จ้างทำของ/จ้างเหมาบริการยกเลิกประกาศเชิญชวน

ประกวดราคาจ้างเหมาบริการโครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัย ตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำนักงานกิจการยุติธรรม

สำนักงานกิจการยุติธรรม 69019400535

฿2,500,000 ปีงบ 2569 ประกาศ 26 มี.ค. 2569 กรุงเทพมหานคร

รายละเอียดการจ้าง

โครงการนี้มีวัตถุประสงค์เพื่อดำเนินการทดสอบเจาะระบบและสแกนหาช่องโหว่ในระบบสารสนเทศของสำนักงานกิจการยุติธรรมเป็นประจำอย่างน้อย 2 ครั้งต่อปี ให้กับศูนย์สำคัญ 3 แห่ง ได้แก่ ศูนย์ OJA (พัฒนาระบบเทคโนโลยีสารสนเทศ), ศูนย์ DXC (แลกเปลี่ยนข้อมูลกระบวนการยุติธรรม) และศูนย์ NJADC (ฐานข้อมูลการบริหารงานยุติธรรมแห่งชาติ) เพื่อให้ระบบมีความมั่นคงปลอดภัย เป็นไปตามนโยบายและกฎหมายที่เกี่ยวข้อง

ขอบเขตงานครอบคลุมกิจกรรมหลัก 4 ด้าน ได้แก่ (1) การทดสอบเจาะระบบเว็บแอปพลิเคชัน 3 เว็บไซต์ ตามมาตรฐาน OWASP Top 10 และ CWE Top 25 (2) การทดสอบเจาะระบบเครือข่ายทั้งจากภายนอกและภายใน (External & Internal Network Penetration Test) บนไม่น้อยกว่า 170 IP Address (3) การสแกนหาช่องโหว่อัตโนมัติ (Vulnerability Assessment) บนไม่น้อยกว่า 170 IP Address และ (4) การตรวจสอบการตั้งค่า Security Hardening ของเครื่องแม่ข่ายไม่น้อยกว่า 10 เครื่อง โดยอ้างอิงมาตรฐาน CIS Benchmark และใช้เครื่องมือเชิงพาณิชย์ที่มีลิขสิทธิ์

ผลลัพธ์ที่ต้องส่งมอบคือรายงานผลการทดสอบเจาะระบบ (Penetration Testing Report) และรายงานผลการสแกนหาช่องโหว่ (Vulnerability Assessment Report) อย่างละ 2 ครั้ง พร้อมรายงานการตรวจสอบ Security Hardening โดยในครั้งที่ 2 จะต้องมีการเปรียบเทียบผลกับครั้งที่ 1 นอกจากนี้ ผู้รับจ้างต้องให้คำปรึกษาและร่วมประชุมเพื่อหาแนวทางปิดช่องโหว่อย่างน้อย 2 ครั้ง

English summary

This project aims to conduct penetration testing and vulnerability assessment for the information systems of the Office of Justice Affairs at least twice a year. The scope covers three key centers: OJA Center (IT development), DXC Center (Justice Process Data Exchange), and NJADC Center (National Justice Administration Database Center), to ensure cybersecurity compliance with national policies and laws.

The work includes four main activities: (1) Penetration testing for 3 web applications based on OWASP Top 10 and CWE Top 25 standards. (2) External and Internal Network Penetration Testing on no less than 170 IP addresses. (3) Automated Vulnerability Assessment scanning on no less than 170 IP addresses. (4) Security Hardening configuration checks for at least 10 servers, referencing CIS Benchmarks and using licensed commercial tools.

Key deliverables are two sets of Penetration Testing Reports and Vulnerability Assessment Reports, along with a Security Hardening audit report. The second round of testing must compare results with the first. The contractor is also required to provide consultation and participate in at least two meetings to discuss vulnerability remediation strategies.

สถานที่ดำเนินการ

สำนักงานกิจการยุติธรรม อาคารรัฐประศาสนภักดี ชั้น 4 ศูนย์ราชการเฉลิมพระเกียรติฯ 80 พรรษา ถนนแจ้งวัฒนะ หลักสี่ กรุงเทพมหานคร

คำสำคัญ

ทดสอบเจาะระบบ Vulnerability Assessment Security Hardening ตรวจสอบความมั่นคงปลอดภัยไซเบอร์Penetration Test OWASP Top 10 CIS Benchmark ISO 27001 บริการความมั่นคงปลอดภัยสารสนเทศ จ้างเหมาบริการไอที

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

เพื่อดำเนินการทดสอบเจาะระบบและสแกนหาช่องโหว่ในระบบของสำนักงานกิจการยุติธรรมเป็นประจำอย่างน้อย 2 ครั้งต่อปี ให้กับศูนย์ OJA, ศูนย์ DXC และศูนย์ NJADC
เพื่อให้ระบบมีความมั่นคงปลอดภัยและเป็นไปตามนโยบายรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน ระดับกระทรวง และระดับประเทศ

ขอบเขตของงาน

ดำเนินการทดสอบเจาะระบบ (Annual Penetration Test) และสแกนหาช่องโหว่ (Annual Vulnerability Assessment) ของระบบสารสนเทศ สำนักงานกิจการยุติธรรม 3 ศูนย์ (ศูนย์ OJA, ศูนย์ DXC, ศูนย์ NJADC) จำนวนอย่างน้อย 2 ครั้ง
ทดสอบเจาะระบบเว็บแอปพลิเคชัน 3 เว็บไซต์ โดยอ้างอิงแนวทางตามมาตรฐานสากล: OWASP Top 10 เวอร์ชันล่าสุด และ CWE TOP 25 Most Dangerous Software Weaknesses เวอร์ชันล่าสุด
ทดสอบเจาะระบบเครือข่ายจากภายนอก (External Network Penetration Test) และผ่านระบบเครือข่ายภายใน (Internal Network Penetration Test) บนจำนวนไม่น้อยกว่า 170 IP Address
ดำเนินการทดสอบสแกนหาช่องโหว่โดยใช้เครื่องมืออัตโนมัติ (Vulnerability Assessment) บนจำนวนไม่น้อยกว่า 170 IP Address
ตรวจสอบการตั้งค่า Security Hardening ให้กับเครื่องแม่ข่ายไม่น้อยกว่า 10 เครื่อง โดย:
- เปรียบเทียบการตั้งค่าด้วย Template ที่อ้างอิงกับ CIS Benchmark
- ใช้เครื่องมือเฉพาะสำหรับการทำ Security Hardening ที่เป็นแบบ Commercial ที่มีลิขสิทธิ์ถูกต้อง
จัดทำรายงานผลพร้อมวิธีการแก้ไขช่องโหว่ หรือเสนอแนวทางลดความเสี่ยงหากไม่สามารถปิดช่องโหว่ได้
การทดสอบครั้งที่ 2 จะต้องนำผลการแก้ไขช่องโหว่ครั้งที่ 1 มาเปรียบเทียบและจัดทำรายงาน
ร่วมประชุมเพื่อหารือและให้คำปรึกษาเพื่อจัดทำแนวทางและวิธีการดำเนินการปิดช่องโหว่ อย่างน้อย 2 ครั้ง

สิ่งที่ต้องส่งมอบ

แผนการดำเนินงานโครงการ
สัญญาการรักษาข้อมูลที่เป็นความลับ (Non-Disclosure Agreement)
รายงานผลการทดสอบเจาะระบบ (Penetration Testing Report) ครั้งที่ 1 (ทั้ง Hard Copy 5 ชุด และ Soft Copy ในรูปแบบ Word และ PDF)
รายงานผลการทดสอบสแกนหาช่องโหว่โดยใช้เครื่องมืออัตโนมัติ (Vulnerability Assessment Report) ครั้งที่ 1 (ทั้ง Hard Copy และ Soft Copy)
รายงานผลการทดสอบเจาะระบบ (Penetration Testing Report) ครั้งที่ 2 (ทั้ง Hard Copy และ Soft Copy)
รายงานผลการทดสอบสแกนหาช่องโหว่โดยใช้เครื่องมืออัตโนมัติ (Vulnerability Assessment Report) ครั้งที่ 2 (ทั้ง Hard Copy และ Soft Copy)
รายงานผลการตรวจสอบการตั้งค่า Security Hardening (ในรูปแบบ PDF และไฟล์ Excel หรือ CSV)

ระยะเวลาดำเนินการ

180 วัน นับถัดจากวันลงนามในสัญญา (กำหนดส่งมอบงานเป็น 3 งวด: งวดที่ 1 ภายใน 30 วัน, งวดที่ 2 ภายใน 60 วัน, งวดที่ 3 ภายใน 180 วัน)

คุณสมบัติผู้เสนอราคา

ประสบการณ์: ต้องเคยมีผลงานในการทำ Security Hardening หรือผลงานในการวิเคราะห์ช่องโหว่และทดสอบเจาะระบบ กับหน่วยงานภาครัฐหรือหน่วยงานเอกชนที่มีความน่าเชื่อถือ อย่างน้อย 2 ผลงาน แต่ละผลงานต้องมีมูลค่าไม่น้อยกว่า 1,000,000 บาท (หนึ่งล้านบาท) ย้อนหลังไม่เกิน 5 ปี นับจากวันที่ยื่นข้อเสนอ
มาตรฐาน: ต้องได้รับมาตรฐานระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001 (ISMS) หรือมาตรฐานระบบบริหารงานคุณภาพ ISO 9001 (QMS)
ทีมงาน: ต้องแสดงทีมงานไม่น้อยกว่า 4 คน โดยมีคุณสมบัติเฉพาะดังนี้:
- ผู้จัดการโครงการ (Project Manager) 1 คน:
  - วุฒิปริญญาตรี สาขาวิศวกรรมคอมพิวเตอร์, วิทยาการคอมพิวเตอร์, วิทยาศาสตร์คอมพิวเตอร์ หรือสารสนเทศศาสตร์
  - ประสบการณ์ทำงานด้านคอมพิวเตอร์ไม่น้อยกว่า 5 ปี และมีประสบการณ์เป็นผู้จัดการโครงการที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศไม่น้อยกว่า 1 ปี ในโครงการที่มีมูลค่าไม่ต่ำกว่า 1 ล้านบาท
- ผู้เชี่ยวชาญด้านทดสอบเจาะระบบ อย่างน้อย 1 คน:
  - วุฒิปริญญาตรี สาขาวิทยาการคอมพิวเตอร์, วิศวกรรมคอมพิวเตอร์ หรือสาขาที่เกี่ยวข้อง
  - ประสบการณ์ในการทดสอบเจาะระบบไม่น้อยกว่า 5 ปี ในโครงการอย่างน้อย 1 โครงการ มูลค่าไม่ต่ำกว่า 1 ล้านบาท
  - ต้องมีใบรับรองความสามารถด้านความมั่นคงปลอดภัยไซเบอร์จากหน่วยงานระดับสากล อย่างน้อย 2 รายการ จากรายการที่กำหนด เช่น GPEN, GXPN, OSCP, OSCP+, PNPT, CPTS
- นักตรวจสอบช่องโหว่และนักทดสอบเจาะระบบ อย่างน้อย 2 คน:
  - วุฒิปริญญาตรี สาขาวิทยาการคอมพิวเตอร์, วิศวกรรมคอมพิวเตอร์ หรือสาขาที่เกี่ยวข้อง
  - ประสบการณ์ทำงานที่เกี่ยวข้องไม่น้อยกว่า 3 ปี ในโครงการอย่างน้อย 1 โครงการ มูลค่าไม่ต่ำกว่า 1 ล้านบาท
  - ต้องมีใบรับรองความสามารถด้านความมั่นคงปลอดภัยไซเบอร์จากหน่วยงานระดับสากล อย่างน้อย 2 รายการ จากรายการที่กำหนด เช่น GPEN, GXPN, OSCP, OSCP+, CRT, GWAPT, GEVA, eCPPT, eWPT, PNPT, CPTS
ข้อกำหนดอื่น:
- ผู้ยื่นข้อเสนอต้องจัดทำตารางเปรียบเทียบรายละเอียดและเงื่อนไขเฉพาะ (Statement of Compliance) ต่อข้อกำหนดรายละเอียด (Specification) เป็นรายข้อทุกข้อ

เกณฑ์การพิจารณา

พิจารณาจากราคารวม โดยใช้หลักเกณฑ์ราคาต่ำสุด (Lowest Price) หากมีผู้เสนอราคาต่ำสุดเท่ากันหลายราย จะพิจารณาราคาต่ำสุดของผู้ที่เสนอราคาในลำดับแรกเป็นผู้ชนะ

ข้อกำหนดทางเทคนิค

มาตรฐานการทดสอบ: ต้องอ้างอิงแนวทางการเจาะระบบตามมาตรฐานสากล ได้แก่ OWASP Top 10 เวอร์ชันล่าสุด และ CWE TOP 25 Most Dangerous Software Weaknesses เวอร์ชันล่าสุด
ขอบเขตเป้าหมาย: ระบบของ 3 ศูนย์ (OJA, DXC, NJADC) รวมไม่น้อยกว่า 170 IP Address สำหรับการทดสอบเจาะระบบเครือข่ายและการสแกนหาช่องโหว่
ประเภทการทดสอบ: ครอบคลุม Web Application Penetration Test (3 เว็บไซต์), External & Internal Network Penetration Test, และ Automated Vulnerability Assessment
การตรวจสอบ Security Hardening: ตรวจสอบการตั้งค่าเครื่องแม่ข่ายไม่น้อยกว่า 10 เครื่อง โดยอ้างอิง CIS Benchmark และใช้เครื่องมือเฉพาะที่เป็น Commercial Software ที่มีลิขสิทธิ์ถูกต้อง
รูปแบบรายงาน: ต้องมีทั้งบทสรุปสำหรับผู้บริหาร (Executive Summary) และรายละเอียดเชิงเทคนิค รวมถึงแนวทางการแก้ไขหรือลดความเสี่ยง

เงื่อนไขสัญญา

ระยะเวลาสัญญา: 180 วัน
การจ่ายเงิน: แบ่งเป็น 3 งวด
- งวดที่ 1 (20%): เมื่อส่งมอบแผนดำเนินงานและ NDA ภายใน 30 วันหลังลงนาม
- งวดที่ 2 (50%): เมื่อส่งมอบรายงาน Penetration Testing และ Vulnerability Assessment ครั้งที่ 1 ภายใน 60 วันหลังลงนาม
- งวดที่ 3 (30%): เมื่อส่งมอบรายงานทั้งหมด (รวมทั้งครั้งที่ 2 และรายงาน Security Hardening) ภายใน 180 วันหลังลงนาม
ค่าปรับ:
- กรณีจ้างช่วงโดยไม่ได้รับอนุญาต: ค่าปรับร้อยละ 10 ของวงเงินงานจ้างช่วงนั้น
- กรณีปฏิบัติผิดสัญญาอื่นๆ: ค่าปรับรายวันในอัตราร้อยละ 0.10 ของราคาค่าจ้าง
การบอกเลิกสัญญา: สำนักงานสงวนสิทธิ์บอกเลิกสัญญาหากมีเหตุจำเป็นที่เป็นอุปสรรคทำให้ไม่สามารถดำเนินการจ้างได้
สิทธิในข้อมูลและเอกสาร: ลิขสิทธิ์ในฐานข้อมูลและเอกสารทุกฉบับเป็นกรรมสิทธิ์ของสำนักงานกิจการยุติธรรม

คำถามที่พบบ่อย (FAQ)

Q: โครงการนี้ต้องทดสอบระบบทั้งหมดกี่ครั้ง และครอบคลุมระบบอะไรบ้าง?
- A: ต้องดำเนินการทดสอบทั้งหมด 2 ครั้ง (ครั้งที่ 1 และครั้งที่ 2) ครอบคลุมระบบสารสนเทศของ 3 ศูนย์หลัก ได้แก่ ศูนย์ OJA, ศูนย์ DXC และศูนย์ NJADC
Q: ต้องทดสอบเจาะระบบเว็บแอปพลิเคชันกี่เว็บไซต์ และใช้มาตรฐานใดในการประเมิน?
- A: ต้องทดสอบเจาะระบบเว็บแอปพลิเคชันจำนวน 3 เว็บไซต์ โดยอ้างอิงแนวทางตามมาตรฐาน OWASP Top 10 และ CWE TOP 25 เวอร์ชันล่าสุด
Q: จำนวน IP Address ที่ต้องทดสอบมีขั้นต่ำเท่าไร?
- A: ต้องดำเนินการทดสอบเจาะระบบเครือข่ายและสแกนหาช่องโหว่อัตโนมัติ บนเป้าหมายไม่น้อยกว่า 170 IP Address
Q: งานตรวจสอบ Security Hardening มีขอบเขตอย่างไร?
- A: ตรวจสอบการตั้งค่า Security Hardening ให้กับเครื่องแม่ข่ายไม่น้อยกว่า 10 เครื่อง โดยใช้ Template อ้างอิง CIS Benchmark และเครื่องมือเฉพาะที่เป็น Commercial Software
Q: รายงานผลการทดสอบครั้งที่ 2 ต้องมีอะไรเป็นพิเศษ?
- A: ในรายงานครั้งที่ 2 ต้องมีการเปรียบเทียบผลการทดสอบกับครั้งที่ 1 เพื่อแสดงความคืบหน้าในการแก้ไขช่องโหว่
Q: ผู้รับจ้างมีภาระหน้าที่ในการให้คำปรึกษานอกเหนือจากการส่งรายงานหรือไม่?
- A: ใช่ ผู้รับจ้างต้องร่วมประชุมเพื่อหารือและให้คำปรึกษาเพื่อจัดทำแนวทางการปิดช่องโหว่ อย่างน้อย 2 ครั้ง
Q: ต้องส่งมอบรายงานในรูปแบบใดบ้าง?
- A: ต้องส่งมอบทั้งรูปแบบเอกสารพิมพ์ (Hard Copy) จำนวน 5 ชุด และรูปแบบไฟล์ดิจิทัล (Soft Copy) ทั้งไฟล์ Word และ PDF บน Flash Drive จำนวน 2 ชุด สำหรับทุกงวดการส่งมอบ
Q: ใบรับรองความสามารถของบุคลากรต้องเป็นจากหน่วยงานใด?
- A: ต้องเป็นใบรับรองจากหน่วยงานในระดับสากล ตามรายการที่กำหนดใน TOR เช่น จาก GIAC, OffSec, CREST, eLearnSecurity เป็นต้น
Q: หากไม่สามารถแก้ไขช่องโหว่ที่พบได้ ต้องทำอย่างไร?
- A: ต้องเสนอแนวทางลดความเสี่ยงหรือลดผลกระทบที่อาจเกิดขึ้น แทนการปิดช่องโหว่โดยตรง พร้อมอธิบายเหตุผลในรายงาน
Q: เครื่องมือที่ใช้ในการตรวจสอบ Security Hardening ต้องเป็นประเภทใด?
- A: ต้องเป็นโปรแกรมแบบ Commercial ที่มีความน่าเชื่อถือและมีลิขสิทธิ์ถูกต้อง เฉพาะสำหรับการทำ Security Hardening เท่านั้น

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัย ตามประมวลแนวทางปฏิบัติ ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
๑/๘
๑. ความเป็นมา
พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ ได้กําหนดให้มีการจัดทํา ประมวลแนวทางปฏิบัติ และกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์อันเป็นข้อกําหนด
ขั้นต่ําในการดําเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สําหรับหน่วยงานของรัฐ และหน่วยงาน โครงสร้างพื้นฐานสําคัญทางสารสนเทศ โดยกําหนดให้มีการประเมินช่องโหว่และการทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing) ทางด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน ที่ครอบคลุม ทั้งฮาร์ดแวร์ (Hardware) และซอฟต์แวร์ (Software) ว่ามีช่องโหว่ใดบ้างที่มีผลกระทบต่อความมั่นคง ปลอดภัยไซเบอร์ของหน่วยงาน เพื่อให้หน่วยงานทราบถึงจุดอ่อนด้านความมั่นคงปลอดภัย และแก้ไขก่อนที่จะ
เกิดเหตุการณ์ที่ส่งผลกระทบต่อระบบสารสนเทศของหน่วยงาน
สํานักงานกิจการยุติธรรมเป็นหน่วยงานที่มีการพัฒนาระบบเทคโนโลยีสารสนเทศ เพื่อยกระดับบริการ ของหน่วยงาน ซึ่งประกอบด้วย ระบบสารสนเทศภายในสํานักงานกิจการยุติธรรม (ศูนย์ OJA) ศูนย์แลกเปลี่ยน ข้อมูลกระบวนการยุติธรรม Data Exchange Center (ศูนย์ DXC) และศูนย์ปฏิบัติการฐานข้อมูลการบริหารงาน ยุติธรรมแห่งชาติ (ศูนย์ NJADC) ที่มีการพัฒนา ทั้งด้านอุปกรณ์ ด้านระบบบริการ และด้านระบบรักษาความมั่นคง ปลอดภัย โดยศูนย์ OJA มีภารกิจหลักในการพัฒนาระบบเทคโนโลยีสารสนเทศ ระบบงานสําคัญของหน่วยงาน และเทคโนโลยีที่ช่วยในการขับเคลื่อนงานเชื่อมต่องานต่าง ๆ ของทั้งศูนย์ NUJADC ที่มีภารกิจหลักเกี่ยวกับฐานข้อมูล ด้านกระบวนการยุติธรรม (Database) ด้วยชุดข้อมูลของหน่วยงานที่เป็นการยกระดับงาน หรือเพิ่มขีดความสามารถ ของหน่วยงาน (Capacity of Organization) และเครื่องมือดิจิทัลที่หน่วยงานนํามาใช้/ระบบงานสําคัญ (Digital Base) เทคโนโลยีที่นํามาใช้ในการพัฒนางานด้านกระบวนการยุติธรรม และศูนย์ DXC ที่ได้ดําเนินการขอรับรอง มาตรฐาน ISO/IEC 27001:2022 การบริหารจัดการความเสี่ยงทั้งด้านบุคลากร กระบวนการ และเครื่องมือหรือ เทคโนโลยี เพื่อลดผลกระทบต่อผู้ใช้งานและหน่วยงานที่เกี่ยวข้องโดยรวม พร้อมทั้งรับประกันคุณภาพการให้บริการ ว่ามีความมั่นคงปลอดภัยขั้นสูง จึงมีความจําเป็นอย่างยิ่งที่จะต้องดําเนินโครงการตรวจประเมินประสิทธิภาพ ความมั่นคงปลอดภัย ตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการ ยุติธรรม เพื่อทดสอบเจาะระบบ และสแกนหาช่องโหว่ในระบบ เป็นประจําอย่างน้อย ๑ ครั้งต่อปี ให้กับศูนย์ OJA ศูนย์ DXC และศูนย์ NJADC ให้มีความมั่นคงปลอดภัย และเป็นไปตามนโยบายการรักษาความมั่นคงปลอดภัย
ไซเบอร์ของหน่วยงาน ระดับกระทรวง และระดับประเทศ
๒. วัตถุประสงค์
เพื่อดําเนินการทดสอบเจาะระบบและสแกนหาช่องโหว่ในระบบของสํานักงานกิจการยุติธรรมเป็น ประจําอย่างน้อย ๒ ครั้งต่อปี ให้กับศูนย์ OJA ศูนย์ DXC และศูนย์ NJADC มีความมั่นคงปลอดภัยและเป็นไป ตามนโยบายรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน ระดับกระทรวง และระดับประเทศ
๓. เป้าหมาย
ระบบเทคโนโลยีสารสนเทศของสํานักงานกิจการยุติธรรม ซึ่งประกอบด้วย ศูนย์ OJA ศูนย์ DXC
และศูนย์ NJADC มีความมั่นคงปลอดภัย สามารถใช้งานได้อย่างต่อเนื่อง และรองรับข้อกําหนดในกฎหมาย และมาตรฐานด้านความมั่นคงปลอดภัยไซเบอร์
کیسے
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
๔. ประโยชน์ที่คาดว่าจะได้รับ
ผลผลิต
10/60
มีรายงานผลการทดสอบเจาะระบบ (Penetration Testing Report) และรายงานผลการทดสอบสแกน หาช่องโหว่โดยใช้เครื่องมืออัตโนมัติ (Vulnerability Assessment Report) ของสํานักงานกิจการยุติธรรม
ที่สามารถนํามาใช้ในการแก้ไขช่องโหว่ตามลําดับความเร่งด่วน
ผลลัพธ์
สํานักงานกิจการยุติธรรมมีรายงานสรุปความเสี่ยงและช่องโหว่ที่เป็นจุดอ่อนของระบบเทคโนโลยี
สารสนเทศ สําหรับการพัฒนาแก้ไขปรับปรุงเพื่อป้องกันและลดโอกาสที่จะถูกบุกรุก หรือโจมตีจากผู้ไม่ประสงค์ดี
๕. คุณสมบัติของผู้ยื่นข้อเสนอ
๕.๑ มีความสามารถตามกฎหมาย ๕.๒ ไม่เป็นบุคคลล้มละลาย ๕.๓ ไม่อยู่ระหว่างเลิกกิจการ
๕.๔ ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังกําหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
๕.๕ ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของ
หน่วยงานของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วน ผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอํานาจในการดําเนินงานในกิจการของนิติบุคคลนั้นด้วย
๕.๖ มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหาร พัสดุภาครัฐกําหนดในราชกิจจานุเบกษา
๕.๗ เป็นบุคคลธรรมดาหรือนิติบุคคลผู้มีอาชีพรับจ้างงานที่ประกวดราคาอิเล็กทรอนิกส์ดังกล่าว ๕.๘ ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอราคารายอื่นที่เข้ายื่นข้อเสนอให้แก่สํานักงาน กิจการยุติธรรม ณ วันประกาศประกวดราคาอิเล็กทรอนิกส์ หรือไม่เป็นผู้กระทําการอันเป็นการขัดขวางการแข่งขัน ราคาอย่างเป็นธรรมในการประกวดราคาอิเล็กทรอนิกส์ครั้งนี้
๕.๙ ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้ยื่น ข้อเสนอได้มีคําสั่งให้สละเอกสิทธิ์ความคุ้มกันเช่นว่านั้น
๕.๑๐ ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติ ดังนี้
(๑) การกําหนดสัดส่วนในการเข้าร่วมค้าของคู่สัญญา
กรณีที่ข้อตกลงฯ กําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงฯ จะต้องมีการกําหนดสัดส่วนหน้าที่ และความรับผิดชอบในปริมาณงาน สิ่งของ หรือมูลค่าตามสัญญาของผู้เข้าร่วมค้า หลักมากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
(๒) กรณีที่ข้อตกลงฯ กําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก กิจการร่วมค้านั้น ต้องใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอ
สําหรับข้อตกลงฯ ที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก ผู้เข้าร่วมค้า ทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่กําหนดไว้ในเอกสารเชิญชวน
(๓) การยื่นข้อเสนอของกิจการร่วมค้า
(๓.๑) กรณีที่ข้อตกลงฯ กําหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่น
ข้อเสนอในนามกิจการร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอํานาจ
as
Jo
i-
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
๗/๔
สําหรับข้อตกลงฯ ที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอ ผู้เข้าร่วมค้า
ทุกรายจะต้องลงลายมือชื่อในหนังสือมอบอํานาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอในนามกิจการร่วมค้า (๓.๒) การยื่นข้อเสนอด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ (e - bidding) ให้ผู้เข้าร่วมค้า ที่ได้รับมอบหมายหรือมอบอํานาจตามข้อ (๓.๑) ดําเนินการซื้อเอกสารประกวดราคาอิเล็กทรอนิกส์ กรณีที่มี การจําหน่ายเอกสารซื้อหรือจ้าง
๕.๑๑ ผู้ยื่นข้อเสนอต้องลงทะเบียนที่มีข้อมูลถูกต้องครบถ้วนในระบบจัดซื้อจัดจ้างภาครัฐ ด้วยอิเล็กทรอนิกส์ (Electronic Government Procurement : e-GP) ของกรมบัญชีกลาง
๕.๑๒ ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ ดังนี้
๑.
กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยหรือต่างประเทศซึ่งได้จด
ทะเบียนเกินกว่า ๑ ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิที่ปรากฏ ในงบแสดงฐานะการเงินที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก ๑ ปีสุดท้ายก่อนวันยื่นข้อเสนองบ แสดงฐานะการเงิน ๑ ปีสุดท้ายก่อนวันยื่นข้อเสนอ หมายถึง งบแสดงฐานะการเงินย้อนไปก่อนวันที่หน่วยงาน ของรัฐกําหนดให้เป็นวันยื่นข้อเสนอ ๑ ปีปฏิทิน เว้นแต่กรณีนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย หากวันยื่น ข้อเสนอเป็นช่วงระยะเวลาที่กรมพัฒนาธุรกิจการค้ากําหนดให้นิติบุคคลยื่นงบแสดงฐานะการเงินกับกรมพัฒนา ธุรกิจการค้า ซึ่งจะอยู่ในช่วงเดือนมกราคม – เดือนพฤษภาคม ของทุกปี โดยนิติบุคคลที่เป็นผู้ยื่นข้อเสนอนั้นยังอยู่ ในช่วงของการยื่นงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า คือ ช่วงเดือนมกราคม – เดือนพฤษภาคม กรณีนี้ให้สามารถยื่นงบแสดงฐานะการเงินย้อนไปอีก ๑ ปี ได้
๒. กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย ซึ่งยังไม่มีการรายงานงบแสดง ฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ให้พิจารณาการกําหนดมูลค่าของทุนจดทะเบียน โดยผู้ยื่นข้อเสนอจะต้อง มีทุนจดทะเบียนที่เรียกชําระมูลค่าหุ้นแล้ว ณ วันที่ยื่นข้อเสนอ ไม่ต่ํากว่า ๑ ล้านบาท
๓. สําหรับการจัดซื้อจัดจ้างครั้งหนึ่งที่มีวงเงินเกิน ๕๐๐,๐๐๐ บาทขึ้นไป กรณีผู้ยื่นข้อเสนอ เป็นบุคคลธรรมดา โดยพิจารณาจากหนังสือรับรองบัญชีเงินฝากไม่เกิน ๙๐ วัน ก่อนวันยื่นข้อเสนอ โดยต้อง มีเงินฝากคงเหลือในบัญชีธนาคารเป็นมูลค่า ๑ ใน ๔ ของมูลค่างบประมาณของโครงการหรือรายการที่ยื่น ข้อเสนอ ในแต่ละครั้ง และหากเป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ได้รับการคัดเลือกจะต้องแสดงหนังสือ
รับรองบัญชีเงินฝากที่มีมูลค่าดังกล่าวอีกครั้งหนึ่งในวันลงนามในสัญญา
๔. กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียน หรือมีแต่ไม่เพียงพอ ที่จะเข้ายื่นข้อเสนอ สามารถดําเนินการได้ดังนี้
(๑) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย หรือบุคคลธรรมดาที่ถือ สัญชาติไทย ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ ๑ ใน ๔ ของมูลค่างบประมาณของ โครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง จะเป็นสินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุนหรือ
บริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้ําประกัน
ตามประกาศของธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทยแจ้งเวียนให้
ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สํานักงานใหญ่รับรอง หรือที่สํานักงานสาขารับรอง (กรณีได้รับมอบอํานาจจากสํานักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวันยื่นข้อเสนอไม่เกิน ๙๐ วัน
(๒) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศ หรือบุคคล ธรรมดาที่มิได้ถือสัญชาติไทย ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ ๑ ใน ๔ ของมูลค่า งบประมาณของโครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง จะเป็นสินเชื่อที่ธนาคารต่างประเทศหรือบริษัท
เงินทุนหรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบ
ธุรกิจค้ําประกันตามประกาศของธนาคารกลางต่างประเทศนั้น ตามรายชื่อบริษัทที่ธนาคารกลางต่างประเทศ
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
Ny rat
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
นั้นแจ้งเวียนให้ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สํานักงานใหญ่รับรอง หรือที่สํานักงาน สาขารับรอง (กรณีได้รับมอบอํานาจจากสํานักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวันยื่นข้อเสนอไม่เกิน
๙๐ วัน
๕. กรณีกรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศ หรือบุคคล ธรรมดาที่มิได้ถือสัญชาติไทยตามข้อ ๒ ข้อ ๓ และข้อ ๔ (๒) มูลค่าจะต้องเป็นไปตามอัตราแลกเปลี่ยนเงินตรา ตามประกาศที่ธนาคารแห่งประเทศไทยกําหนด ในช่วงระหว่างวันที่เผยแพร่ประกาศและเอกสารประกวดราคา ในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (e - GP) จนถึงวันเสนอราคา
ทั้งนี้ ผู้ยื่นข้อเสนอจะต้องยื่นเอกสารที่แสดงให้เห็นถึงข้อมูลเกี่ยวกับมูลค่าสุทธิของกิจการ แล้วแต่กรณี ประกอบกับเอกสารดังกล่าวจะต้องผ่านการรับรองตามระเบียบกระทรวงการต่างประเทศว่าด้วย การรับรองเอกสาร พ.ศ. ๒๕๓๙ และที่แก้ไขเพิ่มเติม กําหนด โดยจะต้องยื่นเอกสารดังกล่าวในวันยื่นข้อเสนอ หากผู้ยื่นข้อเสนอมิได้มีการยื่นเอกสารดังกล่าวมาพร้อมกับการยื่นข้อเสนอให้ถือว่าผู้ยื่นข้อเสนอรายนั้นยื่น
เอกสารไม่ครบถ้วนตามเงื่อนไขที่กําหนดไว้ในเอกสารประกวดราคา
5. กรณีตามข้อ ๑ - ข้อ ๕ ไม่ใช้บังคับกับกรณีดังต่อไปนี้
๖.
๕
(๖.๑) กรณีที่ผู้ยื่นข้อเสนอเป็นหน่วยงานของรัฐภายในประเทศ
(๖.๒) นิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยที่อยู่ระหว่างการฟื้นฟูกิจการตามพระราชบัญญัติ ล้มละลาย พ.ศ. ๒๔๘๓ และที่แก้ไขเพิ่มเติม
(๖.๓) งานจ้างก่อสร้างที่กรมบัญชีกลางได้ขึ้นทะเบียนผู้ประกอบการงานก่อสร้างแล้วและ
งานจ้างก่อสร้างที่หน่วยงานของรัฐที่ได้มีการจัดทําบัญชีผู้ประกอบการงานก่อสร้างที่มีคุณสมบัติเบื้องต้นไว้แล้ว
มีผลใช้บังคับ
ก่อนวันที่พระราชบัญญัติการจัดซื้อจัดจ้างฯ
การจัดซื้อจัดจ้างฯ
(๖.๔) การจัดซื้อจัดจ้างตามมาตรา ๕๖ วรรคหนึ่ง (๒) (ข) และ (ค) แห่งพระราชบัญญัติ
(๖.๕) การซื้ออสังหาริมทรัพย์และการเช่าอสังหาริมทรัพย์
(๖.๖) กรณีงานจ้างบริการหรืองานจ้างเหมาบริการกับบุคคลธรรมดา เช่น จ้างพนักงานขับรถ ครูชาวต่างชาติ พนักงานเก็บขยะ พนักงานบันทึกข้อมูล เป็นต้น
๕.๑๓ ผู้ยื่นข้อเสนอต้องเคยมีผลงานในการทํา Security Hardening หรือผลงานในการวิเคราะห์ ช่องโหว่และทดสอบเจาะระบบ กับหน่วยงานภาครัฐหรือหน่วยงานเอกชนที่มีความน่าเชื่อถือ โดยผู้ยื่นข้อเสนอ ต้องแนบเอกสารหลักฐานสัญญาจ้างงาน หรือหนังสือรับรองจากหน่วยงาน หรือหนังสือรับรองการจ้างงาน หรือเอกสารที่แสดงถึงผลงานดังกล่าว และยื่นพร้อมเอกสารประกวดราคาครั้งนี้ด้วย โดยแสดงผลงานอย่างน้อย ๒ ผลงาน โดยแต่ละผลงานต้องมีมูลค่าไม่น้อยกว่า 9,000,000 บาท (หนึ่งล้านบาทถ้วน) ย้อนหลังไม่เกิน ๕ ปี นับจากวันที่ยื่นข้อเสนอ
ปี
๕.๑๔ ผู้ยื่นข้อเสนอจะต้องได้รับมาตรฐานระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001 (Information Security Management System: ISMS) หรือได้รับมาตรฐานระบบ บริหารงานคุณภาพ ISO 9001 (Quality Management System: QMS) และยื่นหลักฐานพร้อมเอกสาร ประกวดราคาครั้งนี้ด้วย
as
กองนโยซ้ายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
๘
๕.๑๕ ผู้ยื่นข้อเสนอต้องแสดงทีมงานในการดําเนินงานโครงการนี้ไม่น้อยกว่า ๔ คน ดังนี้
๕.๑๕.๑ ผู้จัดการโครงการ (Project Manager) จํานวน ๑ คน โดยต้องแนบเอกสารหลักฐาน ดังกล่าวมาพร้อมกับการยื่นเอกสารประกวดราคาฯ ครั้งนี้ด้วย ซึ่งมีคุณสมบัติ ดังนี้
(๑) มีวุฒิทางการศึกษาอย่างน้อยปริญญาตรี สาขาวิศวกรรมคอมพิวเตอร์ หรือสาขา
วิทยาการคอมพิวเตอร์ หรือสาขาวิทยาศาสตร์คอมพิวเตอร์ หรือสาขาสารสนเทศศาสตร์ (๒) มีประสบการณ์ในการทํางานด้านคอมพิวเตอร์ ไม่น้อยกว่า ๕ ปี และมีประสบการณ์ใน การเป็นผู้จัดการโครงการ (Project Manager) เกี่ยวข้องกับด้านความมั่นคงปลอดภัย สารสนเทศไม่น้อยกว่า ๑ ปี อย่างน้อย ๑ โครงการ ซึ่งมีมูลค่าไม่ต่ํากว่า ๑ ล้านบาท ๕.๑๕.๒ ผู้เชี่ยวชาญด้านทดสอบเจาะระบบ จํานวนอย่างน้อย ๑ คน โดยต้องแนบเอกสาร หลักฐานดังกล่าวมาพร้อมกับการยื่นเอกสารประกวดราคาฯ ครั้งนี้ด้วย ซึ่งมีคุณสมบัติ ดังนี้
(๑) มีวุฒิทางการศึกษาอย่างน้อยปริญญาตรี สาขาวิทยาการคอมพิวเตอร์ หรือวิศวกรรม
คอมพิวเตอร์ หรือสาขาที่เกี่ยวข้องด้านคอมพิวเตอร์
(๒) มีประสบการณ์ในการทดสอบเจาะระบบ ไม่น้อยกว่า ๕ ปี ในโครงการอย่างน้อย
๑ โครงการ มูลค่าโครงการไม่ต่ํากว่า ๑ ล้านบาท
(๓) ต้องได้รับการรับรอง หรือได้รับประกาศนียบัตรรับรองด้านความรู้ความสามารถ
ทางด้านความมั่นคงปลอดภัยไซเบอร์จากหน่วยงานในระดับสากล อย่างใดอย่างหนึ่ง จํานวนอย่างน้อย ๒ รายการ ดังนี้
GIAC Certified Network Penetration Testing (GPEN)
GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
• OffSec Certified Professional (OSCP) OffSec Certified Professional
Plus (OSCP+)
• Practical Network Penetration Tester (PNPT)
• Certified Penetration Testing Specialist (CPTS)
๕.๑๕.๓ นักตรวจสอบช่องโหว่และนักทดสอบเจาะระบบ จํานวนอย่างน้อย ๒ คน โดยต้อง แนบเอกสารหลักฐานดังกล่าวมาพร้อมกับการยื่นเอกสารประกวดราคาฯ ครั้งนี้ด้วย ซึ่งมีคุณสมบัติ ดังนี้
(๑) มีวุฒิทางการศึกษาอย่างน้อยปริญญาตรี สาขาวิทยาการคอมพิวเตอร์ หรือวิศวกรรม
คอมพิวเตอร์ หรือสาขาที่เกี่ยวข้องด้านคอมพิวเตอร์
(๒) มีประสบการณ์การทํางานที่เกี่ยวข้องกับตําแหน่ง ไม่น้อยกว่า ๓ ปี มีหน้าที่และความ
รับผิดชอบในโครงการอย่างน้อย ๑ โครงการ ซึ่งมีมูลค่าไม่ต่ํากว่า ๑ ล้านบาท (๓) ได้รับการรับรอง หรือได้รับประกาศนียบัตรรับรองด้านความรู้ความสามารถทางด้าน
ความมั่นคงปลอดภัยไซเบอร์จากหน่วยงานในระดับสากล อย่างใดอย่างหนึ่ง จํานวน อย่างน้อย ๒ รายการ ดังนี้
GIAC Certified Network Penetration Testing (GPEN)
GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
• Offsec Certified Professional (OSCP) OffSec Certified Professional
Plus (OSCP+)
• CREST Registered Penetration Tester (CRT)
• GIAC Web Application Penetration Tester (GWAPT)
этиб
Lite
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
stamo
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
GIAC Enterprise Vulnerability Assessor (GEVA)
⚫ eLearnSecurity Certified Professional Penetration Tester (eCPPT)
eLearnSecurity Web Application Penetration Tester (eWPT)
Practical Network Penetration Tester (PNPT)
Certified Penetration Testing Specialist (CPTS)
b/๘
๕.๑๖ ผู้ยื่นข้อเสนอต้องจัดทําตารางเปรียบเทียบรายละเอียดและเงื่อนไขเฉพาะต่อข้อกําหนด รายละเอียด (Specification) เป็นรายข้อทุกข้อ (Statement compliance) โดยใช้ตัวอย่างแบบฟอร์มที่กําหนด ให้เพื่อเปรียบเทียบรายการดังกล่าว หากผู้ยื่นข้อเสนอไม่ดําเนินการตามข้อนี้ คณะกรรมการพิจารณาผลการ เสนอราคา ขอสงวนสิทธิ์ในการไม่พิจารณาข้อเสนอตามเอกสารของผู้ยื่นข้อเสนอ
ที่
รายละเอียดของงาน
รายละเอียดของงาน
(Terms of Reference : TOR) ที่ (Terms of Reference : TOR)
สกธ. กําหนด
ที่ยื่นข้อเสนอ
เอกสารอ้างอิง/ หมายเหตุ
หน้า
5. ขอบเขตของงานที่จะดําเนินการจัดจ้าง
ดําเนินการทดสอบเจาะระบบ (Annual Penetration Test) และสแกนหาช่องโหว่ (Annual Vulnerability Assessment) ของระบบสารสนเทศสํานักงานกิจการยุติธรรมจํานวน ๓ ศูนย์ ประกอบไปด้วย ศูนย์ OJA ศูนย์ DXC และ ศูนย์ NJADC โดยผู้เชี่ยวชาญด้านระบบรักษาความปลอดภัย จํานวนอย่างน้อย ๒ ครั้ง รายละเอียดดังนี้
๖.๑ ผู้เชี่ยวชาญด้านระบบรักษาความปลอดภัยดําเนินการทดสอบเจาะระบบเพื่อสํารวจหาช่องโหว่ Web Application จํานวน ๓ เว็บไซต์ โดยอ้างอิงแนวทางการเจาะระบบตามมาตรฐานสากล อย่างน้อยดังนี้

OWASP Top 10 เวอร์ชันล่าสุด

CWE TOP 25 Most Dangerous Software Weaknesses เวอร์ชันล่าสุด
๖.๒ ผู้เชี่ยวชาญด้านระบบรักษาความปลอดภัยดําเนินการทดสอบเจาะระบบผ่านเครือข่ายจาก ภายนอก (External Network Penetration Test) และผ่านระบบเครือข่ายภายใน (Internal Network Penetration Test) จํานวนไม่น้อยกว่า 170 IP Address
๖.๓ ผู้เชี่ยวชาญด้านระบบรักษาความปลอดภัยดําเนินการทดสอบสแกนหาช่องโหว่โดยใช้เครื่องมือ อัตโนมัติ (Vulnerability Assessment) จํานวนไม่น้อยกว่า 170 IP Address
๖.๔ จัดทํารายงานผลพร้อมวิธีการแก้ไขช่องโหว่ให้สํานักงานกิจการยุติธรรม พิจารณาในกรณีที่ไม่ สามารถปิดช่องโหว่ที่พบได้ หรือการปิดช่องโหว่แล้วมีผลกระทบรุนแรง จนทําให้ระบบไม่สามารถให้บริการได้
ให้เสนอแนวทางลดความเสี่ยงลดผลกระทบที่เกิดขึ้น
๖.๕ วิเคราะห์และจัดทําเอกสารรายงานผลการทดสอบเจาะระบบ โดยจัดทําเอกสาร (รูปแบบของ เอกสาร (Hard Copy) และรูปแบบไฟล์เอกสาร (Soft copy) ทั้งในรูปแบบของ File Word และ PDF) โดยเอกสารดังกล่าวประกอบด้วยหัวข้ออย่างน้อยดังต่อไปนี้ บทสรุปสําหรับผู้บริหาร (Executive Summary)
และรายละเอียดเชิงเทคนิคของผลการทดสอบ รวมถึงความเสี่ยงที่อาจจะเกิดขึ้น
5.5 การทดสอบเจาะระบบและดําเนินการทดสอบสแกนหาช่องโหว่ ครั้งที่ ๒ จะต้องนําผลการแก้ไข ช่องโหว่ครั้งที่ ๑ มาเปรียบเทียบและจัดทําเอกสารรายงานผลดังกล่าว
๖.๗ ผู้ยื่นข้อเสนอจะต้องร่วมประชุมเพื่อหารือและให้คําปรึกษาเพื่อจัดทําแนวทางและวิธีการ ดําเนินการปิดช่องโหว่ อย่างน้อย ๒ ครั้ง ตามรายงานผลการทดสอบเจาะระบบ (Penetration Testing
A
Lut
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
sty rot
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
๗/๘
Report) และรายงานผลการทดสอบสแกนหาช่องโหวโดยใช้เครื่องมืออัตโนมัติ (Vulnerability Assessment Report) ของสํานักงานกิจการยุติธรรม
๖.๔ ผู้ยื่นข้อเสนอต้องดําเนินการตรวจสอบการตั้งค่าเครื่องแม่ข่ายโดยสอดคล้องกับมาตรฐานสากล อย่างน้อย ดังนี้
เครื่อง
๑๐ เค
๖.๔.๑ ตรวจสอบการตั้งค่า Security Hardening ให้กับเครื่องแม่ข่ายไม่น้อยกว่า ๖.๔.๒ เปรียบเทียบการตั้งค่าโดยใช้ Template ที่อ้างอิงกับ CIS Benchmark ๖.๔.๓ ทําการตรวจสอบการตั้งค่าด้วยเครื่องมือสําหรับการทํา Security Hardening โดยเฉพาะ
เท่านั้น โดยใช้โปรแกรมที่เป็นแบบ Commercial ที่มีความน่าเชื่อถือและมีลิขสิทธิ์ถูกต้อง
๖.๔.๔ รายงานผลการตรวจสอบการตั้งค่า Security Hardening ประกอบด้วย ผลวิเคราะห์ การตั้งค่า พร้อมคําอธิบายเหตุผลด้านความมั่นคงปลอดภัยและข้อเสนอแนะ โดยส่งมอบรายงานในรูปแบบ PDF และไฟล์ Excel หรือ CSV
๗. กําหนดเวลาส่งมอบพัสดุ
๑๘๐ วัน นับถัดจากวันลงนามในสัญญา
๔. พื้นที่การดําเนินการ
สํานักงานกิจการยุติธรรม อาคารรัฐประศาสนภักดี ชั้น 4 ศูนย์ราชการเฉลิมพระเกียรติฯ ๘๐ พรรษา ถนนแจ้งวัฒนะ หลักสี่ กรุงเทพมหานคร
๙. หลักเกณฑ์ในการพิจารณาคัดเลือกข้อเสนอ
ในการพิจารณาผลการยื่นข้อเสนอประกวดราคาอิเล็กทรอนิกส์ครั้งนี้ สํานักงานกิจการยุติธรรมจะ พิจารณาจากราคารวม ตัดสินโดยใช้หลักเกณฑ์ราคาต่ําสุด หากปรากฏว่ามีผู้เสนอราคาต่ําสุดเท่ากันหลายราย จะพิจารณาราคาต่ําสุดของผู้ที่เสนอราคาในลําดับแรกเป็นผู้ชนะการยื่นข้อเสนอ
๑๐.วงเงินงบประมาณ/วงเงินที่ได้รับจัดสรร
๒,๕๐๐,๐๐๐ บาท (สองล้านห้าแสนบาทถ้วน)
๑๑.งวดงานและการจ่ายเงิน
สํานักงานกิจการยุติธรรมจะจ่ายเงินเป็นรายงวด ตามงวดการส่งมอบงาน จํานวน ๓ งวด ดังนี้ งวดที่ ๑ ร้อยละ ๒๐ ของวงเงินตามสัญญา เมื่อผู้รับจ้างดําเนินการส่งมอบงาน ภายใน ๓๐ วัน นับถัดจากวันลงนามในสัญญา โดยส่งมอบเอกสารรูปแบบของเอกสาร (Hard Copy) จํานวน 5 ชุด และรูปแบบ ไฟล์เอกสาร (Soft Copy) ทั้งในรูปแบบของ File Word และ PDF ลงใน Flash Drive จํานวน ๒ ชุด และคณะกรรมการ ตรวจรับพัสดุได้ตรวจรับเรียบร้อยแล้ว ดังรายการต่อไปนี้
๑. แผนการดําเนินงานโครงการตรวจประเมิน ประสิทธิภาพความมั่นคงปลอดภัย ตามประมวล แนวทางปฏิบัติ ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
๒. สัญญาการรักษาข้อมูลที่เป็นความลับ (Non-Disclosure Agreement)
งวดที่ ๒ ร้อยละ ๕๐ ของวงเงินตามสัญญา เมื่อผู้รับจ้างดําเนินการส่งมอบงาน ภายใน ๖๐ วัน นับถัด จากวันลงนามในสัญญา โดยส่งมอบเอกสารรูปแบบของเอกสาร (Hard Copy) จํานวน 5 ชุด และรูปแบบไฟล์ เอกสาร (Soft Copy) ทั้งในรูปแบบของ File Word และ PDF ลงใน Flash Drive จํานวน ๒ ชุด และคณะกรรมการ ตรวจรับพัสดุได้ตรวจรับเรียบร้อยแล้ว ดังรายการต่อไปนี้
but
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
njša
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
ដ៨
๑. รายงานผลการทดสอบเจาะระบบ (Penetration Testing Report) ครั้งที่ ๑ ของสํานักงาน
กิจการยุติธรรม
๒. รายงานผลการทดสอบสแกนหาช่องโหว่โดยใช้เครื่องมืออัตโนมัติ (Vulnerability
Assessment Report) : ครั้งที่ ๑ ของสํานักงานกิจการยุติธรรม
งวดที่ ๓ ร้อยละ ๓๐ ของวงเงินตามสัญญา เมื่อผู้รับจ้างดําเนินการส่งมอบงาน ภายใน ๑๘๐ วัน นับถัดจากวันลงนามในสัญญา โดยส่งมอบเอกสารรูปแบบของเอกสาร (Hard Copy) จํานวน 5 ชุด และรูปแบบ ไฟล์เอกสาร (Soft Copy) ทั้งในรูปแบบของ File Word และ PDF ลงใน Flash Drive จํานวน ๒ ชุด และคณะกรรมการ ตรวจรับพัสดุได้ตรวจรับเรียบร้อยแล้ว ดังรายการต่อไปนี้
๑๒. อัตราค่าปรับ
๑. รายงานผลการทดสอบเจาะระบบ (Penetration Testing Report) ครั้งที่ ๒ ของสํานักงาน
กิจการยุติธรรม
๒. รายงานผลการทดสอบสแกนหาช่องโหว่โดยใช้เครื่องมืออัตโนมัติ (Vulnerability
Assessment Report) : ครั้งที่ ๒ ของสํานักงานกิจการยุติธรรม
๓. รายงานผลการตรวจสอบการตั้งค่า Security Hardening
๑๒.๑ กรณีที่ผู้รับจ้างนํางานที่รับจ้างไปจ้างช่วงให้ผู้อื่นทําอีกทอดหนึ่งโดยไม่ได้รับอนุญาตจากสํานักงาน จะกําหนดค่าปรับสําหรับการฝ่าฝืนดังกล่าวเป็นจํานวนร้อยละ ๑๐ ของวงเงินของงานจ้างช่วงนั้น
๑๒.๒ กรณีที่ผู้รับจ้างปฏิบัติผิดสัญญาจ้างนอกเหนือจากข้อ ๑๒.๑ จะกําหนดค่าปรับเป็นรายวันในอัตรา ร้อยละ ๐.๑๐ ของราคาค่าจ้าง
๑๓. ข้อสงวนสิทธิ์
๑๓.๑
สํานักงานกิจการยุติธรรมสงวนสิทธิ์ที่จะบอกเลิกสัญญาว่าจ้าง ในกรณีที่ผู้ว่าจ้างไม่อาจทําสัญญาจ้าง ตามที่ได้เจรจาตกลงหรือมีเหตุจําเป็นอื่น ๆ ที่เป็นอุปสรรคซึ่งทําให้ไม่สามารถดําเนินการจ้างได้ ให้ถือว่าเป็นอัน เลิกไป ผู้รับจ้างไม่มีสิทธิ์โต้แย้งและเรียกร้องค่าเสียหายใด ๆ ทั้งสิ้น
ๆ
๑๓.๒ สํานักงานกิจการยุติธรรมขอสงวนสิทธิ์ในการเปลี่ยนแปลงบุคลากรหลักตามที่ระบุไว้ในข้อเสนอ ทั้งนี้ เพื่อประโยชน์ของราชการเป็นสําคัญ และจะต้องดําเนินการโดยไม่มีเงื่อนไข ยกเว้นได้รับการยินยอม จากผู้ว่าจ้าง
ลิขสิทธิ์ในฐานข้อมูลและเอกสารทุกฉบับ ต้องเป็นกรรมสิทธิ์ของสํานักงานกิจการยุติธรรม
และขอสงวนสิทธิ์มิให้ผู้รับจ้างนําไปใช้ในกิจกรรมอื่นโดยไม่ได้รับการยินยอมจากสํานักงานกิจการยุติธรรม
کمیرے
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
Hyrax