จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างเหมาจัดทำมาตรฐาน ISO/IEC 27001/2022 สำหรับระบบ NDEMS ของ สถาบันการแพทย์ฉุกเฉินแห่งชาติ

สถาบันการแพทย์ฉุกเฉินแห่งชาติ 69019377944

฿1,500,000 ปีงบ 2569 ประกาศ 27 ม.ค. 2569 นนทบุรี

รายละเอียดการจ้าง

สถาบันการแพทย์ฉุกเฉินแห่งชาติ (สพฉ.) ดำเนินโครงการจ้างเหมาจัดทำมาตรฐาน ISO/IEC 27001:2022 สำหรับระบบ NDEMS โดยมีวัตถุประสงค์หลักเพื่อวางรากฐานความมั่นคงปลอดภัยไซเบอร์ให้สอดคล้องกับกฎหมาย อาทิ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลและ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ และยกระดับมาตรฐานการบริหารจัดการความเสี่ยงด้านข้อมูลสำคัญด้านการแพทย์ฉุกเฉิน

ขอบเขตงานครอบคลุมการดำเนินงานร่วมกับคณะกรรมการและบุคลากรของ สพฉ. เพื่อจัดทำเอกสารระบบ ISMS ครบถ้วนตามมาตรฐาน อาทิ คู่มือ ISMS, Statement of Applicability (SOA), นโยบายความมั่นคงปลอดภัย การประเมินและจัดทำแผนลดความเสี่ยง ทะเบียนทรัพย์สิน และแผนบริหารความต่อเนื่องทางธุรกิจ (BCP) นอกจากนี้ ผู้รับจ้างต้องให้คำแนะนำและสนับสนุนในกระบวนการตรวจสอบภายใน การประชุมทบทวนฝ่ายบริหาร และเตรียมความพร้อมสำหรับการขอการรับรองมาตรฐานจากหน่วยรับรองภายนอก (Certification Body) รวมถึงจัดฝึกอบรมบุคลากรอย่างน้อย 3 หลักสูตร ได้แก่ ภาพรวมมาตรฐาน การสร้างความตระหนักรู้ และการตรวจสอบภายใน

ผลงานที่ต้องส่งมอบแบ่งเป็น 4 งวดตลอดระยะเวลา 240 วัน โดยงวดสุดท้ายผู้รับจ้างต้องส่งมอบรายงานฉบับสมบูรณ์ พร้อมประกาศนียบัตรรับรองมาตรฐาน ISO/IEC 27001:2022 หรือจดหมายยืนยันจากหน่วยรับรอง

English summary

The National Institute for Emergency Medicine (NIEM) is seeking a contractor to develop and implement an Information Security Management System (ISMS) compliant with the international standard ISO/IEC 27001:2022 for its NDEMS and related systems. The primary objectives are to establish a cybersecurity foundation in line with Thai laws, including the Personal Data Protection Act and the Cybersecurity Act, and to elevate the risk management standards for sensitive emergency medical data.

The scope of work involves collaborating with NIEM’s committees and personnel to develop a complete suite of ISMS documentation, such as the ISMS Manual, Statement of Applicability (SOA), security policies, risk assessment and treatment plans, asset inventory, and a Business Continuity Plan (BCP). The contractor is also required to advise and support internal audit processes, management review meetings, and preparation for external certification by an accredited Certification Body. Additionally, the contractor must conduct at least three training courses for NIEM staff on the standard overview, security awareness, and internal auditing.

Deliverables are divided into four milestones over a 240-day project duration. The final deliverable includes a comprehensive final report and the ISO/IEC 27001:2022 certification or confirmation letter from the external certifying body.

สถานที่ดำเนินการ

สถาบันการแพทย์ฉุกเฉินแห่งชาติ (สพฉ.) / สำนักดิจิทัลการแพทย์ฉุกเฉิน

คำสำคัญ

ISO 27001 ที่ปรึกษา จ้างทำ ISO 27001 ISMS Implementation ISO/IEC 27001:2022 ความมั่นคงปลอดภัยสารสนเทศ ระบบบริหารความปลอดภัยข้อมูล ที่ปรึกษาด้านไซเบอร์ซีเคียวริตี้Risk Assessment Information Security Management System การรับรองมาตรฐาน ISO

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

เพื่อวางรากฐานด้านความมั่นคงปลอดภัยไซเบอร์ของ สพฉ. ให้มีระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศที่เป็นไปตามมาตรฐานสากล สอดคล้องกับกฎหมาย ระเบียบ และข้อบังคับที่เกี่ยวข้อง รวมทั้งสอดรับกับข้อกำหนดตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
เพื่อพัฒนาระบบจัดการข้อมูลที่ปลอดภัยและมีประสิทธิภาพ ส่งเสริมให้ระบบ NDEMS และระบบสารสนเทศที่เกี่ยวข้องมีมาตรการควบคุมความปลอดภัยที่เหมาะสม ลดความเสี่ยงจากการรั่วไหล การแก้ไขข้อมูลโดยมิชอบ และภัยคุกคามที่อาจเกิดขึ้น
เพื่อยกระดับความมั่นคงปลอดภัยระบบสารสนเทศของ สพฉ. ให้สามารถตรวจประเมิน (Audit) และปรับปรุงระบบ Cloud ที่ใช้งานให้มีความมั่นคงปลอดภัย ยั่งยืน และรองรับการขยายตัวของบริการด้านการแพทย์ฉุกเฉินดิจิทัลในอนาคต
เพื่อลดและป้องกันความเสี่ยงจากภัยคุกคามไซเบอร์ต่อระบบโครงสร้างพื้นฐานสารสนเทศของ สพฉ. ให้หน่วยงานสามารถดำเนินงานได้อย่างต่อเนื่อง มีความพร้อมในการรับมือเหตุการณ์ด้านความมั่นคงปลอดภัย และลดผลกระทบต่อภารกิจด้านการแพทย์ฉุกเฉิน
เพื่อพัฒนาศักยภาพบุคลากรของสำนักดิจิทัลการแพทย์ฉุกเฉิน ให้มีความรู้ ความเข้าใจ และทักษะในการพัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2022 และสามารถดำเนินการรักษามาตรฐานได้ด้วยตนเองในระยะยาว

ขอบเขตของงาน

การวางแผนและประสานงาน: ดำเนินงานร่วมกับคณะผู้บริการ, คณะกรรมการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Committee) และคณะอื่นๆ ของ สพฉ. เพื่อกำหนดแผนการดำเนินโครงการ (Project Plan)
การจัดทำเอกสารระบบ ISMS: จัดทำเอกสารระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ครบชุด ได้แก่
- ขอบเขตการดำเนินการ ISMS (ISMS Scope)
- คู่มือบริหารจัดการ ISMS (ISMS Manual)
- เอกสารโครงสร้างคณะบริหารจัดการ ISMS (ISMS Structure)
- เอกสาร Statement Of Applicability (SOA) ตาม Annex A ของมาตรฐาน ISO/IEC 27001:2022
- นโยบายการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Policy)
- ทะเบียนทรัพย์สิน (Inventory of Asset) ให้สอดคล้องตามสภาพแวดล้อม
- ขั้นตอนการประเมินความเสี่ยงความมั่นคงปลอดภัยสารสนเทศ
- การประเมินความเสี่ยงความมั่นคงปลอดภัยสารสนเทศ (Information Security Risk Assessing)
- แผนลดความเสี่ยง (Risk Treatment Plan)
- ทบทวนแผนการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Plan)
- วิธีการวัดประสิทธิผลมาตรการควบคุมความมั่นคงปลอดภัยสารสนเทศ (Effectiveness Measurement)
การสนับสนุนกระบวนการตรวจสอบและทบทวน:
- ให้คำแนะนำและสนับสนุนข้อมูลในการจัดทำเอกสารสำหรับการตรวจประเมินภายใน (Internal ISMS Audit) จัดทำรายงานผลการตรวจสอบและเอกสารรายการหัวข้อตรวจสอบภายใน (Internal Audit Checklist)
- ให้คำแนะนำและสนับสนุนในการนำเสนอการประชุมทบทวนผู้บริหาร (Management Review Meeting)
- เตรียมความพร้อมสำหรับขั้นตอนการรับการตรวจรับรองมาตรฐานจากหน่วยรับรองภายนอก
- จัดทำแผนเพื่อปฏิบัติตามเอกสาร Corrective Action Request จากผู้ตรวจประเมิน
การสนับสนุนการรับรองมาตรฐาน: ดำเนินการสนับสนุนการตรวจรับรองมาตรฐานจากผู้ตรวจรับรองมาตรฐาน (Certification Body)
การจัดฝึกอบรมบุคลากร: จัดฝึกอบรมให้บุคลากร สพฉ. อย่างน้อย 3 หลักสูตร:
- หลักสูตรภาพรวมมาตรฐาน ISO/IEC 27001:2022 และแนวทางการประยุกต์ใช้ (ISMS Overview and Implementation) อย่างน้อย 10 คน ระยะเวลาไม่น้อยกว่า 3 ชั่วโมง
- หลักสูตรสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2022 (Information Security Awareness Training) อย่างน้อย 10 คน ระยะเวลาไม่น้อยกว่า 3 ชั่วโมง
- หลักสูตรการตรวจสอบภายในระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2022 อย่างน้อย 5 คน ระยะเวลาไม่น้อยกว่า 3 ชั่วโมง (จัดอบรม Onsite หรือ Online สำรอง)

สิ่งที่ต้องส่งมอบ

งวดที่ 1 (ภายใน 30 วัน):

รายงานเบื้องต้น: แผนการดำเนินโครงการ (Project Plan)

งวดที่ 2 (ภายใน 60 วัน):

รายงานความก้าวหน้า 1 ชุด ประกอบด้วย:
- นโยบายการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Policy)
- รายงานการจัดทำ/ปรับปรุงเอกสารระดับนโยบายและขั้นตอนปฏิบัติงานด้านความมั่นคงปลอดภัย (Security policy & Procedure) และแนวปฏิบัติ (Procedure)

งวดที่ 3 (ภายใน 180 วัน):

รายงานฉบับกลาง พร้อมไฟล์ดิจิทัล 1 ชุด ประกอบด้วย:
1. เอกสาร Statement Of Applicability (SOA)
2. เอกสาร ทะเบียนทรัพย์สิน (Inventory of Asset)
3. เอกสาร รายงานกระบวนการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Risk Management)
4. เอกสาร กระบวนการ (Procedure) ตามมาตรฐาน
5. เอกสาร แผนการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Plan)
6. เอกสาร วิธีการวัดประสิทธิผลมาตรการควบคุมความมั่นคงปลอดภัยสารสนเทศ (Effectiveness Measurement)
7. เอกสาร การฝึกอบรมหลักสูตรภาพรวมมาตรฐาน ISO/IEC 27001:2022
8. เอกสารการฝึกอบรมหลักสูตรสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยสารสนเทศ
9. เอกสาร การอบรมหลักสูตรการตรวจสอบภายใน
10. เอกสาร รายการหัวข้อตรวจสอบภายใน (Internal Audit Checklist) และรายงานผลการตรวจสอบ (Internal Audit Report)
11. เอกสาร รายงานการนำเสนอการประชุมทบทวนผู้บริหาร (Management Review Meeting)
12. เอกสาร แผนฯ เพื่อประกอบการปฏิบัติตามเอกสาร Corrective Action Request

งวดที่ 4 (ภายใน 240 วัน):

รายงานฉบับสมบูรณ์ พร้อมไฟล์ดิจิทัล 1 ชุด
ประกาศนียบัตรรับรองมาตรฐาน ISO/IEC 27001:2022 หรือ จดหมายยืนยันการผ่านการรับรองจากผู้ตรวจประเมินภายนอก (Certification Body)

ระยะเวลาดำเนินการ

ระยะเวลาดำเนินงานทั้งหมด: 240 วัน นับถัดจากวันลงนามสัญญา
มิลestones การส่งมอบงาน:
- งวดที่ 1: ภายใน 30 วัน
- งวดที่ 2: ภายใน 60 วัน
- งวดที่ 3: ภายใน 180 วัน
- งวดที่ 4: ภายใน 240 วัน

คุณสมบัติผู้เสนอราคา

Standards Compliance: ผู้รับจ้างต้องจัดทำและพัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศให้เป็นไปตามมาตรฐานสากล ISO/IEC 27001:2022 และเตรียมความพร้อมสำหรับการขอการรับรองจากหน่วยรับรองที่ได้รับการยอมรับ (Certification Body)
Experience:
- บุคลากรหลัก 1 (ผู้เชี่ยวชาญ ISMS): ประสบการณ์ทำงานให้หน่วยงานรัฐหรือเอกชนในสาขาที่เกี่ยวข้อง ไม่น้อยกว่า 10 ปี
- บุคลากรหลัก 2 (ผู้เชี่ยวชาญด้านวิเคราะห์และวางแผน): ประสบการณ์ทำงานให้หน่วยงานรัฐหรือเอกชนในสาขาที่เกี่ยวข้อง ไม่น้อยกว่า 7 ปี
- บุคลากรหลัก 3 (ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์): ประสบการณ์ทำงานให้หน่วยงานรัฐหรือเอกชนในสาขาที่เกี่ยวข้อง ไม่น้อยกว่า 4 ปี
- บุคลากรสนับสนุน (ผู้ประสานงานโครงการ): ประสบการณ์ทำงานให้หน่วยงานรัฐหรือเอกชน ไม่น้อยกว่า 2 ปี
Technical Capabilities: ผู้รับจ้างและทีมงานต้องมีความรู้ความเชี่ยวชาญเฉพาะด้านในการจัดทำระบบ ISMS, การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ, การตรวจสอบภายใน (Audit) และการเตรียมรับรองมาตรฐาน
Personnel:
- ผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ (1 คน):
  - คุณวุฒิ: สำเร็จการศึกษาไม่ต่ำกว่าระดับปริญญาโท สาขาเทคโนโลยีสารสนเทศและการสื่อสาร, วิศวกรรมคอมพิวเตอร์, วิทยาการคอมพิวเตอร์ หรือสาขาที่เกี่ยวข้อง
  - ใบรับรองที่ได้รับการพิจารณาพิเศษ (ไม่บังคับ): IRCA Certified ISO/IEC 27001 Lead Auditor, PECB ISO/IEC 27001 Lead Implementor, CISSP, CISM หรือเทียบเท่า
- ผู้เชี่ยวชาญด้านการวิเคราะห์และวางแผนระบบความปลอดภัยสารสนเทศและเครือข่ายคอมพิวเตอร์ (1 คน):
  - คุณวุฒิ: สำเร็จการศึกษาไม่ต่ำกว่าระดับปริญญาตรี สาขาเทคโนโลยีสารสนเทศและการสื่อสาร, วิศวกรรมคอมพิวเตอร์, วิทยาการคอมพิวเตอร์ หรือสาขาที่เกี่ยวข้อง
  - ใบรับรองที่ได้รับการพิจารณาพิเศษ (ไม่บังคับ): ISO/IEC27001:2022 Requirement/Implementing, CompTIA Security+, CompTIA CSAP Security Analytics, CompTIA CySA+ หรือเทียบเท่า
- ผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (1 คน):
  - คุณวุฒิ: สำเร็จการศึกษาไม่ต่ำกว่าระดับปริญญาตรี สาขาวิศวกรรมศาสตร์, เทคโนโลยีสารสนเทศ หรือสาขาที่เกี่ยวข้อง
  - ใบรับรองที่ได้รับการพิจารณาพิเศษ (ไม่บังคับ): CompTIA Security+, CompTIA CSAP Security Analytics, CompTIA CySA+ หรือเทียบเท่า
- ผู้ประสานงานโครงการ (1 คน):
  - คุณวุฒิ: สำเร็จการศึกษาไม่ต่ำกว่าระดับปริญญาตรีทุกสาขา

เกณฑ์การพิจารณา

พิจารณาโดยใช้เกณฑ์ราคา (Price-Based Evaluation)

ข้อกำหนดทางเทคนิค

โครงการนี้ไม่ใช่การจัดซื้อฮาร์ดแวร์หรือซอฟต์แวร์โดยตรง แต่เป็นการให้บริการที่ปรึกษาและพัฒนาระบบบริหารจัดการ (Management System) ตามข้อกำหนดทางเทคนิคของมาตรฐาน ISO/IEC 27001:2022 ซึ่งครอบคลุมการควบคุม (Controls) ต่าง ๆ ใน Annex A มาตรฐานนี้กำหนดกรอบสำหรับการจัดตั้ง การปฏิบัติงาน การตรวจติดตาม การทบทวน การบำรุงรักษา และการปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) โดยต้องประยุกต์ใช้กับระบบ NDEMS และระบบสารสนเทศที่เกี่ยวข้องของ สพฉ. ซึ่งรวมถึงระบบ Cloud ที่ใช้งานอยู่ด้วย ขอบเขตทางเทคนิคจึงเน้นที่การสร้างเอกสารนโยบายและกระบวนการ (Policy & Procedure), การประเมินความเสี่ยง (Risk Assessment), การจัดการทรัพย์สินสารสนเทศ (Asset Management), การควบคุมการเข้าถึง (Access Control), การเข้ารหัส (Cryptography), ความปลอดภัยทางกายภาพ (Physical Security), การดำเนินการด้านความปลอดภัย (Operations Security), การสื่อสารความปลอดภัย (Communications Security), การจัดหาที่ปลอดภัย (Secure Acquisition), การจัดการเหตุการณ์ (Incident Management) และความต่อเนื่องทางธุรกิจ (Business Continuity) เป็นต้น

เงื่อนไขสัญญา

ระยะเวลาสัญญา: 240 วัน นับจากวันลงนาม
เงื่อนไขการชำระเงิน: แบ่งจ่ายเป็น 4 งวด ตามการตรวจรับงานจากคณะกรรมการตรวจรับพัสดุของ สพฉ.
- งวดที่ 1 (20%): เมื่อส่งมอบและตรวจรับรายงานเบื้องต้น (แผนโครงการ) ภายใน 30 วัน
- งวดที่ 2 (30%): เมื่อส่งมอบและตรวจรับรายงานความก้าวหน้า ภายใน 60 วัน
- งวดที่ 3 (30%): เมื่อส่งมอบและตรวจรับรายงานฉบับกลาง ภายใน 180 วัน
- งวดที่ 4 (20%): เมื่อส่งมอบและตรวจรับรายงานฉบับสมบูรณ์ พร้อมหลักฐานการรับรองมาตรฐาน ภายใน 240 วัน
การแก้ไขงาน: หากคณะกรรมการตรวจรับพัสดุต้องการให้ปรับปรุงแก้ไขงาน ผู้รับจ้างต้องแก้ไขภายใน 15 วัน นับจากได้รับหนังสือชี้แจงจาก สพฉ.
การเปลี่ยนแปลงบุคลากร: หากจำเป็นต้องเปลี่ยนแปลงบุคลากรที่เสนอไว้ บุคลากรใหม่ต้องมีคุณสมบัติและประสบการณ์ไม่ด้อยกว่าเดิม และต้องได้รับความยินยอมเป็นลายลักษณ์อักษรจาก สพฉ. มิฉะนั้น สพฉ. มีสิทธิไม่ยอมรับและบอกเลิกสัญญาได้

คำถามที่พบบ่อย (FAQ)

Q: โครงการนี้ต้องการใบรับรองมาตรฐาน ISO 27001 แบบใด?
- A: ต้องการใบรับรองมาตรฐาน ISO/IEC 27001:2022 ซึ่งเป็นเวอร์ชันล่าสุด โดยจะต้องได้รับการรับรองจากหน่วยรับรองภายนอก (Certification Body) ที่ได้รับการยอมรับ
Q: ขอบเขตของระบบที่ต้องนำมาตรฐาน ISO 27001 ไปประยุกต์ใช้คืออะไร?
- A: ขอบเขตหลักคือระบบ NDEMS (ระบบดิจิทัลการแพทย์ฉุกเฉินแห่งชาติ) และระบบสารสนเทศที่เกี่ยวข้องของ สพฉ. รวมถึงระบบ Cloud ที่ใช้งานอยู่
Q: ผู้รับจ้างต้องมีบทบาทอย่างไรในการรับรองมาตรฐานจากหน่วยรับรองภายนอก?
- A: ผู้รับจ้างมีหน้าที่สนับสนุนการตรวจรับรองมาตรฐานจาก Certification Body ซึ่งรวมถึงการเตรียมความพร้อม ทีมงาน เอกสาร และประสานงานเพื่อให้การตรวจสอบเป็นไปด้วยดี จนนำไปสู่การได้รับใบรับรอง
Q: การฝึกอบรมจะจัดรูปแบบใด และที่ไหน?
- A: การฝึกอบรมจะจัดแบบ Onsite ที่สถานที่ของ สพฉ. เป็นหลัก หากมีสถานการณ์ไม่เอื้ออำนาจ (เช่น โรคระบาด) ผู้รับจ้างต้องมีแผนสำรองเพื่อดำเนินการอบรมแบบ Online แทน
Q: เอกสารทั้งหมดที่จัดทำต้องเป็นภาษาใด?
- A: เอกสารที่จัดทำและส่งมอบให้ สพฉ. ควรเป็นภาษาไทย เพื่อให้บุคลากรเข้าใจและนำไปปฏิบัติได้อย่างถูกต้อง
Q: หากระหว่างดำเนินงานพบว่ามีข้อกำหนดของ Annex A ที่ไม่สามารถประยุกต์ใช้ (Not Applicable) ได้ ต้องทำอย่างไร?
- A: ต้องบันทึกและให้เหตุผลที่ชัดเจนในเอกสาร Statement Of Applicability (SOA) ว่าข้อควบคุมใดที่ไม่ประยุกต์ใช้และเพราะเหตุใด ซึ่งเป็นกระบวนการมาตรฐานตาม ISO 27001
Q: โครงการนี้ครอบคลุมการทดสอบเจาะระบบ (Penetration Test) หรือไม่?
- A: ไม่ได้ระบุไว้โดยชัดเจนในขอบเขตงานที่เป็นการจัดทำระบบบริหาร (ISMS) โดยตรง แต่อาจเป็นส่วนหนึ่งของกิจกรรมในการประเมินความเสี่ยงหรือการวัดประสิทธิผล ซึ่งผู้รับจ้างอาจต้องพิจารณารวมในแผนงานหากเห็นว่าจำเป็น
Q: ผู้รับจ้างต้องทำงานร่วมกับบุคคล/คณะกรรมการภายในของ สพฉ. ระดับใดบ้าง?
- A: ต้องทำงานร่วมกับคณะผู้บริการ, คณะกรรมการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Committee), คณะทำงาน, เจ้าหน้าที่ศูนย์ข้อมูลและเทคโนโลยีสารสนเทศ ตลอดจนผู้บริหารในที่ประชุมทบทวน (Management Review)
Q: งวดงานที่ 4 ต้องส่ง “ประกาศนียบัตรรับรอง” หากยังไม่ได้รับภายใน 240 วันควรทำอย่างไร?
- A: เอกสาร TOR ระบุทางเลือกว่า สามารถส่ง “จดหมายยืนยันการผ่านการรับรองจากผู้ตรวจประเมินภายนอก” แทนได้ หากยังไม่ได้รับประกาศนียบัตรจริงภายในเวลานั้น
Q: ผู้รับจ้างต้องจัดหาเครื่องมือซอฟต์แวร์สำหรับการบริหารจัดการ ISMS ให้ สพฉ. หรือไม่?
- A: ไม่ได้ระบุไว้ในขอบเขตงาน การจัดทำเอกสารและกระบวนการน่าจะครอบคลุมถึงการแนะนำหรือออกแบบ แต่ไม่ได้ระบุถึงการจัดซื้อหรือมอบหมายสิทธิ์ในซอฟต์แวร์ใดๆ

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

ขอบเขตของงานจ้างเหมาจัดทำมาตรฐาน ISO/IEC 27001:2022 สำหรับระบบ NDEMS ของ สถาบันการแพทย์ฉุกเฉินแห่งชาติ

หลักการและเหตุผล
ปัจจุบันสถานการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานภาครัฐมีความรุนแรงและซับซ้อน มากขึ้น มีความเสี่ยงจากการโจมตีระบบสารสนเทศ การเข้าถึงข้อมูลโดยมิชอบ และการรั่วไหลของข้อมูล สำคัญ ซึ่งอาจส่งผลกระทบต่อการให้บริการประชาชน และบั่นทอนความเชื่อมั่นของสาธารณชนต่อหน่วยงาน ของรัฐ โดยเฉพาะอย่างยิ่ง สถาบันการแพทย์ฉุกเฉินแห่งชาติ (สพฉ.) ซึ่งมีภารกิจหลักด้านการแพทย์ฉุกเฉิน ของประเทศ และต้องอาศัยระบบเทคโนโลยีสารสนเทศและการสื่อสารเป็นกลไกสำคัญในการปฏิบัติงานอย่าง ต่อเนื่องและทันท่วงที สพฉ. อยู่ภายใต้กรอบการกำกับดูแลตามกฎหมายที่เกี่ยวข้อง ได้แก่ พระราชบัญญัติ
ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 รวมถึงพระราชบัญญัติคุ้มครองข้อมูลส่วน บุคคล พ.ศ. 2562 ซึ่งกำหนดให้หน่วยงานของรัฐต้องมีมาตรการด้านการรักษาความมั่นคงปลอดภัย สารสนเทศและการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม โดยเฉพาะข้อมูลด้านการแพทย์ฉุกเฉินที่ถือเป็น ข้อมูลสำคัญและมีความอ่อนไหวสูง
มาตรฐาน ISO/IEC 27001:2022 เป็นมาตรฐานสากลด้านระบบบริหารจัดการความมั่นคง ปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ที่ให้กรอบการบริหารจัดการ ความเสี่ยงอย่างเป็นระบบ ครอบคลุมการรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และความพร้อมใช้งาน (Availability) ของสารสนเทศ ซึ่งสอดคล้องกับข้อกำหนดด้านความมั่นคงปลอดภัยไซ เบอร์ของหน่วยงานภาครัฐ และสนับสนุนการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลได้อย่างเป็น รูปธรรม
ดังนั้น เพื่อยกระดับมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศและโครงสร้างพื้นฐานด้าน เทคโนโลยีของ สพฉ. ให้เป็นไปตามมาตรฐานสากล สอดคล้องกับข้อกำหนดของกฎหมาย และสร้างความเชื่อมั่น ให้แก่ประชาชน หน่วยงานภาครัฐ และผู้มีส่วนได้ส่วนเสีย สพฉ. จึงมีความจำเป็นต้องดำเนินโครงการจ้างผู้รับจ้าง เพื่อจัดทำและพัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2022 พร้อมเตรียมความพร้อมสำหรับการขอการรับรองมาตรฐานจากหน่วยรับรองที่ได้รับการยอมรับ ทั้งนี้ เพื่อให้การ ให้บริการด้านการแพทย์ฉุกเฉินของประเทศมีความมั่นคง ปลอดภัย และยั่งยืนในระยะยาว
วัตถุประสงค์
2.1 เพื่อวางรากฐานด้านความมั่นคงปลอดภัยไซเบอร์ของ สพฉ. ให้มีระบบบริหารจัดการความมั่นคง ปลอดภัยสารสนเทศที่เป็นไปตามมาตรฐานสากล สอดคล้องกับกฎหมาย ระเบียบ และข้อบังคับที่เกี่ยวข้อง รวมทั้งสอดรับกับข้อกำหนดตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
2.2 เพื่อพัฒนาระบบจัดการข้อมูลที่ปลอดภัยและมีประสิทธิภาพ ส่งเสริมให้ระบบ NDEMS และ ระบบสารสนเทศที่เกี่ยวข้องมีมาตรการควบคุมความปลอดภัยที่เหมาะสม ลดความเสี่ยงจากการรั่วไหล การ แก้ไขข้อมูลโดยมิชอบ และภัยคุกคามที่อาจเกิดขึ้น
2.3 เพื่อยกระดับความมั่นคงปลอดภัยระบบ สารสนเทศของ สพฉ. ให้สามารถตรวจประเมิน (Audit) และปรับปรุงระบบ Cloud ที่ใช้งานให้มีความมั่นคงปลอดภัย ยั่งยืน และรองรับการขยายตัวของบริการด้าน การแพทย์ฉุกเฉินดิจิทัลในอนาคต
NIEM-FM-01FS-020 Rev.1 (09/05/23)
2.4 เพื่อลดและป้องกันความเสี่ยงจากภัยคุกคามไซเบอร์ต่อระบบโครงสร้างพื้นฐานสารสนเทศของ สพฉ. ให้หน่วยงานสามารถดำเนินงานได้อย่างต่อเนื่อง มีความพร้อมในการรับมือเหตุการณ์ด้านความมั่นคง ปลอดภัย และลดผลกระทบต่อภารกิจด้านการแพทย์ฉุกเฉิน
2.5 เพื่อพัฒนาศักยภาพบุคลากรของสำนักดิจิทัลการแพทย์ฉุกเฉิน ให้มีความรู้ ความเข้าใจ และ ทักษะในการพัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2022 และสามารถดำเนินการรักษามาตรฐานได้ด้วยตนเองในระยะยาว
คุณสมบัติของผู้ยื่นข้อเสนอ
ผู้รับจ้างจะต้องมีคุณสมบัติอย่างน้อย ดังนี้
3.1 มีความสามารถตามกฎหมาย
3.2 ไม่เป็นบุคคลล้มละลาย
3.3 ไม่อยู่ระหว่างเลิกกิจการ
3.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังกําหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
3.5 เป็นนิติบุคคลที่ประกอบอาชีพในสาขาที่จะจ้าง และได้ขึ้นทะเบียนไว้กับศูนย์ข้อมูล ผู้รับจ้าง กระทรวงการคลัง
3.6 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงาน ของ หน่วยงานของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง รวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วน ผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอํานาจในการดําเนินงานในกิจการของนิติบุคคลนั้นด้วย
3.7 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการ บริหาร พัสดุภาครัฐกําหนดในราชกิจจานุเบกษา
3.8 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้รับจ้างรายอื่นที่เข้ายื่นข้อเสนอให้แก่ สพฉ. ณ วันที่ได้รับ หนังสือ เชิญชวนให้เข้ามายื่นข้อเสนอจากหน่วยงานของรัฐ หรือไม่เป็นผู้กระทําการอันเป็นการขัดขวางการ แข่งขัน อย่างเป็นธรรมในการยื่นข้อเสนอในครั้งนี้
3.9 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้ยื่น ข้อเสนอได้มีคําสั่งให้สละเอกสิทธ์ิและความคุ้มกันเช่นว่านั้น
3.10 ผู้รับจ้างต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ ( Electronic Government Procurement: e-GP) ของกรมบัญชีกลาง
3.11 ผู้รับจ้างที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติ ดังนี้
กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงระหว่างผู้เข้าร่วมค้าจะต้องมีการกําหนดสัดส่วนหน้าที่ และความรับผิดชอบในปริมาณงาน สิ่งของ หรือ มูลค่าตามสัญญาของผู้เข้าร่วมค้าหลักมากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก กิจการ ร่วมค้านั้นต้องใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอ สําหรับข้อตกลงระหว่างผู้เข้าร่วมค้าที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก ผู้เข้าร่วม ค้าทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่กําหนดไว้ในเอกสารเชิญชวน หรือหนังสือเชิญชวน กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากําหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่น ข้อเสนอในนามกิจการร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอํานาจ
NIEM-FM-01FS-020 Rev.1 (09/05/23)
สําหรับข้อตกลงระหว่างผู้เข้าร่วมค้าที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอ ผู้เข้าร่วมค้า ทุก รายจะต้องลงลายมือชื่อในหนังสือมอบอํานาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอในนามกิจการร่วมค้า 4. ขอบเขตของงาน
4.1 ดำเนินงานร่วมกับผู้ปฏิบัติงานของ สพฉ. ประกอบด้วยคณะผู้บริการ คณะกรรมการบริหาร จัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Committee) และคณะอื่นๆ ที่เกี่ยวข้องในการกำหนดแผนการ ดำเนินโครงการ (Project Plan) ของโครงการจ้างจัดทํามาตรฐาน ISO/IEC 27001:2022 ของ สถาบัน การแพทย์ฉุกเฉินแห่งชาติ ภายใต้ระบบ NDEMS ในขอบเขตที่กำหนด
4.2 ดำเนินงานร่วมกับผู้ปฏิบัติงาน เพื่อจัดทำเอกสารของการดำเนินการของระบบบริหารจัดการ ความมั่นคงปลอดภัยสารสนเทศ ดังนี้
4.2.1 ขอบเขตการดำเนินการ ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Scope) 4.2.2 คู่มือบริหารจัดการระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Manual) 4.2.3 เอกสารโครงสร้างคณะบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Structure)
4.2.4 เอกสาร Statement Of Applicability (SOA) ตาม Annex A ของมาตรฐาน ISO/IEC 27001:2022
4.2.5 นโยบายการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Policy)
4.2.6 ทะเบียนทรัพย์สิน (Inventory of Asset) ให้สอดคล้องตามสภาพแวดล้อม
4.2.7 ขั้นตอนการประเมินความเสี่ยงความมั่นคงปลอดภัยสารสนเทศ
4.2.8 การประเมินความเสี่ยงความมั่นคงปลอดภัยสารสนเทศ (Information Security Risk Assessing)
4.2.9 แผนลดความเสี่ยง (Risk Treatment Plan)
4.2.10 ทบทวนแผนการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Plan) 4.2.11 วิธีการวัดประสิทธิผลมาตรการควบคุมความมั่นคงปลอดภัยสารสนเทศ (Effectiveness Measurement)
4.3 ผู้รับจ้างต้องเข้าร่วมสังเกตการณ์ ให้คำแนะนำและสนับสนุนข้อมูลในการจัดทำเอกสารของการ ดำเนินการของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ดังนี้
4.3.1 การตรวจประเมินการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ จากผู้ตรวจสอบ ภายใน (Internal ISMS Audit) ตามกรอบมาตรฐานสากล ISO/IEC 27001:2022 การ จัดทํารายงานผลการตรวจสอบ และจัดทําเอกสารรายการหัวข้อตรวจสอบ ภายใน (Internal Audit Checklist)
4.3.2 การนำเสนอการประชุมทบทวนผู้บริหาร (Management Review Meeting) กับ คณะกรรมการที่เกี่ยวข้อง
4.3.3 การเตรียมความพร้อม ในขั้นตอนสำหรับการรับการตรวจรับรองมาตรฐาน ISO/IEC 27001:2022
4.3.4 การจัดทำแผนฯ เพื่อประกอบการปฏิบัติตามเอกสาร Corrective Action Request ที่ผู้ตรวจประเมินจัดส่งให้ระหว่างช่วงเวลาการดำเนินการตรวจตรวจรับรองมาตรฐานฯ 4.4 ดำเนินการสนับสนุนการตรวจรับรองมาตรฐานจากผู้ตรวจรับรองมาตรฐาน (Certification Body) มาตรฐาน ISO/IEC 27001:2022
4.5 จัดฝึกอบรมเกี่ยวกับการจัดทําระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2022 อย่างน้อยดังนี้
NIEM-FM-01FS-020 Rev.1 (09/05/23)
4.5.1 หลักสูตรภาพรวมมาตรฐาน ISO/IEC 27001:2022 และแนวทางการประยุกต์ใช้ (ISMS Overview and Implementation) อย่างน้อย 10 คน 1 หลักสูตร ระยะเวลา ไม่ น้อยกว่า 3 ชั่วโมง
4.5.2 หลักสูตรสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยสารสนเทศ ตามมาตรฐาน ISO/IEC 27001: 2022 ( Information Security Awareness Training for ISO/IEC 27001:2022) อย่างน้อย 10 คน 1 หลักสูตร ไม่น้อยกว่า 3 ชั่วโมง
4.5.3 หลักสูตรการตรวจสอบภายในระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2022 อย่างน้อย 5 คน 1 หลักสูตรไม่น้อยกว่า 3 ชั่วโมง ทั้งนี้ จะใช้สถานที่ของ สพฉ. ในการฝึกอบรม หรือในกรณีหากมีสถานการณ์ที่ไม่สามารถจัดการอบรมแบบ Onsite ได้ ให้ผู้รับจ้างจัดหาแผนสํารองเพื่อดำเนินการ อบรมแบบ Online ทดแทน โดยเอกสารประกอบการ อบรมอยู่ในรูปแบบไฟล์ดิจิทัล
บุคลากรที่ต้องการ
บุคลากรของทีมงานผู้รับจ้าง จะต้องมีความรู้ ความเชี่ยวชาญ และประสบการณ์ในด้านต่าง ๆ ดังนี้ 5.1 บุคลากรหลัก
5.1.1 ผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ จํานวน 1 คน
คุณสมบัติ: สําเร็จการศึกษาไม่ตํ่ากว่าระดับปริญญาโท สาขาเทคโนโลยีสารสนเทศและการ สื่อสาร หรือ วิศวกรรมคอมพิวเตอร์ หรือวิทยาการคอมพิวเตอร์ หรือสาขาที่เกี่ยวข้อง โดยมี ประสบการณ์ทํางานให้แก่หน่วยงานของรัฐ หรือหน่วยงานเอกชนในสาขาที่เกี่ยวข้อง ไม่น้อยกว่า 10 ปี ทั้งนี้ หากผู้ยื่นข้อเสนอมีใบรับรองวิชาชีพ เช่น IRCA Certified ISO/IEC 27001 Lead Auditor หรือ PECB ISO/IEC 27001 Lead Implementor หรื อ Certified Information Systems Security
Professional (CISSP) หรื อ Certified Information Security Manager (CISM) หรือใบรับรองอื่นที่ เทียบเท่าและได้รับการยอมรับในระดับสากล จะได้รับการพิจารณาเป็นพิเศษ ทั้งนี้ ใบรับรอง ดังกล่าว ไม่ใช่ข้อกําหนดบังคับ แต่ถือเป็นปัจจัยสนับสนุนสําคัญ เนื่องจากงานในตําแหน่งนี้ต้องอาศัยทักษะ ด้าน ความปลอดภัยสารสนเทศและมาตรฐานในการบริหารจัดการระบบเทคโนโลยีขั้นสูงเป็นหลัก
5.1.2 ผู้เชี่ยวชาญด้านการวิเคราะห์และวางแผนระบบความปลอดภัยสารสนเทศและ เครือข่าย คอมพิวเตอร์ จํานวน 1 คน
คุณสมบัติ: สําเร็จการศึกษาไม่ตํ่ากว่าระดับปริญญาตรีสาขาเทคโนโลยีสารสนเทศและการ สื่อสาร หรือ วิศวกรรมคอมพิวเตอร์ หรือวิทยาการคอมพิวเตอร์ หรือสาขาที่เกี่ยวข้อง โดยมี ประสบการณ์ทํางานให้แก่หน่วยงานของรัฐ หรือหน่วยงานเอกชนในสาขาที่เกี่ยวข้อง ไม่น้อยกว่า 7 ปี ทั้งนี้ หากผู้ยื่นข้อเสนอมีใบรับรองวิชาชีพ เช่น ISO/IEC27001:2022 Requirement หรือ ISO/IEC27001:2022 Implementing หรือ CompTIA Security+ หรือ CompTIA CSAP Security Analytics หรือ CompTIA CySA+ หรือใบรับรองอื่นที่เทียบเท่าและได้รับการยอมรับ ใน ระดับสากล จะได้รับการพิจารณาเป็นพิเศษ ทั้งนี้ ใบรับรองดังกล่าวไม่ใช่ข้อกําหนดบังคับ แต่ถือเป็น ปัจจัยสนับสนุน สําคัญ เนื่องจากงานในตําแหน่งนี้ต้องอาศัยทักษะด้านความปลอดภัยสารสนเทศและ มาตรฐานในการบริหารจัดการ ระบบเทคโนโลยีขั้นสูงเป็นหลัก
5.1.3 ผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ จํานวน 1 คน
คุณสมบัติ: สําเร็จการศึกษาไม่ตํ่ากว่าระดับปริญญาตรี สาขาวิศวกรรมศาสตร์ หรือเทคโนโลยี สารสนเทศ หรือสาขาที่เกี่ยวข้อง โดยมีประสบการณ์ทํางานให้แก่หน่วยงานของรัฐ หรือหน่วยงาน เอกชนในสาขาที่เกี่ยวข้อง ไม่น้อยกว่า 4 ปี ทั้งนี้ หากผู้ยื่นข้อเสนอมีใบรับรองวิชาชีพ เช่น CompTIA
NIEM-FM-01FS-020 Rev.1 (09/05/23)
Security+ หรือ CompTIA CSAP Security Analytics หรือ CompTIA CySA+ หรือใบรับรองอื่นที่ เทียบเท่าและ ได้รับการยอมรับในระดับสากล จะได้รับการพิจารณาเป็นพิเศษ ทั้งนี้ ใบรับรองดังกล่าว ไม่ใช่ข้อกําหนดบังคับ แต่ถือเป็นปัจจัยสนับสนุนสําคัญ เนื่องจากงานในตําแหน่งนี้ต้องอาศัยทักษะ ด้านความปลอดภัยสารสนเทศและ มาตรฐานในการบริหารจัดการระบบเทคโนโลยีขั้นสูงเป็นหลัก
5.2 บุคลากรสนับสนุน
5.2.1 ผู้ประสานงานโครงการ จํานวน 1 คน
คุณสมบัติ: สําเร็จการศึกษาไม่ตํ่ากว่าระดับปริญญาตรีทุกสาขา โดยมีประสบการณ์ทํางาน ให้แก่ หน่วยงานของรัฐหรือหน่วยงานเอกชน ไม่น้อยกว่า 2 ปี
ในกรณีที่ผู้รัจ้างมีความจําเป็นต้องเปลี่ยนแปลงบุคลากรที่เสนอ บุคลากรที่เสนอใหม่ต้องมี ประสบการณ์ และมีคุณสมบัติไม่ด้อยกว่าผู้ที่เคยได้นําเสนอไว้เดิม โดยต้องได้รับความยินยอมจาก สพฉ. เป็นลายลักษณ์อักษร โดย สพฉ. มีสิทธิที่จะไม่ยอมรับบุคลากรที่เสนอใหม่และมีสิทธิบอกเลิก สัญญาจ้างได้ หากพิจารณาแล้วเห็นว่า บุคลากรที่เสนอใหม่ไม่เป็นไปตามข้อเสนอ
เกณฑ์การพิจารณา
พิจารณาโดยใช้เกณฑ์ราคา
๗. กําหนดเวลาแล้วเสร็จของงานจ้าง
ระยะเวลาดําเนินงาน 240 วัน นับถัดจากวันลงนามสัญญา
๘. ผลงานที่จะต้องส่งมอบ
ผู้รับจ้างจะต้องจัดทำรายงานผลการปฏิบัติงานที่สอดคล้องกับขอบเขตการดําเนินงานตามข้อ 4. ใน รูปแบบของเอกสารรายงานและไฟล์ดิจิทัล ดังนี้
๘.1 งวดงานที่ 1 ผู้รับจ้างจะต้องจัดส่งมอบงาน ภายใน 30 วัน นับถัดจากวันลงนามสัญญา ดังนี้ รายงานเบื้องต้น ในรูปแบบของเอกสารรายงานแผนการดําเนินโครงการ (Project Plan) และนําเสนอแผนงาน จํานวน 1 ชุด
๘.2 งวดงานที่ 2 ผู้รับจ้างจะต้องจัดส่งมอบงาน ภายใน 60 วัน นับถัดจากวันลงนามสัญญา ดังนี้ รายงานความก้าวหน้า ในรูปแบบของเอกสารรายงาน จํานวน 1 ชุด โดยมีเนื้อหาครอบคลุมการดําเนินงาน ดังนี้
๘.2.1 นโยบายการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Policy) ร่วมกับ คณะกรรมการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Committee) หรือ คณะทํางาน หรือเจ้าหน้าที่ศูนย์ข้อมูล และเทคโนโลยีสารสนเทศ สพฉ.
๘.2.2 รายงานการจัดทำ/ปรับปรุงเอกสารระดับนโยบายและขั้นตอนปฏิบัติงานด้านความ มั่นคงปลอดภัย (Security policy & Procedure) และแนวปฏิบัติ (Procedure) เพื่อนําไปสู่ การได้รับการรับรองระบบบริหาร ความมั่นคงปลอดภัยสารสนเทศ (Certification) ตาม มาตรฐาน ISO/IEC 27001:2022
๘.3 งวดงานที่ 3 ผู้รับจ้างจะต้องจัดส่งมอบงาน ภายใน 180 วัน นับถัดจากวันลงนามสัญญา ดังนี้ รายงานฉบับกลาง ในรูปแบบของเอกสารรายงาน จํานวน 1 ชุด และไฟล์ดิจิทัล จํานวน 1 ชุด โดยมีเนื้อหา ครอบคลุมการดําเนินงาน ดังนี้
๘.3.1 เอกสาร Statement Of Applicability (SOA) ตาม Annex A ของมาตรฐาน ISO/IEC 27001:2022 ตามข้อ 4.2.4
๘.3.2 เอกสาร ทะเบียนทรัพย์สิน (Inventory of Asset) ให้สอดคล้องตามสภาพแวดล้อม ตามข้อ 4.2.6
NIEM-FM-01FS-020 Rev.1 (09/05/23)
๘.3.3 เอกสาร รายงานกระบวนการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Risk Management) และประเมินความเสี่ยงร่วมกับคณะทํางาน หรือเจ้าหน้าที่ศูนย์ข้อมูลและเทคโนโลยี สารสนเทศ สพฉ. โดยผลการดําเนินการครอบคลุม ตามข้อ 4.2.7, 4.2.8, 4.2.9
๘.3.4 เอกสาร กระบวนการ (Procedure) โดยสาระสำคัญเป็นไปตามมาตรฐานสากล ISO/IEC 27001:2022 ตามข้อ 4.2.10
7.3.5 เอกสาร แผนการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Plan) ตาม ข้อ 4.2.11
๘.3.6 เอกสาร วิธีการวัดประสิทธิผลมาตรการควบคุมความมั่นคงปลอดภัยสารสนเทศ (Effectiveness Measurement) ตามข้อ 4.2.12
๘.3.7 เอกสาร การฝึกอบรมหลักสูตรภาพรวมมาตรฐาน ISO/IEC 27001:2022 และ แนวทางการ ประยุกต์ใช้ (ISMS Overview and Implementation)
๘.3.8 เอกสารการผึกอบรมหลักสูตรสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัย สารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2022 (Information Security Awareness Training for ISO/IEC 27001:2022)
๘.3.9 เอกสาร การอบรมหลักสูตรการตรวจสอบภายในระบบบริหารจัดการความมั่นคง ปลอดภัยสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2022
๘.3.10 เอกสาร รายการหัวข้อตรวจสอบ ภายใน (Internal Audit Checklist) และ รายงาน ผลการตรวจสอบ (Internal Audit Report)
๘.3.11 เอกสาร รายงานการนำเสนอการประชุมทบทวนผู้บริหาร (Management Review Meeting)
7.3.12 เอกสาร แผนฯ เพื่อประกอบการปฏิบัติตามเอกสาร Corrective Action Request ที่ ผู้ตรวจประเมินภายในจัดส่งให้ระหว่างช่วงเวลาการดำเนินการตรวจตรวจรับรองมาตรฐานฯ ๘.4 งวดงานที่ 4 ผู้รับจ้างจะต้องจัดส่งมอบงาน ภายใน 240 วัน นับถัดจากวันลงนามสัญญา ดังนี้ รายงานฉบับสมบูรณ์ ในรูปแบบของเอกสารรายงาน จํานวน 1 ชุด และไฟล์ดิจิทัล จํานวน 1 ชุด และ ประกาศนียบัตรรับรองมาตรฐาน ISO/IEC 27001:2022 หรือจดหมายยืนยัน การผ่านการรับรองจาก ผู้ตรวจประเมินภายนอก (Certification Body)
๙. งบประมาณโครงการ
1,500,000 บาท (หนึ่งล้านห้าแสนบาท)
๑๐. การส่งมอบงาน การตรวจรับ และเงื่อนไขการชําระเงิน
สพฉ. จะจ่ายเงินค่าจ้างให้แก่ผู้รับจ้างตามขอบเขตการดําเนินงาน โดยมีเงื่อนไขการจ่ายเงินให้แก่ผู้รับ จ้างเมื่อคณะกรรมการตรวจรับพัสดุ ในงานจ้างได้ตรวจรับรายงานของผู้รับจ้างเรียบร้อยแล้ว และในกรณีที่ คณะกรรมการตรวจรับพัสดุ ในงานจ้างต้องการให้ปรับปรุงแก้ไขงาน ผู้รับจ้างจะต้องแก้ไขภายใน 15 วัน หลังจากได้รับหนังสือชี้แจง การปรับปรุงแก้ไข พร้อมรายละเอียดที่ต้องการให้ปรับปรุงแก้ไขจาก สพฉ. โดยจะ แบ่งการจ่ายเงินออกเป็น 4 งวด ดังนี้
งวดงาน
งานที่จะส่งมอบ
กําหนดส่งมอบ (นับถัดจาก วันลงนามสัญญา)
จํานวนเงิน (ร้อยละของ ค่าจ้างตามสัญญา
1
รายงานเบื้องต้น รายละเอียดตามข้อ ๘.1
30 วัน
ร้อยละ 20
2
รายงานความก้าวหน้า รายละเอียดตามข้อ ๘.2
60 วัน
ร้อยละ 30

NIEM-FM-01FS-020 Rev.1 (09/05/23)
3
รายงานฉบับกลาง รายละเอียดตามข้อ ๘.3
180 วัน
ร้อยละ 30
4
รายงานฉบับสมบูรณ์ รายละเอียดตามข้อ ๘.4
240 วัน
ร้อยละ 20

1๑. ผลที่คาดว่าจะได้รับ
1๑.1 สพฉ. ได้รับใบรับรองมาตรฐาน ISO/IEC 27001:2022
1๑.2 ยกระดับมาตรฐานระบบเครือข่ายโครงสร้างพื้นฐานทางด้านสารสนเทศของ สพฉ. 1๑.3 สามารถวางแผนการบริหารและจัดการความมั่นคงปลอดภัยสารสนเทศสําหรับระบบเครือข่าย โครงสร้างพื้นฐานทางด้านสารสนเทศเพื่อให้บริการได้อย่างมีประสิทธิภาพ และสามารถพัฒนา ปรับปรุงระบบ ให้มีความปลอดภัย
1๑.4 ลดและป้องกันภัยคุกคามที่มีโอกาสเกิดขึ้นกับระบบเครือข่ายโครงสร้างพื้นฐานทางด้าน สารสนเทศ ของ สพฉ. และสามารถดําเนินงานต่อไปได้อย่างมีประสิทธิภาพ
๑๒. กลุ่ม/สำนัก เจ้าของโครงการ
สำนักดิจิทัลการแพทย์ฉุกเฉิน สถาบันการแพทย์ฉุกเฉินแห่งชาติ
ลงชื่อ……………………………………………………..ประธานคณะกรรมการ
(นายศิวพล อนันตสิทธิ์)
ลงชื่อ……………………………………………………..กรรมการ
(นางสาวศิริลักษณ์ พิทักษา)
ลงชื่อ……………………………………………………..กรรมการ
(นายสมบูรณ์สิทธิ์ คงนิ่ม)
NIEM-FM-01FS-020 Rev.1 (09/05/23)