จ้างทำของ/จ้างเหมาบริการยกเลิกประกาศเชิญชวน

ประกวดราคาจ้างโครงการพัฒนาความมั่นคงปลอดภัยทางไซเบอร์ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ ประจำปีงบประมาณ พ.ศ. ๒๕๖๙

สำนักงานปลัดกระทรวงทรัพยากรธรรมชาติและสิ่งแวดล้อม 69019438072

฿623,000 ปีงบ 2569 ประกาศ 16 มี.ค. 2569 กรุงเทพมหานคร

รายละเอียดการจ้าง

สํานักงานปลัดกระทรวงทรัพยากรธรรมชาติและสิ่งแวดล้อม (สป.ทส.) มีความจําเป็นต้องพัฒนาระบบเทคโนโลยีสารสนเทศให้สอดคล้องกับข้อกําหนดของพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 เพื่อรับมือกับภัยคุกคามทางไซเบอร์ที่มีความรุนแรงและหลากหลายในปัจจุบัน โครงการนี้จึงมีวัตถุประสงค์เพื่อเสริมสร้างความมั่นคงปลอดภัยไซเบอร์ โดยมีขอบเขตงานสําคัญ 3 ด้าน ได้แก่ การดําเนินการทดสอบเจาะระบบและตรวจสอบช่องโหว่ด้านความมั่นคงปลอดภัยไซเบอร์ให้กับระบบเทคโนโลยีสารสนเทศ พร้อมให้คําปรึกษาในการแก้ไขปัญหาที่พบ การจัดทําการวิเคราะห์ผลกระทบทางธุรกิจ (BIA) สําหรับระบบงานสําคัญ และการจัดอบรมสร้างความตระหนักหรือหลักสูตรที่เกี่ยวข้องด้านภัยคุกคามทางไซเบอร์ให้กับบุคลากรของ สป.ทส. งานจะดําเนินการภายใน 180 วัน โดยแบ่งการส่งมอบเป็น 2 งวด สําหรับผู้สนใจยื่นข้อเสนอต้องเป็นที่ปรึกษาระดับ 1 ที่ขึ้นทะเบียนกับสํานักงานบริหารหนี้สาธารณะในสาขาเทคโนโลยีสารสนเทศและการสื่อสาร และมีความเชี่ยวชาญด้านระบบความปลอดภัยในโลกไซเบอร์ พร้อมมีผลงานและบุคลากรที่มีคุณสมบัติเฉพาะตามที่กําหนด

English summary

The Office of the Permanent Secretary, Ministry of Natural Resources and Environment (MNRE) is hiring a consultant to enhance the cybersecurity of its information systems in compliance with the Cybersecurity Act B.E. 2562 (2019). The project aims to address increasingly severe and diverse cyber threats. The core scope of work includes conducting penetration testing and vulnerability assessment for MNRE’s information systems, performing a Business Impact Analysis (BIA) for critical systems, and providing cybersecurity awareness training for MNRE personnel. The project must be completed within 180 days, with deliverables split into two phases. Interested bidders must be a Level 1 consultant registered with the Public Debt Management Office in the Information and Communication Technology sector with expertise in IT Security, and must meet specific experience and personnel qualification requirements.

สถานที่ดำเนินการ

ชั้น ๑๔ อาคารกรมควบคุมมลพิษ ๙๒ ซอยพหลโยธิน ๗ ถนนพหลโยธิน แขวงพญาไท เขตพญาไท กรุงเทพมหานคร

คำสำคัญ

ที่ปรึกษาความมั่นคงปลอดภัยไซเบอร์ทดสอบเจาะระบบ Penetration Test ประเมินช่องโหว่ Vulnerability Assessment อบรม Cybersecurity Awareness Business Impact Analysis BIA พรบ. ไซเบอร์ 2562 ใบรับรอง OSCP ใบรับรอง CISSP สแกนช่องโหว่ Nessus ที่ปรึกษาระดับ 1 สบส.

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

เพื่อดําเนินการทดสอบเจาะระบบ และตรวจสอบช่องโหว่ ด้านความมั่นคงปลอดภัยไซเบอร์ให้กับระบบเทคโนโลยีสารสนเทศของ สป.ทส. และให้คําปรึกษาในการแก้ไขปัญหาที่พบ
เพื่อจัดอบรมเกี่ยวกับการสร้างความตระหนักหรือหลักสูตรที่เกี่ยวข้องด้านภัยคุกคามทางไซเบอร์ให้กับบุคลากรของ สป.ทส.

ขอบเขตของงาน

การจัดทําแผนโครงการ: จัดทําแผนการดําเนินโครงการ (Project Plan) พร้อมกําหนดบุคลากรผู้รับผิดชอบในแต่ละงาน ภายใน 30 วัน นับถัดจากวันที่ลงนามในสัญญา
การวิเคราะห์ผลกระทบทางธุรกิจ (BIA): จัดทํากระบวนการและดําเนินการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA) ตามระบบที่มีผลกระทบต่อการดําเนินงานของ สป.ทส. จํานวนระบบงานไม่น้อยกว่า 1 ระบบงาน
การประเมินช่องโหว่และการทดสอบเจาะระบบ:
- ดําเนินการประเมินช่องโหว่ (Vulnerability Assessment) ของระบบสารสนเทศ จํานวนไม่น้อยกว่า 1 ระบบ (ไม่เกิน 10 IP Address) จากวง IP ที่ สป.ทส. กําหนด และประเมินช่องโหว่ซ้ําอีก 1 ครั้ง หลังจากที่มีการปรับปรุงแก้ไขช่องโหว่ (หากมีการแก้ไขภายใน 60 วัน)
- ดําเนินการทดสอบเจาะระบบ (Penetration Test) ในรูปแบบ Black box สําหรับระบบ/Application จํานวนไม่น้อยกว่า 1 ระบบ (1 URL) จากรายการที่ สป.ทส. กําหนด และทดสอบเจาะระบบซ้ําอีก 1 ครั้ง หลังจากที่มีการปรับปรุงแก้ไขข้อตรวจพบ (หากมีการแก้ไขภายใน 60 วัน)
- การดําเนินการต้องใช้เครื่องมือมาตรฐานสากลที่มีลิขสิทธิ์ถูกต้อง เช่น เครื่องมือสแกนช่องโหว่อัตโนมัติระดับ Commercial (เช่น Nessus, Rapid7 InsightVM) และเครื่องมือเฉพาะทางที่เป็นที่ยอมรับ
- ผู้ทดสอบเจาะระบบต้องทําการวิเคราะห์ด้วยตัวบุคคล (Manual) ร่วมกับเครื่องมือ และต้องได้รับใบประกาศนียบัตรรับรองคุณวุฒิมาตรฐาน
- ต้องจัดทํารายงานสรุปผลโดยผ่านการวิเคราะห์และคัดกรองผลผิดพลาด (False Positive) ก่อนส่งมอบ
ข้อกําหนดความรับผิดชอบ: ในการดําเนินงานต้องไม่สร้างความเสียหายต่อระบบงานของ สป.ทส. หากเกิดความเสียหายอันเกิดจากการดําเนินการของที่ปรึกษา ที่ปรึกษาต้องรายงานทันที เป็นผู้รับผิดชอบ และทําให้ระบบกลับมาใช้งานได้ปกติโดยไม่มีค่าใช้จ่ายใดๆ

สิ่งที่ต้องส่งมอบ

งวดที่ 1 (ภายใน 60 วัน):
- แผนการดําเนินการโครงการ (Project Plan)
- รายงานการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA) ของระบบสารสนเทศ
งวดสุดท้าย (ภายใน 180 วัน):
- รายงานผลการประเมินช่องโหว่ (Vulnerability Assessment)
- รายงานผลการทดสอบเจาะระบบ (Penetration Testing)
- เอกสารหลักฐานที่เกี่ยวข้องทั้งหมด

ระยะเวลาดำเนินการ

ที่ปรึกษาจะต้องดําเนินงานโครงการให้แล้วเสร็จภายใน ๑๘๐ วัน นับถัดจากวันลงนามในสัญญา โดยแบ่งการส่งมอบงานเป็น 2 งวด: งวดที่ 1 ภายใน 60 วัน และงวดสุดท้ายภายใน 180 วัน นับจากวันลงนามในสัญญา

คุณสมบัติผู้เสนอราคา

Eligibility Requirements: ต้องเป็นนิติบุคคลหรือสถาบันการศึกษาที่ขึ้นทะเบียนเป็นที่ปรึกษาระดับ ๑ กับศูนย์ข้อมูลที่ปรึกษาของสํานักงานบริหารหนี้สาธารณะ กระทรวงการคลัง ในสาขาเทคโนโลยีสารสนเทศและการสื่อสาร (Information and Communication Technology Sector) และ ความเชี่ยวชาญด้านระบบความปลอดภัยในโลกไซเบอร์ (IT Security)
Standards Compliance: -
Experience: ต้องมีผลงานเป็นที่ปรึกษาด้านการตรวจสอบหาช่องโหว่และทดสอบเจาะระบบหรือผลงานอื่นที่เกี่ยวข้องกับวัตถุประสงค์ของการจ้าง ภายในระยะเวลาไม่เกิน 3 ปีนับถึงวันยื่นข้อเสนอ
Previous Project Cost: แต่ละสัญญาที่เคยให้บริการมีวงเงินค่าจ้างตามสัญญาไม่น้อยกว่า 300,000 บาท
Technical Capabilities: ต้องใช้เครื่องมือสําหรับการสแกนช่องโหว่อัตโนมัติ (Vulnerability Scanner) ระดับ Commercial ที่ถือลิขสิทธิ์ถูกต้อง (เช่น Nessus, Rapid7 InsightVM หรือเทียบเท่า) และเครื่องมือเฉพาะทางอื่นๆ ที่เป็นที่ยอมรับในระดับสากล
Personnel: ต้องนําเสนอบุคลากรหลักที่มีคุณสมบัติและประสบการณ์ขั้นต่ําดังนี้:
- ผู้จัดการโครงการ (1 คน): สําเร็จการศึกษาไม่ต่ํากว่าระดับปริญญาโทด้านความมั่นคงปลอดภัยสารสนเทศ/เทคโนโลยีสารสนเทศหรือด้านที่เกี่ยวข้อง มีประสบการณ์ให้คําปรึกษาด้านความมั่นคงปลอดภัยสารสนเทศไม่น้อยกว่า 10 ปี และมีใบรับรอง CISSP หรือ CISM อย่างน้อย 1 ใบ
- ผู้เชี่ยวชาญด้านประเมินช่องโหว่และการทดสอบเจาะระบบ (1 คน): สําเร็จการศึกษาไม่ต่ํากว่าระดับปริญญาตรีด้านเทคโนโลยีสารสนเทศหรือด้านที่เกี่ยวข้อง มีประสบการณ์ให้คําปรึกษาด้านความมั่นคงปลอดภัยสารสนเทศไม่น้อยกว่า 5 ปี และมีใบรับรอง OSCP หรือ CompTIA PenTest+ หรือ CEH อย่างน้อย 1 ใบ
- เลขานุการโครงการ (1 คน): สําเร็จการศึกษาไม่ต่ํากว่าระดับปริญญาตรี มีประสบการณ์ทํางานไม่น้อยกว่า 2 ปี

เกณฑ์การพิจารณา

การพิจารณาใช้ระบบคะแนนและน้ําหนัก ดังนี้

ข้อเสนอด้านคุณภาพ (70%): ต้องได้คะแนนไม่น้อยกว่าร้อยละ 70 ของคะแนนรวมด้านคุณภาพ (100 คะแนน) จึงจะผ่านเกณฑ์และได้รับการพิจารณาด้านราคา เกณฑ์การให้คะแนนประกอบด้วย:
- ผลงานและประสบการณ์การทํางาน (65 คะแนน) แบ่งย่อยเป็น:
  - ผลงานของผู้ยื่นข้อเสนอ (วงเงินสัญญา) (10 คะแนน)
  - ประสบการณ์เฉพาะ จํานวนผลงานประเภทเดียวกัน (10 คะแนน)
  - ใบรับรอง (Certificate) ของผู้จัดการโครงการ (20 คะแนน)
  - ใบรับรอง (Certificate) ของผู้เชี่ยวชาญด้านประเมินช่องโหว่และการทดสอบเจาะระบบ (20 คะแนน)
  - ใบรับรอง (Certificate) สําหรับงาน BIA หรือการอบรม (5 คะแนน)
- วิธีปฏิบัติงานและวิธีการบริหารโครงการ (35 คะแนน) แบ่งย่อยเป็น:
  - วิธีการปฏิบัติงานที่แสดงกิจกรรมและระยะเวลา (18 คะแนน)
  - วิธีการบริหารโครงการที่แสดงผังบุคลากรและกิจกรรม (17 คะแนน)
ข้อเสนอด้านราคา (30%): ผู้ยื่นข้อเสนอที่ผ่านเกณฑ์ด้านคุณภาพแล้ว จะได้รับการพิจารณาด้านราคา โดยคัดเลือกผู้ชนะจากรายที่ได้คะแนนรวมด้านคุณภาพและด้านราคามากที่สุด

ข้อกำหนดทางเทคนิค

โครงการนี้มุ่งเน้นการทดสอบและประเมินความมั่นคงปลอดภัยไซเบอร์ ประกอบด้วย:

การประเมินช่องโหว่ (Vulnerability Assessment): ดําเนินการสแกนช่องโหว่อัตโนมัติสําหรับระบบสารสนเทศอย่างน้อย 1 ระบบ (ไม่เกิน 10 IP) โดยใช้เครื่องมือ Commercial Grade (เช่น Nessus, Rapid7 InsightVM) เพื่อตรวจสอบฐานข้อมูลช่องโหว่ตามมาตรฐาน CVE/CVSS
การทดสอบเจาะระบบ (Penetration Test): ดําเนินการทดสอบเจาะระบบในรูปแบบ Black box สําหรับระบบ/Application อย่างน้อย 1 ระบบ (1 URL) โดยต้องใช้การวิเคราะห์ด้วยตัวบุคคล (Manual Exploitation) ร่วมกับเครื่องมือเฉพาะทางที่เป็นมาตรฐานสากล
ข้อกําหนดเครื่องมือ: ต้องใช้เครื่องมือที่มีลิขสิทธิ์ถูกต้องและเป็นที่ยอมรับในระดับสากล ห้ามใช้เครื่องมือที่ดัดแปลงหรือละเมิดลิขสิทธิ์
การรับรองผล: ผลจากการสแกนอัตโนมัติต้องผ่านการวิเคราะห์และคัดกรองผลที่ผิดพลาด (False Positive) โดยผู้เชี่ยวชาญก่อนส่งมอบรายงาน
คุณสมบัติผู้ทดสอบ: ผู้ทดสอบเจาะระบบ (Penetration Testers) ต้องมีใบประกาศนียบัตรรับรองมาตรฐาน (Certification) ตามที่กําหนด (เช่น OSCP, CEH)

เงื่อนไขสัญญา

วงเงินงบประมาณ: ๖๒๓,๐๐๐ บาท (หกแสนสองหมื่นสามพันบาทถ้วน) รวมภาษีมูลค่าเพิ่ม
การจ่ายเงิน: แบ่งเป็น 2 งวด ตามการตรวจรับงาน
- งวดที่ 1: คิดเป็นร้อยละ 30 ของวงเงินค่าจ้างทั้งสัญญา หลังตรวจรับงานงวดที่ 1 เรียบร้อย (ภายใน 60 วันนับจากวันลงนาม)
- งวดสุดท้าย: คิดเป็นร้อยละ 70 ของวงเงินค่าจ้างทั้งสัญญา หลังตรวจรับงานงวดสุดท้ายเรียบร้อย (ภายใน 180 วันนับจากวันลงนาม)
อัตราค่าปรับ: ในกรณีไม่สามารถทํางานให้แล้วเสร็จตามสัญญาโดยไม่มีเหตุผลอันควร สป.ทส. สงวนสิทธิ์บอกเลิกสัญญาและคิดค่าปรับในอัตราร้อยละ 0.10 ของราคางานจ้างที่ปรึกษาต่อจํานวนวันที่เหลือตามสัญญา
การยืนราคา: ราคาที่เสนอจะต้องยืนราคาไม่น้อยกว่า 120 วัน นับแต่วันยื่นเอกสาร

คำถามที่พบบ่อย (FAQ)

Q: โครงการนี้ต้องดําเนินการประเมินช่องโหว่และทดสอบเจาะระบบกี่ครั้ง?
A: ดําเนินการประเมินช่องโหว่และทดสอบเจาะระบบอย่างละ 1 ครั้งเต็มรูปแบบ และจะดําเนินการซ้ําอีก 1 ครั้ง (Retest) หลังจากที่ สป.ทส. มีการปรับปรุงแก้ไขช่องโหว่หรือข้อตรวจพบภายใน 60 วัน
Q: ระบบเป้าหมายที่ต้องทดสอบมีจํานวนเท่าใดและผู้รับจ้างสามารถเลือกได้หรือไม่?
A: ไม่สามารถเลือกได้เอง ระบบเป้าหมาย (IP Address, URL/Application) จะถูกกําหนดโดย สป.ทส. โดยจํานวนขั้นต่ําคือ 1 ระบบสําหรับการประเมินช่องโหว่ (ไม่เกิน 10 IP) และ 1 ระบบ/Application สําหรับการทดสอบเจาะระบบ
Q: เครื่องมือที่ใช้ในการดําเนินงานมีข้อกําหนดอย่างไร?
A: ต้องใช้เครื่องมือที่เป็นมาตรฐานสากลและมีลิขสิทธิ์ถูกต้อง โดยเฉพาะเครื่องมือสแกนช่องโหว่อัตโนมัติต้องเป็นระดับ Commercial (เช่น Nessus, Rapid7 InsightVM) และต้องแสดงหลักฐานลิขสิทธิ์ประกอบ ห้ามใช้เครื่องมือที่ดัดแปลงหรือละเมิดลิขสิทธิ์
Q: หากการทดสอบทําให้ระบบของ สป.ทส. เสียหาย จะมีขั้นตอนและความรับผิดชอบอย่างไร?
A: ที่ปรึกษาต้องรายงานความเสียหายให้ สป.ทส. ทราบทันที และจะต้องเป็นผู้รับผิดชอบต่อความเสียหายนั้น พร้อมทําให้ระบบกลับมาใช้งานได้ปกติดังเดิมภายในระยะเวลาอันรวดเร็ว โดยไม่มีค่าใช้จ่ายใดๆ ทั้งสิ้น
Q: การวิเคราะห์ผลกระทบทางธุรกิจ (BIA) ต้องดําเนินการสําหรับระบบประเภทใด?
A: ต้องดําเนินการสําหรับระบบงานที่มีผลกระทบต่อการดําเนินงานของ สป.ทส. โดยจํานวนระบบงานไม่น้อยกว่า 1 ระบบงาน
Q: การจัดอบรมสร้างความตระหนักมีรูปแบบและกลุ่มเป้าหมายอย่างไร?
A: เอกสาร TOR ระบุวัตถุประสงค์ให้จัดอบรมเกี่ยวกับการสร้างความตระหนักหรือหลักสูตรที่เกี่ยวข้องด้านภัยคุกคามทางไซเบอร์ให้กับบุคลากรของ สป.ทส. โดยไม่มีรายละเอียดรูปแบบเพิ่มเติมในขอบเขตงานหลัก อาจต้องสอบถามจากหน่วยงานผู้รับผิดชอบเพิ่มเติม
Q: เกณฑ์การให้คะแนน “ผลงานของผู้ยื่นข้อเสนอ” แบ่งระดับวงเงินอย่างไร?
A: แบ่งเป็น 2 ระดับ: วงเงินตั้งแต่ 9,000,000 บาทขึ้นไป ได้ 5 คะแนน และวงเงินตั้งแต่ 300,000 บาท ถึง 9,000,000 บาท ได้ 3 คะแนน
Q: ใบรับรอง (Certificate) ของผู้เชี่ยวชาญด้านทดสอบเจาะระบบที่ยอมรับมีอะไรบ้าง?
A: ตามเกณฑ์คะแนน ระบุว่าได้แก่ GIAC Web Application Penetration Tester (GWAPT), Offensive Security Web Expert (OSWE), Offensive Security Certified Professional (OSCP) แต่ในคุณสมบัติขอบุคลากรหลัก ระบุ OSCP, CompTIA PenTest+, หรือ CEH
Q: ต้องยื่นหลักฐานอะไรเพื่อแสดงฐานค่าตอบแทนของบุคลากรที่เสนอ?
A: ต้องจัดส่งเอกสารหลักฐานเช่น หนังสือรับรองค่าตอบแทนที่ได้รับในโครงการอื่น หรือหนังสือรับรองการชําระภาษีเงินได้บุคคลธรรมดาของที่ปรึกษาแต่ละคน หากไม่มี ให้ใช้อัตราเงินเดือนของบุคลากรที่มีคุณสมบัติเท่าเทียมกันภายในองค์กรของที่ปรึกษามาแสดง
Q: หลังจากส่งมอบงานงวดแรก (แผนโครงการและ BIA) แล้ว กิจกรรมหลักต่อไปคืออะไร?
A: กิจกรรมหลักต่อไปคือการดําเนินการประเมินช่องโหว่และการทดสอบเจาะระบบตามแผนที่ได้เสนอและได้รับอนุมัติ รวมถึงการจัดทํารายงานผล และอาจมีการจัดอบรม (หากรวมอยู่ในแผน) เพื่อนําไปสู่การส่งมอบงานงวดสุดท้าย

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

ร่างขอบเขตของงาน (Terms of Reference : TOR) งานจ้างที่ปรึกษาเพื่อดําเนินโครงการเสริมสร้างความมั่นคงปลอดภัยตาม พรบ. การรักษาความมั่นคง ปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ ประจําปี ๒๕๖๙
๑. ความเป็นมา
สํานักงานปลัดกระทรวงทรัพยากรธรรมชาติและสิ่งแวดล้อม (สป.ทส.) มีหน้าที่ในการบริหารจัดการ ทรัพยากรธรรมชาติและสิ่งแวดล้อมทั้งภายในและระหว่างประเทศ รวมถึงรับหน้าที่ในการประสาน การปฏิบัติงาน รวมทั้งกํากับ เร่งรัด ติดตาม และประเมินผลการปฏิบัติงานราชการและดําเนินการเรื่องราว ร้องทุกข์ของทุกหน่วยในสังกัดของ สป.ทส. ดังนั้น สป.ทส. จึงได้มีการนําเทคโนโลยีสารสนเทศและการสื่อสาร เข้ามาใช้เพื่อบริหารงาน และให้บริการกับหน่วยงานภายในสังกัด สป.ทส. ไปจนถึงหน่วยงานที่เกี่ยวข้อง ประชาชนที่ต้องการข้อมูลคําปรึกษาจาก สป.ทส.
ปัจจุบันภัยคุกคามทางไซเบอร์มีความรุนแรง มีการโจมตีในรูปแบบที่หลากหลาย และหวังผลทําให้ระบบ ของหน่วยงานหยุดชะงัก ไม่สามารถให้บริการได้ ส่งผลให้ข้อมูลในระบบมีความผิดพลาดคลาดเคลื่อนไปจาก ความจริง ข้อมูลสําคัญของหน่วยงานถูกเข้าถึงหรือถูกนําไปใช้โดยผู้ประสงค์ร้าย รวมไปจนถึงทําลายชื่อเสียง ของหน่วยงาน ทําให้มีความจําเป็นที่จะพัฒนาระบบเทคโนโลยีสารสนเทศของ สป.ทส. ให้สอดคล้องตาม ข้อกําหนดของพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ (พ.ร.บ.) พ.ศ. ๒๕๖๒ สป.ทส. จึงได้ จัดทําโครงการเสริมสร้างความมั่นคงปลอดภัยไซเบอร์ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ เพื่อวิเคราะห์สถานะปัจจุบันทางด้านความมั่นคงปลอดภัยไซเบอร์ให้กับระบบสารสนเทศ และปรับปรุง นโยบายและแนวปฏิบัติเกี่ยวกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ของ สป.ทส. เพื่อให้สอดคล้อง เป็นไปตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ฯ ตลอดจนการสร้างความตระหนักด้านความมั่นคง ปลอดภัยไซเบอร์ให้กับบุคลากรในสังกัด สป.ทส. เพื่อให้มีความรู้ความเข้าใจและรู้เท่าทันต่อภัยคุกคามฯ
๒. วัตถุประสงค์
๒.๑ เพื่อดําเนินการทดสอบเจาะระบบ และตรวจสอบช่องโหว่ ด้านความมั่นคงปลอดภัยไซเบอร์ให้กับ ระบบเทคโนโลยีสารสนเทศของ สป.ทส. และให้คําปรึกษาในการแก้ไขปัญหาที่พบ
๒.๒ เพื่อจัดอบรมเกี่ยวกับการสร้างความตระหนักหรือหลักสูตรที่เกี่ยวข้องด้านภัยคุกคามทางไซเบอร์ ให้กับบุคลากรของ สป.ทส.
๓. คุณสมบัติของผู้ยื่นข้อเสนอ
๓.๑ มีความสามารถตามกฎหมาย ๓.๒ ไม่เป็นบุคคลล้มละลาย ๓.๓ ไม่อยู่ระหว่างเลิกกิจการ
๓.๔ ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังกําหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
๓.๕ ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงาน
ของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วน ผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอํานาจในการดําเนินงานในกิจการของนิติบุคคลนั้นด้วย
O q
(นางสาวอนุสรา หิรัญวงษ์) นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
ประธานกรรมการ
Var Ms
(นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
กรรมการ
ohma เnomt
(นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
กรรมการและเลขานุการ
๒
๓.๖ มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหาร
พัสดุภาครัฐกําาหนดในราชกิจจานุเบกษา
๓.๗ เป็นนิติบุคคลหรือสถาบันการศึกษาที่มีการเรียนการสอน หรือมีผลงานที่เกี่ยวข้องที่ขึ้นทะเบียน เป็นที่ปรึกษา ระดับ ๑ กับศูนย์ข้อมูลที่ปรึกษา ของสํานักงานบริหารหนี้สาธารณะ กระทรวงการคลัง ในสาขา เทคโนโลยีสารสนเทศและการสื่อสาร (Information and Communication Technology Sector) และ ความเชี่ยวชาญด้านระบบความปลอดภัยในโลกไซเบอร์ (IT Security)
๓.๘ ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่ สํานักงาน ปลัดกระทรวงทรัพยากรธรรมชาติและสิ่งแวดล้อม ณ วันยื่นข้อเสนอ หรือไม่เป็นผู้กระทําการอันเป็นการ ขัดขวางการแข่งขันอย่างเป็นธรรม ในการยื่นข้อเสนอครั้งนี้
๓.๙ ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของที่ปรึกษา ได้มีคําสั่งให้สละเอกสิทธิ์ความคุ้มกันเช่นว่านั้น
๓.๑๐
ที่ปรึกษาต้องลงทะเบียนที่มีข้อมูลถูกต้องครบถ้วนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์
(Electronic Government Procurement: e - GP) ของกรมบัญชีกลาง
๓.๑๑
ที่ปรึกษาต้องมีบุคลากรหลักที่มีคุณสมบัติ ความรู้ความสามารถเหมาะสมกับตําแหน่งหน้าที่มีความ ชํานาญเกี่ยวกับงานจ้าง และอย่างน้อย จะต้องนําเสนอบุคลากรหลักในตําแหน่งต่าง ๆ ที่มีคุณสมบัติ และประสบการณ์ขั้นต่ํา ตามรายละเอียดที่ปรากฏตามตารางแสดงตําแหน่งและคุณสมบัติของบุคลากรของที่
ปรึกษา
๓.๑๒ ที่ปรึกษาต้องมีผลงานเป็นที่ปรึกษาด้านการตรวจสอบหาช่องโหว่และทดสอบเจาะระบบหรือ
ผลงานอื่นที่เกี่ยวข้องกับวัตถุประสงค์ของการจ้างที่ปรึกษาครั้งนี้ ภายในระยะเวลาไม่เกิน ๓ ปีนับถึงวันยื่น ข้อเสนอ โดยแต่ละสัญญาที่เคยให้บริการมีวงเงินค่าจ้างตามสัญญาไม่น้อยกว่า ๓๐๐,๐๐๐ บาท (สามแสนบาท ถ้วน) นับถึงวันยื่นข้อเสนอ
๓.๑๓ ที่ปรึกษาต้องมีทีมงานที่มีความรู้และประสบการณ์ในการให้คําปรึกษาและสนับสนุน เพื่อให้การ
ดําเนินการโครงการสําเร็จตามเป้าหมายและเป็นไปด้วยความเรียบร้อย ตารางแสดงตําแหน่งและคุณสมบัติของบุคลากรของที่ปรึกษา
ลําดับที่
ตําแหน่ง ผู้จัดการโครงการ
Of
(นางสาวอนุสรา หิรัญวงษ์) นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
ประธานกรรมการ
คุณสมบัติ
• สําเร็จการศึกษาไม่ต่ํากว่าระดับปริญญาโท ด้าน ความมั่นคงปลอดภัยสารสนเทศ ด้านเทคโนโลยี สารสนเทศ หรือด้านที่เกี่ยวข้อง
มีประสบการณ์ในการให้คําปรึกษาด้านความ มั่นคงปลอดภัยสารสนเทศให้แก่หน่วยงาน ราชการ หรือ หน่วยงานรัฐวิสาหกิจ หรือ ภาคเอกชน ไม่น้อยกว่า ๑๐ ปี
ได้รับใบรับรอง (Certificate) ด้านมาตรฐานการ รักษาความมั่นคงปลอดภัยไซเบอร์หรือ ด้าน เทคโนโลยีสารสนเทศ อย่างใดอย่างหนึ่ง ดังนี้

Certified Information Systems Security
Professional (CISSP)
Van Nos
(นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
กรรมการ
Certified
จํานวน (คน)
onme hom (นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
กรรมการและเลขานุการ
ลําดับที่
ตําแหน่ง
២
3
ผู้เชี่ยวชาญด้าน ประเมินช่องโหว่และ
การทดสอบเจาะระบบ
เลขานุการโครงการ
๔. ขอบเขตของงานจ้างที่ปรึกษา
คุณสมบัติ
Information Security Manager (CISM) อย่างน้อย ๑ ใบ
สําเร็จการศึกษาไม่ต่ํากว่าระดับปริญญาตรี ด้าน
เทคโนโลยีสารสนเทศ หรือด้านที่เกี่ยวข้อง
• มีประสบการณ์ในการให้คําปรึกษาด้านความ มั่นคงปลอดภัยสารสนเทศให้แก่หน่วยงาน ราชการ หรือหน่วยงานรัฐวิสาหกิจ หรือ ภาคเอกชน ไม่น้อยกว่า ๕ ปี
ได้รับใบรับรอง (Certificate) ด้านมาตรฐานการ รักษาความมั่นคงปลอดภัยไซเบอร์หรือ ด้าน เทคโนโลยีสารสนเทศ อย่างใดอย่างหนึ่ง ดังนี้
Offsec Certified Professional (OSCP) หรือ CompTIA PenTest+ หรือ Certified Ethical Hacker (CEH) EC-Council อย่าง น้อย ๑ ใบ
• สําเร็จการศึกษาไม่ต่ํากว่าระดับปริญญาตรี
• มีประสบการณ์ทํางานไม่น้อยกว่า ๒ ปี
จํานวนบุคลากรรวม
จํานวน (คน)
ที่ปรึกษาจะต้องดําเนินการตามข้อกําหนดและรายละเอียด ขอบเขตการดําเนินงานตามโครงการ โดยมี รายละเอียดการดําเนินงาน ดังนี้
๔.๑ จัดทําแผนการดําเนินโครงการ (Project Plan) ของโครงการ พร้อมกําหนดบุคลากรผู้รับผิดชอบ ในแต่ละงาน ภายใน ๓๐ วัน นับถัดจากวันที่ลงนามในสัญญา หรือนับถัดจากประธานคณะกรรมการตรวจรับฯ ได้รับสําเนาสัญญาจ้าง
๔.๒ จัดทํากระบวนการและดําเนินการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA) ตามระบบที่มีผลกระทบต่อการดําเนินงานของ สป.ทส. จํานวนระบบงานไม่น้อยกว่า ๑ ระบบงาน
๔.๓ ประเมินช่องโหว่และการทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Test)
๔.๓.๑ ดําเนินการประเมินช่องโหว่ (Vulnerability Assessment) ของระบบสารสนเทศ ของ สป.ทส. จํานวนไม่น้อยกว่า ๑ ระบบ (จํานวนไม่เกิน ๑๐ IP Address) จากวง IP ที่ สป.ทส กําหนด และประเมินช่องโหว่ซ้ําอีก ๑ ครั้ง หลังจากที่มีการปรับปรุงแก้ไขช่องโหว่ (กรณีที่ สป.ทส. มีการปรับปรุงแก้ไข ช่องโหว่ภายใน ๖๐ วัน) โดยจัดทําแผนการประเมินช่องโหว่ส่งให้ สป.ทส. ก่อนการดําเนินการ
๔.๓.๒ ดําเนินการทดสอบเจาะระบบ (Penetration Test) ในรูปแบบ Black box โดยวิเคราะห์ คุณสมบัติ การใช้งานและพฤติกรรมการทํางานของระบบฯ จํานวนไม่น้อยกว่า ๑ ระบบ/Application จากรายการที่ สป.ทส. กําหนด (จํานวน ๑ URL) และทดสอบเจาะระบบซ้ําอีก ๑ ครั้ง หลังจากที่มีการ
0
(นางสาวอนุสรา หิรัญวงษ์) นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
ประธานกรรมการ
Home Mi
(นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
กรรมการ
oto me thom
(นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
กรรมการและเลขานุการ

C -
ปรับปรุงแก้ไขข้อตรวจพบ (กรณีที่ สป.ทส. มีการปรับปรุงแก้ไขข้อตรวจพบภายใน ๖๐ วัน) โดยจัดทําแผนการ ทดสอบเจาะระบบส่งให้ สป.ทส. ก่อนการดําเนินการ
๔.๓.๓ การดําเนินการประเมินช่องโหว่ (Vulnerability Assessment) และทดสอบเจาะระบบ (Penetration Testers) ผู้รับจ้างต้องดําเนินการโดยใช้เครื่องมือ ที่มีความน่าเชื่อถือและเป็นมาตรฐานสากล ถูกต้อง โดยต้องแสดงหลักฐานประกอบ เช่น หลักฐานลิขสิทธิ์ (ห้ามใช้เครื่องมือที่ดัดแปลงหรือละเมิดลิขสิทธิ์) โดยมีรายละเอียดดังนี้
๑) เครื่องมือสําหรับการสแกนช่องโหว่อัตโนมัติ (Vulnerability Scanner) ระดับ Commercial ที่ผู้รับจ้างถือลิขสิทธิ์ถูกต้อง (เช่น Nessus, Rapid๗ InsightVM หรือเทียบเท่า) เพื่อใช้ ตรวจสอบฐานข้อมูลช่องโหว่ตามมาตรฐาน CVE/CVSS
๒) เครื่องมือเฉพาะทางอื่น ๆ (Manual Tools) ทั้งแบบ Commercial หรือ Open Source ที่เป็นยอมรับในระดับสากล เพื่อใช้ในการทดสอบเจาะระบบเชิงลึก (Manual Exploitation)
๔.๓.๔ ดําเนินการจัดทํารายงานสรุปผลการประเมินช่องโหว่และทดสอบเจาะระบบ และการแก้ไข ช่องโหว่และการแก้ไขข้อตรวจพบ โดยผลจากการสแกนอัตโนมัติ (Automated Tool) ต้องผ่านการวิเคราะห์ และมีการรับรองโดยผู้เชี่ยวชาญเพื่อคัดกรองผลที่ผิดพลาด (False Positive) ออกก่อนส่งมอบรายงาน
พร้อมนําเสนอผลต่อคณะกรรมการตรวจรับฯ
๔.๓.๕ ผู้ทดสอบต้องทําการทดสอบเจาะระบบ (Penetration Testers) โดยจะต้องทําการวิเคราะห์ ด้วยตัวบุคคล (Manual) ร่วมกับเครื่องมือ หรือซอฟต์แวร์ หรือโปรแกรมที่ใช้ในการทดสอบ
๔.๓.๖ ผู้ทดสอบเจาะระบบ (Penetration Testers) ต้องได้รับการรับรองและได้รับใบประกาศนียบัตร รับรองคุณวุฒิมาตรฐาน (Certification) ตามที่กําหนดในคุณสมบัติของบุคลากรที่ปรึกษา
ๆ
๔.๓.๗ ในการดําเนินงานของที่ปรึกษาจะต้องไม่ส่งผลกระทบหรือสร้างความเสียหายต่อระบบงาน ของ สป.ทส. หากมีความเสียหายใด ๆ อันเกิดจากการดําเนินการของที่ปรึกษา ที่ปรึกษาจะต้องรายงานให้ สป.ทส. ได้ทราบในทันทีและจะต้องเป็นผู้รับผิดชอบต่อความเสียหายนั้น โดยความเสียหายที่เกิดขึ้นจริงนั้น ต้องมีการตรวจสอบว่าความเสียหายนั้นเกิดจากการกระทําของที่ปรึกษาจริง รวมถึงที่ปรึกษาจะต้องทําให้ ระบบงานที่เสียหายหรือได้รับผลกระทบนั้นกลับมาใช้งาน ได้เป็นปกติดังเดิมภายในระยะเวลาอันรวดเร็ว โดยไม่มีค่าใช้จ่ายใด ๆ ทั้งสิ้น ทั้งนี้ ค่าใช้จ่ายใด ๆ ที่เกิดขึ้นถือเป็นความรับผิดชอบของผู้รับจ้าง
๕. ระยะเวลาดําเนินการ
ที่ปรึกษาจะต้องดําเนินงานโครงการให้แล้วเสร็จภายใน ๑๘๐ วัน นับถัดจากวันลงนามในสัญญา
๖.
งวดงาน
งวดงาน
งวดงานที่ ๑
งวดงานที่ ๒
0
ดําเนินงานแล้วเสร็จและส่งมอบงาน
ดําเนินการตามข้อ ๔.๑ - ๔.๒
แผนการดําเนินการโครงการ (Project Plan) (ข้อ ๔.๑) - รายงานการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA) ของระบบสารสนเทศ (ข้อ ๔.๒) ดําเนินการตามข้อ ๔.๓ - เอกสารหลักฐานที่เกี่ยวข้องทั้งหมด
(
(นางสาวอนุสรา หิรัญวงษ์)
นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
ประธานกรรมการ
(นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
กรรมการ
กําหนดส่งมอบ ภายใน ๖๐ วัน นับถัด จากวันลงนามในสัญญา
ภายใน ๑๘๐ วัน นับถัด จากวันลงนามในสัญญา
Onmธิ์ เกิomm (นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
กรรมการและเลขานุการ
งวดงาน
ดําเนินงานแล้วเสร็จและส่งมอบงาน
กําหนดส่งมอบ
๗. การจ่ายเงิน
รายงานผลการประเมินช่องโหว่ (Vulnerability Assessment)
(ข้อ ๔.๓.๑)
รายงานผลการทดสอบเจาะระบบ (Penetration Testing) (ข้อ ๔.๓.๒)
การจ่ายเงินค่าจ้างและการเบิกเงินค่าจ้างทั้งสัญญา โดยดําเนินการเบิกเงินค่าจ้างเป็นรายงวด แบ่งเป็น ๒
งวด เมื่อผู้รับจ้างส่งมอบงานครบถ้วนและคณะกรรมการตรวจรับงานได้ทําการตรวจรับตามสัญญาเรียบร้อย
แล้ว โดย
งวดที่ ๑ ค่าจ้างดําเนินงานคิดเป็นร้อยละ ๓๐ ของวงเงินค่าจ้างทั้งสัญญา ภายใน ๖๐ วัน นับถัดจากวัน ลงนามในสัญญา และคณะกรรมการตรวจรับพัสดุในงานจ้างที่ปรึกษา ตรวจรับงานงวดที่ ๑ เรียบร้อยแล้ว
งวดสุดท้าย ค่าจ้างดําเนินงานคิดเป็นร้อยละ ๗๐ ของวงเงินค่าจ้างทั้งสัญญา ภายใน ๑๘๐ วัน นับถัด จากวันลงนามในสัญญา และคณะกรรมการตรวจรับพัสดุในงานจ้างที่ปรึกษา ตรวจรับงานงวดสุดท้ายเรียบร้อยแล้ว
๔. วงเงินงบประมาณ
วงเงินงบประมาณ ๖๒๓,๐๐๐ บาท (หกแสนสองหมื่นสามพันบาทถ้วน) รวมภาษีมูลค่าเพิ่ม
๔. หลักฐานการยื่นข้อเสนอ
ผู้ยื่นข้อเสนอจะต้องเสนอเอกสารหลักฐานยื่นมาพร้อมกับการเสนอราคาทางระบบจัดซื้อจัดจ้างภาครัฐ
ด้วยอิเล็กทรอนิกส์ โดยแยกเป็น ๒ ส่วน คือ
๔.๑ ส่วนที่ ๑ อย่างน้อยต้องมีเอกสารดังต่อไปนี้
(๑) ในกรณีผู้ยื่นข้อเสนอเป็นนิติบุคคล
(ก) ห้างหุ้นส่วนสามัญหรือห้างหุ้นส่วนจํากัด ให้ยื่นสําเนาหนังสือรับรองการจดทะเบียนนิติ บุคคล บัญชีรายชื่อหุ้นส่วนผู้จัดการ ผู้มีอํานาจควบคุม (ถ้ามี) พร้อมทั้งรับรองสําเนาถูกต้อง
(ข) บริษัทจํากัดหรือบริษัทมหาชนจํากัด ให้ยื่นสําเนาหนังสือรับรองการจดทะเบียนนิติบุคคล หนังสือบริคณห์สนธิ บัญชีรายชื่อกรรมการผู้จัดการ ผู้มีอํานาจควบคุม (ถ้ามี) และบัญชีผู้ถือหุ้นรายใหญ่ (ถ้ามี) พร้อมทั้งรับรองสําเนาถูกต้อง
(๒) ในกรณีผู้ยื่นข้อเสนอเป็นบุคคลธรรมดาหรือคณะบุคคลที่มิใช่นิติบุคคล ให้ยื่นสําเนาบัตร ประจําตัวประชาชนของผู้นั้น สําเนาข้อตกลงที่แสดงถึงการเข้าเป็นหุ้นส่วน (ถ้ามี) สําเนาบัตรประจําตัว ประชาชนของผู้เป็นหุ้นส่วน หรือสําเนาหนังสือเดินทางของผู้เป็นหุ้นส่วนที่มีได้ถือสัญชาติไทย พร้อมทั้งรับรอง สําเนาถูกต้อง
(๓) ในกรณีผู้ยื่นข้อเสนอเป็นผู้ยื่นข้อเสนอร่วมกันในฐานเป็นผู้ร่วมค้า ให้ยื่นสําเนาสัญญาของการ เข้าร่วมค้า และเอกสารตามที่ระบุไว้ใน (๑) หรือ (๒) ของผู้ร่วมค้า แล้วแต่กรณี
(๔) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย ซึ่งได้จดทะเบียนเกินกว่า ๑ ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิที่ปรากฏในงบแสดงฐานะ การเงินที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก ๑ ปีสุดท้ายก่อนวันยื่นข้อเสนอ หมายถึง งบแสดง ฐานะการเงินย้อนไป ก่อนวันที่หน่วยงานของรัฐกําหนดให้เป็นวันยื่นข้อเสนอ ๑ ปีปฏิทิน เว้นแต่กรณีนิติบุคคลที่
On
(นางสาวอนุสรา หิรัญวงษ์) นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
ประธานกรรมการ
Vom Nr
(นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
กรรมการ
oloma i am
(นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
กรรมการและเลขานุการ
-b-
จัดตั้งขึ้น ตามกฎหมายไทย หากวันยื่นข้อเสนอเป็นช่วงระยะเวลาที่กรมพัฒนาธุรกิจการค้ากําหนดให้นิติบุคคล ยื่นงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ซึ่งจะอยู่ในช่วงเดือนมกราคม – เดือนพฤษภาคม ของทุกปี โดยนิติบุคคลที่เป็นผู้ยื่นข้อเสนอนั้นยังอยู่ในช่วงของการยื่นงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า คือ ช่วงเดือนมกราคม – เดือนพฤษภาคม กรณีนี้ให้สามารถยื่นงบแสดงฐานะการเงินย้อนไปอีก ๑ ปี ได้

(๕) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย ซึ่งยังไม่มีการรายงานงบแสดง ฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ให้พิจารณาการกําหนดมูลค่าของทุนจดทะเบียน โดยผู้ยื่นข้อเสนอ จะต้องมีทุนจดทะเบียนที่เรียกชําระมูลค่าหุ้นแล้ว ณ วันที่ยื่นข้อเสนอ มูลค่าการจัดซื้อจัดจ้างไม่เกิน ๑ ล้าน บาท ไม่ต้องกําหนดทุนจดทะเบียน
(๖) สําหรับการจัดซื้อจัดจ้างครั้งหนึ่งที่มีวงเงินเกิน ๕๐๐,000 บาทขึ้นไป กรณีผู้ยื่นข้อเสนอเป็น บุคคลธรรมดาให้พิจารณาจากหนังสือรับรองบัญชีเงินฝากไม่เกิน ๙๐ วัน ก่อนวันยื่นข้อเสนอ โดยต้องมีเงิน ฝากคงเหลือในบัญชีธนาคารเป็นมูลค่า ๑ ใน ๔ ของมูลค่างบประมาณของโครงการหรือรายการที่ยื่นข้อเสนอ
ในแต่ละครั้ง และหากเป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ได้รับการคัดเลือกจะต้องแสดงหนังสือรับรองบัญชี
เงินฝากที่มีมูลค่าดังกล่าวอีกครั้งหนึ่งในวันลงนามในสัญญา
(๒) กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียน หรือมีแต่ไม่เพียงพอที่จะ เข้ายื่นข้อเสนอ ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ ๑ ใน ๔ ของมูลค่างบประมาณ ของโครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง (สินเชื่อที่ธนาคารภายในประเทศหรือบริษัทเงินทุนหรือ
บริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์ และประกอบธุรกิจค้ํา
ประกันตามประกาศของธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทยแจ้ง
เวียนให้ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สํานักงานใหญ่รับรอง หรือที่สํานักงานสาขา รับรอง (กรณีได้รับมอบอํานาจจากสํานักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวันที่ยื่นข้อเสนอไม่เกิน ๙๐ วัน)
(๔) กรณีตาม (๔) - (๗) ยกเว้นสําหรับกรณีดังต่อไปนี้
(๘.๑) กรณีที่ผู้ยื่นข้อเสนอเป็นหน่วยงานของรัฐ
(๘.๒) นิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยที่อยู่ระหว่างการฟื้นฟูกิจการ ตามพระราชบัญญัติ
ล้มละลาย พ.ศ. ๒๔๘๓ และที่แก้ไขเพิ่มเติม
(๙) เอกสารเพิ่มเติมอื่นๆ
(๔.๑) สําเนาใบทะเบียนพานิชย์ สําเนาใบทะเบียนภาษีมูลค่าเพิ่ม
๔.๒ ส่วนที่ ๒ ที่ปรึกษาจะต้องยื่นข้อเสนอโครงการโดยต้องแยกออกเป็น ๒ ส่วนประกอบด้วยเอกสาร
อย่างน้อยดังต่อไปนี้
(๑) ข้อเสนอด้านคุณภาพ ที่ปรึกษาต้องเสนอเอกสาร อย่างน้อย ดังนี้
(๑.๑) ในกรณีที่ผู้ยื่นข้อเสนอมอบอํานาจให้บุคคลอื่นกระทําการแทนให้แนบหนังสือมอบ อํานาจซึ่งติดอากรแสตมป์ตามกฎหมาย โดยมีหลักฐานแสดงตัวตนของผู้มอบอํานาจและผู้รับมอบอํานาจทั้งนี้
หากผู้รับมอบอํานาจเป็นบุคคลธรรมดาต้องเป็นผู้ที่บรรลุนิติภาวะตามกฎหมายแล้วเท่านั้น
(๑.๒) ผลงาน ประสบการณ์การทํางานที่เกี่ยวข้อง และใบรับรอง (Certificate) จากสถาบัน ที่เป็นที่ยอมรับในระดับสากล
และ
Owy
(๑.๓) วิธีปฏิบัติงานและวิธีการบริหารโดยต้องมีเอกสารประกอบด้วย
(ก) วิธีการปฏิบัติงานที่แสดงกิจกรรมการดําเนินงานและระยะเวลาในการดําเนินงาน
(นางสาวอนุสรา หิรัญวงษ์) นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
ประธานกรรมการ
เส
(นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
กรรมการ
ongnÀ Wit (นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
กรรมการและเลขานุการ
-6-
บุคลากร
(ข) วิธีการบริหารโครงการที่แสดงถึงผังบุคลากรของที่ปรึกษา และกิจกรรมของ
(๑.๔) บุคลากร โดยมีเอกสารแสดงวุฒิการศึกษาประสบการณ์การทํางานในด้านที่เกี่ยวข้อ (๑.๕) ใบรับรอง (Certificate) จากสถาบันที่เป็นที่ยอมรับในระดับสากล
(๒) ข้อเสนอด้านราคา ที่ปรึกษาจะต้องนําเสนองบประมาณค่าใช้จ่ายในการดําเนินงานตาม ขอบเขตของงานโครงการฯ โดยจําแนกค่าใช้จ่ายออกเป็น
(๒.๑) ค่าใช้จ่ายในด้านบุคลากรหลัก ซึ่งต้องแสดงรายละเอียดการคํานวณค่าจ้างของที่ ปรึกษาแต่ละคนประกอบด้วย ค่าตอบแทนที่เป็นเงินเดือนค่าโสหุ้ย ค่าสวัสดิการสังคม และค่าธรรมเนียมของ แต่ละเดือน กับจํานวน Man-Month ของแต่ละคน
(๒.๒) ค่าใช้จ่ายด้านบุคลากรสนับสนุน ซึ่งต้องแสดงการคํานวณค่าจ้างของบุคลากร สนับสนุนและจํานวน Man-Month ในแต่ละตําแหน่ง
(๒.๓) ค่าใช้จ่ายดําเนินโครงการ ซึ่งต้องแสดงค่าใช้จ่ายที่เกี่ยวข้องกับการดําเนินโครงการ ตั้งแต่เริ่มต้นจนแล้วเสร็จและต้องแสดงค่าใช้จ่ายต่อหน่วยและผลรวมของแต่ละรายการ
(๒.๔) ค่าภาษี
(๒.๕) รายละเอียดค่าใช้จ่ายการดําเนินงานด้านต่างๆ
ราคาที่เสนอจะต้องยืนราคาไม่น้อยกว่า ๑๒๐ วัน นับแต่วันยื่นเอกสาร โดยภายในกําหนดยืน ราคาผู้เสนอราคาต้องรับผิดชอบราคาที่ตนได้เสนอไว้ และจะถอนการเสนอราคามิได้ หากผู้เสนอราคามิได้ระบุ เวลายืนราคา สป.ทส. จะถือว่าผู้เสนอราคามีเจตนายืนราคาตามจํานวนวันที่ สป.ทส. กําหนด
นอกจากนี้ ในส่วนข้อเสนอด้านราคาที่ปรึกษาจะต้องจัดส่งเอกสารหลักฐานบุคคลที่สามารถ
แสดงฐานค่าตอบแทนที่เสนอในการดําเนินโครงการของแต่ละบุคคลตัวอย่างเช่น เอกสารหรือหนังสือรับรอง
ค่าตอบแทนที่ได้รับในโครงการอื่น หรือหนังสือรับรองการชําระภาษีเงินได้บุคคลธรรมดาของที่ปรึกษาแต่ละ คน เป็นต้น (ถ้าหากไม่สามารถนําหลักฐานมาแสดง ให้ใช้อัตราเงินเดือนของบุคลากร ที่มีคุณสมบัติเท่าเทียม
กันภายในองค์กรของที่ปรึกษามาแสดง)
๑๐. หลักเกณฑ์ในการพิจารณาคัดเลือกข้อเสนอ
ในการพิจารณาผู้ชนะการยื่นข้อเสนอจะพิจารณาให้คะแนนและน้ําหนัก ดังนี้
๑๐.๑ ข้อเสนอด้านคุณภาพ กําหนดสัดส่วนของน้ําหนักในการให้คะแนน เพื่อใช้ในการประเมินการ พิจารณาคัดเลือกข้อเสนอด้านคุณภาพ ๗๐ คะแนน โดยต้องผ่านเกณฑ์คะแนนด้านคุณภาพไม่น้อยกว่าร้อยละ ๗๐ ของคะแนนรวมด้านคุณภาพ (๑๐๐ คะแนน) โดยมีรายละเอียดดังนี้
(๑) ผลงานและประสบการณ์การทํางานของผู้ยื่นข้อเสนอ
๖๕ คะแนน
(๑.๑) ผลงานของผู้ยื่นข้อเสนอ ผู้ยื่นข้อเสนอมีผลงานด้านความมั่นคงปลอดภัยไซเบอร์หรือ ด้านเทคโนโลยีสารสนเทศ และเป็นผลงานที่เป็นคู่สัญญาโดยตรงกับหน่วยงานของรัฐหรือหน่วยงานเอกชนเป็น ผลงานที่มูลค่าสัญญาไม่น้อยกว่า ๓๐๐,๐๐๐ บาท (สามแสนบาทถ้วน) ตามคุณสมบัติข้อ ๓.๑๒ และเป็น ผลงานที่เป็นคู่สัญญาโดยตรงกับส่วนราชการ หน่วยงานอื่นของรัฐ หน่วยงานตามกฎหมายว่าด้วยระเบียบ บริหารราชการส่วนท้องถิ่น หน่วยงานอื่นซึ่งมีกฎหมายบัญญัติให้มีฐานะเป็นราชการบริหารส่วนท้องถิ่น รัฐวิสาหกิจ หรือหน่วยงานเอกชนที่น่าเชื่อถือ โดยให้ยื่นสําเนาหนังสือรับรองผลงานหรือสําเนาสัญญาหรือ สําเนาใบสั่งจ้างจากคู่สัญญามาพร้อมกับการยื่นข้อเสนอ (๑๐ คะแนน)
On
(นางสาวอนุสรา หิรัญวงษ์) นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
ประธานกรรมการ
Van M
(นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
กรรมการ
doma Pot
(นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
กรรมการและเลขานุการ

๘ -
เกณฑ์การพิจารณา
(๑) ผลงานของผู้ยื่นข้อเสนอ ในวงเงินตั้งแต่ 9,000,000 บาท ขึ้นไป
(๒) ผลงานของผู้ยื่นข้อเสนอ ในวงเงินตั้งแต่ ๓๐๐,๐๐๐ บาท ถึง 9,000,000 บาท
คะแนน
๕
(๑.๒) ประสบการณ์เฉพาะ จํานวนผลงานย้อนหลังไม่เกิน ๓ ปี นับถึงวันที่ยื่นข้อเสนอ ซึ่งเป็น ผลงานประเภทเดียวกันกับขอบเขตของงานจ้างที่ปรึกษา (๑๐ คะแนน)
เกณฑ์การพิจารณา
(๑) ผลงานของผู้ยื่นข้อเสนอ จํานวน ๒ งานขึ้นไป
(๒) ผลงานของผู้ยื่นข้อเสนอ จํานวน ๑ งาน
คะแนน
๕
(๑.๓) ใบรับรอง (Certificate) จากสถาบันที่เป็นที่ยอมรับในระดับสากล กรณีผู้ยื่นข้อเสนอมี บุคลากรหลักในตําแหน่ง “ผู้จัดการโครงการ” ที่มีคุณสมบัติความรู้ความสามารถเหมาะสมที่มีความชํานาญ เกี่ยวกับงานจ้าง ตามคุณสมบัติข้อ ๓.๑๑ โดยมีใบรับรอง (Certificate) จากสถาบันที่เป็นที่ยอมรับในระดับ สากล (๒๐ คะแนน) ได้แก่ GIAC Security Expert (GSE), GIAC Security Professional (GSP)
เกณฑ์การพิจารณา
(๑) ใบรับรอง (Certificate) จํานวน ๒ ใบ (๒) ใบรับรอง (Certificate) จํานวน ๑ ใบ
คะแนน
๒๐
(๑.๔) ใบรับรอง (Certificate) จากสถาบันที่เป็นที่ยอมรับในระดับสากล กรณีผู้ยื่นข้อเสนอ ต้องมีบุคลากรหลักในตําแหน่ง “ผู้เชี่ยวชาญด้านประเมินช่องโหว่และการทดสอบเจาะระบบ” ที่มีคุณสมบัติ ความรู้ความสามารถเหมาะสมที่มีความชํานาญเกี่ยวกับงานจ้าง ตามคุณสมบัติข้อ ๓.๑๑ โดยมีใบรับรอง (Certificate) จากสถาบันที่เป็นที่ยอมรับในระดับสากล (๒๐ คะแนน) ได้แก่ GIAC Web Application Penetration Tester (GWAPT), Offensive Security Web Expert (OSWE), Offensive Security Certified Professional (OSCP)
เกณฑ์การพิจารณา
(๑) ใบรับรอง (Certificate) จํานวน ๓ ใบ (๒) ใบรับรอง (Certificate) จํานวน ๒ ใบ (๓) ใบรับรอง (Certificate) จํานวน ๑ ใบ
คะแนน
๒๐
๑๐
๕
(๑.๕) ใบรับรอง (Certificate) จากสถาบันที่เป็นที่ยอมรับในระดับสากล กรณีผู้ยื่นข้อเสนอมี บุคลากร (ตําแหน่งใดก็ได้หรือเสนอบุคลากรเพิ่มเติมเพื่อทํางานในส่วนที่เกี่ยวข้อง) ที่มีคุณสมบัติความรู้ ความสามารถเหมาะสมที่มีความชํานาญเกี่ยวกับงานจ้างในการดําเนินการด้านวิเคราะห์ผลกระทบทางธุรกิจ (BIA) หรือการอบรมและมีความรู้ความสามารถในการนําระบบการจัดการความมั่นคงปลอดภัยสารสนเทศตาม มาตรฐานมาใช้ โดยมีใบรับรอง (Certificate) จากสถาบันที่เป็นที่ยอมรับในระดับสากล (๕ คะแนน) ดังนี้ Certified Business Continuity Professional (CBCP) 50 PECB Certified ISO/IEC boon Lead Implementer
Ou
(นางสาวอนุสรา หิรัญวงษ์) นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
ประธานกรรมการ
VAM Nr
(นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
กรรมการ
ComÀ เกือ
(นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
กรรมการและเลขานุการ
6-
(๒) วิธีปฏิบัติงานและวิธีการบริหารโครงการโดยต้องมีเอกสาร (๒.๑) วิธีการปฏิบัติงานที่แสดงกิจกรรมการดําเนินงานและ
ระยะเวลาในการดําเนินงาน
(๒.๒) วิธีการบริหารโครงการที่แสดงถึงผังบุคลากรของที่ปรึกษา
และกิจกรรมของบุคลากร
๓๕
คะแนน
๑๘
คะแนน
๑๗ คะแนน
๑๐.๒ ข้อเสนอด้านราคา กําหนดสัดส่วนของน้ําหนักในการให้คะแนน เพื่อใช้ในการประเมินการ พิจารณาคัดเลือกข้อเสนอร้อยละ ๓๐
ทั้งนี้ ผู้ยื่นข้อเสนอที่ผ่านเกณฑ์ด้านคุณภาพแล้ว ซึ่งได้คะแนนไม่น้อยกว่าร้อยละ ๗๐ ของคะแนนรวม ด้านคุณภาพ จะได้รับการพิจารณาข้อเสนอด้านราคา โดยคัดเลือกผู้ชนะการเสนอราคาจากรายที่ได้คะแนน
รวมด้านคุณภาพและด้านราคามากที่สุด
คณะกรรมการจ้างที่ปรึกษาจะสงวนสิทธิ์ที่จะยกเลิกการพิจารณาข้อเสนอด้านคุณภาพ และข้อเสนอด้าน ราคา และกําหนดให้มีการยื่นข้อเสนอใหม่เมื่อพิจารณาแล้วเห็นว่าข้อเสนอดังกล่าว ที่ได้รับจากที่ปรึกษาทุก ราย ไม่สอดคล้องกับเงื่อนไขที่กําหนดไว้ในขอบเขตการดําเนินงาน และไม่ผ่านการพิจารณาเกณฑ์คุณภาพ
และ/หรือข้อเสนอด้านราคาไม่สอดคล้องกับกรอบวงเงินงบประมาณของสํานักงานปลัดกระทรวง
ทรัพยากรธรรมชาติและสิ่งแวดล้อม
๑๑. อัตราค่าปรับ
กรณีที่ผู้รับจ้างไม่สามารถทํางานให้แล้วเสร็จตามสัญญาโดยไม่มีเหตุผลอันควร สํานักงานปลัดกระทรวง
ทรัพยากรธรรมชาติและสิ่งแวดล้อม สงวนสิทธิ์ในการบอกเลิกสัญญาและทําการคิดค่าปรับตามจํานวนวันที่ เหลือตามสัญญา ในอัตราร้อยละ ๐.๑๐ ของราคางานจ้างที่ปรึกษา
๑๒. ข้อสงวนสิทธิ์
ผลการพิจารณาและคําตัดสินของคณะกรรมการดําเนินการจ้างที่ปรึกษาฯ ถือเป็นที่สิ้นสุดและ สํานักงาน ปลัดกระทรวงทรัพยากรธรรมชาติและสิ่งแวดล้อม ขอสงวนสิทธิ์ในการเรียกร้องค่าเสียหายและค่าใช้จ่ายใด ๆ ที่เกิดขึ้นจากการยื่นข้อเสนอของที่ปรึกษาครั้งนี้
๑๓. หน่วยงานผู้รับผิดชอบดําเนินการ
สํานักงานปลัดกระทรวงทรัพยากรธรรมชาติและสิ่งแวดล้อม ศูนย์เทคโนโลยีดิจิทัลและอากาศยาน ชั้น ๑๔ อาคารกรมควบคุมมลพิษ ๙๒ ซอพหลโยธิน ๗ ถนนพหลโยธิน แขวงพญาไท เขตพญาไท กรุงเทพมหานคร ๑๐๔๐๐ โทรศัพท์ ๐ ๒๒๗๘ ๘๖๗๓
0
(นางสาวอนุสรา หิรัญวงษ์) นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
ประธานกรรมการ
Van Nas
(นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
กรรมการ
(นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
กรรมการและเลขานุการ