ประกวดราคาจ้างผู้ให้บริการเฝ้าระวังภัยคุกคามทางไซเบอร์ผ่านระบบควบคุมระยะไกลของ สำนักงาน กสทช.

• เพื่อเสริมสร้างความมั่นคงปลอดภัยของระบบสารสนเทศและข้อมูลสำคัญของสำนักงาน กสทช. ลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ทุกรูปแบบ ป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การรั่วไหลของข้อมูล การเปลี่ยนแปลงแก้ไขข้อมูลโดยมิชอบ และความเสียหายต่อระบบเทคโนโลยีสารสนเทศที่สำคัญขององค์กร
• เพื่อให้การดำเนินงานของสำนักงาน กสทช. เป็นไปอย่างต่อเนื่องและมีเสถียรภาพ สร้างความเชื่อมั่นว่าระบบเทคโนโลยีสารสนเทศที่สนับสนุนภารกิจหลักของสำนักงาน กสทช. สามารถทำงานได้อย่างต่อเนื่อง
• เพื่อให้การปฏิบัติงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของสำนักงาน กสทช. เป็นไปตามกฎหมาย ข้อกำหนด และมาตรฐานสากล ดำเนินการให้สอดคล้องกับ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และมาตรฐานอื่น ๆ ที่เกี่ยวข้อง เพื่อยกระดับการกำกับดูแลที่ดี
• เพื่อเพิ่มประสิทธิภาพในการบริหารจัดการทรัพยากรและยกระดับความเชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ของสำนักงาน กสทช. โดยการเข้าถึงความรู้ความสามารถ เทคโนโลยี และเครื่องมือที่ทันสมัยจากผู้รับจ้างภายนอกที่มีความเชี่ยวชาญเฉพาะทาง ทำให้สามารถบริหารจัดการความเสี่ยงทางไซเบอร์ได้อย่างมีประสิทธิภาพสูงสุดภายใต้งบประมาณที่เหมาะสม

• บริการเฝ้าระวังและตอบสนองต่อภัยคุกคาม (12 เดือน):
  • เฝ้าระวัง วิเคราะห์ และตอบสนองต่อภัยคุกคามทางไซเบอร์ผ่านระบบ SIEM ที่มีปริมาณข้อมูล 5,000 EPS ผ่านช่องทาง Remote
  • แจ้งเตือนภัยคุกคามและเสนอแนวทางแก้ไขตามข้อกำหนด SLA
  • ประสานงานกับเจ้าหน้าที่ กสทช. ในการจำกัดความเสียหาย (Containment), กำจัดภัยคุกคาม (Eradication) และกู้คืนระบบ (Recovery) ในกรณีเหตุการณ์ระดับ Critical
  • ปรับแต่ง Use Cases ของการเฝ้าระวังให้เหมาะสมกับภัยคุกคามใหม่ๆ ตลอดสัญญา
• การจัดการทีมงานและหน้าที่:
  • เจ้าหน้าที่ CSOC ระดับ 1 (ไม่น้อยกว่า 3 คน): ดูแลเฝ้าระวัง 24/7, ตรวจสอบและคัดแยกเหตุการณ์เบื้องต้น, บันทึกข้อมูลในระบบ Case Management, ยกระดับ (Escalate) เหตุการณ์
  • เจ้าหน้าที่ CSOC ระดับ 2 (ไม่น้อยกว่า 3 คน): ตรวจสอบเชิงลึก, หาสาเหตุและขอบเขตผลกระทบ, ระบุภัยคุกคาม/ช่องโหว่, ให้คำแนะนำการแก้ไข/ฟื้นฟู, จัดทำรายงานเหตุการณ์โดยละเอียด
  • ผู้เชี่ยวชาญ (Security Analyst): นำการตอบสนองเหตุการณ์ระดับ Critical, ตรวจสอบเชิงลึก (Forensic Analysis), ประสานงานกำจัดภัยคุกคามและกู้คืนระบบ, จัดทำรายงานเหตุการณ์ Critical, ดำเนินการ Threat Hunting
• การจัดการเหตุการณ์ผ่านระบบ SIEM: ครอบคลุมกระบวนการทั้งหมดตั้งแต่การรับและบันทึกเหตุการณ์ (Logging/Ticketing), การวิเคราะห์และตรวจสอบ, การตอบสนองและแก้ไข (เฉพาะกรณี Critical), การติดตามและรายงานผล, ไปจนถึงการปรับปรุงและพัฒนากฎ (Rule) และ Playbook ของ SIEM
• การฝึกอบรมและถ่ายทอดองค์ความรู้:
  • On-the-Job Training: สำหรับเจ้าหน้าที่ระดับ 1 (SOC Analyst - Tier 1) และระดับ 2 (Incident Responder/Threat Analyst - Tier 2) เนื้อหาประกอบด้วยความเข้าใจ Security Log, การใช้ SIEM/SOAR, การจัดการเหตุการณ์เบื้องต้น, ภัยคุกคามทั่วไป, การวิเคราะห์ Log เชิงลึก, Incident Response Lifecycle, Malware Analysis เบื้องต้น, Threat Hunting เบื้องต้น
  • Classroom Training (หลักสูตรขั้นสูง 4 วัน ไม่น้อยกว่า 2 คน): เนื้อหาครอบคลุม Threat Hunting ขั้นสูง, Digital Forensics และ Memory Analysis เบื้องต้น, Reverse Engineering มัลแวร์, การพัฒนา Use Case/Detection Rule บน SIEM, การพัฒนา Incident Response Playbook, การวิเคราะห์เทคนิคแฮกเกอร์ด้วย MITRE ATT&CK Framework
• การจัดทำรายงาน:
  • รายงานประจำสัปดาห์ (Weekly Report): สรุปการแจ้งเตือนตาม SLA และสถานะการบริหารจัดการเหตุการณ์
  • รายงานประจำเดือน (Monthly Report): บทสรุปผู้บริหาร, สรุปเหตุการณ์และวิเคราะห์ผลกระทบ, สรุปการแจ้งเตือนและสถานะการบริหารจัดการ, อัพเดท Security News

• บริการเฝ้าระวัง ตอบสนอง และเสนอแนวทางแก้ไขภัยคุกคามทางไซเบอร์ตลอด 24 ชั่วโมง เป็นเวลา 365 วัน
• รายงานประจำสัปดาห์ (Weekly Report) ในรูปแบบไฟล์อิเล็กทรอนิกส์ ส่งทางอีเมล
• รายงานประจำเดือน (Monthly Report) ในรูปแบบไฟล์อิเล็กทรอนิกส์ ส่งทางอีเมล
• บริการฝึกอบรม On-the-Job Training แก่เจ้าหน้าที่ระดับ Tier 1 และ Tier 2 ของ กสทช.
• บริการฝึกอบรม Classroom Training หลักสูตรขั้นสูง 4 วัน แก่ผู้เชี่ยวชาญของ กสทช. (ไม่น้อยกว่า 2 คน)
• แผนการดำเนินงานที่แสดงรายละเอียดและร้อยละความสำเร็จของงานแต่ละเดือน (ส่งภายใน 15 วันหลังลงนามสัญญา)
• บันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing) (ส่งภายใน 30 วันหลังลงนามสัญญา)

ระยะเวลาดำเนินการ 365 วัน (12 เดือน) นับจากวันลงนามในสัญญา

• Eligibility Requirements: ต้องมีคุณสมบัติพื้นฐานตาม พ.ร.บ.การจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ พ.ศ. 2560 และระบบ e-GP
• Standards Compliance: การปฏิบัติงานต้องสอดคล้องกับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562, พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, มาตรฐานสากลด้านความมั่นคงปลอดภัยสารสนเทศ, นโยบายความมั่นคงปลอดภัยสารสนเทศของ กสทช., และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัย
• Experience: -
• Previous Project Cost: -
• Technical Capabilities: ความสามารถในการให้บริการเฝ้าระวังภัยคุกคามทางไซเบอร์ผ่านระบบ Remote, การทำงานกับระบบ SIEM, การวิเคราะห์และตอบสนองต่อเหตุการณ์
• Personnel:
  • เจ้าหน้าที่ CSOC ระดับ 1 (ไม่น้อยกว่า 3 คน): ต้องมีใบรับรองความมั่นคงปลอดภัยไซเบอร์อย่างน้อย 1 ใบ จาก CompTIA Sec+ หรือ CompTIA CySA+
  • เจ้าหน้าที่ CSOC ระดับ 2 (ไม่น้อยกว่า 3 คน): ต้องมีใบรับรองความมั่นคงปลอดภัยไซเบอร์อย่างน้อย 1 ใบ จาก CompTIA CASP+ หรือ CompTIA Security X
  • ผู้เชี่ยวชาญ (Security Analyst): ต้องมีใบรับรองรวมกันอย่างน้อยจากรายการต่อไปนี้: LogRhythm Platform Administrator (LRPA), LogRhythm Security Analyst (LRSA), Certified Information Systems Security Professional (CISSP), Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA)

สำนักงาน กสทช. จะพิจารณาคัดเลือกข้อเสนอโดยใช้เกณฑ์ราคา (Price-based selection)

• บริการเฝ้าระวังต้องทำงานร่วมกับระบบจัดเก็บและวิเคราะห์ข้อมูลความปลอดภัย (Security Information and Event Management: SIEM) ที่สำนักงาน กสทช. ใช้งานอยู่ ซึ่งมีปริมาณข้อมูล (Event Per Second - EPS) 5,000 EPS
• ระบบการให้บริการต้องเป็นแบบควบคุมระยะไกล (Remote)
• ต้องมีกระบวนการจัดการเหตุการณ์ (Incident Management) ที่ครบวงจร ผ่านระบบ SIEM ของ กสทช.
• ต้องปฏิบัติตามข้อกำหนดระดับการให้บริการ (Service Level Agreement: SLA) ที่ระบุเวลาตอบสนองตามระดับความรุนแรงของเหตุการณ์ (Critical, High, Medium, Low) อย่างชัดเจน
• ต้องมีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลตาม PDPA และข้อตกลง DPA ที่แนบทมา

• วงเงินงบประมาณ: 3,000,000 บาท (สามล้านบาทถ้วน) รวม VAT และค่าใช้จ่ายทั้งหมดแล้ว
• กำหนดการส่งมอบและจ่ายเงิน (แบ่งเป็น 4 งวด เท่าๆ กัน งวดละ 25%):
  • งวดที่ 1: จ่ายเมื่อส่งมอบรายงานประจำสัปดาห์และประจำเดือนภายใน 90 วัน นับจากวันลงนามสัญญา
  • งวดที่ 2: จ่ายเมื่อส่งมอบรายงานประจำสัปดาห์และประจำเดือนภายใน 180 วัน นับจากวันลงนามสัญญา
  • งวดที่ 3: จ่ายเมื่อส่งมอบรายงานประจำสัปดาห์และประจำเดือนภายใน 270 วัน นับจากวันลงนามสัญญา
  • งวดที่ 4: จ่ายเมื่อส่งมอบรายงานประจำสัปดาห์และประจำเดือนภายใน 365 วัน นับจากวันลงนามสัญญา
• อัตราค่าปรับ:
  • ค่าปรับการไม่ดำเนินงานตามสัญญา: ร้อยละ 0.1 ของค่าจ้างสัญญาต่อวัน
  • ค่าปรับการไม่ปฏิบัติตาม SLA: ร้อยละ 0.035 ของค่าจ้างสัญญาต่อชั่วโมง (นับจากเวลาครบกำหนดจนกว่าจะแจ้งเตือนหรือเสนอแนวทางแก้ไขเสร็จ)
  • ค่าปรับการไม่ตอบสนองและเสนอแนวทางแก้ไขเหตุการณ์ที่ได้รับความเสียหาย: ร้อยละ 0.9 ของค่าจ้างสัญญาต่อวัน (นับจากวันที่ครบกำหนดจนกว่าเหตุการณ์จะแก้ไขเสร็จ)

• Q: โครงการนี้ต้องใช้ทีมงานทั้งหมดกี่คน และต้องมีคุณสมบัติอย่างไร?
  A: ต้องมีทีมงานรวมไม่น้อยกว่า 7 คน ประกอบด้วย เจ้าหน้าที่ CSOC ระดับ 1 (ไม่น้อยกว่า 3 คน) ที่มีใบรับรอง CompTIA Sec+ หรือ CySA+, เจ้าหน้าที่ CSOC ระดับ 2 (ไม่น้อยกว่า 3 คน) ที่มีใบรับรอง CompTIA CASP+ หรือ Security X, และผู้เชี่ยวชาญ (Security Analyst) ที่มีใบรับรองจากรายการที่กำหนด เช่น CISSP, CISM, CISA, LRPA, LRSA
• Q: การเฝ้าระวังจะดำเนินการอย่างไร และต้องทำงานกับระบบใดของ กสทช.?
  A: การเฝ้าระวังจะดำเนินการผ่านระบบควบคุมระยะไกล (Remote) โดยผู้รับจ้างต้องทำงานร่วมและประสานงานผ่านระบบ Security Information and Event Management (SIEM) ที่สำนักงาน กสทช. ใช้งานอยู่ ซึ่งระบบนี้มีปริมาณข้อมูล (EPS) 5,000 EPS
• Q: หากพบเหตุการณ์ระดับ Critical ผู้รับจ้างต้องตอบสนองภายในเวลาเท่าใด?
  A: ตาม SLA ผู้รับจ้างต้องแจ้งเตือนภัยคุกคามภายใน 30 นาที และเสนอแนวทางแก้ไขเหตุการณ์ภายใน 4 ชั่วโมง นับจากเวลาที่บันทึกในระบบ SIEM
• Q: โครงการมีส่วนของการฝึกอบรมด้วยหรือไม่ เนื้อหาเป็นอย่างไร?
  A: ใช่ โครงการรวมการฝึกอบรม 2 รูปแบบ คือ 1) On-the-Job Training สำหรับเจ้าหน้าที่ระดับ Tier 1 และ Tier 2 ของ กสทช. เนื้อหาครอบคลุมพื้นฐานการทำงานกับ SIEM, Log Analysis, Incident Response 2) Classroom Training หลักสูตรขั้นสูง 4 วัน สำหรับผู้เชี่ยวชาญ เนื้อหาครอบคลุม Threat Hunting ขั้นสูง, Digital Forensics, Reverse Engineering มัลแวร์, การพัฒนา Use Case บน SIEM
• Q: ผู้รับจ้างมีข้อผูกพันเกี่ยวกับข้อมูลส่วนบุคคลอย่างไร?
  A: ผู้รับจ้างมีสถานะเป็น “ผู้ประมวลผลข้อมูลส่วนบุคคล” ภายใต้ PDPA และต้องปฏิบัติตามข้อตกลง DPA ที่แนบท้าย TOR อย่างเคร่งครัด ครอบคลุมการรักษาความลับ, การกำหนดมาตรการรักษาความปลอดภัย, การรายงานการละเมิดข้อมูล, การไม่โอนข้อมูลไปต่างประเทศโดยไม่ได้รับอนุญาต, และการส่งคืนหรือทำลายข้อมูลเมื่อโครงการสิ้นสุด
• Q: รายงานที่ต้องจัดส่งมีอะไรบ้าง และส่งเมื่อไร?
  A: ต้องจัดส่งรายงานประจำสัปดาห์ (Weekly Report) และรายงานประจำเดือน (Monthly Report) ในรูปแบบไฟล์อิเล็กทรอนิกส์ผ่านอีเมล รายงานเหล่านี้เป็นเงื่อนไขสำคัญสำหรับการจ่ายเงินตามงวดต่างๆ
• Q: กรณีที่ผู้รับจ้างต้องการจ้างช่วง (Subcontract) บางส่วนของงานได้หรือไม่?
  A: สำหรับการประมวลผลข้อมูลส่วนบุคคล ผู้รับจ้างไม่สามารถว่าจ้างผู้ประมวลผลข้อมูลส่วนบุคคลช่วงได้ เว้นแต่จะได้รับอนุญาตเป็นลายลักษณ์อักษรจากสำนักงาน กสทช. ก่อน
• Q: เกณฑ์การคัดเลือกผู้ชนะประมูลเป็นอย่างไร?
  A: สำนักงาน กสทช. ใช้เกณฑ์ราคา (Price-based selection) ในการพิจารณาคัดเลือกข้อเสนอ
• Q: ผู้รับจ้างต้องส่งแผนการดำเนินงานเมื่อใด?
  A: ต้องจัดทำแผนการดำเนินงานที่แสดงรายละเอียดและร้อยละความสำเร็จของงานแต่ละเดือน ส่งให้คณะกรรมการตรวจรับพัสดุภายใน 15 วัน นับถัดจากวันลงนามในสัญญา
• Q: หากระบบ SIEM ของ กสทช. มีการอัพเกรดหรือเปลี่ยนแปลงในระหว่างสัญญา ผู้รับจ้างต้องทำอย่างไร?
  A: TOR ไม่ได้ระบุรายละเอียดเฉพาะเจาะจง แต่โดยทั่วไปการปรับแต่ง Use Cases ให้เหมาะสมกับภัยคุกคามใหม่ๆ ตลอดสัญญา และการพัฒนากฎของ SIEM ตามขอบเขตงานข้อ 4.3.5 และ 4.1.4 อาจครอบคลุมการปรับตัวให้เข้ากับการเปลี่ยนแปลงของระบบฐาน

Proof
ข้อกําหนดและขอบเขตของงาน (Terms of Reference : TOR)
จ้างผู้ให้บริการเฝ้าระวังภัยคุกคามทางไซเบอร์ผ่านระบบควบคุมระยะไกลของสํานักงาน กสทช.
๑. หลักการและเหตุผล
ภัยคุกคามทางไซเบอร์ในปัจจุบันมีการพัฒนาอย่างรวดเร็ว มีความซับซ้อนหลากหลายรูปแบบ และมี
เป้าหมายที่ขยายวงกว้างขึ้น รวมถึงหน่วยงานภาครัฐและองค์กรกํากับดูแลที่มีบทบาทสําคัญต่อโครงสร้าง พื้นฐานของประเทศ การรับมือกับภัยคุกคามเหล่านี้จําเป็นต้องอาศัยองค์ความรู้ ความเชี่ยวชาญเฉพาะทาง และประสบการณ์ในการวิเคราะห์ ตรวจจับ ป้องกัน และตอบสนองต่อเหตุการณ์ที่เปลี่ยนแปลงอยู่ตลอดเวลา การสร้างและรักษาทีมงานผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ภายในองค์กร (In-house) ที่มี ทักษะและความสามารถจําเป็นต้องใช้ระยะเวลาในการสรรหา พัฒนา และมีค่าใช้จ่ายในการลงทุนด้าน บุคลากรที่สูงมาก รวมถึงความท้าทายในการรักษาบุคลากรที่มีความสามารถให้อยู่กับองค์กรในระยะยาวทําได้ ยาก เนื่องจากเป็นสาขาวิชาชีพที่เป็นที่ต้องการสูงในตลาด การให้ผู้เชี่ยวชาญจากภายนอกเข้ามาดูแลและ ประเมินความมั่นคงปลอดภัยทางไซเบอร์ขององค์กร จะช่วยให้ได้รับมุมมองที่เป็นกลางและอิสระ ซึ่งอาจ นําไปสู่การค้นพบช่องโหว่หรือจุดอ่อนที่ทีมงานภายในอาจมองข้ามไปได้ เป็นการเสริมสร้างความแข็งแกร่ง
ให้กับระบบป้องกันโดยรวม อีกทั้งการนําเอาเทคโนโลยีในการตรวจสอบช่องโหว่จากภายนอกแบบตลอดเวลา
มาใช้เพื่อช่วยเสริมสร้างในการบริหารจัดการความมั่นคงปลอดภัยมีประสิทธิภาพมากขึ้นเป็นสิ่งที่จําเป็น
เพื่อให้การดําเนินงานของสํานักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการ โทรคมนาคมแห่งชาติ (สํานักงาน กสทช.) ในฐานะองค์กรกํากับดูแลภารกิจสําคัญด้านกิจการกระจายเสียง กิจการ โทรทัศน์ และกิจการโทรคมนาคมของประเทศ ซึ่งมีการจัดการข้อมูลสารสนเทศและระบบเทคโนโลยีดิจิทัลจํานวน มาก เป็นไปด้วยความต่อเนื่อง มั่นคง ปลอดภัย และน่าเชื่อถือ สอดคล้องกับข้อกําหนดทางกฎหมายที่สําคัญ เช่น พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ และพระราชบัญญัติคุ้มครองข้อมูลส่วน บุคคล พ.ศ. ๒๕๖๒ รวมถึงมาตรฐานสากลด้านความมั่นคงปลอดภัยสารสนเทศ จึงมีความจําเป็นอย่างยิ่งที่ จะต้องมีระบบและบุคลากรผู้เชี่ยวชาญในการดูแล ตรวจสอบ เฝ้าระวัง และตอบสนองต่อภัยคุกคามทางไซเบอร์ ที่อาจเกิดขึ้นได้อย่างทันท่วงทีและมีประสิทธิภาพสูงสุด เพื่อปกป้องสินทรัพย์สารสนเทศที่สําคัญขององค์กร ข้อมูลของประชาชนผู้ใช้บริการ และรักษาไว้ซึ่งความเชื่อมั่นของสาธารณชน รวมถึงเพิ่มประสิทธิภาพในการ บริหารจัดการทรัพยากรและยกระดับความเชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ โดยการเข้าถึง
ซึ่งจะช่วยให้บริหารจัดการความเสี่ยงทางไซเบอร์ได้อย่างมีประสิทธิภาพสูงสุดภายใต้งบประมาณที่เหมาะสม
ดังนั้นการให้ผู้เชี่ยวชาญจากภายนอกเข้ามาดูแลและประเมินความมั่นคงปลอดภัยทางไซเบอร์ของ องค์กรจึงเป็นแนวทางที่สําคัญ เพราะจะช่วยให้ได้รับ มุมมองที่เป็นกลางและอิสระ ซึ่งอาจนําไปสู่การค้นพบ
ความรู้ความสามารถ เทคโนโลยี และเครื่องมือที่ทันสมัยจากผู้รับจ้างภายนอกที่มีความเชี่ยวชาญเฉพาะทาง
ช่องโหว่หรือจุดอ่อนที่ทีมงานภายในอาจมองข้ามไปได้ เป็นการเสริมสร้างความแข็งแกร่งให้กับระบบป้องกัน โดยรวม ที่จําเป็นต้องมีผู้เชี่ยวชาญเพื่อป้องกัน ตรวจจับ และประเมินภัยคุกคามที่เกิดขึ้น โดยเฉพาะอย่างยิ่ง สําหรับสํานักงาน กสทช. ในฐานะองค์กรกํากับดูแลภารกิจสําคัญด้านกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมของประเทศ ซึ่งมีการจัดการข้อมูลสารสนเทศและระบบเทคโนโลยีดิจิทัลจํานวนมาก
๒. วัตถุประสงค์
๒.๑ เพื่อเสริมสร้างความมั่นคงปลอดภัยของระบบสารสนเทศและข้อมูลสําคัญของสํานักงาน กสทช. ลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ทุกรูปแบบ ป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การรั่วไหล ของข้อมูล การเปลี่ยนแปลงแก้ไขข้อมูลโดยมิชอบ และความเสียหายต่อระบบเทคโนโลยีสารสนเทศที่สําคัญ
ขององค์กร
Proof
–10-
๒.๒ เพื่อให้การดําเนินงานของสํานักงาน กสทช. เป็นไปอย่างต่อเนื่องและมีเสถียรภาพ, สร้างความ เชื่อมั่นว่าระบบเทคโนโลยีสารสนเทศที่สนับสนุนภารกิจหลักของ สํานักงาน กสทช. สามารถทํางานได้อย่าง
ต่อเนื่อง
๒.๓ เพื่อให้การปฏิบัติงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของสํานักงาน กสทช. เป็นไปตาม กฎหมาย ข้อกําหนด และมาตรฐานสากล ดําเนินการให้สอดคล้องกับ พระราชบัญญัติการรักษาความมั่นคงปลอดภัย ไซเบอร์ พ.ศ. ๒๕๖๒ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และมาตรฐานอื่น ๆ ที่เกี่ยวข้อง เพื่อยกระดับการกํากับดูแลที่ดี
๒.๔ เพื่อเพิ่มประสิทธิภาพในการบริหารจัดการทรัพยากรและยกระดับความเชี่ยวชาญด้านความ มั่นคงปลอดภัยทางไซเบอร์ของสํานักงาน กสทช. โดยการเข้าถึงความรู้ความสามารถ เทคโนโลยี และเครื่องมือ ที่ทันสมัยจากผู้รับจ้างภายนอกที่มีความเชี่ยวชาญเฉพาะทาง ทําให้สามารถบริหารจัดการความเสี่ยงทาง ไซเบอร์ได้อย่างมีประสิทธิภาพสูงสุดภายใต้งบประมาณที่เหมาะสม
en.
คุณสมบัติของผู้ยื่นข้อเสนอ
ผู้ยื่นข้อเสนอต้องมีคุณสมบัติพื้นฐานที่กําหนด ตามพระราชบัญญัติการจัดซื้อจัดจ้างและการบริหาร พัสดุภาครัฐ พ.ศ. ๒๕๖๐ และระบบการจัดซื้อจัดจ้างภาครัฐ (Electronic Government Procurement : e-GP) ตามที่กําหนดในเอกสารประกวดราคาจ้าง ด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ (e-bidding)
๔. ขอบเขตการดําเนินงาน
ผู้รับจ้างต้องเฝ้าระวังตอบสนองและเสนอแนวทางแก้ไขต่อเหตุการณ์ภัยคุกคามทางไซเบอร์ (Cyber
Security Monitoring Services) เป็นระยะเวลา ๑๒ เดือน โดยมีรายละเอียดดังนี้
๔.๑ บริการเฝ้าระวังภัยคุกคาม วิเคราะห์ความเกี่ยวโยงของเหตุการณ์และภัยคุกคามทางไซเบอร์
จากระบบจัดเก็บและวิเคราะห์ข้อมูลความปลอดภัยของระบบเครือข่ายขององค์กร (Security Information and Event Management : SIEM) ที่สํานักงาน กสทช. มีการใช้งานอยู่ในปริมาณ ๕,๐๐๐ EPS และแก้ไข เหตุการณ์ร่วมกับสํานักงาน กสทช. เมื่อเกิดเหตุภัยคุกคามทางไซเบอร์ โดยมีรายละเอียดการดําเนินงานต่อไปนี้ ๔.๑.๑ บริการเฝ้าระวังภัยคุกคามทางไซเบอร์ (Cyber Security Monitoring Services)
ผ่านช่องทางการเฝ้าระวังระยะไกล (Remote)
๔.๑.๒ แจ้งเตือนภัยคุกคามและเสนอแนวแก้ไขให้กับเจ้าหน้าที่ของสํานักงาน กสทช.
ตามข้อกําหนดระดับการให้บริการ (Service Level Agreement : SLA) ในข้อ ๔.๕ ๔.๑.๓ ประสานงานกับเจ้าหน้าที่ของสํานักงาน กสทช. ในการดําเนินการจํากัดความเสียหาย (Containment) ในกรณี Critical เช่น การตัดอุปกรณ์ที่ติดเชื้อมัลแวร์ออกจากเครือข่าย จัดภัยคุกคาม (Eradication) และกู้คืนระบบ (Recovery) การป้องกันเพื่อไม่ให้เกิดเหตุซ้ํา ๔.๑.๔ จัดให้มีเจ้าหน้าที่เพื่อดําเนินการเฝ้าระวังภัยคุกคามและตอบสนองต่อภัยคุกคามทางไซเบอร์ (Cyber Security Monitoring Services) ระดับ ๑ และระดับ ๒ และ ผู้เชี่ยวชาญ (Security Analyst) ดําเนินการปรับแต่ง Use Cases ของการเฝ้าระวังให้เหมาะสมกับ ภัยคุกคามที่เกิดขึ้นมาใหม่ ตลอดระยะเวลาสัญญา
๔.๑.๕ จัดทํารายงานประจําสัปดาห์ (Weekly Report) และรายงานประจําเดือน (Monthly Report) รวมทั้งนําส่งรายงานให้แก่สํานักงาน กสทช. ภายในระยะเวลาที่กําหนด โดยมีรายงาน อย่างน้อยดังต่อไปนี้
1
๔.๑.๕.๑ รายงานประจําสัปดาห์ (Weekly Report) ผู้รับจ้างต้องจัดทํารายงานเป็น ไฟล์ข้อมูลอิเล็กทรอนิกส์ และจัดส่งรายงานให้แก่ สํานักงาน กสทช. ผ่าน ช่องทาง e-mail โดยมีรายละเอียดของรายงานดังนี้อย่างน้อย
Commi
عمر
Proof
-on-
(ก.) สรุปการแจ้งเตือนเหตุการณ์ผิดปกติหรือภัยคุกคามด้านเทคโนโลยี สารสนเทศและการสื่อสารตาม Service Level Agreement (SLA) โดยมีการจัดระดับความรุนแรง
(ข.) สรุปสถานะการดําเนินการบริหารจัดการภัยคุกคามที่พบหรือความ ผิดปกติที่กระทบต่อความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT Security Incident Management) ที่เกิดขึ้นในแต่ละสัปดาห์ที่ผ่านมา ๔.๑.๕.๒ รายงานประจําเดือน (Monthly Report) ผู้รับจ้างต้องจัดทํารายงานเป็น ไฟล์ข้อมูลอิเล็กทรอนิกส์ และจัดส่งรายงานให้แก่ สํานักงาน กสทช. ผ่านช่องทาง e-mail โดยมีรายละเอียดของรายงานดังต่อไปนี้อย่างน้อย (ก.) บทสรุปผู้บริหาร (Executive Summary) เพื่อรายงานผลการเฝ้าระวัง ภัยคุกคามความมั่นคงปลอดภัยด้านสารสนเทศ (IT Security Monitoring)
ในแต่ละเดือน
(ข.) สรุปเหตุการณ์ภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสารที่ เกิดขึ้นในแต่ละเดือน โดยมีการจัดระดับความรุนแรง และวิเคราะห์ ผลกระทบต่อการดําเนินธุรกิจของสํานักงาน กสทช.
(ค.) สรุปการแจ้งเตือนเหตุการณ์ผิดปกติหรือภัยคุกคามด้านเทคโนโลยี สารสนเทศและการสื่อสาร ตาม Service Level Agreement (SLA) และสรุปสถานะการดําเนินการบริหารจัดการภัยคุกคามที่พบหรือความ ผิดปกติที่กระทบต่อความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ
{IT Security Incident Management) ที่เกิดขึ้นในแต่ละเดือน (ง.) อัพเดทข้อมูลข่าวสารเกี่ยวกับภัยคุกคามร้ายแรงด้านความปลอดภัย
สารสนเทศ (Security News) ที่เกิดขึ้นในแต่ละเดือน (ถ้ามี)
๔.๒ ผู้รับจ้างต้องจัดให้มีเจ้าหน้าที่ปฏิบัติงาน ดังนี้
๔.๒.๑ เจ้าหน้าที่ปฏิบัติงาน CSOC ระดับ ๑ มีหน้าที่ดังต่อไปนี้
๔.๒.๑.๑ เฝ้าระวังเหตุการณ์ภัยคุกคามทุกวัน ตลอด ๒๔ ชั่วโมง
๔.๒.๑.๒ ตรวจสอบ วิเคราะห์ เพื่อคัดแยกและประเมินความรุนแรงของเหตุการณ์
ภัยคุกคามที่เกิดขึ้น
๔.๒.๑.๓ คัดแยกการแจ้งเตือน และเหตุการณ์ภัยคุกคามที่เป็น False Positive
Alerts/Incidents
๔.๒.๑.๔ เก็บรวบรวมข้อมูลเกี่ยวกับการแจ้งเตือน และ เหตุการณ์ภัยคุกคาม ที่เกิดขึ้น พร้อมทั้งการบันทึกข้อมูลเหตุการณ์และผลการวิเคราะห์ลงบน ระบบ Case Management และอัพเดตสถานะของเหตุการณ์ในระบบ ๔.๒.๑.๕ การยับยั้ง หรือ บรรเทาเหตุการณ์ภัยคุกคามที่เกิดขึ้นเบื้องต้น ตามวิธีการที่
ผู้ว่าจ้างกําหนด
๔.๒.๑.๖ ทําการยกระดับ (Escalation) เหตุการณ์ภัยคุกคาม โดยการแจ้งเตือนไปยัง
ทีมงานระดับถัดไปตามกระบวนการที่กําหนด
๔.๒.๒ เจ้าหน้าที่ปฏิบัติงาน CSOC ระดับ ๒ มีหน้าที่ดังต่อไปนี้
๔.๒.๒.๑ เฝ้าระวังเหตุการณ์ภัยคุกคามทุกวัน ตลอด ๒๔ ชั่วโมง
๔.๒.๒.๒ ทําการตรวจสอบเชิงลึกและหาสาเหตุของเหตุการณ์ภัยคุกคามที่เกิดขึ้น
๔.๒.๒.๓ ทําการตรวจหาขอบเขตผลกระทบที่เกิดขึ้น
Commi
Proof

๔.๒.๒.๔ ทําการรวบรวมการแจ้งเตือนหรือเหตุการณ์ภัยคุกคามที่เหมือนกันเป็นหนึ่ง
เหตุการณ์ (Correlation)
๔.๒.๒.๕ ทําการระบุภัยคุกคาม หรือช่องโหว่ที่เกิดขึ้นจากเหตุการณ์ภัยคุกคาม ๔.๒.๒.๖ ทําการตรวจสอบเชิงรุกเพิ่มเติมจากเหตุการณ์ภัยคุกคามที่เกิดขึ้น ๔.๒.๒.๗ ให้คําแนะนําในการแก้ไขปัญหาที่เกิดขึ้น หรือช่องโหว่และการฟื้นฟู
ความเสียหายที่เกิดขึ้น
๔.๒.๒.๘ ทําการวิเคราะห์การจราจรเครือข่าย (Network Traffic) หรือ บันทึก (Log)
ที่ต้องสงสัย
๔.๒.๒.๙ จัดทํารายงานเกี่ยวกับเหตุการณ์ภัยคุกคามที่เกิดขึ้น แบบลงรายละเอียด กับเหตุการณ์กับคุกคาม ตั้งแต่เริ่มต้นตรวจพบยับยั้ง ฟื้นฟู แก้ไข ไปจนถึง สรุปบทเรียนที่เกิดขึ้นจากเหตุการณ์ภัยคุกคาม
๔.๒.๓ ผู้เชี่ยวชาญ (Security Analyst) มีหน้าที่ดังนี้
๔.๒.๓.๓ นําและประสานงานการตอบสนองต่อภัยคุกคามในระดับ Critical ที่ถูก
ยกระดับ (Escalated) จากระดับ L2
๔.๒.๓.๒ ทําการตรวจสอบเชิงลึก (Forensic Analysis) ในกรณีที่จําเป็นต้องมีการ
ตรวจสอบเชิงลึกเพื่อหาหลักฐานเพิ่มเติม
๔.๒.๓.๓ ประสานงานกับเจ้าหน้าที่ของสํานักงาน กสทช. เพื่อกําจัดภัยคุกคาม
(Eradication) และกู้คืนระบบ (Recovery) ให้กลับมาใช้งานได้ตามปกติ ๔.๒.๓.๔. จัดทํารายงานเหตุการณ์โดยละเอียดเมื่อเกิดภัยคุกคามในระดับ Criticat (Incident Reports) ที่ระบุผลการวิเคราะห์, ข้อสรุป, และข้อเสนอแนะ
สําหรับการดําาเนินการต่อไป
๔.๒.๓.๕ ดําเนินการทํา Threat Hunting เพื่อค้นหาภัยคุกคามที่ยังไม่ถูกตรวจจับ
ภายในเครือข่าย
๔.๓ ผู้รับจ้างจะต้องประสานงานกับเจ้าหน้าที่ของสํานักงาน กสทช. เพื่อจัดการเหตุการณ์ (Incident Ticket) ผ่านทางระบบบริหารจัดการ (Incident Management) ของระบบ SIEM ที่ทางสํานักงาน กสทช. ใช้งาน ดังนี้
๔.๓.๑ การรับและบันทึกเหตุการณ์ (Incident Logging and Ticketing)
๔.๓.๑.๑ ประเภทของเหตุการณ์ (Incident Type) เช่น Malware, Phishing, DDoS,
Unauthorized Access
๔.๕.๑.๒ ระดับความรุนแรง (Severity Level) เช่น Critical, High, Medium, Low ๔.๓.๑.๓ แหล่งที่มาของภัยคุกคาม (Source IP/Hostname)
๔.๓.๑.๔. เป้าหมายของภัยคุกคาม (Destination iP/Hostname)
๔.๓.๑.๕ เวลาที่เกิดเหตุการณ์ (Timestamp)
๔.๓.๑.๖ ข้อมูล Log ที่เกี่ยวข้อง
๔.๓.๒ การวิเคราะห์และตรวจสอบ (Analysis and investigation)
๔.๓.๒.๑ วิเคราะห์ความสัมพันธ์ของข้อมูล (Log Correlation) จากหลายแหล่งที่มา
เพื่อหาความเชื่อมโยงของเหตุการณ์และระบุต้นตอของปัญหา
๔.๓.๒.๒ ตรวจสอบเชิงลึก (Forensic Analysis) ในกรณีที่จําเป็นต้องมีการตรวจสอบ
เชิงลึกเพื่อหาหลักฐานเพิ่มเติม
๔.๓.๒.๓ ระบุผลกระทบ (Impact Assessment) ประเมินผลกระทบของเหตุการณ์
ต่อระบบและข้อมูล
๔.๓.๓ การตอบสนองและแก้ไข (Response and Remediation) ในกรณี Critical
Com
Proof

๔.๓.๓.๑ ดําเนินการตาม Playbook หรือขั้นตอนการตอบสนองต่อเหตุการณ์แต่ละ
ประเภทอย่างชัดเจน
๔.๓.๓.๒ จํากัดความเสียหาย (Containment) ไม่ให้ลุกลามไปยังส่วนอื่นๆ ของระบบ ๔.๓.๓.๓ กําจัดภัยคุกคาม (Eradication) ของภัยคุกคามออกจากระบบ ๔.๓.๓.๔ กู้คืนระบบ (Recovery) และข้อมูลให้กลับมาใช้งานได้ตามปกติ ๔.๓.๔ การติดตามและรายงานผล (Monitoring and Reporting)
๔.๓.๔.๑ ติดตามสถานะของ Ticket อย่างสม่ําเสมอ
๔.๓.๔.๒ แจ้งเตือนผู้ที่เกี่ยวข้องเมื่อมีความคืบหน้าหรือเมื่อเหตุการณ์ได้รับการแก้ไขแล้ว ๔.๓.๔.๓ จัดทํารายงานสรุปเหตุการณ์หลังจากการแก้ไขเสร็จสิ้น โดยระบุสาเหตุ
ผลกระทบ และแนวทางการป้องกันในอนาคต
๔.๓.๕ การปรับปรุงและพัฒนา (Improvernent and Development)
๔.๓.๕.๑ ปรับปรุง Rule ของ SIEM ให้สามารถตรวจจับภัยคุกคามใหม่ๆ ได้อย่างมี
ประสิทธิภาพ
๔.๓.๕.๒ พัฒนา Playbook/Response action ให้ทันสมัยและสอดคล้องกับ
สถานการณ์ปัจจุบัน
๔.๔ ผู้รับจ้างต้องฝึกอบรมและถ่ายทอดองค์ความรู้พัฒนาศักยภาพแก่บุคลากรของสํานักงาน กสทช. ให้มีความรู้ความสามารถในการปฏิบัติงานด้าน Cybersecurity Operations ตั้งแต่ระดับพื้นฐานจนถึงระดับ เชี่ยวชาญ เพื่อสร้างความยั่งยืนและความมั่นคงปลอดภัยทางไซเบอร์ให้กับองค์กรในระยะยาว โดยใช้การ ฝึกอบรมในรูปแบบ การฝึกอบรมภาคปฏิบัติ (On-the-Job Training) ในลักษณะร่วมกันทํางานโดยให้ คําแนะนํากับเจ้าหน้าที่ของ สํานักงาน กสทช. ที่เป็นการปฏิบัติงานทั่วไปของเจ้าหน้าที่ระดับที่ ๑ (SOC Analyst - Tier ๑) และเจ้าหน้าที่ระดับที่ ๒ (Incident Responder / Threat Analyst - Tier ๒) ในกรณีที่ เกิดเหตุการณ์ที่เกี่ยวข้องกับการจัดการระบบจัดเก็บและวิเคราะห์ข้อมูลความปลอดภัยของระบบเครือข่ายของ องค์กร (Security Information and Event Management: SIEM) ที่สํานักงาน กสทช. มีการใช้งานอยู่ และ การฝึกอบรมในห้องเรียน (Classroom Training) หลักสูตรขั้นสูงสําหรับผู้เชี่ยวชาญ จํานวน ๑ ครั้งเป็นเวลา ๔ วัน ๔.๔.๑ เจ้าหน้าที่ระดับที่ ๑ (SOC Analyst - Tier ๑) มีเนื้อหาการอบรมแบบ On-the-Job
Training ดังนี้
๔.๔.๑.๑ ความเข้าใจใน Security Log ประเภทต่างๆ (Firewall, IPS/IDS, Proxy,
Endpoint, OS, etc.)
๔.๔.๑.๒ การใช้งานเครื่องมือ SIEM และ SOAR ในระดับผู้ใช้งาน (Monitoring
Dashboards, Search Query, Alert Handling)
๔.๔.๑.๓ กระบวนการจัดการเหตุการณ์เบื้องต้น (Initial Incident Triage) ตาม
Playbook
๔.๔.๑.๔ ความรู้พื้นฐานเกี่ยวกับภัยคุกคามที่พบบ่อย (Common Threats) เช่น
Phishing, Malware, Ransomware
๔.๔.๓.๕ การใช้งาน Threat Intelligence Platform เบื้องต้นเพื่อตรวจสอบ
Indicators of Compromise (loCs)
๔.๔.๒ เจ้าหน้าที่ระดับที่ ๒ (Incident Responder / Threat Analyst - Tier ๒) มีเนื้อหาการ
อบรมแบบ On-the-Job Training ดังนี้
๔.๔.๒.๑ การวิเคราะห์ Log เชิงลึก (Deep-dive Log Analysis)
๔.๔.๒.๒ กระบวนการตอบสนองต่อเหตุการณ์ (Incident Response Lifecycle) ๔.๔.๒.๓ การวิเคราะห์มัลแวร์เบื้องต้น (Basic Malware Analysis)
Proof
๔.๔.๒.๔ การใช้ Threat Intelligence เพื่อการวิเคราะห์และคาดการณ์
๔.๔.๒.๕ การทําความเข้าใจและปฏิบัติตาม Playbook ในการตอบสนองต่อ
เหตุการณ์ประเภทต่าง ๆ
ๆ
๔.๔.๒.๖ การเริ่มต้นทํา Threat Hunting จากสมมติฐานเบื้องต้น
๔.๔.๓ จัดการฝึกอบรมในห้องเรียน (Classroom Training) หลักสูตรขั้นสูงสําหรับผู้เชี่ยวชาญโดย
มีเนื้อหาการอบรม จํานวน ๔ วัน ไม่น้อยกว่า ๒ คน ดังนี้
๔.๔.๓.๑ เทคนิคการทํา Threat Hunting ขั้นสูง
๔.๔.๓.๒ การทํา Digital Forensics และ Memmory Analysis เบื้องต้น
๔.๔.๕.๓ หลักการทํา Reverse Engineering มัลแวร์
๔.๔.๓.๔ การพัฒนา Use Case และกฎการตรวจจับ (Detection Rule) บน SIEM ๔.๔.๓.๕ การพัฒนาและปรับปรุง Incident Response Playbook
๔.๔.๓.๖ การทําความเข้าใจและวิเคราะห์เทคนิคของแฮกเกอร์ตามกรอบ MITRE
ATT&CK Framework
๔.๕ คุณภาพการให้บริการ
ผู้รับจ้างต้องให้บริการเฝ้าระวังตอบสนองและเสนอแนวทางแก้ไขต่อเหตุการณ์ภัยคุกคามทางไซเบอร์
(Cyber Security Monitoring Services) ตามขอบเขตของงานนี้ด้วยคุณภาพและประสิทธิภาพตามข้อกําหนด ระดับการให้การ (Service Level Agreement : SLA) ดังนี้
ระดับความ
วุ้นแรงของ
ปัญหา
High
สถานการณ์
ผลกระทบรุนแรงกับ
Critical Asset ในระดับวง กว้าง ทําให้การทํางาน
สําคัญหยุดชะงัก
ผลกระทบกับหลายระบบ
พร้อมๆกัน ถึงแม้ระบบ สําคัญยังใช้การได้
ตรวจพบเจอพฤติกรรมที่ ผิดปกติที่อาจลุกลามหรือ
Medium | รุนแรงมากขึ้นถ้าไม่
Low
ตรวจสอบ
ตรวจพบเจอเหตุการณ์แต่ ไม่พบการเชื่อมโยงหรือทํา ให้เชื่อได้ว่าเหตุการจะ
ลุกลาม
ช่องทางการให้บริการ
บริการแก้ไขปัญหาแบบ
Remote Access/Onsite
บริการแก้ไขปัญหาแบบ
Remote Access/Onsite
บริการแก้ไขปัญหาแบบ
Remote Access/Onsite
บริการแก้ไขปัญหาแบบ
Remote Access/Onsite
ระยะเวลาการแจ้งเตือน
แจ้งเตือนภายใน ๓๐ นาที และเสนอแนวทางแก้ไข เหตุการณ์ผิดปกติหรือภัย คุกคามด้านเทคโนโลยี สารสนเทศภายใน ๔ ชั่วโมง แจ้งเตือนภายใน ๑ ชั่วโมง และเสนอแนวทางแก้ไข เหตุการณ์ผิดปกติหรือภัย คุกคามด้านเทคโนโลยี สารสนเทศภายใน 6 ชั่วโมง แจ้งเตือนภายใน ๓ ชั่วโมง และเสนอแนวทางแก้ไข เหตุการณ์ผิดปกติหรือภัย คุกคามด้านเทคโนโลยี สารสนเทศภายใน ๒๔ ชั่วโมง แจ้งเตือนภายใน 5 ชั่วโมง และเสนอแนวทางแก้ไข เหตุการณ์ผิดปกติหรือภัย
๘
คุกคามด้านเทคโนโลยี
สารสนเทศ ภายใน ๑ สัปดาห์
2
Proof
-mi-
ทั้งนี้ ระยะเวลาที่กําหนดดังกล่าวข้างต้น ให้ยึดถือรายการบันทึก (Log) ในระบบจัดเก็บและ วิเคราะห์ข้อมูลความปลอดภัยของระบบเครือข่ายขององค์กร (Security information and Event
Management : SIEM)
๕. บุคลากรของผู้รับจ้าง
บุคลากรของผู้รับจ้างต้องจัดให้มีเจ้าหน้าที่ที่มีความรู้ความชํานาญเพื่อดําเนินงานตามขอบเขตงาน
โดยมีคุณสมบัติอย่างน้อย ดังนี้
๕.๑ เจ้าหน้าที่ปฏิบัติงาน CSOC ระดับ ๑ ไม่น้อยกว่า ๓ คน โดยได้รับใบรับรองด้านความมั่นคง ปลอดภัยไซเบอร์หรือประกาศนียบัตรอย่างน้อย ๑ ใบ ดังนี้
CompTIA Sec+ หรือ
CompTIA CySA+
๕.๒ เจ้าหน้าที่ปฏิบัติงาน CSOC ระดับ ๒ ไม่น้อยกว่า ๓ คน โดยได้รับใบรับรองด้านความมั่นคง ปลอดภัยไซเบอร์หรือประกาศนียบัตรอย่างน้อย ๑ ใบ ดังนี้
• CompTIA CASP+ หรือ
CompTIA Security X
๕.๓ ผู้เชี่ยวชาญ ที่ได้รับใบรับรองหรือประกาศนียบัตรด้านความมั่นคงปลอดภัยไซเบอร์ โดยต้องมี คุณสมบัติรวมกันอย่างน้อยดังนี้
• LogRhythm Platform Administrator (LRPA) vše LogRhythm Security Analyst (LRSA)
• Certified Information Systems Security Professional (CISSP)
Certified Information Security Manager (CISM)
Certification Certified Information Systems Auditor (CISA)
5. กําหนดการส่งมอบพัสดุ
ภายในระยะเวลา ๓๖๕ วัน นับจากลงนามในสัญญา
๗. หลักเกณฑ์ในการพิจารณาคัดเลือกข้อเสนอ
สํานักงาน กสทช. จะพิจารณาคัดเลือกข้อเสนอโดยใช้เกณฑ์ราคา
๔. วงเงินที่ใช้ในการจัดหา
ภายในวงเงินงบประมาณ ๓,000,000.- บาท (สามล้านบาทถ้วน) ซึ่งรวมภาษีมูลค่าเพิ่มและค่าใช้จ่า ทั้งปวงไว้แล้ว โดยเบิกจ่ายจากงบประมาณรายจ่ายประจําปี ๒๕๖๙ สํานักเทคโนโลยีสารสนเทศ รายจ่าย เกี่ยวกับการจัดการและบริหารองค์กร หมวดค่าใช้สอย รายการค่าจ้างเหมาบริการ
๙. งวดงานและการจ่ายเงิน
สํานักงาน กสทช. จะจ่ายเงินค่าจ้างเมื่อผู้รับจ้างส่งมอบงานตามงวดงานที่กําหนดและคณะกรรมการตรวจ รับพัสดุได้ตรวจรับเรียบร้อยแล้วโดยมีรายละเอียดดังต่อไปนี้ (แต่ละงวดจํานวน ๔ ชุด) พร้อมบันทึกข้อมูลแบบ
Thumb Drive จํานวน ๑ ชุด (ไฟล์ Word และ PDF)
งวดที่ ๑ จ่ายร้อยละ ๒๕ ของค่าจ้างตามสัญญา เมื่อส่งมอบรายงานตามข้อ ๔.๑.๕.๑ และข้อ
๔.๑.๕.๒ ภายใน ๙๐ วัน นับถัดจากวัน ลงนามในสัญญา
และข้อ
งวดที่ ๒ จ่ายร้อยละ ๒๕ ของค่าจ้างตามสัญญา เมื่อส่งมอบรายงานตามข้อ ๔.๑.๕.๑ และข้อ
๔.๑.๕.๒ ภายใน ๑๘๐ วัน นับถัดจากวัน ลงนามในสัญญา
Proof

งวดที่ ๓ จ่ายร้อยละ ๒๕ ของค่าจ้างตามสัญญา เมื่อส่งมอบรายงานตามข้อ ๔.๑.๕.๑ และข้อ
๔.๑.๕.๒ ภายใน ๒๗๐ วัน นับถัดจากวัน ลงนามในสัญญา
งวดที่ ๔ จ่ายร้อยละ ๒๕ ของค่าจ้างตามสัญญา เมื่อส่งมอบรายงานตามข้อ ๔.๑.๕.๑ และข้อ
๔.๑.๕.๒ ภายใน ๓๖๕ วัน นับถัดจากวัน ลงนามในสัญญา
๑๐. อัตราค่าปรับ
๑๐.๑ หากผู้ว่าจ้างพบว่าผู้รับจ้างไม่ดําเนินงานให้เป็นไปตามข้อกําหนดขอบเขตของงาน (สัญญา) ต้องชําระ ค่าปรับเป็นรายวันในอัตราร้อยละ ๐.๑ ของค่าจ้างตามสัญญา นับถัดจากวันที่ผู้จ้างตรวจพบและได้แจ้ง
จนถึงวันที่ดําเนินงานหรือแก้ไขการดําเนินงานให้ถูกต้องครบถ้วน
ให้ทราบแล้ว
๑๐.๒ กรณีที่ผู้รับจ้างไม่สามารถดําเนินงานให้เป็นไปตามข้อกําหนดคุณภาพการบริการ (Service Level Agreement : SLA) ตามข้อ ๔.๕ ผู้รับจ้างต้องยินยอมให้คิดค่าปรับเป็นรายชั่วโมงในอัตราร้อยละ ๐.๐๓๕ ของค่าจ้างตามสัญญา นับจากเวลาที่ครบกําหนดจนถึงเวลาที่ผู้รับจ้างดําเนินการแจ้งเตือนเหตุการณ์
หรือกําหนดเวลาเสนอแนวทางแก้ไข แล้วเสร็จแล้วแต่กรณี
๑๐.๓ กรณีที่ผู้รับจ้างไม่สามารถตอบสนองและเสนอแนวทางแก้ไขเหตุการณ์ผิดปกติหรือภัยคุกคาม ด้านเทคโนโลยีสารสนเทศ ที่ได้รับความเสียหาย ต้องยินยอมให้คิดค่าปรับเป็นรายวันในอัตราร้อยละ 0.9 ของค่าจ้าง ตามสัญญา นับถัดจากวันที่ครบกําหนดจนถึงวันที่แก้ไขเหตุการณ์ผิดปกติหรือภัยคุกคามด้านเทคโนโลยี สารสนเทศแล้วเสร็จ
00.
การปฏิบัติตามกฎหมายที่เกี่ยวข้อง
ๆ
๑๑. ผู้ยื่นข้อเสนอที่ได้รับการคัดเลือกให้เป็นผู้ชนะ หรือผู้ได้รับการคัดเลือก จะต้องต้องดําเนินการดังนี้ ๑๓.๑.๑ ปฏิบัติให้สอดคล้องตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ กฎหมาย ระเบียบ ข้อบังคับต่าง ๆ ที่เกี่ยวข้อง นโยบายและแนวปฏิบัติในการ รักษาความมั่นคงปลอดภัยสารสนเทศของสํานักงาน กสทช. ฉบับล่าสุด ซึ่งรวมถึง หลักการวิศวกรรมความมั่นคงปลอดภัย (แบบฟอร์มความต้องการด้านความมั่นคง ปลอดภัยของระบบทางด้านเทคนิค (System Security Requirement)
๑๑.๑.๒ กรณีมีการใช้บริการคลาวด์ (Cloud) ต้องปฏิบัติตามข้อกําหนดด้านการใช้บริการ
คลาวด์ (Cloud Security Requirement) ตามที่ผู้ว่าจ้างกําหนด
๑๑.๑.๓ ตรวจสอบความมั่นคงปลอดภัยของซอร์สโค้ด (Source Code Scanning) และ
ดําเนินการแก้ไขก่อนนําระบบขึ้นให้บริการ
๑๑.๒ กรณีที่ขอบเขตของงานเกี่ยวข้องกับการประมวลผล (เก็บรวบรวม ใช้ เปิดเผย) ข้อมูลส่วนบุคคลผู้ ยื่นข้อเสนอที่ได้รับการคัดเลือกให้เป็นผู้ชนะ หรือผู้ได้รับการคัดเลือก ต้องดําเนินการตามเงื่อนไขและ รายละเอียดตามที่กําหนดไว้ในข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement: DPA) กับสํานักงาน กสทช. (ตามภาคผนวก)
๑๒. เงื่อนไขอื่นๆ
๑๒.๑ ข้อมูลของสํานักงาน กสทช. ถือเป็นความลับของทางราชการ ห้ามมิให้นําไปเผยแพร่ ๑๒.๒ การกระทําการใดๆ ของทีมงานผู้รับจ้างอันอาจจะก่อผลให้เกิดความเสียหายต่อระบบที่เสนอ ผู้รับจ้างจะต้องแจ้งและได้รับอนุญาตจากเจ้าหน้าที่ผู้รับผิดชอบของสํานักงาน กสทช. ก่อนสํานักงานสํานักงาน กสทช. สงวนสิทธิ์ในการตรวจสอบข้อเท็จจริงที่เสนอ หากพบว่าไม่สามารถดําเนินการได้ตามที่ระบุสํานักงาน (
จะยกเลิกสัญญาและเรียกร้องค่าเสียหายจากผู้รับจ้างหรือคู่สัญญา
กสทช.
๑๒.๓ สํานักงาน กสทช. ขอสงวนสิทธิ์ในการยกเลิกประกวดราคาอิเล็กทรอนิกส์ครั้งนี้ได้ในทุกขั้นตอน
Commi เพื่อประโยชน์ของสํานักงาน กสทช. เป็นสําคัญ โดยถือว่าการตัดสินของสํานักงาน กสทช.เป็นเด็ดขาด และผู้ยื่น
-6-
ข้อเสนอจะเรียกร้องค่าเสียหายใด ๆ มิได้ ทั้งนี้ สํานักงาน กสทช. จะพิจารณายกเลิกการดําเนินการจัดจ้างและ ลงโทษผู้ยื่นข้อเสนอเป็นผู้ทิ้งงาน ไม่ว่าจะเป็นผู้ยื่นข้อเสนอที่ได้รับการคัดเลือกหรือไม่ก็ตาม หากมีเหตุที่เชื่อถือ ได้ว่าการยื่นข้อเสนอกระทําการโดยไม่สุจริต เช่น การเสนอเอกสารอันเป็นเท็จ การใช้ชื่อบุคคลธรรมดา หรือ นิติบุคคลอื่นมายื่นข้อเสนอแทน เป็นต้น
๑๒.๔ ผู้รับจ้างต้องส่งรายงานผลการใช้พัสดุที่ผลิตในประเทศ พร้อมเหตุผลความจําเป็นที่ไม่ได้เป็นไป ตามแผน (ถ้ามี) เพื่อให้คณะกรรมการตรวจรับพัสดุตรวจสอบด้วย
๑๒.๕ ผู้ยื่นข้อเสนอที่ได้รับการคัดเลือกจะต้องจัดทําแผนการดําเนินงานให้บรรลุความสําเร็จตา
ขอบเขตของงานภายในระยะเวลาที่กําหนดตามสัญญา
โดยแสดงรายละเอียดแผนการดําเนินการและร้อยละ ของความสําเร็จของงานแต่ละเดือน ส่งให้คณะกรรมการตรวจรับพัสดุ ภายใน ๑๕ วัน นับถัดจากวันลงนามใน สัญญา เพื่อกํากับและติดตามความก้าวหน้าในผลการดําเนินงาน ทั้งนี้ แผนการดําเนินงานดังกล่าว สํานักงาน กสทช. ถือเป็นส่วนหนึ่งของสัญญา
Proof
2
ภาคผนวก
Proof
ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล
(Data Processing Agreement : DPA) กับสํานักงาน กสทช.
ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (“ข้อตกลง”) นี้ จัดทําขึ้นเพื่อให้สอดคล้องกับหน้าที่ของ สํานักงาน กสทช. และ ผู้ประมวลผลข้อมูลส่วนบุคคลตามมาตรา ๔๐ วรรคสามและมาตรา ๓๗ (๒) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และข้อ 5 ของประกาศคณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๕ และถือ เป็นส่วนหนึ่งของ (ให้ระบุว่าเป็นงานตามขอบเขตของงาน) ซึ่งสํานักงาน กสทช. มีฐานะเป็น “ผู้ควบคุมข้อมูลส่วน บุคคล” และ ผู้ยื่นข้อเสนอที่ได้รับการคัดเลือก มีฐานะเป็น “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งเป็น ผู้ดําเนินการเก็บรวบรวม ใช้ หรือเปิดเผย “ประมวลผล”) ข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของสํานักงาน กสทช. โดยผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ดําเนินการเพื่อวัตถุประสงค์ดังต่อไปนี้
เพื่อดูแล ตรวจสอบ เฝ้าระวัง และตอบสนองต่อภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นได้อย่าง ทันท่วงทีและมีประสิทธิภาพสูงสุด เพื่อปกป้องสินทรัพย์สารสนเทศที่สําคัญขององค์กร ข้อมูลของประชาชน
ผู้ใช้บริการ
๒. เพื่อเสริมสร้างความมั่นคงปลอดภัยของระบบสารสนเทศและข้อมูลสําคัญของสํานักงาน กสทช. ลด ความเสี่ยงจากภัยคุกคามทางไซเบอร์ทุกรูปแบบ ป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การรั่วไหล ข้อมูล การเปลี่ยนแปลงแก้ไขข้อมูลโดยมิชอบ และความเสียหายต่อระบบเทคโนโลยีสารสนเทศที่สําคัญของ
องค์กร
โดยข้อมูลส่วนบุคคลที่มีการประมวลผลตามวัตถุประสงค์ข้างต้น ประกอบด้วย
หลของ
๑. ชื่อ นามสกุล เบอร์โทรศัพท์ อีเมล IP address ข้อมูลผู้ใช้งานแอปพลิเคชั่นของรัฐ หรือข้อมูลของ ประชาชนผู้ใช้บริการ เป็นต้น
๒. ประเภทไฟล์เอกสาร/ประเภทไฟล์อิเล็กทรอนิกส์
on.
ข้อมูลอื่นใดที่อาจมีความจําเป็นเพื่อให้บรรลุวัตถุประสงค์ตามขอบเขตงานในบันทึกข้อตกลงความ
ร่วมมือสัญญาหลัก
การควบคุมดูแลการประมวลผลข้อมูลส่วนบุคคลที่สํานักงาน กสทช. มอบหมายหรือแต่งตั้งให้ผู้ ประมวลผลข้อมูลส่วนบุคคลดําเนินการ ซึ่งจะต้องดําเนินการตามหน้าที่และความรับผิดชอบตามขอบเขตงาน ในบันทึกข้อตกลงความร่วมมือสัญญาหลัก และดําเนินการให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วน บุคคล พ.ศ. ๒๕๖๒ พระราชกฤษฎีกา ระเบียบ และประกาศ ที่ออกตามความในพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. ๒๕๖๒ ซึ่งต่อไปในข้อตกลงนี้ รวมเรียกว่า “กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล” ทั้งที่มีผลใช้บังคับอยู่นับแต่วันที่มีการทํา บันทึกข้อตกลงความร่วมมือสัญญาหลัก และที่จะมีการแก้ไขเพิ่มเติม ในภายหลัง โดยผู้ยื่นข้อเสนอที่ได้รับการคัดเลือก มีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งต่อไปนี้เรียกว่า “ผู้ประมวลผลข้อมูลส่วนบุคคล” ต้องดําเนินงานตามบันทึกข้อตกลงความร่วมมือสัญญาหลัก ในส่วนของข้อมูล ตามที่กําหนดในวัตถุประสงค์ข้างต้น ให้เป็นไปตามข้อตกลงการประมวลผลข้อมูลส่วนบุคคล มีรายละเอียดดังนี้ ผู้ประมวลผลข้อมูลส่วนบุคคลรับทราบว่า ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่ง ทําให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม โดยจะดําเนินการตามที่กฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคลกําหนด เพื่อให้การประมวลผลข้อมูลส่วนบุคคลเป็นไปอย่างเหมาะสม และถูกต้องตามกฎหมาย
9).
๒. ผู้ประมวลผลข้อมูลส่วนบุคคลจะกําหนดให้การเข้าถึงข้อมูลส่วนบุคคลภายใต้ข้อตกลงนี้จํากัดเฉพาะ
บุคคลที่ได้รับมอบหมายให้ปฏิบัติหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามข้อตกลงนี้เท่านั้น
แทานน และจะ
Commo
Proof
on.
-GG-
ดําเนินการเพื่อให้บุคคลดังกล่าวทําการประมวลผลและรักษาความลับของข้อมูลส่วนบุคคลตามที่
กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนดไว้
ผู้ประมวลผลข้อมูลส่วนบุคคลจะควบคุมดูแลให้บุคคลที่ได้รับมอบหมายให้ปฏิบัติหน้าที่ประมวลผล ข้อมูลส่วนบุคคลปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด และ ดําเนินการประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์ของการดําเนินการตามขอบเขตงานในบันทึก ข้อตกลงความร่วมมือสัญญาหลัก หรือที่แก้ไขเพิ่มเติมในภายหลัง โดยจะไม่ทําซ้ํา คัดลอก ทําสําเนา บันทึกภาพข้อมูลส่วนบุคคลไม่ว่าทั้งหมดหรือแต่บางส่วนเป็นอันขาด เว้นแต่เป็นไปตามเงื่อนไขของ ขอบเขตงานในบันทึกข้อตกลงความร่วมมือสัญญาหลัก หรือที่แก้ไขเพิ่มเติมในภายหลัง หรือกฎหมายที่
เกี่ยวข้องที่กําหนดไว้เป็นประการอื่น
๔. ผู้ประมวลผลข้อมูลส่วนบุคคลจะดําเนินการเพื่อช่วยเหลือหรือสนับสนุนสํานักงาน กสทช. ในการตอบสนองต่อคําร้องที่เจ้าของข้อมูลส่วนบุคคลแจ้งต่อสํานักงาน กสทช. ในการตอบสนองต่อคํา ร้องที่เจ้าของข้อมูลส่วนบุคคลแจ้งต่อสํานักงาน กสทช. อันเป็นการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วน
บุคคลในขอบเขตงานในบันทึกข้อตกลงความร่วมมือสัญญาหลัก ในกรณีที่เจ้าของข้อมูลส่วนบุคคลอื่น คําร้องขอใช้สิทธิดังกล่าวต่อผู้ประมวลผลข้อมูลส่วนบุคคลโดยตรง ผู้ประมวลผลข้อมูลส่วนบุคคล จะต้องดําเนินการแจ้งและส่งคําร้องดังกล่าวให้แก่สํานักงาน กสทช. ทันที โดยผู้ประมวลผลข้อมูลส่วน บุคคลจะไม่เป็นผู้ตอบสนองต่อคําร้องดังกล่าว เว้นแต่สํานักงาน กสทช. จะได้มอบหมายให้ผู้ประมวลผล ข้อมูลส่วนบุคคลดําเนินการเฉพาะเรื่องที่เกี่ยวข้องกับคําร้องดังกล่าว
๕. ผู้ประมวลผลข้อมูลส่วนบุคคลจะจัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูล ส่วนบุคคล (Record of Processing) ทั้งหมดที่ผู้ประมวลผลข้อมูลส่วนบุคคลประมวลผลในขอบเขต งานในบันทึกข้อตกลงความร่วมมือสัญญาหลัก และจะดําเนินการส่งมอบบันทึกรายการดังกล่าวให้แก่ สํานักงาน กสทช. ภายใน ๓๐ วันนับถัดจากวันลงนามในสัญญา หรือเมื่อสํานักงาน กสทช. ร้องขอเป็น ลายลักษณ์อักษร
5. ผู้ประมวลผลข้อมูลส่วนบุคคลจะจัดให้มีและคงไว้ซึ่งมาตรการรักษาความมั่นคงปลอดภัยสําหรับ การประมวลผลข้อมูลส่วนบุคคลที่มีความเหมาะสมทั้งมาตรการเชิงองค์กรและเชิงเทคนิค รวมถึง มาตรการทางกายภาพที่จําเป็นตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเรื่องมาตรการ รักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๕ และตามประกาศสํานักงาน กสทช. เรื่อง นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศของสํานักงาน กสทช. รวมถึงที่ได้มีการแก้ไขเพิ่มเติมในอนาคต โดยคํานึงถึงระดับความเสี่ยงตามลักษณะ ขอบเขต
และวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลตามที่กําหนดในขอบเขตงานในบันทึกข้อตกลง
ความร่วมมือสัญญาหลัก เป็นสําคัญ เพื่อคุ้มครองข้อมูลส่วนบุคคลจากความเสี่ยงอันเกี่ยวเนื่องกับการ ประมวลผลข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล เช่น ความเสียหายอันเกิดจากการละเมิด อุบัติเหตุ การลบ ทําลาย สูญหาย เปลี่ยนแปลง แก้ไข เข้าถึง ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือไม่ชอบด้วยกฎหมาย เป็นต้น โดยต้องจัด ให้มีมาตรการเชิงองค์กร (Organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จําเป็นด้วย โดยคํานึงถึงปัจจัยทางเทคโนโลยี บริบท สภาพแวดล้อม มาตรฐานที่เป็นที่ยอมรับสําหรับหน่วยงาน หรือกิจการในประเภทหรือลักษณะเดียวกันหรือใกล้เคียงกัน ลักษณะหรือประเภทของข้อมูลส่วน บุคคล ลักษณะ ประเภท หรือสถานะของเจ้าของข้อมูลส่วนบุคคล ทรัพยากรที่ต้องใช้ และความ เป็นไปได้ในการดําเนินการประกอบกัน
าม
Proof
-ab-
๗. เว้นแต่กฎหมายที่เกี่ยวข้องจะบัญญัติไว้เป็นประการอื่น ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องส่งคืน ข้อมูลส่วนบุคคลให้กับสํานักงาน กสทช. หรือดําเนินการลบ ทําลาย ยกเลิกการเข้าถึง หรือทําให้เป็น ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ทั้งนี้ ตามที่สํานักงาน กสทช. กําหนดโดย ทันทีเมื่อการดําเนินการประมวลผลตามวัตถุประสงค์ของขอบเขตงานในบันทึกข้อตกลงความร่วมมือ สัญญาหลัก เสร็จสิ้นลง โดยผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องควบคุมดูแล ตรวจสอบ และรับรอง ว่าข้อมูลส่วนบุคคลดังกล่าวจะไม่อยู่ในความครอบครองของตนเองและของบุคคลที่ได้รับมอบหมายให้
ปฏิบัติหน้าที่ประมวลผลข้อมูลส่วนบุคคลอีกต่อไป
๔. เหตุแห่งการละเมิดข้อมูลส่วนบุคคล
๔.๑ ในกรณีที่ ผู้ประมวลผลข้อมูลส่วนบุคคลได้ทราบหรือมีเหตุอันควรทราบว่ามีเหตุแห่งการละเมิด ข้อมูลส่วนบุคคลเกิดขึ้น ภายใน ๒๔ ชั่วโมงนับแต่ทราบหรือมีเหตุอันควรทราบถึงเหตุแห่งการละเมิดข้อมูลส่วน บุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลต้องดําเนินการดังต่อไปนี้
(ก) ให้ข้อมูลที่จําเป็นแก่สํานักงาน กสทช. เพื่อให้สํานักงาน กสทช. สามารถปฏิบัติหน้าที่ภายใต้ กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพและทันภายในระยะเวลาที่กฎหมาย
กําหนด เช่น ลักษณะของเหตุแห่งการละเมิดข้อมูลส่วนบุคคล ประเภทและจํานวนโดยประมาณของข้อมูลส่วน บุคคลที่ได้รับผลกระทบจากเหตุแห่งการละเมิด และรายละเอียดของเจ้าของข้อมูลส่วนบุคคลดังกล่าว ผลกระทบที่อาจเกิดขึ้นได้จากเหตุแห่งการละเมิด มาตรการที่ได้ดําเนินการแล้วหรือที่จะเสนอให้ดําเนินการ
และมาตรการที่จะเยียวยาผลกระทบที่อาจเกิดขึ้นจากเหตุแห่งการละเมิดข้อมูลส่วนบุคคลนั้น
(ข) ให้ความร่วมมืออย่างเต็มที่กับสํานักงาน กสทช. และดําเนินการใด ๆ ตามที่สํานักงาน กสทช. กําหนดเพื่อช่วยในการดําเนินการตรวจสอบ บรรเทา และเยียวยาความเสียหายอันเกิดจากเหตุแห่งการละเมิด
ข้อมูลส่วนบุคคลนั้น
ๆ
๔.๒ ผู้ประมวลผลข้อมูลส่วนบุคคลต้องไม่เปิดเผยเหตุแห่งการละเมิดข้อมูลส่วนบุคคลให้แก่บุคคลอื่นใด ทราบโดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษรจากสํานักงาน กสทช. ก่อน เว้นแต่กรณีที่เป็นการปฏิบัติตามกฎหมาย ๔.๓ ผู้ประมวลผลข้อมูลส่วนบุคคลต้องชดใช้บรรดาค่าใช้จ่ายที่เกิดขึ้นจริงในการดําเนินการใด ๆ เพื่อ จัดการเหตุแห่งการละเมิดข้อมูลส่วนบุคคลให้แก่สํานักงาน กสทช. หากปรากฏว่า ผู้ประมวลผลข้อมูลส่วนบุคคล หรือบุคคลของ ผู้ประมวลผลข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลช่วงที่อยู่ในความรับผิดชอบของตน
เป็นผู้ก่อให้เกิดเหตุแห่งการละเมิดข้อมูลส่วนบุคคลดังกล่าวนั้น
๔. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
๔.๑ ผู้ประมวลผลข้อมูลส่วนบุคคลรับรองและยืนยันว่าจะไม่ส่งหรือโอน หรืออนุญาตให้มีการเข้าถึง ข้อมูลส่วนบุคคลภายใต้ขอบเขตงานใน บันทึกข้อตกลงความร่วมมือสัญญาหลัก ไปยังต่างประเทศโดยไม่ได้รับ อนุญาตเป็นลายลักษณ์อักษรจากสํานักงาน กสทช.
๔.๒ ในกรณีที่ได้รับอนุญาตเป็นลายลักษณ์อักษรจากสํานักงาน กสทช. แล้ว ผู้ประมวลผลข้อมูลส่วน บุคคลสามารถส่งหรือโอน หรืออนุญาตให้มีการเข้าถึงข้อมูลส่วนบุคคลภายใต้ขอบเขตงานในบันทึกข้อตกลง ความร่วมมือสัญญาหลัก ไปยังต่างประเทศได้ ทั้งนี้ การส่งหรือโอน หรืออนุญาตให้มีการเข้าถึงข้อมูลส่วนบุคคล ดังกล่าวจะต้องกระทําภายใต้บทบัญญัติของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือตามคําสั่งเป็นลาย ลักษณ์อักษรของสํานักงาน กสทช. เท่านั้น โดย ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องเข้าทําข้อตกลงเพิ่มเติม หรือจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลบังคับใช้
๑๐.การให้บริการช่วง
๑๐.๑ ภายใต้หน้าที่และขอบเขตงานที่กําหนดใน บันทึกข้อตกลงความร่วมมือสัญญาหลัก ผู้ประมวลผล ข้อมูลส่วนบุคคล ไม่สามารถว่าจ้างหรือแต่งตั้งบุคคลภายนอกเป็นผู้ประมวลผลข้อมูลส่วนบุคคลช่วงเพื่อทําการ
ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตงานใน บันทึกข้อตกลงความร่วมมือสัญญาหลัก ในนามของสํานักงาน กสทช. ได้ เว้นแต่จะได้รับอนุญาตเป็นลายลักษณ์อักษรจากสํานักงาน กสทช. ก่อน
A
Proof
-06-
๑๐.๒ ในกรณีที่ ผู้ประมวลผลข้อมูลส่วนบุคคลได้รับอนุญาตให้สามารถว่าจ้างผู้ประมวลผลข้อมูลส่วน บุคคลช่วงได้ตามข้อ ๑๐.๑ ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่จัดทําข้อตกลงกับผู้ประมวลผลข้อมูลส่วน บุคคลช่วงเป็นลายลักษณ์อักษร โดยกําหนดขอบเขตเนื้อหาและหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลช่วงให้ สอดคล้องกับหน้าที่และความรับผิดชอบของ ผู้ประมวลผลข้อมูลส่วนบุคคลตามข้อตกลงนี้
ในกรณีที่สํานักงาน กสทช. ร้องขอเป็นลายลักษณ์อักษร ผู้ประมวลผลข้อมูลส่วนบุคคลต้อง ดําเนินการตรวจสอบการปฏิบัติหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลช่วงในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคล ที่ได้รับจากสํานักงาน กสทช. และจัดทําผลการตรวจสอบ รวมทั้งส่งมอบผลการตรวจสอบให้แก่สํานักงาน กสทช. ในกรณีที่ปรากฏว่าผู้ประมวลผลข้อมูลส่วนบุคคลช่วงไม่ปฏิบัติตามหรือมีเหตุอันควรเชื่อว่าผู้ประมวลผล
ข้อมูลส่วนบุคคลช่วงอาจไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรืออาจก่อให้เกิดความ เสียหายต่อสํานักงาน กสทช. ไม่ว่าในกรณีใด ๆ สํานักงาน กสทช. อาจขอให้ ผู้ประมวลผลข้อมูลส่วนบุคคล เปลี่ยนผู้ประมวลผลข้อมูลส่วนบุคคลช่วงได้ทันที โดยสํานักงาน กสทช. ไม่ต้องรับผิดในความเสียหายหรือ
ค่าใช้จ่ายใด ๆ อันเกิดจากการเปลี่ยนผู้ประมวลผลข้อมูลส่วนบุคคลช่วง
๑๑.การตรวจสอบ
ในกรณีที่สํานักงาน กสทช. มีการร้องขอเป็นลายลักษณ์อักษร ผู้ประมวลผลข้อมูลส่วนบุคคล ต้องดําเนินการส่งมอบข้อมูลที่จําเป็นทั้งหมดให้แก่สํานักงาน กสทช. เพื่อเป็นการปฏิบัติหน้าที่ตามข้อตกลงนี้
๑๑.๒ ผู้ประมวลผลข้อมูลส่วนบุคคลตกลงอนุญาตให้สํานักงาน กสทช. และบุคคลที่ได้รับมอบหมาย จากสํานักงาน กสทช. เข้าตรวจสอบการปฏิบัติหน้าที่ของ ผู้ประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผล ข้อมูลส่วนบุคคลภายใต้ข้อตกลงนี้ โดยสํานักงาน กสทช. จะแจ้งให้ ผู้ประมวลผลข้อมูลส่วนบุคคลทราบ ล่วงหน้าเป็นลายลักษณ์อักษรไม่น้อยกว่า ๗ วัน และ ผู้ประมวลผลข้อมูลส่วนบุคคลตกลงให้ความร่วมมือแก่ สํานักงาน กสทช. และบุคคลที่ได้รับมอบหมายจากสํานักงาน กสทช. ในการเข้าตรวจสอบดังกล่าวข้างต้น
๑๒. การชดใช้และการเยียวยา
น
ๆ
ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องชดใช้ค่าเสียหายหรือค่าใช้จ่ายใด ๆ ให้แก่สํานักงาน กสทช. ใน กรณีที่เกิดความเสียหาย การสูญหาย การเรียกร้อง ค่าเสียหาย ความรับผิดทางแพ่ง โทษปรับทางปกครอง หรือค่าใช้จ่ายใด ๆ ที่เกิดขึ้นต่อบุคคลภายนอก หรือในกรณีที่สํานักงาน กสทช. จะต้องรับผิดอันเนื่องมาจาก การไม่ปฏิบัติตามข้อใดข้อหนึ่งภายใต้ข้อตกลงนี้หรือตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือการ
ละเมิดคํารับรองและรับประกันของ ผู้ประมวลผลข้อมูลส่วนบุคคลหรือบุคคลที่ได้รับมอบหมายจากผู้ประมวลผล ข้อมูลส่วนบุคคลให้ปฏิบัติหน้าที่ประมวลผลข้อมูลส่วนบุคคล ผู้รับจ้างช่วง ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง หรือตัวแทนของ ผู้ประมวลผลข้อมูลส่วนบุคคล
๑๓. การบอกกล่าว
ๆ
บรรดาคําบอกกล่าวหรือการติดต่อสื่อสารใด ๆ ตามข้อตกลงนี้ ให้ทําเป็นลายลักษณ์อักษร โดยให้ส่งโดยบุคคล หรือไปรษณีย์ หรือโทรสาร ไปยังสถานที่ของผู้รับตามที่ระบุไว้ในข้อตกลงนี้ หรือตามที่ ได้รับแจ้งเปลี่ยนแปลงจากผู้รับ (ถ้ามี) คําบอกกล่าวหรือการติดต่อสื่อสารทั้งหลายจะถือว่าผู้รับได้รับแล้วเมื่อคํา บอกกล่าวหรือการติดต่อสื่อสารนั้นไปถึงสถานที่นั้นแล้ว
๑๔. หน้าที่และความรับผิดของผู้ประมวลผลข้อมูลส่วนบุคคลในการปฏิบัติตามข้อตกลงนี้จะสิ้นสุดลงนับ แต่วันที่การปฏิบัติงานตามขอบเขตงานใน บันทึกข้อตกลงความร่วมมือสัญญาหลัก เสร็จสิ้น หรือวันที่ ผู้ ประมวลผลข้อมูลส่วนบุคคลและสํานักงาน กสทช. ได้ตกลงเป็นลายลักษณ์อักษรให้ยกเลิกการดําเนินการตาม ขอบเขตงานนี้แล้วแต่กรณีใดจะเกิดขึ้นก่อน โดยคู่สัญญาตกลงจะไม่โอนสิทธิเรียกร้องตามข้อตกลงนี้ให้แก่
บุคคลอื่น