ประกวดราคาจ้างโครงการจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์

• เพื่อประเมินความเสี่ยงและตรวจสอบช่องโหว่ระบบสารสนเทศภายในบริษัทฯ และแนะนำแนวทางการปรับปรุงแก้ไข
• เพื่อจัดหาบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security Operation Center : C-SOC) เพื่อให้สามารถตรวจพบการรั่วไหลของข้อมูลได้ในระยะเริ่มต้น และสามารถวิเคราะห์แนวโน้มการคุกคามได้อย่างเป็นระบบ
• เพื่อเฝ้าระวัง ตรวจสอบ และวิเคราะห์ข้อมูลที่เกี่ยวข้องกับบริษัทฯ ซึ่งอาจปรากฏอยู่ในแหล่งข้อมูลใต้ดิน เช่น เว็บมืด (Dark Web), ฟอรั่มใต้ดิน (Underground Forums) หรือเว็บไซต์ที่ใช้เผยแพร่ข้อมูลรั่วไหล (Paste Sites)
• เพื่อเสริมสร้างขีดความสามารถของบริษัทฯ ในการตรวจจับและตอบสนองต่อเหตุการณ์ข้อมูลรั่วไหลเชิงรุก (Proactive Incident Response) และลดผลกระทบที่อาจเกิดขึ้นต่อชื่อเสียง และความเชื่อมั่นขององค์กร

บริการหลักประกอบด้วย 3 ส่วนตามเอกสารภาคผนวก:

1. บริการตรวจสอบภัยคุกคามจากเว็บมืด (Dark Web Threat Intelligence) (ภาคผนวก 1)

   • ให้บริการตลอด 24 ชั่วโมง 7 วันต่อสัปดาห์ ตลอดอายุสัญญา
   • รวบรวมและวิเคราะห์ภัยคุกคามจากเว็บมืดโดยใช้เครื่องมือที่มีลิขสิทธิ์ (เช่น Cybersixgill, Recorded Future)
   • ตรวจสอบการปรากฏของโดเมน, IP, อีเมล และชื่อระบบ (Assets) ของบริษัทฯ บนเว็บมืดไม่น้อยกว่า 70 Assets
   • ตรวจสอบและติดตามการรั่วไหลของข้อมูล (Credential & Data Leakage Monitoring)
   • วิเคราะห์ประวัติกลุ่มภัยคุกคาม (Threat Actor Profiling)
   • เฝ้าระวังและปกป้องชื่อเสียงองค์กร (Brand and Executive Protection)
   • แจ้งเตือนภัยคุกคามและจัดทำสรุปเหตุการณ์ (Incident Report) ตาม SLA ที่กำหนด
   • จัดทำรายงานสรุปผลประจำเดือน

2. บริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (C-SOC) (ภาคผนวก 2)

   • ให้บริการตลอด 24 ชั่วโมง 7 วันต่อสัปดาห์ ตลอดอายุสัญญา
   • เฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามจากอุปกรณ์: Firewall (2 เครื่อง), WAF (1 เครื่อง), Email Security Gateway (1 เครื่อง) และ VM (35 เครื่อง)
   • มีชุดตรวจจับและตอบสนองเหตุการณ์ (Standard Use Case) ครอบคลุมการโจมตีอย่างน้อย 9 ประเภท
   • จัดเก็บข้อมูลจราจรทางคอมพิวเตอร์เป็นระยะเวลาอย่างน้อย 90 วัน
   • ติดตั้งอุปกรณ์/ซอฟต์แวร์จัดเก็บ Log (Log Collector)
   • ให้บริการตรวจสอบภัยคุกคามเชิงรุก (Threat Hunting)
   • แจ้งเตือนภัยคุกคามและจัดทำสรุปเหตุการณ์ (Incident Report) ตาม SLA
   • แจ้งข่าวสารช่องโหว่และภัยคุกคามใหม่ๆ ทางอีเมล
   • จัดทำรายงานสรุปสถิติภัยคุกคามประจำเดือน (Monthly Report)

3. บริการทดสอบเจาะระบบและประเมินช่องโหว่ (Penetration Testing and Vulnerability Assessment)

   • ครั้งที่ 1 (ภาคผนวก 3)
     • ดำเนินการตรวจสอบช่องโหว่ (VA) บน VM ไม่น้อยกว่า 70 IP Address โดยใช้ซอฟต์แวร์มาตรฐาน (เช่น Nessus, Qualys)
     • ดำเนินการทดสอบเจาะระบบ (Penetration Testing) แบบ Grey Box บนระบบไม่น้อยกว่า 30 IP Address
     • ให้คำปรึกษาเพื่อปิดช่องโหว่
     • จัดทำรายงานผลการทดสอบและนำเสนอสรุปผล
   • ครั้งที่ 2 (ภาคผนวก 4)
     • ดำเนินการตรวจสอบช่องโหว่ (VA) และทดสอบเจาะระบบ (Penetration Testing) อีกครั้ง หลังจากบริษัทฯ แก้ไขตามผลการทดสอบครั้งที่ 1 แล้ว
     • ตรวจสอบช่องโหว่บน VM ไม่น้อยกว่า 70 IP Address
     • ทดสอบเจาะระบบแบบ Grey Box บนระบบไม่น้อยกว่า 30 IP Address
     • จัดทำแผนปรับปรุงความมั่นคงปลอดภัย (Security Improvement Plan)
     • จัดทำรายงานผลการทดสอบและนำเสนอสรุปผล

• บริการต่อเนื่องตลอดสัญญา (365 วัน):
  • การให้บริการ C-SOC 24/7
  • การให้บริการ Dark Web Threat Intelligence 24/7
  • การแจ้งเตือนและรายงานเหตุการณ์ตาม SLA
• รายงานประจําเดือน:
  • รายงานสรุปผลการตรวจสอบภัยคุกคามจากเว็บมืด (Monthly Dark Web Report)
  • รายงานสรุปสถิติภัยคุกคามจากบริการ C-SOC (Monthly SOC Report)
• รายงานและผลการทดสอบเจาะระบบ/ประเมินช่องโหว่:
  • รายงานผลการทดสอบเจาะระบบและประเมินช่องโหว่ ครั้งที่ 1 (Penetration Testing and Vulnerability Assessment Report - Round 1)
  • รายงานผลการทดสอบเจาะระบบและประเมินช่องโหว่ ครั้งที่ 2 (Penetration Testing and Vulnerability Assessment Report - Round 2)
  • แผนปรับปรุงความมั่นคงปลอดภัย (Security Improvement Plan) (จากครั้งที่ 2)
• การประชุมนำเสนอ:
  • การประชุมสรุปผลรายงาน Dark Web ประจำเดือน
  • การประชุมสรุปผลรายงาน C-SOC ประจำเดือน
  • การประชุมสรุปผลการทดสอบเจาะระบบและประเมินช่องโหว่ ครั้งที่ 1
  • การประชุมสรุปผลการทดสอบเจาะระบบและประเมินช่องโหว่ ครั้งที่ 2

• ระยะเวลาดำเนินโครงการทั้งหมด: 365 วัน (หนึ่งปี) นับถัดจากวันที่ลงนามในสัญญา
• งวดการส่งมอบงานและชำระเงิน:
  • งวดที่ 1 (ภายใน 90 วัน): ส่งมอบงานตามข้อ 4.1 (Dark Web) และ 4.2 (C-SOC) แล้วเสร็จ - ชำระเงิน 30%
  • งวดที่ 2 (ภายใน 180 วัน): ส่งมอบงานตามข้อ 4.1, 4.2 และ 4.3 (Pen Test ครั้งที่ 1) แล้วเสร็จ - ชำระเงิน 20%
  • งวดที่ 3 (ภายใน 270 วัน): ส่งมอบงานตามข้อ 4.1 และ 4.2 แล้วเสร็จ (สำหรับงวดนี้) - ชำระเงิน 30%
  • งวดที่ 4 (ภายใน 365 วัน): ส่งมอบงานตามข้อ 4.1, 4.2 และ 4.4 (Pen Test ครั้งที่ 2) แล้วเสร็จ - ชำระเงิน 20%

คุณสมบัติเฉพาะ:

• มาตรฐานที่ต้องได้รับการรับรอง: ต้องได้รับการรับรองมาตรฐานเกี่ยวกับความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ อย่างน้อย 2 มาตรฐานจากรายการต่อไปนี้:
  • ISO/IEC 27001 : 2022
  • ISO/IEC 20000 - 1
  • ISO/IEC 22301
• ประสบการณ์: ต้องมีประสบการณ์ในโครงการเฝ้าระวังภัยคุกคามทางไซเบอร์ หรือโครงการที่เกี่ยวข้องทางด้านความมั่นคงปลอดภัยไซเบอร์ ให้กับองค์กรเอกชน หรือหน่วยงานภาครัฐ/รัฐวิสาหกิจ หรือธนาคารในประเทศไทย อย่างน้อย 3 โครงการ
• ศูนย์ปฏิบัติการ C-SOC: ต้องมีศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (C-SOC) เป็นของตนเอง

ทีมงานที่ต้องมี (พร้อมหลักฐานคุณสมบัติ):

1. หัวหน้าโครงการ (1 คน):
   • วุฒิการศึกษา: ไม่ต่ำกว่าปริญญาตรี ด้านเทคโนโลยีสารสนเทศหรือสาขาที่เกี่ยวข้อง
   • ใบรับรอง: Information Technology Infrastructure Library Version 4 (ITIL V4)
   • ประสบการณ์: ทำงานด้านเทคโนโลยีสารสนเทศ 6 ปีขึ้นไป
2. ที่ปรึกษาด้านการเฝ้าระวังภัยคุกคามทางไซเบอร์ (1 คน):
   • วุฒิการศึกษา: ไม่ต่ำกว่าปริญญาตรี ด้านเทคโนโลยีสารสนเทศหรือสาขาที่เกี่ยวข้อง
   • ใบรับรอง: Certified Information System Security Professional (CISSP)
   • ประสบการณ์: ทำงานด้านเทคโนโลยีสารสนเทศ 9 ปีขึ้นไป
3. หัวหน้าประจำศูนย์เฝ้าระวังความปลอดภัยทางไซเบอร์ (Head of SOC) (1 คน):
   • วุฒิการศึกษา: ไม่ต่ำกว่าปริญญาตรี ด้านเทคโนโลยีสารสนเทศหรือสาขาที่เกี่ยวข้อง
   • ใบรับรอง: Certified Ethical Hacker (CEH)
   • ประสบการณ์: ทำงานด้านเทคโนโลยีสารสนเทศ 6 ปีขึ้นไป
4. ผู้เชี่ยวชาญด้านการทดสอบเจาะระบบ (1 คน):
   • วุฒิการศึกษา: ไม่ต่ำกว่าปริญญาตรี ด้านเทคโนโลยีสารสนเทศหรือสาขาที่เกี่ยวข้อง
   • ใบรับรอง: Offensive Security Certified Professional (OSCP) หรือ Certified Ethical Hacker (CEH)
   • ประสบการณ์: ทำงานด้านเทคโนโลยีสารสนเทศ 3 ปีขึ้นไป
5. เจ้าหน้าที่ปฏิบัติการและวิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัยทางไซเบอร์ (Security Analyst) ระดับ 2 (2 คน):
   • วุฒิการศึกษา: ไม่ต่ำกว่าปริญญาตรี ด้านเทคโนโลยีสารสนเทศหรือสาขาที่เกี่ยวข้อง
   • ใบรับรอง: CompTIA Cybersecurity Analyst (CompTIA CySA+)
   • ประสบการณ์: ทำงานด้านเทคโนโลยีสารสนเทศ 2 ปีขึ้นไป
6. เจ้าหน้าที่ปฏิบัติการและวิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัยทางไซเบอร์ (Security Analyst) ระดับ 1 (4 คน):
   • วุฒิการศึกษา: ไม่ต่ำกว่าปริญญาตรี ด้านเทคโนโลยีสารสนเทศหรือสาขาที่เกี่ยวข้อง
   • ใบรับรอง: CompTIA Security+
   • ประสบการณ์: ทำงานด้านเทคโนโลยีสารสนเทศ 1 ปีขึ้นไป

บริษัทฯ จะดำเนินการคัดเลือกจากผู้ยื่นข้อเสนอที่เสนอราคาต่ำสุดในระบบ e-GP และมีเอกสารหลักฐานคุณสมบัติของผู้ยื่นข้อเสนอตามที่กำหนดไว้ใน TOR ข้อ 3 (คุณสมบัติพื้นฐาน) และข้อ 9 (คุณสมบัติเฉพาะและทีมงาน) ครบถ้วนถูกต้อง

• Dark Web Threat Intelligence:
  • ต้องใช้เครื่องมือ Threat Intelligence ที่มีลิขสิทธิ์ เช่น Cybersixgill, Recorded Future, Flare, Darktrace หรือเทียบเท่า
  • ตรวจสอบ Assets ของบริษัทฯ บนเว็บมืดไม่น้อยกว่า 70 รายการ (โดเมน, IP, อีเมล, ชื่อระบบ)
  • SLA การแจ้งเตือน: Critical (ภายใน 15 นาที), High (ภายใน 30 นาที), Medium (ภายใน 90 นาที)
• Cyber Security Operation Center (C-SOC):
  • ประมวลผลและวิเคราะห์ Log ขนาด 20 GB ต่อวัน
  • ครอบคลุมอุปกรณ์: Firewall (2), WAF (1), Email Security Gateway (1), VM (35)
  • มีชุดตรวจจับ (Use Case) ครอบคลุมการโจมตีอย่างน้อย 9 ประเภท (ตามรายการในภาคผนวก)
  • จัดเก็บข้อมูลจราจร (Log) อย่างน้อย 90 วัน ตาม พ.ร.บ. คอมพิวเตอร์
  • SLA การแจ้งเตือน: เหมือนกับ Dark Web
• Penetration Testing & Vulnerability Assessment:
  • Vulnerability Assessment (VA):
    • ตรวจสอบช่องโหว่บน VM ไม่น้อยกว่า 70 IP Address ต่อครั้ง
    • ใช้ซอฟต์แวร์มาตรฐานเช่น Nessus, OpenVAS, Burp Suite, Qualys
    • ประเมินความเสี่ยงโดยใช้ CVSS (Common Vulnerability Scoring System)
  • Penetration Testing:
    • ทดสอบเจาะระบบแบบ Grey Box บนระบบไม่น้อยกว่า 30 IP Address ต่อครั้ง
    • อ้างอิงมาตรฐาน OWASP Top 10 เวอร์ชั่นล่าสุด
    • ทดสอบในด้านต่างๆ เช่น Privilege Escalation, API Security, Internal Attack Simulation

• งบประมาณ: ภายในวงเงิน 4,200,000 บาท (รวมภาษีมูลค่าเพิ่มและค่าใช้จ่ายทั้งหมดแล้ว)
• การชำระเงิน: แบ่งเป็น 4 งวด (30%, 20%, 30%, 20%) ตามงวดการส่งมอบงานที่กำหนด โดยบริษัทฯ จะชำระเงินภายใน 30 วันนับจากวันที่ผู้รับจ้างวางบิลเสร็จ
• ค่าปรับ: ในกรณีส่งมอบงานล่าช้า ผู้รับจ้างต้องชำระค่าปรับร้อยละ 0.20 ของราคาค่าจ้างทั้งหมดต่อวัน นับจากวันครบกำหนดส่งมอบ แต่ไม่ต่ำกว่าวันละ 200 บาท จนกว่าผู้ว่าจ้างจะสามารถใช้งานได้ปกติ
• สิทธิ์ยึดหน่วงเงิน: บริษัทฯ อาจใช้สิทธิยึดหน่วงเงินค่าจ้างไว้ได้ หากผู้รับจ้างส่งมอบงานไม่ครบถ้วน ต้องแก้ไข หรือล่าช้า
• หลักประกันสัญญา: ผู้รับจ้างต้องมอบหลักประกันสัญญาในอัตราร้อยละ 5 ของราคาค่าจ้าง (เป็นเงินสดหรือหนังสือค้ำประกันจากธนาคาร)
• สิทธิ์ในข้อมูล: ข้อมูลและเอกสารทั้งหมดที่เกิดจากการจ้างเป็นลิขสิทธิ์ของบริษัท ไทยแลนด์ พริวิเลจ คาร์ด จำกัด แต่เพียงผู้เดียว ห้ามเผยแพร่หรือนำไปใช้โดยไม่ได้รับอนุญาตเป็นหนังสือ
• Service Level Agreement (SLA): ผู้รับจ้างต้องปฏิบัติตามข้อตกลงระดับการให้บริการ (SLA) ที่กำหนดไว้สำหรับบริการ C-SOC และ Dark Web Monitoring ตลอดอายุสัญญา
• เงื่อนไขพิเศษสำหรับ SME: หากผู้ยื่นข้อเสนอที่เป็นวิสาหกิจขนาดกลางและขนาดย่อม (SME) เสนอราคาสูงกว่าราคาต่ำสุดไม่เกินร้อยละ 10 บริษัทฯ จะพิจารณาจัดจ้างจาก SME นั้นก่อน

1. Q: โครงการนี้ต้องการเครื่องมือ Threat Intelligence บน Dark Web แบบใด?
   A: ต้องเป็นเครื่องมือที่มีลิขสิทธิ์ถูกต้องตามกฎหมายและได้รับมาตรฐาน เช่น Cybersixgill, Recorded Future, Flare, Darktrace หรือเครื่องมือที่มีประสิทธิภาพเทียบเท่า

2. Q: บริการ C-SOC ต้องรองรับการจัดเก็บ Log จากอุปกรณ์ใดบ้าง และในปริมาณเท่าไร?
   A: ต้องรองรับการจัดเก็บและวิเคราะห์ Log จาก Firewall 2 เครื่อง, Web Application Firewall 1 เครื่อง, Email Security Gateway 1 เครื่อง และ Virtual Machines (VM) 35 เครื่อง โดยมีปริมาณข้อมูลจราจรประมาณ 20 GB ต่อวัน

3. Q: การทดสอบเจาะระบบ (Penetration Testing) ครั้งที่ 1 และ ครั้งที่ 2 มีความแตกต่างกันอย่างไร?
   A: ครั้งที่ 1 เป็นการทดสอบเพื่อประเมินสถานะความปลอดภัยเบื้องต้น ครั้งที่ 2 จะดำเนินการหลังจากบริษัทเจ้าของโครงการได้ดำเนินการแก้ไขช่องโหว่ตามผลการทดสอบครั้งที่ 1 เสร็จสิ้นแล้ว เพื่อประเมินประสิทธิภาพของการแก้ไขและหาร่องโหว่ที่อาจหลงเหลืออยู่

4. Q: โครงการมีข้อกำหนดเกี่ยวกับการจัดเก็บ Log อย่างไร?
   A: ผู้รับจ้างต้องให้บริการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ (Log) เป็นระยะเวลาอย่างน้อย 90 วัน เพื่อให้เป็นไปตาม требованияของพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560

5. Q: รายงาน Dark Web ประจำเดือนต้องมีเนื้อหาอะไรบ้าง?
   A: ต้องมีเนื้อหาครอบคลุม เช่น สรุปภาพรวมภัยคุกคาม, ผลการตรวจสอบข้อมูลบนเว็บมืดที่เกี่ยวข้องกับบริษัท, ข้อมูลบัญชีผู้ใช้ที่อาจรั่วไหล, การวิเคราะห์กลุ่มผู้โจมตี, การเฝ้าระวังชื่อเสียงองค์กร, ข้อเสนอแนะเชิงเทคนิค และสรุประดับความเสี่ยงประจำเดือน

6. Q: กรณีตรวจพบภัยคุกคามระดับวิกฤต (Critical) บน Dark Web หรือจาก C-SOC จะต้องแจ้งเตือนเมื่อใด?
   A: ต้องแจ้งเตือนไปยังบริษัทฯ ภายใน 15 นาที นับตั้งแต่ตรวจพบเหตุการณ์ และต้องออกรายงานสรุปเหตุการณ์ (Incident Report) ให้แล้วเสร็จภายใน 30 นาที นับตั้งแต่แจ้งเตือน

7. Q: โครงการกำหนดให้มีชุดตรวจจับภัยคุกคาม (Use Case) กี่ประเภทสำหรับบริการ C-SOC?
   A: ต้องมีชุดตรวจจับและตอบสนองเหตุการณ์มาตรฐาน (Standard Use Case) ที่ครอบคลุมการโจมตีอย่างน้อย 9 ประเภท ตามที่ระบุในภาคผนวก เช่น Initial Recon, Ransomware, Privilege Escalation, Malicious Activity เป็นต้น

8. Q: ผู้รับจ้างต้องจัดประชุมกับบริษัทฯ บ่อยแค่ไหน?
   A: ต้องจัดประชุมสรุปรายงานผลการบริการเป็นประจำทุกเดือน สำหรับทั้งบริการ Dark Web Monitoring และบริการ C-SOC และต้องจัดประชุมสรุปผลการทดสอบเจาะระบบและประเมินช่องโหว่ทั้ง 2 ครั้ง แยกต่างหาก

9. Q: หากระหว่างให้บริการ C-SOC เกิดช่องโหว่ร้ายแรง (Critical Vulnerability) ใหม่ในระบบที่เกี่ยวข้อง ผู้รับจ้างมีหน้าที่อย่างไร?
   A: ผู้รับจ้างมีหน้าที่แจ้งข่าวสารซึ่งเกี่ยวข้องกับระบบรักษาความมั่นคงปลอดภัย เช่น ช่องโหว่ใหม่ของอุปกรณ์เครือข่าย ระบบปฏิบัติการ หรือฐานข้อมูล ผ่านทางอีเมลให้บริษัทฯ ทราบ พร้อมคำอธิบายภาพรวมและรายละเอียด

10. Q: การทดสอบเจาะระบบแบบ Grey Box หมายความว่าอย่างไร?
    A: หมายถึงการทดสอบเจาะระบบที่ผู้ทดสอบได้รับข้อมูลบางส่วนของระบบเพื่อใช้ในการทดสอบ เช่น บัญชีผู้ใช้ทั่วไปหรือข้อมูลพื้นฐานเกี่ยวกับโครงสร้างระบบ ซึ่งช่วยในการจำลองการโจมตีจากบุคคลภายในที่มีสิทธิ์เข้าถึงระบบในระดับหนึ่ง

THAILAND PRIVILEGE
ขอบเขตการดําเนินงาน (Terms of Reference: TOR)
ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์

1. หลักการและเหตุผล
   ในปัจจุบัน ภัยคุกคามทางไซเบอร์มีแนวโน้มทวีความซับซ้อนมากขึ้น โดยเฉพาะการเผยแพร่ข้อมูลที่รั่วไหล หรือถูกโจรกรรมไปยังแหล่งข้อมูลใต้ดิน เช่น เว็บมีด (Dark Web) หรือฟอรั่มใต้ดิน (Underground Forums) ซึ่งมักใช้เป็นช่องทางซื้อขายหรือแลกเปลี่ยนข้อมูลที่ได้มาโดยมิชอบ เช่น ข้อมูลบัญชีผู้ใช้ (Credentials), ข้อมูลส่วนบุคคลของลูกค้า, ข้อมูลทางการเงิน รวมถึงข้อมูลระบบสารสนเทศขององค์กร
   บริษัท ไทยแลนด์ พริวิเลจ คาร์ด จํากัด ตระหนักถึงความเสี่ยงที่อาจเกิดขึ้นจากการเผยแพร่ข้อมูลดังกล่าว ซึ่งอาจส่งผลกระทบต่อความเชื่อมั่นของลูกค้า ชื่อเสียงขององค์กร ตลอดจนความต่อเนื่องทางธุรกิจ จึงมีความจําเป็นต้องดําเนินการตรวจสอบและเฝ้าระวังภัยคุกคามจากเว็บมีดอย่างต่อเนื่อง รวมถึงจัดหาบริการ ศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security Operation Center : C-SOC) เพื่อให้สามารถตรวจพบการรั่วไหลของข้อมูลได้ในระยะเริ่มต้น และสามารถวิเคราะห์แนวโน้มการคุกคาม
   ได้อย่างเป็นระบบ
2. วัตถุประสงค์
   2.1 เพื่อประเมินความเสี่ยงและตรวจสอบช่องโหว่ระบบสารสนเทศภายในบริษัทฯ และแนะนํา
   แนวทางการปรับปรุงแก้ไข
   2.2 เพื่อจัดหาบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security Operation Center : C-SOC) เพื่อให้สามารถตรวจพบการรั่วไหลของข้อมูลได้ในระยะเริ่มต้น และ สามารถวิเคราะห์แนวโน้มการคุกคามได้อย่างเป็นระบบ
   2.3 เพื่อเฝ้าระวัง ตรวจสอบ และวิเคราะห์ข้อมูลที่เกี่ยวข้องกับบริษัทฯ ซึ่งอาจปรากฏอยู่ในแหล่งข้อมูล ใต้ดิน เช่น เว็บมีด (Dark Web), ฟอรั่มใต้ดิน (Underground Forums) หรือเว็บไซต์ที่ใช้เผยแพร่ ข้อมูลรั่วไหล (Paste Sites)
   2.4 เพื่อเสริมสร้างขีดความสามารถของบริษัทฯ ในการตรวจจับและตอบสนองต่อเหตุการณ์ข้อมูล รั่วไหลเชิงรุก (Proactive Incident Response) และลดผลกระทบที่อาจเกิดขึ้นต่อชื่อเสียง และความเชื่อมั่นขององค์กร
   voueamaṁuüuanu (Terms of Reference: TOR)
   ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์ หน้าที่ 1 จาก 3
   THAILAND PRIVILEGE
3. คุณสมบัติของผู้ยื่นข้อเสนอ
   3.1 มีความสามารถตามกฎหมาย 3.2 ไม่เป็นบุคคลล้มละลาย
   3.3 ไม่อยู่ระหว่างการเลิกกิจการ
   3.4 ไม่เป็นบุคคลหรือนิติบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐ ไว้ชั่วคราว เนื่องจากเป็นผู้ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบ
   ที่รัฐมนตรีว่าการกระทรวงการคลังกําหนดตามที่ประกาศเผยแพร่ ในระบบเครือข่ายสารสนเทศ
   ของกรมบัญชีกลาง
   3.5 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงาน
   ของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วน ผู้จัดการกรรมการผู้จัดการ ผู้บริหาร ผู้มีอํานาจในการดําเนินงานในกิจการของนิติบุคคลนั้นด้วย 3.6 เป็นผู้มีอาชีพรับจ้างงานในงานจ้างที่ประกวดราคาอิเล็กทรอนิกส์นี้
   3.7 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหาร
   พัสดุภาครัฐกําหนดในราชกิจจานุเบกษา
   3.8 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอราคารายอื่นที่เข้าเสนอราคาให้แก่บริษัท ไทยแลนด์
   พริวิเลจ คาร์ด จํากัด หรือกระทําการอันเป็นการขัดขวางการแข่งขันราคาอย่างเป็นธรรม
   3.9 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกันซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้ยื่น
   ข้อเสนอได้มีคําสั่งให้สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
   3.10 ผู้ยื่นข้อเสนอต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (Electronic Government
   Procurement : e-GP) ของกรมบัญชีกลางที่เว็บไซต์ศูนย์ข้อมูลจัดซื้อจัดจ้างภาครัฐ 3.11 ไม่เป็นผู้ซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐไว้ชั่วคราวเนื่องจาก เป็นผู้ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังกําหนดตามประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
   3.12 ผู้ที่จะเข้าร่วมเป็นคู่สัญญาต้องไม่อยู่ในฐานะเป็นผู้ไม่แสดงบัญชีรายรับรายจ่าย หรือแสดงบัญชีรายรับ
   รายจ่ายไม่ถูกต้องในสาระสําคัญ
   ขอบเขตการดําเนินงาน (Terms of Reference: TOR)
   ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์ หน้าที่ 2 จาก 9
   :
   THAILAND) PRIVILEGE
4. ขอบเขตการดําเนินการและการให้บริการ
   4.1 ผู้รับจ้างจะต้องให้บริการตรวจสอบภัยคุกคามจากเว็บมืด (Dark Web Threat intelligence) ในลักษณะ 24 ชั่วโมง 7 วัน ต่อสัปดาห์ ตลอดอายุสัญญาจ้าง โดยมีเนื้อหาปรากฏตาม
   เอกสารภาคผนวก 1
   4.2 ผู้รับจ้างจะต้องให้บริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security Operation Center : C-SOC) ในลักษณะ 24 ชั่วโมง 7 วัน ต่อสัปดาห์ตลอดอายุสัญญาจ้าง โดยมีเนื้อหาปรากฏตาม เอกสารภาคผนวก 2
   4.3 ทดสอบเจาะระบบและประเมินช่องโหว่ระบบสารสนเทศของบริษัทฯ (Penetration Testing and
   Vulnerability Assessment) ครั้งที่ 1 โดยมีเนื้อหาปรากฏตาม เอกสารภาคผนวก 3
   4.4 ทดสอบเจาะระบบและประเมินช่องโหว่ระบบสารสนเทศของบริษัทฯ (Penetration Testing and
   Vulnerability Assessment) ครั้งที่ 2 โดยมีเนื้อหาปรากฏตาม เอกสารภาคผนวก 4
5. ระยะเวลาดําเนินการ
   ระยะเวลา 365 (สามร้อยหกสิบห้า) วัน นับถัดจากวันที่ลงนามในสัญญา
6. การส่งมอบงานและชําระเงิน
   บริษัทฯ กําหนดการส่งมอบงานและชําระเงินออกเป็น 4 (สี่) งวด ดังนี้
   งวดงานที่ 1 ภายในระยะเวลา 90 วัน นับถัดจากวันที่ลงนามในสัญญา บริษัทฯ จะชําระค่าบริการเป็น จํานวนร้อยละ 30 ของค่าจ้างทั้งหมด ภายหลังจากผู้ยื่นข้อเสนอ ได้ดําเนินการตามข้อ 4.1 ถึงข้อ 4.2 แล้วเสร็จ และได้ส่งมอบรายงานในรูปแบบไฟล์อิเล็กทรอนิกส์ พร้อมกับผ่านการตรวจรับงานของคณะกรรมการ
   ตรวจรับพัสดุเป็นที่เรียบร้อยแล้ว
   งวดงานที่ 2 ภายในระยะเวลา 180 วัน นับถัดจากวันที่ลงนามในสัญญา บริษัทฯ จะชําระค่าบริการเป็น จํานวนร้อยละ 20 ของค่าจ้างทั้งหมด ภายหลังจากผู้ยื่นข้อเสนอ ได้ดําเนินการตามข้อ 4.1 ถึงข้อ 4.2 และข้อ 4.3 แล้วเสร็จ และได้ส่งมอบรายงานในรูปแบบไฟล์อิเล็กทรอนิกส์ พร้อมกับผ่านการตรวจรับงานของคณะกรรมการ
   ตรวจรับพัสดุเป็นที่เรียบร้อยแล้ว
   งวดงานที่ 3 ภายในระยะเวลา 270 วัน นับถัดจากวันที่ลงนามในสัญญา บริษัทฯ จะชําระค่าบริการเป็น จํานวนร้อยละ 30 ของค่าจ้างทั้งหมด ภายหลังจากผู้ยื่นข้อเสนอ ได้ดําเนินการตามข้อ 4.1 ถึงข้อ 4.2 แล้วเสร็จ และได้ส่งมอบรายงานในรูปแบบไฟล์อิเล็กทรอนิกส์ พร้อมกับผ่านการตรวจรับงานของคณะกรรมการ
   ตรวจรับพัสดุเป็นที่เรียบร้อยแล้ว
   ขอบเขตการดําเนินงาน (Terms of Reference: TOR)
   ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์ หน้าที่ 3 จาก 9
   THAILAND
   PRIVILEGE
   งวดงานที่ 4 ภายในระยะเวลา 365 วัน นับถัดจากวันที่ลงนามในสัญญา บริษัทฯ จะชําระค่าบริการเป็น จํานวนร้อยละ 20 ของค่าจ้างทั้งหมด ภายหลังจากผู้ยื่นข้อเสนอ ได้ดําเนินการตามข้อ 4.1 ถึงข้อ 4.2 และข้อ 4.4 แล้วเสร็จ และได้ส่งมอบรายงานในรูปแบบไฟล์อิเล็กทรอนิกส์ พร้อมกับผ่านการตรวจรับงานของคณะกรรมการ
   ตรวจรับพัสดุเป็นที่เรียบร้อยแล้ว
   ทั้งนี้ บริษัทฯ จะชําระเงินตามงวดที่ 1 - งวดที่ 4 ดังกล่าวข้างต้น ให้แก่ผู้ยื่นข้อเสนอภายในกําหนด 30 (สามสิบ) วันนับจากวันที่ผู้ยื่นข้อเสนอได้วางบิลเสร็จเรียบร้อยแล้ว นอกจากนี้ ในการชําระค่าจ้างดังกล่าว บริษัทฯ อาจใช้สิทธิยึดหน่วงเงินค่าจ้างไว้ก็ได้ หากผู้ยื่นข้อเสนอไม่สามารถส่งมอบงานให้แก่บริษัทฯ ได้ครบถ้วน หรือส่งมอบครบถ้วน แต่จําเป็นต้องมีการแก้ไข หรือไม่เป็นไปตามกําหนดเวลาการส่งมอบงานที่กําหนดไว้
   และจะจ่ายต่อเมื่อผู้ยื่นข้อเสนอได้แก้ไขงานเสร็จสิ้นพร้อมกับส่งมอบงานให้แก่บริษัทฯ ครบถ้วนสมบูรณ์
7. งบประมาณ
   ภายในกรอบวงเงินงบประมาณ 4,200,000 บาท (สี่ล้านสองแสนบาทถ้วน) ซึ่งได้รวมภาษีมูลค่าเพิ่ม ตลอดจนภาษีอากรอื่นๆ และค่าใช้จ่ายทั้งปวงด้วยแล้ว 8. เงื่อนไข ข้อกําหนด และวิธีการจัดจ้าง
   8.1 หากผู้ยื่นข้อเสนอซึ่งเป็นผู้ประกอบการประเภทวิสาหกิจขนาดกลางและขนาดย่อม (SMEs) เสนอราคาสูงกว่าราคาต่ําสุดของผู้ยื่นข้อเสนอรายอื่นที่ไม่เกินร้อยละ 10 บริษัทฯ จะพิจารณาจัดจ้าง จากผู้ประกอบการ SMEs ดังกล่าว โดยจัดเรียงลําดับผู้ยื่นข้อเสนอซึ่งเป็นผู้ประกอบการประเภท วิสาหกิจขนาดกลางและขนาดย่อม (SMEs) ซึ่งเสนอราคาสูงกว่าราคาต่ําสุดของผู้ยื่นข้อเสนอรายอื่น ไม่เกินร้อยละ 10 การพิจารณาผลตามเงื่อนไขเอกสารประกวดราคาดังกล่าว บริษัทฯ จะพิจารณาจาก เอกสารสําเนาใบขึ้นทะเบียนผู้ประกอบการประเภทวิสาหกิจขนาดกลางและขนาดย่อม (SMEs)
   เท่านั้น
   8.2 หากผู้ยื่นข้อเสนอซึ่งมิใช่ผู้ประกอบการประเภทวิสาหกิจขนาดกลางและขนาดย่อม (SMEs) แต่เป็นบุคคลธรรมดาที่ถือสัญชาติไทยหรือนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยเสนอราคาสูงกว่า ราคาต่ําาสุดของผู้ยื่นข้อเสนอซึ่งเป็นบุคคลธรรมดาที่มิได้ถือสัญชาติไทยหรือนิติบุคคลที่จัดตั้งขึ้น ตามกฎหมายของต่างประเทศไม่เกินร้อยละ 3 บริษัทฯ จะพิจารณาจัดจ้างจากผู้ยื่นข้อเสนอ ซึ่งเป็นบุคคลธรรมดาที่ถือสัญชาติไทย หรือนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย
   ขอบเขตการดําเนินงาน (Terms of Reference: TO}
   ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์
   หน้าที่ 4 จาก 3
   THAILAND
   PRIVILEGE
8. คุณสมบัติเฉพาะและทีมงานของผู้ยื่นข้อเสนอ
   9.1 คุณสมบัติเฉพาะ
   9.1.1 ผู้ยื่นข้อเสนอต้องได้รับการรับรองมาตรฐานเกี่ยวกับความมั่นคงปลอดภัยด้านเทคโนโลยี
   สารสนเทศ อย่างใดอย่างหนึ่ง อย่างน้อย 2 มาตรฐาน ดังต่อไปนี้
   9.1.1.1 ISO/IEC 27001 : 2022
   9.1.1.2 ISO/IEC 20000 - 1
   9.1.1.3 ISO/IEC 22301
   5
   9.1.2 ผู้ยื่นข้อเสนอต้องมีประสบการณ์ โครงการเฝ้าระวังภัยคุกคาทางไซเบอร์ หรือโครงการ ที่เกี่ยวข้องทางด้านความมั่นคงปลอดภัยไซเบอร์ ให้กับองค์กรเอกชน หรือหน่วยงานภาครัฐ / รัฐวิสาหกิจ หรือธนาคารในประเทศไทย อย่างน้อย 3 โครงการ โดยผู้ยื่นข้อเสนอต้องแนบ หนังสือรับรองผลงาน หรือสําเนาสัญญาโครงการ มาในวันที่ยื่นเสนอราคาด้วย
   9.1.3 ผู้ยื่นข้อเสนอจะต้องมีศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security Operation Center : C-SOC) ทั้งนี้ให้แนบเอกสารรับรอง หรือเอกสารยืนยันการปฏิบัติการ ดังกล่าวมาในวันที่ยื่นเสนอราคาด้วย
   9.2 ทีมงานของผู้ยื่นข้อเสนอ
   9.2.1 ผู้ยื่นข้อเสนอจะต้องนําเสนอทีมงานที่มาปฏิบัติงานในโครงการ พร้อมเอกสารหลักฐานที่แสดง คุณสมบัติ แต่ละหัวข้ออย่างชัดเจน เพื่อให้มั่นใจว่าผู้ยื่นข้อเสนอมีบุคลากรที่มีความรู้ ความเชี่ยวชาญ และประสบการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ ซึ่งครอบคลุมการ ปฏิบัติงานศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (C-SOC) การทดสอบเจาะ ระบบ และประเมินช่องโหว่ระบบสารสนเทศของบริษัทฯ (Penetration Testing and Vulnerability Assessment) และการติดตามภัยคุกคามบนดาร์กเว็บ (Dark Web) ที่สามารถวิเคราะห์ และตอบสนองต่อภัยคุกคามได้อย่างถูกต้อง ทันท่วงที และเป็นไปตาม มาตรฐานสากล ซึ่งเป็นสิ่งสําคัญสําหรับความมั่นคงปลอดภัยทางสารสนเทศของบริษัทฯ
   ทั้งนี้กําหนดให้ผู้ยื่นข้อเสนอแนบมาในวันที่ยื่นเสนอราคา โดยจะต้องประกอบไปด้วย
   อย่างน้อยดังต่อไปนี้
   9.2.1.1 หัวหน้าโครงการ จํานวน 1 คน
   9.2.1.1.1 วุฒิการศึกษา
   ไม่ต่ํากว่าระดับปริญญาตรี ด้านเทคโนโลยีสารสนเทศ หรือสาขาที่เกี่ยวข้อง
   ขอบเขตการดําเนินงาน (Terms of Reference : TOR)
   ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์ หน้าที่ 5 จาก 9
   THAILAND PRIVILEGE
   9.2.1.1.2 ใบรับรองความรู้ความสามารถ (Certificate)
   : Information Technology infrastructure Library Version 4 (ITIL V4)
   9.2.1.1.3 ประสบการณ์ทํางาน
   : ทํางานด้านเทคโนโลยีสารสนเทศ 6 ปี ขึ้นไป
   9.2.1.2 ที่ปรึกษาด้านการเฝ้าระวังภัยคุกคามทางไซเบอร์ จํานวน 1 คน
   9.2.1.2.1 วุฒิการศึกษา
   :
   ไม่ต่ํากว่าระดับปริญญาตรี ด้านเทคโนโลยีสารสนเทศ หรือสาขาที่เกี่ยวข้อง
   9.2.1.2.2 ใบรับรองความรู้ความสามารถ (Certificate)
   : Certified Information System Security Professional (CISSP)
   9.2.1.2.3 ประสบการณ์ทํางาน
   ทํางานด้านเทคโนโลยีสารสนเทศ 9 ปี ขึ้นไป
   9.2.1.3 หัวหน้าประจําศูนย์เฝ้าระวังความปลอดภัยทางไซเบอร์ (Head of SOC) จํานวน 1 คน
   9.2.1.3.1 วุฒิการศึกษา

• ไม่ต่ํากว่าระดับปริญญาตรี ด้านเทคโนโลยีสารสนเทศ หรือสาขาที่เกี่ยวข้อง
  9.2.1.3.2 ใบรับรองความรู้ความสามารถ (Certificate)
  : Certified Ethical Hacker (CHE)
  9.2.1.3.3 ประสบการณ์ทํางาน
• ทํางานด้านเทคโนโลยีสารสนเทศ 6 ปี ขึ้นไป
  9.2.1.4 ผู้เชี่ยวชาญด้านการทดสอบเจาะระบบ จํานวน 1 คน
  9.2,1.4.1 วุฒิการศึกษา
  :
• ไม่ต่ํากว่าระดับปริญญาตรี ด้านเทคโนโลยีสารสนเทศ หรือสาขาที่เกี่ยวข้อง
  9.2.1.4.2 ใบรับรองความรู้ความสามารถ (Certificate)
  : Offensive Security Certified Professional (OSCP)
  หรือ Certifier Ethical Hacker {CHE)
  9.2.1.4.3 ประสบการณ์ทํางาน
  : ทํางานด้านเทคโนโลยีสารสนเทศ 3 ปี ขึ้นไป
  ขอบเขตการดําเนินงาน (Terms of Reference: TOR)
  ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์ หน้าที่ 6 จาก 9
  THAILAND PRIVILEGE
  9.2.1.5 เจ้าหน้าที่ปฏิบัติการและวิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัยทางไซเบอร์
  (Security Analyst) ระดับ 2 จํานวน 2 คน
  9.2.1.5.1 วุฒิการศึกษา
• ไม่ต่ํากว่าระดับปริญญาตรี ด้านเทคโนโลยีสารสนเทศ หรือสาขาที่เกี่ยวข้อง 9.2.1.5.2 ใบรับรองความรู้ความสามารถ (Certificate)
  : CompTIA Cybersecurity Analyst (CompTIA CySA+)
  9.2.1.5.3 ประสบการณ์ทํางาน
  : ทํางานด้านเทคโนโลยีสารสนเทศ 2 ปี ขึ้นไป
  9.2.1.6 เจ้าหน้าที่ปฏิบัติการและวิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัยทางไซเบอร์
  (Security Analyst) ระดับ 1 จํานวน 4 คน
  9.2.1.6.1 วุฒิการศึกษา
• ไม่ต่ํากว่าระดับปริญญาตรี ด้านเทคโนโลยีสารสนเทศ หรือสาขาที่เกี่ยวข้อง
  9.2.1.6.2 ใบรับรองความรู้ความสามารถ (Certificate)
  : CompTIA Security+
  9.2.1.6.3 ประสบการณ์ทํางาน

10. การพิจารณาผู้ได้รับคัดเลือก
    : ทํางานด้านเทคโนโลยีสารสนเทศ 1 ปี ขึ้นไป
    บริษัทฯ จะดําเนินการคัดเลือกจากผู้ยื่นข้อเสนอที่เสนอราคาต่ําสุด ในระบบจัดซื้อจัดจ้างภาครัฐ (e-GP) และมีเอกสารหลักฐานคุณสมบัติของผู้ยื่นข้อเสนอที่กําหนดไว้ในขอบเขตการดําเนินงาน (Term of Reference : TOR) ข้อ 3. (คุณสมบัติของผู้ยื่นข้อเสนอ) และข้อ 9. (คุณสมบัติเฉพาะและทีมงานของผู้ยื่นข้อเสนอ) ครบถ้วนถูกต้อง 11. สถานที่ปฏิบัติงานและส่งมอบงาน
    บริษัท ไทยแลนด์ พริวิเลจ คาร์ด จํากัด (สํานักงานใหญ่) เลขที่ 110/2 ถนนสาทรเหนือ แขวงสีลม
    เขตบางรัก กรุงเทพมหานคร (10500) 12. การสงวนสิทธิ์
    12.1 ข้อมูลทั้งหมดที่เกิดจากการจ้าง รวมถึงเอกสารทั้งหมด โครงการนี้เป็นลิขสิทธิ์ของบริษัท ไทยแลนด์ พริวิเลจ คาร์ด จํากัด แต่เพียงผู้เดียว ห้ามมิให้คู่สัญญานําข้อมูลใดๆ ที่ได้รับหรือจัดทําขึ้น ไปเผยแพร่โดยมิได้รับความเห็นชอบเป็นหนังสือจากบริษัทฯ
    12.2 ห้ามมิให้นําข้อมูลที่เกิดจากการดําเนินงานและประมวลผลทั้งหมด ไปทําซ้ํา เผยแพร่ หรือวิเคราะห์
    ประมวลผลเพื่อการอื่นใด ซึ่งถือว่าการกระทําดังกล่าวเป็นการกระทําที่ผิดกฎหมาย
    ขอบเขตการดําเนินงาน (Termis of Reference: TOR}
    ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์ หน้าที่ 7 จาก 3
    THAILAND) PRIVILEGE
11. เงื่อนไขอื่น ๆ
    13.1 ผู้ยื่นข้อเสนอจะต้องทําความเข้าใจเอกสารทุกฉบับของการจัดจ้างครั้งนี้อย่างชัดแจ้ง และไม่ว่ากรณีใดๆ ผู้ยื่นข้อเสนอจะยกขึ้นเป็นข้ออ้างโดยอาศัยเหตุผลจากการที่ละเลยไม่ทําความเข้าใจในข้อความ
    ดังกล่าว หรือละเลยไม่ปฏิบัติตามข้อความนั้น หรือโดยอ้างความสําคัญผิดในความหมาย ของข้อความในการจัดจ้างนั้นไม่ได้ และหากต้องการทราบข้อมูลใดๆ เพิ่มเติมให้สอบถามมายัง บริษัท ไทยแลนด์ พริวิเลจ คาร์ด จํากัด ได้ก่อนวันยืนยันเอกสารประกวดราคาภายในวัน และเวลาราชการ 13.2 การตีความในกรณีที่ข้อความหรือรายการหนึ่งรายการใดในขอบเขตการดําเนินงาน (Terms of Referenced : TOR) ที่ไม่สมบูรณ์ ตกหล่น หรือพิมพ์ผิด หรือขัดแย้งกันเอง ที่มิใช่สาระสําคัญ อันอาจส่งผลถึงประสิทธิภาพการทํางานโดยรวม ให้อยู่ในดุลพินิจของคณะกรรมการตรวจการจ้าง ในการแก้ไขปรับปรุงให้ถูกต้องได้ ทั้งนี้โดยยึดประโยชน์สูงสุดของบริษัท ไทยแลนด์ พริวิเลจ คาร์ด จํากัด
    เป็นหลัก
12. เงื่อนไขการให้บริการตามข้อตกลงระดับการให้บริการ (Service Level Agreement : SLA)
    ผู้รับจ้างต้องปฏิบัติตามข้อตกลงระดับการให้บริการ (Service Level Agreement : SLA) ในการให้บริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security Operation Center : C-SOC) และการตรวจสอบ ติดตาม และวิเคราะห์ภัยคุกคามจากเว็บมีด (Dark Web Threat Intelligence) ตลอดอายุสัญญาจ้าง ตามรายละเอียดเงื่อนไข ระยะเวลาการแจ้งเตือน การตอบสนองต่อเหตุการณ์ และการรายงานผล ตามที่กําหนดไว้ในเอกสารภาคผนวกข้อ 4.1 และ 4.2 (ขอบเขตการดําเนินการและการให้บริการ) ทั้งนี้หากผู้รับจ้างไม่สามารถให้บริการตามข้อตกลงระดับการให้บริการ (SLA) ที่กําหนดไว้ ให้ถือว่า เป็นการไม่ปฏิบัติตามเงื่อนไขของสัญญา ซึ่งบริษัทฯ มีสิทธิเรียกร้องค่าปรับ ค่าเสียหาย หรือใช้สิทธิ
    ตามที่กําหนดไว้ในขอบเขตการดําเนินงานและสัญญาทุกประการ
13. อัตราค่าปรับ
    ธีอื่นใด
    ในกรณีผู้ยื่นข้อเสนอไม่สามารถส่งมอบงานได้ตามข้อกําหนดและเงื่อนไขในสัญญา และบริษัทฯ ยังมิได้บอก เลิกสัญญา ผู้ยื่นข้อเสนอจะต้องชําระค่าปรับเป็นรายวันในอัตราร้อยละ 0.20 (ศูนย์จุดสองศูนย์) ของราคาค่าจ้าง
    ทั้งหมดนับจากวันครบกําหนดส่งมอบงานจนถึงวันที่ผู้ว่าจ้างสามารถใช้งานในระบบงานและระบบฐานข้อมูล
    ได้เป็นปกติ แต่ต้องไม่ต่ํากว่าวันละ 200 บาท และหากผู้ยื่นข้อเสนอไม่สามารถแก้ไขความขัดข้องได้ ผู้ยื่นข้อเสนอ
    จะต้องจัดหาบริการจากผู้ยื่นข้อเสนอรายอื่นมาทดแทนในระหว่างที่ยังไม่สามารถแก้ไขข้อขัดข้องได้
    และหากผู้ยื่นข้อเสนอไม่สามารถจัดหาผู้ยื่นข้อเสนอรายอื่นได้ จะไม่ตัดสิทธิในการที่ผู้ว่าจ้างในการจะจัดหา ผู้ยื่นข้อเสนอรายอื่นมาให้บริการแทนผู้ยื่นข้อเสนอได้ ทั้งนี้ ค่าใช้จ่ายที่เกิดขึ้นจากการหาผู้ยื่นข้อเสนอรายอื่น
    ดังกล่าว ผู้ยื่นข้อเสนอตกลงจะเป็นผู้รับผิดชอบค่าใช้จ่ายทั้งหมดด้วยตนเองทั้งสิ้น
    ขอบเขตการดําเนินงาน (Terms of Reference: TOR)
    ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์ หน้าที่ 8 จาก 9
    THAILAND PRIVILEGE
14. หลักประกันสัญญา
    ผู้รับจ้างจะต้องนําหลักประกันในอัตราร้อยละ 5 (ห้า) ของราคาค่าจ้าง โดยเป็นเงินสดหรือหนังสือ ค้ําประกันจากธนาคาร มามอบให้แก่ผู้ว่าจ้าง เพื่อเป็นหลักประกันในการปฏิบัติตามสัญญา และหลักประกัน จะต้องมีอายุครอบคลุมความรับผิดทั้งปวงตลอดอายุสัญญา ผู้ว่าจ้างจะคืนหลักประกันสัญญาให้แก่ผู้รับจ้าง เมื่อพ้นจากข้อผูกพันและความรับผิดทั้งปวงตามสัญญาแล้ว
15. หน่วยงาน รับผิดชอบโครงการ
    แผนกเทคโนโลยีสารสนเทศ ฝ่ายบริหารข้อมูลและสารสนเทศ บริษัท ไทยแลนด์ พริวิเลจ คาร์ด จํากัด
    โทรศัพท์ 02 – 353 - 4071-73, 4075-77
    A
    โทรสาร 02 – 353 - 4003
    ขอบเขตการดําเนินงาน (Terms of Reference: TOR)
    ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์
    หน้าที่ 9 จาก 9
    THAILAND
    PRIVILEGE
    ภาคผนวก 1
    ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์
    พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์
16. ผู้รับจ้างจะต้องให้บริการตรวจสอบภัยคุกคามจากเว็บมีด (Dark Web Threat inteligence) ในลักษณะ 24 ชั่วโมง 7 วัน
    ต่อสัปดาห์ตลอดอายุสัญญาจ้าง โดยมีเนื้อหาประกอบไปด้วยอย่างน้อยดังนี้
    1.1 การรวบรวมและวิเคราะห์ภัยคุกคามจากเว็บมีด (Dark Web intelligence Collection)
    1.1.1 ใช้เครื่องมือ Threat Intelligence ที่มีลิขสิทธิ์ (เช่น Cybersixgill, Recorded Future, Flare,
    Darktrace, หรือเทียบเท่า) เพื่อค้นหาการรั่วไหลของข้อมูลบริษัทฯ
    1.1.2 ตรวจสอบการปรากฏของโดเมน, IP, อีเมล, และชื่อระบบ (Assets) ของบริษัทฯ บนเว็บมีด
    จํานวนไม่น้อยกว่า 70 Assets
    1.1.3 วิเคราะห์โพสต์ การขายข้อมูล หรือ Credentials ที่อาจเชื่อมโยงกับองค์กร 1.2 การตรวจสอบและติดตามการรั่วไหลของข้อมูล (Credential & Data Leakage Monitoring)
    1.2.1 ตรวจสอบฐานข้อมูลรั่วไหล (Data Breach Dumps) ว่ามีข้อมูลอีเมล/รหัสผ่านของพนักงานหรือไม่ 1.2.2 ตรวจสอบว่ามีการขายหรือแจกข้อมูลลูกค้า, ข้อมูลทางการเงิน, หรือเอกสารของบริษัทฯ หรือไม่ 1.3 การรวบรวม วิเคราะห์ และจัดทําข้อมูลประวัติของกลุ่มภัยคุกคาม (Threat Actor Profiting)
    1.3.1 วิเคราะห์ผู้ที่อ้างว่ามีข้อมูลบริษัทฯ เพื่อยืนยันความน่าเชื่อถือ
    1.3.2 วิเคราะห์ลักษณะกลุ่มผู้โจมตี (TTPS - Tactics, Techniques, Procedures) เพื่อใช้ปรับปรุงแผนรับมือ 1.4 การเฝ้าระวังและปกป้องชื่อเสียงองค์กร (Brand and Executive Protection)
    1.4.1 เฝ้าระวังการแอบอ้างชื่อบริษัทฯ หรือผู้บริหารบนเว็บมีด
    1.4.2 ตรวจสอบโดเมนหรือเว็บไซต์ปลอม (Phishing/Malware Sites)
    ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์
    หน้าที่ 1 จาก 3
    THAILAND
    PRIVILEGE
17. ผู้รับจ้างจะต้องให้บริการแจ้งเตือนภัยคุกคามด้านความมั่นคงปลอดภัยทางไซเบอร์ สําหรับเหตุการณ์ที่อยู่ใน ขอบข่ายภัยคุกคาม ทางไซเบอร์ พร้อมจัดทําสรุปเหตุการณ์ (Incident Report) ซึ่งมีข้อมูลที่ครบถ้วน พร้อม คําแนะนําในการแก้ไขปัญหา โดยจะต้องแจ้งเตือนผ่านทางอีเมล หรือทางโทรศัพท์ หรือช่องทางอื่นใดตามที่ตกลง ร่วมกันกับผู้ว่าจ้าง ตาม Severity Level Agreement (SLA) อย่างน้อยดังต่อไปนี้
    ระดับเหตุการณ์ วิกฤต (Critical)
    สูง (High)
    กลาง (Medium)}
    ต๋า (Low)
    การแจ้งเตือน
    การออกรายงาน
    ภายใน 15 นาที นับตั้งแต่พบเหตุ 30 นาที นับตั้งแต่แจ้งเตือน ภายใน 30 นาที นับตั้งแต่พบเหตุ
    60 นาที นับตั้งแต่แจ้งเตือน
    ภายใน 90 นาที นับตั้งแต่พบเหตุ
    สรุปรายงานภายใน 24 ชั่วโมง
18. ผู้รับจ้างจะต้องจัดทํารายงานประจําเดือนเพื่อสรุปผลการตรวจสอบภัยคุกคามจากเว็บมีด และเสนอแนวทาง
    การป้องกันเชิงรุก โดยมีเนื้อหาประกอบไปด้วยอย่างน้อยดังนี้
    3.1 สรุปภาพรวมภัยคุกคามประจําเดือน (Monthly Threat Overview)
    3.1.1 สรุปสถานการณ์ภัยคุกคามทางไซเบอร์ที่ตรวจพบในช่วงเดือนนั้น
    3.1.2 แนวโน้ม (Trend) และรูปแบบการโจมตีที่เกี่ยวข้องกับภาคธุรกิจลักษณะเดียวกับบริษัทฯ 3.1.3 การเปรียบเทียบระดับความเสี่ยงกับเดือนก่อนหน้า
    3.2 ผลการตรวจสอบข้อมูลบนเว็บมืด (Dark Web Monitoring Results)
    3.2.1 รายการข้อมูลที่ตรวจพบว่าเกี่ยวข้องกับบริษัทฯ เช่น ชื่อโดเมน อีเมล หรือ IP Address ที่ปรากฏบนเว็บมืด, การโพสต์หรือประกาศขายข้อมูล (Data Dump / Leak), f การแอบอ้างชื่อ
    องค์กรหรือแบรนด์ของบริษัทฯ
    3.2.2 รายละเอียดแหล่งที่มาของข้อมูล (Source / URL / Platform ที่ตรวจพบ) 3.2.3 ระดับความเชื่อมั่นของข้อมูล (Confidence Level : High / Medium / Low) 3.3 ข้อมูลบัญชีผู้ใช้หรือข้อมูลลูกค้าที่อาจรั่วไหล (Credential and Data Leak Findings)
    3.3.1 รายการอีเมลของพนักงานที่ปรากฏในฐานข้อมูลรั่วไหล
    3.3.2 การวิเคราะห์ความเชื่อมโยงระหว่างข้อมูลรั่วไหลกับระบบของบริษัทฯ 3.3.3 การประเมินผลกระทบเบื้องต้นและข้อเสนอแนะแนวทางแก้ไข
    ภาคผนวก 1
    ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์
    หน้าที่ 2 จาก 3
    THAILAND PRIVILEGE
    3.4 การวิเคราะห์ผู้โจมตีหรือกลุ่มผู้ไม่หวังดี (Threat Actor Analysis)
    3.4.1 ข้อมูลของกลุ่มหรือบุคคลที่เกี่ยวข้องกับการโพสต์/จําหน่ายข้อมูลของบริษัทฯ 3.4.2 ประวัติพฤติกรรม (Tactics, Techniques, and Procedures – TTPs) 3.4.3 ระดับความเสี่ยงและแรงจูงใจของกลุ่มผู้โจมตี
    3.5 การเฝ้าระวังแบรนด์และชื่อเสียงองค์กร (Brand Reputation Monitoring)
    3.5.1 ตรวจสอบการแอบอ้างชื่อองค์กร ผู้บริหาร หรือผลิตภัณฑ์
    3.5.2 การสร้างเว็บไซต์ปลอม / ฟิชชิ่ง (Phishing Sites)
    3.5.3 รายงานผลการดําเนินการเพื่อลบหรือแจ้งเตือน (Take-down Actions หากมี)
    3.6 ข้อเสนอแนะเชิงเทคนิคและมาตรการเชิงรุก (Recommendations and Mitigation Actions)
    3.6.1 แนวทางป้องกันการรั่วไหลของข้อมูลเพิ่มเติม
    3.6.2 คําแนะนําในการปรับปรุงนโยบายความปลอดภัย
    3.6.3 การวางแผนตอบสนองเหตุการณ์ (Incident Response Readiness)
    3.7 สรุปภาพรวมระดับความเสี่ยงของเดือนนั้น (Monthly Risk Rating)
    3.7.1 ระบุระดับความเสี่ยงโดยรวม (Low / Mediurn / High / Critical)
    3.7.2 แนวโน้มภัยคุกคามในเดือนถัดไป (Threat Forecast)
    3.8 ภาคผนวก (Appendices)
    3.8.1 รายการหลักฐาน (เช่น Screenshot, Hash, Log Timestamp, หรือข้อมูลจาก Threat Freed) 3.8.2 ตารางเปรียบเทียบข้อมูลซ้ําซ้อนระหว่างเดือน
    3.8.3 สรุปเหตุการณ์ที่เกิดขึ้นทั้งหมดและที่ได้รับการแก้ไขแล้ว
    3.9 จัดประชุมประจําเดือน เพื่อสรุปรายงานผลการบริการตรวจสอบภัยคุกคามจากเว็บมีด และข้อเสนอแนะอื่นๆ
    ด้านความปลอดภัยที่เกี่ยวข้องกับผู้รับจ้างที่ดูแลและพัฒนาระบบสารสนเทศอื่นๆ ของบริษัทฯ
    ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์ หน้าที่ 3 จาก 3
    THAILAND
    PRIVILEGE
    ภาคผนวก 2
    ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์
    พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์
19. ผู้รับจ้างจะต้องให้บริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security Operation Center : C-SOC) ในลักษณะ 24 ชั่วโมง 7 วัน ต่อสัปดาห์ตลอดอายุสัญญาจ้าง โดยมีเนื้อหาประกอบไปด้วยอย่างน้อยดังนี้ 1.1 ให้บริการเฝ้าระวัง วิเคราะห์ และแจ้งเตือนภัยคุกคามด้านความมั่นคงปลอดภัยทางไซเบอร์ เป็นจํานวน 20 GB / Day
    โดยมีรายละเอียดของอุปกรณ์ดังต่อไปนี้
    จํานวนอย่างน้อย
    รายการ
    อุปกรณ์ป้องกันระบบเครือข่าย (Firewall)
    อุปกรณ์ป้องกันการโจมตีผ่านเว็บไซต์ (Web Application Firewall) อุปกรณ์ป้องกันการโจมตีผ่านอีเมล (E-mail Security Gateway) เครื่องคอมพิวเตอร์แม่ข่าย (VM)
    (เครื่อง)
    2
    1
    1
    35
    1.2 มีชุดการตรวจจับและตอบสนองเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ ที่ได้จัดเตรียมไว้ล่วงหน้าและพร้อม ใช้งานทันที (Standard Use Case) ที่ครอบคลุมตามรายการอุปกรณ์ที่บริษัทฯ ใช้งานอยู่ในปัจจุบัน โดยมีการแบ่ง ประเภทการโจมตี (Classification Type) อย่างน้อย 9 ประเภท ดังนี้
    1.2.1 Initial Recon (Intrusion)
    1.2.2 Public Web Attack
    1.2.3 Traffic Anomaly
    1.2.4 Privilege Escalation
    1.2.5 Ransomware
    1.2.6 Policy Violation
    1.2.7 Unauthorized Access
    1.2.8 Malicious Activity
    1.29 Device Notification
    1.3 ให้บริการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ เป็นระยะเวลาอย่างน้อย 90 วัน เพื่อให้เป็นไปตาม
    พระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560
    ผนวก 2
    ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์
    หน้าที่ 3 จาก 3
    THAILAND
    PRIVILEGE
    1.4 ให้บริการติดตั้งอุปกรณ์หรือซอฟต์แวร์ในการจัดเก็บข้อมูล Log (Log Collector, Event Collector) เพื่อทําการส่ง Log ทั้งจากอุปกรณ์และเครื่องคอมพิวเตอร์แม่ข่ายของบริษัทฯ ตามข้อ 1.1 ไปยังศูนย์ปฏิบัติการรักษาความมั่นคง
    ปลอดภัยทางไซเบอร์
    1.5 จัดให้มีหน้าจอแสดงเหตุการณ์ภัยคุกคามทางไซเบอร์ที่เกิดขึ้น (Incident Management Ticket) แสดงผลแบบ
    Real-Time ประกอบไปด้วยข้อมูลอย่างน้อย ดังนี้
    1.5.1 สถานะของ Ticket
    1.5.2 ระดับความรุนแรงของเหตุการณ์
    1.6 ให้บริการตรวจสอบภัยคุกคามทางไซเบอร์เชิงรุก (Threat Hunting) ในรูปแบบ ICC หรือ Hash Search 1.7 ให้บริการแจ้งเตือนภัยคุกคามด้านความมั่นคงปลอดภัยทางไซเบอร์ สําหรับเหตุการณ์ที่อยู่ในขอบข่ายภัยคุกคาม ทางไซเบอร์ พร้อมจัดทําสรุปเหตุการณ์ (Incident Report) ซึ่งมีข้อมูลที่ครบถ้วน พร้อมคําแนะนําในการแก้ไขปัญหา โดยจะต้องแจ้งเตือนผ่านทางอีเมล หรือทางโทรศัพท์ หรือช่องทางอื่นใดตามที่ตกลงร่วมกันกับผู้ว่าจ้าง ตาม Severity Level Agreement (SLA) อย่างน้อยดังต่อไปนี้
    ระดับเหตุการณ์
    การแจ้งเตือน
    วิกฤต (Critical) ภายใน 15 นาที นับตั้งแต่พบเหตุ
    การออกรายงาน
    30 นาที นับตั้งแต่แจ้งเตือน
    60 นาที นับตั้งแต่แจ้งเตือน
    สูง (High)
    ภายใน 30 นาที นับตั้งแต่พบเหตุ
    ภายใน 90 นาที นับตั้งแต่พบเหตุ
    กลาง (Medium)
    in (Low)
    สรุปรายงานภายใน 24 ชั่วโมง
    1.8 ให้บริการแจ้งข่าวสารซึ่งเกี่ยวข้องกับระบบรักษาความมั่นคงปลอดภัย ระบบคอมพิวเตอร์และระบบเครือข่าย ที่เกิดขึ้น ผ่านทางอีเมล โดยข่าวสารดังกล่าวประกอบด้วยเนื้อหาที่สําคัญ มีคําอธิบายอย่างคร่าวๆ (Overview) และ คําอธิบายอย่างละเอียด (Description) อาทิเช่น
    1.8.1 รายชื่อและคุณลักษณะของมัลแวร์ (Malware)
    1.8.2 ช่องโหว่ใหม่ (Vulnerability) ของอุปกรณ์ในระบบเครือข่าย (Network Equipment)
    1.8.3 ช่องโหว่ใหม่ (Vulnerability) ของระบบปฏิบัติการ (Operating System)
    1.8.4 ช่องโหว่ใหม่ (Vulnerability) ของระบบฐานข้อมูลหลัก (Database)
    1.8.5 ช่องโหว่ใหม่ (Vulnerability) ของซอฟต์แวร์ต่าง ๆ ที่ผู้รับจ้างเห็นว่าจะก่อให้เกิดผลเสียหาย
    ต่อการดําเนินงานของผู้ว่าจ้าง
    กายมาก 2
    ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์
    หน้าที่ 2 จาก 3
    THAILAND
    PRIVILEGE
    1.9 จัดทํารายงานสรุปสถิติภัยคุกคามประจําเดือน (Monthly Report) โดยมีหัวข้อของรายงาน อย่างน้อยดังนี้
    1.9.1 รายงานสรุประดับความความรุนแรงของเหตุการณ์ที่ตรวจพบรายเดือน
    1.9.2 รายงานสรุประดับความเสี่ยงของเหตุการณ์ที่ตรวจพบรายเดือน
    1.9.3 รายงานสรุปจํานวนของเหตุการณ์ที่ตรวจพบจําแนกตาม Classification type
    1.9.4 รายงานสรุปสถานะของเหตุการณ์ที่ตรวจพบรายเดือน
    1.9.5 รายงานเหตุการณ์ที่ตรวจพบจําแนกตาม Classification type
    1.9.6 รายงานสรุปปริมาณการใช้งานข้อมูลจราจรทางคอมพิวเตอร์ประจําเดือน
    1.10 จัดประชุมประจําเดือน เพื่อสรุปรายงานผลการบริการวิเคราะห์เฝ้าระวังภัยคุกคามต่างๆ ที่เกิดขึ้น และ ข้อเสนอแนะอื่นๆ ด้านความปลอดภัยที่เกี่ยวข้องกับผู้รับจ้างที่ดูแลและพัฒนาระบบสารสนเทศอื่นๆ ของบริษัทฯ
    ภาคผนวก 2
    ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์
    หน้าที่ 3 จาก 3
    THAILAND PRIVILEGE
    ภาคผนวก 3
    ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์
    พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์
20. ทดสอบเจาะระบบและประเมินช่องโหว่ระบบสารสนเทศของบริษัทฯ (Penetration Testing and Vulnerability
    Assessment) ครั้งที่ 1 โดยมีรายละเอียดดังนี้
    1.1 ดําเนินการตรวจสอบช่องโหว่ (Vulnerability Assessment : VA)
    1.1.1 ตรวจสอบช่องโหว่ของเครื่องคอมพิวเตอร์แม่ข่าย (VM) จํานวนไม่น้อยกว่า 70 IP Address โดยใช้ซอฟต์แวร์ประเภทที่มีลิขสิทธิ์ถูกต้องตามกฎหมายและได้รับมาตรฐาน เพื่อประเมินช่องโหว่ เช่น Nessus, OpenVAS, Burp Suite และ Qualys และจัดลําดับความสําคัญของช่องโหว่ โดยใช้ CVSS (Common Vulnerability Scoring System) เพื่อกําหนดระดับความร้ายแรง ของแต่ละช่องโหว่ ได้แก่ Low, Medium, High และ Critical
    1.1.2 วิเคราะห์และจัดลําดับความเสี่ยง และจัดทําแนวทางแก้ไขสําหรับช่องโหว่ที่พบ พร้อมกําหนดลําดับ
    ความสําคัญ วิธีการแก้ไข รวมถึงการอัปเดตแพตช์ (Update Patch) ความปลอดภัยสําหรับ ระบบปฏิบัติการและซอฟต์แวร์ที่ใช้งาน การปรับปรุง การตั้งค่าความปลอดภัยของระบบ และไฟร์วอลล์ การเพิ่มมาตรการป้องกัน
    1.1.3 ให้คําปรึกษาผู้ดูแลระบบของบริษัทฯ เพื่อปิดช่องโหว่ ตามผลการตรวจสอบช่องโหว่ (VA)
    ซึ่งเป็นช่องโหว่ที่สามารถดําเนินการแก้ไขได้ และไม่กระทบต่อระบบงานของบริษัทฯ
    1.1.4 จัดทํารายงานผลการปิดช่องโหวโดยละเอียดและข้อบกพร่อง ทั้งในด้านระบบสารสนเทศ
    และด้านกฎหมายที่มีอยู่ในปัจจุบัน
    1.2 ดําเนินการทดสอบเจาะระบบ (Penetration Testing) โดยจําลองการโจมตีทางไซเบอร์เพื่อประเมินระดับ
    ความปลอดภัยของระบบสารสนเทศของบริษัทฯ ในรูปแบบ Gery Box โดยมีรายละเอียดดังนี้
    1.2.1 ทดสอบเจาะระบบจํานวนไม่น้อยกว่า 30 IP Address และวิเคราะห์ พร้อมกับจัดลําดับความเสี่ยง โดยอ้างอิงตาม OWASP TOP 10 เวอร์ชั่นล่าสุด หรือมาตรฐานสากลอื่นๆ ที่เกี่ยวข้อง และจัดทํา ข้อเสนอแนะแนวทางการปิดช่องโหว่ที่ตรวจพบจากการทดสอบเจาะระบบ
    กาลผนวก 3
    ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์
    หน้าที่ 1 จาก 2
    THAILAND PRIVILEGE
    1.2.2 ทดสอบแบบ Grey Box Testing ด้วยข้อมูลบางส่วนของระบบ เช่น บัญชีผู้ใช้ทั่วไป หรือข้อมูล พื้นฐานเกี่ยวกับโครงสร้างระบบการทดสอบนี้ หรือจําลองสถานการณ์ของบุคคลภายในองค์กร ที่อาจมีสิทธิ์เข้าถึงบางส่วน แต่ต้องการใช้ช่องโหว่ในการยกระดับสิทธิ์ (Privilege Escalation) หรือ ขโมยข้อมูล เพื่อประเมินความปลอดภัยจากมุมมองของผู้ใช้ที่มีสิทธิ์เข้าถึงระบบได้อย่างน้อย ดังนี้
    1.2.2.1 จําลองการโจมตีจากภายใน โดยใช้สิทธิ์ที่ได้รับในการเข้าถึงระบบ
    1.2.2.2 ตรวจสอบช่องโหว่ของบัญชีผู้ใช้และการตั้งค่าความปลอดภัย เช่น การตั้งค่ารหัสผ่าน
    ที่อ่อนแอ หรือการใช้สิทธิ์เกินความจําเป็น (Overprivileged Accounts)
    1.2.2.3 ตรวจสอบความปลอดภัยของ API และ Web Services เพื่อหาช่องโหว่ที่อาจทําให้
    ช้อมูลรั่วไหล
    1.2.3 จัดทํารายงานผลการทดสอบเจาะระบบที่ครอบคลุม (Penetration Testing Report) ประกอบด้วยรายละเอียดของการทดสอบที่ดําเนินการ รายการช่องโหว่ที่พบพร้อมการประเมิน ระดับความเสี่ยง พร้อมกําหนดลําดับความสําคัญ แนวทางการแก้ไข และข้อเสนอแนะเพื่อเสริม
    ความปลอดภัย
    1.3 นําเสนอรายงานและผลการทดสอบ
    1.3.1 จัดทํารายงานผลการทดสอบเจาะระบบและประเมินช่องโหว่ระบบสารสนเทศของบริษัทฯ
    (Penetration Testing and Vulnerability Assessment) ครั้งที่ 1 โดยละเอียด
    1.3.2 จัดประชุมสรุปผลการทดสอบเจาะระบบและประเมินช่องโหว่ระบบสารสนเทศของบริษัทฯ (Penetration Testing and Vulnerability Assessment) ครั้งที่ 1 ต่อผู้บริหารและฝ่ายบริหารข้อมูล และสารสนเทศของผู้ว่าจ้าง
    กายมาก 3
    ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์
    หน้าที่ 2 จาก 2
    THAILAND PRIVILEGE
    ภาคผนวก 4
    ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์
    พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์
21. ทดสอบเจาะระบบและประเมินช่องโหว่ระบบสารสนเทศของบริษัทฯ (Penetration Testing and Vulnerability
    Assessment) ครั้งที่ 2 โดยมีรายละเอียดดังนี้
    1.1 ทดสอบเจาะระบบ (Penetration Testing) และการประเมินช่องโหว่ (Vulnerability Assessment) เพื่อประเมินความปลอดภัยของระบบสารสนเทศ และตรวจสอบช่องโหว่ที่อาจถูกใช้ในการโจมตี รวมถึงประเมินระดับความเสี่ยงของระบบอีกครั้ง ภายหลังจากที่ผู้รับจ้างได้รายงานผลการประเมินช่องโหว่ ครั้งที่ 1 แล้วเสร็จ และบริษัทฯ ได้ดําเนินการแก้ไขปรับปรุงตามข้อเสนอแนะทั้งหมดของผู้รับจ้าง เป็นที่เรียบร้อยแล้ว
    1.2 ดําเนินการตรวจสอบช่องโหว่ (Vulnerability Assessment : VA)
    1.2.1 ตรวจสอบช่องโหว่ของเครื่องคอมพิวเตอร์แม่ข่าย (VM) จํานวนไม่น้อยกว่า 70 IP Address โดยใช้ ซอฟต์แวร์ประเภทที่มีลิขสิทธิ์ถูกต้องตามกฎหมาย และได้รับมาตรฐาน เพื่อประเมินช่องโหว่ เช่น Nessus, OpenVAS, Burp Suite และ Qualys และจัดลําดับความสําคัญของช่องโหว่โดยใช้ CVSS (Common Vulnerability Scoring System) เพื่อกําหนดระดับความร้ายแรงของแต่ละช่องโหว่ ได้แก่ Low, Medium, High และ Critical
    1.2.2 วิเคราะห์และจัดลําดับความเสี่ยง และจัดทําแนวทางแก้ไขสําหรับช่องโหว่ที่พบ พร้อมกําหนดลําดับ ความสําคัญ วิธีการแก้ไข รวมถึงการอัปเดตแพตช์ (Update Patch) ความปลอดภัยสําหรับ ระบบปฏิบัติการและซอฟต์แวร์ที่ใช้งาน การปรับปรุง การตั้งค่าความปลอดภัยของระบบ และไฟร์วอลล์ การเพิ่มมาตรการป้องกัน
    1.2.3 ให้คําปรึกษาผู้ดูแลระบบของบริษัทฯ เพื่อปิดช่องโหว่ตามผลการตรวจสอบช่องโหว่ (VA)
    ซึ่งเป็นช่องโหว่ที่สามารถดําเนินการแก้ไขได้ และไม่กระทบต่อระบบงานของบริษัทฯ
    1.2.4 จัดทํารายงานผลการปิดช่องโหว่โดยละเอียดและข้อบกพร่อง ทั้งในด้านระบบสารสนเทศ
    และด้านกฎหมายที่มีอยู่ในปัจจุบัน
    ภาพลงบา
    ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์
    น
    หน้าที่ 1 จาก 2
    THAILAND PRIVILEGE
    1.3 ดําเนินการทดสอบเจาะระบบ (Penetration Testing) โดยจําลองการโจมตีทางไซเบอร์เพื่อประเมินระดับ
    ความปลอดภัยของระบบสารสนเทศของบริษัทฯ ในรูปแบบ Gery Box โดยมีรายละเอียดดังนี้
    1.3.1 ทดสอบเจาะระบบจํานวนไม่น้อยกว่า 30 IP Address และวิเคราะห์ พร้อมกับจัดลําดับความเสี่ยง
    โดยอ้างอิงตาม OWASP TOP 10 เวอร์ชั่นล่าสุด หรือมาตรฐานสากลอื่นๆ ที่เกี่ยวข้อง และจัดทํา ข้อเสนอแนะแนวทางการปิดช่องโหว่ที่ตรวจพบจากการทดสอบเจาะระบบ
    1.3.2 ทดสอบแบบ Grey Box Testing ด้วยข้อมูลบางส่วนของระบบ เช่น บัญชีผู้ใช้ทั่วไป หรือข้อมูล พื้นฐานเกี่ยวกับโครงสร้างระบบการทดสอบนี้ หรือจําลองสถานการณ์ของบุคคลภายในองค์กร ที่อาจมีสิทธิ์เข้าถึงบางส่วน แต่ต้องการใช้ช่องโหว่ในการยกระดับสิทธิ์ (Privilege Escalation) หรือ ขโมยข้อมูล เพื่อประเมินความปลอดภัยจากมุมมองของผู้ใช้ที่มีสิทธิ์เข้าถึงระบบ ได้อย่างน้อย ดังนี้
    1.3.2.1 จําลองการโจมตีจากภายใน โดยใช้สิทธิ์ที่ได้รับในการเข้าถึงระบบ
    1.3.2.2 ตรวจสอบช่องโหว่ของบัญชีผู้ใช้และการตั้งค่าความปลอดภัย เช่น การตั้งค่ารหัสผ่าน
    ที่อ่อนแอ หรือการใช้สิทธิ์เกินความจําเป็น (Overprivileged Accounts)
    1.3.2.3 ตรวจสอบความปลอดภัยของ API และ Web Services เพื่อหาช่องโหว่ที่อาจทําให้
    ข้อมูลรั่วไหล
    1.3.3 จัดทํารายงานผลการทดสอบเจาะระบบที่ครอบคลุม (Penetration Testing Report) ประกอบด้วยรายละเอียดของการทดสอบที่ดําเนินการ รายการช่องโหว่ที่พบพร้อมการประเมิน ระดับความเสี่ยง พร้อมกําหนดลําดับความสําคัญ แนวทางการแก้ไข และข้อเสนอแนะเพื่อเสริม
    ความปลอดภัย
    1.4 นําเสนอรายงานและผลการทดสอบ
    1.4.1 จัดทําแผนปรับปรุงความมั่นคงปลอดภัย (Security improvement Plan) และข้อเสนอแนะ
    มาตรการป้องกันระยะสั้นและระยะยาว
    1.4.2 จัดทํารายงานผลการทดสอบเจาะระบบและประเมินช่องโหว่ระบบสารสนเทศของบริษัทฯ
    (Penetration Testing and Vulnerability Assessment) ครั้งที่ 2 โดยละเอียด
    1.4.3 จัดประชุมสรุปผลการทดสอบเจาะระบบและประเมินช่องโหว่ระบบสารสนเทศของบริษัทฯ (Penetration Testing and Vulnerability Assessment) ครั้งที่ 2 ต่อผู้บริหารและฝ่ายบริหารข้อมูล และสารสนเทศของผู้ว่าจ้าง
    กายบวก 4
    ว่าจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พร้อมประเมินความเสี่ยง ตรวจสอบช่องโหว่ และติดตามภัยคุกคามทางไซเบอร์
    หน้าที่ 2 จาก 2
    ตารางแสดงวงเงินงบประมาณที่ได้รับจัดสรรและรายละเอียดค่าใช้จ่าย การจัดซื้อจัดจ้างที่มิใช่งานก่อสร้าง
    แบบ บก.08
22. ชื่อโครงการจ้างบริการศูนย์ปฏิบัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์พร้อมประเมินความเสี่ยง
    ตรวจสอบช่องโหว่และติดตามภัยคุกคามทางไซเบอร์
23. หน่วยงานเจ้าของโครงการ ฝ่ายบริหารข้อมูลและสารสนเทศ บริษัทไทยแลนด์ พริวิเลจ คาร์ด จํากัด 3. วงเงินงบประมาณที่ได้รับจัดสรร
    4,200,000.00.
24. วันที่กําหนดราคากลาง (ราคาอ้างอิง) ณ วันที่ 23 มกราคม 2569
    4,196,706.67 บาท
    เป็นเงิน
    ราคา/หน่วย (ถ้ามี)
    บาท
    บาท
25. แหล่งที่มาของราคากลาง (ราคาอ้างอิง)
    5.1 บริษัท ดาต้าฟาร์ม จํากัด
    5.2 บริษัท เบย์ คอมพิวติ้ง จํากัด (มหาชน) 5.3 บริษัท พีทีที ดิจิตอล โซลูชั่น จํากัด
26. รายชื่อเจ้าหน้าที่ผู้กําหนดราคากลาง (ราคาอ้างอิง) ทุกคน
    6.1
    นางสาวรัชดาวรรณ เลิศศิลาทอง
    6.2. นานสมทรัพย์
    วประสาท
    6.3 นายธีรธัช
    สืบวงศ์นิรัตน์
    6.4 นายพันธ์พงษ์
    บัวผาย
    6.5 นายกิตติธัช
    ธีระชาติแพทย์
    หมายเหตุ *กรณีเช่า เช่าซื้อ และแลกเปลี่ยน ให้ใช้ตารางแสดงวงเงินงบประมาณที่ได้รับจัดสรร และราคากลาง (ราคาอ้างอิง) ในการจัดซื้อจัดจ้างที่มิใช่งานก่อสร้าง
    **
    กรณีใช้ราคาที่เคยซื้อหรือจ้างครั้งหลังสุดภายในระยะเวลาสองปีงบประมาณให้ระบุว่า
    “ใช้ราคาที่เคยซื้อครั้งหลังสุดภายในระยะเวลา 2 ปีงบประมาณ ตามสัญญาเลขที่….ลงวันที่….เดือน……พ.ศ….