จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างงานจ้างดำเนินงานกิจกรรมห้องปฏิบัติการสำหรับการทดสอบเจาะระบบ (Penetration Testing Lab) ประจำปีงบประมาณ 2569

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ 69029349691

฿4,077,500 ปีงบ 2569 ประกาศ 20 มี.ค. 2569 กรุงเทพมหานคร

รายละเอียดการจ้าง

สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) มีโครงการจ้างดําเนินงานเพื่อจัดตั้ง “ห้องปฏิบัติการสําหรับการทดสอบเจาะระบบ (Penetration Testing Lab)” ขึ้น พร้อมกับยกระดับกระบวนการทดสอบเจาะระบบให้เป็นไปตามมาตรฐานสากล ISO/IEC 27001:2022 โดยมีงบประมาณ 4,077,500 บาท

ขอบเขตงานหลักแบ่งเป็น 2 ส่วนสําคัญ ส่วนแรกคือการจัดทําห้องปฏิบัติการ ซึ่งรวมถึงการออกแบบผังห้อง ปรับปรุงและตกแต่งพื้นที่ ติดตั้งระบบไฟฟ้าและเครือข่าย และจัดหา-ติดตั้งครุภัณฑ์ต่างๆ ครบชุด อาทิ จอ Smartboard 86 นิ้ว, จอภาพแสดงผล 34 นิ้ว จํานวน 7 เครื่อง, โต๊ะทํางานปรับระดับไฟฟ้าและเก้าอี้ 7 ชุด, อุปกรณ์จัดเก็บข้อมูล NAS 6TB, อุปกรณ์กระจายสัญญาณ Switch, เครื่องสํารองไฟฟ้า UPS ขนาด 2 kVA และระบบอินเทอร์เน็ต Fixed Public IP ความเร็ว 200/200 Mbps เป็นเวลา 1 ปี

ส่วนที่สองคือการดําเนินการปรับปรุงกระบวนการ โดยผู้รับจ้างต้องจัดหาผู้เชี่ยวชาญ (Lead Auditor) เพื่อจัดทําแผนโครงการและเอกสารระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ที่สอดคล้องกับมาตรฐาน ISO/IEC 27001:2022 ครอบคลุมเนื้อหาต่างๆ เช่น การวิเคราะห์บริบทองค์กร, การประเมินความเสี่ยง, ทะเบียนทรัพย์สิน, ขั้นตอนปฏิบัติงานต่างๆ, และ Statement of Applicability (SOA) รวมถึงจัดการฝึกอบรมให้ความรู้เกี่ยวกับมาตรฐานให้กับบุคลากรของ สกมช. และให้คําแนะนํา ติดตามผล ตลอดจนสนับสนุนการเตรียมพร้อมสําหรับการตรวจประเมินรับรองมาตรฐานจากหน่วยงานรับรอง (Certification Body) โครงการมีระยะเวลาดําเนินการทั้งสิ้น 240 วัน นับจากวันลงนามสัญญา

English summary

The National Cyber Security Agency (NCSA) of Thailand is procuring services to establish a “Penetration Testing Lab” and enhance its penetration testing processes to align with the ISO/IEC 27001:2022 standard, with a budget of 4,077,500 THB.

The core scope of work consists of two main parts. The first part involves the design, renovation, and outfitting of the laboratory. This includes electrical and network system installation, and the supply and installation of a complete set of IT equipment. Key items include an 86-inch Smartboard, seven 34-inch display monitors, seven electrically adjustable desks and chairs, a 6TB NAS storage device, an L2 Switch, a 2 kVA UPS, and a Fixed Public IP internet connection with 200/200 Mbps speed for one year.

The second part is the process improvement component. The contractor must provide an expert (Lead Auditor) to develop a project plan and all necessary Information Security Management System (ISMS) documentation compliant with ISO/IEC 27001:2022. This covers areas such as organizational context analysis, risk assessment, asset inventory, various operational procedures, and a Statement of Applicability (SOA). Additionally, the contractor must conduct training sessions on the standard for NCSA personnel and provide guidance, monitoring, and support throughout the preparation for the final certification audit by an accredited Certification Body. The total project duration is 240 days from the contract signing date.

สถานที่ดำเนินการ

สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เลขที่ 120 ชั้น 7-11 ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา 5 ธันวาคม 2550 (อาคาร C) ซอยแจ้งวัฒนะ 7 ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร 10210

คำสำคัญ

Penetration Testing Lab ISO 27001 ISMS การทดสอบเจาะระบบ ห้องปฏิบัติการไซเบอร์ISO/IEC 27001:2022 Lead Auditor จอ Smartboard NAS Storage UPS Fixed Public IP

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

เพื่อจัดตั้งห้องปฏิบัติการสําหรับการทดสอบเจาะระบบ (Penetration Testing Lab)
เพื่อดําเนินการปรับปรุงกระบวนการการทดสอบเจาะระบบของสํานักงาน ให้รองรับมาตรฐาน ISO/IEC 27001

ขอบเขตของงาน

งานแบ่งออกเป็น 2 หมวดหลัก ดังนี้

หมวดที่ 1: การจัดทําห้องปฏิบัติการสําหรับการทดสอบเจาะระบบ (Penetration Testing Lab)

งานปรับปรุง ออกแบบ ห้องปฏิบัติการ รวมถึงการติดตั้งอุปกรณ์ให้มีความพร้อมต่อการใช้งาน
- ออกแบบผังห้องปฏิบัติการให้เหมาะสมกับลักษณะการใช้งาน
- จัดวางพื้นที่ทํางาน (Workstation Area) รองรับผู้ใช้งานไม่น้อยกว่า 7 ชุด (โต๊ะ+เก้าอี้+พื้นที่)
- จัดพื้นที่ส่วนกลางสําหรับการสาธิต/ฝึกอบรม พร้อมติดตั้งชุดระบบจอ Smartboard
- จัดพื้นที่จัดเก็บอุปกรณ์และเอกสาร (Storage Area) พร้อมติดตั้งตู้เหล็กเก็บเอกสาร 2 ตู้
- จัดพื้นที่สําหรับอุปกรณ์เครือข่ายและระบบแม่ข่าย (Network & Server Rack Area) พร้อมติดตั้งตู้ Rack Server 15U
งานระบบไฟฟ้าและระบบเครือข่ายสําหรับห้องปฏิบัติการ
งานจัดหาและติดตั้งชุดระบบจอ Smartboard 1 ชุด ตามคุณสมบัติที่กําหนด (ขนาด 86 นิ้ว, 4K, Touch 20 จุด เป็นต้น)
งานจัดหาและติดตั้งจอภาพแสดงผล 7 เครื่อง ตามคุณสมบัติที่กําหนด (ขนาด 34 นิ้ว, ความละเอียด 3440x1440 เป็นต้น)
งานจัดหาโต๊ะทํางานแบบปรับระดับไฟฟ้าและเก้าอี้ 7 ชุด ตามคุณสมบัติที่กําหนด
งานจัดหาและติดตั้งอุปกรณ์จัดเก็บข้อมูลแบบ (NAS Storage) ขนาด 6 TB 1 ชุด
งานจัดหาและติดตั้งอุปกรณ์กระจายสัญญาณ (L2 Switch) 1 ชุด
งานจัดหาและติดตั้งเครื่องสํารองไฟฟ้า (UPS) ไม่ต่ํากว่าขนาด 2 kVA 1 เครื่อง
งานจัดให้มีระบบอินเทอร์เน็ตแบบ Fixed Public IP สําหรับงานทดสอบเจาะระบบ ความเร็ว 200/200 Mbps เป็นระยะเวลา 1 ปี

หมวดที่ 2: การปรับปรุงกระบวนการการทดสอบเจาะระบบให้รองรับมาตรฐาน ISO/IEC 27001

กําหนดแผนการดําเนินโครงการ (Project Plan) เพื่อยกระดับกรอบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน
จัดทําเอกสารของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ให้เป็นไปตามมาตรฐาน ISO/IEC 27001:2022 ครอบคลุมหัวข้อต่างๆ เช่น ISMS Organization, Analysis of Organization Context, Inventory of Asset, Risk Assessment Methodology, Risk Profile, กระบวนการต่างๆ (Procedure) จํานวน 13 ข้อ, Statement of Applicability (SOA), และเกณฑ์วัดประสิทธิผล
ผู้เชี่ยวชาญต้องเข้าร่วมสังเกตการณ์ ให้คําแนะนํา และสนับสนุนข้อมูลในการปรับปรุงกระบวนการและเอกสาร รวมถึงกิจกรรมต่อไปนี้:
- การตรวจประเมินภายใน (Internal ISMS Audit)
- การนําเสนอการประชุมทบทวนผู้บริหาร (Management Review Meeting)
- การเตรียมความพร้อมสําหรับการตรวจประเมินรับรองมาตรฐาน
- การจัดทําแผนปฏิบัติการแก้ไข (Corrective Action Request)
- การจัดหาหน่วยงานตรวจรับรองมาตรฐาน (Certification Body)
- การเข้าร่วมสังเกตการณ์และสนับสนุนระหว่างการตรวจประเมินรับรองมาตรฐาน
- การจัดการอบรมให้ความรู้เกี่ยวกับ ISO/IEC 27001:2022 จํานวน 4 หลักสูตร
จัดให้มีการประชุมเพื่อติดตามและสรุปผลการดําเนินการ จํานวนไม่น้อยกว่า 2 ครั้ง

สิ่งที่ต้องส่งมอบ

แผนการดําเนินโครงการ (Project Plan)
แบบการปรับปรุงและตกแต่งห้องปฏิบัติการ (ผังห้อง)
ห้องปฏิบัติการ Penetration Testing Lab ที่ปรับปรุงและติดตั้งอุปกรณ์ครบถ้วนแล้ว พร้อมใช้งาน (รวมครุภัณฑ์ทั้งหมดตามข้อ 4.1.1 ถึง 4.1.8)
รายงานผลการติดตั้งระบบอินเทอร์เน็ต Fixed Public IP
เอกสารร่างโครงสร้างการบริหารจัดการและหน้าที่รับผิดชอบของ ISMS Committee และคณะทํางานที่เกี่ยวข้อง
เอกสารระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ที่สมบูรณ์ตามมาตรฐาน ISO/IEC 27001:2022 (ครอบคลุมข้อ 4.2.2.1 ถึง 4.2.2.8)
รายงานการประชุมและรายงานความก้าวหน้า (อย่างน้อย 2 ครั้ง)
เอกสารขั้นตอนปฏิบัติ คู่มือ และแบบฟอร์มที่เกี่ยวข้องตามมาตรฐาน ISO/IEC 27001:2022 ที่ประยุกต์กับ สกมช.
ผลการอบรมให้ความรู้เกี่ยวกับ ISO/IEC 27001:2022 (สรุปผลการดําเนินการอบรม)
การสนับสนุนจนผ่านการตรวจประเมินรับรองมาตรฐาน ISO/IEC 27001:2022 จากหน่วยงานตรวจรับรองมาตรฐาน (Certification Body)

ระยะเวลาดำเนินการ

ระยะเวลาดําเนินการทั้งหมด: 240 วัน นับถัดจากวันลงนามในสัญญา
กําหนดการส่งมอบงานแบ่งเป็น 4 งวด:
- งวดที่ 1: ภายใน 30 วัน นับถัดวันลงนามในสัญญา
- งวดที่ 2: ภายใน 120 วัน นับถัดวันลงนามในสัญญา
- งวดที่ 3: ภายใน 180 วัน นับถัดวันลงนามในสัญญา
- งวดที่ 4 (สุดท้าย): ภายใน 240 วัน นับถัดวันลงนามในสัญญา

คุณสมบัติผู้เสนอราคา

Experience: ไม่ได้ระบุประสบการณ์ทํางานหรือโครงการที่ผ่านมาโดยตรงสําหรับบริษัทผู้รับจ้าง แต่มุ่งเน้นที่คุณสมบัติของผู้เชี่ยวชาญเฉพาะด้าน (ดูด้านล่าง)
Standards Compliance: ผู้เชี่ยวชาญที่จัดหาให้ต้องมีประกาศนียบัตร ISO 27001:2022 Lead Auditor
Personnel: ต้องจัดหาผู้เชี่ยวชาญด้านการพัฒนาระบบมาตรฐานความมั่นคงปลอดภัยสารสนเทศ ISO 27001 (Lead Auditor) ซึ่งมีคุณสมบัติดังนี้:
- จบการศึกษาระดับปริญญาโท สาขาเทคโนโลยีสารสนเทศ หรือสาขาที่เกี่ยวข้อง
- มีประสบการณ์ทํางานมากกว่า 10 ปี
- ได้รับประกาศนียบัตร ISO 27001:2022 Lead Auditor
Previous Project Cost: ไม่ได้ระบุ
Technical Capabilities: ไม่ได้ระบุความสามารถทางเทคนิคเฉพาะด้านสําหรับบริษัทนอกจากความสามารถในการจัดหาและติดตั้งอุปกรณ์ตามสเปก
Excluded Basic Requirements: (ตามคําสั่ง) คุณสมบัติพื้นฐานเช่น มีใบอนุญาตธุรกิจ, เป็นนิติบุคคล, ลงทะเบียน e-GP, ไม่ล้มละลาย ฯลฯ ได้รับยกเว้นไม่ให้รวมไว้

เกณฑ์การพิจารณา

ใช้เกณฑ์ราคา (Price-based)
จะพิจารณาจากราคารวมต่ําสุด

ข้อกำหนดทางเทคนิค

สเปกอุปกรณ์สําคัญในห้องปฏิบัติการ:

จอ Smartboard: LED 86 นิ้ว, ความละเอียด 4K, รองรับ Touch 20 จุด, มุมมอง 178 องศา, ส่งภาพผ่าน Wi-Fi, พอร์ต USB (2), HDMI In (2), HDMI Out (1), VGA (1), พร้อม Smartboard Software, CPU Quad Core, RAM 4GB, Storage 32GB, OS Android, พร้อมขาตั้งล้อเลื่อน
จอภาพแสดงผล: 7 เครื่อง, ความละเอียดขั้นต่ำ 3440 x 1440 Pixel, ขนาด 34 นิ้ว, Aspect Ratio 21:9, พอร์ต HDMI และ USB-C
โต๊ะทํางานไฟฟ้า: 7 ชุด, ขนาดหน้าโต๊ะ 180x75 ซม., รองรับน้ําหนัก 120 กก., ระบบ Dual Motor, ขา 3 ท่อน, แผงควบคุมดิจิทัล LED, บันทึกระดับความสูงได้ 3 ระดับ
เก้าอี้ทํางาน: 7 ตัว, พนักพิงและเบาะนั่ง Mesh, พนักพิงปรับเอนได้, มีที่รองศีรษะปรับระดับได้
NAS Storage: 6TB, Network Interface 10/100/1000 Base-T (2 ช่อง), รองรับ RAID 0,1,5, รองรับโปรโตคอล SMB/AFP/NFS/FTP, รองรับ IPv4/IPv6
L2 Switch: Layer 2, Network Interface 10/100/1000 Base-T (24 ช่อง), บริหารจัดการผ่าน Web Browser
UPS: ขนาด 2 kVA (1800 Watts), True online/Double conversion, Wave Type Sine wave, Output connection แบบ IEC 60320 C13 (4) หรือ NEMA หรือ Universal, มี Interface Port (Smart Slot/USB)
ระบบอินเทอร์เน็ต: Fixed Public IP, ความเร็ว Download/Upload ไม่น้อยกว่า 200 Mbps, มี Fixed Public IP อย่างน้อย 1 หมายเลข (บริการ 1 ปี)

ขอบเขตการขอรับรองมาตรฐาน ISO/IEC 27001:2022:
“Provision of Penetration Testing services and management of the Internet service infrastructure of the organization, including back-office application systems hosted on cloud services and on-premise environments, which are provided and maintained by the Information Technology Office for internal use within the organization”

เงื่อนไขสัญญา

วงเงินโครงการ: 4,077,500 บาท (รวม VAT และค่าใช้จ่ายทั้งหมดแล้ว)
เงื่อนไขการชําระเงิน (แบ่ง 4 งวด):
- งวดที่ 1 (10%): ภายใน 30 วัน หลังลงนาม - หลังจัด Kick-off Meeting, ส่งมอบแผนโครงการ, และแบบปรับปรุงห้อง
- งวดที่ 2 (40%): ภายใน 120 วัน หลังลงนาม - หลังส่งมอบครุภัณฑ์และติดตั้งครบตามข้อ 4.1.1-4.1.8 และรายงานการติดตั้งอินเทอร์เน็ต
- งวดที่ 3 (25%): ภายใน 180 วัน หลังลงนาม - หลังส่งมอบรายงานการประชุม/ความก้าวหน้า, เอกสารโครงสร้าง ISMS Committee, และเอกสารร่าง ISMS
- งวดสุดท้าย (25%): ภายใน 240 วัน หลังลงนาม - หลังส่งมอบรายงานการประชุม/ความก้าวหน้า, เอกสารขั้นตอนปฏิบัติ/คู่มือ ISO/IEC 27001:2022 ที่สมบูรณ์ และผลการอบรม
ค่าจ้างล่วงหน้า: ขอได้ไม่เกิน 15% ของราคาสัญญา โดยต้องส่งมอบหลักประกันเงินล่วงหน้า (พันธบัตรหรือหนังสือค้ําประกัน)
ค่าปรับ: หากส่งมอบงานล่าช้า ชําระค่าปรับร้อยละ 0.10 ของราคาสัญญาต่อวัน (ไม่ต่ํากว่าวันละ 100 บาท)
ระยะเวลารับประกันงาน: 1 ปี นับจากวันที่ สกมช. ตรวจรับงาน สําหรับความชํารุดบกพร่อง โดยต้องแก้ไขภายใน 7 วัน หลังได้รับแจ้งเป็นหนังสือ

คำถามที่พบบ่อย (FAQ)

Q: โครงการนี้ต้องการอินเทอร์เน็ตแบบใด และใช้ทําอะไร?
A: ต้องการระบบอินเทอร์เน็ตแบบ Fixed Public IP ความเร็ว Download/Upload ไม่น้อยกว่า 200 Mbps พร้อม Fixed IP อย่างน้อย 1 หมายเลข เป็นระยะเวลา 1 ปี เพื่อใช้สําหรับงานทดสอบเจาะระบบโดยเฉพาะ
Q: ผู้เชี่ยวชาญ (Lead Auditor) ต้องมีบทบาทอะไรบ้างนอกเหนือจากการจัดทําเอกสาร?
A: ผู้เชี่ยวชาญต้องมีบทบาทเชิงปฏิบัติ เช่น เข้าร่วมสังเกตการณ์และให้คําแนะนําระหว่างการตรวจประเมินภายใน (Internal Audit), ร่วมนําเสนอใน Management Review Meeting, เตรียมความพร้อมและสนับสนุนข้อมูลระหว่างการตรวจประเมินรับรองมาตรฐานจาก Certification Body รวมถึงจัดฝึกอบรมให้ความรู้
Q: การฝึกอบรมตามโครงการมีหลักสูตรอะไรบ้าง และเป้าหมายผู้เข้าอบรมเป็นใคร?
A: มี 4 หลักสูตร ได้แก่ 1) หลักสูตรสร้างความตระหนักรู้ (1 วัน, 10 คน) 2) หลักสูตรข้อกําหนดของมาตรฐาน (1 วัน, 10 คน) 3) หลักสูตรการประยุกต์ใช้มาตรฐาน (1 วัน, 10 คน) 4) หลักสูตรการตรวจติดตามภายใน (2 วัน, 1 คน) เป้าหมายคือบุคลากรของ สกมช.
Q: อุปกรณ์ NAS Storage 6TB ต้องรองรับ RAID แบบใดบ้าง?
A: ต้องสามารถทํางานแบบ RAID ได้ไม่น้อยกว่า 0, 1, 5 หรือดีกว่า
Q: ห้องปฏิบัติการต้องรองรับผู้ใช้งานพร้อมกันกี่คน?
A: ต้องรองรับตําแหน่งผู้ใช้งานจํานวนไม่น้อยกว่า 7 ชุด โดยแต่ละชุดมีโต๊ะทํางาน เก้าอี้ และพื้นที่สําหรับคอมพิวเตอร์
Q: โครงการนี้มีข้อกําหนดด้านความลับอย่างไร?
A: ผู้รับจ้างต้องทําสัญญารักษาความลับกับ สกมช. ต้องแจ้งให้พนักงานและบุคคลที่เกี่ยวข้องรับทราบและผูกพันด้วยสัญญารักษาความลับ และต้องใช้มาตรการรักษาความปลอดภัยข้อมูลในระดับไม่ต่ํากว่ามาตรฐานราชการ
Q: เอกสาร ISMS ที่ต้องจัดทําต้องครอบคลุมกระบวนการ (Procedure) อะไรบ้าง?
A: ต้องครอบคลุมอย่างน้อย 13 กระบวนการ เช่น การควบคุมเอกสาร, การจัดระดับชั้นความลับ, การควบคุมความปลอดภัยเครือข่าย, การทํางานระยะไกล, การทําลายสื่อ, การควบคุมการเข้า-ออกพื้นที่, การบริหารสิทธิการเข้าถึง, การสํารองกู้คืนข้อมูล, การบริหารการเปลี่ยนแปลง, การจัดการเหตุการณ์, การจัดการผู้ให้บริการ, แผนความต่อเนื่องทาง IT, และการตรวจสอบภายใน
Q: ขอบเขตการขอรับรองมาตรฐาน ISO/IEC 27001 ครอบคลุมระบบใดของ สกมช. บ้าง?
A: ครอบคลุมการให้บริการ Penetration Testing และการจัดการโครงสร้างพื้นฐานบริการอินเทอร์เน็ตขององค์กร รวมถึงระบบแอปพลิเคชัน back-office ที่โฮสต์บน Cloud services และ On-premise environments ที่สํานักเทคโนโลยีสารสนเทศให้บริการและบํารุงรักษาสําหรับการใช้ภายในองค์กร
Q: หากผู้รับจ้างเป็นนิติบุคคลที่จัดตั้งใหม่ยังไม่มีงบการเงิน จะมีเงื่อนไขทางการเงินอย่างไร?
A: หากยังไม่มีการรายงานงบการเงินกับกรมพัฒนาธุรกิจการค้า ผู้รับจ้างจะต้องมีทุนจดทะเบียนที่เรียกชําระแล้ว ณ วันยื่นข้อเสนอ ไม่ต่ํากว่า 1 ล้านบาท
Q: โครงการนี้มีการจ่ายเงินค่าจ้างล่วงหน้าหรือไม่?
A: มี ผู้เสนอราคาสามารถขอรับเงินค่าจ้างล่วงหน้าได้ในอัตราไม่เกินร้อยละ 15 ของราคาสัญญา แต่ต้องส่งมอบหลักประกันเงินล่วงหน้าเป็นพันธบัตรรัฐบาลไทยหรือหนังสือค้ําประกันอิเล็กทรอนิกส์

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

1 | Page
NCSA
สกมช
ขอบเขตของงาน (Terms of Reference : TOR)
งานจ้างดําเนินงานกิจกรรมห้องปฏิบัติการสําหรับการทดสอบเจาะระบบ (Penetration Testing Lab)

หลักการและเหตุผล
ปัจจุบันการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต โครงข่ายโทรคมนาคม หรือ การให้บริการของดาวเทียม มีความเสี่ยงจากภัยคุกคามทางไซเบอร์อันอาจกระทบต่อความมั่นคงของรัฐ และ ความสงบเรียบร้อยภายในประเทศ ดังนั้นเพื่อให้สามารถป้องกัน และรับมือกับภัยคุกคามทางไซเบอร์ได้อย่าง ทันท่วงที รวมทั้งให้มีหน่วยงานเพื่อรับผิดชอบในการดําเนินการประสานการปฏิบัติงานร่วมกันทั้งภาครัฐและ เอกชน ไม่ว่าในสถานการณ์ปกติหรือสถานการณ์อันเป็นภัยต่อความมั่นคงอย่างร้ายแรง ตลอดจนกําหนดให้มี แผนปฏิบัติการและมาตรการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ อย่างมีเอกภาพและต่อเนื่อง อันจะทํา ให้การป้องกัน และการรับมือกับภัยคุกคามทางไซเบอร์เป็นไปอย่างมีประสิทธิภาพ จึงได้มีการตรา พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ขึ้น
พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ซึ่งมีผลบังคับใช้ เมื่อวันที่ 28 พฤษภาคม 2562 กําหนดให้มีนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ และแผนปฏิบัติ
การเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์เสนอต่อคณะรัฐมนตรี สําหรับเป็นแผนแม่บทในการรักษาความ
มั่นคงปลอดภัยไซเบอร์ในสถานการณ์ปกติและในสถานการณ์ที่อาจจะเกิดหรือเกิดภัยคุกคามทางไซเบอร์
รวมทั้งประมวลแนวทางปฏิบัติ และกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อให้ หน่วยงานภาครัฐ และหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ มีกรอบแนวทางและกลไกในการรักษา
ความมั่นคงปลอดภัยทางไซเบอร์อย่างเป็นรูปธรรม
ในการนี้ สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ จึงได้จัดหา เครื่องมือในการปฏิบัติงานในด้านการทดสอบเจาะระบบที่เหมาะสมเพื่อป้องกัน รับมือ และลดความเสี่ยงกับภัย คุกคามทางไซเบอร์ ต่อระบบโครงสร้างพื้นฐานสําคัญทางสารสนเทศ ไม่ให้ส่งผลกระทบต่อความมั่นคงของ ประเทศ รวมถึงสามารถป้องกันสถานการณ์ด้านภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที ซึ่งจะสร้างความเชื่อมั่น ให้กับบุคคลที่เกี่ยวข้อง ทั้งภาครัฐ ภาคเอกชน และภาคประชาสังคม ได้อย่างมีประสิทธิภาพต่อไป
วัตถุประสงค์
2.1 เพื่อจัดตั้งห้องปฏิบัติการสําหรับการทดสอบเจาะระบบ (Penetration Testing Lab) 2.2 เพื่อดําเนินการปรับปรุงกระบวนการการทดสอบเจาะระบบของสํานักงาน ให้รองรับมาตรฐาน
ISO/IEC 27001
สํานักบริหารโครงสร้างพื้นฐานสําคัญทางสารสนเทศ
ootres
46
of wor
ประธานกรรมการ
กรรมการ
กรรมการ
กรรมการ
กรรมการ
2| Page
คุณสมบัติผู้เสนอราคา
3.1 มีความสามารถตามกฎหมาย 3.2 ไม่เป็นบุคคลล้มละลาย
3.3 ไม่อยู่ระหว่างเลิกกิจการ
3.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐไว้ ชั่วคราวเนื่องจาก เป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ
กระทรวงการคลังกําหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศ กรมบัญชีกลาง
3.5 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงาน
ของรัฐในระบบเครือข่ายสารสนเทศกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วนผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอํานาจในการดําเนินงานในกิจการของนิติบุคคลนั้นด้วย
3.6 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหารพัสดุ
ภาครัฐกําหนดในราชกิจจานุเบกษา
3.7 เป็นบุคคลธรรมดาหรือนิติบุคคลผู้มีอาชีพรับจ้างงานที่ประกวดราคาอิเล็กทรอนิกส์ดังกล่าว
3.8 ผู้ยื่นข้อเสนอต้องไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ที่ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่ สํานักงาน คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ณ วันที่ยื่นข้อเสนอ หรือไม่เป็นผู้ทําการ อันเป็นการขัดขวางการแข่งขันอย่างเป็นธรรมในการเสนอราคาครั้งนี้
3.9 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทยเว้นแต่รัฐบาลของผู้ยื่นข้อเสนอ ได้มีคําสั่งให้สละเอกสิทธิ์ความคุ้มกันเช่นว่านั้น
3.10 ผู้ยื่นข้อเสนอต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (e-Government Procurement: e-GP) ของกรมบัญชีกลาง
3.11 ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติดังนี้
(1) การกําหนดสัดส่วนในการเข้าร่วมค้าของคู่สัญญากรณีที่ข้อตกลงฯ กําหนดให้ผู้เข้าร่วมค้ารายใด รายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงฯ จะต้องมีการกําหนดสัดส่วนหน้าที่และความรับผิดชอบในปริมาณงาน สิ่งของหรือมูลค่าตามสัญญาของผู้เข้าร่วมค้าหลักมากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
(2) กรณีที่ข้อตกลงฯ กําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก กิจการร่วมค้านั้น ต้องใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอสําหรับข้อตกลงฯ ที่ไม่ได้
กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก ผู้เข้าร่วมค้าทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่
กําหนดไว้ในเอกสารเชิญชวน
(3) การยื่นข้อเสนอของกิจการร่วมค้า
(3.1) กรณีที่ข้อตกลงฯ กําหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอ ในนามกิจการร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอํานาจสําหรับข้อตกลงฯ ที่ไม่ได้กําหนดให้
สํานักบริหารโครงสร้างพื้นฐานสําคัญทางสารสนเทศ
Home
4
#sand.
вид чтобы
ประธานกรรมการ
กรรมการ
กรรมการ
กรรมการ
กรรมการ
3 | Page
ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอ ผู้เข้าร่วมค้าทุกรายจะต้องลงลายมือชื่อในหนังสือมอบอํานาจให้ผู้เข้าร่วมค้า รายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอในนามกิจการร่วมค้า
(3.2) การยื่นข้อเสนอด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ (e - bidding) ให้ผู้เข้าร่วมค้า ที่ได้รับมอบหมายหรือมอบอํานาจตามข้อ (3.1) ดําเนินการซื้อเอกสารประกวดราคาอิเล็กทรอนิกส์ กรณีที่มี การจําหน่ายเอกสารซื้อหรือจ้าง
3.12 ผู้รับจ้างต้องมีมูลค่าสุทธิของกิจการ ดังนี้
3.12.1 กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยหรือต่างประเทศ ซึ่งได้ จดทะเบียนเกินกว่า 1 ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิ ที่ปรากฏในงบแสดงฐานะการเงินที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก 1 ปีสุดท้ายก่อนวันยื่น ข้อเสนองบแสดงฐานะการเงิน 1 ปีสุดท้ายก่อนวันยื่นข้อเสนอ หมายถึง งบแสดงฐานะการเงินย้อนไปก่อนวันที่ หน่วยงานของรัฐกําหนดให้เป็นวันยื่นข้อเสนอ 1 ปีปฏิทิน เว้นแต่กรณีนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยหาก วันยื่นข้อเสนอเป็นช่วงระยะเวลาที่กรมพัฒนาธุรกิจการค้ากําหนดให้นิติบุคคลยื่นงบแสดงฐานะการเงิน กับกรมพัฒนาธุรกิจการค้า ซึ่งจะอยู่ในช่วงเดือนมกราคม – เดือนพฤษภาคม ของทุกปี โดยนิติบุคคลที่เป็นผู้ยื่น ข้อเสนอนั้นยังอยู่ในช่วงของการยื่นงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า คือ ช่วงเดือนมกราคม - เดือนพฤษภาคม กรณีนี้ให้สามารถยื่นงบแสดงฐานะการเงินย้อนไปอีก 1 ปี ได้
3.12.2 กรณีผู้รับจ้างเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย ซึ่งยังไม่มีการรายงานงบแสดงฐานะ การเงินกับกรมพัฒนาธุรกิจการค้า ให้พิจารณาการกําหนดมูลค่าของทุนจดทะเบียน โดยผู้รับจ้างจะต้องมีทุนจด ทะเบียนที่เรียกชําระมูลค่าหุ้นแล้ว ณ วันที่ยื่นข้อเสนอ ไม่ต่ํากว่า 1 ล้านบาท
3.12.3 สําหรับการจัดซื้อจัดจ้างครั้งหนึ่งที่มีวงเงินเกิน 500,000 บาทขึ้นไป กรณีผู้รับจ้างเป็นบุคคล ธรรมดา โดยพิจารณาจากหนังสือรับรองบัญชีเงินฝากไม่เกิน 90 วัน ก่อนวันยื่นข้อเสนอ โดยต้องมีเงินฝากคงเหลือในบัญชีธนาคารเป็นมูลค่า 1 ใน 4 ของมูลค่างบประมาณของกิจกรรมหรือรายการที่ยื่น ข้อเสนอในแต่ละครั้ง และหากเป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ได้รับการคัดเลือกจะต้องแสดงหนังสือรับรอง
บัญชีเงินฝากที่มูลค่าดังกล่าวอีกครั้งหนึ่งในวันลงนามในสัญญา
3.12.4 กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียน หรือมีแต่ไม่เพียงพอที่จะเข้า ยื่นข้อเสนอ สามารถดําเนินการได้ ดังนี้
(1) ผู้รับจ้างสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ 1 ใน 4 ของมูลค่างบประมาณที่ ยื่นข้อเสนอในครั้งนั้น (สินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุนหรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับ อนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์ และประกอบธุรกิจค้าประกันตามประกาศของธนาคารแห่ง
ประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทยแจ้งเวียนให้ทราบ โดยพิจารณาจากยอดเงินรวม ของวงเงินสินเชื่อที่สํานักงานใหญ่รับรอง หรือที่สํานักงานสาขารับรอง (กรณีได้รับมอบอํานาจจากสํานักงานใหญ่) ซึ่งออกให้แก่ผู้รับจ้างนับถึงวันยื่นข้อเสนอไม่เกิน 90 วัน
สํานักบริหารโครงสร้างพื้นฐานสําคัญทางสารสนเทศ
Kins
ประธานกรรมการ
น
NJohor. Som
กรรมการ
กรรมการ
กรรมการ
ی کروا به پاکی
กรรมการ
4 | Page
(2) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศ หรือบุคคลธรรมดาที่ มิได้ถือสัญชาติไทย ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ 1 ใน 4 ของมูลค่างบประมาณ ของโครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง จะเป็นสินเชื่อที่ธนาคารต่างประเทศหรือบริษัทเงินทุนหรือ
บริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้ําประกัน
ตามประกาศของธนาคารกลางต่างประเทศนั้น ตามรายชื่อบริษัทที่ธนาคารกลางต่างประเทศนั้นแจ้งเวียนให้ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สํานักงานใหญ่รับรอง หรือที่สํานักงานสาขารับรอง (กรณีได้รับ มอบอํานาจจากสํานักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวันยื่นข้อเสนอไม่เกิน 90 วัน
3.12.5 กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศ หรือบุคคลธรรมดา ที่มิได้ถือสัญชาติไทยตามข้อ 3.13.2 ข้อ 3.13.3 และข้อ 3.13.4 (2) มูลค่าจะต้องเป็นไปตามอัตราแลกเปลี่ยน เงินตรา ตามประกาศที่ธนาคารแห่งประเทศไทยกําหนด ในช่วงระหว่างวันที่เผยแพร่ประกาศ และเอกสาร ประกวดราคาในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (e-GP) จนถึงวันเสนอราคา
3.12.6 กรณีตามข้อ 3.13.1 - 3.13.5 ไม่ใช้บังคับกรณี ดังต่อไปนี้
(1) กรณีที่ผู้ยื่นข้อเสนอเป็นหน่วยงานของรัฐภายในประเทศ
(2) นิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยที่อยู่ระหว่างการฟื้นฟูกิจการตามพระราชบัญญัติ
ล้มละลาย พ.ศ. 2483 และที่แก้ไขเพิ่มเติม
ขอบเขตของงาน
4.1 การจัดทําห้องปฏิบัติการสําหรับการทดสอบเจาะระบบ (Penetration Testing Lab) เพื่อให้สอดคล้อง กับมาตรฐาน ISO/IEC 27001 โดยศึกษาสภาพแวดล้อม กระบวนการทํางาน และระบบสารสนเทศของ สกมช.
โดยผู้รับจ้างต้องดําเนินการจัดทําตามรูปแบบการจัดทําห้องปฏิบัติการสําหรับการทดสอบเจาะระบบ (Penetration Testing Lab) ตามผนวก ก รายละเอียดดังนี้
4.1.1 งานปรับปรุง ออกแบบ ห้องปฏิบัติการสําหรับการทดสอบเจาะระบบ (Penetration Testing Lab) รวมถึงการติดตั้งอุปกรณ์ให้มีความพร้อมต่อการใช้งาน ดังนี้
4.1.1.1 ผู้รับจ้างจะต้องดําเนินการออกแบบผังห้องปฏิบัติการสําหรับการทดสอบเจาะระบบ (Penetration Testing Lab) ให้มีความเหมาะสมกับลักษณะการใช้งาน รองรับการติดตั้งอุปกรณ์
4.1.1.2 ผู้รับจ้างจะต้องจัดวางพื้นที่ทํางาน (Workstation Area) ให้สามารถรองรับตําแหน่ง ผู้ใช้งานจํานวนไม่น้อยกว่า 7 ชุด โดยแต่ละชุดประกอบด้วยโต๊ะทํางาน เก้าอี้ และพื้นที่สําหรับการใช้งาน คอมพิวเตอร์อย่างเหมาะสม ทั้งนี้ต้องจัดวางระยะห่างระหว่างตําแหน่งให้เอื้อต่อความปลอดภัย ความสะดวกใน การปฏิบัติงาน การเคลื่อนย้าย และการเดินสายอุปกรณ์เครือข่าย
4.1.1.3 ผู้รับจ้างจะต้องจัดให้มีพื้นที่ส่วนกลางสําหรับการสาธิตและการฝึกอบรม พร้อมติดตั้งชุด ระบบจอ Smartboard เพื่อใช้สําหรับการนําเสนอ การอบรมเชิงปฏิบัติการ และการแสดงผลข้อมูลที่เกี่ยวข้องกับ
การทดสอบเจาะระบบ
สํานักบริหารโครงสร้างพื้นฐานสําคัญทางสารสนเทศ
Kins
น
ประธานกรรมการ
กรรมการ
กรรมการ
กรรมการ
กรรมการ
5| Page
4.1.1.4 ผู้รับจ้างจะต้องจัดให้มีพื้นที่สําหรับจัดเก็บอุปกรณ์และเอกสาร (Storage Area) โดยติดตั้ง ตู้เหล็กเก็บเอกสาร จํานวน 2 ตู้ ขนาดไม่ต่ํากว่า 39 x 85 x 102 เซนติเมตร เพื่อใช้ในการจัดเก็บเอกสารสําคัญ อุปกรณ์ประกอบการทดสอบ และอุปกรณ์เฉพาะทางต่าง ๆ อย่างเป็นระเบียบและปลอดภัย
น
4.1.1.5 ผู้รับจ้างจะต้องจัดให้มีพื้นที่สําหรับอุปกรณ์เครือข่ายและระบบแม่ข่าย (Network & Server Rack Area) โดยติดตั้งตู้ Rack Server ขนาด 15U พร้อมจัดให้มีพื้นที่สําหรับการเดินสายระบบ เครือข่ายและระบบไฟฟ้าอย่างเป็นระเบียบและปลอดภัย สามารถรองรับการติดตั้งอุปกรณ์ Network, Firewall, Switch, Server สําหรับการทดสอบเจาะระบบ
4.1.2 งานระบบไฟฟ้าและระบบเครือข่าย สําหรับห้องปฏิบัติการสําหรับการทดสอบเจาะระบบ (Penetration Testing Lab) โดยผู้รับจ้างจะต้องจัดทําและติดตั้งระบบไฟฟ้าให้มีความพร้อมและเพียงพอ สําหรับรองรับการใช้งานเครื่องคอมพิวเตอร์, ระบบจอ Smartboard, จอภาพแสดงผล, ชุดโต๊ะทํางานแบบปรับ ระดับไฟฟ้า ที่ใช้ภายในห้องปฏิบัติการสําหรับการทดสอบเจาะระบบ (Penetration Testing Lab) โดยต้อง
เป็นไปตามมาตรฐานความปลอดภัยที่เกี่ยวข้อง
4.1.3 งานจัดหาและติดตั้งชุดระบบจอ Smartboard โดยผู้รับจ้างจะต้องจัดหาและติดตั้งชุดระบบจอ Smartboard จํานวน 1 ชุด โดยมีคุณสมบัติอย่างน้อย ดังนี้
4.1.3.1 เป็นจอภาพเทคโนโลยี LED ขนาดไม่น้อยกว่า 86 นิ้ว
4.1.3.2 มีความละเอียดในการแสดงผลไม่ต่ํากว่า 4K
4.1.3.3 รองรับระบบสัมผัส (Touch Point) ได้ไม่น้อยกว่า 20 จุด 4.1.3.4 มีมุมมองการแสดงผล (Viewing Angle) ไม่น้อยกว่า 178 องศา 4.1.3.5 สามารถส่งภาพจากหน้าจอผ่านระบบเครือข่ายไร้สายได้
4.1.3.6 มีช่องเชื่อมต่อแบบ USB อย่างน้อย 2 ช่องสัญญาณ
4.1.3.7 มีช่องเชื่อมต่อขาเข้าแบบ HDMI อย่างน้อย 2 ช่องสัญญาณ 4.1.3.8 มีช่องเชื่อมต่อขาออกแบบ HDMI อย่างน้อย 1 ช่องสัญญาณ
4.1.3.9 มีช่องเชื่อมต่อขาเข้าแบบ VGA อย่างน้อย 1 ช่องสัญญาณ
4.1.3.10 มาพร้อมโปรแกรมสําหรับระบบจอภาพแบบสัมผัส (Smartboard Software)
4.1.3.11 มีหน่วยประมวลผล (CPU) แบบ Quad Core หน่วยความจําไม่น้อยกว่า 4 GB และ
พื้นที่จัดเก็บข้อมูลไม่น้อยกว่า 32 GB หรือดีกว่า พร้อมระบบปฏิบัติการ Android
4.1.3.12 ขาตั้งแบบล้อเลื่อนสําหรับติดตั้งชุดระบบจอ Smartboard
4.1.4 งานจัดหาและติดตั้งจอภาพแสดงผลจํานวน 7 เครื่อง โดยมีคุณสมบัติอย่างน้อย ดังนี้
4.1.4.1 รองรับความละเอียดไม่น้อยกว่า 3440 x 1440 Pixel
4.1.4.2 มีขนาดไม่น้อยกว่า 34 นิ้ว
4.1.4.3 มีค่า Aspect Ratio ไม่น้อยกว่า 21.9
สํานักบริหารโครงสร้างพื้นฐานสําคัญทางสารสนเทศ
| lines
ประธานกรรมการ
4
daño so
กรรมการ
กรรมการ
กรรมการ
که دو می گیرد
กรรมการ
6 | P a g e
4.1.4.4 มีพอร์ต HDMI ไม่น้อยกว่า 1 ช่อง
4.1.4.5 มีพอร์ต USB-C ไม่น้อยกว่า 1 ช่อง
4.1.5 งานจัดหาโต๊ะทํางานแบบปรับระดับไฟฟ้าและเก้าอี้ ผู้รับจ้างจะต้องจัดหาโต๊ะทํางานแบบปรับ ระดับความสูง-ต่ําด้วยระบบไฟฟ้า พร้อมเก้าอี้ จํานวน 7 ชุด ดังนี้
4.1.5.1 โต๊ะทํางานแบบปรับระดับไฟฟ้า โดยมีคุณสมบัติอย่างน้อย ดังนี้

ขนาดหน้าโต๊ะไม่น้อยกว่า 180 x 75 เซนติเมตร
รองรับน้ําหนักได้ไม่น้อยกว่า 120 กิโลกรัม
ใช้มอเตอร์ไฟฟ้าแบบมอเตอร์คู่ (Dual Motor)
ขาโต๊ะแบบ 3 ท่อนเป็นอย่างน้อย
มีแผงควบคุมดิจิทัลแสดงผล LED
สามารถบันทึกค่าระดับความสูงได้ไม่น้อยกว่า 3 ระดับ
4.1.5.2 เก้าอี้ทํางาน โดยมีคุณสมบัติอย่างน้อย ดังนี้
พนักพิงและเบาะนั่งทําจากวัสดุตาข่าย (Mesh) หรือเทียบเท่า
พนักพิงสามารถปรับเอนได้
มีที่รองศีรษะ สามารถปรับระดับและองศาได้
4.1.6 งานจัดหาและติดตั้งอุปกรณ์จัดเก็บข้อมูลแบบ (NAS Storage) ขนาด 6 TB หรือดีกว่า จํานวน 1 ชุด โดยมีคุณสมบัติอย่างน้อย ดังนี้
4.1.6.1 มีช่องเชื่อมต่อระบบเครือข่าย (Network Interface) แบบ 10/100/1000 Base-T หรือ
ดีกว่าจํานวนไม่น้อยกว่า 2 ช่อง
4.1.6.2 สามารถทํางาน แบบ Raid ไม่น้อยกว่า 0, 1, 5 หรือดีกว่า
4.1.6.3 รองรับการทํางานผ่านโปรโตคอล อย่างน้อยดังนี้ SMB, AFP, NFS, FTP เป็นต้น
4.1.6.4 รองรับการใช้งานผ่านระบบเครือข่าย IPV4 และ IPv6 หรือดีกว่า
4.1.7 งานจัดหาและติดตั้งอุปกรณ์กระจายสัญญาณ (L2 Switch) จํานวน 1 ชุด โดยมีคุณสมบัติ อย่างน้อย ดังนี้
4.1.7.1 มีลักษณะการทํางานไม่น้อยกว่า Layer 2 ของ OSI Model
4.1.7.2 มีช่องเชื่อมต่อระบบเครือข่าย (Network Interface) แบบ 10/100/1000 Base-T หรือ
ดีกว่าจํานวนไม่น้อยกว่า 24 ช่อง
4.1.7.3 สามารถบริหารจัดการอุปกรณ์ผ่านทางโปรแกรม Web Browser ได้
4.1.8 งานจัดหาและติดตั้งเครื่องสํารองไฟฟ้าไม่ต่ํากว่า ขนาด 2 KVA จํานวน 1 เครื่องโดยมีคุณสมบัติ อย่างน้อย ดังนี้
4.1.8.1 มี Max Configurable Power (Watts) : 1800 Watts / 2.0 kVA หรือดีกว่า
สํานักบริหารโครงสร้างพื้นฐานสําคัญทางสารสนเทศ
Hom
น
so
ประธานกรรมการ
กรรมการ
กรรมการ
กรรมการ
กรรมการ
7 | Page
4.1.8.2 เป็นชนิด True online หรือ Double conversion online
4.1.8.3 มีรูปแบบของ Wave Type เป็นแบบ Sine wave หรือดีกว่า
Universal
4.1.8.4 มี Output connection type แบบ 4 IEC 60320 C13 หรือ แบบ NEMA หรือแบบ
4.1.8.5 มี Interface Port(s) แบบ Smart Slot หรือ USB หรือดีกว่า
4.1.9 จัดให้มีระบบอินเทอร์เน็ตสําหรับงานทดสอบเจาะระบบ โดยผู้รับจ้างจะต้องจัดให้มีระบบ อินเทอร์เน็ตแบบ Fixed Public IP สําหรับงานทดสอบเจาะระบบ จํานวน 1 ระบบ เป็นระยะเวลา 1 ปี โดยมีคุณสมบัติอย่างน้อย ดังนี้
4.1.9.1 ความเร็วในการรับข้อมูล (Download) ไม่น้อยกว่า 200 Mbps และความเร็ว
ในการส่งข้อมูล (Upload) ไม่น้อยกว่า 200 Mbps
4.1.9.2 มี Fixed Public IP ไม่น้อยกว่า 1 หมายเลข
4.2 จัดให้มีผู้เชี่ยวชาญดําเนินการปรับปรุงกระบวนการการทดสอบเจาะระบบของ สกมช. ให้รองรับมาตรฐาน ISO/IEC 27001 ตลอดระยะเวลาโครงการ รายละเอียดดังนี้
4.2.1 กําหนดแผนการดําเนินโครงการ (Project Plan) เพื่อยกระดับกรอบการบริหารจัดการความมั่นคง ปลอดภัยสารสนเทศ ให้เป็นไปตามมาตรฐาน ISO/IEC 27001:2022 โดยครอบคลุมขอบเขตการขอรับรอง ได้แก่
“Provision of Penetration Testing services and management of the Internet service infrastructure
of the organization, including back-office application systems hosted on cloud services and on-
premise environments, which are provided and maintained by the Information Technology Office
for internal use within the organization”
4.2.2 จัดทําเอกสารของการดําเนินการของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ให้เป็นไปตามมาตรฐาน ISO/IEC 27001:2022 เพื่อกําหนดกระบวนการดําเนินงานร่วมกับผู้ปฏิบัติงาน โดยมีหัวข้อ ดังนี้
4.2.2.1 ระบบจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System Standard) ซึ่งประกอบด้วยเนื้อหาที่เกี่ยวข้องกับ โครงสร้างและบทบาทหน้าที่ความรับผิดชอบ (ISMS Organization) ครอบคลุมคณะกรรมการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Committee) คณะทํางานพัฒนาระบบบริหารความมั่นคงปลอดสารสนเทศ (ISMS Operation Team) คณะผู้ตรวจสอบ ISMS (ISMS Audit Team) และการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Framework) เป็นต้น
4.2.2.2 แบบวิเคราะห์บริบทขององค์กร (Analysis of Organization Context) ซึ่งประกอบด้วย เนื้อหาที่เกี่ยวข้องกับความจําเป็น ความคาดหวังของผู้ที่เกี่ยวข้อง (Interested parties) และความต้องการ ด้านความมั่นคงปลอดภัยสารสนเทศ (Security requirement) เป็นต้น
4.2.2.3 ทะเบียนทรัพย์สิน (Inventory of Asset) ให้สอดคล้องตามสภาพแวดล้อม
สํานักบริหารโครงสร้างพื้นฐานสําคัญทางสารสนเทศ
Hams
ประธานกรรมการ
26
sunar.
bud
อุ
กรรมการ
กรรมการ
กรรมการ
กรรมการ
8 | Page
4.2.2.4 ขั้นตอนการประเมินความเสี่ยงความมั่นคงปลอดภัยสารสนเทศ (Information Security
Risk Assessment Methodology)
4.2.2.5 ผลการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Risk Profile) แผนลดความเสี่ยง (Risk Treatment Plan)
27001:2022 ดังนี้
Classification)
Procedure)
Procedure)
Procedure)
Procedure)
Procedure)
4.2.2.6 กระบวนการต่าง ๆ (Procedure) โดยสาระสําคัญเป็นไปตามมาตรฐาน ISO/IEC

ขั้นตอนปฏิบัติการควบคุมเอกสาร (Document control procedure)
ขั้นตอนการจัดระดับชั้นความลับและวิธีการควบคุมด้านความมั่นคงปลอดภัย (Data
ขั้นตอนควบคุมความปลอดภัยอุปกรณ์เครือข่าย (Network Security Management

ขั้นตอนการใช้งานระบบสารสนเทศจากระยะไกล (Teleworking Procedure)
5) ขั้นตอนปฏิบัติการทําลายสื่อบันทึกข้อมูล (Media Disposal Procedure) 6) ขั้นตอนปฏิบัติการควบคุมการเข้า-ออกพื้นที่ (Physical Control Procedure)
ขั้นตอนปฏิบัติการบริหารจัดการสิทธิการเข้าถึง (Access Control Procedure) 8) ขั้นตอนปฏิบัติการสํารองและกู้คืนข้อมูลสารสนเทศ (Backup and Restoration
7)
9) ขั้นตอนปฏิบัติการบริหารจัดการการเปลี่ยนแปลง (Change Management
10) ขั้นตอนปฏิบัติการบริหารจัดการเหตุการณ์ไม่พึงประสงค์ (Incident Management
11) ขั้นตอนปฏิบัติการบริหารจัดการผู้ให้บริการภายนอก (Supplier Management
12) ขั้นตอนปฏิบัติการบริหารความต่อเนื่องในการให้บริการด้านเทคโนโลยีสารสนเทศ (IT
13) ขั้นตอนการปฏิบัติงานการตรวจสอบภายใน (Internal ISMS Audit Procedure) 4.2.2.7 เอกสารแสดงการใช้มาตรการ (Statement of Applicability : SOA) ให้เป็นไปตาม
มาตรฐาน ISO/IEC 27001:2022
Continuity Plan)
4.2.2.8 เกณฑ์วัดประสิทธิผลการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Effectiveness
Measurement for ISMS)
สํานักบริหารโครงสร้างพื้นฐานสําคัญทางสารสนเทศ
Hom
26
ประธานกรรมการ
กรรมการ
กรรมการ
กรรมการ
กรรมการ
9 | Page
4.2.3 ผู้เชี่ยวชาญต้องเข้าร่วมสังเกตการณ์ให้คําแนะนําและสนับสนุนข้อมูลในการปรับปรุงกระบวนการ
และเอกสารของการดําเนินการของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ โดยมีหัวข้อ ดังนี้
4.2.3.1 การตรวจประเมินการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ จากผู้ตรวจสอบ
ภายใน (Internal ISMS Audit) ตามกรอบมาตรฐานสากล ISO/IEC 27001:2022
4.2.3.2 การนําเสนอการประชุมทบทวนผู้บริหาร (Management Review Meeting) กับคณะกรรมการที่เกี่ยวข้อง
4.2.3.3 การเตรียมความพร้อม ในขั้นตอนสําหรับการรับการตรวจประเมินเพื่อให้ เป็นไปตามกรอบมาตรฐาน ISO/IEC 27001:2022
4.2.3.4 การจัดทําแผนฯ เพื่อประกอบการปฏิบัติตามเอกสาร Corrective Action Request ที่ผู้ตรวจประเมินจัดส่งให้ระหว่างช่วงเวลาการดําเนินการตรวจประเมินตามมาตรฐาน ISO/IEC 27001:2022
4.2.3.5 จัดหาหน่วยงานตรวจรับรองมาตรฐาน (Certification Body) เข้าตรวจประเมิน ตามมาตรฐาน ISO/IEC 27001:2022
4.2.3.6 เข้าร่วมสังเกตการณ์ และสนับสนุนข้อมูล เพื่อให้ สกมช. สามารถผ่านการตรวจประเมิน ตามมาตรฐาน ISO/IEC 27001:2022 จากหน่วยงานตรวจรับรองมาตรฐาน (Certification Body)
4.2.3.7 ดําเนินการจัดการอบรมให้ความรู้เกี่ยวกับ ISO/IEC 27001:2022 และสรุปผลการ ดําเนินการอบรม ตามรายเอียดดังต่อไปนี้
จํานวน จํานวนผู้เข้าอบรม
หลักสูตร
(วัน)
(คน)
หลักสูตรสร้างความตระหนักรู้ให้แก่บุคลากร
1
10
หลักสูตรข้อกําหนดของมาตรฐาน ISO/IEC 27001:2022
1
10
ระบบบริหารจัดการความมั่นคงปลอดภัยสําหรับสารสนเทศ
หลักสูตรการประยุกต์ใช้มาตรฐาน ISO/IEC 27001:2022
1
10
ระบบบริหารจัดการความมั่นคงปลอดภัยสําหรับสารสนเทศ
การตรวจติดตามภายในระบบมาตรฐานด้านความปลอดภัยของ
2
1
ข้อมูลตามมาตรฐาน ISO/IEC 27001:2022
4.2.4 ผู้เชี่ยวชาญด้านการพัฒนาระบบระบบมาตรฐานความมั่นคงปลอดภัยสารสนเทศ ISO 27001
(Lead Auditor) ต้องมีคุณสมบัติ ดังนี้
4.2.4.1 จบการศึกษาระดับปริญญาโท สาขาเทคโนโลยีสารสนเทศ หรือสาขาที่เกี่ยวข้อง
4.2.4.2 ประสบการณ์ทํางานมากกว่า 10 ปีได้รับประกาศนียบัตร ISO 27001 : 2022 Lead
Auditor
สํานักบริหารโครงสร้างพื้นฐานสําคัญทางสารสนเทศ
Hom
น
ประธานกรรมการ
Araña su
کی
กรรมการ
กรรมการ
กรรมการ
กรรมการ
10 | P a g e
4.3 ผู้รับจ้างต้องจัดให้มีการประชุมเพื่อติดตามและสรุปผลการดําเนินการปรับปรุงกระบวนการการทดสอบเจาะ ระบบของ สกมช. ให้รองรับมาตรฐาน ISO/IEC 27001 ให้กับผู้ว่าจ้าง จํานวนไม่น้อยกว่า 2 ครั้ง โดยต้องมีผู้เชี่ยวชาญ ตามข้อ ๔.๒ เข้าร่วมการประชุมทุกครั้ง และผู้รับจ้างรับผิดชอบค่าใช้จ่ายที่เกิดขึ้นทั้งหมด เช่น อาหารว่าง เอกสาร ประกอบการประชุม เป็นต้น พร้อมสรุปผลรายงานการประชุม
5. ระยะเวลาดําเนินการ
ดําเนินการให้แล้วเสร็จภายใน 240 วัน นับถัดจากวันลงนามในสัญญา
6. ระยะเวลาส่งมอบของหรืองาน
กําหนดการส่งมอบงานหรือสิ่งของ ภายใน 240 วัน นับถัดจากวันลงนามสัญญาจ้าง โดยแบ่งการส่งมอบงาน
เป็น 4 งวด ดังนี้
งวดที่ 1 ภายใน 30 วันนับถัดวันลงนามในสัญญาจ้าง งวดที่ 2 ภายใน 120 วันนับถัดวันลงนามในสัญญาจ้าง งวดที่ 3 ภายใน 180 วันนับถัดวันลงนามในสัญญาจ้าง
งวดที่ 4 (งวดสุดท้าย) ภายใน 240 วันนับถัดวันลงนามในสัญญาจ้าง
7. สถานที่ส่งมอบงาน
ณ สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
8. วงเงินในการจัดหา
4,077,500 บาท (สี่ล้านเจ็ดหมื่นเจ็ดพันห้าร้อยบาทถ้วน) ซึ่งเป็นวงเงินที่รวมภาษีมูลค่าเพิ่มตลอดจน ภาษีอากรอื่นและค่าใช้จ่ายทั้งปวงด้วยแล้ว
9. เงื่อนไขการชําระเงิน
สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ จะชําระเงินตามจํานวน ในสัญญาจ้างภายหลังจากผู้รับจ้างได้ปฏิบัติตามเงื่อนไขสัญญา ถูกต้อง ครบถ้วน และคณะกรรมการตรวจรับพัสดุ ได้ทําการตรวจถูกต้องเรียบร้อยแล้ว โดยจะชําระเงินตามเงื่อนไข ดังนี้
9.1 งวดที่ 1 จํานวนร้อยละ 10 ของวงเงินตามสัญญาจ้าง ภายใน 30 วัน นับถัดจากวันลงนามในสัญญา โดยผู้รับจ้างต้องปฏิบัติงานและส่งมอบงาน ดังนี้
9.1.1 จัดประชุมเริ่มต้นโครงการ (Kick-off Meeting) จํานวน 1 ครั้ง
9.1.2 ส่งมอบแผนการดําเนินโครงการ ตามขอบเขตของงาน ข้อ 4
9.1.3 ส่งมอบแบบการปรับปรุงและตกแต่งห้องปฏิบัติการสําหรับการทดสอบเจาะระบบ (Penetration Testing Lab) ตามขอบเขตของงาน ข้อ 4.1.1 และ 4.1.2
สํานักบริหารโครงสร้างพื้นฐานสําคัญทางสารสนเทศ
น
ประธานกรรมการ
ovat v
29
กรรมการ
กรรมการ
กรรมการ
กรรมการ
11 | P a g e
9.2 งวดที่ 2 จํานวนร้อยละ 40 ของวงเงินตามสัญญาจ้าง ภายใน 120 วัน นับถัดจากวันลงนามในสัญญา โดยผู้รับจ้างต้องปฏิบัติงานและส่งมอบงานครุภัณฑ์พร้อมติดตั้งตามขอบ
งตามขอบเขตของงานข้อ 4.1.1 – 4.1.8 และ รายงานผลการติดตั้งระบบอินเทอร์เน็ตสําหรับงานทดสอบเจาะระบบ ตามขอบเขตของงานข้อ 4.1.9
9.3 งวดที่ 3 จํานวนร้อยละ 25 ของวงเงินตามสัญญาจ้าง ภายใน 180 วัน นับถัดจากวันลงนามในสัญญา โดยผู้รับจ้างต้องปฏิบัติงานและส่งมอบงาน ดังนี้
9.3.1 รายงานการประชุม และรายงานความก้าวหน้า ตามขอบเขตของงาน 4.3
9.3.2 ส่งมอบเอกสารร่างโครงสร้างการบริหารจัดการ และหน้าที่รับผิดชอบของคณะกรรมการบริหาร จัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Committee) และคณะทํางานอื่นที่เกี่ยวข้อง ตามขอบเขตของ
งาน 4.2.2.1
9.3.3 ส่งมอบเอกสารการทบทวนและข้อเสนอแนะ พร้อมทั้งปรับปรุงเอกสาร ที่เกี่ยวข้องกับ ความมั่นคงปลอดภัยสารสนเทศ ตามขอบเขตของงานข้อ 4.2.2.2 – 4.2.2.8
9.4 งวดสุดท้าย จํานวนร้อยละ 25 ของวงเงินตามสัญญาจ้าง ภายใน 240 วัน นับถัดจากวันลงนามในสัญญา โดยผู้รับจ้างต้องปฏิบัติงานและส่งมอบงาน ดังนี้
9.4.1 รายงานการประชุม และรายงานความก้าวหน้า ตามขอบเขตของงาน 4.3
9.4.2 ส่งมอบเอกสารขั้นตอนปฏิบัติ คู่มือ และแบบฟอร์มที่เกี่ยวข้องตามที่มาตรฐาน ISO/IEC 27001:2022 กําหนด โดยประยุกต์ให้สอดคล้องกับการดําเนินงานของ สกมช. และผลการอบรมให้ความรู้ เกี่ยวกับ ISO/IEC 27001:2022 ตามขอบเขตของงานข้อ 4.2.3
10. การจ่ายเงินค่าจ้างล่วงหน้า
ผู้เสนอราคามีสิทธิ์เสนอขอรับเงินค่าจ้างล่วงหน้า ในอัตราไม่เกินร้อยละ 15 ของราคาค่าจ้างตามสัญญา แต่ทั้งนี้จะต้องส่งมอบหลักประกันเงินล่วงหน้า เป็นพันธบัตรรัฐบาลไทยหรือหนังสือค้ําประกันอิเล็กทรอนิกส์ของ ธนาคารในประเทศตามแบบที่ทางราชการกําหนด
11. ค่าปรับ
หากผู้รับจ้างไม่สามารถทํางานให้แล้วเสร็จภายในเวลาที่กําหนดไว้ในสัญญา และผู้ว่าจ้างยังมิได้บอกเลิก
สัญญา ผู้รับจ้างจะต้องชําระค่าปรับให้แก่ผู้ว่าจ้างเป็นรายวันในอัตราร้อยละ 0.10 ของราคาค่าจ้างตามสัญญา แต่ต้องไม่ต่ํากว่าวันละ 100 บาท (หนึ่งร้อยบาทถ้วน)
12. หลักเกณฑ์การพิจารณาการคัดเลือกข้อเสนอ
สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ได้กําหนดเกณฑ์การพิจารณา
ข้อเสนอโดย ใช้เกณฑ์ราคา และจะพิจารณาจากราคารวมต่ําสุด
สํานักบริหารโครงสร้างพื้นฐานสําคัญทางสารสนเทศ
Kis
น
ประธานกรรมการ
กรรมการ
กรรมการ
Dow
กรรมการ
คว
กรรมการ
12 | P a g e
13. การรับประกันความชํารุดบกพร่องของงานจ้าง
ผู้รับจ้างจะต้องรับประกันความชํารุดบกพร่องของงานจ้างที่เกิดขึ้น ภายในกําหนดระยะเวลา 1 ปี นับถัดจากวันที่สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ จะต้องรีบจัดการแก้ไขให้ใช้การได้ดีดังเดิม ภายใน 7 วัน นับถัดจากวันที่ได้รับแจ้งเป็นหนังสือความชํารุดบกพร่องจาก
ผู้ว่าจ้าง
14. เอกสารการยื่นข้อเสนอ
ผู้ยื่นข้อเสนอต้องเสนอเอกสารหลักฐาน แยกเป็น 2 ส่วน คือ
14.1 ส่วนที่ 1 อย่างน้อยต้องมีเอกสารดังต่อไปนี้
14.1.1 ในกรณีผู้ยื่นข้อเสนอเป็นนิติบุคคล
ได้รับมอบงานโดยผู้รับจ้าง

ห้างหุ้นส่วนสามัญหรือห้างหุ้นส่วนจํากัด ให้ยื่นสําเนาหนังสือรับรองการจดทะเบียน
นิติบุคคล บัญชีรายชื่อหุ้นส่วนผู้จัดการ ผู้มีอํานาจควบคุม (ถ้ามี) พร้อมรับรองสําเนาถูกต้อง
บริษัทจํากัดหรือบริษัทมหาชนจํากัด ให้ยื่นสําเนาหนังสือรับรองการจดทะเบียน นิติบุคคล หนังสือบริคณห์สนธิ บัญชีรายชื่อกรรมการผู้จัดการ ผู้มีอํานาจควบคุม (ถ้ามี) และบัญชีผู้ถือหุ้น รายใหญ่ (ถ้ามี) พร้อมรับรองสําเนาถูกต้อง
14.1.2 ในกรณีผู้ยื่นข้อเสนอเป็นบุคคลธรรมดาหรือคณะบุคคลที่มิใช่นิติบุคคลให้ยื่นสําเนาบัตร ประจําตัวประชาชนของผู้นั้น สําเนาข้อตกลงที่แสดงถึงการเข้าเป็นหุ้นส่วน (ถ้ามี) สําเนาบัตรประจําตัวประชาชน ของผู้เป็นหุ้นส่วน หรือสําเนาหนังสือเดินทางของผู้เป็นหุ้นส่วนที่มีได้ถือสัญชาติไทย พร้อมทั้งรับรองสําเนาถูกต้อง
14.1.3 เอกสารเพิ่มเติมอื่น ๆ
สําเนาใบทะเบียนพาณิชย์
สําเนาใบทะเบียนภาษีมูลค่าเพิ่ม ภ.พ. 20 14.2 ส่วนที่ 2 อย่างน้อยต้องมีเอกสารดังต่อไปนี้
14.2.1 ในกรณีที่ผู้ยื่นข้อเสนอมอบอํานาจให้บุคคลอื่นกระทําการแทน ให้แนบหนังสือมอบอํานาจซึ่ง ติดอากรแสตมป์ตามกฎหมาย โดยมีหลักฐานแสดงตัวตนของผู้มอบอํานาจและผู้รับมอบอํานาจ ทั้งนี้
หากผู้รับมอบอาจเป็นบุคคลธรรมดาต้องเป็นผู้บรรลุนิติภาวะตามกฎหมายแล้วเท่านั้น
14.2.2 เอกสารเพิ่มเติมอื่น
ๆ
รายละเอียดตามขอบเขตของงาน ข้อ 4
เอกสารแสดงคุณสมบัติของผู้เชี่ยวชาญดําเนินการปรับปรุงกระบวนการการทดสอบเจาะระบบ ของ สกมช. ให้รองรับมาตรฐาน ISO/IEC 27001 ตามข้อ 4.2.4
เอกสารแสดงมูลค่าสุทธิของกิจการ ตามข้อ 3.12

การคุ้มครองข้อมูลส่วนบุคคล
ในกรณีที่ผู้รับจ้างต้องมีการจัดกิจกรรมหรือดําเนินโครงการ หรือดําเนินงานอื่นใด ที่เกี่ยวข้องกับ การประมวลผลข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผู้รับจ้างต้องทํา ข้อตกลงการประมวลผลข้อมูลส่วนบุคคลกับผู้ว่าจ้าง ทั้งนี้ ภายในระยะเวลาและรูปแบบตามที่ผู้ว่าจ้างกําหนด
สํานักบริหารโครงสร้างพื้นฐานสําคัญทางสารสนเทศ
s
ประธานกรรมการ
لمم
Saña.
กรรมการ
กรรมการ
2
กรรมการ
กรรมการ
การรักษาความลับ
13 | P a g e
ในกรณีที่ผู้รับจ้างต้องจัดกิจกรรมหรือดําเนินโครงการ หรือดําเนินงานอื่นใด หากผู้รับจ้างได้รับข้อมูล ที่เป็นความลับของสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ ผู้รับจ้างมีหน้าที่ต้องรักษา
ความลับและเก็บข้อมูลความลับไว้โดยครบถ้วนและอย่างเคร่งครัด
ผู้รับจ้างต้องแจ้งให้บุคลากร พนักงาน ลูกจ้าง ที่ปรึกษาของผู้รับจ้าง และ/หรือบุคคลภายนอกที่ต้องเกี่ยวข้อง กับข้อมูลที่เป็นความลับนั้นทราบถึงความเป็นความลับและข้อกําจัดสิทธิในการใช้และการเปิดเผยข้อมูล ที่เป็นความลับ และผู้รับจ้างต้องดําเนินการให้บุคคลดังกล่าวต้องผูกพันด้วยสัญญาหรือข้อตกลงเป็นหนังสือ ในการรักษาข้อมูลที่เป็นความลับโดยมีข้อกําหนดเช่นเดียวกับหรือไม่น้อยกว่าข้อกําหนดและเงื่อนไขที่กําหนดไว้
ในสัญญารักษาความลับกับผู้ว่าจ้างด้วย
ผู้รับจ้างต้องใช้มาตรการที่เหมาะสมในการเก็บรักษาข้อมูลที่เป็นความลับ เพื่อป้องกันมิให้ข้อมูลที่เป็นความลับ ถูกนําไปใช้โดยมิได้รับอนุญาตหรือถูกเปิดเผยแก่บุคคลอื่น โดยผู้รับจ้างต้องใช้มาตรการการเก็บรักษาข้อมูล ที่เป็นความลับในระดับเดียวกันหรือไม่ต่ํากว่าที่ผู้รับจ้างใช้กับข้อมูลที่เป็นความลับของตนเอง ทั้งนี้ ต้องไม่ต่ํากว่า
ระดับมาตรฐานตามระเบียบที่ราชการกําหนด
ทั้งนี้ ผู้รับจ้างต้องทําสัญญารักษาความลับกับผู้ว่าจ้าง ภายในระยะเวลาและรูปแบบตามที่ผู้ว่าจ้างกําหนด 17. ข้อสงวนสิทธิ์
17.1 การจัดซื้อจัดจ้างครั้งนี้จะมีการลงนามในสัญญาหรือข้อตกลงเป็นหนังสือได้ต่อเมื่อพระราชบัญญัติ
งบประมาณรายจ่ายประจําปีงบประมาณ พ.ศ. 2569 มีผลใช้บังคับ และได้รับจัดสรรงบประมาณรายจ่าย ประจําปีงบประมาณ พ.ศ. 2569 จากสํานักงบประมาณแล้ว และกรณีที่หน่วยงานไม่ได้รับการจัดสรรงบประมาณ เพื่อการจัดซื้อจัดจ้างในครั้งดังกล่าว หน่วยงานสามารถยกเลิกการจัดซื้อจัดจ้างได้
17.2 สกมช. สงวนสิทธิ์ในการตัดสินวินิจฉัยชี้ขาดปัญหาที่เกิดขึ้นทุกกรณี และให้ถือว่าคําวินิจฉัยของ สกมช. เป็นที่สิ้นสุด ผู้เสนอราคาตลอดจนผู้รับจ้างต้องยอมรับคําวินิจฉัยดังกล่าว โดยไม่มีข้อโต้แย้ง หรือข้อแม้ใดทั้งสิ้น
17.3 การดําเนินงาน ผู้รับจ้างจะต้องไม่ละเมิดลิขสิทธิ์ผลงานของผู้อื่นโดยไม่ได้รับอนุญาต ข้อมูลอันเกิด จากการจัดจ้าง ตลอดจนรายงานสรุปที่จัดทําขึ้นเป็นกรรมสิทธิ์ของ สกมช. ซึ่งผู้รับจ้างจะต้องไม่มอบข้อมูล ในการดําเนินงานให้แก่ผู้ใด รวมทั้งไม่เผยแพร่ข้อมูล รายงานสรุป โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จาก สกมช. ยกเว้นเพื่อประโยชน์ในการศึกษา
17.4 หลังจากทําสัญญาแล้ว ผู้ว่าจ้างขอสงวนสิทธิ์ในการให้ผู้รับจ้างส่งมอบแผนการดําเนินงานกิจกรรมให้ ผู้ว่าจ้างพิจารณาเห็นชอบก่อน ซึ่งผู้ว่าจ้างหรือผู้รับผิดชอบของ สกมช. คงไว้ซึ่งสิทธิที่จะสั่งให้แก้ไขปรับปรุง เปลี่ยนแปลงได้ตามที่เห็นสมควร
สํานักบริหารโครงสร้างพื้นฐานสําคัญทางสารสนเทศ
Hams
ประธานกรรมการ
A
sana bud
กรรมการ
กรรมการ
กรรมการ
กรรมการ
14 | P a g e
17.5 ผู้ว่าจ้าง เป็นเจ้าของลิขสิทธิ์และกรรมสิทธิ์ในผลงานที่ผู้รับจ้างได้จัดทําตามสัญญานี้ ส่วนผู้รับจ้าง
จะนําผลงานและรายละเอียดตามสัญญานี้ไปใช้หรือเผยแพร่ในกิจการอื่น นอกเหนือจากที่ได้ระบุไว้ในสัญญานี้ไม่ได้ เว้นแต่จะได้รับอนุญาตเป็นลายลักษณ์อักษรจากผู้ว่าจ้างก่อน เนื่องจากเป็นพัสดุที่ใช้ในราชการลับหรือ เป็นงานที่ต้องปกปิดเป็นความลับของหน่วยงานของรัฐ หรือที่เกี่ยวกับความมั่นคงของประเทศ
หน่วยงานที่รับผิดชอบ
สํานักบริหารโครงสร้างพื้นฐานสําคัญทางสารสนเทศ สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัย
ไซเบอร์แห่งชาติ
เลขที่ 120 ชั้น 7-11 ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา 5 ธันวาคม 2550 (อาคาร C) ซอยแจ้งวัฒนะ 7 ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร 10210
สํานักบริหารโครงสร้างพื้นฐานสําคัญทางสารสนเทศ
Hon
ประธานกรรมการ
4
กรรมการ
กรรมการ
กรรมการ
ساله و مدیر که
กรรมการ
สํานักบริหารโครงสร้างพื้นฐานสําคัญทางสารสนเทศ
Har
ประธานกรรมการ
46
กรรมการ
ภาคผนวก ก
Brand Sand
กรรมการ
กรรมการ
که او می کر
กรรมการ
15 | Page
0.29 m
3.07 m
4.27 m
Rack
150
1.25 m
0.92 m
1.8 m
1.8 m
1.8 m

0.75
1.17 m
9.5 m
0.68 m
Power Outlet Legend
Symbols
Listener
Ople power
สํานักบริหารโครงสร้างพื้นฐานสําคัญทางสารสนเทศ
Sims
ประธานกรรมการ
26
กรรมการ
3007
1.8 m
9.03 m
0.75 m
Os Fow
ON FRIC
ภาคผนวก ก
+
1.8 m
1.8 m
ก.
กรรมการ
San
กรรมการ
จ
กรรมการ
0.39 m
ro
ET
ปลกตาร
บนเการ
16 | Page
T
0.85 m
0.73 m
HI
0.85 m
0.92 m