egp· งานประมูลภาครัฐ

ประกวดราคาจ้างเหมาบริการตรวจสอบความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ

สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย

จ้างทำของ/จ้างเหมาบริการ

รหัสโครงการ: 68069459781

฿3,000,000ปีงบประมาณ 2568ประกาศ 2025-06-30กรุงเทพมหานคร
ดูในระบบ e-GP ↗

รายละเอียดการจ้าง

โครงการนี้มีวัตถุประสงค์หลักเพื่อประเมินและปรับปรุงความมั่นคงปลอดภัยของระบบและแอปพลิเคชันของหน่วยงาน โดยการดำเนินการทดสอบเจาะระบบ (Penetration Testing) อย่างละเอียด ทั้ง Web Application และ Mobile Application การทดสอบจะครอบคลุมถึงการประเมินช่องโหว่ที่อาจเกิดขึ้นจากการใช้ข้อมูล Credentials ที่ถูก Compromised รวมถึงการตรวจสอบตามมาตรฐาน OWASP Top 10 และ CWE/SANS TOP 25

ขอบเขตงานประกอบด้วยการทดสอบแบบ Gray-Box เพื่อจำลองสถานการณ์การโจมตีที่อาจเกิดขึ้นจริง การทดสอบ Mobile Application จะครอบคลุมถึง OWASP Mobile Top 10 ผู้รับจ้างจะต้องทำการทดสอบทั้งแบบ Manual และ Automatic โดยใช้เครื่องมือที่เหมาะสม และต้องสามารถแจ้งเตือน (Notification) แบบ Real-time ผ่านช่องทางต่างๆ เช่น Email, Webhook และ API

นอกจากนี้ ผู้รับจ้างจะต้องมีแผนการ Backup และ Rollback เพื่อให้มั่นใจได้ว่าระบบจะไม่ได้รับผลกระทบในระหว่างการทดสอบ และจะต้องจัดทำรายงานผลการทดสอบที่ครบถ้วนและชัดเจน เพื่อให้หน่วยงานสามารถนำไปปรับปรุงแก้ไขได้อย่างมีประสิทธิภาพ

This project aims to conduct Penetration Testing to assess the security posture of systems and applications. The testing will cover both Web Applications and Mobile Applications, utilizing a Gray-Box approach. It includes Compromised Credentials checks, Real-time Alerts, and Rollback procedures.

สถานที่

ไม่ได้ระบุ

คำสำคัญ

- penetration testingweb application securitymobile application securityOWASPvulnerability assessmentcybersecurityethical hackingsecurity testingreal-time alertcompromised credentials

รายละเอียดเชิงลึก

เป้าหมายโครงการ

  • ประเมินความมั่นคงปลอดภัยของระบบและแอปพลิเคชัน
  • ระบุช่องโหว่และจุดอ่อนที่อาจถูกโจมตี
  • ปรับปรุงและพัฒนาระบบให้มีความปลอดภัยมากยิ่งขึ้น
  • ปฏิบัติตามมาตรฐาน OWASP Top 10 และ CWE/SANS TOP 25

ขอบเขตงาน (Scope of Work)

  • ทดสอบเจาะระบบ Web Application แบบ Gray-Box
  • ทดสอบเจาะระบบ Mobile Application ตามมาตรฐาน OWASP Mobile Top 10 แบบ Gray-Box
  • ตรวจสอบ Compromised Credentials จากแหล่งข้อมูลต่างๆ (Hacker Community, Breach Forum, GitHub) โดยใช้ Commercial Tools
  • แจ้งเตือน (Notification) แบบ Real-t…

สิ่งที่ต้องส่งมอบ

  • รายงานผลการทดสอบ (Penetration Testing Report)
  • แผน Backup และ Rollback
  • การแจ้งเตือน (Notification) แบบ Real-time

ระยะเวลาดำเนินงาน

ระยะเวลาดำเนินการ 30 วัน (man-days)

คุณสมบัติผู้เสนอราคา

  • ประสบการณ์: ไม่ได้ระบุ
  • บุคลากร: ต้องมี Certificate ที่เกี่ยวข้องกับ Information Security เช่น CISSP, CRISC, GIAC, OSCE3, CREST Registered Penetration Tester, Offensive Security Certified Professional, Offensive Experienced Pentester (OEP/OSEP), Offensive Security Web Expert (…

เกณฑ์การพิจารณา

  • ข้อเสนอทางเทคนิค: 40 คะแนน
    • รายละเอียดการทดสอบ, เครื่องมือ: 25 คะแนน
    • แผนการ Backup และ Rollback: 15 คะแนน
  • ราคา: 25 คะแนน
  • คุณสมบัติผู้เสนอราคา: 15 คะแนน
    • ประสบการณ์ของทีมงาน: 8 คะแนน
    • Certificate ของทีมงาน: 7 คะแนน
  • เงื่อนไขอื่นๆ: 20 คะแนน

ข้อกำหนดทางเทคนิค

  • การทดสอบ Web Application ต้องครอบคลุม OWASP Top 10 Web Application Security Risks และ CWE/SANS TOP 25
  • การทดสอบ Mobile Application ต้องครอบคลุม OWASP Mobile Top 10
  • ต้องสามารถตรวจสอบ Compromised Credentials จากแหล่งข้อมูลต่างๆ
  • ต้องสามารถแจ้งเตือนแบบ Real-time ผ่านช่องทางต่า…

เงื่อนไขสัญญา

  • ไม่ได้ระบุรายละเอียดสัญญา

คำถามที่พบบ่อย (FAQ)

  • ถาม: การทดสอบแบบ Gray-Box คืออะไร?

    • ตอบ: การทดสอบแบบ Gray-Box คือการทดสอบที่ผู้ทดสอบมีความรู้บางส่วนเกี่ยวกับระบบ เช่น โครงสร้างของระบบ หรือข้อมูล Credentials เพื่อจำลองสถานการณ์การโจมตีที่อาจเกิดขึ้นจริง

    • ถาม: OWASP Top 10 คืออะไร?

    • ตอบ: OWASP Top 10 คือรายการข…

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

(Terms of Reference : TOR)
(Penetration Testing)
.
Penetration Testing)
.
Penetration Testing)
………………………….. ……….. …………………………………….

Terms of Reference : TOR)
Penetration Testing) 1 11
.
Electronic Government
Procurement : e-GP)
………………………….. ……….. ……………