูลส่วนบุคคลที่ได้รับจากผู้ควบคุมข้อมูล
ส่วนบุคคล เพื่อไปดําเนินการตาม….(ระบุชื่อบันทึกข้อตกลงความร่วมมือ/สัญญาหลัก/โครงการฯ…หรือตาม
คําสั่งของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น
กรณีผู้ประมวลผลข้อมูลส่วนบุคคลมีความจําเป็นต้องนําข้อมูลส่วนบุคคลไป
ประมวลผลเพิ่มเติมนอกเหนือจากวรรคแรก ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องชี้แจงถึงเหตุความจําเป็น
ดังกล่าวเป็นลายลักษณ์อักษรให้ผู้ควบคุมข้อมูลส่วนบุคคลพิจารณาและได้รับอนุญาตก่อนนําข้อมูลส่วนบุคคลไป
ประมวลผลทุกครั้ง
กรณีผู้ประมวลผลข้อมูลส่วนบุคคลมีการนําข้อมูลส่วนบุคคลออกไปจากพื้นที่ของผู้ควบคุม
ข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลและแนวทางการเก็บ รวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายกําหนดทั้งในเชิงองค์กรและเชิงเทคนิค
31
ข้อ 2 หน้าที่ความรับผิดชอบ
2.1 ผู้ประมวลผลข้อมูลส่วนบุคคลต้องปฏิบัติตามกฎหมายที่เกี่ยวกับความมั่นคง ปลอดภัยสารสนเทศ และการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนหนังสือบอกกล่าวให้ดําเนินการใด ๆ ของ ผู้ควบคุมข้อมูลส่วนบุคคลด้วย
ๆ
2.2 เมื่อผู้ประมวลผลข้อมูลส่วนบุคคลได้ล่วงรู้หรือรับทราบถึงเหตุแห่งการละเมิดของ ข้อมูลส่วนบุคคล จะต้องแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงการละเมิดข้อมูลส่วนบุคคลดังกล่าวทันที และ ให้แจ้งเป็นลายลักษณ์อักษรไปยังผู้ควบคุมข้อมูลส่วนบุคคลภายใน 24 ชั่วโมง นับแต่ได้ล่วงรู้หรือทราบถึงเหตุ ดังกล่าว และให้ความร่วมมือกับผู้ควบคุมข้อมูลส่วนบุคคลดังนี้
(ก) ให้ข้อมูลที่เกี่ยวข้องกับเหตุแห่งการละเมิดให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
โดยข้อมูลเช่นว่านั้นหมายความรวมถึง ลักษณะของการละเมิด รายการข้อมูลส่วนบุคคลและจํานวนเจ้าของ ข้อมูลส่วนบุคคล ที่ถูกละเมิด ผลกระทบที่อาจเกิดขึ้นจากการละเมิดข้อมูลส่วนบุคคล มาตรการที่ได้ดําเนินการ แล้วหรือที่จะเสนอให้ดําเนินการ และมาตรการเยียวยาผลกระทบที่อาจเกิดขึ้นจากการละเมิดข้อมูลส่วนบุคคล
นั้น และ
(ข) ให้ความร่วมมืออย่างเต็มความสามารถแก่ผู้ควบคุมข้อมูลส่วนบุคคล และ ดําเนินการใด ๆ ตามที่ผู้ควบคุมข้อมูลส่วนบุคคลกําหนดเพื่อการตรวจสอบ แก้ไขปัญหา รวมถึงการบรรเทาและ เยียวยาผลกระทบจากการละเมิดข้อมูลส่วนบุคคลนั้น
2.3 ผู้ควบคุมข้อมูลส่วนบุคคลขอสงวนสิทธิการเข้าตรวจสอบมาตรฐานใน
การดําเนินการเกี่ยวกับการประมวลข้อมูลส่วนบุคคลทั้งที่อยู่ในรูปแบบอิเล็กทรอนิกส์หรือในรูปแบบเอกสาร
เพื่อให้เป็นไปตามกฎหมายที่เกี่ยวกับความมั่นคงปลอดภัยสารสนเทศ และการคุ้มครองข้อมูลส่วนบุคคล ที่ใช้
บังคับอยู่ในปัจจุบันและที่จะมีการแก้ไข เพิ่มเติมในอนาคต
2.4 ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดทํารายการกิจกรรมประมวลผลข้อมูล
ส่วนบุคคลตามแบบฟอร์มที่ผู้ควบคุมข้อมูลส่วนบุคคลกําหนดโดยเร็วหรือตามที่ได้ตกลงกัน ทั้งนี้ หากมี การเปลี่ยนแปลงการประมวลผลข้อมูลส่วนบุคคลตามคําสั่งของผู้ควบคุมข้อมูลส่วนบุคคลให้ปรับปรุงรายการ
กิจกรรมประมวลผลข้อมูลส่วนบุคคลและจัดส่งให้ผู้ควบคุมข้อมูลส่วนบุคคลอีกครั้งหนึ่ง
ข้อ 3 การส่งคืน ลบ หรือการทําลายข้อมูลส่วนบุคคล
เมื่อการดําเนินการตาม…..(ระบุชื่อบันทึกข้อตกลงความร่วมมือ/ สัญญาหลัก/โครงการฯ)
หรือตามคําสั่งของผู้ควบคุมข้อมูลส่วนบุคคลสิ้นสุดลง ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องยุติการใช้ข้อมูล
ส่วนบุคคลทันที และจะต้องส่งคืนหรือทําลายข้อมูลส่วนบุคคลที่อยู่ในความครอบครอง หรือดําเนินการอย่างอื่น
ตามที่ได้รับการแจ้งเป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูลส่วนบุคคล
ข้อ 4 การชดใช้ค่าเสียหาย
หากผู้ประมวลผลข้อมูลส่วนบุคคลกระทําการใด ๆ ไปในทางที่ก่อให้เกิดหรืออาจ ก่อให้เกิดความเสียหาย หรือเป็นการละเมิดข้อมูลส่วนบุคคล หรือไม่ปฏิบัติตามเงื่อนไขของสัญญาฉบับนี้และ หรือตามที่กฎหมายกําหนด จนเป็นเหตุให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลหรือผู้ควบคุมข้อมูล ส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องเป็นผู้รับผิดชอบในความเสียหายที่เกิดขึ้นทั้งห
32
การชดใช้ค่าเสียหายตามวรรคแรกผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องดําเนินการ
ชดใช้ค่าเสียหายที่เกิดขึ้นทั้งหมดให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลให้แล้วเสร็จภายใน 30 (สามสิบ) วันนับแต่
ได้รับหนังสือแจ้งให้ชดใช้ค่าเสียหาย
ข้อ 5 การโอนสิทธิ
ผู้ประมวลผลข้อมูลส่วนบุคคลไม่สามารถโอนสิทธิและหน้าที่ตามสัญญาฉบับนี้ให้แก่
บุคคลอื่นได้ เว้นแต่จะได้รับความยินยอมเป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูลส่วนบุคคล
ขอ 6 การบอกกล่าว
บรรดาคําบอกกล่าวหรือการให้ความยินยอมหรือความเห็นชอบใด ๆ ตามสัญญาฉบับ
นี้ต้องทําเป็นลายลักษณ์อักษร และจะถือว่าได้ส่งให้แก่ฝ่ายใดฝ่ายหนึ่งโดยชอบ หากได้จัดส่งโดยช่องทางหนึ่ง
ช่องทางใด ดังต่อไปนี้
6.1 ส่งมอบให้บุคคลหรือผู้แทนที่ได้รับมอบหมายของแต่ละฝ่าย
6.2 ทางไปรษณีย์ลงทะเบียนไปยังที่อยู่ของอีกฝ่ายตามที่ระบุไว้ในสัญญาฉบับนี้หรือ
ตามที่อยู่แห่งใหม่ที่ได้มีหนังสือแจ้งให้อีกฝ่ายทราบแล้ว ทางโทรสาร หรือทางจดหมายอิเล็กทรอนิกส์ (Email)
ทั้งนี้ กรณีมีความจําเป็นเร่งด่วน สามารถใช้ช่องทางอื่นใดตามที่ตกลงกัน และยืนยันเป็น
ลายลักษณ์อักษรให้อีกฝ่ายหนึ่งทราบโดยเร็ว
ข้อ 7 ผู้ประสานงาน และหรือผู้แทนที่ได้รับมอบหมายของแต่ละฝ่าย
7.1 ผู้ประสานงานและหรือผู้แทนของผู้ควบคุมข้อมูลส่วนบุคคล
ชื่อ-สกุล : ตําแหน่ง : สังกัด :
หมายเลขโทรศัพท์ :
E-mail :
ชื่อ-สกุล ตําแหน่ง :
สังกัด :
ส
หมายเลขโทรศัพท์ :
E-mail:
7.2 ผู้ประสานงานและหรือผู้แทนของผู้ประมวลผลข้อมูลส่วนบุคคล
ชือ-สกุล : ตําแหน่ง :
สังกัด :
หมายเลขโทรศัพท์ :
E-mail:
33
ชื่อ-สกุล : ตําแหน่ง :
สังกัด :
หมายเลขโทรศัพท์ :
E-mail:
ข้อ 8 การบังคับใช้
8.1 สัญญาฉบับนี้มีผลบังคับใช้ตั้งแต่วันที่ลงนามสัญญา
ความร่วมมือ/สัญญาหลัก/โครงการ……………ตั้งแต่วันที่
(ระบุชื่อบันทึกข้อตกลง
(ว/ด/ป…ที่ทั้งสองฝ่ายตกลงกัน) เป็นต้นไป
8.2 ในกรณีที่ปรากฏในภายหลังว่าส่วนใดส่วนหนึ่งในสัญญาฉบับนี้เป็นโมฆะ ให้ถือว่า ข้อกําหนดหรือเงื่อนไขในส่วนที่เป็นโมฆะจะไม่มีผลบังคับในสัญญาฉบับนี้ และข้อกําหนดหรือเงื่อนไขที่เหลืออยู่ ในสัญญาฉบับนี้ยังคงใช้บังคับและมีผลอยู่อย่างสมบูรณ์
8.3 สัญญาฉบับนี้อยู่ภายใต้การบังคับใช้และตีความตามกฎหมายไทย สัญญานี้ทําขึ้น 2 (สอง) ฉบับ มีข้อความถูกต้องตรงกัน คู่สัญญาได้อ่านและเข้าใจข้อความโดย ละเอียดตลอดแล้ว จึงได้ลงลายมือชื่อพร้อมทั้งประทับตรา (ถ้ามี) ไว้เป็นสําคัญต่อหน้าพยานและคู่สัญญาต่าง ยึดถือไว้ฝ่ายละหนึ่งฉบับ
ลงชื่อ
ผู้ควบคุมข้อมูลส่วนบุคคล
(…………
)
ลงชื่อ
ผู้ประมวลผลข้อมูลส่วนบุคคล
(………..
………..)
ลงชื่อ
ลงชื่อ
(………..
(………..
……….)
พยาน
พยาย
34
..
รายการอ้างอิงเอกสารสัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement)

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
สัญญาการประมวลผลข้อมูลส่วนบุคคล ข้อ 1 การปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคล ข้อ 2 หน้าที่ความรับผิดชอบ
ข้อ 3 การส่งคืน ลบ หรือการทําลายข้อมูลส่วน บุคคล
ข้อ 4 การชดใช้ค่าเสียหาย
ข้อ 5 การโอนสิทธิ์
ข้อ 6 การบอกกล่าว
ข้อ 7 ผู้ประสานงาน และหรือผู้แทนที่ได้รับ
มอบหมายของแต่ละฝ่าย
ข้อ 8 การบังคับใช้
มาตรา 40
มาตรา 40
มาตรา 37(1)(3)
และมาตรา 40(1)
มาตรา 77 และมาตร 78
มาตรา 37 และมาตรา 40(1)
35

เอกสารแนบท้ายเพิ่มเติม
2.6 ตัวอย่างแผนการทํางาน
36
ตัวอย่างแผนการทํางาน
งวดที่ 1
งวดที่ 2
งวดที่ 3
งวดที่ 4
งวดที 5
งวดที่ 6
งวดที่ 7
งวดที่ 8
งวดที่ 9
เดือน…..
เดือน…..
เดือน…..
เดือน…..
เดือน…..
เดือน…..
เดือน…..
เดือน…..
การจัดจ้างเจ้าหน้าที่เฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคาม ทางไซเบอร์ประจําศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ เดือน…… (SOC) ในรูปแบบ 24 ชั่วโมง 7 วัน
กิจกรรม
เฝ้าระวังความมั่นคงปลอดภัย วิเคราะห์และแจ้งเตือนภัย
คุกคามไซเบอร์…
เข้าร่วมประชุม…
จัดทํารายงานผล…
เป็นต้น
37