จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างโครงการตรวจติดตามประจำปี ISO/ IEC 27001 2022

ธนาคารอิสลามแห่งประเทศไทย 69039278428

฿1,500,000 ปีงบ 2569 ประกาศ 12 พ.ค. 2569 กรุงเทพมหานคร

รายละเอียดการจ้าง

โครงการนี้มีวัตถุประสงค์เพื่อจ้างผู้ให้บริการจากภายนอกที่มีคุณสมบัติและประสบการณ์เฉพาะทาง มาดำเนินการพัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ให้สอดคล้องกับมาตรฐานสากล ISO/IEC 27001:2022 ร่วมกับเจ้าหน้าที่ของธนาคารในรูปแบบ Co-Sourcing เป้าหมายหลักคือการรักษาสถานภาพการรับรองมาตรฐานจากการตรวจประเมินครั้งที่ 2 (Surveillance Audit) ประจำปี 2559 และเตรียมความพร้อมรองรับข้อกำหนดของธนาคารแห่งประเทศไทย

ขอบเขตการทำงานครอบคลุมการทบทวนและปรับปรุงเอกสารและกระบวนการด้าน ISMS ทุกด้าน อาทิ การทบทวนคณะกรรมการที่เกี่ยวข้อง เอกสารบริบทองค์กร ระเบียบปฏิบัติงาน วิธีการประเมินความเสี่ยง แผนลดความเสี่ยง (Risk Treatment Plan) แผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCP) และเอกสาร Statement of Applicability (SoA) โดยมีขอบเขตทางกายภาพครอบคลุม สำนักงานใหญ่ (โครงสร้างพื้นฐานไอที) ศูนย์ข้อมูลหลัก (DC-Site) ศูนย์ข้อมูลสำรอง (DR-Site) ศูนย์ปฏิบัติงานสำรอง (BCP) รวมถึงระบบงานธุรกิจหลัก (Core Bank System: CBS) ระบบหักบัญชีเช็คด้วยภาพเช็ค (ICS) และระบบบาทเน็ต (BAHTNET)

ผู้รับจ้างต้องดำเนินการตรวจสอบภายใน (ISMS Internal Audit) ให้คำแนะนำและสนับสนุนการตรวจประเมินจากหน่วยงานภายนอก จัดฝึกอบรมให้ความรู้ด้านมาตรฐาน ISO/IEC 27001:2022 และความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ให้กับเจ้าหน้าที่ธนาคาร รวมถึงรับผิดชอบค่าใช้จ่ายทั้งหมดในการจัดจ้างผู้ตรวจประเมินรักษาสถานภาพ (Surveillance Audit) และจัดฝึกอบรมหลักสูตร Lead Auditor ให้พนักงานธนาคาร 3 ท่าน โครงการนี้มีงบประมาณ 1,500,000 บาท และต้องดำเนินการให้แล้วเสร็จภายใน 210 วัน

English summary

This project aims to hire an external service provider with specific qualifications and experience to develop the Information Security Management System (ISMS) in accordance with the ISO/IEC 27001:2022 standard, working alongside the bank’s staff in a Co-Sourcing model. The primary goal is to maintain the certification status for the 2nd Surveillance Audit in the year 2559 (2016) and to prepare for compliance with the Bank of Thailand’s requirements.

The scope of work includes reviewing and updating all ISMS documents and processes, such as the review of related committees, organizational context documents, operational procedures, risk assessment methodologies, Risk Treatment Plans, Business Continuity Plans (BCP), and the Statement of Applicability (SoA). The physical scope covers the Head Office (IT infrastructure), Primary Data Center (DC-Site), Disaster Recovery Site (DR-Site), Business Continuity Plan site, as well as the Core Bank System (CBS), the Imaged Cheque Clearing System (ICS), and the BAHTNET System.

The contractor must conduct an internal ISMS audit, provide advice and support for the external certification audit, organize training sessions on the ISO/IEC 27001:2022 standard and cybersecurity awareness for bank personnel, and bear all costs associated with hiring the certification body for the Surveillance Audit and organizing Lead Auditor training for 3 bank employees. The project has a budget of 1,500,000 THB and must be completed within 210 days.

สถานที่ดำเนินการ

สำนักงานใหญ่ เลขที่ 66 อาคารนวม ชั้น 20 ถ.สุขุมวิท 21 (อโศก) แขวงคลองเตยเหนือ เขตวัฒนา

คำสำคัญ

ISO/IEC 27001:2022 ISMS Surveillance Audit ที่ปรึกษาความมั่นคงปลอดภัยสารสนเทศ ธนาคารอิสลามแห่งประเทศไทย Security Hardening Baseline CIS Benchmarks Internal Audit Risk Assessment Business Continuity Plan Lead Auditor

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

เพื่อจัดจ้างผู้ให้บริการจากบุคคลภายนอกดำเนินการพัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ตามขอบเขต เพื่อรองรับการตรวจประเมินรักษาสถานะภาพการรับรอง ISO/IEC27001:2022 ครั้งที่ 2 ประจำปี 2559 และเพื่อรองรับการตรวจตามข้อกำหนดของธนาคารแห่งประเทศไทย
เพื่อให้สินทรัพย์สารสนเทศของธนาคาร มีความพร้อมทางด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ และการรักษาความมั่นคงปลอดภัยไซเบอร์
เพื่อให้มีการเตรียมการป้องกันทางด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ และการรักษาความมั่นคงปลอดภัยไซเบอร์ของธนาคาร
เพื่อเพิ่มประสิทธิภาพในการเฝ้าระวังด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ และการรักษาความมั่นคงปลอดภัยไซเบอร์ของธนาคาร

ขอบเขตของงาน

การบริหารจัดการ ISMS ตามมาตรฐาน ISO/IEC 27001:2022: ครอบคลุมหน่วยงานไอทีและหน่วยงานที่เกี่ยวข้อง, สำนักงานใหญ่ (เฉพาะโครงสร้างพื้นฐานไอที), ศูนย์ข้อมูลหลัก (DC-Site) และศูนย์ข้อมูลสำรอง (DR-Site), ศูนย์ปฏิบัติงานสำรอง (BCP), ระบบงานธุรกิจหลัก (Core Bank System: CBS), ระบบหักบัญชีเช็คด้วยภาพเช็ค (ICS), และระบบบาทเน็ต (BAHTNET System)
การดำเนินโครงการในรูปแบบ Co-Sourcing: ร่วมกับเจ้าหน้าที่ธนาคารอิสลามแห่งประเทศไทย เพื่อทบทวนหรือปรับปรุงระบบ ISMS จนกระทั่งธนาคารได้รับการรับรองมาตรฐาน
กิจกรรมหลักประกอบด้วย:
- ทบทวนคำสั่งแต่งตั้งคณะกรรมการต่างๆ ที่เกี่ยวข้องกับ ISMS
- ทบทวน/ปรับปรุงเอกสารบริบทขององค์กร (Context of the Organization)
- ทบทวน/ปรับปรุงกระบวนการประเมินความเสี่ยง (Risk Assessment Methodology)
- จัดทำ/ทบทวนบัญชีรายการทรัพย์สิน (ISMS Asset Inventory)
- ร่วมประเมินและวิเคราะห์ความเสี่ยง (Risk Assessment) กับเจ้าหน้าที่ธนาคาร
- คัดเลือกวิธีการปฏิบัติควบคุมเพื่อลดความเสี่ยง และจัดทำแผนลดความเสี่ยง (Risk Treatment Plan)
- ปรับปรุงเอกสาร Statement of Applicability (SoA)
- กำหนดวิธีการวัดประสิทธิผล (Effectiveness Measurement) และเป้าหมายของมาตรการควบคุม
- ทบทวนและซักซ้อมแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan)
- ทบทวนสิทธิการบริหารจัดการการเข้าถึงและปรับปรุงเอกสาร User Access Control Matrix
- ทบทวนนโยบายและระเบียบธนาคารที่เกี่ยวข้อง
- ทบทวน ปรับปรุง ระเบียบปฏิบัติงาน คู่มือปฏิบัติงาน และแบบฟอร์มต่างๆ
- ร่วมเตรียมข้อมูลสำหรับการประชุมคณะกรรมการบริหารจัดการ ISMS (Management Review)
- ดำเนินการตรวจประเมินรักษาสถานะภาพในการจัดเก็บบันทึก (Record)
- ดำเนินการตรวจสอบภายใน ISMS (ISMS Internal Audit) และจัดทำรายงาน
- สนับสนุนการตรวจสอบภายใน ISMS และร่วมหาแนวทางแก้ไขความไม่สอดคล้อง
- สนับสนุนการตรวจประเมินเพื่อผ่านการรับรองมาตรฐานสากล
- จัดหาวิทยากรบรรยายให้ความรู้ 2 หลักสูตร (ISO/IEC 27001:2022 และ Cybersecurity Awareness)
- จัดฝึกอบรมหลักสูตร CQI and IRCA Certified ISO/IEC 27001:2022 Lead Auditor Training Course สำหรับพนักงานธนาคาร 3 ท่าน
- รับผิดชอบค่าใช้จ่ายการจัดจ้างการตรวจประเมินรักษาสถานภาพการรับรอง (Surveillance Audit)
- ทบทวนและจัดทำเอกสาร Security Hardening Baseline อ้างอิง CIS Benchmarks ไม่น้อยกว่า 3 เล่ม

สิ่งที่ต้องส่งมอบ

แผนการดำเนินการโครงการตลอดทั้งโครงการ
เอกสารรายงานตามขอบเขตการดำเนินโครงการ ภายใน 60 วัน (ตามข้อ 4.2.1 - 4.2.8)
เอกสารรายงานตามขอบเขตการดำเนินโครงการ ภายใน 120 วัน (ตามข้อ 4.2.9 - 4.2.19)
เอกสารรายงานตามขอบเขตการดำเนินโครงการ ภายใน 210 วัน (ตามข้อ 4.2.20 – 4.2.22)
รายงานผลการตรวจสอบภายใน (ISMS Internal Audit Report)
เอกสาร ISMS ที่ปรับปรุงแล้วทั้งหมด (นโยบาย, ระเบียบปฏิบัติ, คู่มือ, SoA, Risk Treatment Plan, BCP ฯลฯ)
ใบประกาศรับรองการฝึกอบรม (e-Certificate) สำหรับหลักสูตรการอบรม
เอกสาร Security Hardening Baseline ตาม CIS Benchmarks ไม่น้อยกว่า 3 เล่ม
การสนับสนุนจนผ่านการตรวจประเมินรักษาสถานภาพ (Surveillance Audit) ที่ได้รับ

ระยะเวลาดำเนินการ

ระยะเวลาดำเนินการทั้งหมด: ไม่เกิน 210 วัน นับถัดจากวันที่ลงนามในสัญญาหรือวันที่ได้รับหนังสือแจ้งจากธนาคารให้เริ่มทำงาน
มิลestones การส่งมอบ:
- ส่งมอบแผนการดำเนินการโครงการ: ตามที่กำหนดในสัญญา
- ส่งมอบเอกสารรายงานชุดที่ 1: ภายใน 60 วัน
- ส่งมอบเอกสารรายงานชุดที่ 2: ภายใน 120 วัน
- ส่งมอบเอกสารรายงานชุดที่ 3 และงานทั้งหมด: ภายใน 210 วัน

คุณสมบัติผู้เสนอราคา

ทุนจดทะเบียน: ต้องมีทุนจดทะเบียนไม่ต่ำกว่า 1 ล้านบาท
ประสบการณ์: ต้องมีประสบการณ์หรือทีมงานที่มีประสบการณ์ในการดำเนินงานพัฒนาระบบ ISMS ตามมาตรฐาน ISO/IEC 27001:2022 ให้กับหน่วยงานธนาคาร, รัฐวิสาหกิจ, เอกชน, หรือสถาบันการเงิน และมีผลงานในการพัฒนาระบบจนได้รับการรับรองมาตรฐานดังกล่าว มูลค่าผลงานไม่ต่ำกว่า 500,000 บาท จำนวนไม่น้อยกว่า 5 แห่ง ภายในระยะเวลาไม่เกิน 3 ปี นับจากวันยื่นข้อเสนอ
บุคลากร: ต้องเสนอรายชื่อผู้จัดการโครงการและทีมที่ปรึกษาที่เป็นพนักงานประจำของบริษัท และทำงานกับบริษัทมาแล้วไม่น้อยกว่า 6 เดือน พร้อมแนบหลักฐาน ภงด.1 ย้อนหลัง 6 เดือน
- ผู้จัดการโครงการ (1 ท่าน):
  - คุณวุฒิไม่ต่ำกว่าปริญญาโท สาขาเทคโนโลยีสารสนเทศหรือที่เกี่ยวข้อง
  - ประสบการณ์อย่างน้อย 15 ปี
  - ต้องมีประกาศนียบัตร CISSP, CISM และ CISA
  - ต้องมีประกาศนียบัตร ISMS (ISO/IEC 27001:2022) ระดับ Lead Auditor หรือ ISO/IEC 27701 Lead Auditor
  - ต้องมีประกาศนียบัตร PMP (Project Management Professional)
- ที่ปรึกษาด้านระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) (1 ท่าน):
  - คุณวุฒิไม่ต่ำกว่าปริญญาตรี สาขาเทคโนโลยีสารสนเทศหรือที่เกี่ยวข้อง
  - ประสบการณ์อย่างน้อย 10 ปี
  - ต้องมีประกาศนียบัตร CISA
  - ต้องมีประกาศนียบัตร PBCE Senior ISO27001 Lead Implementer และ ISMS (ISO/IEC 27001:2022) Lead Auditor
  - ต้องมีประกาศนียบัตร PBCE ISO/IEC 27701 Lead Implementer
- ผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (1 ท่าน):
  - คุณวุฒิไม่ต่ำกว่าปริญญาโท สาขาเทคโนโลยีสารสนเทศหรือที่เกี่ยวข้อง
  - ประสบการณ์อย่างน้อย 15 ปี
  - ต้องมีประกาศนียบัตร CISSP, CISM และ CISA
  - ต้องมีประกาศนียบัตร CRISC (Certified in Risk and Information Systems Control)
  - ต้องมีประกาศนียบัตร ISMS Lead Auditor และ ISO27001 Senior Lead Implementer
  - ต้องมีประกาศนียบัตร CompTIA Pentest+
  - ต้องมีประกาศนียบัตร CGEIT (Certified in the Governance of Enterprise IT)

เกณฑ์การพิจารณา

ธนาคารจะพิจารณาตัดสินโดยใช้เกณฑ์ ราคารวมต่ำสุด
มีเงื่อนไขการให้แต้มต่อ:
- ผู้ประกอบการ SMEs: หากเสนอราคาสูงกว่าราคาต่ำสุดของผู้ยื่นข้อเสนอรายอื่นไม่เกินร้อยละ 10 จะได้รับสิทธิให้จัดจ้าง (เรียงลำดับไม่เกิน 3 ราย)
- ผู้ยื่นข้อเสนอไทย (บุคคลธรรมดาไทย/นิติบุคคลไทย): หากเสนอราคาสูงกว่าราคาต่ำสุดของผู้ยื่นข้อเสนอที่เป็นบุคคลธรรมดาต่างชาติ/นิติบุคคลต่างประเทศไม่เกินร้อยละ 3 จะได้รับสิทธิให้จัดจ้าง
ผู้ยื่นข้อเสนอต้องมีคุณสมบัติและยื่นเอกสารหลักฐานถูกต้องครบถ้วนตามที่กำหนด มิฉะนั้นอาจไม่ได้รับการพิจารณา

ข้อกำหนดทางเทคนิค

โครงการนี้มุ่งเน้นการปรับปรุงและทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ให้สอดคล้องกับข้อกำหนดของมาตรฐานสากล ISO/IEC 27001:2022 โดยเฉพาะการเตรียมพร้อมสำหรับการตรวจประเมินรักษาสถานภาพ (Surveillance Audit) งานมีลักษณะเป็นที่ปรึกษาและพัฒนาเอกสารกระบวนการ (Consulting & Documentation) ร่วมปฏิบัติงาน (Co-Sourcing) มากกว่าการจัดหาฮาร์ดแวร์/ซอฟต์แวร์

ข้อกำหนดทางเทคนิคหลักได้แก่:

การปฏิบัติตามมาตรฐาน ISO/IEC 27001:2022: ต้องครอบคลุมทุกข้อกำหนดของมาตรฐาน และภาคผนวก A (Annex A) ในการปรับปรุงเอกสาร Statement of Applicability (SoA)
ขอบเขตของระบบ: ต้องครอบคลุมระบบเทคโนโลยีสารสนเทศที่สำคัญของธนาคาร ได้แก่
- โครงสร้างพื้นฐานไอทีของสำนักงานใหญ่, ศูนย์ข้อมูลหลัก (DC-Site), ศูนย์ข้อมูลสำรอง (DR-Site)
- ระบบงานธุรกิจหลัก (Core Bank System: CBS)
- ระบบหักบัญชีเช็คด้วยภาพเช็ค (Imaged Cheque Clearing System: ICS)
- ระบบบาทเน็ต (BAHTNET System)
การประเมินความเสี่ยง: ต้องใช้กระบวนการประเมินความเสี่ยงที่เป็นไปตามมาตรฐาน ISO/IEC 27001:2022 ครอบคลุมการระบุความเสี่ยง การวิเคราะห์ผลกระทบและโอกาสเกิด การประมาณระดับความเสี่ยง และการคัดเลือกมาตรการควบคุม
Security Baseline: ต้องจัดทำเอกสาร Security Hardening Baseline โดยอ้างอิงตาม CIS (Center for Internet Security) Benchmarks เวอร์ชั่นปัจจุบัน จำนวนไม่น้อยกว่า 3 เล่ม
การฝึกอบรม: ต้องจัดฝึกอบรมออนไลน์ในสองหัวข้อหลัก ได้แก่ ความเข้าใจมาตรฐาน ISO/IEC 27001:2022 และการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ (รวมถึง AI) พร้อมแบบทดสอบก่อนและหลัง

เงื่อนไขสัญญา

งบประมาณ: 1,500,000.00 บาท (หนึ่งล้านห้าแสนบาทถ้วน) รวมภาษีมูลค่าเพิ่มและค่าใช้จ่ายทั้งหมดแล้ว
การจ่ายเงิน: แบ่งชำระเป็น 3 งวด
- งวดที่ 1 (40%): เมื่อส่งมอบงานตามข้อ 11.1 และ 11.2 (ภายใน 60 วัน) และผ่านการตรวจรับ
- งวดที่ 2 (40%): เมื่อส่งมอบงานตามข้อ 11.3 (ภายใน 120 วัน) และผ่านการตรวจรับ
- งวดที่ 3 (20%): เมื่อส่งมอบงานทั้งหมดตามข้อ 11.4 (ภายใน 210 วัน) และผ่านการตรวจรับ
หลักประกันสัญญา: ผู้ชนะการประกวดราคาต้องวางหลักประกันสัญญา ร้อยละ 5 ของราคาค่าจ้าง ในรูปแบบเงินสด เช็ค หนังสือค้ำประกันธนาคาร/บริษัทเงินทุน หรือพันธบัตรรัฐบาลไทย
ค่าปรับ:
- ค่าปรับกรณีจ้างช่วงโดยไม่ได้รับอนุญาต: ร้อยละ 10 ของวงเงินงานจ้างช่วงนั้น
- ค่าปรับกรณีส่งมอบงานล่าช้า: ร้อยละ 0.10 ของราคาจ้างงานที่ยังไม่ได้รับมอบต่อวัน (ไม่ต่ำกว่าวันละ 100 บาท) นับจากวันครบกำหนด
การรับประกันงาน: ต้องรับประกันความชำรุดบกพร่องของงานจ้างเป็นระยะเวลาไม่น้อยกว่า 1 ปี นับจากวันที่ธนาคารได้รับมอบงาน และต้องแก้ไขภายใน 1 วัน หลังจากได้รับการแจ้ง
ข้อกำหนดพิเศษ: ผู้รับจ้างต้องรับผิดชอบค่าใช้จ่ายทั้งหมดในการจัดจ้างผู้ตรวจประเมินรักษาสถานภาพ (Surveillance Audit) และค่าใช้จ่ายในการฝึกอบรมหลักสูตร Lead Auditor สำหรับพนักงานธนาคาร 3 ท่าน

คำถามที่พบบ่อย (FAQ)

Q: โครงการนี้ต้องมีการตรวจประเมินจากหน่วยงานรับรองมาตรฐานภายนอกหรือไม่?
A: ใช่ ผู้รับจ้างต้องรับผิดชอบค่าใช้จ่ายทั้งหมดในการจัดจ้างผู้ตรวจประเมินรักษาสถานภาพ (Surveillance Audit) ตามมาตรฐาน ISO/IEC 27001:2022 ให้กับธนาคาร
Q: ผู้รับจ้างต้องจัดฝึกอบรมประเภทใดบ้าง และรูปแบบเป็นอย่างไร?
A: ต้องจัดฝึกอบรม 2 หลักสูตรออนไลน์: 1) ความเข้าใจมาตรฐาน ISO/IEC 27001:2022 (ไม่น้อยกว่า 6 ชม.) 2) การสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ (ไม่น้อยกว่า 3 ชม.) พร้อมแบบทดสอบและออก e-Certificate นอกจากนี้ต้องจัดฝึกอบรมหลักสูตร Lead Auditor ให้พนักงานธนาคาร 3 ท่านโดยรับผิดชอบค่าใช้จ่ายทั้งหมด
Q: งานในส่วนของ Security Hardening Baseline มีข้อกำหนดอย่างไร?
A: ต้องทบทวนและจัดทำเอกสาร Security Hardening Baseline โดยอ้างอิงตาม CIS Benchmarks เวอร์ชั่นปัจจุบัน ณ วันที่เริ่มทบทวน และต้องเพิ่มหรือปรับปรุงเอกสารดังกล่าวไม่น้อยกว่า 3 เล่ม
Q: การทำงานร่วมกับธนาคารเป็นรูปแบบใด?
A: เป็นรูปแบบ Co-Sourcing หมายถึงผู้รับจ้างจะต้องทำงานร่วมกับเจ้าหน้าที่ของธนาคารอย่างใกล้ชิด ในการทบทวน ปรับปรุง และดำเนินการต่างๆ แทนการทำงานให้เสร็จเพียงฝ่ายเดียว
Q: มีความรับผิดชอบเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้าธนาคารอย่างไร?
A: ผู้รับจ้างมีหน้าที่ต้องรักษาความลับของข้อมูลทั้งหมดของธนาคารและลูกค้าตามที่กำหนดในภาคผนวกเกี่ยวกับการรักษาความลับ และต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างเคร่งครัด
Q: หากระหว่างดำเนินโครงการพบความไม่สอดคล้อง (Non-conformity) จากการตรวจสอบภายใน ผู้รับจ้างมีหน้าที่อย่างไร?
A: ผู้รับจ้างต้องร่วมหาแนวทางและติดตามผลการแก้ไขความไม่สอดคล้องตามที่ตรวจพบในรายงานผลการตรวจสอบภายใน (ISMS Internal Audit Report) เดือนละ 1 ครั้ง จนกว่าผลการแก้ไขจะได้รับการยอมรับ
Q: เอกสารที่ส่งมอบต้องเป็นรูปแบบใด?
A: ต้องจัดทำเอกสารรายงานในลักษณะสิ่งพิมพ์เป็นภาษาไทย (เทคนิคเฉพาะใช้ภาษาอังกฤษได้) พร้อมทั้งรูปแบบซอฟต์ไฟล์ (Soft file) และส่งมอบอย่างน้อย 1 ชุด
Q: โครงการนี้ครอบคลุมระบบงานใดของธนาคารบ้าง?
A: ครอบคลุม 3 ส่วนหลัก: 1) สำนักงานใหญ่, ศูนย์ข้อมูลหลัก/สำรอง, ศูนย์ปฏิบัติงานสำรอง (สำหรับโครงสร้างพื้นฐานไอที), 2) ระบบงานธุรกิจหลัก (Core Bank System: CBS), 3) ระบบการชำระเงิน ได้แก่ ระบบหักบัญชีเช็คด้วยภาพเช็ค (ICS) และระบบบาทเน็ต (BAHTNET)
Q: ผู้รับจ้างมีหน้าที่เกี่ยวกับการประชุม Management Review หรือไม่?
A: ใช่ ผู้รับจ้างต้องดำเนินการร่วมกับคณะทำงานในการจัดเตรียมข้อมูลสำหรับการประชุมเพื่อพิจารณาและรายงานผลการดำเนินงานของระบบ ISMS ให้แก่คณะกรรมการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Management Review)
Q: เงื่อนไขเกี่ยวกับการโอนสิทธิหรือจ้างช่วงงานเป็นอย่างไร?
A: ผู้รับจ้างจะโอนสิทธิหรือหน้าที่ตามสัญญาให้แก่บุคคลอื่นมิได้ เว้นแต่จะได้รับความยินยอมจากธนาคารเป็นลายลักษณ์อักษร และการจ้างช่วงต้องได้รับอนุญาตจากธนาคาร มิฉะนั้นจะถูกปรับ 10% ของวงเงินงานจ้างช่วงนั้น

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

ขอบเขตของงาน (Terms of Reference : TOR) : วิธีประกวดราคาจ้าง

ความเป็นมา
ธนาคารอิสลามแห่งประเทศไทย
สําหรับการจัดจ้าง ตรวจติดตามประจําปี ISO/IEC27001:2022
ในปัจจุบันระบบเทคโนโลยีสารสนเทศได้มีการพัฒนาไปอย่างรวดเร็ว และได้เข้ามามีบทบาทสําคัญ ในการดําเนินงานกิจกรรมต่าง ๆ ของธนาคารอิสลามแห่งประเทศไทย ดังนั้นเรื่องของความมั่นคงปลอดภัย สารสนเทศจึงเป็นเรื่องสําคัญอย่างยิ่ง เนื่องจากภัยคุกคามคอมพิวเตอร์ในปัจจุบันมีการพัฒนาอย่างรวดเร็วและ
หลากหลาย ซึ่งอาจก่อให้เกิดผลกระทบต่อการดําเนินงานของธนาคารอิสลามแห่งประเทศไทย ซึ่งธนาคาร อิสลามแห่งประเทศไทยได้ดําเนินการพัฒนาระบบบริหารจัดการรักษาความมั่นคงปลอดภัยสารสนเทศ ตาม
มาตรฐานสากล ISO/IEC 27001:2022 และผ่านการตรวจรับรองมาตรฐาน ISO/IEC 27001:2022 เรียบร้อย แล้ว ทั้งนี้ธนาคารจะดําเนินการรักษาสถานภาพการรับรองระบบบริหารจัดการรักษาความมั่นคงปลอดภัย สารสนเทศ (Surveillance Audit) ตามมาตรฐานสากล ISO/IEC 27001:2022 สําหรับขอบเขตระบบ ดังนี้
1.1 สํานักงานใหญ่ (ระบบโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ) ศูนย์ข้อมูลหลัก ศูนย์ ข้อมูลสํารอง ศูนย์ปฏิบัติงานสํารอง โดยครอบคลุมการบริหารจัดการความมั่นคงปลอดภัยทางกายภาพ และ การบริหารจัดการ ความมั่นคงปลอดภัยเครือข่าย สําหรับการสนับสนุนการให้บริการระบบงานธุรกิจหลักของ ธนาคาร (Core Bank System: CBS) ของธนาคารอิสลามแห่งประเทศไทย
1.2 เครื่องคอมพิวเตอร์แม่ข่าย และเครื่องคอมพิวเตอร์ลูกข่าย ของระบบหักบัญชีเช็คด้วยภาพ เช็คและระบบการจัดเก็บภาพเช็ค (Imaged Cheque clearing System : ICS) ของธนาคาร
1.3 เครื่องคอมพิวเตอร์ลูกข่าย ของระบบบาทเน็ต (BAHTNET System) ของธนาคาร ดังนั้นธนาคารอิสลามแห่งประเทศไทย จึงจําเป็นต้องพิจารณาและจัดหาบริษัทที่มีคุณสมบัติและประสบการณ์ ในการจัดการความมั่นคงปลอดภัยสารสนเทศ เพื่อดําเนินการให้คําปรึกษาและร่วมกับเจ้าหน้าที่ของธนาคารฯ ในการเตรียมความพร้อมในปีนี้
เอกสารแนบท้ายเอกสารประกวดราคาอิเล็กทรอนิกส์
รายละเอียดและขอบเขตของงาน
1.1
1.2 แบบใบเสนอราคาที่กําหนดไว้ในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ 1.3 แบบสัญญาจ้าง
1.4 แบบหนังสือค้ําประกัน
(1) หลักประกันสัญญา
1.5 บทนิยาม
(1) ผู้มีผลประโยชน์ร่วมกัน
(2) การขัดขวางการแข่งขันอย่างเป็นธรรม
หน้า 1 จาก 26
a Now
1.6 แบบบัญชีเอกสารที่กําหนดไว้ในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์
(1) บัญชีเอกสารส่วนที่ 1
(2) บัญชีเอกสารส่วนที่ 2 1.7 แผนการทํางาน (ถ้ามี)
1.8 แผนการใช้พัสดุที่ผลิตภายในประเทศ
วัตถุประสงค์
2.1 เพื่อจัดจ้างผู้ให้บริการจากบุคคลภายนอกดําเนินการพัฒนาระบบบริหารจัดการความมั่นคง ปลอดภัยสารสนเทศ (ISMS) ตามขอบเขต เพื่อรองรับการตรวจประเมินรักษาสถานะภาพการรับรอง ISO/IEC27001:2022 ครั้งที่ 2 ประจําปี 2559 และเพื่อรองรับการตรวจตามข้อกําหนดของธนาคารแห่ง ประเทศไทย ดังนี้
2.1.1 หน่วยงานที่รับผิดชอบดูแลระบบโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศและ รักษาความมั่นคงปลอดภัยสารสนเทศ และหน่วยงานที่เกี่ยวข้อง
2.1.2 สํานักงานใหญ่ ศูนย์ข้อมูลหลัก ศูนย์ข้อมูลสํารอง ศูนย์ปฏิบัติงานสํารอง 2.1.3 ระบบงานธุรกิจหลักของธนาคาร (Core Bank System: CBS)
2.1.4 เครื่องคอมพิวเตอร์แม่ข่าย และเครื่องคอมพิวเตอร์ลูกข่าย ของระบบหักบัญชีเช็ค ด้วยภาพเช็คและระบบการจัดเก็บภาพเช็ค (Imaged Cheque clearing Systein : ICS)
2.1.5 เครื่องคอมพิวเตอร์ลูกข่าย ของระบบบาทเน็ต (BAHTNET System) เพื่อให้สินทรัพย์สารสนเทศของธนาคาร มีความพร้อมทางด้านการรักษาความมั่นคงปลอดภัย
2.2
สารสนเทศ และการรักษาความมั่นคงปลอดภัยไซเบอร์
2.3
เพื่อให้มีการเตรียมการป้องกันทางด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ และการ
รักษาความมั่นคงปลอดภัยไซเบอร์ของธนาคาร
2.4
เพื่อเพิ่มประสิทธิภาพในการเฝ้าระวังด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ และการ
รักษาความมั่นคงปลอดภัยไซเบอร์ของธนาคาร
คุณสมบัติผู้ยื่นข้อเสนอ
3.1 มีความสามารถตามกฎหมาย
3.2 ไม่เป็นบุคคลล้มละลาย
3.3 ไม่อยู่ระหว่างเลิกกิจการ
3.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐไว้ ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่ รัฐมนตรีว่าการกระทรวงการคลังกําหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศ
ของกรมบัญชีกลาง
หน้า 2 จาก 26
a
or Now
3.5 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงาน
ของหน่วยงานของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็น หุ้นส่วนผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอํานาจในการดําเนินงานในกิจการของนิติบุคคลนั้นด้วย
3.6 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้าง
และการบริหารพัสดุภาครัฐกําหนดในราชกิจจานุเบกษา
3.7 เป็นนิติบุคคลผู้มีอาชีพรับจ้างงานที่ประกวดราคาอิเล็กทรอนิกส์ดังกล่าว
3.8 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่ธนาคาร ณ หรือไม่เป็นผู้กระทําการอันเป็นการขัดขวางการแข่งขันอย่างเป็นธรรมใน
วันประกาศประกวดราคาอิเล็กทรอนิกส์ การประกวดราคาอิเล็กทรอนิกส์ครั้งนี้
3.9 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของ ผู้ยื่นข้อเสนอได้มีคําสั่งให้สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
3.10 ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติ ดังนี้
(1) การกําหนดสัดส่วนในการเข้าร่วมค้าของคู่สัญญา
กรณีที่ข้อตกลงฯ กําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงฯ จะต้องมีการกําหนดสัดส่วนหน้าที่ และความรับผิดชอบในปริมาณงาน สิ่งของ หรือมูลค่าตาม สัญญาของผู้เข้าร่วมค้าหลักมากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
(2) กรณีที่ข้อตกลงฯ กําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลักกิจการ
ร่วมค้านั้นต้องใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอ
สําหรับข้อตกลงฯ ที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลักผู้เข้าร่วม ค้าทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่กําหนดไว้ในเอกสารเชิญชวน
(3) การยื่นข้อเสนอของกิจการร่วมค้า
(3.1) กรณีที่ข้อตกลงฯ กําหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่ง
เป็นผู้ยื่นข้อเสนอในนามกิจการร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอํานาจ
สําหรับข้อตกลงฯ ที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอผู้เข้าร่วมค้า
ทุกรายจะต้องลงลายมือชื่อในหนังสือมอบอํานาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอในนามกิจการ
ร่วมค้า
(3.2) การยื่นข้อเสนอด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ (e - bidding) ให้ผู้เข้าร่วม ค้าที่ได้รับมอบหมายหรือมอบอํานาจดําเนินการซื้อเอกสารประกวดราคาอิเล็กทรอนิกส์ กรณีที่มีการจําหน่าย
เอกสารซื้อหรือจ้าง
3.11 ผู้ยื่นข้อเสนอต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (Electronic
Government Procurement: e - GP) ของกรมบัญชีกลาง
3.12 ผู้ยื่นข้อเสนอต้องมีทุนจดทะเบียนไม่ต่ํากว่า 1 ล้านบาท
หน้า 3 จาก 26
a
Na
3.13 ผู้ยื่นข้อเสนอซึ่งได้รับคัดเลือกเป็นคู่สัญญาต้องรับและจ่ายเงินผ่านบัญชีธนาคาร เว้นแต่ การจ่ายเงินแต่ละครั้งซึ่งมีมูลค่าไม่เกินสามหมื่นบาทคู่สัญญาอาจจ่ายเป็นเงินสดก็ได้ ตามที่คณะกรรมการ
ป.ป.ช. กําหนด
3.14 ผู้เสนอราคาต้องมีประสบการณ์หรือมีทีมงานที่มีประสบการณ์ในการดําเนินงานพัฒนา ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (information Security Management System: ISMS) ตามมาตรฐานสากล ISO/IEC 27001:2022 ให้กับหน่วยงานธนาคาร หรือหน่วยงานรัฐวิสาหกิจ หรือหน่วยงาน เอกชน หรือสถาบันการเงิน และมีผลงานในการพัฒนาระบบบริหารจัดการด้านความมั่นคงปลอดภัย สารสนเทศ จนกระทั่งได้รับการรับรองมาตรฐาน ISO/IEC 27001:2022 มูลค่าผลงานไม่ต่ํากว่า 500,000 บาท จํานวนไม่น้อยกว่า 5 แห่ง ระยะเวลาของผลงานไม่เกิน 3 ปี นับจากวันยื่นข้อเสนอพร้อมแนบหนังสือสาเนา
สัญญา
3.15 ผู้เสนอราคาจะต้องเสนอรายชื่อผู้จัดการโครงการ และทีมที่ปรึกษาด้านระบบบริหาร จัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ที่ผ่านการรับรองมาตรฐานระบบบริหารจัดการความมั่นคง ปลอดภัยสารสนเทศ ISO/IEC27001:2022 มีประสบการณ์ ความรู้ ความสามารถทางด้านการรักษาความ มั่นคงปลอดภัยสารสนเทศ และการรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งต้องเป็นพนักงานประจําของบริษัท และทํางานกับบริษัทมาแล้วไม่น้อยกว่า 6 เดือนโดยต้องแนบหลักฐานพิสูจน์ ภงด.1 ย้อนหลัง 6 เดือน
จํานวน
ลําาดับ ตําแหน่ง
(ท่าน)
1
ผู้จัดการโครงการ
1
คุณสมบัติ / ประกาศนียบัตร
คุณวุฒิไม่ต่ํากว่าปริญญาโท สาขาเทคโนโลยีสารสนเทศ หรือสาขาที่เกี่ยวข้องกับการบริหารจัดการ อย่างน้อย 15
ปี
• ได้รับประกาศนียบัตรรับรองคุณวุฒิ CISSP (Certified
Information System Security Professional) และ
CISM (Certified Information Security Manager)
Way CISA (Certified Information Systems Auditor) - ได้รับประกาศนียบัตรรับรองคุณวุฒิ ISMS (Information Security Management System) ปี 2022 ระดับLead
Auditor หรือ ISO/IEC 27701 Lead Auditor
• ได้รับประกาศนียบัตรรับรองคุณวุฒิ Project Management Professional (PMP)
หน้า 4 จาก 26
Nã
จํานวน
ลําาดับ
ตําแหน่ง
(ท่าน)
ทีปรึกษาด้านการ 1
2
ระบบบริหาร
จัดการความ
มั่นคงปลอดภัย
สารสนเทศ
(ISMS)
3
ผู้เชี่ยวชาญด้าน
การรักษาความ
มั่นคงปลอดภัยไซ
เบอร์
1
คุณสมบัติ / ประกาศนียบัตร
ได้รับประกาศนียบัตรรับรองคุณวุฒิ CRISC (Certified in
Risk and Information Systems Control)
คุณวุฒิไม่ต่ํากว่าปริญญาตรี สาขาเทคโนโลยีสารสนเทศ หรือสาขาที่เกี่ยวข้อง อย่างน้อย 10 ปี
• ได้รับประกาศนียบัตรรับรองคุณวุฒิ CISA (Certified
Information Systems Auditor)
• ได้รับประกาศนียบัตร PBCE Senior ISO27001 Lead
Implementer la ISMS (Information Security
Management System) ISO/IEC 27001: 2022 Lead
Auditor
• ได้รับประกาศนียบัตร PBCE ISO/IEC 27701 Lead
Implementer
คุณวุฒิไม่ต่ํากว่าปริญญาโท สาขาเทคโนโลยีสารสนเทศ หรือสาขาที่เกี่ยวข้อง อย่างน้อย 15 ปี
ได้รับประกาศนียบัตรรับรองคุณวุฒิ CISSP (Certified
information System Security Professional) และ
CISM (Certified Information Security Manager)
และ CISA (Certified Information Systems
• ได้รับประกาศนียบัตรรับรองคุณวุฒิ CRISC (Certified in
Risk and Information Systems Control) ได้รับประกาศนียบัตรรับรองคุณวุฒิ ISMS Lead
Auditor และ ISO27001 Senior Lead implementer ได้รับประกาศนียบัตรรับรองคุณวุฒิ CompTIA
Pentestt
• ได้รับประกาศนียบัตรรับรองคุณวุฒิ Certified in the
Governance of Enterprise IT (CGEIT)
หน้า 5 จาก 26
a
& Na
ขอบเขตของงาน
4.1 ขอบเขตบริหารจัดการระบบบริหารจัดการรักษาความมั่นคงปลอดภัยสารสนเทศ
(Information Security Management System: ISMS) ตามมาตรฐาน ISO/IEC 27001;2022
4.1.1
หน่วยงานที่รับผิดชอบดูแลระบบโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศและ
รักษาความมั่นคงปลอดภัยสารสนเทศ และหน่วยงานที่เกี่ยวข้อง
4.1.2
สํานักงานใหญ่ เฉพาะระบบโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ โดย ครอบคลุมการบริหารจัดการความมั่นคงปลอดภัยทางกายภาพ และการบริหารจัดการความมั่นคงปลอดภัย
เครือข่าย
4.1.3 ศูนย์ข้อมูลหลัก (Data Center Site: DC-Site) และศูนย์ข้อมูลสํารอง (Data Disaster Recovery Site: DR-Site) ครอบคลุมการรักษาความมั่นคงปลอดภัยทางกายภาพ และการบริหาร จัดการความมั่นคงปลอดภัยเครือข่าย
4.1.4 ศูนย์ปฏิบัติงานสํารอง (Business Continuity Plan: BCP) ระบบโครงสร้างพื้นฐาน ด้านเทคโนโลยีสารสนเทศ และเครื่องคอมพิวเตอร์ลูกข่าย
4.1.5
การให้บริการระบบงานธุรกิจหลักของธนาคาร (Core Bank System: CBS)
ครอบคลุมธุรกรรมงานที่สําคัญของธนาคาร
4.1.6 เครื่องคอมพิวเตอร์แม่ข่าย และเครื่องคอมพิวเตอร์ลูกข่าย ของระบบหักบัญชีเช็ค ด้วยภาพเช็คและระบบการจัดเก็บภาพเช็ค (Imaged Cheque clearing System : ICS) ของธนาคาร
4.1.7 เครื่องคอมพิวเตอร์ลูกข่าย ของระบบบาทเน็ต (BAHTNET System) ของธนาคาร
4.2 ขอบเขตการดําเนินโครงการ
ผู้เสนอราคา จะต้องดําเนินการร่วมกับเจ้าหน้าที่ของธนาคารอิสลามแห่งประเทศไทยในลักษณะ Co-Sourcing เพื่อทบทวนหรือปรับปรุงการบริหารจัดการระบบบริหารจัดการรักษาความมั่นคงปลอดภัยสารสนเทศ
(Information Security Management System: ISMS) ตามมาตรฐาน ISO/IEC 27001:2022 ตามขอบเขต ข้อที่ 4.1 จนกระทั่งธนาคารได้รับการรับรอง โดยมีขอบเขตการดําเนินงานโครงการดังนี้
4.2.1 ดําเนินการทบทวนคําสั่งแต่งตั้งคณะต่าง ๆ ที่เกี่ยวข้องกับการบริหารจัดการระบบ บริหารจัดการรักษาความมั่นคงปลอดภัยสารสนเทศ
4.2.2 ดําเนินการทบทวนหรือปรับปรุงเอกสารบริบทขององค์กร (Context of the Organization) โดยต้องระบุประเด็นภายใน (Internal issue) และประเด็นภายนอก (External issue)
ดําเนินการทบทวนหรือปรับปรุงกระบวนการประเมินความเสี่ยงด้านความมั่นคง
4.2.3
ปลอดภัยสารสนเทศ (Risk Assessment Methodology) ของธนาคารเพื่อให้เป็นไปตามมาตรฐาน ISO/IEC 27001 โดยเนื้อหาต้องครอบคลุมดังนี้
(1) เกณฑ์การยอมรับความเสี่ยง
(2) การสร้างผลลัพธ์ที่สามารถเปรียบเทียบได้และดําเนินการได้
หน้า 6 จาก 25
a
Na
4.2.4
(3) การระบุความเสี่ยงที่เกี่ยวข้องกับการสูญเสียความลับ ความถูกต้องสมบูรณ์ และ
ความพร้อมใช้
(4) การระบุเจ้าของความเสี่ยง
(5) การวิเคราะห์ผลกระทบและการประเมินโอกาสเกิด
(6) การประมาณระดับความเสี่ยง
ดําเนินการจัดทําหรือทบทวนบัญชีรายการทรัพย์สินที่เกี่ยวข้อง สําหรับการประเมิน
ความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (ISMS Asset Inventory) ตามขอบเขตที่กําหนด
4.2.5 ดําเนินการร่วมกับเจ้าหน้าที่ของธนาคารฯ ในการประเมิน และวิเคราะห์ความเสี่ยง (Risk Assessment) ให้เป็นไปตามมาตรฐาน ISO/IEC 27001:2022
4.2.6 ดําเนินการคัดเลือกวิธีการปฏิบัติควบคุมเพื่อลดความเสี่ยง ตามมาตรฐาน ISO/IEC 27001:2022 โดยเนื้อหาต้องครอบคลุม
4.2.7
4.2.8
(1) การเลือกทางเลือกในการลดความเสี่ยง
(2) การเลือกมาตรฐานควบคุมตามภาคผนวก (Annex A) มาใช้ในการลดความเสี่ยง (3) การระบุรายการมาตรการควบคุมที่เลือกใช้งาน (Statement of Applicability) ดําเนินการพัฒนาและดําเนินการตามแผนลดความเสี่ยง (Risk Treatment Plan) ดําเนินการปรับปรุงเอกสาร Statement of Applicability (SoA) ตาม Annex A
ของมาตรฐานสากล ISO/IEC 27001:2022
4.2.9 ดําเนินการกําหนดวิธีการวัดประสิทธิผล (Effectiveness Measurement) และ เป้าหมายของมาตรการควบคุม ตามข้อกําหนดในมาตรฐาน ISO/IEC 27001:2022
4.2.10
ดําเนินการทบทวนและซักซ้อมแผนรองรับการดําเนินธุรกิจอย่างต่อเนื่อง
(Business Continuity Plan) ตามการวิเคราะห์ผลกระทบทางธุรกิจ (BIA) ของขอบเขตที่กําหนด พร้อมให้ คําแนะนําปรับปรุงให้สอดคล้องกับข้อกําหนด มาตรฐานสากล ISO/IEC 27001:2022
4.2.11 ดําเนินการทบทวนสิทธิการบริหารจัดการการเข้าถึง และปรับปรุงเอกสาร User
Access Control Matrix สําหรับการทบทวนและการบริหารจัดการสิทธิการเข้าถึงระบบสารสนเทศ
4.2.12
ISO/IEC 27001:2022
4.2.13
ดําเนินการทบทวนนโยบายธนาคาร และระเบียบธนาคารที่เกี่ยวข้องกับมาตรฐาน
ดําเนินการทบทวน ปรับปรุง ระเบียบปฏิบัติงาน คู่มือปฏิบัติงาน และแบบฟอร์ม รวมทั้งเอกสารสนับสนุนต่าง ๆ ที่เกี่ยวข้องกับขอบเขตงาน เพื่อให้เป็นไปมาตรฐานสากล ISO/IEC
27001:2022
4.2.14
ดําเนินการร่วมกับคณะทํางานในการจัดเตรียมข้อมูลสําหรับการประชุม เพื่อ พิจารณาและรายงานผลการดําเนินงานของระบบบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศ ให้แก่
คณะกรรมการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS Management Review)
หน้า 7 จาก 26
A
Na
4.2.15 ดําเนินการการตรวจประเมินรักษาสถานะภาพระบบบริหารจัดการความมั่นคง
ปลอดภัยสารสนเทศในการจัดเก็บบันทึก (Record) ตามข้อกําหนดของมาตรฐานสากล ISO/IEC 27001:2022 4.2.16 ดําเนินการตรวจสอบภายในระบบบริหารจัดการความมั่นคงปลอดภัยด้าน
สารสนเทศ (ISMS Internal Audit) ตามขอบเขต และจัดทํารายงานผลการตรวจสอบภายใน (ISMS Internal Audit Report) ให้สอดคล้องกับข้อกําหนด
4.2.17
ดําเนินการสนับสนุนการตรวจสอบภายในระบบบริหารจัดการความมั่นคงปลอดภัย
ด้านสารสนเทศ (ISMS Internal Audit) ตามขอบเขต รวมถึงร่วมหาแนวทางและติดตามผลการแก้ไขความไม่ สอดคล้องตามข้อที่ตรวจพบ โดยอ้างอิงจากรายงานผลการตรวจสอบภายใน (ISMS Internal Audit Report) เดือนละ 1 ครั้ง จนสิ้นสุดระยะเวลาดําเนินโครงการ หรือเมื่อฝ่ายตรวจสอบด้านเทคโนโลยีสารสนเทศ ยอมรับ
ผลการแก้ไขความไม่สอดคล้อง
4.2.18 ดําเนินการสนับสนุนการตรวจประเมินเพื่อผ่านการรับรองมาตรฐานสากล ISO/IEC
27001:2022 และร่วมหาแนวทางแก้ไขความไม่สอดคล้องจากการตรวจประเมินและรับรอง (ถ้ามี)
4.2.19
ดําเนินการจัดหาวิทยากรบรรยายให้ความรู้ ที่เกี่ยวข้องกับการบริหารจัดการความ
มั่นคงปลอดภัยสารสนเทศ และความมั่นคงปลอดภัยไซเบอร์ พร้อมทําการทดสอบเพื่อประเมินความรู้ โดย จัดการอบรมเป็นจํานวน 2 หลักสูตร ดังนี้
(1) หลักสูตรสําหรับคณะทํางานการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
หรือเจ้าหน้าที่ที่เกี่ยวข้องในการพัฒนาระบบบริหารจัดการการรักษาความมั่นคงปลอดภัยสารสนเทศ ให้มี ความรู้ความเข้าใจในเนื้อหาของมาตรฐานสากล ISO/IEC 27001:2022
(2) หลักสูตรสร้างความตระหนักด้านความมั่นคงปลอดภัยไซเบอร์ โดยครอบคลุมถึง กฎหมาย ระเบียบและข้อบังคับที่เกี่ยวข้อง รวมถึงความมั่นคงปลอดภัยด้านการใช้งาน Artificial Intelligent (AI) สําหรับคณะกรรมการ และคณะทํางานการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ หรือเจ้าหน้าที่
ที่เกี่ยวข้องในการพัฒนาระบบบริหารจัดการการรักษาความมั่นคงปลอดภัยสารสนเทศ
ลําดับ
ชื่อหลักสูตร
ระยะเวลา/ จํานวนผู้เข้าร่วม รูปแบบ
SL.
จํานวนครั้ง
การอบรม
1
อบรมความรู้ความเข้าใจเกี่ยวกับ
ไม่น้อยกว่า 6
คณะทํางาน หรือเจ้าหน้าที่
Online
มาตรฐานสากล ISO/IEC
ชั่วโมง /1 ครั้ง
ที่เกี่ยวข้อง
27001:2022
(ไม่น้อยกว่า 10 ท่าน)
หน้า 8 จาก 26
g. Now
ล่าดับ
ชื่อหลักสูตร
ระยะเวลา
จํานวนผู้เข้าร่วม
รูปแบบ
ที่
จํานวนครั้ง
การอบรม
2 อบรมการสร้างความตระหนักรู้
ไม่น้อยกว่า 3
เจ้าหน้าที่ธนาคาร อิสลาม
Online
ด้านความมั่นคงปลอดภัยไซเบอร์
ชั่วโมง /1 ครั้ง
(ไม่น้อยกว่า 30 ท่าน)
หมายเหตุ :
(1) รูปแบบบรรยายภาษาไทย และจัดทําใบประกาศรับรองการฝึกอบรม ในรูปแบไฟล์
อิเล็กทรอนิกส์ (e-Certificated) โดยมีขอบเขตการดําเนินงานตาม ข้อ 4.2.19
(2) ทุกหลักสูตรจะต้องจัดทําแบบทดสอบก่อนและหลังการฝึกอบรม
4.2.20 ดําเนินการจัดให้มีการฝึกอบรมหลักสูตร CQI and IRCA Certified ISO/IEC 27001:2022 Lead Auditor Training Course พร้อมการทดสอบเพื่อขอรับใบรับรอง สําหรับผู้เข้ารับการ อบรมจํานวน 3 ท่าน โดยผู้รับจ้างเป็นผู้รับผิดชอบค่าใช้จ่ายที่เกี่ยวข้องกับการจัดฝึกอบรมและการสอบทั้งหมด
4.2.21
ดําเนินการรับผิดชอบค่าใช้จ่ายการจัดจ้างการตรวจประเมินรักษาสถานภาพการ รับรอง (Surveillance Audit) ตามมาตรฐานสากล ISO/IEC 27001:2022 ของธนาคารเพื่อดําเนินการตรวจ ระบบบริหารจัดการรักษาความมั่นคงปลอดภัยสารสนเทศ
4.2.22 ดําเนินการทบทวนและจัดทําเอกสาร Security Hardening Baseline สําหรับ ควบคุมการตั้งค่าความมั่นคงปลอดภัย อ้างอิงตาม CIS Benchmarks เวอร์ชั่นปัจจุบัน ณ วันที่เริ่มดําเนินการ ทบทวน Security Baseline และเพิ่มเอกสาร Security Hardening Baseline ของระบบที่ยังไม่มีเอกสาร และ/หรือปรับปรุงให้เป็นปัจจุบัน ไม่น้อยกว่า 3 เล่ม
หลักฐานการยื่นข้อเสนอ
ผู้ยื่นข้อเสนอจะต้องเสนอเอกสารหลักฐานยื่นมาพร้อมกับการเสนอราคาทางระบบจัดซื้อจัดจ้าง
A
ภาครัฐด้วยอิเล็กทรอนิกส์ โดยแยกเป็น 2 ส่วน คือ
5.1 ส่วนที่ 1 อย่างน้อยต้องมีเอกสารดังต่อไปนี้
(1) ในกรณีผู้ยื่นข้อเสนอเป็นนิติบุคคล
(ก) ห้างหุ้นส่วนสามัญหรือห้างหุ้นส่วนจํากัด ให้ยื่นสําเนาหนังสือรับรองการจด
ทะเบียนนิติบุคคล บัญชีรายชื่อหุ้นส่วนผู้จัดการ
(ข) บริษัทจํากัดหรือบริษัทมหาชนจํากัด ให้ยื่นสําเนาหนังสือรับรองการจดทะเบียน นิติบุคคล หนังสือบริคณห์สนธิ บัญชีรายชื่อกรรมการผู้จัดการ และบัญชีผู้ถือหุ้นรายใหญ่ (ถ้ามี)
หน้า 9 จาก 26
a
Nov
(2) ในกรณีผู้ยื่นข้อเสนอเป็นบุคคลธรรมดาหรือคณะบุคคลที่มิใช่นิติบุคคลให้ยีนสําเนา บัตรประจําตัวประชาชนของผู้นั้น สําเนาข้อตกลงที่แสดงถึงการเข้าเป็นหุ้นส่วน (ถ้ามี) สําเนาบัตรประจําตัว ประชาชนของผู้เป็นหุ้นส่วน หรือสําเนาหนังสือเดินทางของผู้เป็นหุ้นส่วนที่มิได้ถือสัญชาติไทย
(3) ในกรณีผู้ยื่นข้อเสนอเป็นผู้ยื่นข้อเสนอร่วมกันในฐานะเป็นผู้ร่วมค้า ให้ยื่นสําเนา สัญญาของการเข้าร่วมค้า และเอกสารตามที่ระบุไว้ใน (1) หรือ (2) ของผู้ร่วมค้า แล้วแต่กรณี (4) ผู้ยื่นข้อเสนอต้องแสดงหลักฐานเกี่ยวกับมูลค่าสุทธิของกิจการ ดังนี้
กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยหรือต่างประเทศซึ่งได้ จดทะเบียนเกินกว่า 1 ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิที่ ปรากฏในงบแสดงฐานะการเงินที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก 1 ปีสุดท้ายก่อนวันยื่น ข้อเสนองบแสดงฐานะการเงิน 1 ปีสุดท้ายก่อนวันยื่นข้อเสนอ หมายถึง งบแสดงฐานะการเงินย้อนไปก่อนวันที่ หน่วยงานของรัฐกําหนดให้เป็นวันยื่นข้อเสนอ 1 ปีปฏิทิน เว้นแต่กรณีนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย หากวันยื่นข้อเสนอเป็นช่วงระยะเวลาที่กรมพัฒนาธุรกิจการค้ากําหนดให้นิติบุคคลยื่นงบแสดงฐานะการเงินกับ กรมพัฒนาธุรกิจการค้า ซึ่งจะอยู่ในช่วงเดือนมกราคม – เดือนพฤษภาคม ของทุกปี โดยนิติบุคคลที่เป็นผู้ยื่น ข้อเสนอนั้นยังอยู่ในช่วงของการยื่นงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า คือ ช่วงเดือนมกราคม - เดือนพฤษภาคม กรณีนี้ให้สามารถยื่นงบแสดงฐานะการเงินย้อนไปอีก 1 ปี ได้
กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย ซึ่งยังไม่มีการ รายงานงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า หรือกรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตาม กฎหมายต่างประเทศซึ่งยังไม่มีการรายงานงบแสดงฐานะการเงิน ให้พิจารณาการกําหนดมูลค่าของทุนจด ทะเบียน โดยผู้ยื่นข้อเสนอจะต้องมีทุนจดทะเบียนที่เรียกชําระมูลค่าหุ้นแล้ว ณ วันที่ยื่นข้อเสนอ ต้องมีทุนจด ทะเบียนไม่ต่ํากว่า 1 ล้านบาท
สําหรับการจัดซื้อจัดจ้างครั้งหนึ่งที่มีวงเงินเกิน 500,000.00 บาทขึ้นไป กรณีผู้ยื่น ข้อเสนอเป็นบุคคลธรรมดาให้พิจารณาจากหนังสือรับรองบัญชีเงินฝากไม่เกิน 90 วัน ก่อนวันยื่นข้อเสนอโดย ต้องมีเงินฝากคงเหลือในบัญชีธนาคารเป็นมูลค่า 1 ใน 4 ของมูลค่างบประมาณของโครงการหรือรายการที่ยื่น ข้อเสนอในแต่ละครั้ง และหากเป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ได้รับการคัดเลือกจะต้องแสดงหนังสือ
รับรองบัญชีเงินฝากที่มีมูลค่าดังกล่าวอีกครั้งหนึ่งในวันลงนามในสัญญา
กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียน หรือมีแต่ไม่เพียง
พอที่จะเข้ายื่นข้อเสนอ สามารถดําเนินการได้ดังนี้
(1) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย หรือบุคคลธรรมดา ที่ถือสัญชาติไทย ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ 1 ใน 4 ของมูลค่างบประมาณ ของโครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง จะเป็นสินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุน
หรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้ํา
ประกันตามประกาศของธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทย
หน้า 10 จาก 26
a Nov
g
แจ้งเวียนให้ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สํานักงานใหญ่รับรอง หรือที่สํานักงาน สาขารับรอง (กรณีได้รับมอบอํานาจจากสํานักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวันยื่นข้อเสนอไม่เกิน
90 วัน
(2) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศ หรือบุคคล ธรรมดาที่มิได้ถือสัญชาติไทย ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ 1 ใน 4 ของมูลค่า งบประมาณของโครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง จะเป็นสินเชื่อที่ธนาคารภายในประเทศ หรือ
บริษัทเงินทุนหรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และ
ประกอบธุรกิจค้ําประกันตามประกาศของธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่ง
ประเทศไทยแจ้งเวียนให้ทราบ หรือเป็นสินเชื่อที่ธนาคารต่างประเทศหรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับ
อนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้ําประกันตามประกาศของธนาคารกลาง ต่างประเทศนั้น ตามรายชื่อบริษัทที่ธนาคารกลางต่างประเทศนั้นแจ้งเวียนให้ทราบโดยพิจารณาจากยอดเงิน รวมของวงเงินสินเชื่อที่สํานักงานใหญ่รับรอง หรือที่สํานักงานสาขารับรอง (กรณีได้รับมอบอํานาจจาก สํานักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวันยื่นข้อเสนอไม่เกิน 90 วัน) การจัดซื้อจัดจ้างฯ
กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศ หรือบุคคล ธรรมดาที่มิได้ถือสัญชาติไทยตามข้อ 2 ข้อ 3 และข้อ 4 (2) มูลค่าจะต้องเป็นไปตามอัตราแลกเปลี่ยนเงินตรา ตามประกาศที่ธนาคารแห่งประเทศไทยกําหนด ในช่วงระหว่างวันที่เผยแพร่ประกาศและเอกสารประกวดราคา ในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (e - GP) จนถึงวันเสนอราคา
ทั้งนี้ ผู้ยื่นข้อเสนอจะต้องยื่นเอกสารที่แสดงให้เห็นถึงข้อมูลเกี่ยวกับมูลค่าสุทธิของ
กิจการแล้วแต่กรณี ประกอบกับเอกสารดังกล่าวจะต้องผ่านการรับรองตามระเบียบกระทรวงการต่างประเทศ ว่าด้วยการรับรองเอกสาร พ.ศ. 2539 และที่แก้ไขเพิ่มเติม กําหนด โดยจะต้องยื่นเอกสารดังกล่าวในวันยื่น ข้อเสนอ หากผู้ยื่นข้อเสนอมิได้มีการยื่นเอกสารดังกล่าวมาพร้อมกับการยื่นข้อเสนอให้ถือว่าผู้ยื่นข้อเสนอราย
นั้นยื่นเอกสารไม่ครบถ้วนตามเงื่อนไขที่กําหนดไว้ในเอกสารประกวดราคา
(5)
สําเนาใบทะเบียนพาณิชย์ สําเนาใบทะเบียนภาษีมูลค่าเพิ่ม
(6) บัญชีเอกสารส่วนที่ 1 ทั้งหมดที่ได้ยื่นพร้อมกับการเสนอราคาทางระบบจัดซื้อจัดจ้าง ภาครัฐด้วยอิเล็กทรอนิกส์ ตามแบบในข้อ 1.6 (1) โดยไม่ต้องแนบในรูปแบบ PDF File (Portable Document Format)
ทั้งนี้ เมื่อผู้ยื่นข้อเสนอดําเนินการแนบไฟล์เอกสารตามบัญชีเอกสารส่วนที่ 1 ครบถ้วน ถูกต้องแล้ว ระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์จะสร้างบัญชีเอกสารส่วนที่ 1 ตามแบบใน ข้อ 1.6 (1) ให้โดยผู้ยื่นข้อเสนอไม่ต้องแนบบัญชีเอกสารส่วนที่ 1 ดังกล่าวในรูปแบบ PDF File (Portable
Document Format)
1
หน้า 11 จาก 26
a
Now
5.2 ส่วนที่ 2 อย่างน้อยต้องมีเอกสารดังต่อไปนี้
(1) สําเนาใบขึ้นทะเบียนผู้ประกอบการวิสาหกิจขนากลางและขนาดย่อม (SMEs) (ถ้ามี) (2) บัญชีเอกสารส่วนที่ 2 ทั้งหมดที่ได้ยื่นพร้อมกับการเสนอราคาทางระบบจัดซื้อจัดจ้าง ภาครัฐด้วยอิเล็กทรอนิกส์ ตามแบบในข้อ 1.6 (2) โดยไม่ต้องแนบในรูปแบบ PDF File (Portable
Document Format)
5.2.1 จัดทําตารางเปรียบเทียบรายละเอียดที่สอดคล้องกับขอเขตของงานฉบับนี้
ข้อกําหนดรายละเอียด ความสอดคล้อง
TOR

คุณสมบัติของผู้เสนอ
ตรงหรือดีกว่าตาม
ราคา
ข้อกําหนด TOR
ข้อกําหนดรายละเอียด เอกสารอ้างอิง
ของผู้เสนอราคาที่เสนอ
ระบุคุณสมบัติของผู้ เสนอราคาที่เสนอมาให้ | เอกสารอ้างอิง
พิจารณา
ระบุเลขหน้าของ
5.3 ส่วนที่ 3 คือ ข้อเสนอด้านราคา ใบเสนอราคา
ทั้งนี้ เมื่อผู้ยื่นข้อเสนอดําเนินการแนบไฟล์เอกสารตามบัญชีเอกสารส่วนที่ 2 ครบถ้วน ถูกต้องแล้ว ระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์จะสร้างบัญชีเอกสารส่วนที่ 2 ตามแบบ ในข้อ 1.6 (2) ให้ โดยผู้ยื่นข้อเสนอไม่ต้องแนบบัญชีเอกสารส่วนที่ 2 ดังกล่าวในรูปแบบ PDF File (Portable
Document Format)

การยื่นข้อเสนอ
6.1 ผู้ยื่นข้อเสนอต้องยื่นข้อเสนอและเสนอราคาทางระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ ตามที่กําหนดไว้ในเอกสารประกวดราคาอิเล็กทรอนิกส์นี้ โดยไม่มีเงื่อนไขใดๆ ทั้งสิ้น และจะต้องกรอกข้อความให้ ถูกต้องครบถ้วน พร้อมทั้งหลักฐานแสดงตัวตนและทําการยืนยันตัวตนของผู้ยื่นข้อเสนอโดยไม่ต้องแนบใบเสนอ ราคาในรูปแบบ PDF File (Portable Document Format)
6.2 ในการเสนอราคาให้เสนอราคาเป็นเงินบาท และเสนอราคาได้เพียงครั้งเดียวและราคาเดียว โดยเสนอราคารวม และหรือราคาต่อหน่วย และหรือต่อรายการ ตามเงื่อนไขที่ระบุไว้ท้ายใบเสนอราคาให้ ถูกต้อง ทั้งนี้ ราคารวมที่เสนอจะต้องตรงกันทั้งตัวเลขและตัวหนังสือ ถ้าตัวเลขและตัวหนังสือไม่ตรงกันให้ถือ ตัวหนังสือเป็นสําคัญ โดยคิดราคารวมทั้งสิ้นซึ่งรวมค่าภาษีมูลค่าเพิ่ม ภาษีอากรอื่น ค่าขนส่งค่าจดทะเบียน และค่าใช้จ่ายอื่นๆ ทั้งปวงไว้แล้ว จนกระทั่งส่งมอบพัสดุให้ ณ ธนาคารอิสลามแห่งประเทศไทย
ราคาที่เสนอจะต้องเสนอกําหนดยืนราคาไม่น้อยกว่า 90 วัน ตั้งแต่วันเสนอราคาโดย ภายในกําหนดยืนราคา ผู้ยื่นข้อเสนอต้องรับผิดชอบราคาที่ตนได้เสนอไว้ และจะถอนการเสนอราคามิได้
6.3 ผู้ยื่นข้อเสนอจะต้องเสนอกําหนดเวลาดําเนินการแล้วเสร็จไม่เกิน 210 วัน นับถัดจากวันลง
นามในสัญญาหรือวันที่ได้รับหนังสือแจ้งจากธนาคารให้เริ่มทํางาน
หน้า 12 จาก 26
a
& Na
6.4 ก่อนเสนอราคา ผู้ยื่นข้อเสนอควรตรวจดูร่างสัญญา รายละเอียดคุณลักษณะเฉพาะ ฯลฯ ให้ ถี่ถ้วนและเข้าใจเอกสารประกวดราคาอิเล็กทรอนิกส์ทั้งหมดเสียก่อนที่จะตกลงยื่นข้อเสนอตามเงื่อนไขใน
เอกสารประกวดราคาอิเล็กทรอนิกส์
6.5 ผู้ยื่นข้อเสนอต้องจัดทําเอกสารสําหรับใช้ในการเสนอราคาในรูปแบบไฟล์เอกสารประเภท PDF File (Portable Document Format) โดยผู้ยื่นข้อเสนอต้องเป็นผู้รับผิดชอบตรวจสอบความครบถ้วน ถูกต้อง และชัดเจนของเอกสาร PDF File ก่อนที่จะยืนยันการเสนอราคา แล้วจึงส่งข้อมูล (Upload) เพื่อเป็น การเสนอราคาให้แก่ธนาคารผ่านทางระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์
6.7 คณะกรรมการพิจารณาผลการประกวดราคาอิเล็กทรอนิกส์ จะดําเนินการตรวจสอบ
คุณสมบัติของผู้ยื่นข้อเสนอแต่ละรายว่า เป็นผู้ยื่นข้อเสนอที่มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นตาม ข้อ 1.5 (1) หรือไม่ หากปรากฏว่าผู้ยื่นข้อเสนอรายใดเป็นผู้ยื่นข้อเสนอที่มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอราย คณะกรรมการพิจารณาผลการประกวดราคาอิเล็กทรอนิกส์จะตัดรายชื่อผู้ยื่นข้อเสนอที่มีผลประโยชน์
อื่น
ร่วมกันนั้นออกจากการเป็นผู้ยื่นข้อเสนอ
หากปรากฏต่อคณะกรรมการพิจารณาผลการประกวดราคาอิเล็กทรอนิกส์ ว่า ก่อนหรือ
ในขณะที่มีการพิจารณาข้อเสนอ มีผู้ยื่นข้อเสนอรายใดกระทําการอันเป็นการขัดขวางการแข่งขันอย่างเป็นธรรม ตามข้อ 1.5 (2) และคณะกรรมการพิจารณาผลการประกวดราคาอิเล็กทรอนิกส์ เชื่อว่ามีการกระทําอันเป็นการ ขัดขวางการแข่งขันอย่างเป็นธรรม คณะกรรมการพิจารณาผลการประกวดราคาอิเล็กทรอนิกส์จะตัดรายชื่อผู้ยื่น ข้อเสนอรายนั้นออกจากการเป็นผู้ยื่นข้อเสนอ และธนาคารจะพิจารณาลงโทษผู้ยื่นข้อเสนอดังกล่าวเป็นผู้ทิ้งงาน
เว้นแต่ธนาคาร จะพิจารณาเห็นว่าผู้ยื่นข้อเสนอรายนั้นมิใช่เป็นผู้ริเริ่มให้มีการกระทําดังกล่าวและได้ให้ความร่วมมือ
เป็นประโยชน์ต่อการพิจารณาของธนาคาร
6.8 ผู้ยื่นข้อเสนอจะต้องปฏิบัติ ดังนี้
(1) ปฏิบัติตามเงื่อนไขที่ระบุไว้ในเอกสารประกวดราคาอิเล็กทรอนิกส์
(2) ราคาที่เสนอจะต้องเป็นราคาที่รวมภาษีมูลค่าเพิ่ม และภาษีอื่นๆ (ถ้ามี) รวม
ค่าใช้จ่ายทั้งปวงไว้ด้วยแล้ว
(3) ผู้ยื่นข้อเสนอจะต้องลงทะเบียนเพื่อเข้าสู่กระบวนการเสนอราคา ตามวัน เวลา ที่กําหนด โดยเวลาในการเสนอราคาให้ถือตามเวลาของระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์เป็นเกณฑ์ เมื่อพ้น กําหนดเวลายื่นข้อเสอนและเสนอราคาแล้ว จะไม่รับอกสารการยื่นข้อเสอนและการเสอนราคาใดๆ โดยเด็ดขาด (4) ผู้ยื่นข้อเสนอจะถอนการเสนอราคาที่เสนอแล้วไม่ได้
(5) ผู้ยื่นข้อเสนอต้องศึกษาและทําความเข้าใจในระบบและวิธีการเสนอราคาด้วยวิธี
ประกวดราคาอิเล็กทรอนิกส์ ของกรมบัญชีกลางที่แสดงไว้ในเว็บไซต์ www.gprocurement.go.th
หน้า 13 จาก 26
Now
เงื่อนไขการเสนอราคา
7.1 ราคาที่เสนอจะต้องเสนอกําหนดยืนราคาไม่น้อยกว่า 90 วัน ตั้งแต่วันเสนอราคา โดยภายใน
กําหนดยืนราคา
ผู้ยื่นข้อเสนอต้องรับผิดชอบราคาที่ตนได้เสนอไว้และจะถอนการเสนอราคามิได้
7.2 ผู้ยื่นข้อเสนอต้องทําความเข้าใจในเอกสารทุกฉบับให้เป็นที่เข้าใจโดยชัดแจ้ง และไม่ว่ากรณี ใดๆ ทั้งสิ้น ผู้ยื่นข้อเสนอจะยกขึ้นเป็นข้ออ้างโดยอาศัยเหตุจากการที่ละเลยไม่ทําความเข้าในข้อความดังกล่าว หรือละเลยไม่ปฏิบัติตามข้อความนั้น หรือโดยการอ้างความสําคัญผิดในความหมายของข้อความในรายละเอียด และคุณลักษณะเฉพาะงานนั้นเพื่อปฏิเสธความรับผิดมิได้
7.3 ก่อนวันที่ผู้ยื่นข้อเสนอ จะยื่นเอกสารประกวดราคากับธนาคาร ธนาคารสงวนสิทธิ์ที่จะยกเลิก
การประกวดราคาได้เมื่อมีความจําเป็นและทําให้ธนาคารเสียหายหรือเสียประโยชน์
7.4 ผู้ยื่นข้อเสนอที่มีพฤติกรรมขัดขวางการแข่งขันราคาอย่างเป็นธรรม หากได้ยื่นเอกสารประกวด ราคาแล้ว จะถอนตัวออกจากการประกวดราคามิได้ มิฉะนั้นธนาคารจะรีบหลักประกันการเสนอราคาทันที และอาจพิจารณาเรียกค่าเสียหายอื่น (ถ้ามี) รวมทั้งอาจพิจารณาให้เป็นผู้ทิ้งงานได้
7.5 หากพบว่าเมื่อใดก็ตามผู้ยื่นข้อเสนอมีเจตนาที่จะปิดบัง บิดเบือน ไม่สุจริต ใช้ชื่อบุคคลอื่นมา ยื่นข้อเสนอแทน หรือพยายามให้ธนาคารเข้าใจผิดไปจากความเป็นจริง ธนาคารจะพิจารณาตัดสิทธิในการ เสนอราคา หรือยกเลิกสัญญาที่ทําไว้กับผู้ยื่นข้อเสนอได้ทันที และเรียกค่าเสียหายที่พึงเกิดขึ้นจากการกระทํา
ดังกล่าว
7.6 ผู้ยื่นข้อเสนอจะต้องยื่นข้อเสนอและเสนอราคาทางระบบการจัดซื้อจัดจ้างภาครัฐด้วย
อิเล็กทรอนิกส์โดยให้ถือตามเวลาของระบบการจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์เป็นเกณฑ์ ทั้งนี้ เมื่อพ้น กําหนดเวลายื่นข้อเสนอและเสนอราคาแล้ว ธนาคารจะไม่รับเอกสารการยื่นข้อเสนอและการเสนอใด ๆ
เด็ดขาด
หลักเกณฑ์ในการพิจารณาข้อเสนอ
8.1 ในการพิจารณาผลการยื่นข้อเสนอประกวดราคาอิเล็กทรอนิกส์ครั้งนี้ ธนาคารจะพิจารณา ตัดสินโดยใช้เกณฑ์ราคารวมต่ําสุด
8.2 หากผู้ยื่นข้อเสนอรายใดมีคุณสมบัติไม่ถูกต้องตามคุณสมบัติผู้ยื่นข้อเสนอ (ตามข้อ 3) หรือยื่น หลักฐานการยื่นข้อเสนอไม่ถูกต้อง หรือไม่ครบถ้วน (ตามข้อ 5) หรือยื่นข้อเสนอไม่ถูกต้องตามข้อ 6 คณะกรรมการพิจารณาผลฯ จะไม่รับพิจารณาข้อเสนอของผู้ยื่นข้อเสนอรายนั้น เว้นแต่ ผู้ยื่นข้อเสนอรายใด
เสนอเอกสารทางเทคนิคหรือขอบเขตของงานที่จะจ้างไม่ครบถ้วน หรือเสนอรายละเอียดแตกต่างไปจาก เงื่อนไขที่กําหนดไว้ในประกาศและเอกสารประกวดราคาอิเล็กทรอนิกส์ ในส่วนที่มิใช่สาระสําคัญ และความ แตกต่างนั้นไม่มีผลทําให้เกิดการได้เปรียบเสียเปรียบต่อผู้ยื่นข้อเสนอรายอื่น หรือเป็นการผิดพลาดเล็กน้อย
คณะกรรมการพิจารณาผลฯ อาจพิจารณาผ่อนปรนการตัดสิทธิผู้ยื่นข้อเสนอรายนั้น
3.3 ธนาคารสงวนสิทธิ์ไม่พิจารณาข้อเสนอของผู้ยื่นข้อเสนอโดยไม่มีการผ่อนผัน ในกรณีดังต่อไปนี้
หน้า 14 จาก 26
Now
อิเล็กทรอนิกส์
(1) ไม่กรอกชื่อผู้ยื่นข้อเสนอในการเสนอราคาทางระบบจัดซื้อจัดจ้างภาครัฐด้วย
(2) เสนอรายละเอียดแตกต่างไปจากเงื่อนไขที่กําหนดในเอกสารประกวดราคาอิเล็กทรอนิกส์
ที่เป็นสาระสําคัญ หรือมีผลทําให้เกิดความได้เปรียบเสียเปรียบแก่ผู้ยื่นข้อเสนอรายอื่น
8.4 ในการตัดสินการประกวดราคาอิเล็กทรอนิกส์หรือในการทําสัญญา คณะกรรมการพิจารณาผล การประกวดราคาอิเล็กทรอนิกส์ หรือธนาคาร มีสิทธิให้ผู้ยื่นข้อเสนอชี้แจงข้อเท็จจริงเพิ่มเติมได้ ธนาคารมีสิทธิ ที่จะไม่รับข้อเสนอ ไม่รับราคา หรือไม่ทําสัญญา หากข้อเท็จจริงดังกล่าวไม่เหมาะสมหรือไม่ถูกต้อง
8.5 ธนาคารทรงไว้ซึ่งสิทธิที่จะไม่รับราคาต่ําสุด หรือราคาหนึ่งราคาใด หรือราคาที่เสนอทั้งหมดก็ได้ และอาจพิจารณาเลือกจ้างในจํานวน หรือขนาด หรือเฉพาะรายการหนึ่งรายการใด หรืออาจจะยกเลิกการ ประกวดราคาอิเล็กทรอนิกส์โดยไม่พิจารณาจัดจ้างเลยก็ได้ สุดแต่จะพิจารณา ทั้งนี้ เพื่อประโยชน์ของทาง ราชการเป็นสําคัญ และให้ถือว่าการตัดสินของธนาคารเป็นเด็ดขาด ผู้ยื่นข้อเสนอจะเรียกร้องค่าใช้จ่าย หรือ ค่าเสียหายใด ๆ มิได้ รวมทั้งธนาคารจะพิจารณายกเลิกการประกวดราคาอิเล็กทรอนิกส์และลงโทษผู้อื่น ข้อเสนอเป็นผู้ทิ้งงาน ไม่ว่าจะเป็นผู้ยื่นข้อเสนอที่ได้รับการคัดเลือกหรือไม่ก็ตาม หากมีเหตุที่เชื่อถือได้ว่าการ ยื่นข้อเสนอกระทําการโดยไม่สุจริต เช่น การเสนอเอกสาร อันเป็นเท็จ หรือใช้ชื่อบุคคลธรรมดา หรือนิติบุคคล อื่นมาเสนอราคาแทน เป็นต้น
ในกรณีที่ผู้ยื่นข้อเสนอรายที่เสนอราคาต่ําสุด เสนอราคาต่ําจนคาดหมายได้ว่าไม่อาจดําเนินงานตาม
เอกสารประกวดราคาอิเล็กทรอนิกส์ได้ คณะกรรมการพิจารณาผลการประกวดราคาอิเล็กทรอนิกส์ หรือ
ธนาคารจะให้ผู้ยื่นข้อเสนอนั้นชี้แจงและแสดงหลักฐานที่ทําให้เชื่อได้ว่า ผู้ยื่นข้อเสนอสามารถดําเนินการตาม เอกสารประกวดราคาอิเล็กทรอนิกส์ให้เสร็จสมบูรณ์ หากคําชี้แจงไม่เป็นที่รับฟังได้ ธนาคารมีสิทธิที่จะไม่รับ ข้อเสนอหรือไม่รับราคาของผู้ยื่นข้อเสนอรายนั้น ทั้งนี้ ผู้ยื่นข้อเสนอดังกล่าวไม่มีสิทธิเรียกร้องค่าใช้จ่ายหรือ ค่าเสียหายใด ๆ จากธนาคาร
ๆ
8.6 ก่อนลงนามในสัญญาธนาคาร อาจยกเลิกประกวดราคาอิเล็กทรอนิกส์ หากปรากฏว่ามีการกระทํา ที่เข้าลักษณะผู้ยื่นข้อเสนอที่ชนะการประกวดราคาหรือที่ได้รับการคัดเลือกมีผลประโยชน์ร่วมกัน หรือมีส่วนได้ เสียกับผู้ยื่นข้อเสนอรายอื่น หรือขัดขวางการแข่งขันอย่างเป็นธรรม หรือสมยอมกันกับผู้ยื่นข้อเสนอรายอื่น หรือเจ้าหน้าที่ในการเสนอราคา หรือส่อว่ากระทําการทุจริตอื่นใดในการเสนอราคา
8.7 หากผู้ยื่นข้อเสนอซึ่งเป็นผู้ประกอบการ SMEs เสนอราคาสูงกว่าราคาต่ําสุดของผู้ยื่นข้อเสนอราย อื่นที่ไม่เกินร้อยละ 10 ให้จัดจ้างกับผู้ประกอบการ SMEs ดังกล่าวโดยจัดเรียงลําดับ ผู้ยื่นข้อเสนอซึ่งเป็น ผู้ประกอบการ SMEs ซึ่งเสนอราคาสูงกว่าราคาต่ําสุดของผู้ยื่นข้อเสนอรายอื่นไม่เกินร้อยละ 10 ที่จะเรียกมา ทําสัญญาไม่เกิน 3 ราย
ผู้ยื่นข้อเสนอที่เป็นกิจการร่วมค้าที่จะได้สิทธิตามวรรคหนึ่ง ผู้เข้าร่วมค้าทุกรายจะต้องเป็น
ผู้ประกอบการ SMEs
ม
หน้า 15 จาก 26
a
Now
ทั้งนี้ ผู้ประกอบการ SMEs ที่จะได้แต้มต่อด้านราคาตามวรรคหนึ่ง จะต้องมีวงเงินสัญญาสะสมตามปี ปฏิทินรวมกับราคาที่เสนอในครั้งนี้แล้ว มีมูลค่ารวมกันไม่เกินมูลค่าของรายได้ตามขนาดที่ขึ้นทะเบียนไว้กับ
สลา,
8.8 หากผู้ยื่นข้อเสนอซึ่งมิใช่ผู้ประกอบการ SMEs แต่เป็นบุคคลธรรมดาที่ถือสัญชาติไทยหรือนิติ บุคคลที่จัดตั้งขึ้นตามกฎหมายไทยเสนอราคาสูงกว่าราคาต่ําสุดของผู้ยื่นข้อเสนอซึ่งเป็นบุคคลธรรมดาที่มิได้ถือ
สัญชาติไทยหรือนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายของต่างประเทศไม่เกินร้อยละ 3 ให้จัดซื้อจัดจ้างกับบุคคล ธรรมดาที่ถือสัญชาติไทยหรือนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยดังกล่าว
ผู้ยื่นข้อเสนอที่เป็นกิจการร่วมค้าที่จะได้สิทธิตามวรรคหนึ่ง ผู้เข้าร่วมค้าทุกรายจะต้องเป็นบุคคล ธรรมดาที่ถือสัญชาติไทยหรือนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย
งบประมาณ
งบประมาณในการจัดจ้าง จํานวนเงิน 1,500,000.00 บาท (หนึ่งล้านห้าแสนบาทถ้วน) ซึ่งรวม ภาษีมูลค่าเพิ่มและภาษีอากรอื่น ค่าขนส่ง ค่าจดทะเบียนและค่าใช้จ่ายอื่น ๆ ทั้งปวง
สัญญา
ระยะเวลาดําเนินการ
ผู้ยื่นข้อเสนอจะต้องดําเนินการให้แล้วเสร็จภายในระยะเวลา 210 วัน นับถัดจากวันที่ลงนามใน
เงื่อนไขในการส่งมอบ
ผู้ยื่นข้อเสนอจะต้องส่งมอบงานหรือพัสดุภายในกําหนดระยะเวลาดังนี้
11.1 ผู้ยื่นข้อเสนอต้องส่งมอบแผนการดําเนินการโครงการตลอดทั้งโครงการ
11.2 เสนอราคาจะต้องส่งมอบเอกสารรายงาน ภายใน 60 วัน นับถัดจากวันลงนามในสัญญา ตามขอบเขตของการดําเนินโครงการ ตามข้อ 4.2.1 - 4.2.8
11.3 ผู้เสนอราคาจะต้องส่งมอบเอกสารรายงาน ภายใน 120 วัน นับถัดจากวันลงนามใน
สัญญา ตามขอบเขตของการดําเนินโครงการ ตามข้อ 4.2.9 - 4.2.19
11.4 ผู้เสนอราคาจะต้องส่งมอบเอกสารรายงาน ภายใน 210 วัน นับถัดจากวันลงนามใน
สัญญา ตามขอบเขตของการดําเนินโครงการ ตามข้อ 4.2.20 – 4.2.22
11.5 ผู้เสนอราคาจะต้องดําเนินการส่งมอบงานตามขอบเขตงานทั้งหมดให้ถูกต้องและ ครบถ้วนตามกําหนด โดยจัดทําเอกสารรายงานในลักษณะสิ่งพิมพ์เป็นภาษาไทยเว้นแต่กรณีที่ต้องมีการอธิบาย ด้วยภาษาทางเทคนิคหรือภาษาเฉพาะให้ใช้ภาษาอังกฤษได้ ในรูปแบบซอฟต์ไฟล์ (Soft file) และรูปแบบ เอกสารส่งมอบอย่างน้อย 1 ชุด
หน้า 16 จาก 26
Be No
เงื่อนไขการจ่ายเงิน
12.1 กรณีชําระเงินค่าจ้างแบ่งเป็นงวดๆ
ธนาคารจะชําระค่าจ้างตามสัญญา ซึ่งได้รวมภาษีมูลค่าเพิ่มตลอดจนภาษีอากรอื่นๆ และ ค่าใช้จ่ายทั้งปวงแล้ว โดยแบ่งชําระค่าบริการเป็นรายเดือน จํานวน 3 งวด
งวดที่ 1 ชําระเงินในอัตราร้อยละ 40 ของมูลค่าสัญญา เมื่อผู้เสนอราคาส่งมอบงานตาม ข้อ 11.1 และ ข้อ 11.2 แล้วเสร็จภายใน 60 วัน นับถัดจากวันลงนามในสัญญา และคณะกรรมการตรวจรับพัสดุได้
ตรวจรับเรียบร้อยแล้ว
งวดที่ 2 ชําระเงินในอัตราร้อยละ 40 ของมูลค่าสัญญา เมื่อผู้เสนอราคาส่งมอบงานตาม ข้อ 11.3 แล้วเสร็จภายใน 120 วัน นับถัดจากวันลงนามในสัญญา และคณะกรรมการตรวจรับพัสดุได้ตรวจรับเรียบร้อย
แล้ว
งวดที่ 3 ชําระเงินในอัตราร้อยละ 20 ของมูลค่าสัญญา เมื่อผู้เสนอราคาส่งมอบงานตาม ข้อ 11.4 แล้วเสร็จภายใน 210 วัน นับถัดจากวันลงนามในสัญญา และคณะกรรมการตรวจรับพัสดุได้ตรวจรับเรียบร้อย
แล้ว
ผู้เสนอราคาจะต้องดําเนินการส่งมอบงานตามขอบเขตงานทั้งหมดให้ถูกต้องและครบถ้วนตามกําหนด โดยจัดทําเอกสารรายงานในลักษณะสิ่งพิมพ์เป็นภาษาไทยเว้นแต่กรณีที่ต้องมีการอธิบายด้วยภาษาทางเทคนิค หรือภาษาเฉพาะให้ใช้ภาษาอังกฤษได้ในรูปแบบซอฟต์ไฟล์ (Soft file) และรูปแบบเอกสารส่งมอบอย่างน้อย
1 ชุด
การทําสัญญาจ้าง
ผู้ชนะการประกวดราคาอิเล็กทรอนิกส์จะต้องทําสัญญาจ้างตามแบบสัญญาดังระบุไว้ในข้อ 1.3 หรือ ทําข้อตกลงเป็นหนังสือกับธนาคาร ภายใน 15 วัน นับถัดจากวันที่ได้รับใบแจ้ง และจะต้องวางหลักประกัน สัญญาเป็นจํานวนเงินเท่ากับร้อยละ 5 ของราคาค่าจ้างที่ประกวดราคาอิเล็กทรอนิกส์ได้ ให้ธนาคารยึดถือไว้ ในขณะทําสัญญา โดยใช้หลักประกันอย่างหนึ่งอย่างใดดังต่อไปนี้
13.1 เงินสด
13.2 เช็คหรือดราฟท์ที่ธนาคารเซ็นสั่งจ่ายให้แก่ธนาคารอิสลามแห่งประเทศไทย ซึ่งเป็นเช็คหรือ ดราฟท์ลงวันที่ที่ใช้เช็คหรือดราฟท์นั้น ชําระต่อเจ้าหน้าที่ในวันทําสัญญา หรือก่อนวันนั้นไม่เกิน 3 วันทําการ
13.3 หนังสือค้ําประกันของธนาคารภายในประเทศ ตามตัวอย่างที่คณะกรรมการนโยบาย กําหนด ดังระบุในข้อ 1.4 (2) หรือจะเป็นหนังสือค้ําประกันอิเล็กทรอนิกส์ตามวิธีการที่กรมบัญชีกลางกําหนด
13.4 หนังสือค้ําประกันของบริษัทเงินทุน หรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้
ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้ําประกันตามประกาศของธนาคารแห่งประเทศไทย
ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทยแจ้งเวียนให้ทราบ โดยอนุโลมให้ใช้ตามตัวอย่างหนังสือค้ํา ประกันของธนาคารที่คณะกรรมการนโยบายกําหนด ดังระบุในข้อ 1.4 (2)
13.5 พันธบัตรรัฐบาลไทย
หน้า 17 จาก 26
a Now
หลักประกันนี้จะคืนให้ โดยไม่มีดอกเบี้ยภายใน 15 วันนับถัดจากวันที่ผู้ชนะการประกวดราคา อิเล็กทรอนิกส์ (ผู้รับจ้าง) พ้นจากข้อผูกพันตามสัญญาจ้างแล้ว
หลักประกันนี้จะคืนให้ โดยไม่มีดอกเบี้ย ตามอัตราส่วนของงานจ้าง ซึ่งธนาคารได้รับมอบไว้แล้ว
ค่าปรับ
ค่าปรับตามแบบสัญญาจ้างแนบท้ายเอกสารประกวดราคาอิเล็กทรอนิกส์นี้ หรือข้อตกลงจ้างเป็น
หนังสือจะกําหนด ดังนี้
14.1 กรณีที่ผู้รับจ้างนํางานที่รับจ้างไปจ้างช่วงให้ผู้อื่นทําอีกทอดหนึ่งโดยไม่ได้รับอนุญาตจาก ธนาคารจะกําหนดค่าปรับสําหรับการฝ่าฝืนดังกล่าวเป็นจํานวนร้อยละ 10 ของวงเงินของงานจ้างช่วงนั้น
14.2 กรณีที่ผู้รับจ้างไม่ปฏิบัติตามสัญญาหรือข้อตกลงเป็นหนังสือกับธนาคาร นอกเหนือจากข้อ 14.1 ไม่ว่าข้อหนึ่งข้อใด หรือไม่สามารถส่งมอบงานหรือพัสดุได้ภายในเวลาที่กําหนด โดยที่ธนาคารยังไม่บอก เลิกสัญญาหรือข้อตกลงเป็นหนังสือ ผู้ยื่นข้อเสนอยินยอมเสียค่าปรับเป็นรายวันในอัตราร้อยละ 0.10 ของราคา จ้างพัสดุที่ยังไม่ได้รับมอบ แต่ต้องไม่ต่ํากว่าวันละ 100 บาท (หนึ่งร้อยบาทถ้วน) นับแต่วันที่ปฏิบัติผิดสัญญา หรือข้อตกลงเป็นหนังสือ หรือนับถัดจากวันครบกําหนดการส่งมอบพัสดุ จนถึงวันที่ได้ปฏิบัติตามสัญญาหรือ ข้อตกลง หรือส่งมอบพัสดุได้เรียบร้อยครบถ้วน หรือวันที่ธนาคารได้บอกเลิกสัญญาหรือข้อตกลงแล้วแต่กรณี
ในกรณีที่การส่งมอบพัสดุ หรืองานที่ว่าจ้างขาดส่วนประกอบส่วนหนึ่งส่วนใด หรือส่งมอบแต่ละ ส่วนแล้ว แต่ไม่สามารถใช้การหรือใช้ประโยชน์ได้โดยสมบูรณ์ ให้ถือว่ายังไม่ได้ส่งมอบพัสดุหรืองานที่ว่าจ้างนั้น เลยและธนาคารมีสิทธิปรับเต็มราคาของพัสดุหรืองานที่ว่าจ้างทั้งชุดหรือทั้งหมดแล้วแต่กรณี
การรับประกันความชํารุดบกพร่อง
ผู้ชนะการประกวดราคาอิเล็กทรอนิกส์ซึ่งได้ทําสัญญาจ้างตามแบบดังระบุในข้อ 1.3 หรือทํา

ข้อตกลงจ้างเป็นหนังสือแล้วแต่กรณี จะต้องรับประกันความชํารุดบกพร่องของงานจ้างที่เกิดขึ้นภายใน ระยะเวลาไม่น้อยกว่า 1 ปี นับถัดจากวันที่ธนาคารได้รับมอบงาน โดยต้องรีบจัดการซ่อมแซมแก้ไขให้ใช้การได้ ดีดังเดิมภายใน 1 วัน นับถัดจากวันที่ได้รับแจ้งความชํารุดบกพร่อง
16. การปฏิบัติตามกฎหมายและระเบียบ
ในระหว่างระยะเวลาการจ้าง ผู้ยื่นข้อเสนอที่ได้รับการคัดเลือกให้เป็นคู่สัญญากับธนาคารต้อง ปฏิบัติตามหลักเกณฑ์ที่กฎหมายและระเบียบได้กําหนดไว้โดยเคร่งครัด
หน้า 18 จาก 26
ar
S.. Now
17. ข้อสงวนสิทธิ์ในการยื่นข้อเสนอและอื่นๆ
H
17.1 เงินค่าจ้างสําหรับงานจ้างครั้งนี้ ได้มาจากเงินงบประมาณ ประจําปี 2559
การลงนามในสัญญาจะกระทําได้ต่อเมื่อธนาคาร ได้รับเงินค่าจ้างจากเงินงบประมาณ
ประจําปี 2559 แล้วเท่านั้น
17.1 ผู้ยื่นข้อเสนอจะต้องเก็บรักษาข้อมูลของธนาคารและของลูกค้าธนาคารทั้งหมดที่ได้รับ
ธนาคารไว้เป็นความลับจะนําไปเผยแพร่กับหน่วยงานหรือบุคคลอื่นมิได้
17.2 พัสดุหรืองานที่ส่งมอบหรือวัสดุอุปกรณ์ที่ใช้และเป็นค่าใช้จ่ายของธนาคารถือเป็นกรรมสิทธิ์ ของธนาคาร ผู้ยื่นข้อเสนอที่เข้าเป็นคู่สัญญากับธนาคารไม่มีสิทธิที่จะนําไปใช้ได้
17.3 ผู้ยื่นข้อเสนอจะต้องรับผิดชอบ หากการดําเนินการตามสัญญาของผู้ยื่นข้อเสนอเป็นการ ละเมิดกฎหมาย หรือสิทธิใดๆ ในสิทธิบัตร หรือลิขสิทธิ์ทรัพย์สินทางปัญญา หรืออุปกรณ์ต่างๆ ที่ได้จากการทํา ตามขอบเขตของงานฉบับนี้ ให้ตกเป็นของธนาคาร ผู้ยื่นข้อเสนอไม่มีสิทธิที่จะนําไปใช้ได้
17.4 ผู้ยื่นข้อเสนอที่ได้รับการคัดเลือกจะโอนสิทธิหรือหน้าที่ตามสัญญาให้แก่บุคคลอื่นมิได้เว้น
แต่จะได้รับความยินยอมจากธนาคารเป็นลายลักษณ์อักษร
17.5 ผู้ยื่นข้อเสนอที่เข้าเป็นคู่สัญญากับธนาคาร ยินยอมให้ธนาคารเข้าไปตรวจสอบพัสดุ หรือ งานได้ตลอดเวลา โดยไม่มีข้อโต้แย้งใดๆ
17.6 ธนาคารสามารถติดตาม ตรวจสอบ และประเมินประสิทธิภาพของผู้ยื่นข้อเสนอในการ ปฏิบัติตามสัญญาหรือข้อตกลงเป็นหนังสือได้
ส่วนบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศ
ธนาคารอิสลามแห่งประเทศไทย
หมายเหตุ สถานที่ติดต่อเพื่อขอรับทราบข้อมูลเพิ่มเติมหรือมีความเห็นเป็นลายลักษณ์อักษรมายังหน่วยงานโดยเปิดเผยตัวได้ที่ 1. ทางไปรษณีย์ ส่ง ส่วนบริหารจัดการด้านความปลอดภัยสารสนเทศ ธนาคารอิสลามแห่งประเทศไทย สํานักงาน ใหญ่ เลขที่ 66 อาคารนวม ชั้น 20 ถ.สุขุมวิท 21 (อโศก) แขวงคลองเตยเหนือ เขตวัฒนา กรุงเทพฯ 10110 2. ทางโทรศัพท์ หมายเลข 02-650-6999 ต่อ 1075, 3014 หรือ E-mail: it security aibank.co.th
หน้า 1 จาก 26
a
as
Now
ภาคผนวก ก
การรักษาความลับ
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และที่มีการแก้ไขเพิ่มเติม แต่ไม่รวมถึง บรรดาข้อมูลที่ (ก) เป็นที่ทราบกันโดยทั่วไปอยู่แล้วในทางสาธารณะ เว้นแต่การรับทราบดังกล่าวจะเป็นผลไม่ ว่าโดยตรงหรือโดยอ้อมอันเนื่องมาจากการผิดสัญญาฉบับนี้ของคู่สัญญาฝ่ายใดฝ่ายหนึ่ง หรือ (ข) ผู้รับข้อมูล ได้รับทราบโดยชอบอยู่แล้วก่อนวันที่ตนได้รับการเปิดเผยจากธนาคาร หรือ (ค) ผู้รับข้อมูลได้รับทราบไม่ว่าจะ
ด้วยวิธีการใดก็ตามจากบุคคลภายนอกซึ่งไม่มีหน้าที่ต่อธนาคารในการรักษาความลับในข้อมูลดังกล่าว
“ข้อมูลความลับ” หมายถึง บรรดาข้อมูลใดๆ ไม่ว่าจะเปิดเผยด้วยวิธีการใดหรืออยู่ในรูปแบบใด ก็ตาม ซึ่งข้อมูลดังกล่าวรวมถึงแต่ไม่จํากัดเพียงแค่ ข้อมูลลูกค้า ข้อมูลทางด้านธุรกิจ ข้อมูลด้านการเงิน ข้อมูล อื่น ๆ ที่เกี่ยวข้องกับบริการ ข้อมูลที่มีความสําคัญเชิงพาณิชย์ ไม่ว่าจะมีการระบุว่าเป็นข้อมูลความลับหรือไม่ก็ ตามโดยคู่สัญญาทั้งสองฝ่ายถือเป็นเรื่องที่เป็นความลับ และข้อมูลส่วนบุคคล
ๆ
ทั้งนี้ เพื่อเป็นการรักษาความลับในข้อมูลความลับดังกล่าวที่ได้รับจากธนาคาร ผู้รับจ้างมีหน้าที่ จะต้องเก็บรักษาข้อมูลความลับดังกล่าวไว้เป็นความลับภายใต้ข้อกําหนดและเงื่อนไขที่ธนาคารได้ระบุไว้
ข้อ 1. การรักษาความลับ
เพื่อเป็นการรักษาข้อมูลความลับ ผู้รับจ้างตกลงว่าจะเก็บรักษาข้อมูลความลับและจะไม่เปิดเผยข้อมูล ความลับให้แก่ผู้ใด โดยตกลงว่า
ธนาคาร
1.1 ผู้รับจ้างจะเก็บรักษาข้อมูลความลับนั้นไว้เป็นความลับที่สุดตามข้อกําหนดและเงื่อนไขของ
1.2 ผู้รับจ้างจะไม่ใช้ข้อมูลความลับเพื่อวัตถุประสงค์อื่นใดนอกจากวัตถุประสงค์ของ
สัญญาซื้อ/จ้างครั้งนี้
1.3 ผู้รับจ้างจะไม่เปิดเผยข้อมูลความลับให้แก่บุคคลใดๆ นอกจากตัวแทนของคู่สัญญาฝ่ายที่รับ
ข้อมูลที่มีความจําเป็นอย่างยิ่งที่จะต้องได้รับการเปิดเผยข้อมูลความลับเพื่อให้บริการบรรลุผลสําเร็จตาม
วัตถุประสงค์ และจะดําเนินการให้ตัวแทนของ
ผู้รับจ้างปฏิบัติตามข้อกําหนดและเงื่อนไขการ
รักษาความลับ ซึ่งเป็นข้อกําหนดและเงื่อนไขที่เข้มงวดไม่น้อยกว่าข้อกําหนดและเงื่อนไขของสัญญาซื้อ/จ้าง
ครั้งนี้
1.4 ผู้รับจ้างจะชดใช้ความเสียหายที่เกิดขึ้นให้แก่ธนาคารตามความเสียหายที่เกิดขึ้นจริงหรือตามที่ คู่สัญญาทั้งสองฝ่ายจะได้ตกลงจํานวนค่าเสียหายร่วมกัน ในกรณีที่ ผู้รับจ้าง และ/หรือตัวแทนของผู้รับจ้างไม่ ปฏิบัติตามข้อกําหนดและเงื่อนไขการรักษาความลับ
หน้า 20 จาก 26
a
Na
น
1.5 ผู้รับจ้างจะไม่ทําซ้ํา ทําสําเนา หรือทําสรุปย่อ หรือทําบันทึกรายการข้อมูลความลับไม่ว่าทั้งหมด หรือในส่วนใดส่วนหนึ่ง เว้นแต่เป็นเรื่องที่จําเป็นอย่างยิ่งเพื่อดําเนินการ ตามวัตถุประสงค์ และจะถือว่าสําเนา สรุปย่อและบันทึกรายการดังกล่าวเป็นข้อมูลความลับของธนาคารแต่เพียงผู้เดียว
1.6 ผู้รับจ้างจะดําเนินการเก็บรักษาข้อมูลความลับทั้งหมดไม่ว่าจะได้เปิดเผยด้วยวาจาหรือเป็นลาย ลักษณ์อักษร รวมทั้งโปรแกรมคอมพิวเตอร์สําเร็จรูป โดยทําเครื่องหมายไว้อย่างชัดเจนว่าเป็นความลับ และ/ หรือเป็นกรรมสิทธิ์ และ/หรือสิทธิของธนาคารแต่ผู้เดียว
1.7 ผู้รับจ้างจะเก็บรักษาข้อมูลความลับทั้งหมดไว้ในสถานที่ปลอดภัย และจะปฏิบัติต่อข้อมูล ความลับทั้งหมดด้วยวิธีการรักษาความปลอดภัยที่ได้มาตรฐานไม่น้อยกว่าวิธีการ ซึ่งตนจะใช้ปฏิบัติกับข้อมูล
ความลับของตนเอง และเป็นวิธีการที่รับประกันว่าสามารถรักษาความปลอดภัยให้แก่ข้อมูลความลับได้อย่าง พอเพียง เพื่อไม่ให้มีการนําข้อมูลความลับนั้นไปเปิดเผย หรือนําไปทําสําเนา หรือนําไปใช้โดยมิได้รับอนุญาต และผู้รับข้อมูลจะแจ้งให้ธนาคารทราบทันทีที่ล่วงรู้ว่าได้มีการนําข้อมูลความลับใดๆ ไปเปิดเผยต่อบุคคลใดหรือ ตกอยู่ในครอบครองของบุคคลใดซึ่งไม่ใช่ตัวแทนของผู้รับจ้าง
ข้อ 2. ข้อจํากัดการเปิดเผยข้อมูลความลับนี้
ผู้รับจ้างไม่ต้องรับผิดแต่อย่างใดสําหรับการเปิดเผยข้อมูลความลับ อีกทั้งไม่อยู่ภายใต้บังคับแห่ง
สัญญาซื้อ/จ้างครั้งนี้ ในกรณีที่
2.1 เมื่อกฎหมายไทย หรือหน่วยงานใดของรัฐบาล หรือศาล หรือหน่วยงานที่มีอํานาจหรือเจ้า พนักงานผู้มีอํานาจตามกฎหมายไทยได้ใช้อํานาจตามกฎหมายไทยกําหนดและบังคับให้ผู้รับจ้างต้องเปิดเผย
ข้อมูลความลับ
2.2 ธนาคารอนุมัติเป็นลายลักษณ์อักษรให้ผู้รับจ้างนําข้อมูลความลับนั้นเปิดเผยต่อสาธารณชนได้ 2.3 ข้อมูลความลับนั้นเป็นหรือได้กลายเป็นสาธารณสมบัติแล้วโดยไม่ใช่ความผิด ของผู้รับจ้าง 2.4 ผู้รับจ้างทราบข้อมูลความลับนั้นแล้วโดยสุจริตก่อนหน้าที่ธนาคารเปิดเผยข้อมูลความลับนั้น และ
ไม่มีภาระผูกพันที่จะรักษาข้อมูลความลับนั้นไว้เป็นความลับด้วย
2.5 ธนาคารได้นําข้อมูลความลับนั้นไปเปิดเผยต่อบุคคลภายนอก โดยไม่ได้ตั้งข้อจํากัดเกี่ยวกับการ
เปิดเผยหรือการใช้รายละเอียดของข้อมูลความลับนั้นไว้ด้วย
2.6 ผู้รับจ้างได้รับข้อมูลความลับนั้นในภายหลังจากบุคคลภายนอกโดยสุจริตและไม่ได้ละเมิดภาระ ผูกพันใดๆ ในการรักษาความลับซึ่งมีอยู่ต่อบุคคลที่สามหรือต่อธนาคาร
ผู้รับจ้างจะต้องแจ้งให้ธนาคารทราบทันที หากมีกรณีที่ผู้รับจ้างต้องเปิดเผยข้อมูลความลับตามที่ระบุ
ไว้ในข้อ 2.1 – 2.6 ปี
+
ข้อ 3. ผลของการผิดสัญญา
หากผู้รับจ้างได้กระทําผิดข้อกําหนดและเงื่อนไขใดในสัญญาซื้อ/จ้างครั้งนี้ และ/หรือบทบัญญัติของ กฎหมาย กฎ ระเบียบ หรือคําสั่งของทางราชการอันเกี่ยวเนื่องกับข้อมูลความลับดังกล่าว ซึ่งเป็นเหตุให้ ธนาคารได้รับความเสียหาย ผู้รับจ้างตกลงที่จะรับผิดชอบต่อธนาคารตามความเสียหายที่เกิดขึ้นจริงหรือตามที่
หน้า 21 จาก 26
ม
a
Now
คู่สัญญาทั้งสองฝ่ายจะตกลงจํานวนค่าเสียหายร่วมกัน และผู้รับจ้างต้องยุติการใช้ข้อมูลความลับที่ผู้รับจ้าง ได้รับมาหรืออยู่ในความครอบครองของตน และส่งคืน ลบหรือทําลายข้อมูลความลับหรือดําเนินการอื่นตามที่ ได้รับแจ้งเป็นหนังสือจากธนาคารตามที่กําหนดไว้ในข้อ 4
ข้อ 4. การส่งคืน ลบ หรือทําลายข้อมูลความลับ
เมื่อการดําเนินงานระหว่างธนาคารกับผู้รับจ้างเสร็จสิ้นลง ผู้รับจ้างจะต้องส่งมอบข้อมูลความลับและ สําเนาของข้อมูลความลับที่ผู้รับจ้างได้รับไว้ต้องคืนให้แก่ธนาคาร ตลอดจนลบหรือทําลายข้อมูลความลับที่ถูก จัดเก็บไว้ในคอมพิวเตอร์ หรืออุปกรณ์อื่นใดที่ใช้จัดเก็บข้อมูล (ถ้ามี) หรือดําเนินการอื่นตามที่ได้รับแจ้งเป็น หนังสือจากธนาคาร ตลอดจนยุติการใช้ข้อมูลความลับที่ได้จากธนาคารทันที และผู้รับจ้างจะต้องรักษา ความลับของข้อมูลที่ได้รับจากธนาคารตลอดไปแม้ว่าการดําเนินงานเสร็จสิ้นลงแล้วก็ตาม
ข้อ 5. สิทธิในทรัพย์สิน
บรรดาข้อมูลความลับที่ธนาคารได้เปิดเผยให้ผู้รับจ้างทราบ รวมทั้งสําเนาของข้อมูลความลับถือเป็น
ทรัพย์สินของธนาคารตลอดไป
ข้อ 6. สิทธิในทรัพย์สินทางปัญญา
สัญญาซื้อ/จ้างครั้งนี้ ไม่ถือว่าเป็นการโอนสิทธิหรือการอนุญาตให้ใช้สิทธิไม่ว่าโดยตรงหรือโดยอ้อมแก่ ผู้รับจ้าง ซึ่งสิทธิบัตร ลิขสิทธิ์ เครื่องหมายการค้า ชื่อทางการค้า สิทธิในทรัพย์สินทางปัญญาอื่นๆ หรือสิทธิ อื่นๆ ของธนาคารที่เกี่ยวเนื่องกับข้อมูลความลับ ทั้งนี้ ผู้รับจ้างและ/หรือตัวแทนของ ผู้รับจ้างจะไม่ยื่นขอ สิทธิบัตรใดๆ หรือยื่นขอจดทะเบียนเครื่องหมายการค้า หรือสิทธิเกี่ยวกับทรัพย์สินทางปัญญาใด ๆ เกี่ยวกับ ข้อมูลความลับดังกล่าว
ข้อ 7. ความสมบูรณ์ของข้อมูลความลับ และข้อเรียกร้อง
ๆ
ธนาคารไม่ให้คํารับรองเกี่ยวกับความถูกต้องแม่นยํา หรือความครบถ้วนสมบูรณ์ของข้อมูลความลับที่
ได้เปิดเผยนั้น ดังนั้น ผู้รับจ้างตกลงว่าจะไม่เรียกร้องหรือฟ้องร้องให้ธนาคารต้องรับผิดอันเนื่องมาจากความไม่ ถูกต้องครบถ้วนหรือสมบูรณ์ของข้อมูลความลับดังกล่าว
ข้อ 8. การโอนสิทธิและหน้าที่
คู่สัญญาทั้งสองฝ่ายไม่สามารถโอนสิทธิ หน้าที่ และ/หรือภาระผูกพันตามสัญญาซื้อ/จ้าง
ครั้งนี้ได้
การรักษาความลับที่ธนาคารได้จัดทําขึ้นนี้ เพื่อให้ผู้รับจ้างได้อ่านและทําความเข้าใจข้อความพร้อมทั้ง
รายละเอียดโดยตลอด โดยผู้รับจ้าจะต้องปฏิบัติให้เป็นไปตามตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กําหนดต่อไป
หน้า 22 จาก 26
a
g
Nor
ภาคผนวก ข
คู่สัญญาตกลงกันดังต่อไปนี้
ข้อกําหนดการประมวลผลข้อมูลส่วนบุคคล

คู่สัญญาแต่ละฝ่ายตกลงจะปฏิบัติตามข้อกําหนดตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วน บุคคลที่ใช้บังคับ รวมถึงปฏิบัติตามหน้าที่ภายใต้ข้อตกลงหรือสัญญา
คู่สัญญาแต่ละฝ่ายจะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่ได้รับมาจากคู่สัญญาอีกฝ่าย เท่าที่จําเป็นเฉพาะเพื่อการปฏิบัติหน้าที่ตามข้อตกลงหรือสัญญา และเก็บรักษาบันทึกกิจกรรมที่เกี่ยวกับการ เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล จะไม่ใช้เพื่อวัตถุประสงค์อื่นเว้นแต่จะได้รับอนุญาตจากเจ้าของ ข้อมูลส่วนบุคคล หรือมีฐานการประมวลผลข้อมูลส่วนบุคคลและเป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูล
ส่วนบุคคลที่ใช้บังคับโดยไม่คํานึงถึงหน้าที่ของคู่สัญญาไม่ว่าจะอยู่ในฐานะใดตามกฎหมาย
คู่สัญญาแต่ละฝ่ายจะไม่ใช้ข้อมูลส่วนบุคคลในลักษณะที่ขัดต่อข้อตกลงหรือสัญญา หรือใน ลักษณะที่ทําให้เกิดความเสียหายต่อสิทธิและเสรีภาพขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วน บุคคล เว้นแต่จะได้รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคลหรือมีฐานการประมวลผลข้อมูลส่วนบุคคลและ
เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับ
คู่สัญญาแต่ละฝ่ายจะใช้มาตรการเชิงเทคนิคและเชิงบริหารจัดการที่เหมาะสมตามที่กฎหมายว่า
ด้วยการคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับกําหนด เพื่อรักษาระดับการคุ้มครองการรักษาความมั่นคง ปลอดภัยให้เหมาะสมกับความเสี่ยงต่อข้อมูลส่วนบุคคล
คู่สัญญาแต่ละฝ่ายจะให้การสนับสนุนคู่สัญญาอีกฝ่ายในการปฏิบัติตามกฎหมายว่าด้วยการ คุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับ ในการจัดการคําร้องขอของเจ้าของข้อมูลส่วนบุคคลเพื่อเข้าถึง ทําให้ สมบูรณ์ ทําให้เป็นปัจจุบัน แก้ไข ส่งออก เปลี่ยนแปลง ลบ ทําให้ถูกต้อง ทําให้ไม่ระบุตัวตน คัดค้าน ระงับ หรือนําออกซึ่งข้อมูลส่วนบุคคล และร้องเรียนต่อหน่วยงานรัฐที่เกี่ยวข้อง หรือใช้สิทธิที่เกี่ยวข้องกับข้อมูลส่วน บุคคล โดยพิจารณาถึงลักษณะการเก็บรวบรวม ใช้ และเปิดเผย รวมถึงหน้าที่ภายใต้กฎหมายว่าด้วยการ คุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับ และข้อมูลส่วนบุคคลที่คู่สัญญาแต่ละฝ่ายสามารถเข้าถึง
คู่สัญญาแต่ละฝ่ายตกลงที่จะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเท่าที่จําเป็น หรือระบุ ฐานทางกฎหมายอื่นใดล่วงหน้าก่อนเปิดเผยข้อมูลส่วนบุคคลให้แก่คู่สัญญาอีกฝ่าย เพื่อให้คู่สัญญาอีกฝ่าย
สามารถเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่ได้รับมาจากคู่สัญญาอีกฝ่ายหนึ่งโดยชอบด้วยกฎหมาย
และเป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับเพื่อวัตถุประสงค์ในการปฏิบัติตาม
ข้อตกลงหรือสัญญาฉบับนี้
หน้า 23 จาก 26
a
No
คู่สัญญาแต่ละฝ่ายรับรองว่าได้แจ้งหรือบอกกล่าวข้อมูลที่จําเป็นและชอบธรรมไปยังเจ้าของ ข้อมูลส่วนบุคคลที่เกี่ยวข้องล่วงหน้าก่อนเปิดเผยข้อมูลส่วนบุคคลให้แก่คู่สัญญาอีกฝ่ายตามกฎหมายว่าด้วย
การคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับ เพื่อวัตถุประสงค์ในการปฏิบัติตามข้อตกลงหรือสัญญาฉบับนี้
คู่สัญญาแต่ละฝ่ายจะตรวจสอบให้แน่ใจว่าแต่ละฝ่ายไม่อยู่ภายใต้ข้อจํากัดหรือข้อห้ามใดๆ อัน
อาจเป็นอุปสรรคหรือจํากัดการกระทําดังต่อไปนี้
8.1 การเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลอันเกี่ยวข้องกับการปฏิบัติหน้าที่ภายใต้ข้อตกลงหรือ สัญญาฉบับนี้
8.2 การเปิดเผยหรือโอนข้อมูลส่วนบุคคลไปยังคู่สัญญาอีกฝ่ายอันเกี่ยวกับการปฏิบัติหน้าที่ภายใต้ ข้อตกลงหรือสัญญาฉบับนี้
ในกรณีที่คู่สัญญาแต่ละฝ่ายถูกร้องขอให้ปฏิบัติตามคําขอหรือค่าสั่งของหน่วยงานรัฐที่เกี่ยวข้อง ให้เปิดเผย นําส่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล คู่สัญญาแต่ละฝ่ายจะให้การสนับสนุนคู่สัญญา อีกฝ่ายหนึ่งในการปฏิบัติตามคําร้องขอคําสั่งดังกล่าว และเพื่อให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูล
ส่วนบุคคลที่ใช้บังคับ
คู่สัญญามีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลอย่างเคร่งครัด และคู่สัญญาจะต้องจัดให้ผู้ที่ เข้าถึงข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลช่วง มีหน้าที่รักษาความลับของข้อมูลส่วนบุคคล ตามที่กําหนดไว้ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และกฎหมายอื่นๆ ที่เกี่ยวข้อง
กรณีมีการละเมิดต่อมาตรการรักษาความมั่นคงปลอดภัย คู่สัญญานั้นมีหน้าที่ทําการประเมิน และตอบสนองต่อการกระทําใดๆ ซึ่งอาจมีลักษณะเป็นการเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยโดย
ปราศจากอํานาจ หรือโดยมิชอบ
ในกรณีที่คู่สัญญาตระหนักได้ว่ามีการกระทําอันเป็นการละเมิดข้อมูลส่วนบุคคลซึ่งทําให้ข้อมูล ส่วนบุคคลสูญหาย หรือมีการเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยโดยปราศจากอํานาจหรือโดยมิชอบ คู่สัญญานั้นจะทําการแจ้งต่อคู่สัญญาอีกฝ่ายหนึ่งทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นโดยไม่
ชักช้าเป็นลายลักษณ์อักษร หรือวิธีการทางอิเล็กทรอนิกส์ หรือวิธีการอื่นใดและระบุสาระสําคัญตามที่ประกาศ ของหน่วยงานราชการกําหนด ทั้งนี้ ภายในระยะเวลา 24 ชั่วโมงนับตั้งแต่เกิดเหตุการณ์ละเมิดในแต่ละคราว
คู่สัญญาจะใช้มาตรการตามที่เห็นสมควรในการระบุถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่ เกิดขึ้น และจะดําเนินการที่จําเป็นเพื่อป้องกันมิให้เกิดเหตุการณ์ละเมิดดังกล่าวขึ้นซ้ําอีก และจะให้ข้อมูลแก่
คู่สัญญาอีกฝ่ายหนึ่งภายใต้ขอบเขตที่กฎหมายกําหนดดังต่อไปนี้
13.1 รายละเอียดของลักษณะและผลที่อาจเกิดขึ้นของการละเมิด
13.2 มาตรการที่ถูกใช้เพื่อลดผลกระทบของการละเมิด
13.3 ประเภทของข้อมูลส่วนบุคคลและเจ้าของข้อมูลที่ถูกละเมิด (หากเป็นไปได้) 13.4 ข้อมูลอื่น ๆ ที่เกี่ยวข้องกับการละเมิด
หน้า 24 จาก 26
a
Nov
ภาคผนวก ๆ
ความต้องการด้านความมั่นคงปลอดภัยสารสนเทศ
ผู้ให้บริการภายนอกต้องตระหนักถึงการรักษาความมั่นคงปลอดภัยในข้อมูลและทรัพย์สินรวมทั้งความ ปลอดภัยของบุคลากรของธนาคารและต้องควบคุมดูแลให้ผู้ให้บริการภายนอกปฏิบัติตามนโยบายความ
มั่นคง ปลอดภัยสารสนเทศของธนาคาร ในช่วงเวลาที่ผู้ให้บริการภายนอกทํางานให้ธนาคารอย่างเคร่งครัด 2. หากผู้ให้บริการภายนอกมีการว่าจ้างผู้ให้บริการภายนอกรายอื่นรับช่วงงานต่อ ในการทํางานให้กับ ธนาคาร จะต้องควบคุมให้ผู้ให้บริการภายนอกรายอื่นรับช่วงงานต่อปฏิบัติตามนโยบายด้านความมั่นคง
ปลอดภัยสารสนเทศของธนาคาร รวมถึงคําสั่งและวิธีปฏิบัติและมาตรฐานที่เกี่ยวข้องเช่นเดียวกันกับผู้จ้าง
ในกรณีที่มีการยกเลิกสัญญาหรือมีการเปลี่ยนแปลงผู้ให้บริการภายนอก ผู้ให้บริการภายนอกรายนั้นต้องมี
แนวทางการนําทั้งหมดหรือบางส่วนกลับมาดําเนินการโดยธนาคารเองหรือส่งมอบงานต่อให้ผู้ให้บริการ
ภายนอกรายอื่นเพื่อให้ธนาคารสามารถดําเนินการได้อย่างต่อเนื่อง
ต้องไม่เปิดเผยความลับของข้อมูลสําคัญของธนาคารตามเงื่อนไขหรือข้อกําหนดในสัญญา 5. ต้องมีการจัดการเหตุการณ์ที่มีผลกระทบต่อความมั่นคงปลอดภัยทางคอมพิวเตอร์ หรือแจ้งหน่วยงาน
ธนาคารที่ควบคุมดูแลการทํางานทันที
ในช่วงเวลาที่ผู้ให้บริการภายนอกทํางานให้ธนาคารผู้ให้บริการภายนอกต้องยินยอมให้ธนาคารตรวจสอบ
การทํางานได้โดยไม่มีเงื่อนไข
ห้ามไม่ให้นําอุปกรณ์ประมวลผลหรือสื่อบันทึกข้อมูลที่ไม่ใช่ของธนาคารมาต่อเชื่อมเข้ากับระบบเครือข่าย สื่อสารของธนาคารโดยเด็ดขาดเว้นแต่ได้รับอนุญาตเป็นลายลักษณ์อักษรจากธนาคารโดยเครื่องที่ได้รับ
อนุญาตต้องเชื่อมในตําแหน่งที่ระบุไว้เท่านั้น
ห้ามนําาข้อมูลและสื่อเก็บข้อมูลที่จัดอยู่ในลําดับขั้นลับขึ้นไปออกจากธนาคาโดยไม่มีการควบคุมที่เหมาะสม 9. ภายหลังการส่งมอบงานห้ามไม่ให้เคลื่อนย้ายอุปกรณ์ของธนาคารโดยเด็ดขาดเว้นแต่ได้รับอนุญาตโดยการ
ดําเนินการดังกล่าวธนาคารจะจัดให้มีเจ้าหน้าที่ ติดตาม ควบคุม ทุกครั้ง
การพัฒนาระบบงาน การติดตั้งและการทดสอบระบบ ผ่านระบบเครือข่ายสื่อสารของธนาคารต้องได้รับ
อนุญาต จากธนาคาร และต้องใช้งานพอร์ตสื่อสาร (Service Port) ที่กําหนดให้เท่านั้น
ไม่อนุญาตให้ผู้ให้บริการภายนอกติดตั้งหรือเช่าบริการระบบอินเทอร์เน็ตหรือต่อเชื่อมเครื่องคอมพิวเตอร์ที่ นํามาใช้งานตามโครงการที่ธนาคาร ว่าจ้างไปยังเครือข่ายสื่อสารภายนอกโดยเด็ดขาด เว้นแต่ได้รับอนุญาต 12. ซอฟต์แวร์ทุกประเภทที่นํามาใช้กับงานของธนาคารต้องทําหนังสือรับรอง เพื่อยืนยันต่อธนาคารว่า
ซอฟต์แวร์มีลิขสิทธิ์ใช้งานถูกต้องตามกฎหมายและต้องไม่มีโปรแกรมแอบแฝงหรือโปรแกรมมุ่งร้ายใดๆฝัง ตัวอยู่และหากธนาคารตรวจพบว่ามีโปรแกรมดังกล่าวและได้ก่อให้เกิดความเสียหายต่อระบบงานระบบ
คอมพิวเตอร์และระบบเครือข่ายสื่อสารของธนาคาร ผู้ให้บริการภายนอกต้องรับผิดชอบต่อความเสียหาย
ที่เกิดขึ้นทั้งหมด
หน้า 25 จาก 26
Ørr
Now
ห้ามนําบุคคลภายนอกที่ไม่มีรายชื่อนอกเหนือจากที่ได้แจ้งไว้ต่อธนาคารเข้าพื้นที่ควบคุมความปลอดภัย
โดยเด็ดขาด
ผู้ให้บริการภายนอกต้องปฏิบัติงานในพื้นที่ที่ธนาคารกําหนดเท่านั้นหากต้องปฏิบัติงานในพื้นที่อื่นที่ นอกเหนือจากที่กําหนดไว้ ต้องได้รับอนุญาตจากธนาคารก่อนทุกครั้ง
หน้า 26 จาก 26
a Nor