จ้างทำของ/จ้างเหมาบริการยกเลิกประกาศเชิญชวน

ประกวดราคาจ้างโครงการบำรุงรักษาระบบการบริหารจัดการความมั่นคงปลอดภัยข้อมูลสารสนเทศของกรมการท่องเที่ยว (ISMS Maintenance Activities)

กรมการท่องเที่ยว 68129189703

฿800,000 ปีงบ 2569 ประกาศ 26 ม.ค. 2569 กรุงเทพมหานคร

รายละเอียดการจ้าง

กรมการท่องเที่ยว โดยกลุ่มเทคโนโลยีสารสนเทศ สำนักงานเลขานุการกรม มีความจำเป็นต้องปรับปรุงกรอบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ที่ได้รับการรับรองตามมาตรฐาน ISO/IEC 27001:2013 ให้สอดคล้องกับมาตรฐานฉบับปรับปรุงใหม่ คือ ISO/IEC 27001:2022 ซึ่งกำหนดให้หน่วยงานที่ได้รับการรับรองเดิมต้องดำเนินการให้สอดคล้องภายในเดือนตุลาคม 2568

โครงการนี้มีวัตถุประสงค์เพื่อปรับปรุงกรอบแนวทางการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของกรมการท่องเที่ยวให้สอดคล้องกับข้อกำหนดมาตรฐานใหม่ และเพื่อพัฒนาบุคลากรให้มีความรู้ในการดำเนินงานระบบ ISMS ได้อย่างมีประสิทธิภาพ ขอบเขตงานครอบคลุมการทบทวนและปรับปรุงเอกสารสำคัญต่างๆ เช่น นโยบาย กระบวนการ แบบฟอร์ม และรายการข้อกำหนดที่นํามาใช้ (SOA) รวมถึงการประเมินความเสี่ยง การตรวจสอบช่องโหว่ทางเทคนิค (Security Vulnerability Assessment) สำหรับระบบสารสนเทศสำคัญไม่น้อยกว่า 20 IP Address การตรวจประเมินภายใน การทบทวนแผนบริหารจัดการความต่อเนื่องทางธุรกิจ และการจัดฝึกอบรมสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยสารสนเทศและความปลอดภัยไซเบอร์แก่บุคลากรของกรมฯ

English summary

The Department of Tourism’s Information Technology Group requires maintenance services for its Information Security Management System (ISMS) to align with the updated international standard ISO/IEC 27001:2022. Existing certified organizations must comply with the new standard by October 2025.

This project aims to revise the information security management framework in accordance with the new standard’s requirements and to develop personnel capabilities for effective ISMS operation. The scope of work includes reviewing and updating key documents (policies, procedures, forms, Statement of Applicability), conducting risk assessments, performing technical vulnerability assessments (for at least 20 IP addresses), internal audits, reviewing business continuity management plans, and organizing awareness training on information security and cybersecurity for department staff.

สถานที่ดำเนินการ

(ไม่ระบุสถานที่ดำเนินโครงการที่ชัดเจนในเอกสารที่ให้มา)

คำสำคัญ

ISO 27001:2022 ISMS maintenance ระบบบริหารจัดการความมั่นคงปลอดภัยข้อมูล Security Vulnerability Assessment ตรวจสอบช่องโหว่ISO/IEC 27001 migration Internal Audit ISO 27001 ฝึกอบรมความปลอดภัยไซเบอร์Statement of Applicability SOA Business Continuity Management

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

เพื่อปรับปรุงกรอบแนวทางในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของกลุ่มเทคโนโลยีสารสนเทศ สำนักงานเลขานุการกรม กรมการท่องเที่ยว ให้สอดคล้องกับข้อกำหนดของมาตรฐานสากล ISO/IEC 27001 : 2022
เพื่อพัฒนาบุคลากรของกรมการท่องเที่ยว ให้มีความรู้ในการดำเนินการระบบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System) และสามารถปฏิบัติงานได้อย่างมีประสิทธิภาพ

ขอบเขตของงาน

จัดทำแผนดำเนินงานและปฏิทินการปฏิบัติงานโครงการ ภายใน 15 วัน นับถัดจากวันลงนามสัญญา
ทบทวนแนวทางและเกณฑ์การบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศและความปลอดภัยไซเบอร์ ให้ตรงตามข้อกำหนดที่ระบุไว้ใน ISO/IEC 27001 : 2022 และพระราชบัญญัติความปลอดภัยไซเบอร์ พ.ศ. 2562
ทบทวนโครงสร้างการบริหารจัดการ และหน้าที่ความรับผิดชอบของคณะกรรมการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Committee) และคณะทำงานอื่นที่เกี่ยวข้อง
ทบทวนข้อมูลทะเบียนทรัพย์สิน (Asset) ในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
จัดประชุมเชิงปฏิบัติการเพื่อดำเนินการประเมินความเสี่ยงและค้นหาแนวทางในการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศและความปลอดภัยไซเบอร์ จำนวนไม่น้อยกว่า 1 ครั้ง
ติดตามความคืบหน้าของการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศและความปลอดภัยไซเบอร์
จัดทำรายงานผลการบริหารจัดการความเสี่ยง และแผนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศและความปลอดภัยไซเบอร์
ทบทวน และปรับปรุงเอกสารสำคัญตามขอบเขตของระบบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ได้แก่ นโยบาย และขั้นตอนการปฏิบัติงาน เป็นต้น ให้สอดคล้องตามมาตรฐานสากล ISO/IEC 27001 : 2022
ทบทวนรายการข้อกำหนดที่นํามาใช้ (Statement of Applicability - SOA) สำหรับการดำเนินการบริหารจัดการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ (ISMS) ให้สอดคล้องตามมาตรฐาน ISO/IEC 27001 : 2022
ดำเนินการตรวจสอบช่องโหว่ทางเทคนิค (Technical Baseline : Security Vulnerability Assessment) สำหรับระบบสารสนเทศที่สำคัญ ไม่น้อยกว่า 20 IP Address
ทบทวนการบริหารจัดการความต่อเนื่องทางธุรกิจ (Information security aspect of business continuity management) ตามมาตรฐาน ISO/IEC 27001 : 2022
ดำเนินการตรวจประเมินภายใน (Internal Audit) ให้สอดคล้องกับข้อกำหนดในมาตรฐาน ISO/IEC 27001 : 2022 และพระราชบัญญัติความปลอดภัยไซเบอร์ พ.ศ. 2562
จัดเตรียม และทบทวนข้อมูลการดำเนินงานระบบ ISMS เพื่อนำเสนอต่อผู้บริหาร (Management Review)
วางแผนแก้ไขเชิงป้องกันความไม่สอดคล้องที่พบในระหว่างการตรวจประเมินภายใน
จัดฝึกอบรม สร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยสารสนเทศและความปลอดภัยไซเบอร์ แก่บุคลากรจำนวน 1 ครั้ง ไม่น้อยกว่า 10 คน
ทบทวนแผนรับมือเหตุฉุกเฉินทางไซเบอร์ เพื่อให้เป็นไปตามพระราชบัญญัติความปลอดภัยไซเบอร์ พ.ศ. 2562

สิ่งที่ต้องส่งมอบ

แผนดำเนินงานและปฏิทินการปฏิบัติงานโครงการ
เอกสารแนวทางและเกณฑ์การบริหารความเสี่ยงที่ทบทวนแล้ว
โครงสร้างและบทบาทหน้าที่ของคณะกรรมการ ISMS ที่ทบทวนแล้ว
ทะเบียนทรัพย์สิน (Asset Register) ที่ทบทวนแล้ว
รายงานผลการประชุมเชิงปฏิบัติการประเมินความเสี่ยง
รายงานความคืบหน้าและการติดตามการจัดการความเสี่ยง
รายงานผลการบริหารจัดการความเสี่ยงและแผนการจัดการความเสี่ยง
ชุดเอกสาร ISMS ที่ปรับปรุงแล้ว (นโยบาย, ขั้นตอนการปฏิบัติงาน ฯลฯ)
รายการข้อกำหนดที่นํามาใช้ (Statement of Applicability - SOA) ที่ทบทวนแล้ว
รายงานการตรวจสอบช่องโหว่ทางเทคนิค (Security Vulnerability Assessment Report)
เอกสารและแผนบริหารจัดการความต่อเนื่องทางธุรกิจที่ทบทวนแล้ว
รายงานการตรวจประเมินภายใน (Internal Audit Report)
เอกสารและข้อมูลสำหรับการทบทวนโดยผู้บริหาร (Management Review)
แผนแก้ไขเชิงป้องกัน (Preventive Action Plan)
หลักฐานและรายงานการจัดฝึกอบรมสร้างความตระหนักรู้
แผนรับมือเหตุฉุกเฉินทางไซเบอร์ที่ทบทวนแล้ว

ระยะเวลาดำเนินการ

(ไม่ได้ระบุระยะเวลาโครงการหรือวันที่เริ่มต้นที่ชัดเจนในเอกสารที่ให้มา ระบุเพียงว่าต้องจัดทำแผนงานภายใน 15 วันหลังลงนามสัญญา และมาตรฐานใหม่ต้องสอดคล้องภายใน ต.ค. 2568)

คุณสมบัติผู้เสนอราคา

Eligibility Requirements: ผู้ยื่นข้อเสนอต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (e-GP) ของกรมบัญชีกลาง
Standards Compliance: ผู้รับจ้างต้องมีประสบการณ์ในการดำเนินงานให้คำปรึกษาด้านระบบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากล ISO/IEC 27001
Experience: มีประสบการณ์ให้คำปรึกษาด้าน ISMS ตามมาตรฐาน ISO/IEC 27001 แก่หน่วยงานราชการ รัฐวิสาหกิจ หรือบริษัทเอกชนที่เชื่อถือได้ในประเทศไทย
Previous Project Cost: มีมูลค่าโครงการไม่น้อยกว่า 400,000 บาท จำนวน 1 โครงการ ภายในระยะเวลา 5 ปี
Technical Capabilities: (ระบุผ่านคุณสมบัติบุคลากรที่ต้องจัดหา)
Personnel: ต้องจัดหาบุคลากรที่มีคุณสมบัติเฉพาะดังนี้
- ผู้จัดการโครงการ (Project Manager): 1 คน
  - ประสบการณ์ด้านการรักษาความมั่นคงปลอดภัยสารสนเทศอย่างน้อย 5 ปี
  - จบการศึกษาอย่างน้อยระดับปริญญาโท หรือเทียบเท่า
  - มีประกาศนียบัตรสอบผ่านการอบรมหลักสูตร Information Security Management System Auditor/Lead Auditor Course (ISO/IEC 27001 : 2022 Standard) ซึ่งได้รับรองจาก International Register of Certificated Auditors (IRCA) และเป็น Certificate of Successful Completion
  - มีใบรับรองคุณวุฒิ CISSP (Certified Information System Security Professional), CISM (Certified Information Security Manager), หรือ CISA (Certified Information Security Auditor)
- ผู้เชี่ยวชาญ: 1 คน
  - ประสบการณ์ด้านการรักษาความมั่นคงปลอดภัยสารสนเทศอย่างน้อย 5 ปี
  - จบการศึกษาอย่างน้อยระดับปริญญาโท หรือเทียบเท่า
  - มีประกาศนียบัตรสอบผ่านการอบรมหลักสูตร Information Security Management System Auditor/Lead Auditor Course (ISO/IEC 27001 : 2022 Standard) ซึ่งได้รับรองจาก IRCA
- นักวิจัย: 1 คน
  - ประสบการณ์ด้านการรักษาความมั่นคงปลอดภัยสารสนเทศอย่างน้อย 3 ปี
  - จบการศึกษาอย่างน้อยระดับปริญญาตรี หรือเทียบเท่า
  - มีประกาศนียบัตรสอบผ่านใบรับรอง Offensive Security Certified Professional (OSCP)

เกณฑ์การพิจารณา

(ไม่ระบุเกณฑ์การประเมินข้อเสนอในเอกสารส่วนที่ให้มา)

ข้อกำหนดทางเทคนิค

โครงการมุ่งปรับปรุงระบบ ISMS ให้สอดคล้องกับมาตรฐาน ISO/IEC 27001:2022 และ พระราชบัญญัติความปลอดภัยไซเบอร์ พ.ศ. 2562 งานด้านเทคนิคหลัก ได้แก่:

การประเมินความเสี่ยงและจัดการความเสี่ยง ด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์
การตรวจสอบช่องโหว่ทางเทคนิค (Security Vulnerability Assessment) สำหรับระบบสารสนเทศสำคัญของกรมการท่องเที่ยว ครอบคลุมไม่น้อยกว่า 20 IP Address
การทบทวนและทดสอบ ด้านการบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management) และแผนกู้คืนระบบสารสนเทศ
การปรับปรุงเอกสารระบบ เช่น นโยบายความมั่นคงปลอดภัย (ISMS Policy), ขั้นตอนปฏิบัติงาน (Procedures), และรายการข้อกำหนดที่นํามาใช้ (Statement of Applicability - SOA)
การตรวจประเมินภายใน (Internal Audit) ตามมาตรฐาน

เงื่อนไขสัญญา

(ในเอกสารที่ให้มาระบุเพียงข้อกำหนดเกี่ยวกับการรักษาข้อมูลที่เป็นความลับ สำหรับเงื่อนไขสัญญาอื่นๆ เช่น การชำระเงิน โทษ ฯลฯ ไม่ได้ระบุ)

คำถามที่พบบ่อย (FAQ)

Q: โครงการนี้เกี่ยวข้องกับการขอรับรองมาตรฐาน (Certification) หรือไม่?
A: ใช่ งานส่วนหนึ่งคือการเตรียมเอกสารและกระบวนการให้สอดคล้องและรองรับการขอรับรองมาตรฐาน ISO/IEC 27001:2022
Q: ต้องตรวจสอบช่องโหว่ระบบกี่ระบบ?
A: ต้องดำเนินการตรวจสอบช่องโหว่ทางเทคนิค (Security Vulnerability Assessment) สำหรับระบบสารสนเทศสำคัญ ไม่น้อยกว่า 20 IP Address
Q: การฝึกอบรมต้องจัดให้กับบุคคลากรกลุ่มไหนและกี่คน?
A: ต้องจัดฝึกอบรมสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยสารสนเทศและความปลอดภัยไซเบอร์ จำนวน 1 ครั้ง โดยมีผู้เข้าร่วมไม่น้อยกว่า 10 คน
Q: โครงการต้องทบทวนเอกสารตามกฎหมายใดบ้าง?
A: นอกเหนือจากมาตรฐาน ISO/IEC 27001:2022 แล้ว ต้องทบทวนให้สอดคล้องกับพระราชบัญญัติความปลอดภัยไซเบอร์ พ.ศ. 2562 ด้วย
Q: งานนี้ต้องจัดประชุมเชิงปฏิบัติการ (Workshop) หรือไม่?
A: ต้องจัดประชุมเชิงปฏิบัติการเพื่อดำเนินการประเมินความเสี่ยงและค้นหาแนวทางจัดการความเสี่ยง จำนวนไม่น้อยกว่า 1 ครั้ง
Q: ผู้รับจ้างต้องทบทวนแผนฉุกเฉินด้านใด?
A: ต้องทบทวนแผนรับมือเหตุฉุกเฉินทางไซเบอร์ (Cyber Emergency Response Plan) ให้เป็นไปตาม พ.ร.บ. ความปลอดภัยไซเบอร์ พ.ศ. 2562
Q: การตรวจประเมินภายใน (Internal Audit) ครอบคลุมข้อกำหนดใด?
A: ต้องดำเนินการตรวจประเมินภายในให้สอดคล้องกับข้อกำหนดในมาตรฐาน ISO/IEC 27001:2022 และ พ.ร.บ. ความปลอดภัยไซเบอร์ พ.ศ. 2562
Q: ผู้รับจ้างมีหน้าที่เกี่ยวกับคณะกรรมการ ISMS ของกรมการท่องเที่ยวหรือไม่?
A: ต้องดำเนินการทบทวนโครงสร้างการบริหารจัดการ และหน้าที่ความรับผิดชอบของคณะกรรมการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Committee) และคณะทำงานอื่นที่เกี่ยวข้อง
Q: งานนี้ต้องส่งมอบรายการข้อกำหนดอะไรเป็นพิเศษ?
A: ต้องทบทวนและส่งมอบรายการข้อกำหนดที่นํามาใช้ (Statement of Applicability - SOA) ที่สอดคล้องกับมาตรฐานใหม่
Q: โครงการเกี่ยวข้องกับการทดสอบแผนกู้คืนระบบหรือไม่?
A: ใช่ ภายใต้การทบทวนการบริหารจัดการความต่อเนื่องทางธุรกิจ กำหนดให้มีการจัดทำการทดสอบแผนการกู้คืนระบบสารสนเทศตามขอบเขตที่กำหนด

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

ขอบเขตของงาน (Terms of Reference: TOR)
การจัดจ้างการบํารุงรักษาระบบบริหารจัดการความมั่นคงปลอดภัย
ข้อมูลสารสนเทศของกรมการท่องเที่ยว (ISMS Maintenance Activities) ประจําปี พ.ศ. ๒๕๖๙
๑. ความเป็นมา
อุตสาหกรรมท่องเที่ยวเป็นกิจกรรมที่มีการขยายตัวสูง และมีความสําคัญต่อระบบเศรษฐกิจและสังคมของ ประเทศไทย โดยเฉพาะอย่างยิ่งในการเป็นแหล่งสร้างรายได้ นํามาซึ่งเงินตราต่างประเทศ การสร้างงาน และการ กระจายความเจริญไปสู่ภูมิภาค ส่งผลให้ทุกประเทศส่งเสริม สนับสนุน และให้ความสําคัญกับการพัฒนาด้านการ ท่องเที่ยว และให้ความสําคัญกับการพัฒนาด้านฐานข้อมูลการท่องเที่ยวให้มีคุณภาพ ยกระดับมาตรฐานและ นโยบายด้านการท่องเที่ยวต่าง ๆ รวมถึงการให้ความสําคัญกับการป้องกันด้านความปลอดภัยของข้อมูลสารสนเทศ และการจัดการกับปัญหาความมั่นคงทางไซเบอร์ (Cyber Security) ซึ่งในปัจจุบันมีความรุนแรงมากขึ้น โดยเฉพาะ ปัญหาการใช้ช่องทางไซเบอร์ในการจารกรรมข้อมูล การโจมตีระบบสาธารณูปโภค ซึ่งอาจก่อให้เกิดการทําลาย เสถียรภาพและชื่อเสียงของประเทศได้
ดังนั้น กรมการท่องเที่ยว สํานักงานเลขานุการกรม กลุ่มเทคโนโลยีสารสนเทศ ซึ่งได้รับมอบหมายนโยบาย ให้ดําเนินการพัฒนาฐานข้อมูลของทุกสํานัก/กอง ภายในกรมการท่องเที่ยว จึงได้จัดทําระบบบริหารจัดการความ มั่นคงปลอดภัยข้อมูลสารสนเทศตามมาตรฐานสากล ISO/IEC 27001 : 2013 (Information Security Management System : ISMS) และได้ดําเนินการตรวจรับรองมาตรฐานเพื่อขอและต่ออายุใบรับรองมาตรฐาน ISO/IEC 27001 : 2013 มาอย่างต่อเนื่อง โดยมาตรฐานดังกล่าวได้มีการปรับปรุงเป็น ISO/IEC 27001 : 2022 โดย หน่วยงานที่เคยได้รับการรับรองระบบบริหารจัดการความมั่นคงปลอดภัยข้อมูลสารสนเทศตามมาตรฐานสากล ISO/IEC 27001 : 2013 ต้องดําเนินการเพื่อให้สอดคล้องตามมาตรฐานฉบับใหม่ภายในเดือนตุลาคม ๒๕๖๘ และ เพื่อให้การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศสอดคล้องตามมาตรฐานฉบับใหม่ รวมถึงเป็นไปตาม ประเด็นยุทธศาสตร์ชาติด้านความมั่นคงในประกาศ เรื่อง ยุทธศาสตร์ชาติ (พ.ศ. ๒๕๖๑ - ๒๕๕๐) ในราชกิจจานุเบกษา ข้อที่ ๔ กลุ่มเทคโนโลยีสารสนเทศจึงมีความจําเป็นต้องมีการประเมินความเสี่ยง ทบทวนเอกสารนโยบาย กระบวนการ และแบบฟอร์ม การอบรมสร้างความตระหนักรู้ รวมถึงตรวจประเมินภายในด้านความมั่นคงปลอดภัย สารสนเทศและความปลอดภัยไซเบอร์ เพื่อให้สอดคล้องและเป็นไปตามมาตรฐานฉบับใหม่
/๒. วัตถุประสงค์ …
Iera
ค. ม.
(นายเอกพงษ์ ช่วงไชย)
(นายพิพัฒน์ โชติช่วง)
(นางสาวณัฏฐพัฒน์ พจนพิสุทธิ์)

๒ -
๒. วัตถุประสงค์
๒.๑ เพื่อปรับปรุงกรอบแนวทางในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของกลุ่ม เทคโนโลยีสารสนเทศ สํานักงานเลขานุการกรม กรมการท่องเที่ยว ให้สอดคล้องกับข้อกําหนดของมาตรฐานสากล
ISO/IEC 27001 : 2022
๒.๒ เพื่อพัฒนาบุคลากรของกรมการท่องเที่ยว ให้มีความรู้ในการดําเนินการระบบการบริหารจัดการ ความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System) และสามารถปฏิบัติงาน ได้อย่างมีประสิทธิภาพ
๓. คุณสมบัติของผู้เสนอราคา
๓.๑ มีความสามารถตามกฎหมาย ๓.๒ ไม่เป็นบุคคลล้มละลาย
๓.๓
ไม่อยู่ระหว่างเลิกกิจการ
๓.๔ ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังกําหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
๓.๕ ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงาน
ของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วนผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอํานาจในการดําเนินงานในกิจการของนิติบุคคลนั้นด้วย
๓.๖ มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้าง และการบริหาร
พัสดุภาครัฐกําหนดในราชกิจจานุเบกษา
๓.๗ เป็นบุคคลธรรมดาหรือนิติบุคคล ผู้มีอาชีพรับจ้างงานที่ประกวดราคาวิธีประกวดราคาอิเล็กทรอนิกส์ ดังกล่าว
๓.๔ ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอราคารายอื่นที่เข้ายื่นข้อเสนอให้แก่กรมการท่องเที่ยว ณ วันประกาศประกวดราคาอิเล็กทรอนิกส์ หรือไม่เป็นผู้กระทําการอันเป็นการขัดขวาง การแข่งขันราคา อย่างเป็นธรรมในการประกวดราคาอิเล็กทรอนิกส์ครั้งนี้
๓.๙ ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่ รัฐบาลของผู้เสนอราคา ได้มีคําสั่งให้สละสิทธิ์และความคุ้มกันเช่นว่านั้น
/๓.๑๐ ผู้ยืน …
๑.
(นายเอกพงษ์ ชวงไชย)
(นายพิพัฒน์ โชติชวง)
How
(นางสาวณัฏฐพัฒน์ พจนพิสุทธิ์)
๓.๑๐
ผู้ยื่นข้อเสนอต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (Electronic
Government Procurement : e-GP) ของกรมบัญชีกลาง
๓.๑๑
ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติดังนี้
(๑) การกําหนดสัดส่วนในการเข้าร่วมค้าของคู่สัญญา
กรณีที่ข้อตกลงฯ กําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงฯ จะต้องมี การกําหนดสัดส่วนหน้าที่ และความรับผิดชอบในปริมาณงาน สิ่งของ หรือมูลค่าตามสัญญาของผู้เข้าร่วมค้าหลัก มากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
(๒) กรณีที่ข้อตกลงฯ กําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลักกิจการร่วมค้านั้น
ต้องใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอ
สําหรับข้อตกลงฯ ที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก ผู้เข้าร่วมค้าทุกราย จะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่กําหนดไว้ในเอกสารเชิญชวน
(๓) การยื่นข้อเสนอของกิจการร่วมค้า
(๓.๑) กรณีที่ข้อตกลงฯ กําหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอ
ในนามกิจการร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอํานาจ
สําหรับข้อตกลงฯ ที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอ ผู้เข้าร่วมค้าทุกราย
จะต้องลงลายมือชื่อในหนังสือมอบอํานาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอในนามกิจการร่วมค้า
(๓.๒) การยื่นข้อเสนอด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ (e-bidding) ให้ผู้เข้าร่วมค้าที่ได้รับ มอบหมายหรือมอบอํานาจตามข้อ (๓.๑) ดําเนินการซื้อเอกสารประกวดราคาอิเล็กทรอนิกส์ กรณีที่มีการจําหน่าย เอกสารซื้อหรือจ้าง
๓.๑๒ ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ ดังนี้
(๑) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยหรือต่างประเทศ ซึ่งได้จดทะเบียน เกินกว่า ๑ ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิที่ปรากฏในงบ แสดงฐานะการเงินที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก ๑ ปีสุดท้ายก่อนวันยื่นข้อเสนอ งบแสดง สถานะการเงิน ๑ ปีสุดท้ายก่อนวันยื่นข้อเสนอ หมายถึง งบแสดงฐานะการเงินย้อนไปก่อนวันที่หน่วยงานของรัฐ กําหนดให้เป็นวันยื่นข้อเสนอ ๑ ปีปฏิทิน เว้นแต่กรณีนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย หากวันยื่นข้อเสนอ เป็นช่วงระยะเวลาที่กรมพัฒนาธุรกิจการค้ากําหนดให้นิติบุคคลยื่นงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า
leraf
(นายเอกพงษ์ ช่วงไชย)
On
(นายพิพัฒน์ โชติช่วง)
/ซึ่งจะ …
6/ พ./ (นางสาวณัฏฐพัฒน์ พจนพิสุทธิ์)
-b-
๓.๑๓ ผู้รับจ้างต้องมีประสบการณ์ในการดําเนินงานให้คําปรึกษาด้านระบบการบริหารจัดการ ความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากล ISO/IEC 27001 ให้กับหน่วยงานราชการ หรือรัฐวิสาหกิจ หรือบริษัทเอกชนที่เชื่อถือได้ในประเทศไทย โดยมีมูลค่าโครงการไม่น้อยกว่า ๔๐๐,๐๐๐ บาท จํานวน ๑ โครงการ ภายในระยะเวลา ๕ ปี ทั้งนี้ต้องแนบสําเนาหนังสือรับรองผลงานและหลักฐานสําเนาสัญญา เพื่อประกอบการพิจารณาดังกล่าว
๓.๑๔ ผู้เสนอราคาต้องจัดหาบุคลากรที่มีความรู้ความสามารถให้เหมาะสมกับตําแหน่งหน้าที่ในจํานวน ที่เพียงพอ เพื่อดําเนินโครงการได้อย่างมีประสิทธิภาพและเกิดประโยชน์สูงสุดตามวัตถุประสงค์ของโครงการ โดยมีบุคลากรอย่างน้อย ดังนี้
ลําดับ
จํานวน
รายการ
ผู้จัดการโครงการ (Project Manager)
หน้าที่ความรับผิดชอบ
คุณสมบัติ
ดูแลบริหารจัดการและควบคุมการดําเนินงานโครงการให้เป็นไป
ตามสัญญาและระยะเวลาที่กําหนดการส่งมอบโครงการ
กําหนดขอบเขตระบบบริหารจัดการความมั่นคงปลอดภัย
สารสนเทศให้ถูกต้องและให้ค่าแนะนําระดับสูงในการดําาเนินการ
บริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
มีประสบการณ์ด้านการรักษาความมั่นคงปลอดภัยสารสนเทศเป็น
ระยะเวลาอย่างน้อย ๕ ปี ๕ ปี
จบการศึกษาอย่างน้อยในระดับปริญญาโท หรือเทียบเท่า
(นายเอกพงษ์ ช่วงไชย)
(นายพิพัฒน์ โชติช่วง)
/คุณสมบัติ (ต่อ) …
Om him
(นางสาวณัฏฐพัฒน์ พจนพิสุทธิ์)
๗ -
จํานวน
ลําดับ
คุณสมบัติ (ต่อ)
รายการ
มีประกาศนียบัตรสอบผ่านการอบรมหลักสูตร Information Security Management System Auditor/Lead Auditor Course (ISO/IEC 27001 : 2022 Standard) ซึ่งได้รับรองจาก สถาบัน International Register of Certificated Auditors (IRCA) และเป็น Certificate of Successful Completion มีใบรับรองคุณวุฒิ CISSP (Certified Information System Security Professional) CISM (Certified Information Security Manager) 10 CISA (Certified Information Security Auditor)
ผู้เชี่ยวชาญ หน้าที่ความรับผิดชอบ
คุณสมบัติ
ดูแลการดําเนินการระบบบริหารจัดการความมั่นคงปลอดภัย
สารสนเทศในองค์กร
ให้การสนับสนุนการดําเนินการโครงการ และการอบรมด้านระบบ บริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
ดําเนินการตรวจสอบมาตรการที่มีอยู่และให้คําแนะนําแก่ทีมงาน
มีประสบการณ์ด้านการรักษาความมั่นคงปลอดภัยสารสนเทศเป็น
ระยะเวลาอยางนอย ๕ ปี
วลาอย่างน้อย
จบการศึกษาอย่างน้อยในระดับปริญญาโท หรือเทียบเท่า
ieraf
(นายเอกพงษ์ ชวงไชย)
Dr
(นายพิพัฒน์ โชติช่วง)
G
/คุณสมบัติ (ต่อ) …
6/พ./
(นางสาวณัฏฐพัฒน์ พจนพิสุทธิ์)
ลําดับ
คุณสมบัติ (ตอ)

นักวิจัย
รายการ
มีประกาศนียบัตรสอบผ่านการอบรมหลักสูตร Information
Security Management System Auditor/Lead Auditor Course (ISO/IEC 27001 : 2022 Standard) ซึ่งได้รับรองจาก สถาบัน International Register of Certificated Auditors (IRCA) และเป็น Certificate of Successful Completion
หน้าที่ความรับผิดชอบ
จํานวน
ดําเนินงานตามขอบเขตของงานภายใต้คําแนะนําของผู้เชี่ยวชาญ
ดําเนินการตามรายละเอียดและขอบเขตของโครงการและฝึกอบรม
ที่เกี่ยวข้องกับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
ดําเนินการตรวจประเมินช่องโหว่และให้คําแนะนําในการแก้ไข
ช่องโหว่
คุณสมบัติ
มีประสบการณ์ด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ
ler af
เป็นระยะเวลาอย่างน้อย ๓ ปี
จบการศึกษาอย่างน้อยในระดับปริญญาตรี หรือเทียบเท่า มีประกาศนียบัตรสอบผ่านใบรับรอง Offensive Security
Certified Professional (OSCP)
(นายเอกพงษ์ ช่วงไชย)
(นายพิพัฒน์ โชติช่วง)
6
/๔. ขอบเขต …
Dm Wh
(นางสาวณัฏฐพัฒน์ พจนพิสุทธิ์)

6-
๔. ขอบเขตการดําเนินงาน
ผู้รับจ้างต้องดําเนินโครงการร่วมกับเจ้าหน้าที่ของกรมการท่องเที่ยวในการปรับปรุงระบบการบริหารจัดการ
ความมั่นคงปลอดภัยสารสนเทศ ของกลุ่มเทคโนโลยีสารสนเทศ ให้เป็นไปตามมาตรฐานสากล ISO/IEC 27001 : 2022 โดยมีขอบเขตการดําเนินงาน ดังนี้
๔.๑ จัดทําแผนดําเนินงานและปฏิทินการปฏิบัติงานโครงการ ภายใน ๑๕ วัน นับถัดจากวันลงนามสัญญา ๔.๒ ดําเนินการทบทวนแนวทางและเกณฑ์การบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศและ ความปลอดภัยไซเบอร์ ให้ตรงตามข้อกําหนดที่ระบุไว้ใน ISO/IEC 27001 : 2022 และพระราชบัญญัติ ความปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒
๔.๓ ทบทวนโครงสร้างการบริหารจัดการ และหน้าที่ความรับผิดชอบของคณะกรรมการบริหารจัดการ ความมั่นคงปลอดภัยสารสนเทศ (ISMS Committee) และคณะทํางานอื่นที่เกี่ยวข้อง
๔.๔ ดําเนินการทบทวนข้อมูลทะเบียนทรัพย์สิน (Asset) ในการบริหารจัดการความมั่นคงปลอดภัย
สารสนเทศ
๔.๕ จัดประชุมเชิงปฏิบัติการเพื่อดําเนินการประเมินความเสี่ยงและค้นหาแนวทางในการจัดการความเสี่ยง ด้านความมั่นคงปลอดภัยสารสนเทศและความปลอดภัยไซเบอร์ จํานวนไม่น้อยกว่า ๑ ครั้ง
๔.๖ ติดตามความคืบหน้าของการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศและ ความปลอดภัยไซเบอร์
๔.๗ จัดทํารายงานผลการบริหารจัดการความเสี่ยง และแผนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัย
สารสนเทศและความปลอดภัยไซเบอร์
๔.๘ ดําเนินการทบทวน และปรับปรุงเอกสารสําคัญตามขอบเขตของระบบการบริหารจัดการความมั่นคง ปลอดภัยสารสนเทศ ได้แก่ นโยบาย และขั้นตอนการปฏิบัติงาน เป็นต้น ให้สอดคล้องตามมาตรฐานสากล ISO/IEC 27001 : 2022 ถูกต้องครบถ้วน และเป็นปัจจุบัน และรองรับการขอรับรอง มาตรฐาน ISO/IEC 27001 : 2022
๔.๙ ดําเนินการทบทวนรายการข้อกําหนดที่นํามาใช้ (Statement of Applicability - SOA) สําหรับ การดําเนินการบริหารจัดการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System) ของกรมการท่องเที่ยว ให้สอดคล้องตามมาตรฐานสากล ISO/IEC 27001 : 2022
ler af
(นายเอกพงษ์ ช่วงไชย)
(นายพิพัฒน์ โชติชวง)
/๔.๑๐ ดําเนิน …
Am Wh
(นางสาวณัฏฐพัฒน์ พจนพิสุทธิ์)
๔.๑๐ ดําเนินการตรวจสอบช่องโหว่ทางเทคนิค (Technical Baseline : Security Vulnerability Assessment) สําหรับระบบสารสนเทศที่สําคัญ เพื่อทดสอบความปลอดภัยของสินทรัพย์และป้องกันช่องโหว่ ที่สามารถเกิดขึ้น ไม่น้อยกว่า 20 IP Address
๔.๑๑ ดําเนินการทบทวนการบริหารจัดการความต่อเนื่องทางธุรกิจ (Information security aspect of business continuity management) ตามมาตรฐาน ISO/IEC 27001 : 2022 โดยการทบทวนเอกสารจัดทําแผน ความต่อเนื่องทางธุรกิจ และจัดทําการทดสอบแผนการกู้คืนระบบสารสนเทศ ตามขอบเขตที่กําหนด เป็นต้น
๔.๑๒ ดําเนินการตรวจประเมินภายใน (Internal Audit) ให้สอดคล้องกับข้อกําหนดในมาตรฐาน ISO/IEC 27001 : 2022 และพระราชบัญญัติความปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒
๔.๑๓ ดําเนินการจัดเตรียม และทบทวนข้อมูลการดําเนินงานระบบการบริหารจัดการด้านการรักษา ความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System) เพื่อนําเสนอต่อผู้บริหาร
(Management Review)
๔.๑๔ ดําเนินการวางแผนแก้ไขเชิงป้องกันความไม่สอดคล้องที่พบในระหว่างการตรวจประเมินภายใน
(Internal Audit)
๔.๑๕ ดําเนินการจัดฝึกอบรม สร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยสารสนเทศและ ความปลอดภัยไซเบอร์ โดยอบรมให้กับบุคลากรจํานวน ๑ ครั้ง ไม่น้อยกว่า ๑๐ คน
๑๐ คน เพื่อให้เป็นไปตามข้อกําหนด
ของมาตรฐาน ISO/IEC 27001 : 2022
๔.๑๖ ดําเนินการทบทวนแผนรับมือเหตุฉุกเฉินทางไซเบอร์ เพื่อให้เป็นไปตามพระราชบัญญัติ ความปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒
๕. การรักษาข้อมูลที่เป็นความลับ สําหรับหน่วยงานภายนอก
๕.๑ ขอบเขตของข้อตกลงและคําจํากัดความ ข้อตกลงในใบสั่งจ้างฉบับนี้จะใช้เป็นข้อกําหนด ในการเปิดเผยข้อมูลระหว่าง กรมการท่องเที่ยว (ผู้เปิดเผยข้อมูล) และผู้รับจ้าง (ผู้รับข้อมูล) ซึ่งการเปิดเผยข้อมูล ต่าง ๆ จะต้องเป็นไปเพื่อให้บรรลุวัตถุประสงค์ในการดําเนินงานตามขอบเขตของโครงการเท่านั้น โดยลักษณะ การเผยแพร่หรือการให้ข้อมูล อาจทําได้โดยวิธีการต่าง ๆ เช่น การอธิบายด้วยวาจา รูปภาพ เอกสาร การเรียกดู ข้อมูล การบรรยายสรุป หรือวิธีการใด ๆ ที่จะให้มาซึ่งข้อมูลที่เกี่ยวข้อง
ๆ
/๕.๒ คําจํากัด …
Wh
(นายเอกพงษ์ ช่วงไชย)
(นายพิพัฒน์ โชติช่วง)
(นางสาวณัฏฐพัฒน์ พจนพิสุทธิ์)