จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ
ประกวดราคาจ้างการวางแนวทาง แนวปฏิบัติ และโครงสร้างพื้นฐาน ขององค์การบริหารจัดการก๊าซเรือนกระจก (องค์การมหาชน) เพื่อการดำเนินงานตาม พรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
องค์การบริหารจัดการก๊าซเรือนกระจก (องค์การมหาชน) 68069602047
รายละเอียดการจ้าง
โครงการ “การวางแนวทาง แนวปฏิบัติและโครงสร้างพื้นฐาน ของ อบก. เพื่อการด าเนินงานตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์พ.ศ. 2562” มีเป้าหมายหลักเพื่อเสริมสร้างความมั่นคงปลอดภัยทางไซเบอร์ให้แก่องค์การบริหารจัดการก๊าซเรือนกระจก (อบก.) ตามข้อกำหนดของพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 โดยจะมีการกำหนดแนวทางปฏิบัติ, กรอบการดำเนินงาน, และนโยบายด้านความมั่นคงปลอดภัยไซเบอร์ที่สอดคล้องกับบทบาทหน้าที่ของ อบก. รวมถึงการยกระดับขีดความสามารถในการบริหารจัดการสถานการณ์ฉุกเฉินทางไซเบอร์ และการพัฒนาต้นแบบกรอบนโยบายและแนวทางการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์
ขอบเขตงานประกอบด้วยการจัดทำแผนการบริหารโครงการ, การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์, การจัดทำแผนรับมือภัยคุกคามทางไซเบอร์, การจัดทำกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์, การฝึกอบรมบุคลากร, และการตรวจสอบวิเคราะห์ความเสี่ยงของระบบสารสนเทศงานบริการของ อบก. โดยมีเป้าหมายเพื่อให้ อบก. มีนโยบาย, แนวทางปฏิบัติ, และกรอบมาตรฐานที่สอดคล้องกับกฎหมาย, มีรายงานผลการวิเคราะห์ประเมินความสอดคล้อง, มีรายงานผลการทดสอบการรักษาความมั่นคงปลอดภัยไซเบอร์, และบุคลากรมีความรู้ความเข้าใจเกี่ยวกับ พ.ร.บ. และระบบการบริหารจัดการความมั่นคงไซเบอร์ขององค์กรมากขึ้น
English summary
The project “Developing Guidelines, Practices, and Infrastructure for TGO to Operate in Accordance with the Cybersecurity Act B.E. 2562” aims to enhance the cybersecurity of the Thailand Greenhouse Gas Management Organization (TGO) in accordance with the Cybersecurity Act B.E. 2562. This includes establishing operational guidelines, frameworks, and cybersecurity policies aligned with TGO’s roles and responsibilities. The project will also focus on improving TGO’s ability to manage cybersecurity incidents and developing prototype policy frameworks and operational guidelines.
The scope of work includes developing a project management plan, conducting cybersecurity risk assessments, creating a cybersecurity incident response plan, establishing a cybersecurity standard framework, providing staff training, and auditing the risk of TGO’s information systems. The goal is for TGO to have policies, practices, and standards that comply with the law, a report on compliance assessment, a report on cybersecurity testing, and staff with increased knowledge and understanding of the Cybersecurity Act and the organization’s cybersecurity management system.
สถานที่ดำเนินการ
องค์การบริหารจัดการก๊าซเรือนกระจก (องค์การมหาชน)
ข้อมูลเชิงลึกของโครงการ
AI วิเคราะห์ ปลดล็อกแล้วเป้าหมายโครงการ
- เพื่อกำหนดแนวทาง แนวปฏิบัติและกรอบการดำเนินงานที่มีความชัดเจน ครอบคลุม และสอดคล้องกับบทบาทหน้าที่ของ อบก. ตามที่บัญญัติไว้ในพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์พ.ศ. 2562
- เพื่อยกระดับขีดความสามารถของ อบก. ในการบริหารจัดการสถานการณ์ฉุกเฉินทางไซเบอร์ให้เป็นไปตามหลักเกณฑ์ มาตรฐาน และแนวปฏิบัติที่กำหนดไว้ในพระราชบัญญัติฯ และยุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์ของชาติ
- เพื่อพัฒนาต้นแบบของกรอบนโยบาย แนวทางการดำเนินงาน และแนวปฏิบัติด้านความมั่นคงปลอดภัยไซเบอร์ของ อบก.
- เพื่อตรวจสอบ วิเคราะห์พิจารณาความเสี่ยงของระบบสารสนเทศงานบริการของ อบก. (System Audit) ได้แก่ ระบบความปลอดภัยของข้อมูล การสำรองข้อมูล การควบคุมการเข้าถึงระบบ
ขอบเขตของงาน
- จัดทำแผนการบริหารโครงการโดยมีรายละเอียดการทำงาน ตั้งแต่เริ่มจนกระทั่งสิ้นสุดโครงการ
- จัดประชุมรวบรวมความต้องการของผู้ใช้งาน และประชุมความก้าวหน้าต่อ อบก. เป็นประจำทุกเดือน
- จัดทำประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของ
- แผนการตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Audit Plan)
- การประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ครอบคลุมถึง โครงสร้างพื้นฐานสำคัญด้านสารสนเทศ ข้อมูลและเครือข่ายสำคัญ ผู้ให้บริการและผู้จำหน่ายภายนอก
- แผนการรับมือภัยคุกคามทางไซเบอร์(Cybersecurity Incident Response Plan) สำหรับรับมือภัยคุกคามที่ส่งผลกระทบต่อระบบสำคัญของ อบก. โดยครอบคลุมถึง การโจมตีทางไซเบอร์การโจมตีทางช่องโหว่ความปลอดภัยในระบบ การโจมตีการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต
- จัดทำกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
- Govern
- นโยบายการบริหารจัดการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Management System Policy) ให้ครอบคลุมทุกระบบ ข้อมูล โครงสร้างพื้นฐานสารสนเทศและกระบวนการที่เกี่ยวข้องกับความมั่นคงปลอดภัยของข้อมูลสารสนเทศและข้อมูลส่วนบุคคลในองค์การ และผู้ที่มีส่วนเกี่ยวข้องทั้งภายในและภายนอกองค์การ ให้สอดคล้องกับกฎหมาย ข้อบังคับและมาตรฐานที่เกี่ยวข้อง รวมถึงดำเนินการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ และจัดทำรายงานการประเมินความเสี่ยง (Risk Assessment Report)
- Identify
- ระเบียบกระบวนการจัดการทรัพย์สิน (Asset Management Procedure) ครอบคลุมทรัพย์สินทุกประเภทที่เกี่ยวข้องกับบริการสำคัญขององค์การ รวมถึง ฮาร์ดแวร์ซอฟต์แวร์ข้อมูล ระบบเครือข่าย และทรัพยากรทางเทคโนโลยีสารสนเทศอื่น ๆ ที่มีความสำคัญต่อการดำเนินงานขององค์การ รวมไปถึง การระบุการติดตาม และการประเมินความเสี่ยงของทรัพย์สินและบริการที่สำคัญในทะเบียนทรัพย์สิน เพื่อพิจารณามาตรการจัดการความเสี่ยง
- ระเบียบกระบวนการประเมินความเสี่ยงและกลยุทธ์ในการจัดการความเสี่ยง (Risk Assessment and Risk Management Strategy Procedure) เพื่อระบุ วิเคราะห์และประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ที่อาจส่งผลกระทบต่อโครงสร้างพื้นฐานสำคัญของ อบก. และกำหนดกลยุทธ์ในการจัดการ ป้องกัน เพื่อลดผลกระทบจากความเสี่ยง ครอบคลุมถึง ทรัพย์สิน ข้อมูล ระบบ โครงสร้างพื้นฐานและบริการสำคัญขององค์การ รวมถึง จัดทำทะเบียนความเสี่ยง (Risk Register) และรายงานการประเมินความเสี่ยง อ้างอิง NIST SP 800-30
- ระเบียบกระบวนการประเมินช่องโหว่และการทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing Procedure) ระบุและประเมินช่องโหว่ด้านความมั่นคงปลออดภัยของระบบเทคโนโลยีสารสนเทศ (IT) ที่เกี่ยวข้องกับบริการที่สำคัญขององค์การ โดยเฉพาะอย่างยิ่งระบบที่เชื่อมต่อกับ อินเทอร์เน็ต ครอบคลุมถึง โฮสต์เครือข่าย สถาปัตยกรรม และแอปพลิเคชัน และการดำเนินการทดสอบเจาะระบบเพื่อประเมินความเสี่ยงและการควบคุมความปลอดภัย โดยผู้ทดสอบเจาะระบบต้องเป็นอิสระจากระบบที่ทำการทดสอบ และมีการรับรองหรือมีประกาศนียบัตรที่ได้รับการรับรองจากองค์กรมาตรฐานสากล เช่น CEH-Certificated Ethical Hacker, OSCP-Offensive Security Certificated Professional พร้อมทั้งจัดทำรายงานผลการทดสอบเจาะระบบและรายงานผลการประเมินช่องโหว่ ส่งให้แก่หน่วยงาน
- Protect
- ระเบียบกระบวนการการควบคุมการเข้าถึง (Access Control Procedure) สำหรับบุคลากร อุปกรณ์และอินเทอร์เฟซ รวมถึง ตรวจสอบและจัดเก็บบันทึกการเข้าถึงบริการที่สำคัญของ อบก.
- ระเบียบกระบวนการการทำให้ระบบมีความแข็งแกร่ง (System Hardening Procedure) ครอบคลุม การกำหนดมาตรฐานการกำหนดค่าขั้นต่ำด้านความมั่นคงปลอดภัย (Security Baseline Configuration Standards) สำหรับ ระบบปฏิบัติการ แอปพลิเคชัน และอุปกรณ์เครือข่ายที่เกี่ยวข้องกับบริการที่สำคัญของ อบก.
- นโยบายการกำหนดค่าขั้นต่ำด้านความมั่นคงปลอดภัย (Security Baseline Configuration Standards) ครอบคลุม การกำหนดค่าระบบทั้งหมดในองค์การ รวมถึง เซิร์ฟเวอร์คอมพิวเตอร์อุปกรณ์เครือข่ายและแอปพลิเคชันที่ใช้งานภายในองค์การ โดยอ้างอิงตามหลักการรักษาความมั่นคงปลอดภัย (Security Principles)
- ระเบียบการเชื่อมต่อระยะไกล (Remote Connection Procedure) ครอบคลุมถึงการกำหนดมาตรการรักษาความมั่นคงปลอดภัยสำหรับการเชื่อมต่อระยะไกลมายังบริการที่สำคัญ รวมถึงกำหนดแนวทางปฏิบัติสำหรับการเชื่อมต่อและการควบคุมการไหลของข้อมูล
- ระเบียบกระบวนการการใช้สื่อเก็บข้อมูลแบบถอดได้(Removable Storage Media Procedure) ครอบคลุมถึงการใช้การควบคุม และการเข้ารหัสข้อมูลบนสื่อเก็บข้อมูลแบบถอดได้และอุปกรณ์คอมพิวเตอร์แบบพกพาที่เชื่อมต่อกับบริการที่สำคัญของ อบก.
- ระเบียบกระบวนการการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Awareness Procedure) ครอบคลุมถึง การจัดทำแผนงาน การเผยแพร่และทบทวนกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์สำหรับบุคลากรที่เกี่ยวข้องในองค์การ
- ระเบียบกระบวนการการแบ่งปันข้อมูล (Information Sharing Procedure) ครอบคลุมแนวทางการแบ่งปันข้อมูลที่เกี่ยวข้องกับเหตุการณ์ความมั่นคงปลอดภัยไซเบอร์ภัยคุกคามทางไซเบอร์และมาตรการบรรเทาผลกระทบให้กับบุคคลที่เกี่ยวข้อง เช่น หน่วยงานหรือองค์กรที่อยู่ในกำกับดูแล ผู้ใช้บริการ ผู้รับเหมา และเจ้าของระบบคอมพิวเตอร์ที่จำเป็นต้องเชื่อมต่อกับบริการที่สำคัญขององค์กร
- Detect
- ระเบียบกระบวนการการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์ (Cyber Threat Detection and Monitoring Procedure) กำหนดกลไกและกระบวนการในการตรวจจับ จัดประเภท วิเคราะห์และระบุภัยคุกคามทางไซเบอร์หรือเหตุการณ์ความมั่นคงปลอดภัยไซเบอร์ที่อาจเกิดขึ้นกับบริการที่สำคัญขององค์การและจัดทำบันทึกและรายงานการตรวจจับเหตุการณ์
- Response
- แผนการรับมือภัยคุกคามทางไซเบอร์ (Cybersecurity Incident Response Plan) สำหรับรับมือภัยคุกคามที่ส่งผลกระทบต่อระบบสำคัญขององค์การ โดยครอบคลุมถึง การโจมตีทางไซเบอร์การโจมตีทางช่องโหว่ความปลอดภัยในระบบ การโจมตีการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต
- ระเบียบกระบวนการแผนการสื่อสารในภาะวะวิกฤต (Crisis Communication Plan Procedure) ครอบคลุม การจัดทำ การทบทวน และการฝึกซ้อมแผนการสื่อสารในภาวะวิกฤต รวมถึงกำหนดบทบาทหน้าที่และช่องทางการสื่อสารที่เหมาะสม
- ระเบียบกระบวนการการฝึกซ้อมความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Exercise Procedure) ครบคลุม การวางแผน การดำเนินการ และการประเมินผลการฝึกซ้อม
- Recovery
- ระเบียบกระบวนการการรักษาฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์ (Cybersecurity Resilience and Recovery Procedure) ครอบคลุมถึง การจัดทำแผนความต่อเนื่องทางธุรกิจ (BCP) และจัดทำรายงานการวิเคราะห์ผลกระทบทางธุรกิจ (BIA)
- Govern
- จัดทำแนวทางปฏิบัติการประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ พร้อมทั้งจัดทำการประเมินความเสี่ยง และวางแนวทางการบริหารจัดการและรายงานผลการประเมินความเสี่ยง
- ดำเนินการตรวจสอบ วิเคราะห์ และพิจารณาความเสี่ยงของระบบสารสนเทศงานบริการของ อบก. อย่างน้อย 2 ระบบที่ อบก. กำหนด ตามแนวทางและวิธีการที่เหมาะสม โดยมีรายละเอียดดังนี้
- ประเมินความเสี่ยง ผลกระทบ (Impact) และโอกาสที่จะเกิดเหตุการณ์ขึ้นกับระบบทะเบียนคาร์บอนเครดิต
- จัดทำข้อมูลพื้นฐานเกี่ยวกับการตรวจสอบ ได้แก่ ผู้ดำเนินการตรวจสอบ วันที่ดำเนินการตรวจสอบ เป็นต้น
- จัดทำรายละเอียดอุปกรณ์และซอฟท์แวร์ที่อยู่ภายในระบบ
- ระบุขอบเขตการตรวจสอบ รวมถึงฟังก์ชั่นของระบบทะเบียนคาร์บอนเครดิต
- ตรวจสอบ วิเคราะห์ พิจารณาความเสี่ยงของระบบ
- จัดทำเอกสารรายงานผลการประเมินความเสี่ยงของระบบฯ และแนวทางการป้องกัน
- ประเมินความเสี่ยง ผลกระทบ (Impact) และโอกาสที่จะเกิดเหตุการณ์ขึ้นกับระบบทะเบียนคาร์บอนเครดิต
- จัดประชุมและฝึกอบรมกับผู้ที่เกี่ยวข้อง
- ฝึกอบรมให้ความรู้เรื่องพ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์และระบบการบริหารจัดการความมั่นคงไซเบอร์ขององค์กรให้กับบุคลากรภายใน อบก. จำนวน 1 ครั้ง
- ฝึกอบรมให้ความรู้เรื่องพ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์และระบบการบริหารจัดการความมั่นคงไซเบอร์ขององค์กรให้กับผู้มีส่วนได้เสียและผู้ใช้บริการภายนอก จำนวน 1 ครั้ง
- จัดการประชุมร่วมกับคณะทำงานของ อบก. เป็นระยะ เพื่อร่วมกันกำหนดแนวทางในการดำเนินงานที่เหมาะสม
สิ่งที่ต้องส่งมอบ
- รายงานแนวทางการดำเนินงาน และแผนการดำเนินงานเบื้องต้น จำนวน 3 ฉบับ พร้อมอุปกรณ์บันทึกข้อมูล จำนวน 3 ชุด (ภายใน 30 วัน)
- รายงานฉบับสมบูรณ์ ประกอบด้วยผลงานตามขอบเขตการดำเนินงานข้อ 5.1 – 5.7 และรายงานสำหรับผู้บริหาร (Executive Summary) จำนวน 3 ฉบับ และอุปกรณ์บันทึกข้อมูล จำนวน 3 ชุด (ภายใน 90 วัน)
ระยะเวลาดำเนินการ
ภายใน 90 วัน นับจากวันลงนามในสัญญา
คุณสมบัติผู้เสนอราคา
- Eligibility Requirements:
- ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการจากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิที่ปรากฏในงบแสดงฐานะการเงินที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก 1 ปีสุดท้าย ก่อนวันยื่นข้อเสนอ หรือมีทุนจดทะเบียนที่เรียกชำระมูลค่าหุ้นแล้ว ณ วันที่ยื่นข้อเสนอ ไม่ต่ำกว่า 1,000,000 บาท
- กรณีผู้ยื่นข้อเสนอเป็นบุคคลธรรมดา ให้พิจารณาจากหนังสือรับรองบัญชีเงินฝากไม่เกิน 90 วัน ก่อนวันยื่นข้อเสนอ โดยต้องมีเงินฝากคงเหลือในบัญชีธนาคารเป็นมูลค่า 1 ใน 4 ของมูลค่างบประมาณของโครงการ
- กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียน หรือมีแต่ไม่เพียงพอ ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ 1 ใน 4 ของมูลค่างบประมาณของโครงการ
- Experience:
- ผู้ยื่นข้อเสนอต้องเป็นนิติบุคคลที่มีผลงานด้านความมั่นคงปลอดภัยไซเบอร์ การประเมินความปลอดภัยระบบสารสนเทศ การบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์และเทคโนโลยีสารสนเทศ การทดสอบการโจมตีระบบ การตรวจสอบและระบุช่องโหว่ที่มีอยู่ในระบบ หรืองานที่เกี่ยวข้อง และเคยดำเนินงานดังกล่าว ให้กับหน่วยงานของรัฐ รัฐวิสาหกิจ ภาคเอกชน องค์กรพัฒนาเอกชน และมีวงเงินสัญญาในฉบับเดียวไม่ต่ำกว่า 500,000 บาท โดยต้องมีหนังสือรับรองผลงานตามวงเงินแนบมาในวันยื่นข้อเสนอ
- Personnel:
- ผู้จัดการโครงการ: จบการศึกษาระดับปริญญาโทหรือสูงกว่า ด้านเทคโนโลยีสารสนเทศ หรือสาขาอื่น ๆ ที่เกี่ยวข้อง และมีประสบการณ์การทำงานด้านการบริหารโครงการเกี่ยวกับระบบสารสนเทศ ไม่น้อยกว่า 10 ปี
- ผู้เชี่ยวชาญด้านการทดสอบเจาะระบบเครือข่ายและโครงสร้างพื้นฐาน: จบการศึกษาระดับปริญญาโทหรือสูงกว่า ด้านวิศวกรรมศาสตร์เทคโนโลยีสารสนเทศ หรือสาขาอื่น ๆ ที่เกี่ยวข้อง และมีประสบการณ์การในการพัฒนาระบบสารสนเทศ ไม่น้อยกว่า 10 ปี
- ผู้เชี่ยวชาญการทดสอบช่องโหว่ระบบเทคโนโลยีสารสนเทศ: จบการศึกษาระดับปริญญาโทหรือสูงกว่า ด้านวิศวกรรมศาสตร์เทคโนโลยีสารสนเทศ หรือสาขาอื่น ๆ ที่เกี่ยวข้อง และมีประสบการณ์การในการพัฒนาระบบสารสนเทศ ไม่น้อยกว่า 10 ปี
- ผู้เชี่ยวชาญด้านการวิเคราะห์ระบบเทคโนโลยีสารสนเทศ: จบการศึกษาระดับปริญญาตรีหรือสูงกว่า ด้านวิศวกรรมศาสตร์เทคโนโลยีสารสนเทศ หรือสาขาอื่น ๆ ที่เกี่ยวข้อง และมีประสบการณ์การในการพัฒนาระบบสารสนเทศ ไม่น้อยกว่า 5 ปี
- นักวิเคราะห์ความปลอดภัยและออกแบบระบบเครือข่าย: จบการศึกษาระดับปริญญาตรีหรือสูงกว่าด้านเทคโนโลยีสารสนเทศ หรือสาขาอื่น ๆ ที่เกี่ยวข้อง และมีประสบการณ์การในการพัฒนาระบบ และทดสอบระบบสารสนเทศ ไม่น้อยกว่า 5 ปี
- เจ้าหน้าที่ประสานงานโครงการ: จบการศึกษาระดับปริญญาตรีหรือสูงกว่า และมีประสบการณ์การทำงานที่เกี่ยวข้อง ไม่น้อยกว่า 1 ปี
เกณฑ์การพิจารณา
อบก. จะพิจารณาข้อเสนอตามหลักเกณฑ์การประเมินประสิทธิภาพต่อราคา (Price Performance) โดยพิจารณาจากตัวแปรด้านราคา (30%) และตัวแปรด้านเทคนิค (70%)
- ข้อเสนอด้านเทคนิค (70%)
- ผลงานและประสบการณ์ของผู้ยื่นข้อเสนอ (21%)
- แนวทางการดำเนินงานในภาพรวม (21%)
- บุคลากรที่ร่วมงาน (28%)
ข้อกำหนดทางเทคนิค
โครงการนี้มุ่งเน้นการวางแนวทางและโครงสร้างพื้นฐานด้านความมั่นคงปลอดภัยไซเบอร์ของ อบก. ให้สอดคล้องกับ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 โดยครอบคลุมถึง:
- การจัดทำแผนการตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Audit Plan)
- การประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
- การจัดทำแผนการรับมือภัยคุกคามทางไซเบอร์ (Cybersecurity Incident Response Plan)
- การจัดทำกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งรวมถึงนโยบาย, ระเบียบกระบวนการ, และแนวทางการปฏิบัติในด้านต่างๆ เช่น การจัดการทรัพย์สิน, การควบคุมการเข้าถึง, การทำให้ระบบมีความแข็งแกร่ง, การเชื่อมต่อระยะไกล, การใช้สื่อเก็บข้อมูลแบบถอดได้, การสร้างความตระหนักรู้, การแบ่งปันข้อมูล, การตรวจสอบและเฝ้าระวังภัยคุกคาม, และการรักษาฟื้นฟูความเสียหาย
เงื่อนไขสัญญา
- อบก. จะจ่ายเงินค่าจ้างเป็น 2 งวด:
- งวดที่ 1 (35%): เมื่อส่งรายงานแนวทางการดำเนินงานเบื้องต้น (ภายใน 30 วัน)
- งวดที่ 2 (65%): เมื่อส่งรายงานฉบับสมบูรณ์ (ภายใน 90 วัน)
- ค่าปรับ: กรณีที่ปรึกษา ส่งงานล่าช้ากว่ากำหนด ที่ปรึกษาจะต้องจ่ายค่าปรับให้องค์การฯ เป็นรายวันในอัตราร้อยละ 0.1 ของวงเงินค่าจ้างทั้งหมด
- ผู้รับจ้างต้องปรับปรุง แก้ไข แนวทาง แนวปฏิบัติ และกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัย ไซเบอร์ ที่นำเสนอตามขอบเขตการดำเนินงาน ภายในระยะเวลา 1 ปี หากมีระเบียบ ประกาศ คำสั่ง กฎหมาย หรืออื่น ๆ ที่เกี่ยวข้อง ซึ่งประกาศเพิ่มเติมภายใต้พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 พร้อมทั้งส่งมอบเอกสารฉบับใหม่และไฟล์เอกสารที่ปรับปรุงแล้วให้กับ อบก. ด้วย
คำถามที่พบบ่อย (FAQ)
-
ถาม: โครงการนี้มีเป้าหมายหลักอะไร?
- ตอบ: เป้าหมายหลักคือการเสริมสร้างความมั่นคงปลอดภัยทางไซเบอร์ขององค์การบริหารจัดการก๊าซเรือนกระจก (อบก.) ให้สอดคล้องกับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
-
ถาม: ขอบเขตงานของโครงการนี้ครอบคลุมอะไรบ้าง?
- ตอบ: ขอบเขตงานครอบคลุมการจัดทำแผนการบริหารโครงการ, การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์, การจัดทำแผนรับมือภัยคุกคามทางไซเบอร์, การจัดทำกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์, การฝึกอบรมบุคลากร, และการตรวจสอบวิเคราะห์ความเสี่ยงของระบบสารสนเทศงานบริการของ อบก.
-
ถาม: ระบบสารสนเทศใดบ้างที่ต้องทำการตรวจสอบความเสี่ยง?
- ตอบ: อย่างน้อย 2 ระบบที่ อบก. กำหนด โดยใน TOR ระบุตัวอย่างคือระบบทะเบียนคาร์บอนเครดิต
-
ถาม: ผู้ที่สนใจเข้าร่วมโครงการนี้ต้องมีประสบการณ์ด้านใดบ้าง?
- ตอบ: ผู้ที่สนใจต้องมีประสบการณ์ด้านความมั่นคงปลอดภัยไซเบอร์, การประเมินความปลอดภัยระบบสารสนเทศ, การบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์และเทคโนโลยีสารสนเทศ, การทดสอบการโจมตีระบบ, และการตรวจสอบช่องโหว่
-
ถาม: บุคลากรที่เข้าร่วมโครงการต้องมีคุณสมบัติอย่างไร?
- ตอบ: ต้องมีบุคลากรที่มีคุณสมบัติเหมาะสมตามตำแหน่ง เช่น ผู้จัดการโครงการ, ผู้เชี่ยวชาญด้านการทดสอบเจาะระบบ, ผู้เชี่ยวชาญการทดสอบช่องโหว่, ผู้เชี่ยวชาญด้านการวิเคราะห์ระบบ, นักวิเคราะห์ความปลอดภัยและออกแบบระบบเครือข่าย, และเจ้าหน้าที่ประสานงานโครงการ โดยมีวุฒิการศึกษาและประสบการณ์ตามที่กำหนดใน TOR
-
ถาม: เกณฑ์การประเมินผลงานของผู้เสนอราคาคืออะไร?
- ตอบ: อบก. จะพิจารณาจากหลักเกณฑ์การประเมินประสิทธิภาพต่อราคา (Price Performance) โดยพิจารณาจากราคา (30%) และคุณภาพและคุณสมบัติที่เป็นประโยชน์ต่อหน่วยงาน (70%)
-
ถาม: รายงานฉบับสมบูรณ์ (Final Report) ต้องมีเนื้อหาอะไรบ้าง?
- ตอบ: ต้องมีเนื้อหาตามขอบเขตการดำเนินงานข้อ 5.1 – 5.7 ของ TOR และรายงานสำหรับผู้บริหาร (Executive Summary)
-
ถาม: มีการฝึกอบรมให้ความรู้แก่บุคลากรของ อบก. หรือไม่?
- ตอบ: มีการฝึกอบรมให้ความรู้เรื่อง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์และระบบการบริหารจัดการความมั่นคงไซเบอร์ขององค์กรให้กับบุคลากรภายใน อบก. และผู้มีส่วนได้เสียภายนอก
-
ถาม: หากส่งงานล่าช้า จะมีค่าปรับหรือไม่?
- ตอบ: มีค่าปรับในอัตราร้อยละ 0.1 ของวงเงินค่าจ้างทั้งหมดต่อวัน
-
ถาม: ใครเป็นผู้รับผิดชอบหากมีการละเมิดลิขสิทธิ์หรือสิทธิบัตร?
- ตอบ: ผู้รับจ้างต้องรับผิดชอบในการดำเนินการและชำระค่าเสียหายหากมีการละเมิดลิขสิทธิ์หรือสิทธิบัตร
เอกสารขอบเขตงาน (TOR) ฉบับเต็ม
- 1 -
ข้อก าหนดและเงื่อนไขการว่าจ้าง (Term of Reference)
การวางแนวทาง แนวปฏิบัติและโครงสร้างพื้นฐาน ของ อบก. เพื่อการด าเนินงาน ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์พ.ศ. 2562
- ความเป็นมา
พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์พ.ศ. 2562 (Cybersecurity Act) เป็นกฎหมาย สำคัญที่มีเป้าหมายในการเสริมสร้างความมั่นคงปลอดภัยทางไซเบอร์ให้แก่ประเทศไทย โดยเฉพาะการปกป้อง โครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) ซึ่งครอบคลุมภาคส่วน สำคัญ เช่น พลังงาน โทรคมนาคม การเงิน การขนส่ง และระบบสาธารณสุข กฎหมายนี้มุ่งเน้นการจัดการ ความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่มีผลกระทบต่อความมั่นคงของประเทศและการดำเนินชีวิตของ ประชาชน
พ.ร.บ. ฉบับนี้กำหนดให้หน่วยงานที่เกี่ยวข้องต้องปฏิบัติตามมาตรฐานและข้อกำหนดในการรักษา ความมั่นคงปลอดภัยไซเบอร์รวมถึงการจัดทำแผนรองรับเหตุการณ์ (Incident Response Plan) และการ ประเมินความเสี่ยงอย่างต่อเนื่อง เพื่อเตรียมพร้อมและลดผลกระทบจากเหตุการณ์ด้านความปลอดภัยไซเบอร์ เพื่อให้การดำเนินงานเป็นไปตามที่กฎหมายกำหนด องค์การบริหารจัดการก๊าซเรือนกระจก (องค์การมหาชน) หรือ อบก. จึงเล็งเห็นความสำคัญในการดำเนินการที่เกี่ยวข้องกับ พ.ร.บ. ฉบับดังกล่าว ดังนี้
- การปฏิบัติตามกฎหมาย: ช่วยให้องค์กรปฏิบัติได้สอดคล้องกับข้อกำหนดของ พ.ร.บ. รักษาความ มั่นคงปลอดภัยไซเบอร์ลดความเสี่ยงจากการถูกลงโทษหรือเสียค่าปรับ
- การเพิ่มประสิทธิภาพด้านความมั่นคงปลอดภัยไซเบอร์: วางรากฐานแนวทางที่เป็นมาตรฐาน ช่วยให้ องค์กรสามารถป้องกันและรับมือภัยคุกคามไซเบอร์ได้อย่างมีประสิทธิภาพ
- การสร้างความตระหนักรู้: พัฒนาความเข้าใจและความสามารถของบุคลากรในองค์กรเกี่ยวกับการ ปฏิบัติตามข้อกำหนดของ พ.ร.บ.
- การลดผลกระทบต่อการดำเนินงาน: ลดโอกาสการเกิดเหตุการณ์ที่อาจส่งผลต่อการดำเนินงานของ อบก. หรือความเชื่อมั่นของผู้รับบริการ
- การสนับสนุนการพัฒนาองค์กรอย่างยั่งยืน: สร้างระบบการบริหารจัดการด้านความมั่นคงปลอดภัย ไซเบอร์ที่สามารถปรับปรุงและพัฒนาได้อย่างต่อเนื่อง
นอกจากนี้อบก. เข้ารับการประเมินระดับการรักษาความมั่นคงปลอดภัยไซเบอร์ ประจำปี2567 พบว่า ผลคะแนนได้60.16 จากคะแนนรวม 137 ซึ่งไม่ผ่านครึ่ง พร้อมทั้งทดสอบทำ Security Testing เพื่อ ตรวจสอบความปลอดภัยเว็บไซต์อบก. พบว่า ผลการตรวจสอบความปลอดภัยได้คะแนน C ซึ่งจัดอยู่ในระดับ ความปลอดภัยปานกลาง ดังนั้น อบก. จึงเห็นความสำคัญของการปฏิบัติตามกฎหมายดังกล่าว จึงได้เสนอ
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ) - 2 -
ดำเนินโครงการ “การวางแนวทาง แนวปฏิบัติและโครงสร้างพื้นฐาน ของ อบก. เพื่อการด าเนินงานตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์พ.ศ. 2562” เพื่อเป็นการเตรียมความพร้อมขององค์กรใน การปฏิบัติให้สอดคล้องตามข้อกำหนดทางกฎหมาย เสริมสร้างความมั่นคงในระบบสารสนเทศ และสนับสนุน ความเจริญเติบโตอย่างยั่งยืนในยุคดิจิทัลที่ซับซ้อนและมีความเสี่ยงสูง รวมถึงมุ่งเน้นการสร้างแนวทางปฏิบัติที่ ชัดเจนและครอบคลุมทุกขั้นตอน ตั้งแต่การประเมินความเสี่ยง การจัดการภัยคุกคาม ไปจนถึงการฟื้นฟูระบบ หลังเกิดเหตุ เพื่อลดผลกระทบต่อความสูญเสียและเสียหายในวงกว้างซึ่งจะส่งผลกระทบทั้งในด้านภาพลักษณ์ และการให้บริการของหน่วยงาน ตลอดจนให้สามารถดำเนินงานได้อย่างต่อเนื่องและปลอดภัยมากยิ่งขึ้น
- วัตถุประสงค์
2.1. เพื่อกำหนดแนวทาง แนวปฏิบัติและกรอบการดำเนินงานที่มีความชัดเจน ครอบคลุม และ สอดคล้องกับบทบาทหน้าที่ของ อบก. ตามที่บัญญัติไว้ในพระราชบัญญัติการรักษาความมั่นคง ปลอดภัยไซเบอร์พ.ศ. 2562
2.2. เพื่อยกระดับขีดความสามารถของ อบก. ในการบริหารจัดการสถานการณ์ฉุกเฉินทางไซเบอร์ให้ เป็นไปตามหลักเกณฑ์ มาตรฐาน และแนวปฏิบัติที่กำหนดไว้ในพระราชบัญญัติฯ และยุทธศาสตร์ ด้านความมั่นคงปลอดภัยไซเบอร์ของชาติ
2.3. เพื่อพัฒนาต้นแบบของกรอบนโยบาย แนวทางการดำเนินงาน และแนวปฏิบัติด้านความมั่นคง ปลอดภัยไซเบอร์ของ อบก.
2.4. เพื่อตรวจสอบ วิเคราะห์พิจารณาความเสี่ยงของระบบสารสนเทศงานบริการของ อบก. (System Audit) ได้แก่ ระบบความปลอดภัยของข้อมูล การสำรองข้อมูล การควบคุมการเข้าถึงระบบ - คุณสมบัติของผู้ยื่นข้อเสนอ
3.1. มีความสามารถตามกฎหมาย
3.2. ไม่เป็นบุคคลล้มละลาย
3.3. ไม่อยู่ระหว่างเลิกกิจการ
3.4. ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทำสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่ รัฐมนตรีว่าการกระทรวงการคลังกำหนด ตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของ กรมบัญชีกลาง
3.5. ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงาน ของ หน่วยงานของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงาน เป็นหุ้นส่วนผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอำนาจในการดำเนินงานในกิจการของนิติ บุคคลนั้นด้วย
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ)
- 3 -
3.6. มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการ บริหารพัสดุภาครัฐกำหนดในราชกิจจานุเบกษา
3.7. เป็นนิติบุคคล ผู้มีอาชีพรับจ้างงานที่ประกวดราคาด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ดังกล่าว 3.8. ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่องค์การบริหารจัดการ ก๊าซเรือนกระจก (องค์การมหาชน) ณ วันประกาศประกวดราคาอิเล็กทรอนิกส์ หรือไม่เป็น ผู้กระทำการอันเป็นการขัดขวาง การแข่งขันอย่างเป็นธรรมในการประกวดราคาอิเล็กทรอนิกส์ครั้ง นี้
3.9. ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้ยื่น ข้อเสนอได้มีคำสั่งให้สละเอกสิทธิ์ความคุ้มกันเช่นว่านั้น
3.10. ผู้ยื่นข้อเสนอต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (Electronic Government Procurement: e - GP) ของกรมบัญชีกลาง
3.11. ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติดังนี้ กิจการร่วมค้าที่ยื่นข้อเสนอ ผู้เข้าร่วมค้าทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่กำหนดไว้ ในเอกสารเชิญชวน เว้นแต่ในกรณีกิจการร่วมค้าที่มีข้อตกลงระหว่างผู้เข้าร่วมค้ากำหนดให้ผู้เข้าร่วมค้ารายใด รายหนึ่งเป็นผู้เข้าร่วมค้าหลัก กิจการร่วมค้านั้นสามารถใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของ กิจการร่วมค้าที่ยื่นข้อเสนอ
กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากำหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงดังกล่าวจะต้องมีการกำหนดสัดส่วนหน้าที่ และความรับผิดชอบในปริมาณงาน สิ่งของ หรือมูลค่าตาม สัญญา มากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากำหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก กิจการร่วมค้านั้นต้องใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอ สำหรับข้อตกลงระหว่างผู้เข้าร่วมค้าที่ไม่ได้กำหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก ผู้เข้าร่วมค้าทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่กำหนดไว้ในเอกสารเชิญชวน หรือหนังสือเชิญ ชวน
กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากำหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่น ข้อเสนอ ในนามกิจการร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอำนาจ
สำหรับข้อตกลงระหว่างผู้เข้าร่วมค้าที่ไม่ได้กำหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอ ผู้เข้าร่วม ค้าทุกรายจะต้องลงลายมือชื่อในหนังสือมอบอำนาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอในนาม กิจการร่วมค้า
3.12. ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ ดังนี้
3.12.1. กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยซึ่งได้จดทะเบียนเกินกว่า 1 ปี ต้องมีมูลค่าสุทธิของกิจการจากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิที่ปรากฏ
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ) - 4 -
ในงบแสดงฐานะการเงินที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก 1 ปีสุดท้าย ก่อนวันยื่นข้อเสนอ
3.12.2. กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย ซึ่งยังไม่มีการรายงานงบ แสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ต้องมีทุนจดทะเบียนที่เรียกชำระมูลค่าหุ้น แล้ว ณ วันที่ยื่นข้อเสนอ ไม่ต่ำกว่า 1,000,000 บาท
3.12.3. สำหรับการจัดซื้อจัดจ้างครั้งหนี่งที่มีวงเงินเกิน 500,000 บาทขึ้นไป กรณีผู้ยื่นข้อเสนอ เป็นบุคคลธรรมดา ให้พิจารณาจากหนังสือรับรองบัญชีเงินฝากไม่เกิน 90 วัน ก่อนวันยื่น ข้อเสนอ โดยต้องมีเงินฝากคงเหลือในบัญชีธนาคารเป็นมูลค่า 1 ใน 4 ของมูลค่า งบประมาณของโครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง และหากเป็นผู้ชนะการ จัดซื้อจัดจ้างหรือเป็นผู้ใด้รับการคัดเลือกจะต้องแสดงหนังสือรับรองบัญชีเงินฝากที่มี
มูลค่าดังกล่าวอีกครั้งหนึ่งในวันลงนามในสัญญา
3.12.4. กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียน หรือมีแต่ไม่เพียง พอที่จะเข้ายื่นข้อเสนอ ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ 1 ใน 4 ของมูลค่างบประมาณของโครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง (สินเชื่อที่ ธนาคารภายในประเทศหรือบริษัทเงินทุนหรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้าประกัน ตามประกาศของ ธนาคารแห่งประเทศไทยตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทยแจ้งเวียนให้ ทราบโดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สำนักงานใหญ่รับรองหรือที่
สำนักงานสาขารับรอง (กรณีได้รับมอบอำนาจจากสำนักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่น ข้อเสนอนับถึงวันยื่นข้อเสนอไม่เกิน 90 วัน) ทั้งนี้หนังสือรับรองวงเงินสินเชื่อให้เป็นไป ตามแบบที่กำหนด
กรณีตาม 3.12.1. – 3.12.4 ยกเว้นสำหรับกรณีดังต่อไปนี้
3.12.4.1. ผู้ยื่นข้อเสนอเป็นหน่วยงานของรัฐ
3.12.4.2. นิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยที่อยู่ระหว่างการฟื้นฟูกิจการตาม พระราชบัญญัติล้มละลาย (ฉบับที่ 10) พ.ศ. 2561
3.13. ผู้ยื่นข้อเสนอต้องเป็นนิติบุคคลที่มีผลงานด้านความมั่นคงปลอดภัยไซเบอร์ การประเมินความ ปลอดภัยระบบสารสนเทศ การบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์และ เทคโนโลยีสารสนเทศ การทดสอบการโจมตีระบบ การตรวจสอบและระบุช่องโหว่ที่มีอยู่ในระบบ หรืองานที่เกี่ยวข้อง และเคยดำเนินงานดังกล่าว ให้กับหน่วยงานของรัฐ รัฐวิสาหกิจ ภาคเอกชน องค์กรพัฒนาเอกชน และมีวงเงินสัญญาในฉบับเดียวไม่ต่ำกว่า 500,000 บาท โดยต้องมีหนังสือ รับรองผลงานตามวงเงินแนบมาในวันยื่นข้อเสนอ
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ) - 5 -
- เป้าหมาย/ตัวชี้วัด
4.1. มีนโยบาย ประกาศ ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคง ปลอดภัยไซเบอร์ของ องค์การบริหารจัดการก๊าซเรือนกระจก (องค์การมหาชน) ได้รับการทบทวน ให้สอดคล้องกับกฎหมาย กฎระเบียบต่าง ๆ ที่เกี่ยวข้อง
4.2. มีรายงานผลการวิเคราะห์ประเมินความสอดคล้องการดำเนินงานเทคโนโลยีสารสนเทศตามกรอบ มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์การประเมินความเสี่ยงและแนวทางการ บริหารจัดการความเสี่ยง
4.3. มีรายงานผลการทดสอบการรักษาความมั่นคงปลอดภัยไซเบอร์ของระบบสารสนเทศของ อบก. 4.4. บุคลากรภายในหน่วยงานและผู้มีส่วนได้เสีย มีความรู้ความเข้าใจ พ.ร.บ. การรักษาความมั่นคง ปลอดภัยไซเบอร์และระบบการบริหารจัดการความมั่นคงไซเบอร์ขององค์กรมากขึ้น - ขอบเขตการด าเนินงาน
5.1. จัดทำแผนการบริหารโครงการโดยมีรายละเอียดการทำงาน ตั้งแต่เริ่มจนกระทั่งสิ้นสุดโครงการ 5.2. จัดประชุมรวบรวมความต้องการของผู้ใช้งาน และประชุมความก้าวหน้าต่อ อบก. เป็นประจำทุก เดือน
5.3. จัดทำประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของ 5.3.1. แผนการตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Audit Plan)
5.3.2. การประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ครอบคลุมถึง โครงสร้าง พื้นฐานสำคัญด้านสารสนเทศ ข้อมูลและเครือข่ายสำคัญ ผู้ให้บริการและผู้จำหน่าย ภายนอก
5.3.3. แผนการรับมือภัยคุกคามทางไซเบอร์(Cybersecurity Incident Response Plan) สำหรับ รับมือภัยคุกคามที่ส่งผลกระทบต่อระบบสำคัญของ อบก. โดยครอบคลุมถึง การโจมตีทาง ไซเบอร์การโจมตีทางช่องโหว่ความปลอดภัยในระบบ การโจมตีการเข้าถึงข้อมูลที่ไม่ได้รับ อนุญาต
5.4. จัดทำกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
5.4.1. Govern
5.4.1.1. นโยบายการบริหารจัดการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Management System Policy) ให้ครอบคลุมทุกระบบ ข้อมูล
โครงสร้างพื้นฐานสารสนเทศและกระบวนการที่เกี่ยวข้องกับความมั่นคงปลอดภัย
ของข้อมูลสารสนเทศและข้อมูลส่วนบุคคลในองค์การ และผู้ที่มีส่วนเกี่ยวข้องทั้ง
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ)
- 6 -
ภายในและภายนอกองค์การ ให้สอดคล้องกับกฎหมาย ข้อบังคับและมาตรฐานที่ เกี่ยวข้อง รวมถึงดำเนินการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ และจัดทำรายงานการประเมินความเสี่ยง (Risk Assessment Report)
5.4.2. Identify
5.4.2.1. ระเบียบกระบวนการจัดการทรัพย์สิน (Asset Management Procedure) ครอบคลุมทรัพย์สินทุกประเภทที่เกี่ยวข้องกับบริการสำคัญขององค์การ รวมถึง ฮาร์ดแวร์ซอฟต์แวร์ข้อมูล ระบบเครือข่าย และทรัพยากรทางเทคโนโลยี สารสนเทศอื่น ๆ ที่มีความสำคัญต่อการดำเนินงานขององค์การ รวมไปถึง การ ระบุการติดตาม และการประเมินความเสี่ยงของทรัพย์สินและบริการที่สำคัญใน ทะเบียนทรัพย์สิน เพื่อพิจารณามาตรการจัดการความเสี่ยง
5.4.2.2. ระเบียบกระบวนการประเมินความเสี่ยงและกลยุทธ์ในการจัดการความเสี่ยง (Risk Assessment and Risk Management Strategy Procedure) เพื่อระบุ วิเคราะห์และประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ที่อาจส่งผล กระทบต่อโครงสร้างพื้นฐานสำคัญของ อบก. และกำหนดกลยุทธ์ในการจัดการ ป้องกัน เพื่อลดผลกระทบจากความเสี่ยง ครอบคลุมถึง ทรัพย์สิน ข้อมูล ระบบ โครงสร้างพื้นฐานและบริการสำคัญขององค์การ รวมถึง จัดทำทะเบียนความ เสี่ยง (Risk Register) และรายงานการประเมินความเสี่ยง อ้างอิง NIST SP 800- 30
5.4.2.3. ระเบียบกระบวนการประเมินช่องโหว่และการทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing Procedure) ระบุและประเมินช่อง โหว่ด้านความมั่นคงปลออดภัยของระบบเทคโนโลยีสารสนเทศ (IT) ที่เกี่ยวข้อง กับบริการที่สำคัญขององค์การ โดยเฉพาะอย่างยิ่งระบบที่เชื่อมต่อกับ อินเทอร์เน็ต ครอบคลุมถึง โฮสต์เครือข่าย สถาปัตยกรรม และแอปพลิเคชัน และการดำเนินการทดสอบเจาะระบบเพื่อประเมินความเสี่ยงและการควบคุม ความปลอดภัย โดยผู้ทดสอบเจาะระบบต้องเป็นอิสระจากระบบที่ทำการทดสอบ และมีการรับรองหรือมีประกาศนียบัตรที่ได้รับการรับรองจากองค์กร มาตรฐานสากล เช่น CEH-Certificated Ethical Hacker, OSCP-Offensive
Security Certificated Professional พร้อมทั้งจัดทำรายงานผลการทดสอบ เจาะระบบและรายงานผลการประเมินช่องโหว่ ส่งให้แก่หน่วยงาน
5.4.3. Protect
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ) - 7 -
5.4.3.1. ระเบียบกระบวนการการควบคุมการเข้าถึง (Access Control Procedure) สำหรับบุคลากร อุปกรณ์และอินเทอร์เฟซ รวมถึง ตรวจสอบและจัดเก็บบันทึก การเข้าถึงบริการที่สำคัญของ อบก.
5.4.3.2. ระเบียบกระบวนการการทำให้ระบบมีความแข็งแกร่ง (System Hardening Procedure) ครอบคลุม การกำหนดมาตรฐานการกำหนดค่าขั้นต่ำด้านความ มั่นคงปลอดภัย (Security Baseline Configuration Standards) สำหรับ ระบบปฏิบัติการ แอปพลิเคชัน และอุปกรณ์เครือข่ายที่เกี่ยวข้องกับบริการที่ สำคัญของ อบก.
5.4.3.3. นโยบายการกำหนดค่าขั้นต่ำด้านความมั่นคงปลอดภัย (Security Baseline Configuration Standards) ครอบคลุม การกำหนดค่าระบบทั้งหมดในองค์การ รวมถึง เซิร์ฟเวอร์คอมพิวเตอร์อุปกรณ์เครือข่ายและแอปพลิเคชันที่ใช้งาน ภายในองค์การ โดยอ้างอิงตามหลักการรักษาความมั่นคงปลอดภัย (Security Principles)
5.4.3.4. ระเบียบการเชื่อมต่อระยะไกล (Remote Connection Procedure) ครอบคลุม ถึงการกำหนดมาตรการรักษาความมั่นคงปลอดภัยสำหรับการเชื่อมต่อระยะไกล มายังบริการที่สำคัญ รวมถึงกำหนดแนวทางปฏิบัติสำหรับการเชื่อมต่อและการ ควบคุมการไหลของข้อมูล
5.4.3.5. ระเบียบกระบวนการการใช้สื่อเก็บข้อมูลแบบถอดได้(Removable Storage Media Procedure) ครอบคลุมถึงการใช้การควบคุม และการเข้ารหัสข้อมูลบน สื่อเก็บข้อมูลแบบถอดได้และอุปกรณ์คอมพิวเตอร์แบบพกพาที่เชื่อมต่อกับ บริการที่สำคัญของ อบก.
5.4.3.6. ระเบียบกระบวนการการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Awareness Procedure) ครอบคลุมถึง การจัดทำแผนงาน การเผยแพร่และทบทวนกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับการสร้างความตระหนักรู้ ด้านความมั่นคงปลอดภัยไซเบอร์สำหรับบุคลากรที่เกี่ยวข้องในองค์การ
5.4.3.7. ระเบียบกระบวนการการแบ่งปันข้อมูล (Information Sharing Procedure) ครอบคลุมแนวทางการแบ่งปันข้อมูลที่เกี่ยวข้องกับเหตุการณ์ความมั่นคง ปลอดภัยไซเบอร์ภัยคุกคามทางไซเบอร์และมาตรการบรรเทาผลกระทบให้กับบุ คลที่เกี่ยวข้อง เช่น หน่วยงานหรือองค์กรที่อยู่ในกำกับดูแล ผู้ใช้บริการ ผู้รับเหมา และเจ้าของระบบคอมพิวเตอร์ที่จำเป็นต้องเชื่อมต่อกับบริการที่สำคัญของ องค์กร
5.4.4. Detect
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ) - 8 -
5.4.4.1. ระเบียบกระบวนการการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์ (Cyber Threat Detection and Monitoring Procedure) ก ำ ห น ด ก ลไ ก แ ล ะ กระบวนการในการตรวจจับ จัดประเภท วิเคราะห์และระบุภัยคุกคามทางไซ เบอร์หรือเหตุการณ์ความมั่นคงปลอดภัยไซเบอร์ที่อาจเกิดขึ้นกับบริการที่สำคัญ ขององค์การและจัดทำบันทึกและรายงานการตรวจจับเหตุการณ์
5.4.5. Response
5.4.5.1. แผนการรับมือภัยคุกคามทางไซเบอร์ (Cybersecurity Incident Response Plan) สำหรับรับมือภัยคุกคามที่ส่งผลกระทบต่อระบบสำคัญขององค์การ โดย ครอบคลุมถึง การโจมตีทางไซเบอร์การโจมตีทางช่องโหว่ความปลอดภัยใน ระบบ การโจมตีการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต
5.4.5.2. ระเบียบกระบวนการแผนการสื่อสารในภาะวะวิกฤต (Crisis Communication Plan Procedure) ครอบคลุม การจัดทำ การทบทวน และการฝึกซ้อมแผนการ สื่อสารในภาวะวิกฤต รวมถึงกำหนดบทบาทหน้าที่และช่องทางการสื่อสารที่ เหมาะสม
5.4.5.3. ระเบียบกระบวนการการฝึกซ้อมความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Exercise Procedure) ครบคลุม การวางแผน การดำเนินการ และการ ประเมินผลการฝึกซ้อม
5.4.6. Recovery
5.4.6.1. ระเบียบกระบวนการการรักษาฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซ เบอร์ (Cybersecurity Resilience and Recovery Procedure) ครอบคลุมถึง การจัดทำแผนความต่อเนื่องทางธุรกิจ (BCP) และจัดทำรายงานการวิเคราะห์ ผลกระทบทางธุรกิจ (BIA)
5.5. จัดทำแนวทางปฏิบัติการประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ พร้อมทั้ง จัดทำการประเมินความเสี่ยง และวางแนวทางการบริหารจัดการและรายงานผลการประเมินความ เสี่ยง
5.6. ดำเนินการตรวจสอบ วิเคราะห์ และพิจารณาความเสี่ยงของระบบสารสนเทศงานบริการของ อบก. อย่างน้อย 2 ระบบที่ อบก. กำหนด ตามแนวทางและวิธีการที่เหมาะสม โดยมีรายละเอียดดังนี้ 5.6.1. ประเมินความเสี่ยง ผลกระทบ (Impact) และโอกาสที่จะเกิดเหตุการณ์ขึ้นกับระบบ ทะเบียนคาร์บอนเครดิต
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ) - 9 -
5.6.1.1. จัดทำข้อมูลพื้นฐานเกี่ยวกับการตรวจสอบ ได้แก่ ผู้ดำเนินการตรวจสอบ วันที่ ดำเนินการตรวจสอบ เป็นต้น
5.6.1.2. จัดทำรายละเอียดอุปกรณ์และซอฟท์แวร์ที่อยู่ภายในระบบ
5.6.1.3. ระบุขอบเขตการตรวจสอบ รวมถึงฟังก์ชั่นของระบบทะเบียนคาร์บอนเครดิต
5.6.2. ตรวจสอบ วิเคราะห์ พิจารณาความเสี่ยงของระบบ
5.6.3. จัดทำเอกสารรายงานผลการประเมินความเสี่ยงของระบบฯ และแนวทางการป้องกัน 5.7. จัดประชุมและฝึกอบรมกับผู้ที่เกี่ยวข้อง
5.7.1. ฝึกอบรมให้ความรู้เรื่องพ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์และระบบการบริหาร จัดการความมั่นคงไซเบอร์ขององค์กรให้กับบุคลากรภายใน อบก. จำนวน 1 ครั้ง
5.7.2. ฝึกอบรมให้ความรู้เรื่องพ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์และระบบการบริหาร จัดการความมั่นคงไซเบอร์ขององค์กรให้กับผู้มีส่วนได้เสียและผู้ใช้บริการภายนอก จำนวน 1 ครั้ง
5.7.3. จัดการประชุมร่วมกับคณะทำงานของ อบก. เป็นระยะ เพื่อร่วมกันกำหนดแนวทางในการ ดำเนินงานที่เหมาะสม
- พื้นที่ด าเนินงาน
องค์การบริหารจัดการก๊าซเรือนกระจก (องค์การมหาชน) - ระยะเวลาด าเนินงาน
ภายใน 90 วัน นับจากวันลงนามในสัญญา - การก าหนดระยะเวลาของการส่งมอบและน าเสนอผลงาน
งวดงาน
งานที่ต้องน าเสนอ/ส่งมอบ
จ านวน
วันส่งมอบ
1
รายงานแนวทางการด าเนินงาน และ แผนการด าเนินงานเบื้องต้น
ประกอบด้วยผลงานตามขอบเขตการ ดำเนินงานข้อ 5.1 – 5.2
รายงานแนวทางการ
ดำเนินงาน และแผนการ ดำเนินงานเบื้องต้น
จำนวน 3 ฉบับ พร้อม อุปกรณ์บันทึกข้อมูล
จำนวน 3 ชุด
ภายใน 30 วัน นับถัดจาก วันลงนามในสัญญาจ้าง
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ)
- 10 -
งวดงาน
งานที่ต้องน าเสนอ/ส่งมอบ
จ านวน
วันส่งมอบ
2
รายงานฉบับสมบูรณ์ประกอบด้วยผลงาน ตามขอบเขตการดำเนินงานข้อ 5.1 – 5.7 และรายงานสำหรับผู้บริหาร (Executive Summary) และนำเสนอต่อองค์การบริหาร จัดการก๊าซเรือนกระจก (องค์การมหาชน)
รายงานฉบับสมบูรณ์ จำนวน 3 ฉบับ รายงาน สำหรับผู้บริหาร
(Executive Summary) จำนวน 3 ฉบับ และ
อุปกรณ์บันทึกข้อมูล จำนวน 3 ชุด
ภายใน 90 วันนับถัดจาก ว ั น ล ง น า ม ใ น ส ั ญ ญ า ว่าจ้าง
-
วงเงินงบประมาณ/วงเงินที่ได้รับจัดสรร
จำนวน 1,800,000 บาท (หนึ่งล้านแปดแสนบาทถ้วน) -
การจ่ายเงิน
อบก. จะจ่ายเงินค่าจ้างเป็นงวด ตามรายละเอียด ดังนี้
งวดที่
ระยะเวลา (วัน)
เงินค่าจ้าง (ร้อยละ)
เงื่อนไขการจ่ายเงิน
1
30
35
ส่งรายงานแนวทางการดำเนินงานเบื้องต้น (Inception Report) จำนวน 3 ฉบับ และอุปกรณ์บันทึกข้อมูล จำนวน 3 ชุด โดยมีเนื้อหาตามขอบข่าย ของงาน ข้อ 5.1-5.2
2
90
65
ส่งรายงานฉบับสมบูรณ์ (Final Report) จำนวน 3 ฉบับ รายงานสำหรับ ผู้บริหาร (Executive Summary) จำนวน 3 ฉบับและอุปกรณ์บันทึก ข้อมูล จำนวน 3 ชุด โดยมีเนื้อหาตามขอบข่ายของงาน ข้อ 5.1 – 5.7 -
อัตราค่าปรับ
กรณีที่ปรึกษา ส่งงานล่าช้ากว่ากำหนด ที่ปรึกษาจะต้องจ่ายค่าปรับให้องค์การฯ เป็นรายวันในอัตราร้อย ละ 0.1 ของวงเงินค่าจ้างทั้งหมด
ผู้รับจ้างต้องปรับปรุง แก้ไข แนวทาง แนวปฏิบัติ และกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัย ไซเบอร์ ที่นำเสนอตามขอบเขตการดำเนินงาน ภายในระยะเวลา 1 ปี หากมีระเบียบ ประกาศ คำสั่ง กฎหมาย หรืออื่น ๆ ที่เกี่ยวข้อง ซึ่งประกาศเพิ่มเติมภายใต้พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 พร้อมทั้งส่งมอบเอกสารฉบับใหม่และไฟล์เอกสารที่ปรับปรุงแล้วให้กับ อบก. ด้วย
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ)
- 11 -
- การยื่นข้อเสนอโครงการ
ผู้ยื่นข้อเสนอจะต้องเสนอเอกสารหลักฐานยื่นมาพร้อมกับการเสนอราคาทางระบบจัดซื้อจัดจ้างภาครัฐ ด้วยอิเล็กทรอนิกส์โดยแยกเป็น 2 ส่วน คือ
12.1. ส่วนที่1 อย่างน้อยต้องมีเอกสารดังต่อไปนี้
(1) ในกรณีผู้ยื่นข้อเสนอเป็นนิติบุคคล
(ก) ห้างหุ้นส่วนสามัญหรือห้างหุ้นส่วนจำกัด ให้ยื่นสำเนาหนังสือรับรองการจดทะเบียนนิติ บุคคล บัญชีรายชื่อหุ้นส่วนผู้จัดการ ผู้มีอำนาจควบคุม (ถ้ามี) พร้อมทั้งรับรองสำเนาถูกต้อง (ข) บริษัทจำกัดหรือบริษัทมหาชนจำกัด ให้ยื่นสำเนาหนังสือรับรองการจดทะเบียนนิติ บุคคล หนังสือบริคณห์สนธิบัญชีรายชื่อกรรมการผู้จัดการ ผู้มีอำนาจควบคุม (ถ้ามี) และบัญชีผู้ถือหุ้นรายใหญ่ (ถ้ามี) พร้อมทั้งรับรองสำเนาถูกต้อง
(2) ในกรณีผู้ยื่นข้อเสนอเป็นบุคคลธรรมดาหรือคณะบุคคลที่มิใช่นิติบุคคล ให้ยื่นสำเนาบัตร ประจำตัวประชาชนของผู้นั้น สำเนาข้อตกลงที่แสดงถึงการเข้าเป็นหุ้นส่วน (ถ้ามี) สำเนาบัตรประจำตัว ประชาชนของผู้เป็นหุ้นส่วน หรือสำเนาหนังสือเดินทางของผู้เป็นหุ้นส่วนที่มิได้ถือสัญชาติไทย พร้อมทั้งรับรอง สำเนาถูกต้อง
(3) ในกรณีผู้ยื่นข้อเสนอเป็นผู้ยื่นข้อเสนอร่วมกันในฐานะเป็นผู้ร่วมค้า ให้ยื่นสำเนาสัญญาของ การเข้าร่วมค้า และเอกสารตามที่ระบุไว้ใน (1) หรือ (2) ของผู้ร่วมค้า แล้วแต่กรณี
ทั้งนี้ ในกรณีที่เอกสารใด ส่วนราชการมิได้เป็นผู้จัดท าให้ตามมาตรฐานของทางราชการ ผู้เสนอ ราคาสามารถจัดท า และรับรองความถูกต้องของเอกสารได้ เช่น บัญชีรายชื่อหุ้นส่วนผู้จัดการ บัญชีรายชื่อ กรรมการผู้จัดการ และบัญชีรายชื่อผู้ถือหุ้นรายใหญ่ เป็นต้น
(4) ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ ดังนี้
(4.1) ในกรณีผู้ยื่นข้อเสนอเป็นนิติบุคคล ให้ยื่นงบแสดงฐานะการเงินที่มีการรับรองแล้ว 1 ปี สุดท้ายก่อนวันยื่นข้อเสนอ โดยให้ยื่นขณะเข้าเสนอราคา
(4.2) ในกรณีผู้ยื่นข้อเสนอเป็นบุคคลธรรมดา ให้ยื่นหนังสือรับรองบัญชีเงินฝาก ไม่เกิน 90 วัน ก่อนวันยื่นข้อเสนอ โดยให้ยื่นขณะเข้าเสนอราคา และจะต้องแสดงหนังสือรับรองบัญชีเงินฝากที่มีมูลค่า ดังกล่าวอีกครั้งหนึ่งในวันลงนามในสัญญา
(4.3) กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการและทุนจดทะเบียน หรือมีแต่ไม่เพียง พอที่จะเข้ายื่นข้อเสนอ ให้ยื่นสำเนาหนังสือรับรองวงเงินสินเชื่อ (สินเชื่อที่ธนาคารภายในประเทศหรือบริษัท เงินทุนหรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบ ธุรกิจค้าประกัน ตามประกาศของธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศ ไทยแจ้งเวียนให้ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สำนักงานใหญ่รับรองหรือที่สำนักงาน
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ)
- 12 -
สาขารับรอง (กรณีได้รับมอบอำนาจจากสำนักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวันยื่นข้อเสนอไม่เกิน 90 วัน)
(5) สำเนาใบทะเบียนพาณิชย์พร้อมรับรองสำเนาถูกต้อง
(6) สำเนาใบทะเบียนภาษีมูลค่าเพิ่ม พร้อมรับรองสำเนาถูกต้อง
(7) บัญชีเอกสารส่วนที่ 1 ทั้งหมดที่ได้ยื่นพร้อมกับการเสนอราคาทางระบบจัดซื้อจัดจ้างภาครัฐ ด้วยอิเล็กทรอนิกส์ตามแบบในข้อ 1.6 (1) โดยไม่ต้องแนบในรูปแบบ PDF File (Portable Document Format)
ทั้งนี้เมื่อผู้ยื่นข้อเสนอดำเนินการแนบไฟล์เอกสารตามบัญชีเอกสารส่วนที่ 1 ครบถ้วน ถูกต้องแล้ว ระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์จะสร้างบัญชีเอกสารส่วนที่ 1 ตามแบบในข้อ 1.6 (1) ให้โดยผู้ยื่น ข้อเสนอไม่ต้องแนบบัญชีเอกสารส่วนที่ 1 ดังกล่าวในรูปแบบ PDF File (Portable Document Format)
12.2. ส่วนที่2 อย่างน้อยต้องมีเอกสารดังต่อไปนี้
(1) ในกรณีที่ผู้ยื่นข้อเสนอมอบอำนาจให้บุคคลอื่นกระทำการแทนให้แนบหนังสือมอบอำนาจซึ่ง ติดอากรแสตมป์ตามกฎหมาย โดยมีหลักฐานแสดงตัวตนของผู้มอบอำนาจและผู้รับมอบอำนาจ ทั้งนี้หากผู้รับ มอบอำนาจเป็นบุคคลธรรมดาต้องเป็นผู้ที่บรรลุนิติภาวะตามกฎหมายแล้วเท่านั้น
(2) ข้อเสนอทางด้านเทคนิค ประกอบด้วย
(2.1) แผนการดำเนินงานในภาพรวม
(2.2) ประวัติผลงาน และประสบการณ์ของบริษัทผู้เสนอราคา โดยเสนอรายละเอียดผลงาน และประสบการณ์ที่ได้ดำเนินการมาแล้วเกี่ยวกับระบบสารสนเทศ
(2.3) คุณสมบัติ และประสบการณ์ของบุคลากรที่จะดำเนินโครงการ อย่างน้อยต้องประกอบด้วย
ล าดับ
ต าแหน่ง
จ านวน
คุณสมบัติขั้นต่ า
1
ผู้จัดการโครงการ
1 คน
จบการศึกษาระดับปริญญาโทหรือสูงกว่า ด้านเทคโนโลยี สารสนเทศ หรือสาขาอื่น ๆ ที่เกี่ยวข้อง และมี ประสบการณ์การทำงานด้านการบริหารโครงการ เกี่ยวกับระบบสารสนเทศ ไม่น้อยกว่า 10 ปี
2
ผู้เชี่ยวชาญด้านการทดสอบเจาะ ระบบเครือข่ายและโครงสร้าง พื้นฐาน
1 คน
จบการศึกษาระดับปริญญาโทหรือสูงกว่า ด้าน วิศวกรรมศาสตร์เทคโนโลยีสารสนเทศ หรือสาขาอื่น ๆ ที่เกี่ยวข้อง และมีประสบการณ์การในการพัฒนาระบบ สารสนเทศ ไม่น้อยกว่า 10 ปี
3
ผู้เชี่ยวชาญการทดสอบช่องโหว่ ระบบเทคโนโลยีสารสนเทศ
1 คน
จบการศึกษาระดับปริญญาโทหรือสูงกว่า ด้าน วิศวกรรมศาสตร์เทคโนโลยีสารสนเทศ หรือสาขาอื่น ๆ
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ)
-
13 -
ล าดับ
ต าแหน่ง
จ านวน
คุณสมบัติขั้นต่ าที่เกี่ยวข้อง และมีประสบการณ์การในการพัฒนาระบบ สารสนเทศ ไม่น้อยกว่า 10 ปี
4
ผู้เชี่ยวชาญด้านการวิเคราะห์ ระบบเทคโนโลยีสารสนเทศ
1 คน
จบการศึกษาระดับปริญญาตรีหรือสูงกว่า ด้าน วิศวกรรมศาสตร์เทคโนโลยีสารสนเทศ หรือสาขาอื่น ๆ ที่เกี่ยวข้อง และมีประสบการณ์การในการพัฒนาระบบ สารสนเทศ ไม่น้อยกว่า 5 ปี
5
นักวิเคราะห์ความปลอดภัยและ ออกแบบระบบเครือข่าย
1 คน
จบการศึกษาระดับปริญญาตรีหรือสูงกว่าด้านเทคโนโลยี สารสนเทศ หรือสาขาอื่น ๆ ที่เกี่ยวข้อง และมี ประสบการณ์การในการพัฒนาระบบ และทดสอบระบบ สารสนเทศ ไม่น้อยกว่า 5 ปี
6
เจ้าหน้าที่ประสานงานโครงการ
1 คน
จบการศึกษาระดับปริญญาตรีหรือสูงกว่า และมี ประสบการณ์การทำงานที่เกี่ยวข้อง ไม่น้อยกว่า 1 ปี -
การจัดทำผังโครงสร้างบุคลากร ระบุหน้าที่ความรับผิดชอบของผู้ร่วมโครงการ และระบุระยะเวลาการ ทำงานของแต่ละคน (คน – เดือน)
-
รายละเอียดแนวทาง วิธีการดำเนินงาน และแผนการดำเนินงาน (Work plan) ของโครงการ เพื่อให้ บรรลุวัตถุประสงค์ตามขอบเขตการดำเนินงานของโครงการ
(2.4) ผู้ยื่นข้อเสนอที่เป็นผู้ชนะการเสนอราคาต้องจัดทำแผนการใช้พัสดุที่ผลิตภายในประเทศ โดยยื่นให้องค์การภายใน 60 วัน นับถัดจากวันลงนามในสัญญา โดยจัดทำพัสดุที่ผลิตภายในประเทศตาม เอกสารแนบท้ายเอกสารประกวดราคาอิเล็กทรอนิกส์ เว้นแต่กรณีที่ระยะเวลาดำเนินการตามสัญญาไม่เกิน 60 วัน หรือเป็นกรณีสัญญาที่มีวงเงินไม่เกิน 500,000 บาท ทั้งนี้แผนการใช้พัสดุที่ผลิตภายในประเทศให้ถือเป็น เอกสารส่วนหนึ่งของสัญญา
12.3. ข้อเสนอด้านราคา
ข้อเสนอด้านราคา โดยข้อเสนอราคาต้องมีรายละเอียดอย่างน้อย ดังนี้
12.3.1. ค่าตอบแทนบุคลากรในแต่ละสาขา เป็นจำนวน คน-เดือน
12.3.2. ค่าใช้จ่ายอื่น ๆ ที่เกี่ยวข้อง รวมทั้งภาษี พร้อมทั้งแสดงรายละเอียด ปริมาณ อัตราหน่วย 12.3.3. รายละเอียดการเบิกจ่ายเงินเป็นรายงวดตามที่จัดส่งรายงาน
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ) -
14 -
- หลักเกณฑ์ในการพิจารณา
อบก. จะพิจารณาข้อเสนอตามหลักเกณฑ์การประเมินประสิทธิภาพต่อราคา (Price Performance) โดย พิจารณาจากตัวแปรด้านราคา และตัวแปรด้านเทคนิค ทั้งนี้จะพิจารณาให้คะแนนผู้ยื่นข้อเสนอตาม หลักเกณฑ์โดยให้น้ำหนักคะแนน ดังนี้
13.1. การพิจารณาตัดสินผลการยื่นข้อเสนอโครงการครั้งนี้ อบก. จะพิจารณาตัดสินโดยใช้หลักเกณฑ์ ราคาประกอบเกณฑ์อื่น โดยพิจารณาให้คะแนนตามข้อพิจารณา และน้ำหนักที่กำหนดดังนี้ • ราคาที่ยื่นข้อเสนอ (Price) กำหนดน้ำหนักเท่ากับ ร้อยละ 30
• ข้อเสนอด้านคุณภาพและคุณสมบัติที่เป็นประโยชน์ต่อหน่วยงาน กำหนดน้ำหนักเท่ากับ ร้อยละ 70
ข้อเสนอด้านเทคนิค
(คุณภาพและคุณสมบัติที่เป็นประโยชน์ต่อหน่วยงาน)
คะแนน
น้ าหนัก
(%)- ผลงานและประสบการณ์ของผู้ยื่นข้อเสนอ
30
21
1.1. มีผลงานในอดีตที่เป็นรูปธรรมและสอดคล้องกับการดำเนินโครงการ อาทิความ มั่นคงปลอดภัยไซเบอร์ การประเมินความปลอดภัยระบบสารสนเทศ การ บริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์และเทคโนโลยี สารสนเทศ พร้อมหลักฐานหนังสือรับรองผลงาน
1.2. ประสบการณ์ในการดำเนินการวิเคราะห์และทดสอบความปลอดภัยของระบบ คอมพิวเตอร์ เครือข่าย หรือแอปพลิเคชัน จากการถูกโจมตีจากผู้ไม่หวังดี ภายนอก เพื่อค้นหาช่องโหว่และจุดอ่อนต่าง ๆ ในระบบ พร้อมมีหลักฐาน ใบรับรองหรือประกาศนียบัตรที่เป็นที่ยอมรับในอุตสาหกรรม
1.3. ประสบการณ์ที่เกี่ยวข้องกับการพัฒนาระบบและบริหารจัดการเทคโนโลยี สารสนเทศ หรืองานอื่น ๆ ที่เกี่ยวข้อง
(10)
(10)
(10)
(7.00)
(7.00)
(7.00) - แนวทางการด าเนินงานในภาพรวม
30
21
2.1. มีความเข้าใจในวัตถุประสงค์ของการศึกษา รวบรวม และวิเคราะห์ข้อมูลที่ เกี่ยวข้องกับการดำเนินงาน
2.2. มีแผนงาน และการกำหนดระยะเวลาและจำนวนคนในการปฏิบัติงานที่ เหมาะสม ตรงตามเป้าหมายของการดำเนินงานในขั้นตอนต่าง ๆ สอดคล้องตาม ขอบเขตงาน
2.3. แสดงแนวทางการดำเนินงานที่สอดคล้องกับตามพระราชบัญญัติการรักษาความ มั่นคงปลอดภัยไซเบอร์พ.ศ. 2562 รวมถึงแนวปฏิบัติระเบียบ ประกาศ และ ข้อกำหนดต่าง ๆ ที่เกี่ยวข้อง
(10)
(10)
(10)
(7.00)
(7.00)
(7.00) - บุคลากรที่ร่วมงาน
40
28
- ผลงานและประสบการณ์ของผู้ยื่นข้อเสนอ
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ)
- 15 -
ข้อเสนอด้านเทคนิค
(คุณภาพและคุณสมบัติที่เป็นประโยชน์ต่อหน่วยงาน)
คะแนน
น้ าหนัก
(%)
3.1. ผู้จัดการโครงการ (1 คน) : จบการศึกษาระดับปริญญาโทหรือสูงกว่า ด้าน เทคโนโลยีสารสนเทศ หรือสาขาอื่น ๆ ที่เกี่ยวข้อง และมีประสบการณ์การ ทำงานด้านการบริหารโครงการเกี่ยวกับระบบสารสนเทศไม่ต่ำกว่า 10 ปี
7
4.9
(1) วุฒิการศึกษา
3.50
2.45- ปริญญาเอก
(3.50)
(2.45) - ปริญญาโท
(2.80)
(1.96)
(2) ประสบการณ์ทำงานที่เกี่ยวข้อง
3.50
2.45 - ประสบการณ์มากกว่า 10 ปี
(3.50)
(2.45) - ประสบการณ์เท่ากับ 10 ปี
(2.80)
(1.96)
3.2. ผู้เชี่ยวชาญด้านการทดสอบเจาะระบบเครือข่ายและโครงสร้างพื้นฐาน (1 คน) : จบการศึกษาระดับปริญญาโทหรือสูงกว่า ด้านวิศวกรรมศาสตร์ เทคโนโลยี สารสนเทศ หรือสาขาอื่น ๆ ที่เกี่ยวข้อง และมีประสบการณ์การในการพัฒนา ระบบสารสนเทศไม่ต่ำกว่า 10 ปี
7
4.9
(1) วุฒิการศึกษา
3.50
2.45 - ปริญญาเอก
(3.50)
(2.45) - ปริญญาโท
(2.80)
(1.96)
(2) ประสบการณ์ทำงานที่เกี่ยวข้อง
3.50
2.45 - ประสบการณ์มากกว่า 10 ปี
(3.50)
(2.45) - ประสบการณ์เท่ากับ 10 ปี
(2.80)
(1.96)
3.3. ผู้เชี่ยวชาญการทดสอบช่องโหว่ระบบเทคโนโลยีสารสนเทศ (1 คน) : จบ การศึกษาระดับปริญญาโทหรือสูงกว่า ด้านวิศวกรรมศาสตร์ เทคโนโลยี สารสนเทศ หรือสาขาอื่น ๆ ที่เกี่ยวข้อง และมีประสบการณ์การในการพัฒนา ระบบสารสนเทศไม่ต่ำกว่า 10 ปี
7
4.9
(1) วุฒิการศึกษา
3.50
2.45 - ปริญญาโท
(3.50)
(2.45) - ปริญญาตรี
(2.80)
(1.96)
(2) ประสบการณ์ทำงานที่เกี่ยวข้อง
3.50
2.45 - ประสบการณ์มากกว่า 10 ปี
(3.50)
(2.45) - ประสบการณ์เท่ากับ 10 ปี
(2.80)
(1.96)
- ปริญญาเอก
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ)
- 16 -
ข้อเสนอด้านเทคนิค
(คุณภาพและคุณสมบัติที่เป็นประโยชน์ต่อหน่วยงาน)
คะแนน
น้ าหนัก
(%)
3.4. ผู้เชี่ยวชาญด้านการวิเคราะห์ระบบเทคโนโลยีสารสนเทศ (1 คน) : จบการศึกษา ระดับปริญญาตรีหรือสูงกว่า ด้านวิศวกรรมศาสตร์ เทคโนโลยีสารสนเทศ หรือ สาขาอื่น ๆ ที่เกี่ยวข้อง และมีประสบการณ์การในการพัฒนาระบบสารสนเทศ ไม่ต่ำกว่า 5 ปี
7
4.9
(1) วุฒิการศึกษา
3.50
2.45- ปริญญาโท
(3.50)
(2.45) - ปริญญาตรี
(2.80)
(1.96)
(2) ประสบการณ์ทำงานที่เกี่ยวข้อง
3.50
2.45 - ประสบการณ์มากกว่า 5 ปี
(3.50)
(2.45) - ประสบการณ์เท่ากับ 5 ปี
(2.80)
(1.96)
3.5. นักวิเคราะห์ความปลอดภัยและออกแบบระบบเครือข่าย (1 คน) : จบการศึกษา ระดับปริญญาตรีหรือสูงกว่าด้านเทคโนโลยีสารสนเทศ หรือสาขาอื่น ๆ ที่ เกี่ยวข้อง และมีประสบการณ์การในการพัฒนาระบบ และทดสอบระบบ สารสนเทศ ไม่ต่ำกว่า 5 ปี
7
4.9
(1) วุฒิการศึกษา
3.50
2.45 - ปริญญาโท
(3.50)
(2.45) - ปริญญาตรี
(2.80)
(1.96)
(2) ประสบการณ์ทำงานที่เกี่ยวข้อง
3.50
2.45 - ประสบการณ์มากกว่า 5 ปี
(3.50)
(2.45) - ประสบการณ์เท่ากับ 5 ปี
(2.80)
(1.96)
3.6. เจ้าหน้าที่ประสานงานโครงการ (1 คน) : จบการศึกษาระดับปริญญาตรีหรือสูง กว่า และมีประสบการณ์การทำงานที่เกี่ยวข้องไม่ต่ำกว่า 1 ปี
5
3.50
(1) วุฒิการศึกษา
2.50
1.40 - ปริญญาโท
(2.50)
(1.75) - ปริญญาตรี
(2.00)
(1.40)
(2) ประสบการณ์ทำงานที่เกี่ยวข้อง
2.50
1.40 - ประสบการณ์มากกว่า 1 ปี
(2.50)
(1.75) - ประสบการณ์เท่ากับ 1 ปี
(2.00)
(1.40)
รวมทั้งสิ้น
100
70
- ปริญญาโท
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ)
- 17 -
13.2. การตัดสินคะแนนในแต่ละข้อมูลของผู้ผ่านเกณฑ์ทางด้านคุณภาพและคุณสมบัติที่เป็นประโยชน์ ต่อหน่วยงาน ร้อยละคะแนนรวมทั้งหมดต้องไม่ต่ำกว่าร้อยละ 70 ของคะแนนข้อเสนอด้านเทคนิคถึงจะผ่าน เกณฑ์ทางด้านคุณภาพและคุณสมบัติที่เป็นประโยชน์ต่อหน่วยงาน
13.3. คณะกรรมการฯ จะพิจารณาผู้ผ่านคุณสมบัติและข้อเสนอทางเทคนิคก่อนเป็นลำดับแรก โดย จะต้องจัดทำข้อเสนอทางด้านเทคนิคตามขอบเขตงานให้ครบถ้วนทุกข้อ
13.4. กรณีที่ไม่สามารถคัดเลือกผู้ดำเนินการที่มีคุณสมบัติและราคาที่เหมาะสมได้ อบก. จะขอสงวนสิทธิ์ ที่จะยกเลิกการคัดเลือก ทั้งนี้ผู้เสนอราคาจะเรียกร้องค่าใช้จ่ายใด ๆ ไม่ได้
13.5. ในกรณีที่มีผู้ผ่านเกณฑ์เพียงรายเดียวให้อยู่ในดุลยพินิจของคณะกรรมการฯ ที่จะพิจารณา แล้วเห็นว่ามีความเหมาะสม และเป็นประโยชน์สูงสุดต่อองค์กร แต่ทั้งนี้จะต้องอยู่ในวงเงินงบประมาณที่ ได้รับจัดสรร
- กรรมสิทธิ์ในข้อมูล เอกสาร ผลการส ารวจ และการศึกษา
14.1. ในกรณีที่บุคคลภายนอกกล่าวอ้างหรือใช้สิทธิเรียกร้องใด ๆ ว่ามีการละเมิดลิขสิทธิ์ หรือสิทธิบัตร ผู้รับจ้างต้องดำเนินการทั้งปวงเพื่อให้การกล่าวอ้าง หรือการเรียกร้องดังกล่าวระงับสิ้นไปโดยเร็วและผู้รับจ้าง ต้องเป็นผู้ชำระค่าเสียหายและค่าใช้จ่ายต่าง ๆ ที่เกิดขึ้นทั้งหมด
14.2. ข้อมูลรายงานเอกสาร ผลการวิเคราะห์ และศึกษาทั้งหมดที่ใช้ในการจัดทำโครงการนี้ ซึ่งผู้รับจ้าง เป็นผู้ดำเนินการและจัดหามาตามสัญญานี้ จะตกเป็นกรรมสิทธิ์ขององค์การบริหารจัดการก๊าซเรือนกระจก (องค์การมหาชน) ทันทีที่ส่งมอบ และผู้รับจ้างจะไม่มอบข้อมูลรายงาน เอกสารผลการวิเคราะห์และศึกษาตาม สัญญานี้แก่ผู้หนึ่งผู้ใด หากไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรจาก องค์การบริหารจัดการก๊าซเรือน กระจก (องค์การมหาชน) - การพิจารณาคัดเลือกที่ปรึกษาและการควบคุมงาน
15.1. องค์การบริหารจัดการก๊าซเรือนกระจก (องค์การมหาชน) จะแต่งตั้งกรรมการขึ้น 1 ชุด เพื่อ พิจารณาจัดจ้าง เรียกว่า คณะกรรมการพิจารณาผลการประกวดราคาอิเล็กทรอนิกส์ 15.2. องค์การบริหารจัดการก๊าซเรือนกระจก (องค์การมหาชน) จะแต่งตั้งกรรมการขึ้น 1 ชุด เพื่อตรวจ รับงาน เรียกว่า คณะกรรมการตรวจรับพัสดุ - การท าสัญญาจ้างหรือข้อตกลงจ้าง และเงื่อนไขค่าปรับ
ให้เป็นไปตามข้อบังคับพระราชบัญญัติ การจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ พ.ศ. 2560 และ ระเบียบกระทรวงการคลังว่าด้วยการจัดซื้อจัดจ้างและบริหารพัสดุภาครัฐ พ.ศ. 2560
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ)
- 18 -
- การปฏิบัติตามกฎหมายและระเบียบ
ในระหว่างระยะเวลาดำเนินการ ผู้ยื่นข้อเสนอโครงการพึงปฏิบัติตามหลักเกณฑ์ที่กฎหมายและระเบียบได้ กำหนดไว้โดยเคร่งครัด - การคุ้มครองข้อมูลส่วนบุคคล
“กรณีผู้ชนะการจัดซื้อจัดจ้าง หรือผู้ได้รับการคัดเลือก มีความจำเป็นต้องเก็บรวบรวม บันทึก สำเนา จัด ระเบียบ เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้กู้คืน เปิดเผย ส่งต่อ เผยแพร่ โอน รวม ลบ หรือทำลาย ข้อมูล ส่วนบุคคล ต้องดำเนินการดังนี้
18.1. ปฏิบัติให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมาย ระเบียบ ข้อบังคับต่าง ๆ ที่เกี่ยวข้อง และประกาศความเป็นส่วนตัว รวมถึงนโยบายและแนวปฏิบัติด้านการ คุ้มครองข้อมูลส่วนบุคคลของ อบก. ที่ปรากฏบนเว็บไชต์
18.2. จัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement: DPA) กับ อบก. - เงื่อนไขอื่น ๆ
19.1. อบก. ทรงไว้ซึ่งสิทธิในการปรับปรุงรูปแบบและแผนการดำเนินงานรวมทั้งปรับเปลี่ยนแผนงานให้ สอดคล้องกับสถานการณ์และผู้เสนอราคาพร้อมแก้ไขตามที่ อบก. เห็นสมควรเพื่อความเหมาะสม อันเป็นประโยชน์กับหน่วยงาน
19.2. ผู้รับจ้างจะต้องเข้าร่วมเสนอแผนงานให้ อบก. พิจารณาก่อนการดำเนินงาน โดยหากมีการนัด หมายประชุมหารือร่วมกัน ผู้รับจ้างจะต้องเข้าร่วมหารือกับ อบก. ตามที่ตกลงนัดหมายทุกครั้ง และก่อนการดำเนินงานทุกครั้งต้องเสนอข้อมูลให้ อบก. ตรวจสอบหากมีการแก้ไข ต้องดำเนินการ แก้ไขโดยด่วน และต้องส่งให้ อบก. ตรวจสอบและก่อนการดำเนินการเผยแพร่ หรือจัดการใด ๆ
ต้องได้รับความเห็นชอบจากคณะกรรมการตรวจรับพัสดุของ อบก. ทุกครั้ง
คณะกรรมการจัดท าขอบเขตงานและราคากลาง
ลงชื่อ…………………………………….. ลงชื่อ……………………………………. ลงชื่อ……………………………………… ( (นางสาวอโณทัย สังข์ทอง) (นางสาววรารัตน์ ชะอุ่มเครือ) (นางสาวนุชรี วิธีเจริญ)