จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างเหมาบริการตรวจสอบความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ

สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย 68069459781

฿3,000,000 ปีงบ 2568 ประกาศ 30 มิ.ย. 2568 กรุงเทพมหานคร

รายละเอียดการจ้าง

โครงการนี้มีวัตถุประสงค์หลักเพื่อประเมินและปรับปรุงความมั่นคงปลอดภัยของระบบและแอปพลิเคชันของหน่วยงาน โดยการดำเนินการทดสอบเจาะระบบ (Penetration Testing) อย่างละเอียด ทั้ง Web Application และ Mobile Application การทดสอบจะครอบคลุมถึงการประเมินช่องโหว่ที่อาจเกิดขึ้นจากการใช้ข้อมูล Credentials ที่ถูก Compromised รวมถึงการตรวจสอบตามมาตรฐาน OWASP Top 10 และ CWE/SANS TOP 25

ขอบเขตงานประกอบด้วยการทดสอบแบบ Gray-Box เพื่อจำลองสถานการณ์การโจมตีที่อาจเกิดขึ้นจริง การทดสอบ Mobile Application จะครอบคลุมถึง OWASP Mobile Top 10 ผู้รับจ้างจะต้องทำการทดสอบทั้งแบบ Manual และ Automatic โดยใช้เครื่องมือที่เหมาะสม และต้องสามารถแจ้งเตือน (Notification) แบบ Real-time ผ่านช่องทางต่างๆ เช่น Email, Webhook และ API

นอกจากนี้ ผู้รับจ้างจะต้องมีแผนการ Backup และ Rollback เพื่อให้มั่นใจได้ว่าระบบจะไม่ได้รับผลกระทบในระหว่างการทดสอบ และจะต้องจัดทำรายงานผลการทดสอบที่ครบถ้วนและชัดเจน เพื่อให้หน่วยงานสามารถนำไปปรับปรุงแก้ไขได้อย่างมีประสิทธิภาพ

English summary

This project aims to conduct Penetration Testing to assess the security posture of systems and applications. The testing will cover both Web Applications and Mobile Applications, utilizing a Gray-Box approach. It includes Compromised Credentials checks, Real-time Alerts, and Rollback procedures.

สถานที่ดำเนินการ

ไม่ได้ระบุ

คำสำคัญ

penetration testing web application security mobile application security OWASP vulnerability assessment cybersecurity ethical hacking security testing real-time alert compromised credentials

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

ประเมินความมั่นคงปลอดภัยของระบบและแอปพลิเคชัน
ระบุช่องโหว่และจุดอ่อนที่อาจถูกโจมตี
ปรับปรุงและพัฒนาระบบให้มีความปลอดภัยมากยิ่งขึ้น
ปฏิบัติตามมาตรฐาน OWASP Top 10 และ CWE/SANS TOP 25

ขอบเขตของงาน

ทดสอบเจาะระบบ Web Application แบบ Gray-Box
ทดสอบเจาะระบบ Mobile Application ตามมาตรฐาน OWASP Mobile Top 10 แบบ Gray-Box
ตรวจสอบ Compromised Credentials จากแหล่งข้อมูลต่างๆ (Hacker Community, Breach Forum, GitHub) โดยใช้ Commercial Tools
แจ้งเตือน (Notification) แบบ Real-time ผ่าน Email, Webhook, API
จัดทำแผน Backup และ Rollback
จัดทำรายงานผลการทดสอบ (Penetration Testing Report)
การทดสอบซ้ำ (Revisit Test) 3 ครั้ง
การทดสอบหลังแก้ไข (Fix-up Retest) 3 ครั้ง
การทดสอบด้วย Manual Test
การทดสอบด้วย Automatic Test tool
การประเมินช่องโหว่ (Vulnerability Assessment)

สิ่งที่ต้องส่งมอบ

รายงานผลการทดสอบ (Penetration Testing Report)
แผน Backup และ Rollback
การแจ้งเตือน (Notification) แบบ Real-time

ระยะเวลาดำเนินการ

ระยะเวลาดำเนินการ 30 วัน (man-days)

คุณสมบัติผู้เสนอราคา

ประสบการณ์: ไม่ได้ระบุ
บุคลากร: ต้องมี Certificate ที่เกี่ยวข้องกับ Information Security เช่น CISSP, CRISC, GIAC, OSCE3, CREST Registered Penetration Tester, Offensive Security Certified Professional, Offensive Experienced Pentester (OEP/OSEP), Offensive Security Web Expert (OSWE), GMOB, GXPN (GIAC Exploit Researcher and Advanced Penetration Tester), eWPTX (eXtreme)

เกณฑ์การพิจารณา

ข้อเสนอทางเทคนิค: 40 คะแนน
- รายละเอียดการทดสอบ, เครื่องมือ: 25 คะแนน
- แผนการ Backup และ Rollback: 15 คะแนน
ราคา: 25 คะแนน
คุณสมบัติผู้เสนอราคา: 15 คะแนน
- ประสบการณ์ของทีมงาน: 8 คะแนน
- Certificate ของทีมงาน: 7 คะแนน
เงื่อนไขอื่นๆ: 20 คะแนน

ข้อกำหนดทางเทคนิค

การทดสอบ Web Application ต้องครอบคลุม OWASP Top 10 Web Application Security Risks และ CWE/SANS TOP 25
การทดสอบ Mobile Application ต้องครอบคลุม OWASP Mobile Top 10
ต้องสามารถตรวจสอบ Compromised Credentials จากแหล่งข้อมูลต่างๆ
ต้องสามารถแจ้งเตือนแบบ Real-time ผ่านช่องทางต่างๆ

เงื่อนไขสัญญา

ไม่ได้ระบุรายละเอียดสัญญา

คำถามที่พบบ่อย (FAQ)

ถาม: การทดสอบแบบ Gray-Box คืออะไร?
- ตอบ: การทดสอบแบบ Gray-Box คือการทดสอบที่ผู้ทดสอบมีความรู้บางส่วนเกี่ยวกับระบบ เช่น โครงสร้างของระบบ หรือข้อมูล Credentials เพื่อจำลองสถานการณ์การโจมตีที่อาจเกิดขึ้นจริง
- ถาม: OWASP Top 10 คืออะไร?
- ตอบ: OWASP Top 10 คือรายการของช่องโหว่ที่พบบ่อยที่สุดใน Web Application ที่จัดทำโดย OWASP (Open Web Application Security Project)
- ถาม: CWE/SANS TOP 25 คืออะไร?
- ตอบ: CWE/SANS TOP 25 คือรายการของจุดอ่อนด้านความปลอดภัยที่อันตรายที่สุด ที่จัดทำโดย CWE (Common Weakness Enumeration) และ SANS Institute
- ถาม: ทำไมต้องมีการตรวจสอบ Compromised Credentials?
- ตอบ: เพื่อตรวจสอบว่ามี Credentials ของผู้ใช้งานระบบรั่วไหลออกไปหรือไม่ และนำไปสู่การเข้าถึงระบบโดยไม่ได้รับอนุญาต
- ถาม: การแจ้งเตือนแบบ Real-time มีประโยชน์อย่างไร?
- ตอบ: ช่วยให้สามารถรับรู้ถึงปัญหาด้านความปลอดภัยได้ทันที และสามารถตอบสนองต่อเหตุการณ์ได้อย่างรวดเร็ว
- ถาม: ทำไมต้องมีแผน Backup และ Rollback?
- ตอบ: เพื่อให้มั่นใจได้ว่าระบบจะไม่ได้รับผลกระทบในระหว่างการทดสอบ และสามารถกู้คืนระบบกลับสู่สภาพเดิมได้หากเกิดปัญหา
- ถาม: รายงานผลการทดสอบ (Penetration Testing Report) ควรมีรายละเอียดอะไรบ้าง?
- ตอบ: รายงานควรมีรายละเอียดเกี่ยวกับช่องโหว่ที่พบ, ระดับความรุนแรง, วิธีการแก้ไข, และข้อเสนอแนะในการปรับปรุงความปลอดภัย
- ถาม: การทดสอบซ้ำ (Revisit Test) คืออะไร?
- ตอบ: การทดสอบซ้ำคือการทดสอบเพื่อตรวจสอบว่าช่องโหว่ที่เคยพบได้รับการแก้ไขแล้ว
- ถาม: การทดสอบหลังแก้ไข (Fix-up Retest) คืออะไร?
- ตอบ: การทดสอบหลังแก้ไขคือการทดสอบหลังจากที่ได้ทำการแก้ไขช่องโหว่ที่พบแล้ว เพื่อให้มั่นใจว่าการแก้ไขนั้นถูกต้องและมีประสิทธิภาพ
- ถาม: ทำไมต้องมี Certificate ที่เกี่ยวข้องกับ Information Security?
- ตอบ: เพื่อแสดงให้เห็นถึงความรู้และทักษะของผู้ทดสอบในการดำเนินการทดสอบเจาะระบบอย่างมีประสิทธิภาพ

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

(Terms of Reference : TOR)
(Penetration Testing)
.
Penetration Testing)
.
Penetration Testing)
………………………….. ……….. …………………………………….

Terms of Reference : TOR)
Penetration Testing) 1 11
.
Electronic Government
Procurement : e-GP)
………………………….. ……….. …………………………………….
1,000,000 )

Terms of Reference : TOR)
Penetration Testing) 2 11
750, ) 1
3
SMEs)
SMEs)
.
Gantt Chart
/

………………………….. ……….. …………………………………….

Terms of Reference : TOR)
Penetration Testing) 3 11
•
5
•
Certificate
)

•

•
Certificate)

Certificate)
Certificate)
Certified Information Systems Security Professional
………………………….. ……….. …………………………………….
Certified in Risk and Information Systems Control
GIAC

Terms of Reference : TOR)
Penetration Testing) 4 11
OffSec Certified Expert 3 (OSCE3)
Certified Penetration Testing
Certificate)
Certificate) 2
CREST Registered Penetration Tester
Offensive Security Certified Professional
Offensive Experienced Pentester P)
Offensive Security Web Expert
GMOB
GXPN GIAC Exploit Researcher and Advanced Penetration Tester)
Tester)
eWPTX
eXtreme)
7
1
.OWASP Top
Certificate
………………………….. ……….. …………………………………….
10 Web Application Security Risks CWE/SANS TOP 25

Terms of Reference : TOR)
Penetration Testing) 5 11
Gray-Box 10
)
Mobile Application
OWASP Mobile Top 10 Gray-Box
Mobile Application 2
3
1 1 )
Revisit Test)
3 2
-up Retest)
Penetration Testing)
Manual Test)
Automatic Test tool)
Vulnerability Assessment)
Compromised Credential
Compromised
Credential Commercial Tools) ………………………….. ……….. …………………………………….
Hacker Community
Breach Forum
GitHub

Terms of Reference : TOR)
Penetration Testing) 6 11
.
Notification) , ,
Real-time Alert) Email,
Webhook, API
url/domain
man-day 30 man-days
Backup) Rollback)
Penetration Testing)
Penetration
Testing) TOR TOR
Non- )
………………………….. ……….. …………………………………….
Statement of Compliance

e-bidding)

Terms of Reference : TOR)
Penetration Testing) 7 11
14
Terms of Reference : TOR)
25
25
25
25
TOR 1
40
25
25
2-5
15
)
15
8- 8 -7
………………………….. ……….. …………………………………….
TOR
5
TOR
-4
25 18

25
TOR
2
15

Terms of Reference : TOR)
Penetration Testing) 8 11
4. 10
10
10 5
3

.
365
.
.
) 1
1
1
Gantt Chart
30 10
2 , , 120 40 ………………………….. ……….. …………………………………….
3

365
 50

Terms of Reference : TOR)
Penetration Testing) 9 11
.
1
.
e-bidding)
2560
2560
.
256
3,0 )
.
22/79
………………………….. ……….. …………………………………….

Terms of Reference : TOR)
Penetration Testing) 10 11
.
:
0-2515-3995 7105

22/79 10900
)

)

)
………………………….. ……….. …………………………………….
)

Terms of Reference : TOR)
Penetration Testing) 11 11