จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างฝึกซ้อมรับมือภัยคุกคามทางไซเบอร์ เลขที่ หจก4. 17/2569

การไฟฟ้าฝ่ายผลิตแห่งประเทศไทย 69039146628

฿2,140,000 ปีงบ 2569 ประกาศ 16 มี.ค. 2569 นนทบุรี

รายละเอียดการจ้าง

การไฟฟ้าฝ่ายผลิตแห่งประเทศไทย (กฟผ.) มีความประสงค์จ้างฝึกซ้อมรับมือภัยคุกคามทางไซเบอร์ ภายใต้วงเงินงบประมาณ 2,140,000 บาท (รวมภาษีมูลค่าเพิ่ม) เพื่อให้เป็นไปตามข้อกำหนดของพระราชบัญญัติความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่กำหนดให้หน่วยงานโครงสร้างพื้นฐานของประเทศต้องทบทวนและซักซ้อมแผนรับมือภัยคุกคามทางไซเบอร์อย่างน้อยปีละ 1 ครั้ง

โครงการนี้มีวัตถุประสงค์เพื่อซักซ้อมแผนรับมือ ทบทวนขั้นตอนปฏิบัติ ปรับปรุงมาตรการ พัฒนาทักษะบุคลากร และประเมินความพร้อมของเครื่องมือด้านความมั่นคงปลอดภัยไซเบอร์ของ กฟผ.

ขอบเขตการดำเนินงานแบ่งออกเป็น 4 ส่วนหลัก: 1) การฝึกซ้อมปูพื้นฐานทักษะการป้องกันภัยไซเบอร์ (Defensive Security for Beginners) จำนวน 2 ครั้ง แก่บุคลากรไม่เกิน 70 คนต่อครั้ง พร้อมเนื้อหาตาม MITRE ATT&CK Framework 2) การฝึกความชำนาญทักษะการป้องกันภัยไซเบอร์ (Defensive Security for Experts) จำนวน 1 ครั้ง แก่บุคลากรอย่างน้อย 20 คน ในสภาพแวดล้อมที่จำลองระบบเครือข่ายและเครื่องมือวิเคราะห์ 3) การฝึกซ้อมโดยจำลองเหตุการณ์โจมตีเสมือนจริง (Cyber Drill Exercise) จำนวน 1 ครั้ง ร่วมกับทีม CSIRT ของ กฟผ. และ 4) การจัดหาผู้เชี่ยวชาญ ได้แก่ Drill Master, Incident Handler/Digital Forensic Analyst และ OT Security Expert พร้อมคุณสมบัติและใบรับรองตามที่กำหนดมาดำเนินการฝึกซ้อมทั้งหมด ณ สถานที่ของ กฟผ.

English summary

The Electricity Generating Authority of Thailand (EGAT) intends to procure cybersecurity threat response training services with a total budget of 2,140,000 THB (including VAT). This procurement is in compliance with the Cybersecurity Act B.E. 2562 (2019), which mandates that national critical infrastructure agencies review and drill their cyber threat response plans at least once a year.

The project aims to rehearse response plans, review procedures, improve measures, develop personnel skills, and assess the readiness of EGAT’s cybersecurity tools.

The scope of work is divided into four main parts: 1) Two sessions of Defensive Security for Beginners training for up to 70 personnel per session, covering content based on the MITRE ATT&CK Framework. 2) One session of Defensive Security for Experts training for at least 20 personnel, using a simulated environment with network systems and analysis tools. 3) One Cyber Drill Exercise involving EGAT’s CSIRT team, simulating real-world attack scenarios. 4) Provision of qualified experts, including Drill Masters, Incident Handlers/Digital Forensic Analysts, and OT Security Experts with specified certifications and experience to conduct all training sessions at EGAT’s premises.

สถานที่ดำเนินการ

กฟผ. สำนักงานใหญ่

คำสำคัญ

ฝึกซ้อมรับมือภัยคุกคามทางไซเบอร์Cyber Drill การฝึกอบรมความปลอดภัยไซเบอร์MITRE ATT&CK Defensive Security Incident Response Training CSIRT Cybersecurity Training การไฟฟ้าฝ่ายผลิตแห่งประเทศไทย กฟผ.OT Security

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

เพื่อซักซ้อมแผนการซ้อมรับมือภัยคุกคามทางไซเบอร์ตามพระราชบัญญัติความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
เพื่อทบทวนและซักซ้อมขั้นตอนปฏิบัติเมื่อเผชิญเหตุภัยคุกคามทางไซเบอร์ของแต่ละหน่วยงาน
เพื่อปรับปรุงมาตรการและขั้นตอนปฏิบัติเมื่อเผชิญเหตุภัยคุกคามทางไซเบอร์ให้มีประสิทธิผลเพิ่มขึ้นในการควบคุมผลกระทบที่มีต่อภารกิจขององค์กรเมื่อเกิดเหตุภัยคุกคามทางไซเบอร์
เพื่อพัฒนาทักษะและความคุ้นเคยในการเผชิญเหตุภัยคุกคามทางไซเบอร์
เพื่อประเมินความพร้อมของเครื่องมือและเทคโนโลยีที่ใช้รักษาความมั่นคงปลอดภัยไซเบอร์

ขอบเขตของงาน

1. การฝึกซ้อมปูพื้นฐานทักษะ (Defensive Security for Beginners) จำนวน 2 ครั้ง:

จัดฝึกซ้อมกับบุคลากร กฟผ. ไม่เกิน 70 ท่านต่อครั้ง
แบ่งการฝึกซ้อมออกเป็นรอบตามที่ กฟผ. กำหนด
มีการสอนภาคทฤษฎีอย่างน้อย 1 วัน และภาคปฏิบัติอย่างน้อย 1 วัน
สภาพแวดล้อมจำลองต้องรองรับผู้ฝึกซ้อมทั้งหมดพร้อมกันได้ โดยแยกขาดจากกัน
เนื้อหาบทเรียนต้องครอบคลุม Windows Penetration Testing, Introduction to C2, Sysmon, Windows Event Logs, Log Analysis, PCAP Analysis และสถานการณ์จำลองประกอบด้วยอย่างน้อย 5 เทคนิคการโจมตีตาม MITRE ATT&CK Framework (ครั้งที่ 2 ไม่ซ้ำกับครั้งที่ 1)
ผู้รับจ้างต้องนำเสนอสถานการณ์ ข้อมูล เอกสาร และคู่มือให้ กฟผ. ตรวจสอบและเห็นชอบก่อนดำเนินการ
ผู้รับจ้างต้องจัดทำรายงานผลการฝึกซ้อมตามเนื้อหาที่กำหนด

2. การฝึกความชำนาญทักษะ (Defensive Security for Experts) จำนวน 1 ครั้ง:

ฝึกซ้อมกับบุคลากร กฟผ. อย่างน้อย 20 ท่าน
สภาพแวดล้อมจำลองต้องรองรับผู้ฝึกซ้อมอย่างน้อย 20 ท่านพร้อมกัน
ระบบฝึกซ้อมต้องมีการจำลองเครือข่ายปิด (Pre-defined Network System), Servers, SIEM, Analysis Machine
มีเครื่องมือวิเคราะห์เหตุการณ์ เช่น SIEM, Network Forensic Tool, Windows Forensic Tool หรือเทียบเท่า
ระบบสามารถจำลองและใช้ Logs ต่างๆ (เช่น Windows Logs, PCAP File) ได้
ระบบต้องมีเหตุการณ์การโจมตีเสมือนจริงประกอบด้วยอย่างน้อย 5 รูปแบบการโจมตีตาม MITRE ATT&CK Framework
ใช้เวลาฝึกซ้อมอย่างน้อย 1 วัน
ผู้รับจ้างต้องนำเสนอสถานการณ์ ข้อมูล เอกสาร และคู่มือให้ กฟผ. ตรวจสอบและเห็นชอบก่อนดำเนินการ และจัดทำรายงานผล

3. การฝึกซ้อมโดยจำลองเหตุการณ์โจมตีเสมือนจริง (Cyber Drill Exercise) จำนวน 1 ครั้ง:

ฝึกซ้อมกับทีมตอบสนองเหตุภัยคุกคามทางไซเบอร์ (CSIRT) ของ กฟผ.
ต้องจำลองเหตุการณ์โจมตีไปที่ระบบที่ กฟผ. กำหนด ประกอบด้วยอย่างน้อย 5 เทคนิคการโจมตีตาม MITRE ATT&CK Framework
ต้องใช้การจำลองเหตุการณ์โจมตีและวิเคราะห์ด้วยบุคคล (Manual Test) ไม่ให้ใช้เครื่องมืออัตโนมัติเพียงอย่างเดียว
ผู้รับจ้างต้องนำเสนอการจำลองเหตุการณ์โจมตีให้ กฟผ. ตรวจสอบและเห็นชอบก่อนดำเนินการ
ผู้รับจ้างต้องจัดทำรายงานผลการดำเนินการและบทสรุปในรูปแบบแผนภาพเชื่อมโยงเหตุการณ์

4. การจัดหาผู้เชี่ยวชาญ:

Drill Master: อย่างน้อย 2 ท่านต่อการฝึกแต่ละครั้ง ต้องมีคุณสมบัติตามข้อ 4 (วุฒิการศึกษาเกี่ยวข้อง, ประสบการณ์ Cyber Drill Exercise อย่างน้อย 2 ปี, มี Certificate ตามรายการที่กำหนดอย่างน้อย 2 รายการ)
Incident Handler / Digital Forensic Analyst: อย่างน้อย 1 ท่านต่อการฝึกแต่ละครั้ง ต้องมีคุณสมบัติตามข้อ 5 (วุฒิการศึกษาเกี่ยวข้อง, ประสบการณ์ด้านรับมือเหตุหรือ Digital Forensic อย่างน้อย 5 ปี, มี Certificate ตามรายการที่กำหนดอย่างน้อย 2 รายการ)
OT Security Expert: อย่างน้อย 1 ท่าน ต้องมีคุณสมบัติตามข้อ 6 (วุฒิการศึกษาเกี่ยวข้อง, ประสบการณ์ด้าน OT Security อย่างน้อย 1 ปี, มี Certificate ตามรายการที่กำหนดอย่างน้อย 1 รายการ)

5. งานบริหารโครงการ:

นำเสนอแผนการดำเนินงาน วิธีการดำเนินงาน (Approach and Methodology) โครงสร้างทีมงาน (Project Organization) และผลงานที่คาดว่าจะได้รับ (Output) ให้ กฟผ. เห็นชอบก่อนเริ่มงาน
แต่งตั้งผู้แทนรับผิดชอบและประสานงานกับ กฟผ.
ประสานงานและทำงานร่วมกับคณะทำงานของ กฟผ. รวมถึงถ่ายทอดเทคโนโลยีและกระบวนการ
ดำเนินการตามแผนงานฝึกซ้อมที่ กฟผ. กำหนด
รับผิดชอบค่าใช้จ่ายเบ็ดเตล็ด เช่น ค่าอาหารและเครื่องดื่ม

สิ่งที่ต้องส่งมอบ

งวดที่ 1 (ภายใน 90 วัน นับจากวันลงนาม):

แผนการดำเนินงาน วิธีการดำเนินงาน (Approach and Methodology) โครงสร้างทีมงาน (Project Organization) และผลงานที่คาดว่าจะได้รับ (Output)
แผนดำเนินการและรายละเอียดการฝึกซ้อมปูพื้นฐานทักษะด้านการป้องกันภัยไซเบอร์ ครั้งที่ 1 (ไฟล์ Word และ PDF)
เอกสารนำเสนอสำหรับการฝึกซ้อมปูพื้นฐานทักษะ ครั้งที่ 1 (ไฟล์ PowerPoint และ PDF)
สิทธิ์การเข้าใช้งานฝึกซ้อม (หากจำเป็น) พร้อมระยะเวลาอย่างน้อย 30 วัน สำหรับผู้เข้าร่วมทั้งหมด
รายงานผลการฝึกซ้อมปูพื้นฐานทักษะ ครั้งที่ 1 (ไฟล์ Word และ PDF)

งวดที่ 2 (ภายใน 135 วัน นับจากวันลงนาม):

แผนดำเนินการและรายละเอียดการฝึกซ้อมปูพื้นฐานทักษะด้านการป้องกันภัยไซเบอร์ ครั้งที่ 2 (ไฟล์ Word และ PDF)
เอกสารนำเสนอสำหรับการฝึกซ้อมปูพื้นฐานทักษะ ครั้งที่ 2 (ไฟล์ PowerPoint และ PDF)
สิทธิ์การเข้าใช้งานฝึกซ้อม (หากจำเป็น) พร้อมระยะเวลาอย่างน้อย 30 วัน สำหรับผู้เข้าร่วมทั้งหมด
รายงานผลการฝึกซ้อมปูพื้นฐานทักษะ ครั้งที่ 2 (ไฟล์ Word และ PDF)

งวดที่ 3 (ภายใน 180 วัน นับจากวันลงนาม):

แผนดำเนินการและรายละเอียดการฝึกซ้อมฝึกความชำนาญทักษะด้านการป้องกันภัยไซเบอร์ (ไฟล์ Word และ PDF)
เอกสารนำเสนอสำหรับการฝึกซ้อมฝึกความชำนาญทักษะ (ไฟล์ PowerPoint และ PDF)
สิทธิ์การเข้าใช้งานฝึกซ้อม (หากจำเป็น) พร้อมระยะเวลาอย่างน้อย 30 วัน สำหรับผู้เข้าร่วมทั้งหมด
รายงานผลการฝึกซ้อมฝึกความชำนาญทักษะ (ไฟล์ Word และ PDF)

งวดที่ 4 (ภายในวันที่ 18 ธันวาคม 2569):

แผนดำเนินการและรายละเอียดการฝึกซ้อมโดยการจำลองเหตุการณ์โจมตีในลักษณะเสมือนจริง (ไฟล์ Word และ PDF)
รายงานผลการฝึกซ้อมโดยจำลองเหตุการณ์โจมตีในลักษณะเสมือนจริง (ไฟล์ Word และ PDF)

ระยะเวลาดำเนินการ

โครงการมีระยะเวลาดำเนินการส่งมอบงาน 4 งวด โดยเริ่มนับจากวันลงนามในสัญญา:

งวดที่ 1: ภายใน 90 วัน
งวดที่ 2: ภายใน 135 วัน
งวดที่ 3: ภายใน 180 วัน
งวดที่ 4: ภายในวันที่ 18 ธันวาคม 2569 (วันที่ส่งมอบงานงวดสุดท้าย)

คุณสมบัติผู้เสนอราคา

Eligibility Requirements: ผู้ยื่นข้อเสนอต้องเป็นนิติบุคคลที่จดทะเบียนในประเทศไทยถูกต้องตามกฎหมาย ซึ่งประกอบธุรกิจเป็นผู้ตรวจสอบระบบหรือเป็นที่ปรึกษาที่เกี่ยวข้องกับด้านเทคโนโลยีสารสนเทศ เป็นเวลาไม่น้อยกว่า 3 ปี นับถึงวันเสนอราคา
Standards Compliance: ผู้รับจ้างต้องปฏิบัติตามมาตรฐาน ISO/IEC 27001 และพระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 (ตามข้อกําหนดด้านความมั่นคงปลอดภัยไซเบอร์สําหรับผู้ให้บริการภายนอก)
Experience: ไม่ได้ระบุประสบการณ์โครงการในอดีต (ปี/มูลค่า) เพิ่มเติมจากคุณสมบัติพื้นฐานด้านล่าง
Previous Project Cost: ไม่ได้ระบุ
Technical Capabilities: ต้องสามารถจัดเตรียมและจัดการสภาพแวดล้อมจำลองสำหรับการฝึกซ้อมได้ตามข้อกำหนดทางเทคนิคทั้งหมดในขอบเขตงาน (เช่น ระบบจำลองเครือข่าย, SIEM, Analysis Tools, การรองรับผู้ใช้งานพร้อมกัน)
Personnel:
- Drill Master: อย่างน้อย 2 ท่านต่อการฝึก แต่ละท่านต้องมี:
  - วุฒิการศึกษาปริญญาตรี/โท/เอก สาขาที่เกี่ยวข้องกับคอมพิวเตอร์, เทคโนโลยีสารสนเทศ, ไฟฟ้า, โทรคมนาคม หรืออิเล็กทรอนิกส์
  - ประสบการณ์ทำงานด้านการซ้อมรับมือเหตุภัยคุกคามทางไซเบอร์ในรูปแบบ Cyber Drill Exercise สำหรับหน่วยงานภาครัฐหรือเอกชนในประเทศไทย อย่างน้อย 2 ปี
  - มีประกาศนียบัตรรับรองคุณวุฒิ (Certificate) ที่ยังไม่หมดอายุ อย่างน้อย 2 รายการจาก: CompTIA Security+, CompTIA CySA+, CompTIA SecurityX หรือ CompTIA CASP+, eLearnSecurity Certified Incident Responder (eCIR), Offensive Security Certified Professional (OSCP)
- Incident Handler / Digital Forensic Analyst: อย่างน้อย 1 ท่านต่อการฝึก ต้องมี:
  - วุฒิการศึกษาปริญญาตรี/โท/เอก สาขาที่เกี่ยวข้อง (ตามรายการด้านบน)
  - ประสบการณ์การทำงานด้านการรับมือเหตุภัยคุกคามทางไซเบอร์หรือด้านการพิสูจน์หลักฐานทางดิจิทัล สำหรับหน่วยงานภาครัฐหรือเอกชนในประเทศไทย อย่างน้อย 5 ปี
  - มีประกาศนียบัตรรับรองคุณวุฒิ (Certificate) ที่ยังไม่หมดอายุ อย่างน้อย 2 รายการจาก: CISSP, CHFI, OSCP, GCIH, GPEN, GDAT
- OT Security Expert: อย่างน้อย 1 ท่าน ต้องมี:
  - วุฒิการศึกษาปริญญาตรี/โท/เอก สาขาที่เกี่ยวข้อง (ตามรายการด้านบน)
  - ประสบการณ์การทำงานเกี่ยวกับความปลอดภัยเทคโนโลยีปฏิบัติการ (OT Security) สำหรับหน่วยงานภาครัฐหรือเอกชนในประเทศไทย อย่างน้อย 1 ปี
  - มีประกาศนียบัตรรับรองคุณวุฒิ (Certificate) ที่ยังไม่หมดอายุ อย่างน้อย 1 รายการจาก: EC-Council ICS/SCADA Cybersecurity, GIAC GICSP
- หมายเหตุ: บุคลากรทั้งสามประเภทต้องไม่เป็นคนเดียวกัน

เกณฑ์การพิจารณา

กฟผ. จะพิจารณาตัดสินโดยใช้หลักเกณฑ์ราคา (Price-Based) โดยรับราคาจากผู้ยื่นข้อเสนอรายที่เสนอรายละเอียดถูกต้องตามข้อกำหนดของ กฟผ. และมีราคารวมต่ำสุด

ผู้ยื่นข้อเสนอต้องเสนอราคาให้ครบถ้วนตามขอบเขตของงาน (TOR)
หากผู้ยื่นข้อเสนอราคาต่ำสุด เสนอราคาต่ำจนคาดหมายได้ว่าไม่อาจดำเนินงานตาม TOR ได้ กฟผ. จะให้ชี้แจงและแสดงหลักฐาน หากคำชี้แจงไม่เป็นที่รับฟังได้ กฟผ. มีสิทธิที่จะไม่รับข้อเสนอหรือไม่รับราคาของผู้ยื่นข้อเสนอรายนั้น

ข้อกำหนดทางเทคนิค

1. สภาพแวดล้อมจำลองสำหรับการฝึกปูพื้นฐาน (Defensive Security for Beginners):

ต้องรองรับผู้ฝึกซ้อมได้พร้อมกันตามจำนวนที่กำหนด (ไม่เกิน 70 ท่าน) และแยกสภาพแวดล้อมสำหรับผู้ฝึกแต่ละท่านได้
ระบบปฏิบัติการของเครื่องวิเคราะห์ (Analysis Machine): Windows
เนื้อหาบทเรียนขั้นต่ำ: Windows Penetration Testing, Introduction to Command and Control (C2), Sysmon, Windows Event Logs, Log Analysis, PCAP Analysis
ต้องสามารถจำลองและใช้งานได้: Windows Penetration Testing, C2, ระบบสำหรับการโจมตี (Kali), Windows Logs, Packet Captures (PCAP)
สถานการณ์จำลอง: ประกอบด้วยอย่างน้อย 5 เทคนิคการโจมตีตาม MITRE ATT&CK Framework (ครั้งที่ 2 ไม่ซ้ำกับครั้งที่ 1)

2. สภาพแวดล้อมจำลองสำหรับการฝึกความชำนาญ (Defensive Security for Experts):

ต้องรองรับผู้ฝึกซ้อมพร้อมกันอย่างน้อย 20 ท่าน
ระบบต้องประกอบด้วย: เครือข่ายระบบปิดสำหรับใช้ฝึก (Pre-defined Network System), การจำลอง Servers, SIEM, Analysis Machine
เครื่องมือวิเคราะห์เหตุการณ์ (Analysis tools) ขั้นต่ำหรือเทียบเท่า: SIEM, Network Forensic Tool, Windows Forensic Tool
ระบบสามารถจำลองและใช้ Logs ต่างๆ ได้ เช่น Windows Logs, PCAP File
ระบบต้องมีเหตุการณ์การโจมตีเสมือนจริง ประกอบด้วยอย่างน้อย 5 รูปแบบการโจมตีตาม MITRE ATT&CK Framework

3. การฝึกซ้อมจำลองเหตุการณ์โจมตีเสมือนจริง (Cyber Drill Exercise):

ต้องจำลองเหตุการณ์โจมตีไปที่ระบบที่ กฟผ. กำหนด
ต้องประกอบด้วยอย่างน้อย 5 เทคนิคการโจมตีตาม MITRE ATT&CK Framework
ต้องใช้การจำลองเหตุการณ์โจมตีและวิเคราะห์ด้วยบุคคล (Manual Test) ไม่ให้ใช้เครื่องมืออัตโนมัติเพียงอย่างเดียว (Automatic Test Tool)

4. ข้อกำหนดด้านความปลอดภัยไซเบอร์สำหรับผู้ให้บริการ:

การเข้าถึงข้อมูล: ใช้หลัก Need-to-Know Basis, มี Authentication/Authorization, ใช้ MFA สำหรับระบบสำคัญ
การจัดเก็บข้อมูล: เข้ารหัสข้อมูลทั้งขณะจัดเก็บ (Data-at-Rest) และส่งผ่าน (Data-in-Transit), มีการสำรองข้อมูล
การสื่อสารข้อมูล: ใช้การเข้ารหัสมาตรฐาน (TLS/SSL), ใช้ VPN ที่ปลอดภัยสำหรับข้อมูลสำคัญ
การจัดการ: อัปเดตซอฟต์แวร์และแพตช์ความปลอดภัยสม่ำเสมอ, มีการตรวจสอบและบันทึกการเข้าถึง (Logging)
การจัดการเหตุการณ์: รายงานเหตุการณ์ร้ายแรงให้ กฟผ. ทราบภายใน 24 ชม., แจ้งแผนการตอบสนองเหตุการณ์, ร่วมมือกับ กฟผ. ในการตรวจสอบและแก้ไขปัญหา

เงื่อนไขสัญญา

วงเงินสัญญา: 2,140,000 บาท (รวม VAT)
หลักประกันสัญญา: ร้อยละ 5 ของมูลค่าตามสัญญา
การจ่ายเงิน: แบ่งเป็น 4 งวด
- งวดที่ 1: 15% ของราคาตามสัญญา หลังส่งมอบงานงวดที่ 1 และตรวจรับแล้ว
- งวดที่ 2: 15% ของราคาตามสัญญา หลังส่งมอบงานงวดที่ 2 และตรวจรับแล้ว
- งวดที่ 3: 35% ของราคาตามสัญญา หลังส่งมอบงานงวดที่ 3 และตรวจรับแล้ว
- งวดที่ 4: 35% ของราคาตามสัญญา หลังส่งมอบงานงวดที่ 4 และตรวจรับแล้ว
บทปรับ:
- ปรับงานส่งมอบล่าช้า: ร้อยละ 0.1 ของราคางานต่องวดที่ยังไม่ได้ส่งมอบ (รวม VAT) ต่อวัน จนกว่าจะส่งมอบงาน
- ปรับการจ้างช่วงโดยไม่ได้รับอนุญาต: ร้อยละ 10 ของวงเงินงานจ้างช่วงนั้น (โดยไม่ตัดสิทธิ กฟผ. ในการบอกเลิกสัญญา)
การตรวจรับ: กฟผ. จะตรวจรับเมื่องานที่ส่งมอบถูกต้องครบถ้วนตามสัญญา และคณะกรรมการตรวจรับได้ลงนาม
ลิขสิทธิ์: ผู้รับจ้างต้องส่งมอบงานพร้อมลิขสิทธิ์ต่าง ๆ ให้ กฟผ. และไม่มีสิทธิ์เผยแพร่หากมิได้รับอนุญาตจาก กฟผ.

คำถามที่พบบ่อย (FAQ)

Q: ผู้เข้าร่วมฝึกซ้อมเป็นบุคลากรส่วนใดของ กฟผ.?
A: จาก TOR ระบุว่าเป็นบุคลากรของ กฟผ. จากส่วนงานเทคโนโลยีปฏิบัติการและงานเทคโนโลยีสารสนเทศ และทีม CSIRT สำหรับการฝึกซ้อมแบบเสมือนจริง
Q: สถานที่ดำเนินการฝึกซ้อมอยู่ที่ไหน?
A: การฝึกซ้อมทั้งหมดจะดำเนินการ ณ สถานที่ที่ กฟผ. จัดให้ ซึ่งจากเอกสารแนบท้ายระบุว่าอยู่ที่ กฟผ. สำนักงานใหญ่
Q: ผู้รับจ้างต้องจัดหาอุปกรณ์ Hardware หรือ Software อะไรบ้าง?
A: ผู้รับจ้างต้องรับผิดชอบจัดเตรียมระบบฝึกซ้อมในสภาพแวดล้อมจำลองทั้งหมด รวมถึงสิทธิ์การใช้งานซอฟต์แวร์/แพลตฟอร์มที่จำเป็นสำหรับการฝึกซ้อม (หากมี) ให้เพียงพอกับจำนวนผู้เข้าร่วม
Q: ระยะเวลาในการใช้งานแพลตฟอร์ม/สิทธิ์ฝึกซ้อมหลังจากวันฝึกเป็นอย่างไร?
A: แต่ละสิทธิ์การเข้าใช้งานฝึกซ้อม (หากจำเป็น) ต้องมีระยะเวลาการเข้าใช้งานได้อย่างน้อย 30 วัน นับจากวันที่ดำเนินการฝึกซ้อมในแต่ละครั้งแล้วเสร็จ
Q: รายงานผลการฝึกซ้อมต้องมีเนื้อหาอะไรบ้าง?
A: อย่างน้อยต้องมี ระยะเวลาที่ใช้ตอบสนอง, การเปรียบเทียบระยะเวลาจากเวลาที่กำหนด, จำนวนรูปแบบเทคนิคภัยคุกคามที่ฝึกซ้อมตาม MITRE ATT&CK, ขั้นตอนการตอบสนองของผู้ฝึก, และแนวทางการพัฒนาผู้ฝึก
Q: การฝึกซ้อมแบบเสมือนจริง (Cyber Drill Exercise) แตกต่างจากการฝึกซ้อมอื่นอย่างไร?
A: การฝึกซ้อมนี้จะจำลองเหตุการณ์โจมตีไปยังระบบจริงของ กฟผ. (ตามที่กำหนด) โดยใช้การทดสอบด้วยบุคคล (Manual Test) เป็นหลัก และมุ่งเน้นการทำงานร่วมกับทีม CSIRT โดยตรง เพื่อประเมินแผนและกระบวนการตอบสนองเหตุการณ์จริง
Q: มีข้อกำหนดด้านความปลอดภัย (Safety) อะไรสำหรับผู้รับจ้างบ้าง?
A: ผู้รับจ้างต้องดำเนินการตามระเบียบ กฟผ. ฉบับที่ 396 ว่าด้วยการจัดการความปลอดภัยผู้รับจ้าง (บัญชี 3-5) ซึ่งเป็นเอกสารแนบ และปฏิบัติตามกฎความปลอดภัยของ กฟผ.
Q: ผู้รับจ้างต้องปกป้องข้อมูลของ กฟผ. อย่างไร?
A: ผู้รับจ้างต้องปฏิบัติตาม “ข้อกำหนดการรักษาข้อมูลที่เป็นความลับ” และ “ข้อกำหนดด้านความมั่นคงปลอดภัยไซเบอร์สำหรับผู้ให้บริการภายนอก” ซึ่งเป็นส่วนหนึ่งของสัญญา ครอบคลุมการเข้าถึง การจัดเก็บ การสื่อสาร และการรายงานเหตุการณ์
Q: หากการฝึกซ้อมจำเป็นต้องเลื่อนออกไป ผู้รับจ้างต้องทำอย่างไร?
A: TOR ไม่ได้ระบุกรณีนี้โดยตรง แต่กำหนดให้ผู้รับจ้างต้องดำเนินการตามแผนงานที่ กฟผ. กำหนด ซึ่ง กฟผ. จะแจ้งให้ทราบในภายหลัง การเปลี่ยนแปลงใดๆ น่าจะต้องมีการประสานงานและตกลงร่วมกัน
Q: ผู้รับจ้างสามารถใช้บุคลากรคนเดียวกันเป็น Drill Master และ Instructor ในภาคปฏิบัติได้หรือไม่?
A: ได้ ตราบใดที่บุคลากรนั้นมีคุณสมบัติตรงตามข้อกำหนดของ Drill Master (ข้อ 4) และเป็นผู้สอนตามที่ระบุในขอบเขตงาน อย่างไรก็ตาม บุคลากรนั้นต้องไม่ใช่คนเดียวกันกับผู้เชี่ยวชาญตามข้อ 5 และข้อ 6

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

ขอบเขตของงาน (TOR)
จ้างฝึกซ้อมรับมือภัยคุกคามทางไซเบอร์
ด้วย การไฟฟ้าฝ่ายผลิตแห่งประเทศไทย (กฟผ.) มีความประสงค์จะจัดจ้างฝึกซ้อมรับมือภัยคุกคาม ทางไซเบอร์วงเงินงบประมาณรวมภาษีมูลค่าเพิ่ม 2,140,000 บาท โดยมีรายละเอียดสาระส าคัญของขอบเขต ของงาน (TOR) และคุณลักษณะเฉพาะของพัสดุ ดังต่อไปนี้.-

ความเป็นมา
เนื่องด้วยพระราชบัญญัติความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 ได้ก าหนดแนวทางการรับมือกับภัย คุกคามทางไซเบอร์โดยให้คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติเป็นผู้ประกาศก าหนด รายละเอียดของลักษณะภัยคุกคามทางไซเบอร์ มาตรการป้องกัน รับมือ ประเมิน ปราบปราม และระงับภัย คุกคามทางไซเบอร์แต่ละระดับ ทั้งนี้ได้มีการก าหนดให้หน่วยงานโครงสร้างพื้นฐานของประเทศทบทวนและ ซักซ้อมแผนการซ้อมรับมือภัยคุกคามทางไซเบอร์อย่างน้อยปีละ 1 ครั้ง
การไฟฟ้าฝ่ายผลิตแห่งประเทศไทย (กฟผ.) จึงได้ด าเนินการทบทวนและฝึกซ้อมรับมือภัยคุกคามทาง ไซเบอร์กับส่วนงานเทคโนโลยีปฏิบัติการและงานเทคโนโลยีสารสนเทศในทุก ๆ ปี เพื่อให้เป็นไปตาม พระราชบัญญัติความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และลดความเสี่ยงที่อาจเกิดขึ้นจากภัยคุกคาม ทางด้านไซเบอร์และผลกระทบกับภารกิจของ กฟผ.
วัตถุประสงค์
2.1 เพื่อซักซ้อมแผนการซ้อมรับมือภัยคุกคามทางไซเบอร์ตามพระราชบัญญัติความมั่นคงปลอดภัย ไซเบอร์ พ.ศ. 2562
2.2 เพื่อทบทวนและซักซ้อมขั้นตอนปฏิบัติเมื่อเผชิญเหตุภัยคุกคามทางไซเบอร์ของแต่ละหน่วยงาน 2.3 เพื่อปรับปรุงมาตรการและขั้นตอนปฏิบัติเมื่อเผชิญเหตุภัยคุกคามทางไซเบอร์ให้มีประสิทธิผล เพิ่มขึ้นในการควบคุมผลกระทบที่มีต่อภารกิจขององค์กรเมื่อเกิดเหตุภัยคุกคามทางไซเบอร์ 2.4 เพื่อพัฒนาทักษะและความคุ้นเคยในการเผชิญเหตุภัยคุกคามทางไซเบอร์
2.5 เพื่อประเมินความพร้อมของเครื่องมือและเทคโนโลยีที่ใช้รักษาความมั่นคงปลอดภัยไซเบอร์
คุณสมบัติของผู้ยื่นข้อเสนอ
3.1 เป็นไปตามเอกสารประกวดราคาจ้างด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ ข้อ 2 “คุณสมบัติ ของผู้ยื่นข้อเสนอ”
3.2 ผู้ยื่นข้อเสนอต้องเป็นนิติบุคคลที่จดทะเบียนในประเทศไทยถูกต้องตามกฎหมาย ซึ่งประกอบธุรกิจ เป็นผู้ตรวจสอบระบบหรือเป็นที่ปรึกษาที่เกี่ยวข้องกับด้านเทคโนโลยีสารสนเทศ เป็นเวลาไม่น้อยกว่า 3 ปี นับถึงวันเสนอราคาด้วยวิธีประกวดราคาอิเล็กทรอนิกส์
ขอบเขตการด าเนินงาน
ตามเอกสารแนบ จ านวน 6 แผ่น
เอกสารประกอบการยื่นข้อเสนอ
ผู้ยื่นข้อเสนอต้องยื่นเอกสารอย่างน้อยดังต่อไปนี้ เพื่อประกอบการพิจารณาในวันที่ก าหนดยื่นข้อเสนอ ผ่านทางระบบจัดซื้อจัดจ้างภาครัฐอิเล็กทรอนิกส์
1/5
5.1 เป็นไปตามข้อ 3. หลักฐานการยื่นข้อเสนอของเอกสารประกวดราคาจ้างด้วยวิธีประกวดราคา อิเล็กทรอนิกส์ (e-bidding)
5.2 เอกสารข้อเสนอรายละเอียดทางด้านเทคนิคในข้อ 4 ข้อ 5 และข้อ 6 ตามข้อก าหนดและขอบเขต งานจ้าง (เอกสารแนบ)
ผู้ยื่นข้อเสนอที่มีคุณสมบัติไม่ถูกต้อง หรือเอกสารประกอบการยื่นข้อเสนอไม่ถูกต้อง หรือไม่ครบถ้วน หรือยื่นข้อเสนอไม่ถูกต้อง คณะกรรมการพิจารณาผลการประกวดราคาอิเล็กทรอนิกส์จะไม่รับพิจารณา ข้อเสนอของผู้ยื่นข้อเสนอรายนั้น
หลักเกณฑ์การเสนอราคา
6.1 เป็นไปตามข้อ 4. การเสนอราคาของเอกสารประกวดราคาจ้างด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ (e-bidding)
6.2 ราคาที่เสนอจะต้องเสนอก าหนดยืนราคาไม่น้อยกว่า 90 วัน ตั้งแต่วันเสนอราคา โดยภายใน ก าหนดยืนราคา ผู้ยื่นข้อเสนอต้องรับผิดชอบราคาที่ตนได้เสนอไว้ และจะถอนการเสนอราคามิได้ 6.3 ภายหลังการเสนอราคา ผู้ยื่นข้อเสนอรายที่ผ่านเกณฑ์การพิจารณาจะต้องแจกแจงรายละเอียด ของราคาให้ กฟผ. ทราบอย่างชัดเจน (ถ้ามี)
หลักเกณฑ์การพิจารณา
7.1 เป็นไปตามหัวข้อหลักเกณฑ์และสิทธิในการพิจารณาของเอกสารประกวดราคาจ้างด้วยวิธี ประกวดราคาอิเล็กทรอนิกส์ (e-bidding)
7.2 กฟผ. จะพิจารณาตัดสินโดยใช้หลักเกณฑ์ราคา โดยรับราคาผู้ยื่นข้อเสนอรายที่เสนอรายละเอียด ถูกต้องตามข้อก าหนด กฟผ. และมีราคารวมต่ าสุด
7.3 ผู้ยื่นข้อเสนอต้องเสนอราคาให้ครบถ้วนตามขอบเขตของงาน
7.4 กรณีที่ผู้ยื่นข้อเสนอรายที่เสนอราคาต่ าสุด เสนอราคาต่ าจนคาดหมายได้ว่าไม่อาจด าเนินงานตาม ขอบเขตของงาน (TOR) ได้ กฟผ. จะให้ผู้ยื่นข้อเสนอนั้นชี้แจงและแสดงหลักฐานที่ท าให้เชื่อได้ว่า ผู้ยื่นข้อเสนอ สามารถด าเนินการตามขอบเขตของงาน (TOR) ให้เสร็จสมบูรณ์ หากค าชี้แจงไม่เป็นที่รับฟังได้ กฟผ. มีสิทธิที่ จะไม่รับข้อเสนอหรือไม่รับราคาของผู้ยื่นข้อเสนอรายนั้น ทั้งนี้ ผู้ยื่นข้อเสนอดังกล่าวไม่มีสิทธิเรียกร้อง ค่าใช้จ่ายหรือค่าเสียหายใด ๆ จาก กฟผ.
ระยะเวลาด าเนินการ
มีรายละเอียดการส่งมอบงานดังนี้.-
งวดที่ 1ส่งมอบรายการดังต่อไปนี้ภายใน 90 วัน นับถัดจากวันลงนามในสัญญา ณ กฟผ. ส านักงานใหญ่ 1) แผนการด าเนินงาน วิธีการด าเนินงาน (Approach and Methodology) โครงสร้างทีมงาน (Project Organization) และผลงานที่คาดว่าจะได้รับจากการด าเนินงาน (Output) 2) แผนด าเนินการ และรายละเอียดการฝึกซ้อมในสภาพแวดล้อมจ าลองที่ออกแบบมาส าหรับ ปูพื้นฐานทักษะด้านการป้องกันภัยไซเบอร์ครั้งที่ 1 เป็นภาษาไทยในรูปแบบไฟล์ Microsoft Word และ Portable Document Format (PDF)

เอกสารน าเสนอที่เกี่ยวข้องกับการฝึกซ้อมส าหรับปูพื้นฐานทักษะด้านการป้องกันภัย ไซเบอร์ครั้งที่ 1 เป็นภาษาไทยในรูปแบบไฟล์ Microsoft PowerPoint และ PDF
หากการฝึกซ้อมส าหรับปูพื้นฐานทักษะด้านการป้องกันภัยไซเบอร์ครั้งที่ 1 จ าเป็นต้องใช้
2/5
สิทธิ์ในการเข้าใช้งานฝึกซ้อม จะต้องส่งมอบสิทธิ์การเข้าใช้งานให้เพียงพอกับผู้เข้าร่วม ฝึกซ้อมโดยที่แต่ละสิทธิ์มีระยะเวลาการเข้าใช้งานได้อย่างน้อย 30 วันนับจากวันที่ ด าเนินการฝึกซ้อมส าหรับปูพื้นฐานทักษะด้านการป้องกันภัยไซเบอร์ครั้งที่ 1 แล้วเสร็จ
รายงานผลการฝึกซ้อมในสภาพแวดล้อมจ าลองที่ออกแบบมาส าหรับปูพื้นฐานทักษะด้าน การป้องกันภัยไซเบอร์ ครั้งที่ 1 เป็นภาษาไทยในรูปแบบไฟล์ Microsoft Word และ PDF งวดที่ 2ส่งมอบรายการดังต่อไปนี้ภายใน 135 วัน นับถัดจากวันลงนามในสัญญา ณ กฟผ. ส านักงานใหญ่ 1) แผนด าเนินการ และรายละเอียดการฝึกซ้อมในสภาพแวดล้อมจ าลองที่ออกแบบมาส าหรับ ปูพื้นฐานทักษะด้านการป้องกันภัยไซเบอร์ครั้งที่ 2 เป็นภาษาไทยในรูปแบบไฟล์ Microsoft Word และ PDF
เอกสารน าเสนอที่เกี่ยวข้องกับการฝึกซ้อมส าหรับปูพื้นฐานทักษะด้านการป้องกันภัย ไซเบอร์ครั้งที่ 2 เป็นภาษาไทยในรูปแบบไฟล์ Microsoft PowerPoint และ PDF 3) หากการฝึกซ้อมส าหรับปูพื้นฐานทักษะด้านการป้องกันภัยไซเบอร์ครั้งที่ 2 จ าเป็นต้องใช้ สิทธิ์ในการเข้าใช้งานฝึกซ้อม จะต้องส่งมอบสิทธิ์การเข้าใช้งานให้เพียงพอกับผู้เข้าร่วม ฝึกซ้อมโดยที่แต่ละสิทธิ์มีระยะเวลาการเข้าใช้งานได้อย่างน้อย 30 วันนับจากวันที่ ด าเนินการฝึกซ้อมส าหรับปูพื้นฐานทักษะด้านการป้องกันภัยไซเบอร์ครั้งที่ 2 แล้วเสร็จ 4) รายงานผลการฝึกซ้อมในสภาพแวดล้อมจ าลองที่ออกแบบมาส าหรับปูพื้นฐานทักษะด้าน การป้องกันภัยไซเบอร์ ครั้งที่ 2 เป็นภาษาไทยในรูปแบบไฟล์ Microsoft Word และ PDF งวดที่ 3ส่งมอบรายการดังต่อไปนี้ภายใน 180 วัน นับถัดจากวันลงนามในสัญญา ณ กฟผ. ส านักงานใหญ่ 1) แผนด าเนินการ และรายละเอียดการฝึกซ้อมในสภาพแวดล้อมจ าลองที่ออกแบบมาส าหรับ ฝึกความช านาญทักษะด้านการป้องกันภัยไซเบอร์ เป็นภาษาไทยในรูปแบบไฟล์ Microsoft Word และ PDF
เอกสารน าเสนอที่เกี่ยวข้องกับการฝึกซ้อมส าหรับฝึกความช านาญทักษะด้านการป้องกันภัย ไซเบอร์ เป็นภาษาไทยในรูปแบบไฟล์Microsoft PowerPoint และ PDF
หากการฝึกความช านาญทักษะด้านการป้องกันภัยไซเบอร์ จ าเป็นต้องใช้สิทธิ์ในการเข้าใช้ งานฝึกซ้อม จะต้องส่งมอบสิทธิ์การเข้าใช้งานให้เพียงพอกับผู้เข้าร่วมฝึกซ้อมโดยที่แต่ละ สิทธิ์มีระยะเวลาการเข้าใช้งานได้อย่างน้อย 30 วันนับจากวันที่ด าเนินการฝึกความช านาญ ทักษะด้านการป้องกันภัยไซเบอร์แล้วเสร็จ
รายงานผลการฝึกซ้อมในสภาพแวดล้อมจ าลองที่ออกแบบมาส าหรับฝึกความช านาญทักษะ ด้านการป้องกันภัยไซเบอร์ เป็นภาษาไทยในรูปแบบไฟล์ Microsoft Word และ PDF งวดที่ 4ส่งมอบงานตามรายการดังต่อไปนี้ภายในวันที่ 18 ธันวาคม 2569
แผนด าเนินการ และรายละเอียดการฝึกซ้อมโดยการจ าลองเหตุการณ์โจมตีในลักษณะ เสมือนจริง เป็นภาษาไทยในรูปแบบไฟล์Microsoft Word และ PDF
รายงานผลการฝึกซ้อมโดยจ าลองเหตุการณ์โจมตีในลักษณะเสมือนจริง เป็นภาษาไทยใน รูปแบบ์ไฟล์ Microsoft Word และ PDF
3/5

หลักประกันสัญญา
ก าหนดเป็นจ านวนเต็มในอัตราร้อยละ 5 ของมูลค่าตามสัญญา
หลักเกณฑ์การตรวจรับ
กฟผ. จะตรวจรับเมื่อเห็นว่างานจ้างที่ส่งมอบถูกต้องครบถ้วนตามสัญญาแล้วและคณะกรรมการตรวจ รับได้ลงนามตรวจรับไว้เป็นที่เรียบร้อย
ในกรณีที่ผู้รับจ้างส่งมอบงานจ้างถูกต้องแต่ไม่ครบจ านวน หรือส่งมอบครบจ านวน แต่ไม่ถูกต้อง ทั้งหมด กฟผ. จะตรวจรับเฉพาะส่วนที่ถูกต้อง โดยออกหลักฐานการตรวจรับเฉพาะส่วนนั้นก็ได้
หลักเกณฑ์การจ่ายเงิน
กฟผ. จะจ่ายเงินเป็นรายงวด ดังนี้.-
กฟผ. จะจ่ายเงินตามสัญญาให้กับผู้รับจ้างเป็นจ านวน 4 งวด เมื่อผู้รับจ้างส่งมอบงานให้แก่ กฟผ. ครบถ้วนตามจ านวน ถูกต้องตามสัญญา และคณะกรรมการตรวจรับได้ท าการตรวจรับไว้เป็นที่เรียบร้อยแล้ว ดังนี้ งวดที่ 1 จ านวนร้อยละ 15 ของราคาทั้งหมดตามสัญญา หลังจากที่ผู้รับจ้างส่งมอบงานตามข้อ 8 ในงวดที่ 1 เสร็จเรียบร้อยแล้ว
งวดที่ 2 จ านวนร้อยละ 15 ของราคาทั้งหมดตามสัญญา หลังจากที่ผู้รับจ้างส่งมอบงานตามข้อ 8 ในงวดที่ 2 เสร็จเรียบร้อยแล้ว
งวดที่ 3 จ านวนร้อยละ 35 ของราคาทั้งหมดตามสัญญา หลังจากที่ผู้รับจ้างส่งมอบงานตามข้อ 8 ในงวดที่ 3 เสร็จเรียบร้อยแล้ว
งวดที่ 4 จ านวนร้อยละ 35 ของราคาทั้งหมดตามสัญญา หลังจากที่ผู้รับจ้างส่งมอบงานตามข้อ 8 ในงวดที่ 4 เสร็จเรียบร้อยแล้ว
การจ่ายเงินให้แก่ผู้รับจ้างแต่ละงวด กรณีมีเศษสตางค์ กฟผ. อาจจะหักเศษสตางค์ออก และน าไปรวม จ่ายในงวดสุดท้าย
บทปรับ
12.1 กรณีผู้รับจ้างส่งมอบงานล่าช้ากว่าก าหนด หรือไม่สามารถด าเนินการได้ตามสัญญา กฟผ. จะปรับ เป็นรายวันในอัตราตายตัวร้อยละ 0.1 ของราคางานต่องวดตามสัญญาที่ยังไม่ได้ส่งมอบรวมภาษีมูลค่าเพิ่ม จนกว่าจะมีการส่งมอบงานตามสัญญา
12.2 กรณีที่ผู้รับจ้างน างานที่รับจ้างไปจ้างช่วงให้ผู้อื่นท าอีกทอดหนึ่งโดยไม่ได้รับอนุญาตจาก กฟผ. ผู้รับจ้างต้องช าระค่าปรับให้แก่ กฟผ. เป็นจ านวนเงินในอัตราร้อยละ 10 ของวงเงินของงานจ้างช่วงนั้น ทั้งนี้ ไม่ตัดสิทธิ กฟผ. ในการบอกเลิกสัญญา
การบังคับค่าปรับ ค่าเสียหาย และค่าใช้จ่าย
ในกรณีที่ผู้รับจ้างไม่ปฏิบัติตามสัญญาข้อใดข้อหนึ่งด้วยเหตุใด ๆ ก็ตาม จนเป็นเหตุให้เกิดค่าปรับ ค่าเสียหาย หรือค่าใช้จ่ายแก่ กฟผ. ผู้รับจ้างต้องชดใช้ค่าปรับ ค่าเสียหาย หรือค่าใช้จ่ายดังกล่าวให้แก่ กฟผ. โดยสิ้นเชิงภายในก าหนด 7 (เจ็ด) วัน นับถัดจากวันที่ได้รับแจ้งเป็นหนังสือจาก กฟผ. หากผู้รับจ้างไม่ชดใช้ให้ ถูกต้องครบถ้วนภายในระยะเวลาดังกล่าว ให้ กฟผ. มีสิทธิที่จะหักเอาจากจ านวนเงินค่าจ้างที่ต้องช าระ หรือ
บังคับจากหลักประกันการปฏิบัติตามสัญญาได้ทันที
4/5
หากค่าปรับ ค่าเสียหาย หรือค่าใช้จ่ายที่บังคับจากเงินค่าจ้างที่ต้องช าระ หรือหลักประกันการปฏิบัติ ตามสัญญาแล้วยังไม่เพียงพอ ผู้รับจ้างยินยอมช าระส่วนที่เหลือที่ยังขาดอยู่จนครบถ้วนตามจ านวนค่าปรับ ค่าเสียหาย หรือค่าใช้จ่ายนั้น ภายในก าหนด 7 (เจ็ด) วัน นับถัดจากวันที่ได้รับแจ้งเป็นหนังสือจาก กฟผ.
หากมีเงินค่าจ้างตามสัญญาที่หักไว้จ่ายเป็นค่าปรับ ค่าเสียหาย หรือค่าใช้จ่ายแล้วยังเหลืออยู่อีกเท่าใด กฟผ. จะคืนให้แก่ผู้รับจ้างทั้งหมด
แผนการท างาน
คู่สัญญาต้องจัดท าแผนการท างานมาให้ภายใน 30 วัน นับถัดจากวันลงนามในสัญญา โดยจัดท า แผนการท างานตามเอกสารแนบท้ายเอกสารประกวดราคาอิเล็กทรอนิกส์ เว้นแต่เป็นกรณีการเช่า หรือกรณี สัญญาอายุไม่เกิน 90 วัน หรือกรณีการซื้อซึ่งสัญญาก าหนดส่งงานงวดเดียว หรือกรณีการซื้อ การเช่า การจ้าง และการจ้างก่อสร้าง ซึ่งสัญญาหรือบันทึกข้อตกลงเป็นหนังสือมีวงเงินไม่เกิน 500,000 บาท ทั้งนี้ แผนการ ท างานดังกล่าวให้ถือเป็นเอกสารส่วนหนึ่งของสัญญา
ข้อก าหนดเพิ่มเติม
15.1 ข้อก าหนดการรักษาข้อมูลที่เป็นความลับ
ผู้รับจ้างต้องรักษาข้อมูลที่เป็นความลับตามบันทึกข้อก าหนดการรักษาข้อมูลที่เป็นความลับ (เอกสารแนบ)
15.2 ผู้รับจ้างต้องด าเนินการตามระเบียบ กฟผ. ฉบับที่ 396 ว่าด้วย การจัดการความปลอดภัยผู้ รับจ้าง (บัญชี 3-5) (เอกสารแนบ)
15.3 ข้อก าหนดด้านลิขสิทธิ์
ผู้รับจ้างต้องส่งมอบงานพร้อมลิขสิทธิ์ต่าง ๆ จัดส่งให้ กฟผ. และไม่มีสิทธิ์ที่จะเผยแพร่หากมิได้ รับอนุญาตจาก กฟผ.
15.4 ผู้รับจ้างต้องด าเนินการตามข้อก าหนดด้านความมั่นคงปลอดภัยไซเบอร์ส าหรับผู้ให้บริการ ภายนอก (เอกสารแนบ)
5/5
ข้อก าหนดและขอบเขตงานจ้าง
ผู้รับจ้างต้องด าเนินการฝึกซ้อมรับมือเหตุภัยคุกคามทางไซเบอร์ โดยมีข้อก าหนดและขอบเขตความ ต้องการของ กฟผ. ดังนี้
ฝึกซ้อมรับมือเหตุภัยคุกคามทางไซเบอร์โดยฝึกซ้อมในสภาพแวดล้อมจ าลองที่ออกแบบมาส าหรับปูพื้นฐาน ทักษะด้านการป้องกันภัยไซเบอร์ (Defensive Security for Beginners) จ านวนอย่างน้อย 2 ครั้ง โดยจะต้องมีคุณสมบัติดังนี้
1.1 การฝึกซ้อมครั้งที่ 1
1.1.1 ผู้รับจ้างต้องน าเสนอสถานการณ์การฝึกซ้อมที่จะใช้ในการฝึกซ้อม โดยต้องได้รับการ ตรวจสอบและเห็นชอบจาก กฟผ. ก่อนด าเนินการฝึกซ้อม โดยมีบุคลากรตามข้อ 4 ข้อ 5 และข้อ 6 เข้าร่วมประชุม ออกแบบ และให้ค าปรึกษาเกี่ยวกับสถานกาณ์การฝึกซ้อม
1.1.2 ผู้รับจ้างต้องจัดเตรียมข้อมูล เอกสาร และคู่มือที่เกี่ยวข้องกับการฝึกซ้อม ซึ่งจะต้องได้รับ การตรวจสอบและเห็นชอบจาก กฟผ. ก่อนด าเนินการฝึกซ้อม
1.1.3 ฝึกซ้อมกับบุคลากรของ กฟผ. จ านวนไม่เกิน 70 ท่าน โดยแบ่งการฝึกซ้อมออกเป็นรอบ ตามที่ กฟผ. ก าหนด
1.1.4 สภาพแวดล้อมจ าลองจะต้องรองรับการเข้าใช้งานจากผู้ฝึกซ้อมตามจ านวนในข้อ 1.1.3 พร้อมกันได้และผู้ฝึกซ้อมแต่ละท่านจะต้องได้รับสภาพแวดล้อมจ าลองส าหรับการ ฝึกซ้อมแยกขาดจากกัน
1.1.5 มีการสอนภาคทฤษฎีเป็นระยะเวลาอย่างน้อย 1 วัน และภาคปฏิบัติอย่างน้อย 1 วัน ซึ่งสอนโดยบุคลากร ตามข้อ 4 ข้อ 5 และข้อ 6
1.1.6 สภาพแวดล้อมจ าลองต้องมีบทเรียน โดยมีเนื้อหาของบทเรียนอย่างน้อย ดังนี้ 1.1.6.1 Windows Penetration Testing
1.1.6.2 Introduction to Command and Control (C2)
1.1.6.3 Sysmon
1.1.6.4 Windows Event Logs
1.1.6.5 Log Analysis
1.1.6.6 PCAP Analysis
1.1.6.7 มีสถานการณ์จ าลองประกอบด้วยอย่างน้อย 5 เทคนิคการโจมตีตาม MITRE ATT&CK Framework
1.1.7 สามารถจ าลองและใช้ Windows Penetration Testing ได้
1.1.8 สามารถจ าลองและใช้ C2 ได้
1.1.9 สามารถจ าลองและใช้ระบบที่ใช้ส าหรับการโจมตี (Kali) ได้
1.1.10 สามารถจ าลองและใช้ Windows Logs ได้
1.1.11 สามารถจ าลองและใช้ Packet Captures (PCAP) ได้
1.1.12 เครื่องจ าลองที่ใช้ส าหรับวิเคราะห์ (Analysis Machine) ต้องเป็นระบบปฏิบัติการ Windows
1/6
1.1.13 ผู้รับจ้างจะต้องน าเสนอผลการฝึกซ้อม และจัดท ารายงานผลการฝึกซ้อม โดยรายงานนั้น ต้องมีเนื้อหาอย่างน้อยดังนี้
1.1.13.1 ระยะเวลาที่ใช้ในการตอบสนอง
1.1.13.2 การเปรียบเทียบระยะเวลาจากเวลาที่ก าหนด
1.1.13.3 จ านวนรูปแบบเทคนิคของภัยคุกคามที่ได้ฝึกซ้อม ตามมาตรฐาน MITRE ATT&CK 1.1.13.4 ข้อมูลของขั้นตอนการตอบสนองของผู้ฝึกในการตอบสนองภัยคุกคามไซเบอร์ 1.1.13.5 แนวทางการพัฒนาผู้ฝึกให้มีความสามารถในการรับมือเพิ่มมากขึ้นส าหรับ สถานการณ์ที่ฝึกซ้อม
1.2 การฝึกซ้อมครั้งที่ 2
1.2.1 ผู้รับจ้างต้องน าเสนอสถานการณ์การฝึกซ้อมที่จะใช้ในการฝึกซ้อม โดยต้องได้รับ การตรวจสอบและเห็นชอบจาก กฟผ. ก่อนด าเนินการฝึกซ้อม โดยมีบุคลากรตามข้อ 4 ข้อ 5 และข้อ 6 เข้าร่วมประชุม ออกแบบ และให้ค าปรึกษาเกี่ยวกับสถานการณ์ การฝึกซ้อม
1.2.2 ผู้รับจ้างต้องจัดเตรียมข้อมูล เอกสาร และคู่มือที่เกี่ยวข้องกับการฝึกซ้อม ซึ่งจะต้องได้รับ การตรวจสอบและเห็นชอบจาก กฟผ. ก่อนด าเนินการฝึกซ้อม
1.2.3 ฝึกซ้อมกับบุคลากรของ กฟผ. จ านวนไม่เกิน 70 ท่าน โดยแบ่งการฝึกซ้อมออกเป็นรอบ ตามที่ กฟผ. ก าหนด
1.2.4 สภาพแวดล้อมจ าลองจะต้องรองรับการเข้าใช้งานจากผู้ฝึกซ้อมตามจ านวนในข้อ 1.2.3 พร้อมกันได้และผู้ฝึกซ้อมแต่ละท่านจะต้องได้รับสภาพแวดล้อมจ าลองส าหรับการ ฝึกซ้อมแยกขาดจากกัน
1.2.5 มีการสอนภาคทฤษฎีเป็นระยะเวลาอย่างน้อย 1 วัน และภาคปฏิบัติอย่างน้อย 1 วัน ซึ่งสอนโดยบุคลากร ตามข้อ 4 ข้อ 5 และข้อ 6
1.2.6 สภาพแวดล้อมจ าลองต้องมีบทเรียน โดยมีเนื้อหาของบทเรียนอย่างน้อย ดังนี้ 1.2.6.1 Windows Penetration Testing
1.2.6.2 Introduction to Command and Control (C2)
1.2.6.3 Sysmon
1.2.6.4 Windows Event Logs
1.2.6.5 Log Analysis
1.2.6.6 PCAP Analysis
1.2.6.7 มีสถานการณ์จ าลองประกอบด้วยอย่างน้อย 5 เทคนิคการโจมตีตาม MITRE ATT&CK Framework โดยไม่ซ้ ากับการฝึกซ้อมครั้งที่ 1
1.2.7 สามารถจ าลองและใช้ Windows Penetration Testing ได้
1.2.8 สามารถจ าลองและใช้ C2 ได้
1.2.9 สามารถจ าลองและใช้ระบบที่ใช้ส าหรับการโจมตี (Kali) ได้
1.2.10 สามารถจ าลองและใช้ Windows Logs ได้
1.2.11 สามารถจ าลองและใช้ Packet Captures (PCAP) ได้
2/6
1.2.12 เครื่องจ าลองที่ใช้ส าหรับวิเคราะห์ (Analysis Machine) ต้องเป็นระบบปฏิบัติการ Windows
1.2.13 ผู้รับจ้างจะต้องน าเสนอผลการฝึกซ้อม และจัดท ารายงานผลการฝึกซ้อม โดยรายงานนั้น ต้องมีเนื้อหาอย่างน้อยดังนี้
1.2.13.1 ระยะเวลาที่ใช้ในการตอบสนอง
1.2.13.2 การเปรียบเทียบระยะเวลาจากเวลาที่ก าหนด
1.2.13.3 จ านวนรูปแบบเทคนิคของภัยคุกคามที่ได้ฝึกซ้อม ตามมาตรฐาน MITRE ATT&CK 1.2.13.4 ข้อมูลของขั้นตอนการตอบสนองของผู้ฝึกในการตอบสนองภัยคุกคามไซเบอร์ 1.2.13.5 แนวทางการพัฒนาผู้ฝึกให้มีความสามารถในการรับมือเพิ่มมากขึ้นส าหรับ สถานการณ์ที่ฝึกซ้อม
ฝึกซ้อมรับมือเหตุภัยคุกคามทางไซเบอร์โดยฝึกซ้อมในสภาพแวดล้อมจ าลองที่ออกแบบมาส าหรับ ฝึกความช านาญทักษะด้านการป้องกันภัยไซเบอร์ (Defensive Security for Experts) จ านวน 1 ครั้ง โดยจะต้องมีคุณสมบัติดังนี้
2.1 ฝึกซ้อมกับบุคลากรของ กฟผ. อย่างน้อย 20 ท่าน
2.2 สภาพแวดล้อมจ าลองจะต้องรองรับการเข้าใช้งานจากผู้ฝึกซ้อมจ านวนอย่างน้อย 20 ท่าน พร้อม กันได้
2.3 ผู้รับจ้างต้องจัดเตรียมระบบฝึกซ้อมในสภาพแวดล้อมจ าลองโดยระบบดังกล่าวต้องมีคุณสมบัติ อย่างน้อย ดังนี้
2.3.1 มีการจ าลองการใช้งานเครื่องมือ (Tools) และเครื่อง (Machine) ระบบเครือข่ายเสมือน หรือเครือข่ายระบบปิดส าหรับใช้ในการฝึก (Pre-defined Network System)
2.3.2 สามารถจ าลองระบบต่าง ๆ ได้อย่างน้อยดังนี้
2.3.2.1 Servers
2.3.2.2 SIEM
2.3.2.3 Analysis Machine
2.3.3 มีเครื่องมือ Analysis tools ส าหรับการวิเคราะห์เหตุการณ์ อย่างน้อยดังนี้หรือเทียบเท่า 2.3.3.1 SIEM
2.3.3.2 Network Forensic Tool
2.3.3.3 Windows Forensic Tool
2.3.4 ระบบสามารถจ าลองและใช้ Logs ต่าง ๆ ในการวิเคราะห์ได้อย่างน้อย เช่น Windows Logs, PCAP File เป็นต้น
2.4 ระบบฝึกซ้อมในสภาพแวดล้อมจ าลองต้องมีเหตุการณ์การโจมตีเสมือนจริง โดยจะต้อง ประกอบด้วยรูปแบบการโจมตีอย่างน้อย 5 รูปแบบการโจมตีตาม MITRE ATT&CK Framework 2.5 ผู้รับจ้างต้องน าเสนอสถานการณ์การฝึกซ้อมที่จะใช้ในการฝึกซ้อม โดยต้องได้รับการตรวจสอบ และเห็นชอบจาก กฟผ. ก่อนด าเนินการฝึกซ้อม โดยมีบุคคลตามข้อ 4 ข้อ 5 และข้อ 6 เข้าร่วมประชุม ออกแบบ และให้ค าปรึกษาเกี่ยวกับสถานกาณ์การฝึกซ้อม
2.6 ผู้รับจ้างต้องจัดเตรียมข้อมูล เอกสาร และคู่มือที่เกี่ยวข้องกับการฝึกซ้อม ซึ่งจะต้องได้รับ การตรวจสอบและเห็นชอบจาก กฟผ. ก่อนด าเนินการฝึกซ้อม
2.7 ต้องใช้เวลาฝึกซ้อมอย่างน้อย 1 วัน โดยบุคลากร ตามข้อ 4 ข้อ 5 และข้อ 6
3/6
2.8 ผู้รับจ้างจะต้องน าเสนอผลการฝึกซ้อม และจัดท ารายงานผลการฝึกซ้อม โดยรายงานนั้น ต้องมีเนื้อหาอย่างน้อยดังนี้
2.8.1 ระยะเวลาที่ใช้ในการตอบสนอง
2.8.2 การเปรียบเทียบระยะเวลาจากเวลาที่ก าหนด
2.8.3 จ านวนรูปแบบเทคนิคของภัยคุกคามที่ได้ฝึกซ้อม ตามมาตรฐาน MITRE ATT&CK 2.8.4 ข้อมูลของขั้นตอนการตอบสนองของผู้ฝึกในการตอบสนองภัยคุกคามไซเบอร์ 2.8.5 แนวทางการพัฒนาผู้ฝึกให้มีความสามารถในการรับมือเพิ่มมากขึ้นส าหรับสถานการณ์ที่ ฝึกซ้อม
ฝึกซ้อมรับมือเหตุภัยคุกคามทางไซเบอร์โดยจ าลองเหตุการณ์โจมตีในลักษณะเสมือนจริง (Cyber Drill Exercise) จ านวน 1 ครั้ง โดยจะต้องมีคุณสมบัติดังนี้
3.1 ฝึกซ้อมกับทีมตอบสนองเหตุภัยคุกคามทางไซเบอร์ (CSIRT) ของ กฟผ. และจะต้องด าเนินการ โดยบุคลากร ตามข้อ 4 ข้อ 5 และ ข้อ 6
3.2 ผู้รับจ้างต้องน าเสนอการจ าลองเหตุการณ์โจมตีในลักษณะเสมือนจริงที่จะใช้ในการฝึกซ้อม โดยต้อง ได้รับการตรวจสอบและเห็นชอบจาก กฟผ. ก่อนด าเนินการฝึกซ้อม โดยมีบุคลากรตามข้อ 4 ข้อ 5 และข้อ 6 เข้าร่วมประชุม ออกแบบ และให้ค าปรึกษาเกี่ยวกับการจ าลองเหตุการณ์โจมตี
3.3 ต้องจ าลองเหตุการณ์โจมตีไปที่ระบบที่ กฟผ. ก าหนด ประกอบด้วยอย่างน้อย 5 เทคนิคการโจมตี ตาม MITRE ATT&CK Framework ซึ่งต้องได้รับการตรวจสอบและ เห็นชอบจาก กฟผ. ก่อนการด าเนินการฝึกซ้อมตามเหตุการณ์
3.4 ต้องใช้การจ าลองเหตุการณ์โจมตีในลักษณะเสมือนจริงและวิเคราะห์ด้วยบุคคล (Manual Test) ไม่ให้ใช้เครื่องมืออัตโนมัติเพียงอย่างเดียว (Automatic Test Tool)
3.5 ผู้รับจ้างจะต้องน าเสนอผลการฝึกซ้อม และรายงานผลการด าเนินการจ าลองเหตุการณ์โจมตี ในลักษณะเสมือนจริง โดยรายงานนั้นต้องมีเนื้อหาอย่างน้อยดังนี้
3.5.1 ขั้นตอนการด าเนินการ ผลการด าเนินการ และค าแนะน าโดยละเอียด
3.5.2 แนวทางการตรวจจับ (Detection) และแนวทางการป้องกันตามเหตุการณ์ที่ทดสอบการโจมตี 3.5.3 จัดท าบทสรุปในรูปแบบแผนภาพเชื่อมโยงเหตุการณ์โดยละเอียด และสามารถน าเสนอ ผู้บริหารในลักษณะ Presentation
3.5.4 แนวทางการพัฒนาผู้ฝึกให้มีความสามารถในการรับมือเพิ่มมากขึ้นส าหรับเหตุการณ์โจมตี
ผู้รับจ้างต้องจัดให้มีผู้น าการฝึกซ้อมรับมือเหตุภัยคุกคามทางไซเบอร์ (Drill Master) ที่มีประสบการณ์ ในการด าเนินกิจกรรมการซ้อมรับมือเหตุภัยคุกคามทางไซเบอร์เข้ามาด าเนินการฝึกซ้อมตามข้อ 1 ข้อ 2 และข้อ 3 ณ สถานที่ที่ กฟผ. จัดให้ อย่างน้อย 2 ท่านส าหรับการฝึกแต่ละครั้ง โดยผู้น าฝึกแต่ละท่าน ต้องมีคุณสมบัติอย่างน้อยดังนี้
4.1 มีวุฒิการศึกษาปริญญาตรีปริญญาโท หรือปริญญาเอก สาขาที่เกี่ยวข้องกับคอมพิวเตอร์ เทคโนโลยีสารสนเทศ ไฟฟ้า โทรคมนาคม หรืออิเล็กทรอนิกส์ พร้อมแสดงเอกสารหลักฐานอย่าง หนึ่งอย่างใด เช่น วุฒิการศึกษา, Transcript เป็นต้น
4.2 มีประสบการณ์การท างานด้านการซ้อมรับมือเหตุภัยคุกคามทางไซเบอร์ในรูปแบบของ Cyber Drill Exercise ส าหรับหน่วยงานภาครัฐหรือภาคเอกชนในประเทศไทย เป็นอย่างน้อย 2 ปี นับถึงวันที่เสนอราคาด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ พร้อมแสดงเอกสารหลักฐาน เช่น
4/6
CV, หนังสือรับรองการท างาน เป็นต้น
4.3 ได้รับประกาศนียบัตรรับรองคุณวุฒิ (Certificate) ต่อไปนี้อย่างน้อย 2 รายการโดย Certificate นั้นยังไม่หมดอายุการรับรอง
4.3.1 CompTIA Security+
4.3.2 CompTIA CySA+
4.3.3 CompTIA SecurityX หรือ CompTIA CASP+
4.3.4 eLearnSecurity Certified Incident Responder (eCIR)
4.3.5 Offensive Security Certified Professional (OSCP)
4.4 ผู้น าการฝึกซ้อมตามข้อ 4 นี้ จะต้องไม่เป็นคนเดียวกันกับผู้เชี่ยวชาญตามข้อ 5 และผู้เชี่ยวชาญ ตามข้อ 6
ผู้รับจ้างต้องจัดให้มีผู้เชี่ยวชาญด้านการรับมือเหตุภัยคุกคามทางไซเบอร์ (Incident Handler) หรือ ด้านการพิสูจน์หลักฐานทางดิจิทัล (Digital Forensic Analyst) ที่มีประสบการณ์ในการด าเนินกิจกรรม การซ้อมรับมือเหตุภัยคุกคามทางไซเบอร์ เข้ามาด าเนินการฝึกซ้อมตามข้อ 1 ข้อ 2 และข้อ 3 ณ สถานที่ ที่ กฟผ. จัดให้ อย่างน้อย 1 ท่านส าหรับการฝึกแต่ละครั้ง โดยผู้เชี่ยวชาญต้องมีคุณสมบัติอย่างน้อยดังนี้
5.1 มีวุฒิการศึกษาปริญญาตรีปริญญาโท หรือปริญญาเอก สาขาที่เกี่ยวข้องกับคอมพิวเตอร์ เทคโนโลยีสารสนเทศ ไฟฟ้า โทรคมนาคม หรืออิเล็กทรอนิกส์ พร้อมแสดงเอกสารหลักฐาน อย่างหนึ่งอย่างใด เช่น วุฒิการศึกษา, Transcript เป็นต้น
5.2 มีประสบการณ์การท างานด้านการรับมือเหตุภัยคุกคามทางไซเบอร์หรือด้านการพิสูจน์หลักฐาน ทางดิจิทัลส าหรับหน่วยงานภาครัฐหรือภาคเอกชนในประเทศไทย เป็นอย่างน้อย 5 ปี นับถึงวันที่เสนอราคาด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ พร้อมแสดงเอกสารหลักฐาน เช่น CV, หนังสือรับรองการท างาน เป็นต้น
5.3 ได้รับประกาศนียบัตรรับรองคุณวุฒิ (Certificate) ต่อไปนี้อย่างน้อย 2 รายการโดย Certificate นั้นยังไม่หมดอายุการรับรอง
5.3.1 Certified Information Systems Security Professional (CISSP)
5.3.2 Computer Hacking Forensic Investigator (CHFI)
5.3.3 Offensive Security Certified Professional (OSCP)
5.3.4 GIAC Certified Incident Handler (GCIH)
5.3.5 GIAC Penetration Tester Certification (GPEN)
5.3.6 GIAC Defending Advanced Threats (GDAT)
5.4 ผู้เชี่ยวชาญตามข้อ 5 นี้ จะต้องไม่เป็นคนเดียวกันกับผู้น าฝึกซ้อมตามข้อ 4 และผู้เชี่ยวชาญตามข้อ 6
ผู้รับจ้างต้องจัดให้มีผู้เชี่ยวชาญด้านความปลอดภัยเทคโนโลยีปฏิบัติการ (OT Security) ที่มีประสบการณ์ ในการด าเนินกิจกรรมการซ้อมรับมือเหตุภัยคุกคามทางไซเบอร์ เข้ามาด าเนินการฝึกซ้อมตามข้อ 1 ข้อ 2 และข้อ 3 ณ สถานที่ที่ กฟผ. จัดให้ อย่างน้อย 1 ท่าน โดยผู้ด าเนินการต้องมีคุณสมบัติอย่างน้อยดังนี้
6.1 มีวุฒิการศึกษาปริญญาตรีปริญญาโท หรือปริญญาเอก สาขาที่เกี่ยวข้องกับคอมพิวเตอร์ เทคโนโลยีสารสนเทศ ไฟฟ้า โทรคมนาคม หรืออิเล็กทรอนิกส์ พร้อมแสดงเอกสารหลักฐาน อย่างหนึ่งอย่างใด เช่น วุฒิการศึกษา, Transcript เป็นต้น
5/6
6.2 มีประสบการณ์การท างานเกี่ยวกับความปลอดภัยเทคโนโลยีปฏิบัติการ (OT Security) ส าหรับ หน่วยงานภาครัฐหรือภาคเอกชนในประเทศไทย เป็นอย่างน้อย 1 ปี นับถึงวันที่เสนอราคา ด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ พร้อมแสดงเอกสารหลักฐาน เช่น CV, หนังสือรับรองการ ท างาน เป็นต้น
6.3 ได้รับประกาศนียบัตรรับรองคุณวุฒิ (Certificate) ต่อไปนี้อย่างน้อย 1 รายการโดย Certificate นั้นยังไม่หมดอายุการรับรอง
6.3.1 EC-Council ICS/SCADA Cybersecurity
6.3.2 GIAC Global Industrial Cyber Security Professional Certification (GICSP) 6.4 ผู้เชี่ยวชาญตามข้อ 6 นี้ จะต้องไม่เป็นคนเดียวกันกับผู้น าฝึกซ้อมตามข้อ 4 และผู้เชี่ยวชาญตามข้อ 5
ผู้รับจ้างต้องน าเสนอโครงสร้างทีมงาน (Project Organization) แนวทางการด าเนินงานและวิธีการ ด าเนินงาน (Approach and Methodology) และผลงานที่คาดว่าจะได้รับจากการด าเนินงาน (Output) ให้ กฟผ. เห็นชอบ ก่อนเข้าด าเนินการ
ผู้รับจ้างต้องแต่งตั้งผู้แทนอย่างน้อยหนึ่งคนเพื่อรับผิดชอบและควบคุมการด าเนินงาน รวมทั้งเป็นผู้ติดต่อ ประสานงานระหว่าง กฟผ. กับผู้รับจ้าง
ผู้รับจ้างต้องประสานงาน และท างานร่วมกับคณะท างานของ กฟผ. และต้องถ่ายทอดเทคโนโลยี กระบวนการและวิธีการต่าง ๆ ที่ใช้ในการด าเนินการต่อคณะท างาน กฟผ.
ผู้รับจ้างต้องด าเนินการตามแผนงานฝึกซ้อมรับมือเหตุภัยคุกคามทางไซเบอร์ ตามกิจกรรมและระยะเวลา ที่ กฟผ. ก าหนด ซึ่ง กฟผ. จะแจ้งให้ทราบในภายหลัง
เอกสาร ข้อมูล ผลิตภัณฑ์ เครื่องมือ ฮาร์ดแวร์และซอฟท์แวร์ต่าง ๆ ที่ผู้รับจ้างใช้ในการด าเนินการ จะต้องมีสิทธิ์ในการใช้งานถูกต้องตามกฎหมาย ไม่ละเมิดลิขสิทธิ์หรือสิทธิบัตรของผู้อื่น ในกรณีที่เอกสาร ข้อมูล ผลิตภัณฑ์ เครื่องมือ ฮาร์ดแวร์ และซอฟท์แวร์ต่าง ๆ ที่ผู้รับจ้างที่ได้รับการว่าจ้าง ใช้ในการด าเนินการเป็นการละเมิดลิขสิทธิ์หรือสิทธิบัตรของผู้อื่น ผู้รับจ้างต้องเป็นผู้ช าระค่าเสียหายและ ค่าใช้จ่ายใด ๆ ที่เกี่ยวกับ หรือเกี่ยวเนื่องกับกรณีดังกล่าวทั้งสิ้นแก่ กฟผ. และบุคคลภายนอกผู้ถูกละเมิด
ผู้รับจ้างต้องเป็นผู้รับผิดชอบค่าใช้จ่ายเบ็ดเตล็ดในการด าเนินการฝึกซ้อม เช่น ค่าอาหารและเครื่องดื่ม เป็นต้น
6/6
ข้อก าหนดการรักษาข้อมูลที่เป็นความลับ
(ถือเป็นส่วนหนึ่งของสัญญา)

คู่สัญญาได้ตกลงกัน โดยมีข้อความดังต่อไปนี้
ข้อ 1. ค านิยาม
“ข้อมูลที่เป็นความลับ” หมายความถึง บรรดาข้อความ เอกสาร ข้อมูล ตลอดจน รายละเอียดทั้งปวงที่เป็นของผู้ให้ข้อมูล รวมถึงที่อยู่ในความครอบครองหรือควบคุมดูแลของผู้ให้ข้อมูล และ ไม ่เป็นที่รับรู้ของสาธารณชนโดยทั่วไป ไม่ว่าจะในรูปแบบที่จับต้องได้หรือไม่ หรือสื่อแบบใด ไม่ว่าจะถูก ดัดแปลงแก้ไขโดยผู้รับข้อมูลหรือไม่ และไม่ว่าจะเปิดเผยเมื่อใดและอย่างไร ให้ถือว่าเป็นความลับ
. ข้อ 2. การรักษาข้อมูลที่เป็นความลับ
2.1 ผู้รับข้อมูลต้องรับผิดชอบรักษาข้อมูลที่เป็นความลับ และเก็บข้อมูลความลับไว้โดย ครบถ้วน และอย่างเคร่งครัด ผู้รับข้อมูลจะต้องไม่เปิดเผย ท าส าเนา หรือท าการอื่นใดท านองเดียวกันแก่ บุคคลอื่นไม่ว่าทั้งหมดหรือบางส่วน เว้นแต่ได้รับอนุญาตเป็นหนังสือจากผู้ให้ข้อมูล
2.2 ผู้รับข้อมูลต้องใช้ข้อมูลที่เป็นความลับเพื่อการอันเกี่ยวกับหรือสัมพันธ์กับ การ ด าเนินงานที่มีอยู่ระหว่างผู้ให้ข้อมูลกับผู้รับข้อมูล โดยผู้รับข้อมูลต้องแจ้งให้ผู้ให้ข้อมูลทราบโดยทันทีที่พบการ ใช้หรือการเปิดเผยข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต หรือการละเมิดหรือฝ่าฝืนข้อก าหนดนี้ อีกทั้งผู้รับ ข้อมูลจะต้องให้ความร่วมมือกับผู้ให้ข้อมูลอย่างเต็มที่ในการเรียกคืนซึ่งการครอบครองข้อมูลที่เป็นความลับ การป้องกันการใช้ข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต และการระงับยับยั้งการเผยแพร่ข้อมูลที่เป็น ความลับออกสู่สาธารณะ
2.3 ผู้รับข้อมูลต้องใช้มาตรการที่เหมาะสมในการเก็บรักษาข้อมูลที่เป็นความลับ เพื่อ ป้องกันมิให้ข้อมูลที่เป็นความลับถูกน าไปใช้โดยมิได้รับอนุญาตหรือถูกเปิดเผยแก่บุคคลอื่น โดยผู้รับข้อมูลต้อง ใช้มาตรการการเก็บรักษาข้อมูลที่เป็นความลับในระดับเดียวกันกับที่ผู้รับข้อมูลใช้กับข้อมูลที่เป็นความลับของ ตนเอง ซึ่งต้องไม่น้อยกว่าการดูแลที่สมควร
2.4 ผู้รับข้อมูลต้องแจ้งให้บุคลากร พนักงาน ลูกจ้าง ที่ปรึกษาของผู้รับข้อมูล และ/หรือ บุคคลภายนอกที่ต้องเกี่ยวข้องกับข้อมูลที่เป็นความลับนั้นทราบถึงความเป็นความลับและข้อจ ากัดสิทธิใน การใช้และการเปิดเผยข้อมูลที่เป็นความลับ และผู้รับข้อมูลต้องด าเนินการให้บุคคลดังกล่าวต้องผูกพันด้วยสัญญา หรือข้อตกลงเป็นหนังสือในการรักษาข้อมูลที่เป็นความลับโดยมีข้อก าหนดเช่นเดียวกับหรือไม่น้อยกว่า ข้อก าหนดและเงื่อนไขในข้อก าหนดฉบับนี้ด้วย
2.5 ข้อมูลที่เป็นความลับตามข้อก าหนดฉบับนี้ ไม่รวมไปถึงข้อมูลดังต่อไปนี้
(1) ข้อมูลที่ ผู้ให้ข้อมูล เปิดเผยแก่สาธารณะ
(2) ข้อมูลที่ผู้รับข้อมูลทราบอยู่ก่อนที่ ผู้ให้ข้อมูล จะเปิดเผยข้อมูลนั้น
(3) ข้อมูลที่มาจากการพัฒนาโดยอิสระของผู้รับข้อมูลเอง
(4) ข้อมูลที่ต้องเปิดเผยโดยกฎหมายหรือตามค าสั่งศาล ทั้งนี้ผู้รับข้อมูลต้องมีหนังสือ แจ้งให้ ผู้ให้ข้อมูล ได้รับทราบถึงข้อก าหนดหรือค าสั่งดังกล่าวพร้อมทั้งหมายศาล
และ/หรือ หมายค้นอย่างเป็นทางการยื่นต่อผู้ให้ข้อมูล ก่อนที่จะด าเนินการ
เปิดเผยข้อมูลดังกล่าว และในการเปิดเผยข้อมูลดังกล่าวผู้รับข้อมูลจะต้อง
1
ด าเนินการตามขั้นตอนทางกฎหมายเพื่อขอให้คุ้มครองข้อมูลดังกล่าวไม่ให้ถูก
เปิดเผยต่อสาธารณะด้วย
(5) เป็นการเปิดเผยข้อมูลโดยได้รับความเห็นชอบจากผู้ให้ข้อมูล เป็นลายลักษณ์ อักษร ก่อนที่ผู้รับข้อมูลจะเปิดเผยข้อมูลนั้น
ข้อ 3. ทรัพย์สินทางปัญญา
ข้อก าหนดฉบับนี้ไม่มีผลบังคับใช้เป็นการโอนสิทธิหรือการอนุญาตให้ใช้สิทธิ (ไม่ว่าโดยตรง หรือโดยอ้อม) ให้แก่ผู้รับข้อมูลที่ได้รับความลับซึ่ง สิทธิบัตร ลิขสิทธิ์ การออกแบบ เครื่องหมายการค้า ตรา สัญลักษณ์รูปประดิษฐ์อื่นใด ชื่อทางการค้า ความลับทางการค้า ไม่ว่าจดทะเบียนไว้ตามกฎหมายหรือไม่ก็ ตาม หรือสิทธิอื่น ๆ ของผู้ให้ข้อมูล ซึ่งอาจมีอยู่ใน ปรากฏอยู่ หรือน ามาท าซ้ าไว้ในเอกสารข้อมูลที่เป็น
ความลับ ทั้งนี้ ผู้รับข้อมูลหรือบุคคลอื่นใดที่เกี่ยวข้องกับผู้รับข้อมูล และเกี่ยวข้องกับข้อมูลที่เป็นความลับ ดังกล่าว จะไม่ยื่นขอรับสิทธิและหรือขอจดทะเบียนเกี่ยวกับทรัพย์สินทางปัญญาใด ๆ ตลอดจนไม่น าไปใช้โดย ไม่ได้รับการอนุญาตเป็นหนังสือจากผู้ให้ข้อมูล เกี่ยวกับรายละเอียดข้อมูลที่เป็นความลับหรือส่วนหนึ่งส่วนใดของ รายละเอียดดังกล่าว
ข้อ 4. การส่งคืน ลบ หรือการท าลายข้อมูลที่เป็นความลับ
เมื่อการด าเนินงานที่มีอยู่ระหว่างผู้ให้ข้อมูลกับผู้รับข้อมูลเสร็จสิ้นลง ผู้รับข้อมูลจะต้องส่ง มอบข้อมูลที่เป็นความลับและส าเนาของข้อมูลที่เป็นความลับที่ผู้รับข้อมูลได้รับไว้คืนให้แก่ผู้ให้ข้อมูล ตลอดจน ลบหรือท าลายข้อมูลที่เป็นความลับที่ถูกจัดเก็บไว้ในคอมพิวเตอร์ หรืออุปกรณ์อื่นใดที่ใช้จัดเก็บข้อมูล (ถ้ามี) หรือด าเนินการอื่นตามที่ได้รับการแจ้งเป็นหนังสือจากผู้ให้ข้อมูล ตลอดจนยุติการใช้ข้อมูลที่เป็นความลับที่ได้ จากผู้ให้ข้อมูลทันที และผู้รับข้อมูลจะต้องรักษาความลับของข้อมูลที่ได้รับจากผู้ให้ข้อมูลตลอดไป แม้ว่า การด าเนินงานเสร็จสิ้นลงแล้วก็ตาม
ข้อ 5. การชดใช้ค่าเสียหาย
ในกรณีที่ผู้รับข้อมูล และ/หรือบุคคลที่ได้รับข้อมูลที่เป็นความลับตามข้อก าหนดนี้ซึ่งอยู่ใน ความรับผิดชอบดูแลของผู้รับข้อมูล ฝ่าฝืนข้อก าหนดตามข้อก าหนดนี้ และก่อให้เกิดความเสียหายแก่ผู้ให้ ข้อมูล ผู้รับข้อมูลจะต้องชดใช้ค่าเสียหายที่เกิดขึ้นทั้งหมดให้แก่ผู้ให้ข้อมูล
ข้อ 6. การบังคับใช้
6.1 ในกรณีที่ปรากฏในภายหลังว่าส่วนใดส่วนหนึ่งในข้อก าหนดฉบับนี้เป็นโมฆะ ให้ถือว่า ข้อก าหนดส่วนที่เป็นโมฆะไม่มีผลบังคับในข้อก าหนดนี้ และข้อก าหนดที่เหลืออยู่ในข้อก าหนดฉบับนี้ ยังคงใช้ บังคับและมีผลอยู่อย่างสมบูรณ์
6.2 ข้อก าหนดฉบับนี้อยู่ภายใต้การบังคับใช้และตีความตามกฎหมายไทย
2
บัญชี ๓ เงื่อนไขด้านความปลอดภัย (Safety Criteria)
หน่วยงานผู้ว่าจ้าง : กองปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ฝ่ายปฏิบัติการเทคโนโลยีดิจิทัล

งานที่ว่าจ้าง : งานจ้างฝึกซ้อมรับมือภัยคุกคามทางไซเบอร์

ระยะเวลาที่ว่าจ้าง : ภายในวันที่ 18 ธันวาคม 2569
การส่งมอบพื้นที่ ⬜ ส่งมอบพื้นที่ ⬜ ไม่ได้ส่งมอบพื้นที่ ✓

กลุ่มงานของผู้รับจ้าง

✓
⚪ กลุ่มที่ ๑ กลุ่มงานที่มีความเสี่ยงต่ า (Low Risk Contracts) ⚪ กลุ่มที่ ๒ กลุ่มงานที่มีความเสี่ยงปานกลาง (Medium Risk Contracts) ⚪ กลุ่มที่ ๓ กลุ่มงานที่มีความเสี่ยงสูง (High Risk Contracts)
๑. รายละเอียดกิจกรรมด้านความปลอดภัย ที่ต้องด าเนินงานตามกลุ่มงานของผู้รับจ้าง
⬜
๑.๑ จัดท าแผนงานความปลอดภัย ให้ผู้ว่าจ้างตรวจสอบและเห็นชอบก่อนเริ่มปฏิบัติงานตามสัญญา อย่างน้อย ดังนี้
(๑) การตรวจสอบพื้นที่ อุปกรณ์ เครื่องจักร และเครื่องมือ
(๒) การฝึกอบรมให้ความรู้ด้านความปลอดภัยในการท างาน
(๓) การรณรงค์ส่งเสริมความปลอดภัยในการท างาน
(๔) การเตรียมความพร้อม และการตอบโต้เหตุฉุกเฉิน
(๕) รายงานการค้นหาและวิเคราะห์อุบัติเหตุที่เกิดขึ้น
⬜ ✓
๑.๒ การชี้บ่งอันตราย และประเมินความเสี่ยงกิจกรรมและการด าเนินงานของผู้รับจ้าง ซึ่งมีผลกระทบต่อ หน่วยงาน ลูกจ้างของผู้รับจ้าง และผู้มีส่วนได้เสียในสถานที่ท างาน ให้ด าเนินการ ดังนี้ ⬜ (๑) กรณีหน่วยงานผู้ว่าจ้างส่งมอบพื้นที่ ให้ผู้รับจ้างจัดท าการวิเคราะห์งานเพื่อความปลอดภัย (Job Safety Analysis) หรือวิธีการอื่นใด และจัดส่งเอกสารให้หน่วยงานผู้ว่าจ้างทวนสอบความครบถ้วน และเหมาะสม
⬜ (๒) กรณีหน่วยงานผู้ว่าจ้างไม่ได้ส่งมอบพื้นที่ ให้พิจารณาทางเลือกอย่างใดอย่างหนึ่ง ดังนี้
✓
(ก) ให้ผู้ว่าจ้างจัดท าการวิเคราะห์งานเพื่อความปลอดภัย หรือวิธีการอื่นใด (ข) ให้ผู้รับจ้างจัดท าการวิเคราะห์งานเพื่อความปลอดภัย หรือวิธีการอื่นใด และจัดส่งเอกสารให้ หน่วยงานผู้ว่าจ้างทวนสอบความครบถ้วน และเหมาะสม
⬜
๑.๓ จัดให้มีการตรวจสุขภาพลูกจ้างของผู้รับจ้างที่ท างานเกี่ยวกับปัจจัยเสี่ยง โดยแพทย์แผนปัจจุบัน ชั้นหนึ่งที่ได้รับใบอนุญาตประกอบวิชาชีพเวชกรรมด้านอาชีวเวชศาสตร์หรือที่ผ่านการอบรมด้าน อาชีวเวชศาสตร์มีเงื่อนไข ดังนี้
⬜ (๑) กรณีสัญญาจ้างตั้งแต่ ๑๘๐ วัน ขึ้นไป จัดให้มีการตรวจสุขภาพลูกจ้างครั้งแรกให้เสร็จสิ้น ภายใน ๓๐ วัน นับตั้งแต่วันที่ลูกจ้างเข้าท างาน และตรวจสุขภาพครั้งต่อไปอย่างน้อยปีละหนึ่งครั้งตามปี ปฏิทิน
⬜ (๒) กรณีสัญญาจ้างไม่ถึง ๑๘๐ วัน จัดให้มีการตรวจสุขภาพลูกจ้างครั้งแรกให้เสร็จสิ้น ภายใน ๓๐ วัน นับตั้งแต่วันที่ลูกจ้างเข้าท างานและตรวจสุขภาพครั้งต่อไปอย่างน้อยปีละหนึ่งครั้งตามปีปฏิทิน หรือให้แสดงใบรับรองแพทย์ของลูกจ้างที่มีระยะเวลาไม่เกิน ๓๐ วัน

⬜ (๓) กรณีปฏิบัติงานในที่อับอากาศ ลูกจ้างต้องมีสุขภาพแข็งแรง สามารถท างานในที่อับอากาศได้  โดยให้ระบุความเห็นของแพทย์ที่บ่งบอกสภาวะสุขภาพของลูกจ้างที่มีผลกระทบ หรือเป็นอุปสรรคต่อการ ท างานหรือลักษณะงานที่ได้รับมอบหมายของลูกจ้าง พร้อมทั้งลงลายมือชื่อแพทย์แผนปัจจุบันชั้นหนึ่ง (เวชกรรมด้านอาชีวเวชศาสตร์หรือผ่านการอบรมด้านอาชีวเวชศาสตร์) ว่าสามารถเข้าท างานใน ที่อับอากาศได้ครั้งต่อไปอย่างน้อยปีละหนึ่งครั้งตามปีปฏิทิน ทั้งนี้ ผลการตรวจสุขภาพ จะต้องน ามาแสดง ต่อผู้ควบคุมงาน หรือผู้บริหารสัญญาก่อนมีการเริ่มด าเนินงานการเข้าท างานในที่อับอากาศ
⬜ 
๑.๔ การค้นหาความจ าเป็นในการใช้อุปกรณ์คุ้มครองความปลอดภัยส่วนบุคคล ให้ด าเนินการ ดังนี้ ⬜ (๑) กรณีหน่วยงานผู้ว่าจ้างส่งมอบพื้นที่ ให้ผู้รับจ้างค้นหาความจ าเป็นในการใช้อุปกรณ์คุ้มครอง ความปลอดภัยส่วนบุคคลให้เหมาะสมกับลักษณะความเสี่ยง และจัดส่งเอกสารให้หน่วยงานผู้ว่าจ้างทวน สอบความครบถ้วน และเหมาะสม

⬜ (๒) กรณีหน่วยงานผู้ว่าจ้างไม่ได้ส่งมอบพื้นที่ ให้ผู้ว่าจ้างค้นหาความจ าเป็นในการใช้อุปกรณ์คุ้มครอง ความปลอดภัยส่วนบุคคลให้เหมาะสมกับลักษณะความเสี่ยง
⬜
๑.๕ การจัดเตรียมความพร้อมของเครื่องดับเพลิงแบบเคลื่อนย้ายได้ ให้ด าเนินการ ดังนี้ ⬜ (๑) กรณีหน่วยงานผู้ว่าจ้างส่งมอบพื้นที่ ให้ผู้รับจ้างจัดเตรียมเครื่องดับเพลิงแบบเคลื่อนย้ายได้ ให้ครบถ้วนและเหมาะสมกับลักษณะงาน
⬜ (๒) กรณีหน่วยงานผู้ว่าจ้างไม่ได้ส่งมอบพื้นที่ ให้ผู้ว่าจ้างจัดเตรียมเครื่องดับเพลิงแบบเคลื่อนย้ายได้ ให้ครบถ้วนและเหมาะสมกับลักษณะงาน
⬜ ✓
๑.๖ จัดส่งข้อมูลการด าเนินงานด้านความปลอดภัยของผู้รับจ้างก่อนเริ่มปฏิบัติงานตามสัญญาจ้าง ดังนี้ (๑) โครงสร้างการบริหารจัดการ หน้าที่ ความรับผิดชอบด้านความปลอดภัย
(๒) หลักสูตร เอกสารแสดงการผ่านการฝึกอบรม และใบอนุญาต ตามที่กฎหมายก าหนด (๓) การตรวจสุขภาพตามปัจจัยเสี่ยง
(๔) การตรวจสอบ ทดสอบ สอบเทียบ และใบรับรองเครื่องมือ เครื่องจักร อุปกรณ์ (๕) ประวัติข้อมูลความสูญเสียและสถิติอุบัติเหตุในอดีต (ถ้ามี)
(๖) ความสามารถในการปฏิบัติตามมาตรฐาน กฎหมายด้านความปลอดภัย (ถ้ามี)
⬜ ✓
๑.๗ ระบบการควบคุมการเข้า-ออก (Access Control) ให้ด าเนินการ ดังนี้
⬜ (๑) กรณีหน่วยงานผู้ว่าจ้างส่งมอบพื้นที่ ให้ผู้รับจ้างจัดให้มีระบบการควบคุมการเข้า-ออก ของผู้รับจ้าง ดังนี้
(ก) การควบคุมบุคคลเข้า-ออก (Personnel Access Control) ก าหนดให้ลูกจ้างของผู้รับจ้าง หรือผู้เกี่ยวข้อง ต้องแสดงหรือแขวนบัตรเพื่อใช้แสดงตนผ่านเข้า-ออก
(ข) การควบคุมการน าสิ่งของเข้า-ออก (Gate Pass) จัดให้มีการควบคุมการน าเครื่องมือ เครื่องจักร อุปกรณ์รวมทั้งวัสดุและสารเคมีอันตราย ที่ทางเข้า การอยู่ในพื้นที่ และการออกนอกพื้นที่ ของผู้รับจ้างหรือผู้เกี่ยวข้อง
(ค) การควบคุมยานพาหนะเข้า-ออก (Vehicle Access Control) จัดให้มีการควบคุม ยานพาหนะที่ใช้ส าหรับส่งคนไปยังสถานที่ท างาน ขนส่งเครื่องมืออุปกรณ์ในการท างาน ตรวจงานโดย ผู้รับผิดชอบของงานหรือโครงการที่ได้รับมอบหมายจากหน่วยงาน เพื่อควบคุมการจราจรและ ความปลอดภัยของยานพาหนะเข้า-ออก โดยปฏิบัติตามกฎความปลอดภัยเฉพาะพื้นที่ หรือระเบียบ ปฏิบัติ ของหน่วยงาน กฟผ. ที่เกี่ยวข้อง

⬜ (๒) กรณีหน่วยงานผู้ว่าจ้างไม่ได้ส่งมอบพื้นที่ ให้ผู้รับจ้างด าเนินการตามระบบการควบคุมการ

✓
เข้า-ออก ของหน่วยงานผู้ว่าจ้างหรือเจ้าของพื้นที่
⬜ ✓
๑.๘ กฎความปลอดภัยทั่วไป กฎเฉพาะงาน เครื่องหมายและป้ายสัญลักษณ์ความปลอดภัย ให้ด าเนินการ ดังนี้
⬜ (๑) กรณีหน่วยงานผู้ว่าจ้างส่งมอบพื้นที่ ให้ผู้รับจ้างจัดให้มีกฎความปลอดภัย เครื่องหมายและ ป้ายสัญลักษณ์ความปลอดภัย เพื่อสื่อสารให้เกิดความเข้าใจและน าไปปฏิบัติ
⬜ (๒) กรณีหน่วยงานผู้ว่าจ้างไม่ได้ส่งมอบพื้นที่ ให้ผู้รับจ้างปฏิบัติตามกฎความปลอดภัย เครื่องหมาย และป้ายสัญลักษณ์ความปลอดภัยของหน่วยงานผู้ว่าจ้างหรือเจ้าของพื้นที่
⬜ ✓
๑.๙ ระบบการแจ้งการกระท าหรือสภาพการณ์ที่ต่ ากว่ามาตรฐาน ให้ด าเนินการ ดังนี้ ⬜ (๑) กรณีหน่วยงานผู้ว่าจ้างส่งมอบพื้นที่ ให้ผู้รับจ้างจัดให้มีระบบการแจ้งการกระท าหรือสภาพการณ์ ที่ต่ ากว่ามาตรฐานของผู้รับจ้าง ดังนี้
(ก) เมื่อลูกจ้างของผู้รับจ้างพบเห็นการกระท าหรือสภาพการณ์ที่ต่ ากว่ามาตรฐาน ต้องแจ้ง ผู้ควบคุมงานของผู้รับจ้าง เพื่อก าหนดมาตรการแก้ไขและการป้องกัน
(ข) ผู้ควบคุมงานของผู้รับจ้างต้องรายงานการกระท าหรือสภาพการณ์ที่ต่ ากว่ามาตรฐาน พร้อม มาตรการแก้ไขและการป้องกัน ต่อผู้ควบคุมงานของผู้ว่าจ้าง
⬜ (๒) กรณีหน่วยงานผู้ว่าจ้างไม่ได้ส่งมอบพื้นที่ ให้ผู้รับจ้างปฏิบัติตามระบบการแจ้งการกระท าหรือ
✓
สภาพการณ์ที่ต่ ากว่ามาตรฐานของหน่วยงานผู้ว่าจ้างหรือหน่วยงานเจ้าของพื้นที่
⬜
๑.๑๐ ด าเนินการสนทนาความปลอดภัย (Safety Talk) เฉพาะงานที่เสี่ยงอันตราย โดยมีหัวข้ออย่างน้อย ดังนี้
(๑) งานที่ต้องปฏิบัติ
(๒) อันตรายที่อาจจะเกิดขึ้นจากการท างาน ระดับความเสี่ยงของงาน อุบัติเหตุที่เคยเกิดขึ้น รวมทั้งข้อควรระวังพิเศษ
(๓) มาตรการควบคุมป้องกัน เช่น กฎเฉพาะงาน การอนุญาตเข้าท างาน การล็อคและการแขวน ป้ายเพื่อความปลอดภัย อุปกรณ์คุ้มครองความปลอดภัยส่วนบุคคล
(๔) การเตรียมความพร้อมสภาพร่างกายก่อนเริ่มท างาน
⬜
๑.๑๑ จัดให้มีการตรวจสอบความปลอดภัยของพื้นที่ อาคาร เครื่องมือ เครื่องจักร อุปกรณ์ตามแผนที่ ก าหนด รวมทั้งจัดท ารายงานผลการตรวจสอบให้ผู้ควบคุมงานของหน่วยงานผู้ว่าจ้าง
⬜
๑.๑๒ จัดและดูแลให้ลูกจ้างของผู้รับจ้างสวมใส่อุปกรณ์คุ้มครองความปลอดภัยส่วนบุคคลที่ได้มาตรฐาน โดยลูกจ้างของผู้รับจ้างมีหน้าที่สวมใส่และดูแลรักษาอุปกรณ์คุ้มครองความปลอดภัยส่วนบุคคลให้ สามารถใช้งานได้ตามสภาพและลักษณะของงานตลอดระยะเวลาท างาน
⬜
๑.๑๓ การขออนุญาตเข้าท างาน (Work Permit) ส าหรับงานตามที่กฎหมายก าหนด และงานหรือพื้นที่ที่ มีความเสี่ยงสูง ให้ด าเนินการ ดังนี้
⬜ (๑) กรณีหน่วยงานผู้ว่าจ้างส่งมอบพื้นที่ ให้ผู้รับจ้างจัดให้มีระบบการขออนุญาตเข้าท างาน และให้ หน่วยงานผู้ว่าจ้างก ากับดูแล ตรวจสอบความครบถ้วน เหมาะสม ส าหรับงาน ดังนี้ (ก) งานในที่อับอากาศ
(ข) งานในที่ที่มีประกายไฟหรือมีความเสี่ยงจากการระเบิด
(ค) งานขุดเจาะ

 (ง) งานในที่ที่มีรังสี

(จ) งานแหล่งพลังงาน
(ฉ) งานที่สูง
(ช) งานเหนือผิวน้ า
(ซ) งานลิฟต์ขนาดใหญ่หรืออุปกรณ์ยกย้ายขนาดใหญ่
(ฌ) งานสารที่เป็นอันตราย
(ญ) งานประดาน้ า
(ฎ) งานอื่น ๆ ตามความจ าเป็น
⬜ (๒) กรณีหน่วยงานผู้ว่าจ้างไม่ได้ส่งมอบพื้นที่ ให้ผู้รับจ้างขออนุญาตเข้าพื้นที่ โดยปฏิบัติตามระบบ การขออนุญาตเข้าท างานของหน่วยงานผู้ว่าจ้างหรือเจ้าของพื้นที่
⬜
๑.๑๔ ควบคุมการปฏิบัติด้วยการสังเกตการท างาน (Task Observation) หรือวิธีการอื่นใด โดยหัวหน้า งานหรือเจ้าหน้าที่ความปลอดภัยในการท างานของผู้รับจ้าง ทั้งนี้หน่วยงานผู้ว่าจ้างอาจด าเนินการตาม ความเหมาะสม โดยพิจารณาตามลักษณะงาน ดังนี้
(๑) งานที่มีวิธีการปฏิบัติด้านความปลอดภัย (Work Instruction)
(๒) งานที่มีกฎความปลอดภัยเฉพาะงานหรือเฉพาะพื้นที่
(๓) งานที่เคยมีประวัติการเกิดอุบัติเหตุระดับความรุนแรงมาก
(๔) งานที่มีระดับความรุนแรงมาก จากการชี้บ่งอันตรายและประเมินความเสี่ยง (๕) งานใหม่หรืองานที่ไม่ได้ท าเป็นประจ า
(๖) งานที่ต้องมีระบบการขออนุญาตเข้าท างาน
⬜
๑.๑๕ ด าเนินการเมื่อเกิดอุบัติการณ์ดังนี้
(๑) แจ้งต่อหน่วยงานผู้ว่าจ้าง โดยทันทีด้วยวาจา โทรศัพท์โทรสารหรือวิธีอื่นใดที่มีรายละเอียด พอสมควร
(๒) ห้ามเคลื่อนย้าย เปลี่ยนแปลงพยานวัตถุและพยานแวดล้อม ก่อนที่หน่วยงานผู้ว่าจ้างเข้าท า การตรวจสอบ ณ จุดเกิดเหตุ
(๓) กรณีเสียชีวิตหรือเกิดอุบัติภัยร้ายแรง ให้แจ้งต่อพนักงานตรวจความปลอดภัยทันทีที่ทราบ โดย โทรศัพท์ โทรสาร หรือวิธีอื่นใด และแจ้งเป็นหนังสือ (สปร.๕) ภายหลังจากเข้าร่วมการค้นหาสาเหตุ อุบัติการณ์ โดยระบุสาเหตุอันตรายที่เกิดขึ้น ความเสียหาย การแก้ไขและวิธีการป้องกันการเกิดซ้ า ทั้งนี้ ภายใน ๗ วันนับแต่วันเกิดเหตุ
(๔) เมื่อเกิดอุบัติเหตุระดับความรุนแรงมาก (Class A) ต้องแจ้งให้หน่วยงานผู้ว่าจ้างเข้าร่วมในการ ค้นหาสาเหตุอุบัติการณ์ทุกครั้ง ส าหรับระดับความรุนแรงปานกลาง หรือระดับความรุนแรงน้อย ให้ หน่วยงานผู้ว่าจ้างพิจารณาการมีส่วนร่วมตามความเหมาะสม
(๕) จัดให้มีการค้นหาสาเหตุอุบัติการณ์ที่เกิดกับลูกจ้างของผู้รับจ้างโดยระบุรายละเอียดของ เหตุการณ์สาเหตุขณะนั้น สาเหตุพื้นฐาน ก าหนดมาตรการแก้ไขและการป้องกัน
(๖) จัดส่งรายงานผลการค้นหาสาเหตุอุบัติการณ์ให้หน่วยงานผู้ว่าจ้าง เพื่อพิจารณาประสิทธิภาพ และประสิทธิผล
(๗) ในกรณีที่ลูกจ้างของผู้รับจ้างประสบอันตรายหรือเจ็บป่วยตามกฎหมายว่าด้วยเงินทดแทน ให้ผู้รับจ้างแจ้งการประสบอันตรายหรือเจ็บป่วยต่อส านักงานประกันสังคม และส่งส าเนาหนังสือแจ้งต่อ พนักงานตรวจความปลอดภัยภายใน ๗ วัน พร้อมทั้งส่งส าเนาให้หน่วยงานผู้ว่าจ้าง

4
⬜ ✓
๑.๑๖ ด าเนินการเกี่ยวกับการเตรียมความพร้อมและการตอบโต้เหตุฉุกเฉิน
⬜ (๑) กรณีหน่วยงานผู้ว่าจ้างส่งมอบพื้นที่ ให้ผู้รับจ้างด าเนินการ ดังนี้
(ก) วิเคราะห์และประเมินความจ าเป็นในการรองรับและตอบโต้เหตุฉุกเฉิน (ข) จัดท าแผนรองรับและตอบโต้เหตุฉุกเฉิน
(ค) ฝึกซ้อมแผนรองรับและตอบโต้เหตุฉุกเฉิน
(ง) ประเมินผลการฝึกซ้อมและประเมินผลภายหลังการเกิดเหตุจริงทุกครั้ง (จ) รายงานผลการฝึกซ้อม
⬜ (๒) กรณีหน่วยงานผู้ว่าจ้างไม่ได้ส่งมอบพื้นที่ ให้ผู้รับจ้างปฏิบัติตามแผนรองรับและตอบโต้เหตุฉุกเฉิน
✓
ของหน่วยงานผู้ว่าจ้างหรือหน่วยงานเจ้าของพื้นที่
⬜
๑.๑๗ จัดส่งรายงานด้านความปลอดภัย เพื่อใช้ในการประเมินผลและติดตามการปฏิบัติด้าน ความปลอดภัยทุกเดือน ดังนี้
(๑) จ านวนลูกจ้างและจ านวนชั่วโมงการท างาน
(๒) จ านวนการเกิดอุบัติการณ์
(๓) รายงานผลการด าเนินงานตามแผนงานความปลอดภัย
(๔) สรุปผลการตรวจสอบความปลอดภัยของพื้นที่ อาคาร เครื่องมือ เครื่องจักร อุปกรณ์ (๕) รายงานการประชุมคณะกรรมการความปลอดภัย (ถ้ามี)
๒. ชี้บ่งกฎหมาย ระเบียบด้านความปลอดภัยที่เกี่ยวข้อง
๒.๑ กฎหมายความปลอดภัย
⬜ พระราชบัญญัติ ความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการท างาน พ.ศ. ๒๕๕๔
✓
⬜ กฎกระทรวง ก าหนดมาตรฐานในการบริหารและการจัดการด้านความปลอดภัย อาชีวอนามัย และ
✓
สภาพแวดล้อมในการท างาน พ.ศ. ๒๕๔๙
⬜ กฎกระทรวง ก าหนดมาตรฐานในการบริหารและการจัดการด้านความปลอดภัย อาชีวอนามัย และ สภาพแวดล้อมในการท างาน (ฉบับที่ ๒) พ.ศ. ๒๕๕๓
⬜ กฎกระทรวง ก าหนดหลักเกณฑ์และวิธีการตรวจสุขภาพของลูกจ้าง และส่งผลการตรวจแก่พนักงานตรวจ แรงงาน พ.ศ. ๒๕๔๗
⬜ กฎกระทรวง ก าหนดมาตรฐานในการบริหาร จัดการ และด าเนินการด้านความปลอดภัย อาชีวอนามัย และ สภาพแวดล้อมในการท างานเกี่ยวกับที่อับอากาศ พ.ศ. ๒๕๖๒
⬜ กฎกระทรวง ก าหนดมาตรฐานในการบริหารและการจัดการด้านความปลอดภัย อาชีวอนามัย และ สภาพแวดล้อมในการท างานเกี่ยวกับงานประดาน้ า พ.ศ. ๒๕๔๘
⬜ กฎกระทรวง ก าหนดมาตรฐานในการบริหารและการจัดการด้านความปลอดภัย อาชีวอนามัย และ สภาพแวดล้อมในการท างานเกี่ยวกับรังสีชนิดก่อไอออน พ.ศ. ๒๕๔๗
⬜ กฎกระทรวง ก าหนดมาตรฐานในการบริหารและการจัดการด้านความปลอดภัย อาชีวอนามัย และ สภาพแวดล้อมในการท างานเกี่ยวกับงานก่อสร้าง พ.ศ. ๒๕๕๑
⬜ กฎกระทรวง ก าหนดมาตรฐานในการบริหารและการจัดการด้านความปลอดภัย อาชีวอนามัย และ สภาพแวดล้อมในการท างานเกี่ยวกับเครื่องจักร ปั้นจั่น และหม้อน้ า พ.ศ. ๒๕๕๒
⬜ กฎกระทรวง ก าหนดมาตรฐานในการบริหาร จัดการ และด าเนินการด้านความปลอดภัย อาชีวอนามัย และ สภาพแวดล้อมในการท างานเกี่ยวกับการป้องกันและระงับอัคคีภัย พ.ศ. ๒๕๕๕

5
⬜ กฎกระทรวง ก าหนดมาตรฐานในการบริหาร จัดการ และด าเนินการด้านความปลอดภัย อาชีวอนามัย และ สภาพแวดล้อมในการท างานเกี่ยวกับสารเคมีอันตราย พ.ศ. ๒๕๕๖
⬜ กฎกระทรวง ก าหนดมาตรฐานในการบริหาร จัดการ และด าเนินการด้านความปลอดภัย อาชีวอนามัย. และ สภาพแวดล้อมในการท างานเกี่ยวกับไฟฟ้า พ.ศ. ๒๕๕๘
⬜ กฎกระทรวง ก าหนดมาตรฐานในการบริหาร จัดการ และด าเนินการด้านความปลอดภัย อาชีวอนามัย และ สภาพแวดล้อมในการท างานเกี่ยวกับความร้อน แสงสว่าง และเสียง พ.ศ. ๒๕๕๙
⬜ กฎกระทรวง ว่าด้วยการจัดสวัสดิการในสถานประกอบกิจการ พ.ศ. ๒๕๔๘
⬜ อื่น ๆ (ระบุ) ……………………………………………………………
๒.๒ ระเบียบด้านความปลอดภัยของหน่วยงาน/กฟผ.
⬜ ระเบียบ กฟผ. ที่ ๑๒๙ ว่าด้วย ข้อก าหนดส าหรับการด าเนินงานด้านความปลอดภัยในการท างานเกี่ยวกับงาน ก่อสร้าง
⬜ ระเบียบ กฟผ. ที่ ๑๐๐ ว่าด้วยมาตรฐานเครื่องหมายความปลอดภัย
⬜ ระเบียบ กฟผ. ที่ ๖๖ ว่าด้วยข้อก าหนดการแขวนป้ายเพื่อความปลอดภัย พ.ศ. ๒๕๔๘ ⬜ อื่น ๆ (ระบุ) ระเบียบข้อบังคับว่าด้วยความปลอดภัยของ กฟผ.
ประกาศฝ่ายบริหารและจัดการทรัพยากรว่าด้วยกฎความปลอดภัยทั่วไป
๓. โครงสร้างการบริหารจัดการ บุคลากร และหน้าที่ ความรับผิดชอบด้านความปลอดภัย
⬜ คณะกรรมการความปลอดภัย อาชีวอนามัยและสภาพแวดล้อมในการท างาน
⬜ หน่วยงานความปลอดภัย
⬜ เจ้าหน้าที่ความปลอดภัย
⬜ หัวหน้างาน
✓
⬜ ลูกจ้างของผู้รับจ้าง
⬜ อื่น ๆ (ระบุ) ……………………………………..

เกณฑ์พิจารณาหน่วยงานและบุคลากร
ประเภทกิจการ
จ านวนลูกจ้าง
จป.บริหาร
จป.หัวหน้างาน
จป.วิชาชีพ
จป.เทคนิค ขั้นสูง
จป.เทคนิค
หน่วยงานความ ปลอดภัย
(๑)
๒ คน ขึ้นไป
ระดับบริหารทุกคน
หัวหน้างานทุกคน
อย่างน้อย
๑ คน
-
-
จัดให้มี
(๒) ถึง (๕)
๒ – ๑๙ คน
ระดับบริหารทุกคน
หัวหน้างานทุกคน
-
-
-
-
๒๐ – ๔๙
ระดับบริหารทุกคน
หัวหน้างานทุกคน
-
-
๑ คน
ปฏิบัติงานความปลอดภัย ไม่น้อยกว่า วันละ ๑ ช.ม.
-
๕๐ – ๙๙
ระดับบริหารทุกคน
หัวหน้างานทุกคน
-
๑ คน
-
-
๑๐๐ คนขึ้นไป
ระดับบริหารทุกคน
หัวหน้างานทุกคน
อย่างน้อย
๑ คน
-
-
-
๒๐๐ คนขึ้นไป
ระดับบริหารทุกคน
หัวหน้างานทุกคน
อย่างน้อย
๑ คน
-
-
จัดให้มี
(๖) ถึง (๑๔)
๒๐ คนขึ้นไป
ระดับบริหารทุกคน
หัวหน้างานทุกคน
-
-
-
-
เกณฑ์พิจารณาคณะกรรมการความปลอดภัยฯ
ประเภทกิจการ
จ านวนลูกจ้าง
คณะกรรมการความปลอดภัยฯ (คปอ.)

6
(๑) ถึง (๑๔)
๕๐ – ๙๙ คน
ไม่น้อยกว่า ๕ คน
(๑) ถึง (๑๔)
๑๐๐ – ๔๙๙ คน
ไม่น้อยกว่า ๗ คน
(๑) ถึง (๑๔)
๕๐๐ คนขึ้นไป
ไม่น้อยกว่า ๑๑ คน

๔. คุณสมบัติด้านความปลอดภัยเบื้องต้นของผู้รับจ้าง
๔.๑ หลักสูตร เอกสารแสดงการผ่านการฝึกอบรม และใบอนุญาต ตามที่กฎหมายก าหนด
(๑) การบริหารจัดการ
⬜ เจ้าหน้าที่ความปลอดภัยในการท างานระดับบริหาร พร้อมหลักฐานการขึ้นทะเบียน
⬜ เจ้าหน้าที่ความปลอดภัยในการท างานระดับหัวหน้างาน พร้อมหลักฐานการขึ้นทะเบียน ⬜ เจ้าหน้าที่ความปลอดภัยในการท างานระดับเทคนิค พร้อมหลักฐานการขึ้นทะเบียน
⬜ เจ้าหน้าที่ความปลอดภัยในการท างานระดับเทคนิคขั้นสูง พร้อมหลักฐานการขึ้นทะเบียน ⬜ เจ้าหน้าที่ความปลอดภัยในการท างานระดับวิชาชีพ พร้อมหลักฐานการขึ้นทะเบียน
⬜ คณะกรรมการความปลอดภัย อาชีวอนามัยและสภาพแวดล้อมในการท างานของสถานประกอบกิจการ ⬜ ความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการท างานส าหรับลูกจ้างทั่วไปและลูกจ้างเข้าท างานใหม่ ⬜ หัวหน้าหน่วยงานความปลอดภัย
(๒) การท างานในที่อับอากาศ
⬜ ผู้อนุญาต ⬜ ผู้ควบคุมงาน ⬜ ผู้ช่วยเหลือ ⬜ ผู้ปฏิบัติงานในที่อับอากาศ
⬜ ใบรับรองผลการตรวจสุขภาพพิเศษตามกฎหมายก าหนด
(๓) การท างานเกี่ยวกับรังสี
⬜ การป้องกันอันตรายทางรังสี ของผู้รับผิดชอบด าเนินการทางด้านเทคนิคในเรื่องรังสี
⬜ อันตรายและวิธีการป้องกันอันตรายจากรังสีก่อนเข้ารับหน้าที่ส าหรับลูกจ้างที่ปฏิบัติงานเกี่ยวกับรังสี
(๔) การท างานเกี่ยวกับงานก่อสร้าง
⬜ อบรมการใช้เครื่องจักร รหัสสัญญาณต่าง ๆ
⬜ อบรมการช่วยเหลือและการปฐมพยาบาลเบื้องต้น
⬜ อบรมผู้บังคับเครื่องตอกเสาเข็ม
⬜ อบรมความปลอดภัยในการใช้เครื่องจักรที่อาจเกิดอันตราย
⬜ ผู้บังคับปั้นจั่น ผู้ให้สัญญาณแก่ ผู้บังคับปั้นจั่น ผู้ยึดเกาะวัสดุ หรือผู้ควบคุมการใช้ปั้นจั่น ⬜ อบรมการใช้ลิฟต์ขนส่งวัสดุชั่วคราวและลิฟต์โดยสารชั่วคราวในงานก่อสร้าง
⬜ อบรมวิธีท างานในอุโมงค์และวิธีป้องกันอันตรายแก่ลูกจ้างก่อนเข้าท างานในอุโมงค์
⬜ อบรมและฝึกซ้อมกรณีเกิดภัยธรรมชาติ
⬜ อบรมขั้นตอนและวิธีการรื้อถอนท าลายสิ่งก่อสร้าง
⬜ การใช้อุปกรณ์ป้องกันอันตรายส่วนบุคคลส าหรับงานก่อสร้าง
(๕) การท างานเกี่ยวกับเครื่องจักร ปั้นจั่น และหม้อน้ า

7
⬜ การท างานเกี่ยวกับเครื่องปั๊มโลหะ เครื่องเชื่อมไฟฟ้า เครื่องเชื่อมก๊าซ รถยก หรือเครื่องจักรที่อาจก่อให้เกิด อันตรายได้โดยสภาพ
⬜ อบรมผู้ขับรถยก
⬜ ผู้บังคับปั้นจั่น ผู้ให้สัญญาณแก่ ผู้บังคับปั้นจั่น ผู้ยึดเกาะวัสดุ หรือผู้ควบคุมการใช้ปั้นจั่น ⬜ ผู้ควบคุมประจ าหม้อน้ า หรือหม้อต้มที่ใช้ของเหลวเป็นสื่อน าความร้อน
(๖) การท างานเกี่ยวกับไฟฟ้า
⬜ ความปลอดภัยในการท างานเกี่ยวกับไฟฟ้าส าหรับลูกจ้างซึ่งปฏิบัติงานเกี่ยวกับไฟฟ้า
(๗) การท างานเกี่ยวกับสารเคมีอันตราย
⬜ ความปลอดภัยเกี่ยวกับสารเคมี
⬜ วิธีการแก้ไขปัญหาเมื่อเกิดเหตุฉุกเฉินขณะขนถ่าย เคลื่อนย้าย หรือขนส่งสารเคมีอันตราย ⬜ การควบคุมและระงับเหตุอันตรายกรณีเกิดเหตุฉุกเฉินเกี่ยวกับสารเคมีอันตราย
⬜ ความปลอดภัยในการท างานส าหรับผู้ปฏิบัติงานในสถานที่เก็บรักษาสารเคมีและวัตถุอันตราย
(๘) การป้องกันและระงับอัคคีภัย
⬜ การดับเพลิงขั้นต้น
(๙) อื่น ๆ
⬜ (ระบุ) …………………………………………………
๔.๒ การตรวจสุขภาพตามปัจจัยเสี่ยง
⬜ ตรวจสมรรถภาพปอด
⬜ ตรวจสมรรถภาพการได้ยิน
⬜ ตรวจสมรรถภาพการมองเห็น
⬜ ตรวจด้านพิษวิทยา
⬜ อื่น ๆ (ระบุ) …………………………………………………
๔.๓ การตรวจสอบ ทดสอบ สอบเทียบ และใบรับรองเครื่องมือ เครื่องจักร อุปกรณ์
⬜ รายการเครื่องมือ เครื่องจักร อุปกรณ์ ……………………………..
๔.๔ ประวัติข้อมูลความสูญเสียและสถิติอุบัติเหตุในอดีต (ถ้ามี)
⬜ ข้อมูลการบาดเจ็บ การเสียชีวิต สูญเสียอวัยวะ ทุพพลภาพถาวร บาดเจ็บมีผลท าให้เป็นอัมพาต ⬜ ข้อมูลสถิติอุบัติเหตุ (IFR, ISR, DII)
๔.๕ ความสามารถในการปฏิบัติตามมาตรฐาน กฎหมายด้านความปลอดภัย (ถ้ามี)
⬜ ใบรับรองระบบการจัดการความปลอดภัย
⬜ รางวัลด้านความปลอดภัย
⬜ อื่น ๆ ……………………………………………………………

8
บัญชี ๔ ข้อมูลการด าเนินงานด้านความปลอดภัยของผู้รับจ้างที่ต้องจัดส่งก่อนเริ่มปฏิบัติงานตามสัญญาจ้าง
หน่วยงานผู้ว่าจ้าง : กองปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ฝ่ายปฏิบัติการเทคโนโลยีดิจิทัล
งานที่ว่าจ้าง: งานจ้างฝึกซ้อมรับมือภัยคุกคามทางไซเบอร์
บริษัทผู้รับจ้าง :
๑. โครงสร้างการบริหารจัดการ บุคลากร และหน้าที่ ความรับผิดชอบด้านความปลอดภัย
บุคลากร
รายชื่อ
หน้าที่
ความรับผิดชอบ
หลักฐาน/
ใบรับรอง
⬜ คณะกรรมการความปลอดภัย อาชีวอนามัยและ สภาพแวดล้อมในการท างาน ……. คน

⬜ หน่วยงานความปลอดภัย....... คน






⬜ เจ้าหน้าที่ความปลอดภัยระดับบริหาร....... คน






⬜ เจ้าหน้าที่ความปลอดภัยระดับหัวหน้างาน....... คน






⬜ เจ้าหน้าที่ความปลอดภัยระดับวิชาชีพ....... คน






⬜ เจ้าหน้าที่ความปลอดภัยระดับเทคนิคขั้นสูง.......คน






⬜ เจ้าหน้าที่ความปลอดภัยระดับเทคนิค....... คน






⬜ ผู้บริหาร/ผู้จัดการ....... คน






⬜ หัวหน้างาน....... คน






⬜ ลูกจ้าง....... คน






⬜ อื่น ๆ (ระบุ) ..................






๒. หลักสูตร เอกสารแสดงการผ่านการฝึกอบรม และใบอนุญาต ตามที่กฎหมายก าหนด
๒.๑ หลักสูตรอบรมพื้นฐาน 
รายชื่อ 
หลักฐาน/ใบรับรอง
(๑) ความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการ ท างานส าหรับลูกจ้างทั่วไปและลูกจ้างเข้าท างานใหม่




(๒) การดับเพลิงขั้นต้น




๒.๒ หลักสูตรอบรมเฉพาะตามความเสี่ยง 
รายชื่อ 
หลักฐาน/ใบรับรอง
⬜ การท างานในที่อับอากาศ




⬜ การท างานเกี่ยวกับรังสี




⬜ การท างานเกี่ยวกับงานก่อสร้าง




⬜ การท างานเกี่ยวกับเครื่องจักร ปั้นจั่น และหม้อน้ า




⬜ การท างานเกี่ยวกับไฟฟ้า




⬜ การท างานเกี่ยวกับสารเคมีอันตราย




⬜ อื่น ๆ (ระบุ) ...........................

1
๓. การตรวจสุขภาพตามปัจจัยเสี่ยง
ลักษณะงาน
แหล่ง
อันตราย
การตรวจสุขภาพตามปัจจัยเสี่ยงของงาน
ผลการตรวจสุขภาพ/ ใบรับรองแพทย์
ตรวจสมรรถภาพ ปอด
ตรวจสมรรถภาพ การได้ยิน
ตรวจสมรรถภาพ การมองเห็น
ตรวจด้าน
พิษวิทยา

๔. การตรวจสอบ ทดสอบ สอบเทียบ และใบรับรองเครื่องมือ เครื่องจักร อุปกรณ์
รายการเครื่องมือ เครื่องจักร อุปกรณ์ 
หลักฐาน/ใบรับรอง 
วันหมดอายุ
























๕. ประวัติข้อมูลความสูญเสียและสถิติอุบัติเหตุในอดีต (ถ้ามี)
⬜ ข้อมูลการบาดเจ็บ การเสียชีวิต สูญเสียอวัยวะ ทุพพลภาพถาวร บาดเจ็บมีผลท าให้เป็นอัมพาต
……………………………………………………………………………… ……………………………………………………………………………… ………………………………………………………………………………
⬜ ข้อมูลสถิติอุบัติเหตุ (IFR, ISR, DII) 
……………………………………………………………………………...
๖. ความสามารถในการปฏิบัติตามมาตรฐาน กฎหมายด้านความปลอดภัย (ถ้ามี)
⬜ ใบรับรองระบบการจัดการความปลอดภัย 
……………………………………………………………………………....
⬜ รางวัลด้านความปลอดภัย 
………………………………………………………………………….……
⬜ อื่น ๆ 
…………………………………………………………………………….…

2
บัญชี ๕ แบบประเมินผลการด าเนินงานด้านความปลอดภัยของผู้รับจ้าง
หน่วยงานผู้ว่าจ้าง : กองปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ ฝ่ายปฏิบัติการเทคโนโลยี ดิจิทัล
ผู้ประเมิน : ………………..
วันที่ประเมิน : ……………….
งานที่ว่าจ้าง : งานจ้างฝึกซ้อมรับมือภัยคุกคามทางไซเบอร์
บริษัทผู้รับจ้าง : …………………… สัญญาเลขที่ : ………………..
กลุ่มงานของผู้รับจ้าง
⚪ กลุ่มที่ ๑ กลุ่มงานที่มีความเสี่ยงต่ า (Low Risk Contracts)
⚪ กลุ่มที่ ๒ กลุ่มงานที่มีความเสี่ยงปานกลาง (Medium Risk Contracts)
⚪ กลุ่มที่ ๓ กลุ่มงานที่มีความเสี่ยงสูง (High Risk Contracts)
หัวข้อประเมิน
น้ าหนัก
เกณฑ์พิจารณา
คะแนนเต็ม �� น้ าหนัก
คะแนนที่ได้ �� น้ าหนัก
๑. หลักฐาน/ใบรับรอง การตรวจสอบ
ทดสอบ สอบเทียบ เครื่องมือ เครื่องจักร อุปกรณ์
๑๐
๔ คะแนน = ดีกว่าเกณฑ์ที่ก าหนด
(ก่อนระยะเวลาที่ก าหนด และถูกต้อง ครบถ้วน) ๓ คะแนน = เป็นไปตามเกณฑ์ที่ก าหนด
(ตามระยะเวลาที่ก าหนด และถูกต้อง ครบถ้วน) ๒ คะแนน = ไม่เป็นไปตามเกณฑ์ แต่ไม่เกิดผลกระทบ (ตามระยะเวลาที่ก าหนด แต่ไม่ถูกต้องหรือไม่ครบถ้วน) ๑ คะแนน = ไม่เป็นไปตามเกณฑ์ และเกิดผลกระทบ (หลังระยะเวลาที่ก าหนด และไม่ถูกต้องหรือไม่ครบถ้วน) N/A = ไม่เกี่ยวข้อง

๒. หลักฐาน/ใบรับรอง การฝึกอบรม

ใบอนุญาต และผล
การตรวจสุขภาพ
ตามที่กฎหมาย
ก าหนด
๑๐
๔ คะแนน = ดีกว่าเกณฑ์ที่ก าหนด
(ก่อนระยะเวลาที่ก าหนด และถูกต้อง ครบถ้วน) ๓ คะแนน = เป็นไปตามเกณฑ์ที่ก าหนด
(ตามระยะเวลาที่ก าหนด และถูกต้อง ครบถ้วน) ๒ คะแนน = ไม่เป็นไปตามเกณฑ์ แต่ไม่เกิดผลกระทบ (ตามระยะเวลาที่ก าหนด แต่ไม่ถูกต้องหรือไม่ครบถ้วน) ๑ คะแนน = ไม่เป็นไปตามเกณฑ์ และเกิดผลกระทบ (หลังระยะเวลาที่ก าหนด และไม่ถูกต้องหรือไม่ครบถ้วน) N/A = ไม่เกี่ยวข้อง

๓. การปฏิบัติตาม

แผนงานความ
ปลอดภัย
๒๕
๔ คะแนน = ดีกว่าเกณฑ์ที่ก าหนด
(ท าได้เร็วกว่าแผน กิจกรรมครบถ้วน บรรลุเป้าหมาย) ๓ คะแนน = เป็นไปตามเกณฑ์ที่ก าหนด
(เป็นไปตามแผน กิจกรรมครบถ้วน บรรลุเป้าหมาย) ๒ คะแนน = ไม่เป็นไปตามเกณฑ์ แต่ไม่เกิดผลกระทบ (ช้ากว่าแผน กิจกรรมครบถ้วน บรรลุเป้าหมาย) ๑ คะแนน = ไม่เป็นไปตามเกณฑ์ และเกิดผลกระทบ (ช้ากว่าแผน กิจกรรมไม่ครบถ้วน ไม่บรรลุเป้าหมาย)

1
หัวข้อประเมิน
น้ าหนัก
เกณฑ์พิจารณา
คะแนนเต็ม �� น้ าหนัก
คะแนนที่ได้ �� น้ าหนัก
๔. สวมใส่อุปกรณ์
อุปกรณ์คุ้มครองความ ปลอดภัยส่วนบุคคล (PPE) ระหว่าง
ปฏิบัติงาน
๑๕
๔ คะแนน = สวมใส่ครบถ้วนตลอดเวลาท างาน และ เหมาะสมกับลักษณะงานต่อรอบการประเมิน
๓ คะแนน = มีการแจ้ง พบเห็นไม่สวมใส่ PPE หรือไม่ เหมาะสมกับลักษณะงาน ไม่เกิน ๓ ครั้งต่อรอบการประเมิน ๒ คะแนน = มีการแจ้ง หรือพบเห็นไม่สวมใส่ PPE หรือไม่ เหมาะสมกับลักษณะงาน มากกว่า ๓ ครั้งแต่ไม่เกิน ๕ ครั้ง ต่อรอบการประเมิน
๑ คะแนน = มีการแจ้ง หรือพบเห็นไม่สวมใส่ PPE หรือไม่ เหมาะสมกับลักษณะงาน มากกว่า ๕ ครั้งขึ้นไปต่อรอบการ ประเมิน
N/A = ไม่เกี่ยวข้อง

๕.การปฏิบัติตาม

ข้อก าหนดกฎหมาย/ ระเบียบ กฎความ
ปลอดภัยของ
หน่วยงาน
๒๐
๔ คะแนน = ปฏิบัติตามข้อก าหนดกฎหมาย/ระเบียบ กฎ ความปลอดภัยของหน่วยงานโดยไม่มีการฝ่าฝืนต่อรอบการ ประเมิน
๓ คะแนน = ละเมิด/ฝ่าฝืนระเบียบ กฎความปลอดภัยของ หน่วยงาน ไม่เกิน ๓ ครั้งต่อรอบการประเมิน
๒ คะแนน = ละเมิด/ฝ่าฝืนระเบียบ กฎความปลอดภัยของ หน่วยงาน มากกว่า ๓ ครั้งขึ้นไปต่อรอบการประเมิน ๑ คะแนน = ฝ่าฝืนข้อก าหนดกฎหมายต่อรอบการประเมิน

๖.ขณะปฏิบัติงานมี อุบัติเหตุเกิดขึ้น
๒๐ 
๔ คะแนน = ไม่มีอุบัติเหตุเกิดขึ้น

๓ คะแนน = เกิดอุบัติเหตุระดับความรุนแรงน้อย (Class C) (ปฐมพยาบาล หรือไม่หยุดงาน)
(ทรัพย์สินเสียหายไม่ถึง ๑๐๐,๐๐๐ บาท)
๒ คะแนน = เกิดอุบัติเหตุระดับความรุนแรงปานกลาง (Class B)
(บาดเจ็บหรือเจ็บป่วยหยุดงาน ตั้งแต่ ๑ วันขึ้นไป) (ทรัพย์สินเสียหายตั้งแต่ ๑๐๐,๐๐๐ บาท ขึ้นไป แต่ไม่ถึง ๕๐๐,๐๐๐ บาท )
๑ คะแนน = เกิดอุบัติเหตุระดับความรุนแรงมาก (Class A) (เสียชีวิต, สูญเสียอวัยวะ, ทุพพลภาพถาวร, บาดเจ็บมีผลท าให้ เป็นอัมพาต)
(ทรัพย์สินเสียหายตั้งแต่ ๕๐๐,๐๐๐ บาท ขึ้นไป)

รวม 
๑๐๐






คะแนนสมรรถนะ

ด้านความปลอดภัย
∑(คะแนนที่ได้�� น้ าหนัก)
∑(คะแนนเต็ม �� น้ าหนัก)�� ๑๐๐

= __________ %

หมายเหตุ : ๑. กรณีผลคะแนนสมรรถนะด้านความปลอดภัยของผู้รับจ้างมีค่าคะแนนตั้งแต่ร้อยละ ๗๕ ขึ้นไป ให้เก็บผลการประเมิน ของแต่ละงานไว้ที่หน่วยงานผู้ว่าจ้าง
๒. กรณีผลคะแนนสมรรถนะด้านความปลอดภัยของผู้รับจ้างมีค่าคะแนนไม่ถึงร้อยละ ๗๕ ให้หน่วยงานส่งผลการประเมินให้ฝ่ายจัดซื้อ จัดจ้างและบริหารพัสดุในส านักงานใหญ่ หรือหน่วยงานจัดซื้อจัดจ้างในส่วนภูมิภาคและเก็บส าเนาผลการประเมินไว้ที่หน่วยงานผู้ว่าจ้าง
2
ข้อก าหนดด้านความมั่นคงปลอดภัยไซเบอร์ส าหรับผู้ให้บริการภายนอก
(Cybersecurity Requirements for Third-Party Providers)
(ถือเป็นส่วนหนึ่งของสัญญา)
วัตถุประสงค์ (Objectives)
ข้อก าหนดนี้มีวัตถุประสงค์เพื่อก าหนดแนวทางด้านความมั่นคงปลอดภัยไซเบอร์ส าหรับผู้ให้บริการ ภายนอกของ กฟผ. โดยมีเป้าหมายในการป้องกันความเสี่ยงที่อาจเกิดจากการให้บริการภายนอกที่เกี่ยวข้องกับ ระบบและข้อมูลส าคัญ รวมถึงสร้างความมั่นใจว่าผู้ให้บริการปฏิบัติตามมาตรฐานความปลอดภัยและกฎหมายที่ เกี่ยวข้อง ตลอดจนส่งเสริมการบริหารจัดการความปลอดภัยไซเบอร์ที่มีประสิทธิภาพระหว่าง กฟผ. และผู้
ให้บริการภายนอก

การเข้าถึงข้อมูล (Data Access)
1.1 ผู้ให้บริการต้องจ ากัดการเข้าถึงข้อมูลส าคัญเฉพาะบุคคลที่มีความจ าเป็นต้องใช้เท่านั้น (Need-to-Know Basis)
1.2 ผู้ให้บริการต้องมีการยืนยันตัวตน (Authentication) และการตรวจสอบสิทธิ์ (Authorization) ส าหรับ การเข้าถึงข้อมูลทุกครั้ง
1.3 การเข้าถึงระบบที่ส าคัญต้องใช้การยืนยันตัวตนแบบหลายขั้นตอน (Multi-Factor Authentication - MFA)
การจัดเก็บข้อมูล (Data Storage)
2.1 ข้อมูลส าคัญของ กฟผ. ต้องถูกเข้ารหัสทั้งในระหว่างการจัดเก็บ (Data-at-Rest) และในระหว่างการ ส่งผ่าน (Data-in-Transit)
2.2 ผู้ให้บริการต้องจัดการให้มีการส ารองข้อมูล (Data Backup) ข้อมูลที่ส าคัญอย่างสม่ าเสมอ และจัดเก็บ ในสถานที่ที่ปลอดภัย
2.3 ผู้ให้บริการต้องมีมาตรการป้องกันการเข้าถึงข้อมูลส ารองที่ไม่ได้รับอนุญาต
การสื่อสารข้อมูล (Data Communication)
3.1 การสื่อสารข้อมูลระหว่าง กฟผ. และผู้ให้บริการต้องใช้การเข้ารหัสที่เป็นมาตรฐานสากล เช่น TLS/SSL 3.2 ผู้ให้บริการต้องใช้ VPN ที่ปลอดภัยส าหรับการสื่อสารข้อมูลที่ส าคัญของ กฟผ.
3.3 ห้ามใช้โปรโตคอลหรือวิธีการสื่อสารที่ไม่ได้รับการอนุญาติจาก กฟผ.
การจัดการความปลอดภัย (Security Management)
4.1 ผู้ให้บริการต้องด าเนินการตามแนวปฏิบัติที่ดีที่สุดในด้านความมั่นคงปลอดภัยไซเบอร์ เช่น การอัปเดต ซอฟต์แวร์และแพตช์ความปลอดภัยอย่างสม่ าเสมอ
4.2 ผู้ให้บริการต้องมีการตรวจสอบและบันทึกการเข้าถึงข้อมูลส าหรับระบบที่มีความส าคัญ 4.3 ผู้ให้บริการต้องมีการตรวจสอบภายในและการทดสอบความปลอดภัย (Security Testing) อย่าง สม่ าเสมอ
1
การจัดการเหตุการณ์ความปลอดภัย (Incident Management)
5.1 ผู้ให้บริการต้องรายงานเหตุการณ์ความมั่นคงปลอดภัยไซเบอร์ในระดับร้ายแรงที่เกิดขึ้นกับผู้ให้บริการ หรือเกิดขึ้นกับ กฟผ. ให้แก่ กฟผ. ทราบภายใน 24 ชั่วโมง นับจากเวลาที่เกิดเหตุการณ์ 5.2 เมื่อมีเหตุการณ์ความมั่นคงปลอดภัยไซเบอร์ในระดับร้ายแรงกับผู้ให้บริการหรือเกิดขึ้นกับ กฟผ. ผู้ให้บริการต้องแจ้งแผนการตอบสนองต่อเหตุการณ์ (Incident Response Plan) ให้ กฟผ. ทราบ 5.3 ผู้ให้บริการต้องร่วมมือกับ กฟผ. ในการตรวจสอบและแก้ไขปัญหาที่เกิดขึ้นจากเหตุการณ์ความมั่นคง ปลอดภัยไซเบอร์
การตรวจสอบและการปฏิบัติตามข้อก าหนด (Audit and Compliance)
6.1 กฟผ. มีสิทธิ์ในการตรวจสอบและประเมินความมั่นคงปลอดภัยทางไซเบอร์ของผู้ให้บริการตลอด ระยะเวลาของสัญญา
6.2 ผู้ให้บริการต้องปฏิบัติตามพระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และ มาตรฐาน ISO/IEC 27001
2
ข อมูลประชาสัมพันธ และช องทางรับข อคิดเห็นหรือข อร องเรียน ด านการส งเสริมคุณธรรมและความโปร งใสในการดำเนินการ
นโยบายต อต านการให หรือรับสินบนเพื่อป*องกันการทุจริต
และประพฤติมิชอบ

จรรยาบรรณของผู ปฏิบัติงานจัดซื้อจัดจ างและบริหารพัสดุ ช องทางรับข อคิดเห็นหรือข อร องเรียน *

การแจ งข อคิดเห็นหรือข อร องเรียนทางเว็บไซต กฟผ. * จรรยาบรรณคู ค า กฟผ. **

ไม ใช ช องทางแสดงความคิดเห็นร างขอบเขตของงานหรือรายละเอียดคุณลักษณะเฉพาะของพัสดุที่จะ ซื้อหรือจาง/ ร างประกาศ/ ร างเอกสารประกวดราคาฯ
** กฟผ. จัดทำและเผยแพร จรรยาบรรณคู คา เพื่อใหคู คาของ กฟผ. ทุกรายมีแนวปฏิบัติในการดำเนิน ธุรกิจอย างมีจริยธรรมและธรรมาภิบาล โดยคำนึงถึงสิ่งแวดลอม สังคม การกำกับดูแลกิจการที่ดี ปฏิบัติ ตามกฎหมาย และเคารพหลักสิทธิมนุษยชน ดังมีรายละเอียดระบุใน QR Code จรรยาบรรณคู คา กฟผ."
ประกาศความเปนสวนตัว (Privacy Notice) สําหรับการจัดซื้อจัดจาง การบริหารพัสดุและการบริหารสัญญา ของ กฟผ.
การไฟฟาฝายผลิตแหงประเทศไทย (กฟผ.) ไดดําเนินการคุมครองขอมูลสวนบุคคลสําหรับการจัดซื้อจัด จาง การบริหารพัสดุ และการบริหารสัญญา เพื่อใหเปนไปตามพระราชบัญญัติคุมครองขอมูลสวนบุคคลของ ประเทศไทย พ.ศ. 2562 (PDPA) ซึ่งมีผลบังคับใชอยางครบถวน ตั้งแตวันที่ 1 มิถุนายน 2565 ทั้งนี้ ทานสามารถ ศึกษารายละเอียดประกาศความเปนสวนตัว (Privacy Notice) สําหรับการจัดซื้อจัดจางการบริหารพัสดุ และการ บริหารสัญญา ไดที่https://www.egat.co.th/privacy-notice-procurement.html หรือที่ QR Code ดานลาง

การขีดฆาขอมูลสวนบุคคลออนไหว
กฟผ. มีประกาศความเปนสวนตัว (Privacy Notice) สําหรับการจัดซื้อจัดจาง การบริหารพัสดุ และการ บริหารสัญญา เพื่อใชในการเก็บรวบรวม ใช หรือเปดเผย ขอมูลสวนบุคคล แตไมเก็บขอมูลสวนบุคคลออนไหว หากเอกสารของทานที่ตองสงมอบให กฟผ. มีขอมูลสวนบุคคลออนไหวตามที่ถูกบัญญัติไวในมาตรา 26 ของ PDPA ดังนี้ เชื้อชาติ เผาพันธุ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทาง เพศ ประวัติอาชญากรรม ขอมูลสุขภาพ ความพิการ ขอมูลสหภาพแรงงาน ขอมูลพันธุกรรม ขอมูลชีวภาพ หรือ ขอมูลอื่นใด ซึ่งกระทบตอเจาของขอมูลสวนบุคคลในทํานองเดียวกันรวมอยูดวย ขอใหทานขีดฆา หรือปกปดขอมูล ดังกลาว กอนสงมอบใหแก กฟผ.