ประกวดราคาจ้างตรวจสอบช่องโหว่และประเมินความมั่นคงปลอดภัยเครือข่ายของ สป.อว.

• เพื่อตรวจสอบช่องโหว่ของระบบสารสนเทศ และระบบเครือข่ายของ สป.อว.
• เพื่อยกระดับความมั่นคงปลอดภัยสารสนเทศในการป้องกันและลดความเสี่ยงที่อาจเกิดขึ้นจากภัยคุกคามทางไซเบอร์ต่อทรัพยากรข้อมูลสารสนเทศ ระบบสารสนเทศ และระบบเครือข่ายที่สำคัญของ สป.อว.

• การศึกษาและวางแผน: ศึกษา วิเคราะห์ และจัดทำรายงานผลการศึกษาเบื้องต้น (Inception Report) พร้อมแผนดำเนินงาน
• การจัดหาและติดตั้งซอฟต์แวร์: ติดตั้งโปรแกรมตรวจสอบช่องโหว่ที่นำเสนอ ให้สามารถใช้งานได้ตามคุณลักษณะเฉพาะที่กำหนด โดยต้องไม่กระทบการทำงานของระบบเดิม
• การจัดทำเอกสารประกอบ: จัดทำคู่มือการติดตั้ง (Configuration) และคู่มือการใช้งานซอฟต์แวร์
• การประสานงานก่อนดำเนินการ: แจ้งแผนการเข้าดำเนินงาน รายละเอียด เครื่องมือ และวิธีการทดสอบล่วงหน้าอย่างน้อย 5 วันทำการ และต้องได้รับความเห็นชอบจาก สป.อว. ก่อนเริ่มงาน
• การประเมินช่องโหว่และทดสอบเจาะระบบเครือข่ายภายใน (Internal Penetration Testing and VA):
  • ตรวจการเข้าถึงเครือข่ายภายใน (Internal Network Reconnaissance)
  • ตรวจสอบช่องโหว่ของเครือข่ายภายในครอบคลุม Server, Network Equipment, Security Device ไม่น้อยกว่า 500 IP Address
  • ดำเนินการทดสอบเจาะระบบจากเครือข่ายภายในแบบ Grey-box Test ตามมาตรฐาน NIST SP800-115
  • ดำเนินการทดสอบหาช่องทางในการเจาะเข้าถึงเครือข่าย (Internal Penetration Testing)
  • ใช้วิธีการทดสอบแบบผสมผสานระหว่างเครื่องมืออัตโนมัติและความเชี่ยวชาญของบุคลากร (Manual Test)
• การตรวจสอบช่องโหว่และทดสอบเจาะระบบเว็บแอปพลิเคชัน (Web Application Penetration Test):
  • ทดสอบเจาะระบบเว็บแอปพลิเคชันจำนวน 10 ระบบ แบบ Grey Box ตามมาตรฐาน OWASP Testing Guide
  • ครอบคลุมการทดสอบจากมุมมองผู้ใช้ภายนอก (External assessment) และการทดสอบควบคุมการเข้าถึง
  • ใช้วิธีการทดสอบแบบผสมผสานระหว่างเครื่องมืออัตโนมัติและความเชี่ยวชาญของบุคลากร (Manual Test)
• การวิเคราะห์และประเมินผล: วิเคราะห์ผลกระทบและความเสี่ยงจากภัยคุกคามทางไซเบอร์ เปรียบเทียบกับประกาศลักษณะภัยคุกคามทางไซเบอร์แห่งชาติ
• การประชุมชี้แจงผล: ประชุมชี้แจงผลการทดสอบสำหรับช่องโหว่ระดับ Critical และ High พร้อมข้อเสนอแนะและแนวทางการแก้ไข
• การจัดทำรายงาน: ให้คำปรึกษาและจัดทำรายงานผลการประเมินความเสี่ยง พร้อมบทสรุปผู้บริหาร วิธีการทดสอบ รายละเอียดช่องโหว่ และคำแนะนำ
• การให้คำแนะนำเชิงนโยบาย: ให้คำปรึกษาและจัดทำแนวทางในการปรับปรุงแก้ไขระบบเครือข่ายและระบบเทคโนโลยีสารสนเทศให้มีความมั่นคงปลอดภัยตามมาตรฐานสากล
• การตรวจสอบซ้ำ (Re-scan): ดำเนินการตรวจสอบช่องโหว่ที่ได้มีการตรวจพบและได้รับการแก้ไขแล้ว พร้อมรายงานฉบับสมบูรณ์

• รายงานผลการศึกษาเบื้องต้น (Inception Report) และแผนดำเนินงาน
• ซอฟต์แวร์ตรวจสอบช่องโหว่ที่ติดตั้งและสามารถใช้งานได้เรียบร้อย
• คู่มือการติดตั้ง (Configuration) และคู่มือการใช้งานซอฟต์แวร์
• รายงานผลการประเมินช่องโหว่และทดสอบเจาะระบบเครือข่ายภายใน
• รายงานผลการตรวจสอบช่องโหว่และทดสอบเจาะระบบเว็บแอปพลิเคชันจำนวน 10 ระบบ
• รายงานวิเคราะห์และประเมินผลความเสี่ยงจากภัยคุกคามทางไซเบอร์
• รายงานสรุปผลการทดสอบสำหรับช่องโหว่ระดับ Critical/High พร้อมคำแนะนำแก้ไข
• รายงานผลการประเมินความเสี่ยงที่เกิดจากช่องโหว่และการเจาะระบบ (Final Report)
• แนวทางในการปรับปรุงแก้ไขระบบเครือข่ายและระบบเทคโนโลยีสารสนเทศ
• รายงานผลการตรวจสอบซ้ำ (Re-scan) หลังจากแก้ไขช่องโหว่
• เอกสารส่งมอบทั้งหมดในรูปแบบ Hardcopy อย่างน้อย 3 ชุด และ Electronic File (USB) ที่เข้ารหัสตามระดับความลับ

ระยะเวลาดำเนินโครงการทั้งหมด 240 วัน นับจากวันที่ลงนามในสัญญา โดยแบ่งงวดการส่งมอบดังนี้:

• งวดที่ 1 (45 วัน): ส่งมอบงานข้อ 5.1 - 5.3 (รายงานเบื้องต้น, ติดตั้งซอฟต์แวร์, คู่มือ)
• งวดที่ 2 (180 วัน): ส่งมอบงานข้อ 5.4 - 5.9 (การทดสอบเจาะระบบทุกประเภท, การวิเคราะห์, รายงานผล, แนวทางปรับปรุง)
• งวดที่ 3 (240 วัน): ส่งมอบงานข้อ 5.10 (การตรวจสอบซ้ำและรายงานฉบับสมบูรณ์)

• Eligibility Requirements:
  • ต้องเป็นตัวแทนที่ได้รับการแต่งตั้งอย่างเป็นทางการจากบริษัทผู้ผลิตหรือตัวแทนจำหน่ายผู้ผลิตในประเทศไทย สำหรับผลิตภัณฑ์ซอฟต์แวร์ที่นำเสนอในโครงการนี้
• Standards Compliance:
  • ระบบซอฟต์แวร์ที่นำเสนอต้องเป็นผลิตภัณฑ์ที่อยู่ในกลุ่ม Leaders ของ The Forrester Wave ด้าน Vulnerability Risk Management ปี 2023
• Experience:
  • (สำหรับทีมงาน) ระบุประสบการณ์ขั้นต่ำของบุคลากร (ดูในหัวข้อ Personnel)
• Previous Project Cost:
  • ไม่ได้ระบุ
• Technical Capabilities:
  • ต้องสามารถจัดหาและติดตั้งซอฟต์แวร์ตรวจสอบช่องโหว่ที่มีคุณสมบัติตรงตามข้อกำหนดทางเทคนิคทั้งหมดในข้อ 4 ของ TOR
• Personnel:
  • หัวหน้าโครงการ: จำนวน 1 คน วุฒิปริญญาตรีขึ้นไป สาขาวิศวกรรมศาสตร์/เทคโนโลยีสารสนเทศ/วิทยาศาสตร์หรือที่เกี่ยวข้อง มีประสบการณ์อย่างน้อย 10 ปี และมีประสบการณ์บริหารโครงการที่เกี่ยวข้องกับระบบเทคโนโลยีสารสนเทศ
  • ผู้ทดสอบเจาะระบบ (Pentester): จำนวน 1 คน วุฒิปริญญาตรีขึ้นไป สาขาวิศวกรรมศาสตร์/เทคโนโลยีสารสนเทศ/วิทยาศาสตร์ มีประสบการณ์ทำงานอย่างน้อย 2 ปี และต้องมีประกาศนียบัตรอย่างน้อย 1 ใบจากต่อไปนี้: Offensive Security Certified Professional (OSCP), CompTIA Pentest+, CompTIA CYSA+, หรือ CompTIA SEC+

เกณฑ์การพิจารณาผู้ชนะการเสนอราคา ใช้เกณฑ์ราคาและพิจารณาจากราคารวม (Lowest Price)

โครงการต้องการซอฟต์แวร์ตรวจสอบช่องโหว่เครือข่าย (Vulnerability Scanner) 1 ชุด ที่มีสิทธิ์การใช้งานถูกกฎหมายไม่น้อยกว่า 1 ปี โดยต้องมีคุณสมบัติหลัก เช่น รองรับการตรวจสอบไม่จำกัดจำนวนอุปกรณ์ IP, ตรวจสอบผ่าน IPv4/IPv6, ตรวจสอบช่องโหว่ของอุปกรณ์เครือข่าย (Cisco, Juniper เป็นต้น), ระบบฐานข้อมูล (Oracle, SQL Server, MySQL), ระบบปฏิบัติการ (Windows, MacOS, Linux), และ Web Application มีฐานข้อมูลช่องโหว่ (Plugin) ไม่น้อยกว่า 250,000 รายการ และครอบคลุม CVE IDs ไม่น้อยกว่า 100,000 รายการ สามารถอัพเดทฐานข้อมูลอัตโนมัติ รองรับการสแกนพื้นผิวการโจมตีภายนอก (External Attack Surface Scans) และออกรายงานในรูปแบบ HTML/CSV รวมถึงต้องจัดอันดับความเสี่ยงตามมาตรฐาน CVSS

• ระยะเวลารับประกัน: สิทธิ์การใช้งานและการรับประกันผลิตภัณฑ์ซอฟต์แวร์ต้องไม่น้อยกว่า 1 ปี นับจากส่งมอบ ผู้เสนอราคาต้องให้คำปรึกษาและแก้ไขปัญหาเบื้องต้นทางโทรศัพท์ และเป็นผู้ประสานงานหลักกับบริษัทผู้ผลิตหากมีปัญหา
• การจ่ายเงิน: แบ่งจ่ายเป็น 3 งวด ตามการส่งมอบงานและตรวจรับ:
  • งวดที่ 1: ร้อยละ 30 ของวงเงินสัญญา
  • งวดที่ 2: ร้อยละ 40 ของวงเงินสัญญา
  • งวดที่ 3: ร้อยละ 30 ของวงเงินสัญญา
• ค่าปรับ: หากส่งมอบงานล่าช้า ผู้รับจ้างต้องชำระค่าปรับในอัตราร้อยละ 0.10 ต่อวัน ของมูลค่างวดงานที่ยังไม่ได้รับมอบ นับจากวันครบกำหนด
• การปกปิดข้อมูล: ผู้ให้บริการและเจ้าหน้าที่ต้องลงนามในข้อตกลงการไม่เปิดเผยข้อมูล (Non-disclosure agreement) และต้องปฏิบัติตามนโยบายความมั่นคงปลอดภัย ICT และ ISO 27001:2022 ของ สป.อว.
• กำหนดยื่นราคา: 90 วัน

• ถาม: ซอฟต์แวร์ที่นำเสนอต้องมีคุณสมบัติตามมาตรฐานใดบ้าง?
  ตอบ: ซอฟต์แวร์ต้องเป็นผลิตภัณฑ์ที่อยู่ในกลุ่ม Leaders ของ The Forrester Wave ด้าน Vulnerability Risk Management ปี 2023 และต้องมีคุณสมบัติครบถ้วนตามที่ระบุในข้อ 4 ของ TOR เช่น ฐานข้อมูลช่องโหว่ไม่น้อยกว่า 250,000 Plugins, รองรับ CVE ไม่น้อยกว่า 100,000 IDs, และรองรับการสแกนตามมาตรฐาน DISA, CIS, PCI

• ถาม: การทดสอบเจาะระบบเครือข่ายภายในต้องครอบคลุมอุปกรณ์จำนวนเท่าใด?
  ตอบ: ต้องครอบคลุมการตรวจสอบช่องโหว่ของอุปกรณ์ในเครือข่ายภายในของ สป.อว. เป็นจำนวนไม่น้อยกว่า 500 หมายเลขไอพี (IP Address)

• ถาม: ต้องทำการทดสอบเจาะระบบเว็บแอปพลิเคชันกี่ระบบ และใช้มาตรฐานใด?
  ตอบ: ต้องดำเนินการทดสอบเจาะระบบเว็บแอปพลิเคชันจำนวน 10 ระบบ โดยต้องอ้างอิงตามมาตรฐาน Open Web Application Security Project (OWASP) Testing guide เวอร์ชันล่าสุด และดำเนินการทดสอบแบบ Grey Box

• ถาม: หลังจากทดสอบเจาะระบบแล้ว มีขั้นตอนการวิเคราะห์และรายงานผลอย่างไร?
  ตอบ: ผู้รับจ้างต้องวิเคราะห์และประเมินผลความเสี่ยงจากภัยคุกคามทางไซเบอร์ เปรียบเทียบกับประกาศของคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ จัดประชุมชี้แจงผลการทดสอบสำหรับช่องโหว่ระดับ Critical และ High พร้อมให้ข้อเสนอแนะในการแก้ไข และจัดทำรายงานผลการประเมินความเสี่ยงฉบับสมบูรณ์

• ถาม: ผู้รับจ้างมีหน้าที่ตรวจสอบซ้ำหลังจากทาง สป.อว. แก้ไขช่องโหว่แล้วหรือไม่?
  ตอบ: ใช่ ผู้รับจ้างมีหน้าที่ดำเนินการตรวจสอบช่องโหว่ (Re-scan) ที่ได้มีการตรวจพบและได้รับการแก้ไขแล้วจากเจ้าหน้าที่ของ สป.อว. พร้อมจัดทำรายงานฉบับสมบูรณ์ ซึ่งเป็นงานส่งมอบในงวดที่ 3

• ถาม: เอกสารส่งมอบต้องจัดทำระดับความลับอย่างไร?
  ตอบ: เอกสารที่ประกอบด้วยข้อมูลสำคัญของหน่วยงานต้องจัดทำป้าย “Confidential” หรือ “ลับ” และจัดทำเอกสารสำเนาที่ปิดบังข้อมูลสำหรับ “ใช้ภายใน” ส่วนเอกสารที่มีผลการทดสอบเจาะระบบและข้อมูลลับสำคัญต้องจัดทำป้าย “Secret” หรือ “ลับมาก” ไฟล์อิเล็กทรอนิกส์ (USB) ทุกชุดต้องเข้ารหัส (Encrypted)

• ถาม: ทีมงานผู้ดำเนินการทดสอบต้องมีคุณสมบัติพิเศษใดบ้าง?
  ตอบ: ผู้ทดสอบเจาะระบบ (Pentester) อย่างน้อย 1 คน ต้องมีประกาศนียบัตรรับรองความเชี่ยวชาญด้านการเจาะระบบ เช่น OSCP, CompTIA Pentest+, CYSA+ หรือ SEC+

• ถาม: ผู้เสนอราคาต้องเป็นตัวแทนจำหน่ายซอฟต์แวร์หรือไม่?
  ตอบ: ใช่ ผู้ยื่นข้อเสนอต้องเป็นตัวแทนที่ได้รับการแต่งตั้งอย่างเป็นทางการจากบริษัทผู้ผลิตหรือตัวแทนจำหน่ายผู้ผลิตในประเทศไทย สำหรับผลิตภัณฑ์ซอฟต์แวร์ที่นำเสนอในโครงการนี้ และต้องแนบเอกสารการแต่งตั้งมาด้วย

• ถาม: มีข้อกำหนดเกี่ยวกับการไม่กระทบต่อระบบขณะทดสอบหรือไม่?
  ตอบ: มีข้อกำหนดชัดเจนว่าการติดตั้งซอฟต์แวร์และการทดสอบเจาะระบบทุกครั้งต้องไม่กระทบต่อการทำงานของระบบปกติ หากเกิดความผิดปกติขึ้นระหว่างทดสอบ ผู้รับจ้างต้องรีบแก้ไขและแจ้งให้ สป.อว. ทราบทันที และรับผิดชอบค่าใช้จ่ายที่เกิดขึ้นทั้งหมด

• ถาม: โครงการนี้มีข้อกำหนดให้ปฏิบัติตามมาตรฐาน ISO ด้วยหรือไม่?
  ตอบ: ใช่ ผู้ให้บริการและเจ้าหน้าที่ต้องปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศของ สป.อว. และขั้นตอนปฏิบัติต่างๆ ตามนโยบาย ISO 27001:2022 อย่างเคร่งครัด

ข้อกําหนด และขอบเขตของงาน จ้างตรวจสอบช่องโหว่และประเมินความมั่นคงปลอดภัยเครือข่ายของ สป.อว.

1. หลักการและเหตุผล
   ตามประกาศ คณะกรรมการกํากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง ประมวลและแนวทาง ปฏิบัติในการรักษาความมั่นคงปลอดภัยไซเบอร์สําหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสําคัญ ทางสารสนเทศ พ.ศ. ๒๕๖๔ มีการกําหนดให้มีการประเมินช่องโหว่และการทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing) โดยเฉพาะอย่างยิ่งระบบเทคโนโลยีสารสนเทศ (Information Technology : IT) ที่เชื่อมต่อกับอินเทอร์เน็ต (Internet Facing) รวมถึงให้มีการทดสอบเจาะระบบของโฮสต์ เครือข่ายและแอพลิเคชันของบริการสําคัญโดยเฉพาะอย่างยิ่งทุกระบบที่มีการเชื่อมต่ออินเทอร์เน็ตโดยตรง และควรมีการทดสอบเจาะระบบอย่างน้อยปีละ ๑ ครั้ง เพื่อเป็นการเตรียมความพร้อมและยกระดับการ
   ๑ ตรวจสอบการบุกรุกตามลักษณะภัยไซเบอร์ที่มากขึ้นผ่านการจําลองการโจมตีเสมือนจริงที่เป็นที่นิยมใช้ใน อุตสาหกรรม โดยมีความใกล้เคียงกับสถานการณ์การโจมตีที่เกิดขึ้นจากผู้ไม่หวังดี (Hacker) และสามารถ ตรวจสอบความพร้อมของบุคลากร (People) กระบวนการ (Process) และเทคโนโลยี (Technology) ให้มีความสอดคล้องกับสถานะการณ์ภัยคุกคามปัจจุบัน เพื่อนําไปปรับปรุงระบบและกระบวนการรักษา ความปลอดภัยอย่างเป็นระบบ เป็นรูปธรรม และนําไปปฏิบัติได้จริง
   กองระบบและบริหารข้อมูลเชิงยุทธศาสตร์การอุดมศึกษาวิทยาศาสตร์ วิจัยและนวัตกรรม (กรข.) สํานักงานปลัดกระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม (สป.อว.) จึงมีความจําเป็นต้องเช่าใช้ บริการระบบตรวจสอบช่องโหว่และประเมินความมั่นคงปลอดภัยระบบเครือข่ายและระบบสารสนเทศ
   เพื่อตรวจสอบช่องโหว่และประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศของ สป.อว. ให้สามารถ ให้บริการได้อย่างต่อเนื่อง ลดความเสี่ยงที่อาจเกิดจากภัยคุกคามทางไซเบอร์ และช่องโหว่ในรูปแบบต่างๆ ได้อย่างมีประสิทธิภาพต่อไป และสอดคล้องตามประมวลและแนวทางปฏิบัติฯ ดังกล่าวข้างต้น
2. วัตถุประสงค์
   2.1
   เพื่อตรวจสอบช่องโหว่ของระบบสารสนเทศ และระบบเครือข่ายของ สป.อว
   2.2 เพื่อยกระดับความมั่นคงปลอดภัยสารสนเทศในการป้องกันและลดความเสี่ยงที่อาจเกิดขึ้น
   จากภัยคุกคามทางไซเบอร์ต่อทรัพยากรข้อมูลสารสนเทศ ระบบสารสนเทศ และระบบเครือข่าย
   ที่สําคัญของ สป.อว.
   ณ
   прий
   1/9
3. คุณสมบัติผู้ยื่นข้อเสนอ
   3.1 มีความสามารถตามกฎหมาย 3.2 ไม่เป็นบุคคลล้มละลาย
   3.3 ไม่อยู่ระหว่างเลิกกิจการ
   3.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบ ที่รัฐมนตรีว่าการกระทรวงการคลังกําหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศ
   ของกรมบัญชีกลาง
   3.5 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของ
   หน่วยงานของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็น หุ้นส่วนผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอํานาจในการดําเนินงานในกิจการของนิติบุคคลนั้นด้วย
   3.6 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหาร
   พัสดุภาครัฐกําหนดในราชกิจจานุเบกษา
   3.7 เป็นนิติบุคคล ผู้มีอาชีพรับจ้างงานที่ประกวดราคาอิเล็กทรอนิกส์ดังกล่าว
   3.8 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่ สํานักงาน ปลัดกระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม ณ วันประกาศประกวดราคา อิเล็กทรอนิกส์ หรือไม่เป็นผู้กระทําการอันเป็นการขัดขวางการแข่งขันอย่างเป็นธรรมในการ ประกวดราคาอิเล็กทรอนิกส์ครั้งนี้
   3.9 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่ รัฐบาลของผู้ยื่น
   ข้อเสนอได้มีคําสั่งให้สละสิทธิ์และความคุ้มกันเช่นว่านั้น
   3.10 ผู้ยื่นข้อเสนอต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (Electronic
   Government Procurement: e - GP) ของกรมบัญชีกลาง
   3.11 ผู้ยื่นข้อเสนอต้องเป็นตัวแทนที่ได้รับการแต่งตั้งอย่างเป็นทางการ ให้มีสิทธิ์ในการจําหน่ายและ
   บริการหลังการขายจากบริษัทผู้ผลิต หรือตัวแทนจําหน่ายผู้ผลิตในประเทศไทยสําหรับโครงการนี้ โดยแนบเอกสารดังกล่าวในวันยื่นข้อเสนอด้วย
   3.12 ผู้ให้บริการจะต้องจัดให้มีบุคลากรที่มีความรู้ความชํานาญเพื่อดําเนินงานตามขอบเขตงาน
   โดยมีคุณวุฒิ ประสบการณ์ และจํานวนอย่างน้อย ดังนี้
   6
   3.12.1 หัวหน้าโครงการ วุฒิการศึกษาไม่ต่ํากว่า ปริญญาตรี สาขาวิศวกรรมศาสตร์ หรือ สาขา เทคโนโลยีสารสนเทศ หรือวิทยาศาสตร์ หรือสาขาที่เกี่ยวข้องกับงานเทคโนโลยี สารสนเทศ ที่มีประสบการณ์อย่างน้อย 10 ปี และมีประสบการณ์ในการบริหารโครงการ ที่เกี่ยวข้องกับระบบเทคโนโลยีสารสนเทศ จํานวน 1 คน
   R
   2/9
   3.12.2 ผู้ทดสอบเจาะระบบ วุฒิการศึกษาไม่ต่ํากว่า ปริญญาตรี สาขาวิศวกรรมศาสตร์ หรือ สาขาเทคโนโลยีสารสนเทศ หรือวิทยาศาสตร์ ที่มีประสบการณ์การทํางานอย่างน้อย 2 ปี จํานวน 1 คน และได้รับประกาศนียบัตรอย่างน้อย 1 ใบ ได้แก่ Offensive Security
   Certified Professional (OSCP) 0 CompTIA Pentest+ a CompTIA CYSA+ หรือ CompTIA SEC+
4. รายละเอียดคุณลักษณะเฉพาะด้านเทคนิค
   สิทธิ์การใช้งานซอฟต์แวร์ประเมินและตรวจสอบช่องโหว่ภายในเครือข่าย จํานวน 1 ชุด
   4.1 มีสิทธิ์การใช้งานที่มีลิขสิทธิ์ถูกต้องตามกฎหมาย เป็นระยะเวลาไม่น้อยกว่า 1 ปี 4.2 โปรแกรมที่นําเสนอต้องถูกออกแบบมาเพื่อทําหน้าที่ตรวจสอบและประเมินความเสี่ยงจากช่องโหว่
   (Vulnerability) โดยเฉพาะ
   4.3 รองรับการตรวจหาช่องโหว่ในระบบได้แบบไม่จํากัดจํานวนอุปกรณ์ IP Address
   4.4 สามารถบริหารจัดการได้ผ่าน Web Based GUI แบบ HTTPS
   4.5 รองรับการตรวจสอบ (Scan) ได้หลากหลาย เช่น แบบ non-credentialed หรือ credentialed ได้ 4.6 สามารถตรวจสอบช่องโหวภายในระบบเครือข่ายผ่าน IPv4 หรือ IPv6 ได้
   4.7 สามารถทําการตรวจสอบช่องโหว่ของอุปกรณ์เครือข่าย เช่น Cisco, Juniper, HP, F5 และ
   SonicWatt ได้
   น
   4.8 สามารถทําการตรวจสอบช่องโหว่ของระบบฐานข้อมูลได้ เช่น Oracle หรือ SQL Server หรือ
   MySQL ได้
   4.9 สามารถตรวจสอบช่องโหว่ของระบบปฏิบัติการคอมพิวเตอร์ เช่น Windows, MacOS, และ Linux
   (Ubuntu) ได้
   ต
   4.10 สามารถตรวจสอบช่องโหว่ของ Web application (Web application scans) ได้
   4.11 สามารถทําการตั้งเวลาการ Scan ล่วงหน้าได้
   4.12 มี Templates สําหรับทําการตรวจสอบ compliance และ configuration 4.13 สามารถแจ้งเตือนการสแกนผ่านช่องทาง Email ได้
   4.14 มีฐานข้อมูลของช่องโหว่ (Plugin) ไม่น้อยกว่า 250,000 Plugins
   4.15 มีฐานข้อมูลของช่องโหว่ที่ครอบคลุมมาตรฐาน CVE ไม่น้อยกว่า 100,000 CVE IDs 4.16 สามารถอัพเดทฐานข้อมูลของช่องโหวได้โดยอัตโนมัติ
   4.17 สามารถรองรับการสแกนในรูปแบบของ External Attack Surface Scans ได้
   4.18 รองรับการ Scan ในการหาช่องโหวโดยอ้างอิงมาตรฐานด้านความปลอดภัย เช่น DISA หรือ CIS
   หรือ PCI ได้
   4.19 มีการจัดลําดับคะแนนความเสี่ยงของช่องโหว่ตามมาตรฐาน CVSS และจัดลําดับความรุนแรง ได้แก่
   Critical, High, Medium, Low และ info
   0
   319
   4.20 สามารถออกรายงานในรูปแบบ HTML หรือ CSV formats ได้
   4.21 มีกระบวนการในการจัดลําดับความสําคัญของช่องโหว่ โดยอาศัยการวิเคราะห์เชิงลึก และการคาด
   การ (Vulnerability Priority Rating) ได้
   4.22 ระบบที่นําเสนอต้องเป็นผลิตภัณฑ์ที่อยู่ในกลุ่ม Leaders ของ The Forrester Wave ด้าน
   Vulnerability Risk Management ปี 2023
5. ขอบเขตการดําเนินงาน
   ขอบเขตของการดําเนินงานต้องประกอบด้วยงาน ดังต่อไปนี้
   5.1 ศึกษา วิเคราะห์ และจัดทํารายงานผลการศึกษาเบื้องต้น (Inception Report) โดยมีเนื้อหา ประกอบด้วย วิธีการ รูปแบบ และเครื่องมือที่เหมาะสมสําหรับจะนํามาใช้ในการประเมินช่องโหว่
   การทดสอบการเจาะระบบ (Vulnerability Assessment and Penetration Testing) และการ จําลองการโจมตีเสมือนจริง เพื่อกําหนดแนวทางการดําเนินงานโครงการ พร้อมทั้งจัดทําแผนการ ดําเนินงานที่เหมาะสม
   5.2 ดําเนินการติดตั้งโปรแกรมหรือซอฟต์แวร์ต่างๆ ที่ได้นําเสนอในโครงการนี้ ให้สามารถใช้งานได้ และตรงตามคุณสมบัติที่ระบุไว้ข้างต้น โดยในระหว่างการติดตั้งซอฟต์แวร์ที่นําเสนอภายใน
   โครงการนี้ จะต้องไม่มีผลกระทบต่อการทํางานของระบบงานต่างๆ หรือก่อให้เกิดความเสียหายแก่ สป.อว. ทั้งนี้ หากเกิดผลกระทบหรือความเสียหาย ผู้รับจ้างต้องเป็นผู้ดําเนินการแก้ไขให้สามารถ ใช้งานได้ตามปกติ และรับผิดชอบค่าใช้จ่ายที่เกิดขึ้นทั้งห
   งหมด
   5.3 ดําเนินการจัดทําคู่มือการติดตั้ง (Configuration) และคู่มือการใช้งานซอฟต์แวร์ พร้อมรูป
   ประกอบอย่างละเอียด ให้กับ สป.อว.
   5.4 ก่อนเข้าดําเนินการในแต่ละครั้ง ต้องแจ้งแผนการเข้าดําเนินงาน รายละเอียดการดําเนินการ เครื่องมือที่ใช้ โปรแกรมที่เกี่ยวข้อง และวิธีการทดสอบ รวมถึงการประเมินผลกระทบที่อาจมีขึ้น เพื่อป้องกันไม่ให้เกิดความเสียหายต่อระบบที่ทดสอบ ให้ทราบล่วงหน้าอย่างน้อย 5 วันทําการ และจะดําเนินการได้หลังจากที่ได้รับความเห็นชอบจาก สป.อว.
   5.5 ดําเนินการประเมินช่องโหว่และทดสอบเจาะระบบเครือข่ายภายในของ สป.อว. (Internal Penetration
   Testing and Vulnerabilities Assessment) มีขั้นตอนหรือกระบวนการอย่างน้อยดังต่อไปนี้ 5.5.1 ตรวจการเข้าถึงเครือข่ายภายใน (Internal Network Reconnaissance) อย่างน้อยดังนี้
   Administrator Desktops
   Active Directory Services
   Routing Infrastructure
   Key Internal Websites
   การเดาสุม Username และ Password
   mr
   Show
   4/9
   5.5.2 ตรวจสอบช่องโหว่ของเครือข่ายภายในจะต้องครอบคลุมในระดับระบบปฏิบัติการของ เครื่องคอมพิวเตอร์แม่ข่าย (Server) อุปกรณ์ในระบบเครือข่าย (Network Equipment) และอุปกรณ์ในระบบรักษาความปลอดภัยสารสนเทศ (Security Device) ของ สป.อว. จํานวนไม่น้อยกว่า 500 หมายเลขไอพี (Internal Vulnerability Assessment) โดยครอบคลุม อย่างน้อยดังนี้
   Execute vulnerability and port scanning assessments
   Scanning vulnerability and port from internal network

Exploitation frameworks (where appropriate)
Open ports
Misconfiguration
The presence of known vulnerabilities and/or system weaknesses 5.5.3 ดําเนินการทดสอบเจาะระบบจากเครือข่ายภายในของ สป.อว. แบบ Grey-box Test ให้ดําเนินการโดยอ้างอิงตามมาตรฐาน NIST SP800-115 และใช้ Version ล่าสุดที่มีการ
ประกาศในการใช้งาน
น
5.5.4 ดําเนินการทดสอบหาช่องทางในการเจาะเข้าถึงเครือข่ายเทคโนโลยีสารสนเทศของ สป.อว.
(Internal Penetration Testing) อย่างน้อยดังนี้

Port scanning
Vulnerability scanning
Exploitation frameworks (where appropriate)
Identification and Authentication Failures
Vulnerable and Outdated Components
5.5.5 ดําเนินการทดสอบเจาะระบบในรูปแบบผสมผสาน โดยการทดสอบด้วยการใช้เครื่องมือ เจาะระบบแบบอัตโนมัติ (Automate Tool) ทั้งแบบ Commercial Tool และแบบ Open-source Tool ผสมผสานกับความเชี่ยวชาญของบุคลากร (Human Skill) พร้อมเก็บ หลักฐานจากการทดสอบ (ผู้รับจ้างจะต้องใช้การทดสอบและวิเคราะห์ด้วยตัวบุคคลเองด้วย
(Manual Test)
5.5.6 ดําเนินการทดสอบเจาะระบบไม่ให้กระทบกับการใช้งานระบบเทคโนโลยีสารสนเทศ โดย ระหว่างการทดสอบเจาะระบบหากเกิดความผิดปกติของระบบที่ทําการทดสอบ จะต้องรีบ แก้ไขและแจ้งให้บุคลากรของ สป.อว. ทราบทันที
5.6 ดําเนินการตรวจสอบช่องโหว่และทดสอบเจาะระบบเว็บแอปพลิเคชัน (Vulnerabilities Assessment & Web Application Penetration test) จํานวน 10 Web Application โดยตรวจสอบความมั่นคง ปลอดภัยของระบบเทคโนโลยีสารสนเทศ (Web Application Security Assessment) โดยครอบคลุม
อย่างน้อยดังนี้
Qwi
т
5/9
5.6.1 ทดสอบเจาะระบบเว็บแอพพลิเคชันทั้งแบบ Grey Box ให้ดําเนินการโดยอ้างอิงตาม Open Web Application Security Project (OWASP) Testing guide และใช้ Version ล่าสุดที่ มีการประกาศในการใช้งาน
5.6.2 ดําเนินการทดสอบเจาะระบบเว็บแอปพลิเคชันแบบ Grey Box ในการทดสอบจะ ดําเนินการเหมือนกับการเจาะระบบโดยไวรัสหรือแฮกเกอร์ที่ปฏิบัติการจริง และทดสอบหา ช่องทางในการเข้าถึงระบบ (Exploit) ผ่านช่องโหว่ต่าง ๆ โดยคลอบคลุมรายละเอียดดังนี้
External assessment (identification of application security issues via Internet
presented applications or through simulated-external applications as applicable)
Testing from the perspective of an unregistered user - ‘Black Box’ testing Review of the ability to withstand attacks from injected or manipulated code
Assess scenarios through which a non-load-based denial of service
condition can be introduced
Assess user access controls, user segregation and authentication
Attempt to gain unauthorized access to data, to modify data without authority,
or to otherwise compromise the security model implemented by the system
5.6.3 ดําเนินการทดสอบเจาะระบบในรูปแบบผสมผสาน โดยการทดสอบด้วยการใช้เครื่องมือ เจาะระบบแบบอัตโนมัติ (Automate Tool) ทั้งแบบ Commercial Tool และแบบ Open-source Tool ผสมผสานกับความเชี่ยวชาญของบุคลากร (Human Skill) พร้อมเก็บ หลักฐานจากการทดสอบ (ผู้รับจ้างจะต้องใช้การทดสอบและวิเคราะห์ด้วยตัวบุคคลเองด้วย
(Manual Test)
5.6.4 ดําเนินการทดสอบเจาะระบบไม่ให้กระทบกับการใช้งานระบบเทคโนโลยีสารสนเทศ
โดยระหว่างการทดสอบเจาะระบบ หากเกิดความผิดปกติของระบบที่ทําการทดสอบ จะต้องรีบแก้ไขและแจ้งให้เจ้าหน้าที่ ให้ทราบทันที
5.7 วิเคราะห์และประเมินผลพฤติการณ์แวดล้อม ผลกระทบที่เกิดขึ้น ความเสี่ยงหรือแนวโน้มที่อาจ เกิดขึ้นจากภัยคุกคามทางไซเบอร์ในกรณีต่าง ๆ ผลจากการทดสอบเจาะระบบในข้อ 5.3 ถึง 5.4 เพื่อพิจารณาว่าลักษณะของภัยคุกคามทางไซเบอร์นั้นอยู่ในระดับใดเทียบเคียงกับประกาศ
คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง ลักษณะภัยคุกคามทางไซเบอร์ มาตรการป้องกัน รับมือ ประเมิน ปราบปราม และระงับภัยคุกคามทางไซเบอร์แต่ละระดับ พ.ศ. 2564 พร้อมทั้งประชุมชี้แจงผลการทดสอบและวิเคราะห์การเจาะระบบตามข้อ 5.3 ถึง 5.4 ที่มีผลกระทบในระดับวิกฤต (Critical) และระดับสูง (High) พร้อมข้อเสนอแนะและแนวทางการ
แก้ไขโดยละเอียด
Our Achant
6/9
5.8 ให้คําปรึกษาและดําเนินการจัดทํารายงานผลการประเมินหาความเสี่ยงที่เกิดจากช่องโหว่และการ
เจาะเข้าถึงเครือข่ายและระบบเทคโนโลยีสารสนเทศ โดยรายงานจะต้องมีเนื้อหาสาระประกอบไป
ด้วยอย่างน้อย ดังนี้
บทสรุปผู้บริหาร
วิธีการและขั้นตอนการทดสอบ
I
รายละเอียดช่องโหว่ พร้อมประเมินความรุนแรงของช่องโหว่ คําแนะนําในการปิดช่องโหว่
5.9 ให้คําปรึกษาและดําเนินการจัดทําแนวทางในการปรับปรุงแก้ไขระบบเครือข่าย และระบบ เทคโนโลยีสารสนเทศ ให้มีความมั่นคงปลอดภัยสอดคล้องตามมาตรฐานสากล โดยอ้างอิงจาก รายงานผลการประเมินความเสี่ยงที่เกิดจากช่องโหว่และการเจาะเข้าถึงเครือข่ายและระบบ
เทคโนโลยีสารสนเทศ
5.10 ดําเนินการตรวจสอบช่องโหว่ที่ได้มีการตรวจพบ และได้รับการแก้ไขแล้วจากเจ้าหน้าที่
พร้อมรายงานฉบับสมบูรณ์
6. การส่งมอบงาน การส่งมอบ
ผู้เสนอราคาต้องดําเนินการโครงการภายในระยะเวลา 240 วัน นับถัดจากวันที่ลงนามในสัญญา
จ้าง โดยต้องส่งมอบงานในรูปแบบของเอกสารและ Electronic File จํานวนอย่างน้อย 3 ชุด ให้กับ สํานักงาน ปลัดกระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม (สป.อว.) โดยแบ่งออกเป็นงวดงาน ดังนี้
งวดที่ 1 ส่งมอบงาน ข้อ 5.1 - ข้อ 5.3 ภายใน 45 วัน นับถัดจากวันลงนามในสัญญา งวดที่ 2 ส่งมอบงาน ข้อ 5.4 - ข้อ 5.9 ภายใน 180 วัน นับถัดจากวันลงนามในสัญญา งวดที่ 3 ส่งมอบงาน ข้อ 5.10 ภายใน 240 วัน นับถัดจากวันลงนามในสัญญา
7. เอกสารการส่งมอบ
7.1 หากเอกสารส่งมอบประกอบไปด้วยข้อมูลที่สําคัญของหน่วยงาน อาทิเช่น หมายเลขและ IP Address เอกสารการกําหนดค่าต่างๆ ของโปรแกรมหรือระบบ เอกสารลิขสิทธิ์ (License) ของ อุปกรณ์หรือระบบ ข้อมูลส่วนบุคคล รวมถึงบัญชีและรหัสผ่านของผู้ใช้งานระบบสารสนเทศระดับ ผู้ใช้งานทั่วไป เป็นต้น ผู้ให้บริการต้องจัดทําป้ายแสดงระดับชั้นความลับ ให้มีตราหรือเครื่องหมาย หรือชื่อขององค์กร และมีข้อความระบุว่า “Confidential” หรือคําว่า “ลับ” จํานวน 1 ชุดบน เอกสาร และจัดทําเอกสารรูปแบบเฉพาะที่ปิดบังข้อมูลที่สําคัญของหน่วยงาน โดยมีข้อความว่า “Internal Use” หรือคําว่า “ใช้ภายใน” จํานวน 1 ชุดบนเอกสาร ที่จะจัดส่งให้กับทาง สป.อว (รวมทั้งหมด 2 ชุด) และข้อมูลแบบ Electronic File (USB) ซึ่งต้องทําการเข้ารหัสข้อมูล (Encrypted) เพื่อป้องกันการเข้าถึงข้อมูลที่สําคัญ โดยต้องมีข้อความระบุว่า “Confidential หรือ “ลับ” บนซองเอกสารทึบแสงที่ปิดผนึกเรียบร้อยนําส่งมอบให้กับทาง สป.อว. จํานวน 2 ชุด
“J
mous
7/9
ขึ้น
พร้อมดําเนินการส่งรหัสผ่าน ให้กับผู้ดูแลระบบผ่านทางช่องทางตามที่ สป.อว. เป็นผู้กําหนด ด้วยโปรแกรม WinZip หรือ 7Zip เป็นต้น
7.2 หากเอกสารส่งมอบประกอบไปด้วยข้อมูลสําคัญที่ส่งผลต่อความมั่นคงปลอดภัยของระบบ สารสนเทศและเครือข่ายของ สป.อว. อาทิเช่น ผลการตรวจสอบช่องโหว่ (VA), ผลการทดสอบ เจาะระบบ (PenTest), และบัญชีและรหัสผ่านของผู้ใช้งานระบบสารสนเทศ ระดับผู้ดูแลระบบ เป็นต้น ผู้ให้บริการต้องจัดทําป้ายแสดงระดับชั้นความลับ ให้มีตราหรือเครื่องหมาย หรือชื่อของ องค์กร และมีข้อความระบุว่า “Secret” หรือคําว่า “ลับมาก” จํานวน 1 ชุดบนเอกสาร และ ข้อมูลแบบ Electronic File (USB) ซึ่งต้องทําการเข้ารหัสข้อมูล (Encrypted) เพื่อป้องกันการ เข้าถึงข้อมูลที่สําคัญ โดยต้องมีข้อความระบุว่า “Secret” หรือ “ลับมาก” บนซองเอกสารทึบแสง ที่ปิดผนึกเรียบร้อยนําส่งมอบให้กับทาง สป.อว. จํานวน 1 ชุด พร้อมดําเนินการส่งรหัสผ่าน ให้กับ ผู้ดูแลระบบผ่านทางช่องทางตามที่ สป.อว. เป็นผู้กําหนด ด้วยโปรแกรม WinZip หรือ 7Zip เป็นต้น
8. การปฏิบัติตามนโยบายด้าน ICT ของ สป.อว
ผู้ให้บริการหรือเจ้าหน้าทีที่ของผู้ให้บริการจะต้องปฏิบัติตามนโยบายการรักษาความมั่นคง ปลอดภัยระบบเทคโนโลยีสารสนเทศ ของ สป.อว. และขั้นตอนปฏิบัติต่างๆ ตามนโยบาย ISO 27001:2022 รวมถึงคําสั่งและวิธีปฏิบัติที่เกี่ยวข้องอย่างเคร่งครัด
9. การปกปิดความลับทางด้านข้อมูล (Non-disclosure agreement)
ผู้ให้บริการหรือเจ้าหน้าที่ของผู้ให้บริการจะต้องดําเนินการลงนามการปกปิดความลับ ทางด้านข้อมูล (Non-disclosure agreement) ให้กับ สป.อว. สําหรับโครงการนี้ เพื่อเป็นการรักษาความลับ ทางด้านข้อมูลไม่ให้รั่วไหลสู่สาธารณะโดยไม่ได้รับอนุญาต
10. ระยะเวลาการรับประกัน
9.1. มีสิทธิ์ การใช้งานและการรับประกันผลิตภัณฑ์ซอฟต์แวร์ที่นําเสนอในโครงการนี้ทั้งหมด เป็นระยะเวลาไม่น้อยกว่า 1 ปี ในกรณีที่เกิดปัญหาเมื่อได้รับแจ้งปัญหาทาง E-mail หรือทาง โทรศัพท์ ผู้เสนอราคาต้องให้คําปรึกษา แก้ไขปัญหาเบื้องต้นทางโทรศัพท์ ซึ่งต้องถือปฏิบัติใน
ระยะเวลาประกัน
9.2. ผู้เสนอราคาต้องเป็นผู้ประสานงานหลักในการแก้ไขปัญหา กรณีที่มีการแจ้งปัญหาการใช้งาน
ไปยังบริษัทเจ้าของผลิตภัณฑ์ที่นําเสนอในโครงการนี้ กรณีหากมีค่าใช้จ่ายเกิดขึ้น ต้องเป็นผู้รับผิดชอบค่าใช้จ่ายทั้งหมด ซึ่งต้องถือปฏิบัติในระยะเวลาการรับประกัน
ทางผู้เสนอราคา
(Mr
2
ศ.
8/9
10. การจ่ายเงิน
ผู้ว่าจ้างจะแบ่งจ่ายชําระเงินหลังจากที่ได้ตรวจรับถูกต้องเรียบร้อยแล้ว และผู้รับจ้างปฏิบัติ โดยจะชําระเงินตามเงื่อนไขและกําหนดเวลาการชําระเงินดังนี้
ถูกต้องครบถ้วนตามที่กําหนด
งวดที่ 1 เบิกจ่ายเงินเป็นจํานวน ร้อยละ 30 ของวงเงินตามสัญญาของการดําเนินงานโครงการ หลังจากผู้รับจ้างส่งมอบงานในงวดงานที่ 1 แล้วเสร็จและผ่านการตรวจรับจาก คณะกรรมการตรวจรับพัสดุในงานจ้างเรียบร้อยแล้ว
งวดที่ 2 เบิกจ่ายเงินเป็นจํานวน ร้อยละ 40 ของวงเงินตามสัญญาของการดําเนินงานโครงการ หลังจากผู้ให้บริการส่งมอบงานในงวดงานที่ 2 แล้วเสร็จและผ่านการตรวจรับจาก คณะกรรมการตรวจรับพัสดุในงานจ้างเรียบร้อยแล้ว
งวดที่ 3 เบิกจ่ายเงินเป็นจํานวน ร้อยละ 30 ของวงเงินตามสัญญาของการดําเนินงานโครงการ หลังจากผู้ให้บริการส่งมอบงานในงวดงานที่ 3 แล้วเสร็จและผ่านการตรวจรับจาก คณะกรรมการตรวจรับพัสดุในงานจ้างเรียบร้อยแล้ว
11. หลักเกณฑ์การพิจารณา
12. ค่าปรับ
เกณฑ์การพิจารณาผู้ชนะการเสนอราคา ใช้เกณฑ์ราคาและพิจารณาจากราคารวม
หากผู้รับจ้างไม่สามารถส่งมอบให้แล้วเสร็จตามเวลาที่กําหนดไว้ ผู้รับจ้างจะต้องชําระค่าปรับ
ให้แก่ทาง สป.อว. เป็นรายวันอัตราร้อยละ 0.10 (ศูนย์จุดหนึ่งศูนย์) ของมูลค่างวดงานที่ยังไม่ได้รับมอบ นับถัดจากวันครบกําหนดส่งมอบจนถึงวันที่ผู้ให้บริการได้ส่งมอบงานจนถูกต้องครบถ้วน
13. กําหนดยืนราคา 90 วัน
14. สถานที่ส่งมอบพัสดุ
१
สํานักงานปลัดกระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม เลขที่ 75/47 ถนนพระรามที่ 6 แขวงทุ่งพญาไท เขตราชเทวี กรุงเทพมหานคร โทร. 0 2333 3811
15. งบประมาณ
วงเงินงบประมาณ 1,500,000 บาท (หนึ่งล้านห้าแสนบาทถ้วน)
wan
(นายพฤทธิ์ แกะกระโทก)
(นายจีรายุ ชัยมีบุญ)
(นายกิติศักดิ์ วงศ์ธานุวัฒน์)
นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ นักวิชาการคอมพิวเตอร์ชํานาญการ เจ้าหน้าที่ระบบงานคอมพิวเตอร์
2
ผู้กําหนดคุณลักษณะเฉพาะ ผู้กําหนดคุณลักษณะเฉพาะ
ผู้กําหนดคุณลักษณะเฉพาะ
9/9