eGP
egp งานประมูลภาครัฐ
จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างตรวจประเมินช่องโหว่และทดสอบเจาะระบบเทคโนโลยีสารสนเทศ

สถาบันคุ้มครองเงินฝาก 69019011418
฿1,800,000 ปีงบ 2569 ประกาศ 2 ก.พ. 2569 กรุงเทพมหานคร
รายละเอียดการจ้าง

สถาบันคุ้มครองเงินฝาก (สคฝ.) มีความจำเป็นต้องดำเนินโครงการจ้างตรวจประเมินช่องโหว่และทดสอบเจาะระบบเทคโนโลยีสารสนเทศ เนื่องจากภัยคุกคามทางไซเบอร์ที่มีความซับซ้อนและพัฒนาอย่างรวดเร็ว โครงการนี้มุ่งประเมินประสิทธิภาพของมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศที่มีอยู่ ผ่านการจำลองการโจมตีที่แท้จริงและเป็นระบบ

ขอบเขตงานหลักกำหนดให้ผู้รับจ้างต้องใช้เครื่องมือทดสอบประเภท Breach and Attack Simulation (BAS) ที่มีคุณสมบัติเฉพาะ ซึ่งต้องครอบคลุมการโจมตีอย่างน้อย 5 หมวดหมู่ ได้แก่ Network-based Attacks, Endpoint Attacks, Mail-based Attacks, Web-based Attacks และ Data Exfiltration Simulation โดยต้องสอดคล้องกับ MITRE ATT&CK Framework การดำเนินงานจะแบ่งออกเป็น 2 รอบทดสอบ โดยก่อนเริ่มงานต้องจัดทำและได้รับความเห็นชอบในแผนโครงการ (Project Plan) ซึ่งรวมถึงตารางเวลาและทรัพยากร

สิ่งส่งมอบหลักประกอบด้วยรายงาน 2 ชุด ได้แก่ รายงาน Preliminary Assessment หลังการทดสอบรอบแรก ซึ่งต้องแสดงภาพรวมความเสี่ยง ผลการจำลองโจมตี ประสิทธิภาพของเครื่องมือป้องกัน ช่องโหว่ที่พบ และข้อเสนอแนะการปรับปรุง และรายงาน Final Assessment หลังการทดสอบรอบสอง เพื่อแสดงผลการแก้ไขช่องโหว่และเปรียบเทียบประสิทธิภาพก่อน-หลัง พร้อมระบุความเสี่ยงคงค้างและข้อเสนอแนะเชิงกลยุทธ์ต่อไป ผู้รับจ้างต้องจัดทีมงานที่มีความเชี่ยวชาญเฉพาะด้าน ได้แก่ ผู้จัดการโครงการ ผู้ประสานงาน และผู้เชี่ยวชาญด้าน Cybersecurity/GRC พร้อมใบรับรองความเชี่ยวชาญที่กำหนด

English summary

The Deposit Protection Agency (DPA) requires a contractor to conduct Vulnerability Assessment and Penetration Testing (VAPT) for its information technology systems. This project aims to evaluate the effectiveness of existing information security controls in the face of rapidly evolving cyber threats.

The core scope of work mandates the use of Breach and Attack Simulation (BAS) tools with specific technical capabilities. These tools must simulate attacks across at least five categories: Network-based, Endpoint, Mail-based, Web-based Attacks, and Data Exfiltration Simulation, aligned with the MITRE ATT&CK Framework. The work will be conducted in two testing rounds, preceded by the development and approval of a comprehensive Project Plan.

Key deliverables include two main reports: a Preliminary Assessment Report after the first round, detailing overall risk, attack simulation results, control effectiveness, identified vulnerabilities, and remediation recommendations; and a Final Assessment Report after the second round, showcasing remediation results, before/after comparisons of control effectiveness, residual risks, and strategic next-step recommendations. The contractor must provide a qualified team including a Project Manager, Project Coordinator, and a Cybersecurity/GRC Specialist with specified certifications.

สถานที่ดำเนินการ

ไม่ระบุ

คำสำคัญ
Breach and Attack SimulationBASตรวจสอบความมั่นคงปลอดภัยไซเบอร์ทดสอบเจาะระบบVulnerability AssessmentPenetration TestingMITRE ATT&CKSecurity Control ValidationโครงการความปลอดภัยสารสนเทศAutomated Security Validation

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

  • เพื่อประเมินระดับความปลอดภัยของระบบป้องกันที่ใช้อยู่ในปัจจุบัน
  • เพื่อตรวจสอบหาจุดอ่อนหรือช่องโหว่ที่อาจถูกมองข้าม
  • เพื่อจัดทำแผนการรับมือและแผนการปรับปรุงโดยเร็ว
  • เพื่อให้การป้องกันภัยคุกคามยังคงมีความเป็นปัจจุบัน และมีประสิทธิภาพเพียงพอต่อการปฏิบัติงานของสถาบันคุ้มครองเงินฝาก

ขอบเขตของงาน

  • การวางแผนและประสานงาน:
    • จัดทำแผนการดำเนินโครงการ (Project Plan) ครอบคลุมตารางเวลา ขอบเขตงาน ทรัพยากร และบทบาทความรับผิดชอบ โดยต้องได้รับความเห็นชอบจาก สคฝ. ก่อนดำเนินการ
    • หารือและกำหนด Scenario สำหรับการทดสอบร่วมกับ สคฝ.
  • การทดสอบและประเมินประสิทธิภาพ:
    • ดำเนินการตรวจสอบและประเมินประสิทธิภาพการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศ
    • ใช้เครื่องมือทดสอบประเภท Breach and Attack Simulation (BAS) ตามข้อกำหนดทางเทคนิคที่กำหนด
    • ดำเนินการทดสอบจำนวน 2 รอบ โดยครอบคลุมการโจมตีอย่างน้อย 5 หมวดหมู่ ได้แก่ Network-based Attacks, Endpoint Attacks, Mail-based Attacks, Web-based Attacks, Data Exfiltration Simulation
    • การทดสอบต้องสามารถดำเนินการในสภาพแวดล้อมจริงได้โดยไม่ก่อให้เกิดผลกระทบเชิงทำลายระบบ (Non-destructive Simulation)
  • การวิเคราะห์และรายงานผล:
    • นำเสนอผลการทดสอบในรูปแบบรายงานตามที่ สคฝ. กำหนด
    • จัดทำรายงาน Preliminary Assessment หลังการทดสอบรอบแรก
    • จัดทำรายงาน Final Assessment หลังการทดสอบรอบสอง เพื่อแสดงผลการแก้ไขและเปรียบเทียบ
    • หารือผลการทดสอบกับ สคฝ. ก่อนการจัดทำรายงานฉบับจริง
  • การบริหารทีมงาน:
    • จัดให้มีบุคลากรที่มีความเชี่ยวชาญเข้าร่วมดำเนินโครงการจนแล้วเสร็จ ครอบคลุมตำแหน่งผู้จัดการโครงการ ผู้ประสานงานโครงการ และผู้เชี่ยวชาญเฉพาะด้าน Cybersecurity/GRC พร้อมคุณสมบัติตามที่กำหนด

สิ่งที่ต้องส่งมอบ

  • แผนการดำเนินโครงการ (Project Plan) ที่ได้รับความเห็นชอบแล้ว
  • รายงาน Preliminary Assessment (หลังการทดสอบรอบแรก) ประกอบด้วย:
    • บทสรุปผู้บริหาร (Executive Summary)
    • รายงานสรุปขอบเขตในการทดสอบ (Scope of Testing)
    • วิธีการจำลองการโจมตีและผลลัพธ์ที่ได้ (Attack Scenario Results) โดยอ้างอิง MITRE ATT&CK
    • รายงานผลประสิทธิภาพของเครื่องมือป้องกัน (Control Effectiveness)
    • รายงาน Control Gaps & Misconfigurations
    • ข้อเสนอแนะ (Recommendations)
  • รายงาน Final Assessment (หลังการทดสอบรอบสอง) ประกอบด้วย:
    • บทสรุปผู้บริหาร (Executive Summary)
    • รายงานสรุปขอบเขตในการทดสอบซ้ำ (Scope of Re-Testing)
    • วิธีการจำลองการโจมตีและผลลัพธ์ที่ได้ โดยเทียบกับผลรอบแรก
    • รายงานผลประสิทธิภาพของเครื่องมือป้องกันเปรียบเทียบก่อน-หลัง (Control Effectiveness Comparison)
    • รายงานระดับความเสี่ยงที่ยังคงเหลือ (Residual Risks)
    • รายงานสรุปและข้อแนะนำในการดำเนินการต่อไป (Conclusion & Next Steps)

ระยะเวลาดำเนินการ

ไม่ระบุวันที่เริ่มต้นหรือสิ้นสุดโครงการที่ชัดเจนใน TOR นี้ กำหนดเพียงว่าผู้รับจ้างต้องจัดทำแผนโครงการ (Project Plan) ซึ่งครอบคลุมตารางเวลา และต้องได้รับการเห็นชอบจาก สคฝ. ก่อนดำเนินการ รวมถึงต้องดำเนินการทดสอบจำนวน 2 รอบ

คุณสมบัติผู้เสนอราคา

  • Eligibility Requirements: ไม่มีข้อมูลเพิ่มเติมนอกเหนือจากคุณสมบัติทีมงานและเครื่องมือ
  • Standards Compliance: เครื่องมือที่ใช้ต้องสามารถจำลองเทคนิคการโจมตีที่สอดคล้องกับ MITRE ATT&CK Framework
  • Experience:
    • ผู้จัดการโครงการ: มีประสบการณ์ทำงานในตำแหน่งผู้จัดการโครงการไม่น้อยกว่า 3 ปี และมีประสบการณ์การบริหารโครงการอย่างน้อย 3 โครงการ
    • ผู้ประสานงานโครงการ: มีประสบการณ์ด้านการจัดทำเอกสารรายงานการประชุมด้วย Microsoft Office ไม่น้อยกว่า 3 ปี
    • ผู้เชี่ยวชาญเฉพาะด้าน Cybersecurity/GRC: มีประสบการณ์ด้าน Cybersecurity/Governance, Risk and Compliance (GRC) ไม่น้อยกว่า 5 ปี
  • Previous Project Cost: ไม่ได้ระบุ
  • Technical Capabilities:
    • ต้องใช้เครื่องมือทดสอบประเภท Breach and Attack Simulation (BAS) ที่มีคุณสมบัติครบถ้วนตามข้อกำหนดทางเทคนิค 11 ข้อใน TOR (ข้อ 2.2.1)
    • เครื่องมือต้องอยู่ในกลุ่มผู้นำของ Frost Radar: Automated Security Validation ระหว่างปี 2024-2025
  • Personnel:
    • ผู้จัดการโครงการ (1 คน): วุฒิปริญญาตรีขึ้นไปด้าน IT, วิศวกรรมคอมพิวเตอร์, วิทยาการคอมพิวเตอร์ หรือสาขาที่เกี่ยวข้อง
    • ผู้ประสานงานโครงการ (1 คน): วุฒิปริญญาตรีขึ้นไปด้านอักษรศาสตร์, มนุษยศาสตร์, IT, วิศวกรรมคอมพิวเตอร์, วิทยาการคอมพิวเตอร์ หรือสาขาที่เกี่ยวข้อง
    • ผู้เชี่ยวชาญเฉพาะด้าน Cybersecurity/GRC (1 คน): วุฒิปริญญาตรีขึ้นไปด้าน IT, วิศวกรรมคอมพิวเตอร์, วิทยาการคอมพิวเตอร์ หรือสาขาที่เกี่ยวข้อง และ มีประกาศนียบัตรอย่างน้อย 1 รายการจากกลุ่มต่อไปนี้:
      • Offensive Security: OSCP, GPEN, CEH, Pentest+
      • Defensive / Incident Response: GCIA, GCIH, CySA+, ECIH
      • Framework / Governance: CISA, CISM, ISO 27001 LI/LA, MITRE ATT&CK Defender

เกณฑ์การพิจารณา

ไม่ระบุเกณฑ์การประเมินข้อเสนอใน TOR ส่วนนี้

ข้อกำหนดทางเทคนิค

เครื่องมือทดสอบต้องเป็นประเภท Breach and Attack Simulation (BAS) และมีคุณสมบัติขั้นต่ำดังนี้:

  1. จำลองการโจมตีได้ครอบคลุมอย่างน้อย 5 หมวดหมู่: Network-based, Endpoint, Mail-based, Web-based Attacks, Data Exfiltration Simulation
  2. มี Threat Library ที่อัปเดตสม่ำเสมอและรองรับ Emerging Threats
  3. สามารถจำลอง TTPs ของ Threat Actors/APT Groups ได้ โดยสอดคล้องกับ MITRE ATT&CK Framework
  4. รองรับการทดสอบทั้งแบบลง Agent และ Agentless
  5. ทดสอบในสภาพแวดล้อมจริงได้แบบ Non-destructive
  6. จำลองการโจมตีแบบหลายขั้นตอน (Multi-Stage) ได้
  7. แสดงผลแบบก่อนและหลัง (Before/After) เพื่อเปรียบเทียบ
  8. จำลองการโจมตีแบบอัตโนมัติต่อเนื่อง (Continuous Automated Simulation) และ Auto-resume ได้
  9. รองรับการทดสอบ Security Controls หลายประเภท เช่น Firewall, IPS/IDS, WAF, EDR, SIEM, DLP, Email Gateway
  10. สามารถประเมินความเสื่อมถอยของการตั้งค่า (Security Drift) ได้
  11. ต้องอยู่ในกลุ่มผู้นำของ Frost Radar: Automated Security Validation ช่วงปี 2024-2025

เงื่อนไขสัญญา

ไม่ระบุเงื่อนไขสัญญา เช่น สตารางการจ่ายเงิน หรือบทลงโทษ ใน TOR ส่วนนี้

คำถามที่พบบ่อย (FAQ)

  • ถาม: เครื่องมือ BAS ที่ใช้ต้องมีคุณสมบัติพิเศษอะไรบ้าง?
    ตอบ: เครื่องมือต้องอยู่ในกลุ่มผู้นำตาม Frost Radar: Automated Security Validation สำหรับปี 2024-2025 และต้องสามารถประเมินความเสื่อมถอยของการตั้งค่า (Security Drift) ได้

  • ถาม: การทดสอบจะกระทบระบบการทำงานปกติของ สคฝ. หรือไม่?
    ตอบ: ไม่กระทบ เนื่องจาก TOR กำหนดให้การทดสอบต้องเป็นแบบ Non-destructive Simulation ซึ่งไม่ก่อให้เกิดผลกระทบเชิงทำลายระบบ

  • ถาม: รายงานต้องอ้างอิงมาตรฐานใดเป็นพิเศษ?
    ตอบ: รายงานผลการโจมตี (Attack Scenario Results) ต้องอ้างอิง MITRE ATT&CK Techniques ให้ชัดเจน

  • ถาม: ทีมงานผู้เชี่ยวชาญด้าน GRC ต้องมีใบรับรองใดบ้าง?
    ตอบ: ต้องมีประกาศนียบัตรอย่างน้อย 1 ใบ จาก 3 กลุ่มที่กำหนด ได้แก่ กลุ่ม Offensive Security (เช่น OSCP, CEH), กลุ่ม Defensive/Incident Response (เช่น GCIA, GCIH) หรือกลุ่ม Framework/Governance (เช่น CISA, CISM, ISO 27001)

  • ถาม: การทดสอบครอบคลุมระบบป้องกันประเภทใดบ้าง?
    ตอบ: ครอบคลุมการทดสอบประสิทธิภาพของ Security Controls หลายประเภท เช่น Firewall, IPS/IDS, WAF, EDR, SIEM, DLP และ Email Gateway

  • ถาม: มีการทดสอบซ่อมเพื่อยืนยันการแก้ไขช่องโหว่หรือไม่?
    ตอบ: มี โดยโครงการกำหนดให้มีการทดสอบทั้งหมด 2 รอบ โดยรอบที่สอง (Re-Testing) มีเพื่อแสดงผลการแก้ไขช่องโหว่จากรอบแรกและเปรียบเทียบประสิทธิภาพก่อน-หลัง

  • ถาม: รายงาน Final Assessment ต้องมีส่วนเปรียบเทียบอะไรบ้าง?
    ตอบ: ต้องมีส่วนเปรียบเทียบผลประสิทธิภาพของเครื่องมือป้องกันก่อนและหลังแก้ไข เช่น อัตราการป้องกัน (% Block Rate) อัตราการตรวจจับ (% Detection Coverage) และคุณภาพของ Alert

  • ถาม: Scenario การทดสอบกำหนดโดยใคร?
    ตอบ: กำหนดร่วมกัน เนื่องจาก TOR ระบุว่าผู้รับจ้างต้อง “หารือ Scenario สำหรับการทดสอบร่วมกับ สคฝ.”

  • ถาม: โครงการเน้นการทดสอบแบบใดเป็นหลัก?
    ตอบ: เน้นการทดสอบแบบ Continuous Automated Simulation หรือการจำลองการโจมตีแบบอัตโนมัติต่อเนื่อง ซึ่งเครื่องมือต้องสามารถ Auto-resume ได้เมื่อการเชื่อมต่อสะดุด

  • ถาม: นอกจากการรายงานช่องโหว่แล้ว ต้องให้คำแนะนำในรูปแบบใด?
    ตอบ: ต้องให้คำแนะนำที่เฉพาะเจาะจงตามแต่ละ Scenario, ข้อเสนอแนะสำหรับปรับปรุง Detection/Prevention และข้อเสนอแนะเชิงกลยุทธ์หลังการทดสอบ

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

ขอบเขตของงาน (Terms of Reference : TOR)
โครงการจ้างตรวจประเมินช่องโหว่และทดสอบเจาะระบบเทคโนโลยีสารสนเทศ

  1. เหตุผลและความจําเป็น
    เนื่องจากภัยคุกคามด้านเทคโนโลยีสารสนเทศได้มีการพัฒนาอย่างรวดเร็วและซับซ้อนมากยิ่งขึ้น หากไม่มี
    การดําเนินการตรวจสอบและเสริมมาตรการป้องกัน
    อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบและ การปฏิบัติงานของหน่วยงาน แม้ว่าที่ผ่านมา ฝ่ายเทคโนโลยีสารสนเทศจะได้ดําเนินการตามมาตรการด้านความ มั่นคงปลอดภัยสารสนเทศต่าง ๆ รวมทั้งจัดเตรียมโครงสร้างพื้นฐานและระบบป้องกันเพื่อรองรับการโจมตีจาก ผู้ไม่ประสงค์ดีแล้วก็ตาม แต่การตรวจประเมินช่องโหว่และการทดสอบเจาะระบบยังคงเป็นกระบวนการที่จําเป็นต้อง ดําเนินการอย่างสม่ําเสมอและต่อเนื่อง เพื่อให้มั่นใจว่าสามารถเฝ้าระวังและรับมือกับภัยคุกคามที่ปรับเปลี่ยนตาม
    เทคโนโลยีได้อย่างมีประสิทธิภาพ
    สถาบันคุ้มครองเงินฝาก (สคฝ.) จึงมีความจําเป็นที่จะต้องจัดจ้างผู้รับจ้างดําเนินโครงการตรวจประเมินช่อง โหว่และทดสอบเจาะระบบเทคโนโลยีสารสนเทศ เพื่อประเมินระดับความปลอดภัยของระบบป้องกันที่ใช้อยู่ใน
    ปัจจุบัน รวมถึงการตรวจสอบหาจุดอ่อนหรือช่องโหว่ที่อาจถูกมองข้าม และจัดทําแผนการรับมือและแผนการ ปรับปรุงโดยเร็ว เพื่อให้การป้องกันภัยคุกคามยังคงมีความเป็นปัจจุบัน และมีประสิทธิภาพเพียงพอต่อการ ปฏิบัติงานของ สคฝ. ต่อไป
  2. ขอบเขตงานที่ต้องการ
    2.1 ข้อกําหนดทั่วไป
    2.1.1 ผู้รับจ้างจะต้องทําการตรวจสอบและประเมินประสิทธิภาพการควบคุมด้านความมั่นคง ปลอดภัยสารสนเทศ โดยใช้เครื่องมือทดสอบที่มีคุณลักษณเฉพาะตามที่ สคฝ. กําหนด เพื่อใช้ประเมินประสิทธิภาพ ของมาตรการควบคุมด้านความมั่นคงปลอดภัยของระบบสารสนเทศ เห็นภาพรวมของช่องโหว่ที่มีอยู่จริง และให้ข้อเสนอแนะเชิงปฏิบัติในการปรับปรุงมาตรการควบคุม เพื่อยกระดับความมั่นคงปลอดภัยของระบบและ ลดความเสี่ยงเชิงปฏิบัติการต่อ สคฝ. ได้ โดยจะต้องครอบคลุมการโจมตีอย่างน้อย 5 หมวดหมู่ประกอบไปด้วย
    Network-based Attacks, Endpoint Attacks, Mail-based Attacks, Web-based Attacks, Data Exfiltration
    Simulation
    2.1.2 ผู้รับจ้างต้องจัดทําแผนการดําเนินโครงการ (Project Plan) ที่ครอบคลุมตารางเวลา ขอบเขต ของงาน ทรัพยากร และบทบาทความรับผิดชอบของแต่ละฝ่าย โดยแผนดังกล่าวจะต้องได้รับความเห็นชอบจาก สคฝ. ก่อนดําเนินการ เพื่อให้มั่นใจว่ากระบวนการดําเนินงานเป็นไปอย่างโปร่งใส ตรวจสอบได้ และสอดคล้องกับ วัตถุประสงค์ของโครงการ
    Co
    หน้า 1 จาก 19
    R
    2.1.3 ผู้รับจ้างต้องใช้เครื่องมือทดสอบและประเมินประสิทธิภาพการควบคุมด้านความมั่นคง ปลอดภัยสารสนเทศ จํานวน 2 รอบ ด้วยเครื่องมือที่มีคุณสมบัติตามข้อกําหนดด้านเทคนิคข้อ 2.2 โดยจะต้องมีการ หารือ Scenario สําหรับการทดสอบร่วมกับ สคฝ. พร้อมนําเสนอผลการทดสอบในรูปแบบของรายงานตามที่ สคฝ.
    กําหนด
    2.1.4 ผู้รับจ้างจะต้องจัดทํารายการสิ่งส่งมอบ (Project Deliverables) สําหรับการทดสอบในแต่ละ รอบ ซึ่งก่อนการส่งรายงานต้องมีการหารือกับ สคฝ. ก่อนการจัดทํารายงานฉบับจริง โดยรายงานอย่างน้อยต้อง
    ประกอบไปด้วยข้อมูลดังต่อไปนี้
    2.1.4.1 รายงาน Preliminary Assessment ที่แสดงสภาพแวดล้อมจริงของระบบและผลการ
    จําลองการโจมตี โดยจะต้องประกอบไปด้วยข้อมูลอย่างน้อย ดังต่อไปนี้
    บทสรุปผู้บริหาร (Executive Summary) ประกอบด้วย
  • ภาพรวมความเสี่ยงที่พบ
  • ระดับความพร้อมด้านการป้องกัน (High / Medium / Low)
  • จุดอ่อนสําคัญที่ต้องรีบแก้ไข
    บทที่ 1
    บทที่ 2
    บทที่ 3
    รายงานสรุปขอบเขตในการทดสอบ (Scope of Testing) ประกอบด้วย
    1.1 ภาพรวมความเสี่ยงที่พบ
    1.2 ระดับความพร้อมด้านการป้องกัน (High / Medium / Low)
    1.3 จุดอ่อนสําคัญที่ต้องรีบแก้ไข
    รายงานสรุปขอบเขตในการทดสอบ (Scope of Testing) ประกอบด้วย 2.1 ระบบ/เครือข่าย/บริการที่อยู่ในขอบเขต
    2.2 ช่วงเวลาที่ทําการทดสอบ
    2.3 รายการ Attack Scenarios โดยต้องอ้างอิง MITRE ATT&CK Techniques ชัดเจน วิธีการจําลองการโจมตีและผลลัพธ์ที่ได้ (Attack Scenario Results) ประกอบด้วย
    3.1 ชื่อ Scenario + ATT&CK ID
    3.2 จุดประสงค์ของการโจมตี
    3.3 ผลลัพธ์ (Success / Failed)
    3.4 ระบบสามารถตรวจจับหรือไม่ (Detected / Not Detected)
    3.5 ระบบใดแจ้งเตือน (EDR / SIEM / Firewall / Others)
    3.6 ระดับความสําเร็จของการป้องกัน (Blocked / Partially Blocked / Allowed)
    3.7 หลักฐานประกอบ (Logs, Screenshots, Payload Behavior)
    MSSM

    หน้า 2 จาก 19
    (ลงท
    บทที่ 4
    บทที 5
    บทที่ 6
    รายงานผลประสิทธิภาพของเครื่องมือป้องกัน (Control Effectiveness) ประกอบด้วย
    4.1 อัตราการป้องกัน (Prevention/Blocking Rate)
    4.2 อัตราการตรวจจับ (Detection Coverage)
    4.3 อัตราการแจ้งเตือนที่อยู่ในระดับใช้งานได้ (Alert Validity)
    4.4 ระบุ Controls ใดทํางาน / ไม่ทํางาน
    Control Gaps & Misconfigurations ประกอบด้วย 5.1 ช่องโหว่ด้านการตั้งค่าที่พบ
    5.2 Controls ที่ควรมีแต่ไม่ถูกเปิดใช้
    5.3 ช่องโหว่เชิงกระบวนการ (Process Gaps) 5.4 รายการที่ต้องแก้ไขทั้งหมดแบบชัดเจน
    Recommendations ประกอบด้วย
    6.1 วิธีแก้ไขแบบเฉพาะเจาะจงตามแต่ละ Scenario
    6.2 ข้อเสนอแนะสําหรับปรับปรุง Detection / Prevention
    6.3 สิ่งที่ต้องแก้ไขก่อนการทดสอบรอบสอง
    2.1.4.2 รายงาน Final Assessment ที่แสดงผลการแก้ไขช่องโหว่ที่พบจากรอบแรก
    ต้องประกอบไปด้วยข้อมูลอย่างน้อย ดังต่อไปนี้
    บทสรุปผู้บริหาร (Executive Summary) ประกอบด้วย
  • ภาพรวมหลังแก้ไขว่าดีขึ้นหรือไม่
  • รายการแก้ไขที่ได้ผล / ไม่ได้ผล
  • ความเสี่ยงคงค้าง (Residual Risks)
    บทที่ 1
    บทที่ 2
    รายงานสรุปขอบเขตในการทดสอบ (Scope of Re-Testing) ประกอบด้วย
    1.1 รายการช่องโหว่หรือ Control Gaps ที่ได้มีการแก้ไขแล้ว
    1.2 Scenario ที่ต้องทดสอบใหม่
    วิธีการจําลองการโจมตี และผลลัพธ์ที่ได้ โดยเทียบกับผลที่ได้รับจากรอบแรก สําหรับแต่ละ Scenario/Control ที่ถูกแก้ไข ประกอบด้วย
    2.1 สถานะการแก้ไข (Fixed / Not Fixed / Partially Fixed)
    2.2 ผลทดสอบใหม่ (Success / Fail)
    2.3 ระบบตรวจจับหรือไม่หลังแก้ไข
    2.4 ระบบป้องกันใดทํางาน
    2.5 หลักฐานประกอบ (Logs, Screenshots)
    2.6 เปรียบเทียบผลลัพธ์รอบแรกกับรอบสองแบบชัดเจน
    หน้า 3 จาก 19

บทที่ 3
บทที่ 4
บทที 5
รายงานผลประสิทธิภาพของเครื่องมือป้องกัน โดยเทียบกับผลที่ได้รับจากรองแรก (Control
Effectiveness Comparison) ประกอบด้วย
3.1 อัตราการป้องกันก่อนและหลัง (% Block Rate)
3.2 อัตราการตรวจจับก่อนและหลัง (% Detection Coverage)
3.3 คุณภาพ Alert ก่อนและหลัง
3.4 การเปลี่ยนแปลงเชิงรูปธรรม เช่น เส้นทางการโจมตี (Attack Path) ถูกปิดหรือไม่ ระดับความเสี่ยงที่ยังคงเหลือหลังจากการดําเนินการ (Residual Risks) ประกอบด้วย 4.1 รายการความเสี่ยงที่ยังหลงเหลือหลังแก้ไข
4.2 ช่องโหว่หรือ Misconfiguration ที่ยังต้องแก้ไขในเฟสถัดไป
4.3 Impact ต่อระบบหากปล่อยไว้
รายงานสรุป และ ข้อแนะนําในการดําเนินการต่อไป (Conclusion & Next Steps) 5.1 ระบุว่าระบบผ่านตามเกณฑ์หรือไม่
5.2 ควรปรับปรุง Controls ใดเพิ่มเติม
5.3 ข้อเสนอแนะเชิงกลยุทธ์หลังทดสอบ
2.2 ข้อกําหนดทางเทคนิค
2.2.1 เครื่องมือที่ใช้ในการทดสอบจะต้องเป็นเครื่องมือประเภท Breach and Attack Simulation โดยจะต้องมีคุณสมบัติอย่างน้อยดังนี้
(1) มีความสามารถจําลองการโจมตีได้ในหลายมิติ โดยจะต้องครอบคลุมอย่างน้อย 5 หมวดหมู่ ได้แก่ Network-based Attacks, Endpoint Attacks, Mail-based Attacks, Web-based Attacks,
Data Exfiltration Simulation
(2) มี Threat Library ที่อัปเดตสม่ําเสมอ พร้อมรองรับภัยคุกคามใหม่ (Emerging Threats) (3) สามารถจําลองเทคนิค (TTP - Tactics, Techniques, Procedures) ของกลุ่มผู้โจมตี (Threat Actors/APT Groups) ตามตัวอย่างที่พบในเหตุการณ์จริง โดยจะต้องสอดคล้องกับ MITRE ATT&CK
Framework
(Browser Agent)
(4) สามารถรองรับการทดสอบทั้งแบบลง Agent บน Endpoint หรือแบบ Agentless
(5) สามารถทําการทดสอบในสภาพแวดล้อมจริงทั้ง Production, Testbed, Sandbox โดยต้องไม่ก่อให้เกิดผลกระทบเชิงทําลายระบบ (Non-destructive Simulation)
(6) สามารถจําลองการโจมตีแบบหลายขั้นตอน (Multi-Stage) เช่น Privilege Escalation
Data Exfiltration เป็นต้น
(7) สามารถแสดงผลแบบก่อนและหลัง (Before/After) เพื่อใช้เปรียบเทียบผลการแก้ไขได้ (8) สามารถจําลองการโจมตีแบบอัตโนมัติได้อย่างต่อเนื่อง (Continuous Automated
Simulation) โดยจะต้อง Auto-resume เมื่อระบบเชื่อมต่อสะดุด
หน้า 4 จาก 19

พริก
(9) รองรับการทดสอบ Security Controls หลายประเภท เช่น Firewall, IPS/IDS, WAF,
EDR, SIEM, DLP, Email Gateway as Endpoint Controls
(10) ต้องสามารถประเมินความเสื่อมถอยของการตั้งค่า (Security Drift) และการลดลงของ ประสิทธิภาพด้านความปลอดภัยเมื่อเวลาผ่านไป
2024-2025
(11) ต้องอยู่ในกลุ่มผู้นําของ Frost Radar: Automated Security Validation ระหว่างปี
2.2.2 ผู้รับจ้างต้องจัดให้มีบุคลากรที่ความเชี่ยวชาญ เข้าร่วมดําเนินโครงการจนแล้วเสร็จ ครอบคลุม ตั้งแต่การวางแผน การติดตั้ง การทดสอบ การวิเคราะห์ และการสรุปรายงานผล ดังนี้
จํานวน
(คน)
ตําาแหน่ง
วุฒิการศึกษา

  1. ผู้จัดการโครงการ
    (Project Manager)
    อย่างน้อย | ไม่ต่ํากว่าปริญญาตรี ด้าน
    1 คน
    วิศวกรรมเทคโนโลยีสารสนเทศ
    หรือสาขาวิศวกรรมคอมพิวเตอร์
    หรือสาขาวิทยาการคอมพิวเตอร์
  2. ผู้ประสานงานโครงการ (Project Coordinator)
  3. ผู้เชี่ยวชาญเฉพาะด้าน
    Cybersecurity/Governance,
    Risk and Compliance
    (GRC)
    หรือสาขาอื่นที่เกี่ยวข้อง
    อย่างน้อย | ไม่ต่ํากว่าปริญญาตรี ด้านอักษร
    ศาสตร์ หรือมนุษยศาสตร์ หรือ
    วิศวกรรมเทคโนโลยีสารสนเทศ
    หรือสาขาวิศวกรรมคอมพิวเตอร์
    1 คน
    หรือสาขาวิทยาการคอมพิวเตอร์
    หรือสาขาอื่นที่เกี่ยวข้อง
    อย่างน้อย | ไม่ต่ํากว่าปริญญาตรี ด้าน
    1 คน
    วิศวกรรมเทคโนโลยีสารสนเทศ
    หรือสาขาวิศวกรรมคอมพิวเตอร์
    หรือสาขาวิทยาการคอมพิวเตอร์
    หรือสาขาอื่นที่เกี่ยวข้อง

ประสบการณ์ทํางาน
และความรู้ มีประสบการณ์ทํางานในตําแหน่ง
ผู้จัดการโครงการไม่น้อยกว่า 3 ปี มีประสบการณ์การบริหารโครงการ อย่างน้อย 3 โครงการ โดยให้ระบุ ชื่อโครงการ
มีความรู้ด้านเทคโนโลยีสารสนเทศ
เบื้องต้น
มีประสบการณ์ด้านการจัดทํา
เอกสารรายงานการประชุมด้วย
โปรแกรม Microsoft Office
ไม่น้อยกว่า 3 ปี
มีประสบการณ์ด้าน
Cybersecurity/Governance,
Risk and Compliance (GRC) ไม่ น้อยกว่า 5 ปี
มีประกาศนียบัตรอย่างน้อย 1
รายการ ตามรายการดังนี้
O Offensive Security: OSCP,
GPEN, CEH, Pentest+
O Defensive / Incident
Response: GCIA, GCIH,
CySA+, ECIH
O Framework / Governance:
CISA, CISM, ISO 27001
LI/LA, MITRE ATT&CK
Defender
หน้า 5 จาก 19
2 JS w