จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างโครงการจ้างตรวจสอบระบบและประเมินช่องโหว่ด้านความปลอดภัยระบบสารสนเทศ กสศ.

กองทุนเพื่อความเสมอภาคทางการศึกษา 68069244736

฿3,200,000 ปีงบ 2568 ประกาศ 17 มิ.ย. 2568 กรุงเทพมหานคร

รายละเอียดการจ้าง

โครงการนี้มีวัตถุประสงค์หลักเพื่อตรวจสอบและประเมินความปลอดภัยของระบบสารสนเทศของกองทุนเพื่อความเสมอภาคทางการศึกษา (กสศ.) ให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีเป้าหมายเพื่อประเมินประสิทธิภาพการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ลดและป้องกันภัยคุกคามทางไซเบอร์ และวิเคราะห์ช่องโหว่ของระบบปัจจุบัน

ขอบเขตงานครอบคลุมการจัดทำแผนดำเนินงาน การประเมินความเสี่ยงเพื่อหาช่องโหว่ของระบบสารสนเทศไม่น้อยกว่า 60 ระบบ การทดสอบเจาะระบบตามมาตรฐาน NIST SP800-115 หรือ OWASP TOP 10 จำนวนไม่น้อยกว่า 60 ระบบ พร้อมทั้งจัดทำรายงานและข้อเสนอแนะ รวมถึงการตรวจประเมิน IT General Control ไม่น้อยกว่า 60 ระบบ และการวิเคราะห์ Gap Analysis ตามกฎหมายและมาตรฐานที่เกี่ยวข้อง เช่น ISO/IEC 27001:2022 และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

ผู้รับจ้างจะต้องส่งมอบผลงานเป็นงวด ๆ โดยมีรายงานต่างๆ เช่น แผนการดำเนินงาน รายงานการตรวจสอบ Gap Analysis รายงานการประเมินความเสี่ยงของช่องโหว่ และรายงานการทดสอบเจาะระบบ โดยมีระยะเวลาการดำเนินโครงการภายใน 180 วัน นับจากวันลงนามในสัญญา

English summary

This project aims to hire a service provider to inspect and assess the security vulnerabilities of the Information System of Equitable Education Fund (EEF), in order to comply with the Personal Data Protection Act B.E. 2562. The contractor shall conduct risk assessment, vulnerability assessment, penetration testing and prepare inspection reports with recommendations; including IT General Control inspection and Gap Analysis to ensure system security and compliance with the specified standards.

สถานที่ดำเนินการ

สำนักงานกองทุนเพื่อความเสมอภาคทางการศึกษา หรือสถานที่อื่นใดตามที่ กสศ. กำหนด

คำสำคัญ

การรักษาความปลอดภัยระบบสารสนเทศ การประเมินช่องโหว่การทดสอบเจาะระบบ IT General Control PDPA ISO 27001 ความเสี่ยงด้าน IT การรักษาความปลอดภัยทางไซเบอร์การวิเคราะห์ช่องโหว่การคุ้มครองข้อมูลส่วนบุคคล

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

เพื่อประเมินประสิทธิภาพการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Management) และการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ให้สอดคล้องตามการบริหารจัดการข้อมูลส่วนบุคคล ให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
เพื่อเป็นการลดและป้องกันภัยคุกคามที่มีโอกาสที่จะเกิดขึ้นกับระบบสารสนเทศขององค์กรและสามารถดำเนินงานต่อไปได้อย่างมีประสิทธิภาพ
เพื่อวิเคราะห์และประเมินความเสี่ยงด้วยวิธีการหาช่องโหว่ (Vulnerability Assessment) ของระบบที่ใช้อยู่ในปัจจุบัน

ขอบเขตของงาน

จัดทำแผนดำเนินงาน (Project Plan) อย่างละเอียด
ประเมินความเสี่ยงเพื่อหาช่องโหว่ (Vulnerability Assessment) ของระบบสารสนเทศที่สำคัญของ กสศ. จำนวนไม่น้อยกว่า ๖๐ ระบบ หรือจำนวนหมายเลขไอพีไม่น้อยกว่า ๖๐ หมายเลขไอพี (IP Addresses)
ค้นหาจุดอ่อนหรือช่องโหว่ ประเมินความเสี่ยงและผลกระทบ (Vulnerability Assessment) โดยอิงตามมาตรฐาน Common Vulnerability Scoring System (CVSS) version 3 พร้อมทั้งจัดทำข้อเสนอแนะแนวทางแก้ไขระบบสารสนเทศ และจะต้องค้นหาจุดอ่อนหรือช่องโหว่ เพื่อประเมินความเสี่ยงและผลกระทบซ้ำ (Revisit)
ทดสอบเจาะระบบ (Penetration Testing) ตามโดยอิงมาตรฐาน NIST SP800-115 หรือ Open Web Application Security Project (OWASP) TOP 1 หรือใหม่กว่า จำนวนไม่น้อยกว่า ๖๐ ระบบ หรือจำนวนหมายเลขไอพีไม่น้อยกว่า ๑๐๐ หมายเลขไอพี (IP Addresses) พร้อมจัดทำรายงาน ข้อเสนอแนะ สำหรับแนวทางแก้ไขระบบสารสนเทศที่เกี่ยวข้องและผู้รับจ้างจะต้องทดสอบเจาะระบบซ้ำ (Revisit)
ตรวจประเมินตาม IT General Control จำนวนไม่น้อยกว่า ๖๐ ระบบ พร้อมทั้งจัดทำรายงานข้อเสนอแนะกระบวนการ เครื่องมือ อุปกรณ์หรือเทคโนโลยีที่สามารถนำมาประยุกต์ได้ในแต่ละระบบสารสนเทศของ กสศ.
ตรวจประเมินและวิเคราะห์ Gap Analysis ภาพรวมขององค์กร โดยให้ยึดตามกฎหมายหรือประกาศที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยสารสนเทศ ได้แก่ ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล, ตามมาตรฐาน ISO/IEC 27001:2022 และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒
แจ้ง กสศ. อย่างน้อย ๑ วันทำการและต้องได้รับความเห็นชอบจาก กสศ. ทุกครั้งก่อนทดสอบเจาะระบบ
กรณีที่บุคลากรของผู้รับจ้างไม่สามารถปฏิบัติงานได้ ผู้รับจ้างจะต้องจัดหาบุคลากรที่มีประสบการณ์ / คุณสมบัติเทียบเท่ากับหรือดีกว่าบุคลากรคนเดิม และต้องแจ้งต่อ กสศ. เป็นลายลักษณ์อักษรล่วงหน้าอย่างน้อย ๓ วันทำการเพื่อให้ กสศ. เห็นชอบก่อนเปลี่ยนแปลงบุคลากรในโครงการ

สิ่งที่ต้องส่งมอบ

แผนการดำเนินงาน (Project Plan)
รายงานการตรวจสอบ (Gap Analysis Report)
รายงานการตรวจสอบการประเมินความเสี่ยงของช่องโหว่ ครั้งที่ ๑ (Initial VA Report)
รายงานการตรวจสอบการประเมินความเสี่ยงของช่องโหว่ ครั้งที่ ๒ (Revisit VA Report)
รายงานทดสอบเจาะระบบ ครั้งที่ ๑ (Initial Pentest Report)
รายงานการตรวจประเมิน (IT General Control Report)
รายงานทดสอบเจาะระบบ ครั้งที่ ๒ (Revisit Pentest Report)

ระยะเวลาดำเนินการ

ภายใน 180 วัน (ตั้งแต่วันที่ …….. ถึงวันที่……….)

คุณสมบัติผู้เสนอราคา

ผู้ยื่นข้อเสนอต้องมีหนังสือรับรองผลงานประเภทเดียวกันกับขอบเขตของงานโครงการนี้ ซึ่งได้ส่งมอบพัสดุและมีผลการตรวจรับเป็นที่เรียบร้อยแล้ว ภายในระยะเวลาไม่เกิน ๓ ปี นับถึงวันยื่นข้อเสนอ โดยมีมูลค่างานในวงเงินไม่น้อยกว่า ๑,๖๐๐,๐๐๐.๐๐ บาท (หนึ่งล้านหกแสนบาทถ้วน) ต่อ ๑ สัญญา และเป็นผลงานที่เป็นคู่สัญญาโดยตรงกับหน่วยงานของรัฐ หรือหน่วยงานเอกชน ที่กองทุนเพื่อความเสมอภาคทางการศึกษา เชื่อถือ
กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย/กฎหมายต่างประเทศ ซึ่งได้จดทะเบียนเกินกว่า ๑ ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิที่ปรากฏในงบแสดงฐานะการเงินที่มีการตรวจรับรองแล้ว ของ ๑ ปีสุดท้ายก่อนวันยื่นข้อเสนอ ซึ่งจะต้องแสดงค่าเป็นบวก
ผู้ยื่นข้อเสนอจะต้องเป็นบริษัทที่จดทะเบียนในประเทศไทยมาเป็นเวลาไม่ต่ำกว่า ๓ ปีและมีวัตถุประสงค์ในการดำเนินธุรกิจที่เกี่ยวข้องกับการให้คำปรึกษาและตรวจสอบด้านความมั่นคงปลอดภัย
ผู้ยื่นข้อเสนอจะต้องมีบุคลากรที่รับผิดชอบในโครงการที่มีคุณสมบัติและประกาศนียบัตรสากลอย่างน้อย ดังต่อไปนี้:
- ผู้จัดการโครงการ:
  - วุฒิการศึกษา: ไม่ต่ำกว่าระดับปริญญาตรี สาขาเทคโนโลยีสารสนเทศหรือสาขาที่เกี่ยวข้อง
  - ประสบการณ์: เป็นผู้จัดการโครงการด้านความมั่นคงปลอดภัยสารสนเทศ อย่างน้อย ๘ ปี
  - ประกาศนียบัตรสากล: ที่เกี่ยวข้องด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ที่ยังไม่หมดอายุ อย่างน้อย ๑ ใบ เช่น Certified Information System Security Professional (CISSP), Certified Information Security Manager (CISM)
- ผู้เชี่ยวชาญด้านการทดสอบเจาะระบบ:
  - วุฒิการศึกษา: ไม่ต่ำกว่าระดับปริญญาตรี สาขาเทคโนโลยีสารสนเทศหรือสาขาที่เกี่ยวข้อง
  - ประสบการณ์: ด้านการจัดการการรักษาความมั่นคงปลอดภัยสารสนเทศ หรือเทียบเท่า อย่างน้อย ๕ ปี
  - ประกาศนียบัตรสากล: ที่เกี่ยวข้องด้านการรักษาความมั่นคงปลอดภัยสารสนเทศที่ยังไม่หมดอายุ อย่างน้อย ๑ ใบ เช่น Offensive Security Certified Professional (OSCP), Offensive Security Experienced Penetration (OSEP), GIAC Penetration Tester (GPEN)
- ผู้เชี่ยวชาญด้านการตรวจประเมินรับรองระบบการจัดการการรักษาความมั่นคงปลอดภัยสารสนเทศ:
  - วุฒิการศึกษา: ไม่ต่ำกว่าระดับปริญญาตรี สาขาเทคโนโลยีสารสนเทศหรือสาขาที่เกี่ยวข้อง
  - ประสบการณ์: เป็นผู้ตรวจประเมินภายใน (Internal Audit) หรือเป็นผู้ตรวจประเมินรับรองระบบการจัดการการรักษาความมั่นคงปลอดภัยสารสนเทศหรือสนับสนุนการตรวจประเมินรับรองตามมาตรฐาน ISO/IEC 27001 อย่างน้อย ๕ ปี
  - ประกาศนียบัตรสากล: ที่เกี่ยวข้องกับการรักษามาตรฐานด้านจัดการการรักษาความมั่นคงปลอดภัยสารสนเทศที่ยังไม่หมดอายุ อย่างน้อย ๓ ใบ เช่น Certified Information System Auditor (CISA), ISO/IEC 27001:2022 Lead Auditor, PECB ISO/IEC 27001 Lead Implementer, PECB Certified Data Protection Officer, Certified Data Privacy Solutions Engineer (CDPSE)

เกณฑ์การพิจารณา

ใช้เกณฑ์ราคาประกอบเกณฑ์อื่น โดยกำหนดน้ำหนักดังนี้:

เกณฑ์ราคา: 40%
เกณฑ์คุณภาพ: 60%

เกณฑ์คุณภาพพิจารณาจาก:
(๑) แผนและการบริหารโครงการ (20 คะแนน)
(๒) ข้อมูลและผลงานของบริษัท เกี่ยวกับการค้นหาช่องโหว่ ประเมินความเสี่ยง และผลกระทบ (Vulnerability Assessment) หรือการทดสอบเจาะระบบ (Penetration Testing) (30 คะแนน)
(๓) ประสบการณ์ของบุคลากรที่ดำเนินงานในโครงการ (20 คะแนน)
(๔) สามารถตรวจสอบช่องโหว่ในระบบต่างๆ ของ กสศ. พร้อมส่งเอกสารรายงานผลการตรวจสอบระบบที่เป็นประโยชน์ต่อ กสศ. (30 คะแนน)

ผู้เสนอราคาที่ได้คะแนนเกณฑ์คุณภาพ ร้อยละ ๗๐ ขึ้นไป จะถือว่าเป็นผู้ผ่านเกณฑ์การพิจารณาคัดเลือกข้อเสนอ

ข้อกำหนดทางเทคนิค

ผู้ยื่นข้อเสนอที่เป็นผู้ชนะการจัดซื้อจัดจ้างจะต้องดำเนินการตรวจประเมินระบบสารสนเทศของ กสศ. โดยมีรายละเอียดของกิจกรรมที่ต้องดำเนินการดังนี้:

Vulnerability Assessment: ประเมินความเสี่ยงเพื่อหาช่องโหว่ของระบบสารสนเทศที่สำคัญของ กสศ.จำนวนไม่น้อยกว่า ๖๐ ระบบ หรือจำนวนหมายเลขไอพีไม่น้อยกว่า ๖๐ หมายเลขไอพี (IP Addresses) โดยอิงตามมาตรฐาน Common Vulnerability Scoring System (CVSS) version 3
Penetration Testing: ทดสอบเจาะระบบตามโดยอิงมาตรฐาน NIST SP800-115 หรือ Open Web Application Security Project (OWASP) TOP 1 หรือใหม่กว่า จำนวนไม่น้อยกว่า ๖๐ ระบบ หรือจำนวนหมายเลขไอพีไม่น้อยกว่า ๑๐๐ หมายเลขไอพี (IP Addresses)
IT General Control: ตรวจประเมินตาม IT General Control จำนวนไม่น้อยกว่า ๖๐ ระบบ
Gap Analysis: ตรวจประเมินและวิเคราะห์ Gap Analysis ภาพรวมขององค์กร โดยให้ยึดตามกฎหมายหรือประกาศที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยสารสนเทศ ได้แก่ ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล, ตามมาตรฐาน ISO/IEC 27001:2022 และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒

เงื่อนไขสัญญา

แบ่งการส่งมอบงานและจ่ายเงินเป็น 4 งวด
ค่าปรับกรณีส่งมอบงานล่าช้า: ร้อยละ 0.1 ของราคางานจ้างนั้นแต่จะต้องไม่ต่ำกว่าวันละ 100 บาท
ไม่มีการหักเงินประกันผลงาน

คำถามที่พบบ่อย (FAQ)

คำถาม: หาก กสศ. ไม่สามารถดำเนินการปิดช่องโหว่ตามคำแนะนำ ผู้รับจ้างต้องทำอย่างไร?
คำตอบ: ผู้รับจ้างจะต้องวิเคราะห์และเสนอแนวทางแก้ไขอื่น ๆ และนำเสนอผลการทดสอบเจาะระบบซ้ำ (Revisit)
คำถาม: ผู้รับจ้างต้องแจ้ง กสศ. ล่วงหน้าก่อนทำการทดสอบเจาะระบบหรือไม่?
คำตอบ: ผู้รับจ้างจะต้องแจ้ง กสศ. อย่างน้อย ๑ วันทำการและต้องได้รับความเห็นชอบจาก กสศ. ทุกครั้งก่อนทดสอบเจาะระบบ
คำถาม: หากบุคลากรของผู้รับจ้างไม่สามารถปฏิบัติงานได้ จะต้องทำอย่างไร?
คำตอบ: ผู้รับจ้างจะต้องจัดหาบุคลากรที่มีประสบการณ์ / คุณสมบัติเทียบเท่ากับหรือดีกว่าบุคลากรคนเดิม และต้องแจ้งต่อ กสศ. เป็นลายลักษณ์อักษรล่วงหน้าอย่างน้อย ๓ วันทำการเพื่อให้ กสศ. เห็นชอบก่อนเปลี่ยนแปลงบุคลากรในโครงการ
คำถาม: IT General Control ที่ต้องตรวจประเมินครอบคลุมอะไรบ้าง?
คำตอบ: ผู้รับจ้างจะต้องตรวจประเมิน IT General Control จำนวนไม่น้อยกว่า 60 ระบบ พร้อมทั้งจัดทำรายงานข้อเสนอแนะกระบวนการ เครื่องมือ อุปกรณ์หรือเทคโนโลยีที่สามารถนำมาประยุกต์ได้ในแต่ละระบบสารสนเทศของ กสศ.
คำถาม: การวิเคราะห์ Gap Analysis ต้องอิงตามกฎหมายและมาตรฐานใดบ้าง?
คำตอบ: การวิเคราะห์ Gap Analysis ต้องยึดตามกฎหมายหรือประกาศที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยสารสนเทศ ได้แก่ ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล, ตามมาตรฐาน ISO/IEC 27001:2022 และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒
คำถาม: ผลงานที่ส่งมอบต้องส่งเป็นรูปแบบใด?
คำตอบ: โดยส่งมอบเป็นไฟล์ PDF ส่งเข้าใน Share Drive ตามที่ กสศ.ได้แจ้งไว้พร้อมรูปเล่มรายงานจำนวน ๑ เล่ม (สามารถส่งมอบผลงานมาที่ Email address: [email protected] หรือส่งมอบผลงานเป็นเอกสารได้ที่สำนักงาน กสศ.)
คำถาม: หากมีผู้ยื่นข้อเสนอที่ได้คะแนนรวมเท่ากันหลายราย กสศ. จะพิจารณาอย่างไร?
คำตอบ: กสศ. ขอสงวนสิทธิในการคัดเลือกผู้ยื่นข้อเสนอที่ได้คะแนนเกณฑ์คุณภาพสูงสุดเป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ที่ได้รับคัดเลือก
คำถาม: หาก กสศ. ไม่ได้รับการจัดสรรงบประมาณ โครงการนี้จะเป็นอย่างไร?
คำตอบ: กสศ. ขอสงวนสิทธิในการยกเลิกการจัดซื้อจัดจ้างครั้งนี้ กรณีที่ กสศ. ไม่ได้รับการจัดสรรงบประมาณเพื่อการจัดซื้อจัดจ้างโครงการนี้
คำถาม: ผู้ยื่นข้อเสนอต้องยื่นเอกสารอะไรบ้างเพื่อแสดงผลงานที่ผ่านมา?
คำตอบ: ผู้ยื่นข้อเสนอจะต้องแนบหลักฐานที่เชื่อถือได้อย่างใดอย่างหนึ่ง เช่น หนังสือรับรองผลงาน สำเนาสัญญา ข้อตกลง เอกสารหลักฐานแสดงการซื้อจ้าง เป็นต้น
คำถาม: ผู้รับจ้างต้องรับผิดชอบอย่างไรหากทำข้อมูลรั่วไหล?
คำตอบ: หากมีการนำไปใช้ หรือเปิดเผย หรือเผยแพร่ ข้อมูลดังกล่าวอันจะก่อให้เกิดความเสียหายแก่ กสศ. ผู้ขาย/ผู้รับจ้าง จะต้องรับผิดชอบต่อการกระทำดังกล่าว และ กสศ. มีสิทธิดำเนินการตามกฎหมายกับผู้ขาย/ผู้รับจ้าง

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

แบบ ท.๑
ขอบเขตของงาน (Terms of Reference : TOR)
โครงการ: จ้างตรวจสอบระบบและประเมินช่องโหว่ด้านความปลอดภัยระบบสารสนเทศ กสศ. กองทุนเพื่อความเสมอภาคทางการศึกษา
๑. ความเป็นมา
ด้วยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ กำหนดให้กองทุนเพื่อความเสมอภาคทาง การศึกษา (กสศ.) ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิ ชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพใน การรักษาความมั่นคงปลอดภัยที่เหมาะสม
ดังนั้น เพื่อให้เป็นไปตามกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ กำหนดไว้ กสศ. จึงจำเป็นต้องตรวจสอบระบบสารสนเทศด้านความรักษาความมั่นคงปลอดภัย เพื่อรักษาความมั่นคงปลอดภัยของ ข้อมูลส่วนบุคคล
๒. วัตถุประสงค์
๒.๑เพื่อประเมินประสิทธิภาพการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Management) และการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ให้สอดคล้องตามการบริหารจัดการข้อมูลส่วนบุคคล ให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
๒.๒เพื่อเป็นการลดและป้องกันภัยคุกคามที่มีโอกาสที่จะเกิดขึ้นกับระบบสารสนเทศขององค์กรและสามารถ ดำเนินงานต่อไปได้อย่างมีประสิทธิภาพ
๒.๓เพื่อวิเคราะห์และประเมินความเสี่ยงด้วยวิธีการหาช่องโหว่ (Vulnerability Assessment) ของระบบ ที่ใช้อยู่ในปัจจุบัน
๓. คุณสมบัติของผู้ยื่นข้อเสนอ
๓.๑ มีความสามารถตามกฎหมาย
๓.๒ ไม่เป็นบุคคลล้มละลาย
๓.๓ ไม่อยู่ระหว่างเลิกกิจการ
๓.๔ ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทำสัญญากับหน่วยงานของรัฐไว้ชั่วคราวเนื่องจาก เป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการกระทรวงการคลัง กำหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
๓.๕ ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงานของรัฐ ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วนผู้จัดการกรรมการผู้จัดการ ผู้บริหาร ผู้มีอำนาจในการดำเนินงานในกิจการของนิติบุคคลนั้นด้วย

๒ -
๓.๖ มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหารพัสดุ ภาครัฐกำหนดในราชกิจจานุเบกษา
๓.๗ มีสถานะเป็น
□ บุคคลธรรมดา ☑ นิติบุคคล ผู้มีอาชีพขายพัสดุหรือผู้มีอาชีพรับจ้างงาน ที่มีลักษณะเช่นเดียวกัน กับขอบเขตของงานโครงการนี้
๓.๘ ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอ ให้แก่ กองทุนเพื่อความเสมอภาค ทางการศึกษา ณ วันยื่นข้อเสนอหรือวันประกาศประกวดราคาอิเล็กทรอนิกส์ หรือไม่เป็นผู้กระทำการอันเป็น การขัดขวางการแข่งขันอย่างเป็นธรรม ในการยื่นข้อเสนอหรือการประกวดราคาอิเล็กทรอนิกส์ครั้งนี้
๓.๙ ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่ รัฐบาลของผู้ยื่นข้อเสนอได้มี คำสั่งให้สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
๓.๑๐ ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติดังนี้
กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากำหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลง ระหว่างผู้เข้าร่วมค้าจะต้องมีการกำหนดสัดส่วนหน้าที่และความรับผิดชอบในปริมาณงาน สิ่งของ หรือมูลค่า ตามสัญญาของผู้เข้าร่วมค้าหลักมากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากำหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก กิจการร่วมค้า นั้นต้องใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอ สำหรับข้อตกลงระหว่างผู้เข้าร่วมค้าที่ไม่ได้กำหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก ผู้เข้าร่วมค้า ทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่กำหนดไว้ในเอกสารเชิญชวน หรือหนังสือเชิญชวน กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากำหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอ ในนามกิจการร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอำนาจ
สำหรับข้อตกลงระหว่างผู้เข้าร่วมค้าที่ไม่ได้กำหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอ ผู้เข้าร่วมค้า ทุกรายจะต้องลงลายมือชื่อในหนังสือมอบอำนาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอในนามกิจการร่วมค้า ๓.๑๑ ☑ ผู้ยื่นข้อเสนอต้องมีหนังสือรับรองผลงาน □ ไม่กำหนดเป็นคุณสมบัติของผู้ยื่นข้อเสนอ □ การจำหน่ายพัสดุ ประเภทเดียวกันกับขอบเขตของงานโครงการนี้ซึ่งได้ส่งมอบพัสดุและมีผลการ ตรวจรับเป็นที่เรียบร้อยแล้ว ภายในระยะเวลาไม่เกิน…..ปี นับถึงวันยื่นข้อเสนอโดยมีมูลค่างานในวงเงิน ไม่น้อยกว่า …………………. บาท (……………………..) ต่อ ๑ สัญญา และเป็นผลงานที่เป็นคู่สัญญาโดยตรงกับหน่วยงานของรัฐ หรือหน่วยงานเอกชน ที่กองทุนเพื่อความเสมอภาคทางการศึกษา เชื่อถือ
☑ รับจ้างงาน ประเภทเดียวกันกับขอบเขตของงานโครงการนี้ซึ่งได้ส่งมอบพัสดุและมีผลการตรวจรับ เป็นที่เรียบร้อยแล้ว ภายในระยะเวลาไม่เกิน ๓ ปี นับถึงวันยื่นข้อเสนอโดยมีมูลค่างานในวงเงิน ไม่น้อยกว่า ๑,๖๐๐,๐๐๐.๐๐ บาท (หนึ่งล้านหกแสนบาทถ้วน) ต่อ ๑ สัญญา และเป็นผลงานที่เป็นคู่สัญญาโดยตรงกับ หน่วยงานของรัฐ หรือหน่วยงานเอกชน ที่กองทุนเพื่อความเสมอภาคทางการศึกษา เชื่อถือ
๓ -
๓.๑๒ ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ ดังนี้
๓.๑๒.๑ กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย/กฎหมายต่างประเทศ ซึ่งได้จดทะเบียนเกินกว่า ๑ ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิที่ ปรากฏในงบแสดงฐานะการเงินที่มีการตรวจรับรองแล้ว ของ ๑ ปีสุดท้ายก่อนวันยื่นข้อเสนอ ซึ่งจะต้องแสดงค่า เป็นบวก
๓.๑๒.๒ กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย/กฎหมายต่างประเทศ ซึ่งยังไม่มี การรายงานงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ให้พิจารณาการกำหนดมูลค่าของทุนจดทะเบียน โดยผู้ยื่นข้อเสนอจะต้องมีทุนจดทะเบียนที่เรียกชำระมูลค่าหุ้นแล้ว ณ วันที่ยื่นข้อเสนอ ดังนี้ (๑) มูลค่าการจัดซื้อจัดจ้างไม่เกิน ๑ ล้านบาท ไม่ต้องกำหนดทุนจดทะเบียน
(๒) มูลค่าการจัดซื้อจัดจ้างเกิน ๑ ล้านบาท แต่ไม่เกิน ๕ ล้านบาท ต้องมีทุนจดทะเบียน ไม่ตํ่ากว่า ๑ ล้านบาท
(๓) มูลค่าการจัดซื้อจัดจ้างเกิน ๕ ล้านบาท แต่ไม่เกิน ๑๐ ล้านบาท ต้องมีทุนจดทะเบียน ไม่ต่ำกว่า ๒ ล้านบาท
(๔) มูลค่าการจัดซื้อจัดจ้างเกิน ๑๐ ล้านบาท แต่ไม่เกิน ๒๐ ล้านบาท ต้องมีทุนจดทะเบียน ไม่ตํ่ากว่า ๓ ล้านบาท
(๕) มูลค่าการจัดซื้อจัดจ้างเกิน ๒๐ ล้านบาท แต่ไม่เกิน ๖๐ ล้านบาท ต้องมีทุนจดทะเบียน ไม่ตํ่ากว่า ๘ ล้านบาท
(๖) มูลค่าการจัดซื้อจัดจ้างเกิน ๖๐ ล้านบาท แต่ไม่เกิน ๑๕๐ ล้านบาท ต้องมีทุนจดทะเบียน ไม่ตํ่ากว่า ๒๐ ล้านบาท
(๗) มูลค่าการจัดซื้อจัดจ้างเกิน ๑๕๐ ล้านบาท แต่ไม่เกิน ๓๐๐ ล้านบาท ต้องมีทุนจดทะเบียน ไม่ตํ่ากว่า ๖๐ ล้านบาท
(๘) มูลค่าการจัดซื้อจัดจ้างเกิน ๓๐๐ ล้านบาท แต่ไม่เกิน ๕๐๐ ล้านบาท ต้องมีทุนจดทะเบียน ไม่ตํ่ากว่า ๑๐๐ ล้านบาท
(๙) มูลค่าการจัดซื้อจัดจ้างเกิน ๕๐๐ ล้านบาทขึ้นไป ต้องมีทุนจดทะเบียนไม่ตํ่ากว่า ๒๐๐ ล้านบาท
๓.๑๒.๓ กรณีผู้ยื่นข้อเสนอเป็นบุคคลธรรมดาถือสัญชาติไทย/บุคคลธรรมดาที่มิได้ถือสัญชาติไทย ผู้ยื่นข้อเสนอต้องมีเงินฝากคงเหลือในบัญชีธนาคารเป็นมูลค่าไม่น้อยกว่า ๑ ใน ๔ ของมูลค่างบประมาณ ของโครงการนี้หรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง โดยหนังสือรับรองบัญชีเงินฝากซึ่งธนาคารออกให้แก่ผู้ยื่น ข้อเสนอนับถึงวันยื่นข้อเสนอต้องมีอายุไม่เกิน ๙๐ วัน
ทั้งนี้ หากผู้ยื่นข้อเสนอเป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ได้รับการคัดเลือก จะต้องแสดงหนังสือรับรอง บัญชีเงินฝากที่มีมูลค่าดังกล่าวอีกครั้งหนึ่งในวันลงนามในสัญญาหรือใบสั่งจ้าง โดยหนังสือรับรองบัญชีเงินฝากซึ่ง ธนาคารออกให้แก่ผู้ยื่นข้อเสนอนับถึงวันลงนามในสัญญาหรือใบสั่งจ้างต้องมีอายุไม่เกิน ๙๐ วัน
๔ -
๓.๑๒.๔ กรณีที่ผู้ยื่นข้อเสนอมีคุณสมบัติไม่เป็นไปตามข้อ ๓.๑๒.๑ ข้อ ๓.๑๒.๒ และข้อ ๓.๑๒.๓ ผู้ยื่นข้อเสนอสามารถขอหนังสือรับรองวงเงินสินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุนหรือ บริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้ำประกัน ตามประกาศของธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทยแจ้งเวียนให้ทราบ หรือเป็นสินเชื่อที่ธนาคารต่างประเทศหรือบริษัทเงินทุนหรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบ กิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้ำประกันตามประกาศของธนาคารกลางของประเทศนั้น ตามรายชื่อบริษัทเงินทุนที่ธนาคารกลางของประเทศนั้นแจ้งเวียนให้ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงิน สินเชื่อที่สำนักงานใหญ่รับรอง หรือที่สำนักงานสาขารับรอง (กรณีได้รับมอบอำนาจจากสำนักงานใหญ่) ซึ่งออกให้แก่ ผู้ยื่นข้อเสนอ นับถึงวันยื่นข้อเสนอไม่เกิน ๙๐ วัน โดยต้องมีวงเงินสินเชื่อจากธนาคารไม่น้อยกว่า ๑ ใน ๔ ของมูลค่า งบประมาณของโครงการนี้หรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง ทั้งนี้ สำหรับธนาคารภายในประเทศหนังสือรับรอง วงเงินสินเชื่อให้เป็นไปตามแบบที่คณะกรรมการวินิจฉัยปัญหาการจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐกำหนด ๓.๑๒.๕ กรณีนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศและบุคคลธรรมดาที่มิได้ถือสัญชาติไทย ตามข้อ ๓.๑๒.๒ ข้อ ๓.๑๒.๓ และข้อ ๓.๑๒.๔ มูลค่าจะต้องเป็นไปตามอัตราแลกเปลี่ยนเงินตราตามประกาศที่ธนาคารแห่ง ประเทศไทยกำหนดในช่วงระหว่างวันที่เผยแพร่ประกาศและเอกสารเชิญชวนในระบบจัดซื้อจัดจ้างภาครัฐด้วย อิเล็กทรอนิกส์ (e-GP) หรือมีหนังสือเชิญชวน จนถึงวันเสนอราคา
๓.๑๓ ผู้ยื่นข้อเสนอต้องลงทะเบียนที่มีข้อมูลถูกต้องครบถ้วนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (Electronic Government Procurement : e-GP) ของกรมบัญชีกลาง
๓.๑๔ ผู้ยื่นข้อเสนอจะต้องมีความรู้ความสามารถ มีประสบการณ์ ตลอดจนมีความชำนาญเกี่ยวกับงานวิชาชีพเป็น อย่างดี
๓.๑๕ ผู้ยื่นข้อเสนอจะต้องเป็นบริษัทที่จดทะเบียนในประเทศไทยมาเป็นเวลาไม่ต่ำกว่า ๓ ปีและมีวัตถุประสงค์ใน การดำเนินธุรกิจที่เกี่ยวข้องกับการให้คำปรึกษาและตรวจสอบด้านความมั่นคงปลอดภัย
๓.๑๖ ผู้ยื่นข้อเสนอจะต้องมีบุคลากรที่รับผิดชอบในโครงการที่มีคุณสมบัติและประกาศนียบัตรสากลอย่างน้อย ดังต่อไปนี้
บุคลากร
จำนวน
วุฒิการศึกษา
ประสบการณ์ / คุณสมบัติ
ประสบการณ์ การทำงาน
อย่างน้อย (ปี)
ผู้จัดการโครงการ
๑
ไม่ต่ำกว่าระดับปริญญา ต ร ี ส า ข า เ ท ค โ น โ ล ยี สารสนเทศหรือสาขาที่ เกี่ยวข้อง
๑) เป็นผู้จัดการโครงการด้านความ มั่นคงปลอดภัยสารสนเทศ
๘
๒) ประกาศนียบัตรสากลที่เกี่ยวข้องด้าน ก า ร ร ั ก ษ า ค ว า ม ม ั ่ น ค ง ปล อดภัย สารสนเทศ ที่ยังไม่หมดอายุ อย่างน้อย ๑ ใบ ดังนี้
Certified Information
System Security
Professional (CISSP)
๕ -
- Certified Information
  Security Manager (CISM)
ผู้เชี่ยวชาญด้าน
การทดสอบ
เจาะระบบ
๑
ไม่ต่ำกว่าระดับปริญญา ต ร ี ส า ข า เ ท ค โ น โ ล ยี สารสนเทศหรือสาขาที่ เกี่ยวข้อง
๑) ด้านการจัดการการรักษาความมั่นคง ปลอดภัยสารสนเทศ หรือเทียบเท่า
๕
๒) ประกาศนียบัตรสากลที่เกี่ยวข้องด้าน ก า ร ร ั ก ษ า ค ว า ม ม ั ่ น ค ง ปล อดภัย สารสนเทศที่ยังไม่หมดอายุ อย่างน้อย ๑ ใบ ดังต่อไปนี้
Offensive Security
Certified Professional
(OSCP)
Offensive Security
Experienced Penetration
(OSEP)
GIAC Penetration Tester (GPEN)

ผู้เชี่ยวชาญด้าน
การตรวจประเมิน รับรองระบบการ จัดการการรักษา ความมั่นคง
ปลอดภัย
สารสนเทศ
๑
ไม่ต่ำกว่าระดับ ปริญญา ต ร ี ส า ข า เ ท ค โ น โ ล ยี สารสนเทศหรือ สาขาที่ เกี่ยวข้อง
๑) เป็นผู้ตรวจประเมินภายใน (Internal Audit) หรือเป็นผู้ตรวจประเมินรับรอง ระบบการจัดการการรักษาความมั่นคง ปลอดภัยสารสนเทศหรือสนับสนุนการ ตรวจประเมินรับรองตามมาตรฐาน ISO/IEC 27001
๕
๒) ประกาศนียบัตรสากลที่เกี่ยวข้องกับ การรักษามาตรฐานด้านจัดการการ รักษา ความมั่นคงปลอดภัยสารสนเทศที่ ยังไม่หมดอายุ อย่างน้อย ๓ ใบ ดังต่อไปนี้
Certified Information System Auditor (CISA)
ISO/IEC 27001:2022 Lead Auditor
PECB ISO/IEC 27001 Lead
Implementer
PECB Certified Data Protection Officer
Certified Data Privacy Solutions Engineer (CDPSE)
๖ -
ทั้งนี้ ผู้ยื่นข้อเสนอจะต้องผ่านคุณสมบัติเบื้องต้นตามข้อ ๓. ก่อน กสศ. จึงจะนำข้อเสนอโครงการ มาพิจารณาคัดเลือกต่อไป
๔. รายละเอียดคุณลักษณะเฉพาะของพัสดุที่จะดำเนินการจัดซื้อ หรือขอบเขตของงานที่จะดำเนินการจัดจ้าง และเอกสารแนบท้ายอื่น ๆ
๔.๑ผู้ยื่นข้อเสนอที่เป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ได้รับการคัดเลือกต้องดำเนินการ/ให้บริการ ดังนี้ ๔.๑.๑ ต้องดำเนินการตรวจประเมินระบบสารสนเทศของ กสศ. โดยมีรายละเอียดของกิจกรรมที่ต้อง ดำเนินการ ดังนี้
(๑) ผู้รับจ้างจะต้องจัดทำแผนดำเนินงาน (Project Plan) อย่างละเอียด โดยจะต้องเสนอแผน ดำเนินงานดังกล่าวให้ กสศ. เห็นชอบก่อน
(๒) ผู้รับจ้างจะต้องประเมินความเสี่ยงเพื่อหาช่องโหว่ (Vulnerability Assessment) ของระบบ สารสนเทศที่สำคัญของ กสศ.จำนวนไม่น้อยกว่า ๖๐ ระบบ หรือจำนวนหมายเลขไอพีไม่
น้อยกว่า ๖๐ หมายเลขไอพี (IP Addresses)
(๓) ผู้รับจ้างจะต้องค้นหาจุดอ่อนหรือช่องโหว่ ประเมินความเสี่ยงและผลกระทบ (Vulnerability Assessment) โดยอิงตามมาตรฐาน Common Vulnerability Scoring System (CVSS)
version 3 พร้อมทั้งจัดทำข้อเสนอแนะแนวทางแก้ไขระบบสารสนเทศ และจะต้องค้นหา
จุดอ่อนหรือช่องโหว่ เพื่อประเมินความเสี่ยงและผลกระทบซ้ำ (Revisit) นับถัดจากวันที่ กสศ.
แจ้งให้ผู้รับจ้างดำเนินการ
(๔) ผู้รับจ้างจะต้องทดสอบเจาะระบบ (Penetration Testing) ตามโดยอิงมาตรฐาน NIST SP800-115 หรือ Open Web Application Security Project (OWASP) TOP 1
หรือใหม่กว่า จำนวนไม่น้อยกว่า ๖๐ ระบบ หรือจำนวนหมายเลขไอพีไม่น้อยกว่า ๑๐๐
หมายเลขไอพี (IP Addresses) พร้อมจัดทำรายงาน ข้อเสนอแนะ สำหรับแนวทางแก้ไขระบบ
สารสนเทศที่เกี่ยวข้องและผู้รับจ้างจะต้องทดสอบเจาะระบบซ้ำ (Revisit) นับถัดจาก
วันที่ กสศ. แจ้งให้ผู้รับจ้างดำเนินการ และกรณีที่ กสศ. ไม่สามารถดำเนินการปิดช่องโหว่
ตามคำแนะนำการปิดช่องโหว่ ผู้รับจ้างจะต้องวิเคราะห์และเสนอแนวทางแก้ไขอื่น ๆ และ
นำเสนอผลการทดสอบเจาะระบบซ้ำ (Revisit)
(๕) ผู้รับจ้างจะต้องตรวจประเมินตาม IT General Control จำนวนไม่น้อยกว่า ๖๐ ระบบ พร้อมทั้งจัดทำรายงานข้อเสนอแนะกระบวนการ เครื่องมือ อุปกรณ์หรือเทคโนโลยีที่
สามารถนำมาประยุกต์ได้ในแต่ละระบบสารสนเทศของ กสศ.
(๖) ผู้รับจ้างจะต้องตรวจประเมินและวิเคราะห์ Gap Analysis ภาพรวมขององค์กร โดยให้ยึด ตามกฎหมายหรือประกาศที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยสารสนเทศ ได้แก่
๖.๑ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคง
ปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล
๗ -
๖.๒ตามมาตรฐาน ISO/IEC 27001:2022 และพระราชบัญญัติการรักษาความมั่นคง
ปลอดภัยไซบอร์ พ.ศ. ๒๕๖๒
(๗) ผู้รับจ้างจะต้องแจ้ง กสศ. อย่างน้อย ๑ วันทำการและต้องได้รับความเห็นชอบจาก กสศ. ทุกครั้งก่อนทดสอบเจาะระบบ
(๘) กรณีที่บุคลากรของผู้รับจ้างไม่สามารถปฏิบัติงานได้ ผู้รับจ้างจะต้องจัดหาบุคลากร ที่มีประสบการณ์ / คุณสมบัติเทียบเท่ากับหรือดีกว่าบุคลากรคนเดิม และต้องแจ้งต่อ กสศ.
เป็นลายลักษณ์อักษรล่วงหน้าอย่างน้อย ๓ วันทำการเพื่อให้ กสศ. เห็นชอบก่อน
เปลี่ยนแปลงบุคลากรในโครงการ
๔.๒ ข้อเสนออื่น ๆ

๕. ระยะเวลาการดำเนินการ (รวมทั้งโครงการ)
☑ ภายใน ๑๘๐ วัน (ตั้งแต่วันที่ …….. ถึงวันที่……….)
□ ภายในวันที่ ……….. ถึงวันที่ …………
๖. กำหนดเวลาส่งมอบพัสดุหรือผลงาน
☑ ภายใน ๑๘๐ วัน
□ ภายในวันที่…………เดือน……….……….ปี…………..
๗. งวดงาน งวดเงิน และเงื่อนไขการจ่ายเงิน
๗.๑ งวดงาน งวดเงิน
□ ส่งมอบครั้งเดียว
☑ แบ่งการส่งมอบ ออกเป็นงวด จำนวน ๔ งวด และแบ่งการชำระเงินออกเป็นงวด จำนวน ๔ งวด ดังนี้
งวดที่
พัสดุ/ผลงานที่ต้องส่งมอบ
จำนวน
ระยะเวลาการ
ส่งมอบผลงาน
งวดเงิน
ร้อยละ
๑.
แผนการดำเนินงาน (Project Plan) ตามข้อ ๔.๑.๑ (๑) โดยส่งมอบเป็นไฟล์ PDF ส่งเข้าใน Share Drive ตามที่ กสศ.ได้แจ้งไว้พร้อมรูปเล่มรายงานจำนวน ๑ เล่ม (สามารถส่งม อ บผล งา น มา ที ่ Email address: [email protected] หรือส่งมอบผลงานเป็นเอกสารได้ ที่สำนักงาน กสศ.)
๑ งวด
ภายใน ๑๕ วัน นับถัดจาก
วันลงนามใน
สัญญา
ร้อยละ ๑๐ ของวงเงิน
จัดซื้อจัด
จ้าง
๒.
โดยส่งมอบเป็นไฟล์ PDF ส่งเข้าใน Share Drive ตามที่ กสศ.ได้แจ้งไว้พร้อมรูปเล่มรายงานจำนวน ๑ เล่ม รายละเอียดดังต่อไปนี้
๑ งวด
ภายใน ๙๐ วัน นับถัดจาก
วันลงนามใน
สัญญา
ร้อยละ ๒๐ ของวงเงิน
จัดซื้อจัด
จ้าง

๘ -

๑) รายงานการตรวจสอบ (Gap Analysis Report) ตามข้อ ๔.๑.๑ (๖)
๒) รายงานการตรวจสอบการประเมินความเสี่ยง ของช่องโหว่ ครั้งที่ ๑ (Initial VA Report) ตามข้อ ๔.๑.๑ (๒) และ ๔.๑.๑ (๓)
(สามารถส่งม อ บผล งา น มา ที ่ Email address: [email protected] หรือส่งมอบผลงานเป็นเอกสารได้ ที่สำนักงาน กสศ.)

๓.
โดยส่งมอบเป็นไฟล์ PDF ส่งเข้าใน Share Drive ตามที่ กสศ.ได้แจ้งไว้พร้อมรูปเล่มรายงานจำนวน ๑ เล่ม รายละเอียดดังต่อไปนี้
๑) รายงานการตรวจสอบการประเมินความเสี่ยง ของช่องโหว่ ครั้งที่ ๒ (Revisit VA Report) ตามข้อ ๔.๑.๑ (๓)
๒) รายงานทดสอบเจาะระบบ ครั้งที่ ๑ (Initial Pentest Report) ตามข้อ ๔.๑.๑ (๔)
(สามารถส่งม อ บผล งา น มา ที ่ Email address: [email protected] หรือส่งมอบผลงานเป็นเอกสารได้ ที่สำนักงาน กสศ.)
๑ งวด
ภายใน ๑๒๐ วัน นับถัดจาก
วันลงนามใน
สัญญา
ร้อยละ๒๐
ของวงเงิน
จัดซื้อจัด
จ้าง
๔.
โดยส่งมอบเป็นไฟล์ PDF ส่งเข้าใน Share Drive ตามที่ กสศ.ได้แจ้งไว้พร้อมรูปเล่มรายงานจำนวน ๑ เล่ม รายละเอียดดังต่อไปนี้
๑) รายงานการตรวจประเมิน (IT General Control Report) ตามข้อ ๔.๑.๑ (๕)
๒) รายงานทดสอบเจาะระบบ ครั้งที่ ๒ (Revisit Pentest Report) ตามข้อ ๔.๑.๑ (๔)
(สามารถส่งม อ บผล งา น มา ที ่ Email address: [email protected] หรือส่งมอบผลงานเป็นเอกสารได้ ที่สำนักงาน กสศ.)
๑ งวด
ภายใน ๑๘๐ วัน นับถัดจาก
วันลงนามใน
สัญญา
ร้อยละ๕๐
ของวงเงิน
จัดซื้อจัด
จ้าง

ผู้ยื่นข้อเสนอที่เป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ได้รับการคัดเลือก (ซึ่งต่อไปรวมเรียกว่า “ผู้ขาย /ผู้รับจ้าง”) จะต้องส่งมอบใบแจ้งหนี้มาพร้อมกับใบส่งของหรือหนังสือส่งมอบงานภายในวันเดียวกัน หรือภายใน ๕ วันทำการ นับแต่วันที่ส่งมอบพัสดุหรือผลงาน ทั้งนี้ การนำส่งใบแจ้งหนี้ล่าช้าเกินกว่ากำหนดเวลาดังกล่าวให้ถือว่า ผู้ขาย/ผู้รับจ้างยังมิได้มีการส่งมอบพัสดุหรือผลงานภายในกำหนดระยะเวลาตามสัญญาหรือหรือใบสั่งจ้าง

๙ -
๗.๒ เงื่อนไขการจ่ายเงิน
เมื่อคณะกรรมการตรวจรับพัสดุในงานชื้อหรืองานจ้างได้ตรวจรับพัสดุ/ผลงานไว้โดยชอบแล้ว กสศ. จะดำเนินการ เบิกจ่ายเงินงวดค่าพัสดุ/ค่าผลงาน เป็นเงินจำนวนตามสัดส่วนของพัสดุ/ผลงานที่คณะกรรมการตรวจรับพัสดุฯ ได้ ตรวจรับไว้ให้แก่ผู้ขาย/ผู้รับจ้าง โดยวิธีการโอนเงินค่าพัสดุ/ค่าผลงาน ที่ได้หักค่าธรรมเนียมธนาคาร ค่าปรับ ค่าเสียหาย ภาษี ณ ที่จ่าย และภาษีอากรอื่นทั้งปวง รวมถึงค่าฤชาธรรมเนียมและค่าใช้จ่ายอื่นใด (ถ้ามี) แล้ว เข้าบัญชีเงินฝากธนาคารชื่อบัญชีของผู้ขาย/ผู้รับจ้างเท่านั้น
๘. วงเงินงบประมาณในการจัดหา
ใช้เงินจากงบประมาณรายจ่ายประจำปีงบประมาณ พ.ศ. ๒๕๖๘ จำนวนเงิน ๓,๒๐๐,๐๐๐.๐๐ บาท
๙. อัตราค่าปรับ
กรณีผู้ขาย/ผู้รับจ้างมิได้ส่งมอบพัสดุหรือผลงานภายในกำหนดระยะเวลาตามสัญญาหรือใบสั่งจ้าง ถือว่าผู้ขาย/ ผู้รับจ้างกระทำผิดสัญญาและจะต้องชำระค่าปรับให้แก่ กสศ. ดังนี้
□ กรณีผลสำเร็จของงานเป็นรายงวด ต้องชำระค่าปรับเป็นรายวันในอัตราร้อยละ ๐.๒ ของราคาพัสดุที่ยัง ไม่ได้รับมอบ หรือของราคางานจ้างนั้น
🗹 กรณีผลสำเร็จของงานทั้งหมดพร้อมกัน ต้องชำระค่าปรับเป็นรายวันในอัตราร้อยละ ๐.๑ ของราคางาน จ้างนั้นแต่จะต้องไม่ต่ำกว่าวันละ ๑๐๐ บาท
๑๐. การกำหนดระยะเวลารับประกันความชำรุดบกพร่อง (ถ้ามี)
๑๐.๑ ผู้ขาย/ผู้รับจ้างต้องรับประกันความชำรุดบกพร่องของพัสดุ/ผลงานที่ส่งมอบ เป็นระยะเวลาไม่น้อยกว่า - ปีนับถัดจากวันที่กสศ. ได้ตรวจรับพัสดุ
๑๐.๒ กรณี กสศ. แจ้งให้ผู้ขาย/ผู้รับจ้างดำเนินการแก้ไขพัสดุ/ผลงานให้ถูกต้องครบถ้วนตามที่กำหนด ในสัญญา/ใบสั่งจ้าง ผู้ขาย/ผู้รับจ้างต้องดำเนินการแก้ไขให้แล้วเสร็จภายใน ๗ วัน นับถัดจากวันที่ได้รับแจ้งเป็น ลายลักษณ์อักษรจาก กสศ.
๑๑. สถานที่ส่งมอบพัสดุ
ณ สำนักงานกองทุนเพื่อความเสมอภาคทางการศึกษา หรือสถานที่อื่นใดตามที่ กสศ. กำหนด
๑๒. เงินประกันผลงาน (ถ้ามี)
□ มีการหักเงินที่จะจ่ายค่าพัสดุ/ค่าจ้างแต่ละงวดในอัตราร้อยละ ๕ ของงวดนั้น และ กสศ. จะคืนเงินประกัน ผลงานดังกล่าวให้โดยไม่มีดอกเบี้ยพร้อมกับการจ่ายเงินค่าพัสดุ/ค่าจ้างในงวดสุดท้าย
☑ ไม่มี
๑๐ -
๑๓. วิธีที่จะจัดซื้อจัดจ้าง
🗹 วิธีประกาศเชิญชวนทั่วไป
□ วิธีคัดเลือก
□ วิธีเฉพาะเจาะจง
๑๔. รูปแบบการเสนอราคา
□ แบบทั่วไป คือ การเสนอเอกสารคุณสมบัติและเทคนิคพร้อมกับใบเสนอราคา (พิจารณาคัดเลือกข้อเสนอ โดยใช้เกณฑ์ราคา)
🗹 แบบ ๒ ซอง คือ การแยกเอกสารทางเทคนิคกับใบเสนอราคาออกจากกัน (พิจารณาคัดเลือกข้อเสนอโดยใช้ เกณฑ์ราคาประกอบเกณฑ์อื่น)
๑๕. หลักเกณฑ์ในการพิจารณาคัดเลือกข้อเสนอ
□ เกณฑ์ราคา
🗹 เกณฑ์ราคาประกอบเกณฑ์อื่น (กรอกสัดส่วนน้ำหนัก ข้อ ๑๕.๑ และกรอกเกณฑ์คุณภาพ ข้อ ๑๕.๒)
๑๕.๑ การกำหนดสัดส่วนของน้ำหนักในการให้คะแนนระหว่างเกณฑ์ราคาและเกณฑ์อื่นเพื่อใช้ในการประเมิน การพิจารณาคัดเลือกข้อเสนอ โดยกำหนดให้น้ำหนักรวมทั้งหมดเท่ากับร้อยละ ๑๐๐
เกณฑ์ราคา
กำหนดน้ำหนักร้อยละ ๔๐
- เกณฑ์อื่น (เกณฑ์คุณภาพ)
  กำหนดน้ำหนักร้อยละ ๖๐

๑๕.๒ การกำหนดเกณฑ์การพิจารณาย่อยในการให้คะแนนของแต่ละเกณฑ์คุณภาพ ตามข้อ ๑๕.๑
เกณฑ์คุณภาพและเกณฑ์ย่อย
คะแนน
(๑)
แผนและการบริหารโครงการ
• แผนการดําเนินโครงการ (๕ คะแนน)

มีแผนการดําเนินโครงการ (Project Plan) (๕ คะแนน)
มีแผนการดำเนินโครงการบางส่วน (Project Plan) (๓ คะแนน)
ไม่มีแผนการดำเนินโครงการ หรือแผนไม่ตรงกับขอบเขตงาน (Project Plan) (๐ คะแนน)
• การบริหารโครงการ (๑๕ คะแนน)
การบริหารโครงการให้สําเร็จลุล่วงน้อยกว่า ๑๘๐ วัน (๑๕ คะแนน) - มีการบริหารโครงการให้สำเร็จลุล่วงตามระยะเวลาที่ กสศ. กำหนด (๑๐ คะแนน)
๒๐
๑๑ -
- ไม่มีการแสดงการบริหารโครงการ หรือระยะเวลาการบริหารโครงการ ล่าช้ากว่าขอบเขตงานที่ กสศ. กำหนด (๐ คะแนน)
(๒)
ข้อมูลและผลงานของบริษัท เกี่ยวกับการค้นหาช่องโหว่ ประเมินความเสี่ยง และผลกระทบ (Vulnerability Assessment) หรือการทดสอบเจาะระบบ (Penetration Testing)
มีผลงานจำนวนมากกว่า ๙ ผลงานขึ้นไป (๓๐ คะแนน)
มีผลงานจำนวน ๙ ผลงาน (๒๐ คะแนน)
มีผลงานจำนวน ๘ ผลงาน (๑๕ คะแนน)
มีผลงานจำนวน ๗ ผลงาน (๑๐ คะแนน)
มีผลงานจำนวน ๖ ผลงาน (๕ คะแนน)
มีผลงานน้อยกว่า ๖ ผลงาน หรือไม่มีผลงานที่เกี่ยวข้อง (๐ คะแนน) หมายเหตุ : ผู้ยื่นข้อเสนอจะต้องแนบหลักฐานที่เชื่อถือได้อย่างใดอย่างหนึ่ง เช่น หนังสือ รับรองผลงาน สำเนาสัญญา ข้อตกลง เอกสารหลักฐานแสดงการซื้อจ้าง เป็นต้น
๓๐
(๓)
ประสบการณ์ของบุคลากรที่ดำเนินงานในโครงการ โดยบุคลากรที่รับผิดชอบ ในโครงการมีประกาศนียบัตรที่เป็นมาตรฐานสากลที่เกี่ยวข้องด้านความมั่นคง ปลอดภัยสารสนเทศและได้รับการยอมรับ
มีประกาศนียบัตรสากล จำนวนมากกว่า ๖ ใบขึ้นไป (๒๐ คะแนน) - มีประกาศนียบัตรสากล จำนวน ๖ ใบ (๑๕ คะแนน)
มีประกาศนียบัตรสากล จำนวน ๕ ใบ (๑๐ คะแนน)
มีประกาศนียบัตรสากล จำนวน ๔ ใบ (๘ คะแนน)
มีประกาศนียบัตรสากล จำนวน ๓ ใบ (๕ คะแนน)
มีประกาศนียบัตรสากล จำนวนน้อยกว่า ๓ ใบ หรือไม่มีประกาศนียบัตรสากล (๐ คะแนน)
๒๐
(๔)
สามารถตรวจสอบช่องโหว่ในระบบต่างๆ ของ กสศ. พร้อมส่งเอกสารรายงานผลการ ตรวจสอบระบบที่เป็นประโยชน์ต่อ กสศ.
สามารถตรวจสอบช่องโหว่พร้อมรายงานจำนวน มากกว่า ๒ ครั้ง (๓๐ คะแนน) - สามารถตรวจสอบช่องโหว่พร้อมรายงานจำนวน ๒ ครั้ง (๒๐ คะแนน) - สามารถตรวจสอบช่องโหว่พร้อมรายงานจำนวน ๑ ครั้ง หรือไม่สามารถทำการ ตรวจสอบช่องโหว่ในระบบต่างๆ ของ กสศ. ได้ (๐ คะแนน)
๓๐
รวมทั้งสิ้น
๑๐๐
๑๒ -
ทั้งนี้ ผู้เสนอราคาที่ได้คะแนนเกณฑ์คุณภาพ ร้อยละ ๗๐ ขึ้นไป จะถือว่าเป็นผู้ผ่านเกณฑ์การพิจารณา คัดเลือกข้อเสนอ
หมายเหตุ :
(๑) คณะกรรมการฯ ทรงไว้ซึ่งสิทธิที่จะไม่รับราคาต่ำสุด หรือราคาหนึ่งราคาใด หรือราคาที่เสนอทั้งหมดก็ได้ และอาจพิจารณาเลือกซื้อในจำนวน หรือประเภท หรือเฉพาะรายการหนึ่งรายการใด หรืออาจจะยกเลิกการจัดซื้อ จัดจ้างโดยไม่พิจารณาคัดเลือกก็ได้ ตามที่เห็นสมควร ทั้งนี้เพื่อประโยชน์ของ กสศ. และเป้าหมายของงานเป็นสำคัญ และให้ถือว่าการตัดสินของคณะกรรมการฯ เป็นที่สุด ผู้ยื่นข้อเสนอจะเรียกร้องค่าเสียหายใด ๆ มิได้
(๒) กรณีมีผู้ผ่านเกณฑ์ราคาประกอบเกณฑ์อื่นได้คะแนนรวมเท่ากันหลายราย กสศ. ขอสงวนสิทธิ ในการคัดเลือกผู้ยื่นข้อเสนอที่ได้คะแนนเกณฑ์คุณภาพสูงสุดเป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ที่ได้รับคัดเลือก
๑๖. กำหนดยืนราคาไม่น้อยกว่า ๖๐ วัน
๑๗. กำหนดวันทำสัญญาหรือข้อตกลงเป็นหนังสือ ภายใน ๑๕ วัน นับถัดจากวันที่ได้รับแจ้งจาก กสศ.
๑๘. สถานที่จัดส่งเอกสาร/ติดต่อสอบถามข้อมูล
สำนักงานกองทุนเพื่อความเสมอภาคทางการศึกษา
ผู้ประสานงาน: ว่าที่ร.ต. วิทูรย์ บุตรธนู
โทรศัพท์: ๐๘๑-๓๐๖-๖๓๔๕
อีเมล: [email protected]
๑๙. การบอกเลิกสัญญาหรือข้อตกลงเป็นหนังสือ
๑๙.๑ ถ้าผู้ขาย/ผู้รับจ้าง ไม่ทำงานให้แล้วเสร็จภายในระยะเวลาที่กำหนด หรือไม่ส่งมอบพัสดุ/ไม่ส่งมอบงานให้เป็นไป ตามกำหนดในสัญญาหรือใบสั่งจ้างกสศ. มีสิทธิบอกเลิกสัญญาหรือใบสั่งจ้าง และไม่จ่ายเงินค่าพัสดุ/ค่าจ้างทั้งหมดของงวด งานที่ล่าช้าได้
๑๙.๒ กสศ. มีสิทธิบอกเลิกสัญญาหรือใบสั่งจ้างได้ ในกรณีที่เห็นว่าพัสดุ/พัสดุ ตามสัญญาหรือใบสั่งจ้าง ไม่มีความจำเป็นที่จะต้องใช้งานอีกต่อไป หรือในกรณีการดำเนินงานหรือรับมอบพัสดุ/ผลงานตามสัญญาหรือใบสั่งจ้างต่อไป จะไม่เป็นประโยชน์แก่ กสศ. ทั้งนี้ กสศ. จะพิจารณาตรวจรับพัสดุ/ผลงาน และเบิกจ่ายเงินค่าพัสดุ/ค่าจ้างตามความเป็นจริง โดยคำนวณตามจำนวนพัสดุ/ปริมาณงาน ที่ได้ดำเนินการหรือตรวจรับไว้โดยชอบแล้ว
๑๙.๓ กสศ. มีสิทธิบอกเลิกสัญญาหรือใบสั่งจ้างถ้าเห็นว่าผู้ขาย/ผู้รับจ้างมิได้ปฏิบัติงานด้วยความชำนาญหรือมิได้ ปฏิบัติตามข้อสัญญาหรือใบสั่งจ้างข้อหนึ่งข้อใด และเงื่อนไขที่กำหนดในสัญญาหรือใบสั่งจ้าง ในกรณีเช่นนี้ กสศ. จะบอก กล่าวให้ผู้ขาย/ผู้รับจ้างทราบ เมื่อผู้ขาย/ผู้รับจ้างได้รับหนังสือบอกกล่าวนั้นแล้ว ผู้ขาย/ผู้รับจ้างต้องหยุดปฏิบัติงานทันที
๑๙.๔ กสศ. อาจมีหนังสือบอกกล่าวให้ผู้ขาย/ผู้รับจ้างทราบล่วงหน้าเมื่อใดก็ได้ว่า กสศ. มีเจตนาที่จะระงับการทำงาน ทั้งหมด หรือแต่บางส่วน หรือจะบอกเลิกสัญญาหรือใบสั่งจ้าง ในกรณีการบอกเลิกสัญญาหรือใบสั่งจ้างดังกล่าว
๑๓ -
จะมีผลในเวลาไม่น้อยกว่า ๓๐ วัน นับจากวันที่ผู้ขาย/ผู้รับจ้างได้รับหนังสือบอกกล่าวนั้น เมื่อครบกำหนดเวลาดังกล่าวแล้ว ผู้ขาย/ผู้รับจ้างต้องหยุดปฏิบัติงานทันที
๑๙.๕ หากผู้ขาย/ผู้รับจ้าง และพนักงาน ลูกจ้าง ตัวแทน หรือบุคคลอื่นใดที่ได้รับมอบหมายของผู้ขาย/ผู้รับจ้าง (ซึ่งต่อไปรวมเรียกว่า “ลูกจ้าง”) กระทำด้วยประการใด ๆ อันเป็นการทำผิดสัญญาหรือใบสั่งจ้าง โดยมิชอบ โดยจงใจ หรือประมาทเลินเล่อ ทำให้ กสศ. ได้รับความเสียหาย ผู้ขาย/ผู้รับจ้าง ตกลงยินยอมให้ กสศ. ใช้สิทธิบอกเลิกสัญญาหรือ ใบสั่งจ้าง และมีสิทธิเรียกร้องค่าเสียหายจากผู้ขาย/ผู้รับจ้าง โดยให้ กสศ. มีสิทธินำค่าเสียหายมาหักออกจากค่าพัสดุ /ค่าจ้างได้ และหากยังไม่เพียงพอกับความเสียหายที่เกิดขึ้น กสศ. มีสิทธิเรียกร้องค่าเสียหายจากผู้ขาย/ผู้รับจ้าง จนกว่า จะได้รับครบจำนวน
๒๐. ข้อมูลส่วนบุคคล
๒๐.๑ นโยบายคุ้มครองข้อมูลส่วนบุคคล
ผู้ขาย/ผู้รับจ้าง ตกลงจะศึกษาและรับทราบนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กสศ. นโยบาย การคุ้มครองข้อมูลส่วนบุคคลสำหรับคู่สัญญา รวมถึงนโยบายและประกาศอื่นใดที่เกี่ยวข้องกับการคุ้มครองข้อมูล ส่วนบุคคลของ กสศ. ทั้งที่มีผลใช้บังคับอยู่ในขณะนี้ รวมถึงที่จะมีผลใช้บังคับต่อไปภายหน้า โดยผู้ขาย/ผู้รับจ้างตกลง ปฏิบัติตามนโยบายและประกาศดังกล่าวอย่างเคร่งครัด ทั้งนี้ ผู้ขาย/ผู้รับจ้างตกลงจะติดตามนโยบายและประกาศ ดังกล่าวของ กสศ. ที่เว็บไซต์ของ กสศ. (www.eef.or.th)
๒๐.๒ การประมวลผลข้อมูลส่วนบุคคล และเงื่อนไขในการประมวลผลข้อมูลส่วนบุคคล
๒๐.๒.๑ การประมวลผลข้อมูลส่วนบุคคล
🗹 การดำเนินงานของโครงการนี้ไม่มีการประมวลผลข้อมูลส่วนบุคคล
□ การดำเนินงานของโครงการนี้ผู้ขาย/ผู้รับจ้างต้องดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล (ซึ่งต่อไปนี้รวมเรียกว่า “ประมวลผลข้อมูลส่วนบุคคล”) โดยมีรายละเอียดตามรายการประมวลผลข้อมูล ส่วนบุคคลเอกสารแนบท้ายขอบเขตงานนี้
ทั้งนี้ กรณีมีการประมวลผลข้อมูลส่วนบุคคลผู้ขาย/ผู้รับจ้างต้องประมวลผลข้อมูลส่วนบุคคลเพียงเท่าที่ จำเป็นเพื่อให้การดำเนินงานบรรลุตามวัตถุประสงค์ของโครงการตามรายการประมวลผลข้อมูลส่วนบุคคลที่กำหนดไว้ ในข้อตกลงการประมวลผลข้อมูลส่วนบุคคล รวมถึงตกลงจะดำเนินการอื่นใดที่เกี่ยวข้องกับการประมวลผลข้อมูล ส่วนบุคคลให้สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
๒๐.๒.๒ กรณีการดำเนินงานตามโครงการนี้ไม่มีการประมวลผลข้อมูลส่วนบุคคลแต่ผู้ขาย/ผู้รับจ้าง ได้ประมวลผลข้อมูลส่วนบุคคล หรือกรณีที่โครงการนี้มีการประมวลผลข้อมูลส่วนบุคคลแต่ผู้ขาย/ผู้รับจ้าง ได้ประมวลผลข้อมูลส่วนบุคคลนอกเหนือหรือเกินไปจากที่กำหนดไว้ในรายการประมวลผลข้อมูลส่วนบุคคลตามที่ กำหนดในข้อตกลงการประมวลผลข้อมูลส่วนบุคคล ให้ถือว่าการประมวลผลข้อมูลส่วนบุคคลดังกล่าวของผู้ขาย/ผู้รับจ้าง เป็นการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลอย่างเป็นอิสระแยกจาก กสศ. ทั้งนี้
๑๔ -
(๑) กรณีเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่นใด ใช้สิทธิฟ้องร้อง หรือใช้สิทธิเรียกร้อง หรือใช้สิทธิอื่นใด เนื่องจากการประมวลผลข้อมูลส่วนบุคคลของผู้ขาย/ผู้รับจ้าง ผู้ขาย/ผู้รับจ้างตกลงรับผิดชอบในบรรดาความเสียหาย ทั้งปวงแต่เพียงผู้เดียว
(๒) กรณีเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่นใด ใช้สิทธิฟ้องร้อง หรือใช้สิทธิเรียกร้อง หรือใช้สิทธิอื่นใด ให้ กสศ. ชดใช้ค่าเสียหายเนื่องจากการประมวลผลข้อมูลส่วนบุคคลของผู้ขาย/ผู้รับจ้าง ผู้ขาย/ผู้รับจ้างตกลงจะชดใช้ ค่าเสียหายและค่าใช้จ่ายทั้งปวงที่เกิดขึ้นแทน กสศ. ทั้งนี้ การที่ผู้ขาย/ผู้รับจ้างชดใช้เงินและค่าเสียหายดังกล่าวไม่เป็น การตัดสิทธิของ กสศ. ในการดำเนินการตามกฎหมาย
๒๑. การรักษาข้อมูลไว้เป็นความลับ
๒๑.๑ ผู้ขาย/ผู้รับจ้าง และลูกจ้าง ต้องเก็บรักษาข้อมูลและรายละเอียดต่าง ๆ ที่เกิดขึ้นจากการทำงานตามสัญญา หรือใบสั่งจ้าง ทั้งในระหว่างระยะเวลาในสัญญาหรือใบสั่งจ้าง และหลังสิ้นสุดสัญญาหรือใบสั่งจ้าง ไว้เป็นความลับ ไม่มอบหรือเปิดเผยข้อมูลแก่ผู้อื่นโดยไม่ได้รับอนุญาตจาก กสศ. และ/หรือเอาไปเพื่อประโยชน์อื่นใดแก่ตนเอง โดยหาก มีการนำไปใช้ หรือเปิดเผย หรือเผยแพร่ ข้อมูลดังกล่าวอันจะก่อให้เกิดความเสียหายแก่ กสศ. ผู้ขาย/ผู้รับจ้าง จะต้อง รับผิดชอบต่อการกระทำดังกล่าว และ กสศ. มีสิทธิดำเนินการตามกฎหมายกับผู้ขาย/ผู้รับจ้าง
๒๑.๒ ข้อมูลที่เป็นความลับทั้งที่อยู่ในรูปของเอกสาร โปรแกรมคอมพิวเตอร์ ข้อมูลอิเล็กทรอนิกส์ ที่บันทึกลงในสื่อต่าง ๆ หรือสิ่งอื่นใดที่เป็นรูปธรรมที่ กสศ. เปิดเผยแก่ผู้ขาย/ผู้รับจ้าง ผู้ขาย/ผู้รับจ้าง ต้องทำ เครื่องหมาย “ลับ” ไว้กับสิ่งนั้นอย่างชัดเจน ส่วนการเปิดเผยข้อมูลที่เป็นความลับด้วยวาจาหรือด้วยวิธีการอื่นใดที่ไม่ เป็นรูปธรรม ซึ่ง กสศ. ได้แจ้งให้ผู้ขาย/ผู้รับจ้าง ทราบ ณ เวลาเปิดเผยนั้นว่าเป็นการเปิดเผยข้อมูลที่เป็นความลับ ผู้ขาย/ผู้รับจ้าง จะต้องสรุปสาระสำคัญของข้อมูลที่เป็นความลับดังกล่าวเป็นลายลักษณ์อักษร พร้อมทั้งทำ เครื่องหมาย “ลับ” หรือเครื่องหมายที่มีความหมายทำนองเดียวกันนี้ไว้กับข้อความสรุปนั้นอย่างชัดเจน พร้อมทั้งส่ง มอบข้อความสรุปดังกล่าว ให้แก่ กสศ. ภายใน ๑๕ วัน นับตั้งแต่วันที่ กสศ. เปิดเผยข้อมูลที่เป็นความลับนั้น
๒๑.๓ ผู้ขาย/ผู้รับจ้างตกลงจะเก็บรักษาข้อมูลที่เป็นความลับที่ กสศ. ได้เปิดเผยแก่ผู้ขาย/ผู้รับจ้าง รวมถึงจะ จัดให้มีมาตรการที่เหมาะสมตามมาตรฐานของการรักษาความมั่นคงปลอดภัยของข้อมูลที่เป็นความลับนั้นเพื่อป้องกัน มิให้บุคคลภายนอกเข้าถึงข้อมูลที่เป็นความลับได้
๒๒. กรรมสิทธิ์ในผลงาน และสิทธิในทรัพย์สินทางปัญญา
๒๒.๑ ผลงาน ซึ่งหมายความรวมถึงข้อมูล รายงาน เอกสาร ผลการศึกษา วิเคราะห์ วิจัย และที่เรียกชื่ออื่นใด ทั้งหมดที่ผู้รับจ้างและ/หรือลูกจ้าง เป็นผู้ดำเนินการหรือได้รับจากการดำเนินงานภายใต้สัญญาหรือใบสั่งจ้าง ให้ผลงาน ดังกล่าวเป็นกรรมสิทธิ์ของ กสศ.
๒๒.๒ สิทธิเหนือทรัพย์สินทางปัญญาใด ๆ (ไม่ว่าจะเป็นลิขสิทธิ์ สิทธิบัตร หรือสิทธิในทรัพย์สินทางปัญญาใด ๆ) ในผลงานตามของ ๒๒.๑ ที่ผู้รับจ้างและ/หรือลูกจ้างของผู้รับจ้างได้สร้างสรรค์ ประพันธ์ สร้างขึ้น หรือจัดทำขึ้นจาก การดำเนินงานภายใต้สัญญาหรือใบสั่งจ้างให้เป็นของ กสศ.
๒๒.๓ หากผู้รับจ้างประสงค์จะนำสิทธิในทรัพย์สินทางปัญญาของ กสศ. ไปใช้จะต้องได้รับความยินยอมเป็น หนังสือจาก กสศ. ก่อน
๑๕ -
๒๓. เงื่อนไขอื่น ๆ
กรณีวงเงินงบประมาณตามข้อ ๘. เป็นเงินจากงบประมาณรายจ่ายประจำปีงบประมาณถัดไป กสศ. จะลงนาม ในสัญญาหรือใบสั่งจ้างกับผู้ขาย/ผู้รับจ้างก็ต่อเมื่อพระราชบัญญัติงบประมาณรายจ่ายประจำปีงบประมาณนั้นมีผลใช้ บังคับและ กสศ. ได้รับการจัดสรรงบประมาณรายจ่ายประจำปีจากสำนักงบประมาณแล้ว
ทั้งนี้ กสศ. ขอสงวนสิทธิในการยกเลิกการจัดซื้อจัดจ้างครั้งนี้ กรณีที่ กสศ. ไม่ได้รับการจัดสรรงบประมาณ เพื่อการจัดซื้อจัดจ้างโครงการนี้