ประกวดราคาจ้างที่ปรึกษาโครงการพัฒนาความมั่นคงปลอดภัยทางไซเบอร์ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ ประจำปีงบประมาณ พ.ศ. ๒๕๖๙

• เพื่อดำเนินการทดสอบเจาะระบบ และตรวจสอบช่องโหว่ ด้านความมั่นคงปลอดภัยไซเบอร์ให้กับระบบเทคโนโลยีสารสนเทศของ สป.ทส. และให้คำปรึกษาในการแก้ไขปัญหาที่พบ
• เพื่อจัดอบรมเกี่ยวกับการสร้างความตระหนักหรือหลักสูตรที่เกี่ยวข้องด้านภัยคุกคามทางไซเบอร์ให้กับบุคลากรของ สป.ทส.

• จัดทำแผนการดำเนินโครงการ (Project Plan) และกำหนดบุคลากรผู้รับผิดชอบแต่ละงาน ภายใน 30 วัน นับจากวันลงนามในสัญญา
• ดำเนินการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA) ตามระบบที่มีผลกระทบต่อการดำเนินงานของ สป.ทส. จำนวนไม่น้อยกว่า 1 ระบบงาน
• ดำเนินการประเมินช่องโหว่ (Vulnerability Assessment) ของระบบสารสนเทศ จำนวนไม่น้อยกว่า 1 ระบบ (ไม่เกิน 10 IP Address) จากวง IP ที่ สป.ทส. กำหนด และทำการประเมินช่องโหว่ซ้ำอีก 1 ครั้ง หลังการแก้ไข (หากมีภายใน 60 วัน) โดยต้องจัดทำแผนส่งให้ สป.ทส. ก่อนดำเนินการ
• ดำเนินการทดสอบเจาะระบบ (Penetration Test) ในรูปแบบ Black box สำหรับระบบ/Application จำนวนไม่น้อยกว่า 1 ระบบ (1 URL) จากรายการที่ สป.ทส. กำหนด และทำการทดสอบเจาะระบบซ้ำอีก 1 ครั้ง หลังการแก้ไขข้อตรวจพบ (หากมีภายใน 60 วัน) โดยต้องจัดทำแผนส่งให้ สป.ทส. ก่อนดำเนินการ
• ต้องใช้เครื่องมือที่มีความน่าเชื่อถือและเป็นมาตรฐานสากล ได้แก่ เครื่องมือสแกนช่องโหว่อัตโนมัติระดับ Commercial (เช่น Nessus, Rapid7 InsightVM) และเครื่องมือเฉพาะทางอื่นๆ (Manual Tools) ที่เป็นที่ยอมรับ
• ดำเนินการจัดทำรายงานสรุปผลการประเมินช่องโหว่และทดสอบเจาะระบบ รวมถึงการแก้ไขช่องโหว่และข้อตรวจพบ โดยต้องวิเคราะห์และคัดกรองผล False Positive ก่อนส่งมอบ พร้อมนำเสนอผลต่อคณะกรรมการตรวจรับ
• การทดสอบเจาะระบบต้องทำโดยผู้ทดสอบที่ได้รับการรับรองตามคุณสมบัติที่กำหนด และต้องวิเคราะห์ด้วยตัวบุคคล (Manual) ร่วมกับเครื่องมือ
• รับผิดชอบต่อความเสียหายใดๆ ที่เกิดขึ้นต่อระบบงานของ สป.ทส. อันเกิดจากการดำเนินการของที่ปรึกษา และต้องทำให้ระบบกลับมาใช้งานปกติโดยไม่มีค่าใช้จ่าย
• จัดอบรมสร้างความตระหนักด้านภัยคุกคามทางไซเบอร์ให้กับบุคลากรของ สป.ทส.

• แผนการดำเนินการโครงการ (Project Plan)
• รายงานการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA)
• แผนการประเมินช่องโหว่ (Vulnerability Assessment Plan)
• แผนการทดสอบเจาะระบบ (Penetration Testing Plan)
• รายงานผลการประเมินช่องโหว่ (Vulnerability Assessment Report)
• รายงานผลการทดสอบเจาะระบบ (Penetration Testing Report)
• เอกสารหลักฐานที่เกี่ยวข้องทั้งหมดจากการดำเนินงานตามข้อ 4.3
• รายงานสรุปผลการดำเนินโครงการและนำเสนอผลต่อคณะกรรมการตรวจรับ
• หลักฐานการจัดอบรมสร้างความตระหนัก

ที่ปรึกษาจะต้องดำเนินงานโครงการให้แล้วเสร็จภายใน 180 วัน นับถัดจากวันลงนามในสัญญา โดยมีกำหนดส่งมอบงานงวดที่ 1 (ข้อ 4.1-4.2) ภายใน 60 วัน และส่งมอบงานงวดสุดท้าย (ข้อ 4.3 และเอกสารทั้งหมด) ภายใน 180 วัน นับจากวันลงนามในสัญญา

• Eligibility Requirements: ต้องเป็นนิติบุคคลหรือสถาบันการศึกษาที่ขึ้นทะเบียนเป็นที่ปรึกษา ระดับ 1 กับศูนย์ข้อมูลที่ปรึกษาของสำนักงานบริหารหนี้สาธารณะ กระทรวงการคลัง ในสาขาเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) และความเชี่ยวชาญด้านระบบความปลอดภัยในโลกไซเบอร์ (IT Security)
• Standards Compliance: -
• Experience: ต้องมีผลงานเป็นที่ปรึกษาด้านการตรวจสอบหาช่องโหว่และทดสอบเจาะระบบหรือผลงานอื่นที่เกี่ยวข้องกับวัตถุประสงค์ของการจ้างครั้งนี้ ภายในระยะเวลาไม่เกิน 3 ปีนับถึงวันยื่นข้อเสนอ
• Previous Project Cost: แต่ละสัญญาที่เคยให้บริการต้องมีวงเงินค่าจ้างตามสัญญาไม่น้อยกว่า 300,000 บาท
• Technical Capabilities: ต้องใช้เครื่องมือสแกนช่องโหว่อัตโนมัติ (Vulnerability Scanner) ระดับ Commercial ที่ถือลิขสิทธิ์ถูกต้อง (เช่น Nessus, Rapid7 InsightVM หรือเทียบเท่า) และเครื่องมือเฉพาะทางอื่นๆ (Manual Tools) ทั้งแบบ Commercial หรือ Open Source ที่เป็นที่ยอมรับในระดับสากล
• Personnel: ต้องนำเสนอบุคลากรหลักที่มีคุณสมบัติขั้นต่ำดังนี้:
  • ผู้จัดการโครงการ: สำเร็จการศึกษาปริญญาโทขึ้นไปด้านความมั่นคงปลอดภัยสารสนเทศ/เทคโนโลยีสารสนเทศ, มีประสบการณ์ให้คำปรึกษาด้านความมั่นคงปลอดภัยสารสนเทศไม่น้อยกว่า 10 ปี, มีใบรับรอง CISSP หรือ CISM อย่างน้อย 1 ใบ
  • ผู้เชี่ยวชาญด้านประเมินช่องโหว่และการทดสอบเจาะระบบ: สำเร็จการศึกษาปริญญาตรีขึ้นไปด้านเทคโนโลยีสารสนเทศ, มีประสบการณ์ให้คำปรึกษาด้านความมั่นคงปลอดภัยสารสนเทศไม่น้อยกว่า 5 ปี, มีใบรับรอง OSCP หรือ CompTIA PenTest+ หรือ CEH อย่างน้อย 1 ใบ
  • เลขานุการโครงการ: สำเร็จการศึกษาปริญญาตรี, มีประสบการณ์ทำงานไม่น้อยกว่า 2 ปี

การพิจารณาใช้ระบบน้ำหนักคะแนน: ด้านคุณภาพ 70% และด้านราคา 30%

• ด้านคุณภาพ (70 คะแนน): ต้องได้คะแนนไม่น้อยกว่า 70% ของคะแนนเต็มด้านคุณภาพ (49 คะแนน) จึงจะผ่านเข้ารอบพิจารณาด้านราคา เกณฑ์ย่อยประกอบด้วย:
  • ผลงานและประสบการณ์ (65 คะแนน): แบ่งเป็นผลงานตามวงเงิน (10 คะแนน), ประสบการณ์เฉพาะจำนวนผลงาน (10 คะแนน), ใบรับรองของผู้จัดการโครงการ (20 คะแนน), ใบรับรองของผู้เชี่ยวชาญ VA/PT (20 คะแนน), และใบรับรองด้าน BIA หรือ ISO (5 คะแนน)
  • วิธีปฏิบัติงานและวิธีการบริหารโครงการ (35 คะแนน): แบ่งเป็นวิธีการปฏิบัติงาน (18 คะแนน) และวิธีการบริหารโครงการ (17 คะแนน)
• ด้านราคา (30 คะแนน): ผู้ที่ผ่านเกณฑ์ด้านคุณภาพจะได้รับการพิจารณาด้านราคา ผู้ที่ได้คะแนนรวม (คุณภาพ+ราคา) มากที่สุดจะเป็นผู้ชนะ

โครงการเน้นการทดสอบความมั่นคงปลอดภัยระบบสารสนเทศของ สป.ทส. ตาม พ.ร.บ. ไซเบอร์ฯ โดยมีข้อกำหนดทางเทคนิคหลักได้แก่:

• การประเมินช่องโหว่ (VA): ต้องดำเนินการบนระบบอย่างน้อย 1 ระบบ (ไม่เกิน 10 IP) โดยใช้เครื่องมือสแกนช่องโหว่อัตโนมัติระดับ Commercial (เช่น Nessus, Rapid7 InsightVM) ที่มีลิขสิทธิ์ถูกต้อง เพื่อตรวจสอบฐานข้อมูลช่องโหว่ตามมาตรฐาน CVE/CVSS
• การทดสอบเจาะระบบ (PT): ดำเนินการในรูปแบบ Black box บนระบบ/แอปพลิเคชันอย่างน้อย 1 ระบบ (1 URL) ต้องใช้เครื่องมือเฉพาะทาง (Manual Tools) ที่เป็นที่ยอมรับระดับสากลร่วมกับการวิเคราะห์ด้วยบุคคล (Manual Exploitation)
• ข้อกำหนดเครื่องมือ: ห้ามใช้เครื่องมือที่ดัดแปลงหรือละเมิดลิขสิทธิ์ ผลการสแกนอัตโนมัติต้องผ่านการวิเคราะห์และคัดกรอง False Positive โดยผู้เชี่ยวชาญก่อนส่งมอบรายงาน
• บุคลากรทดสอบ: ผู้ทดสอบเจาะระบบ (Penetration Tester) ต้องมีใบประกาศนียบัตรรับรองคุณวุฒิมาตรฐาน (Certification) ตามที่กำหนดในคุณสมบัติ (เช่น OSCP, CEH)
• การวิเคราะห์ผลกระทบทางธุรกิจ (BIA): ดำเนินการสำหรับระบบงานที่มีผลกระทบต่อการดำเนินงานของ สป.ทส. อย่างน้อย 1 ระบบ

• วงเงินงบประมาณ: 623,000 บาท (รวมภาษีมูลค่าเพิ่มแล้ว)
• การจ่ายเงิน: แบ่งเป็น 2 งวด
  • งวดที่ 1 (30%): จ่ายหลังจากส่งมอบงานตามข้อ 4.1-4.2 และคณะกรรมการตรวจรับงานงวดที่ 1 เรียบร้อยแล้ว (ภายใน 60 วันนับจากวันลงนาม)
  • งวดสุดท้าย (70%): จ่ายหลังจากส่งมอบงานทั้งหมดตามข้อ 4.3 และคณะกรรมการตรวจรับงานงวดสุดท้ายเรียบร้อยแล้ว (ภายใน 180 วันนับจากวันลงนาม)
• ค่าปรับ: กรณีไม่สามารถทำงานให้แล้วเสร็จตามสัญญาโดยไม่มีเหตุผลอันควร สป.ทส. สงวนสิทธิ์บอกเลิกสัญญาและคิดค่าปรับในอัตราร้อยละ 0.10 ของราคางานจ้างที่ปรึกษาต่อวัน
• ระยะเวลายืนราคา: ราคาที่เสนอต้องยืนราคาไม่น้อยกว่า 120 วัน นับแต่วันยื่นเอกสาร

• Q: งานนี้ต้องทดสอบระบบกี่ระบบ?
  A: ต้องดำเนินการประเมินช่องโหว่ (VA) บนระบบอย่างน้อย 1 ระบบ (ไม่เกิน 10 IP Address) และทดสอบเจาะระบบ (PT) บนระบบหรือแอปพลิเคชันอย่างน้อย 1 ระบบ (1 URL) จากรายการที่ สป.ทส. กำหนด

• Q: ต้องมีการทดสอบซ้ำหรือไม่?
  A: ต้องมีการประเมินช่องโหว่ซ้ำอีก 1 ครั้ง หลังจากที่ สป.ทส. มีการปรับปรุงแก้ไขช่องโหว่ภายใน 60 วัน และต้องมีการทดสอบเจาะระบบซ้ำอีก 1 ครั้ง หลังจากที่ สป.ทส. มีการปรับปรุงแก้ไขข้อตรวจพบภายใน 60 วัน

• Q: เครื่องมือที่ใช้ต้องมีคุณสมบัติอย่างไร?
  A: ต้องใช้เครื่องมือสแกนช่องโหว่อัตโนมัติระดับ Commercial ที่ผู้รับจ้างถือลิขสิทธิ์ถูกต้อง (เช่น Nessus, Rapid7 InsightVM) และเครื่องมือเฉพาะทางอื่นๆ ทั้งแบบ Commercial หรือ Open Source ที่เป็นที่ยอมรับในระดับสากล

• Q: ผลการสแกนอัตโนมัติต้องทำอย่างไรก่อนส่งมอบ?
  A: ผลจากการสแกนอัตโนมัติ (Automated Tool) ต้องผ่านการวิเคราะห์และมีการรับรองโดยผู้เชี่ยวชาญเพื่อคัดกรองผลที่ผิดพลาด (False Positive) ออกก่อนส่งมอบรายงาน

• Q: หากระบบเสียหายจากการทดสอบ ผู้รับจ้างมีหน้าที่อย่างไร?
  A: ผู้รับจ้างต้องรายงานให้ สป.ทส. ทราบทันที และต้องรับผิดชอบต่อความเสียหายนั้น รวมถึงต้องทำให้ระบบงานที่เสียหายกลับมาใช้งานได้เป็นปกติภายในระยะเวลาอันรวดเร็ว โดยไม่มีค่าใช้จ่ายใดๆ ทั้งสิ้น

• Q: การวิเคราะห์ผลกระทบทางธุรกิจ (BIA) ต้องทำกับระบบใด?
  A: ต้องดำเนินการ BIA ตามระบบที่มีผลกระทบต่อการดำเนินงานของ สป.ทส. จำนวนระบบงานไม่น้อยกว่า 1 ระบบงาน

• Q: ผู้ทดสอบเจาะระบบต้องมีคุณสมบัติพิเศษอะไร?
  A: ผู้ทดสอบเจาะระบบ (Penetration Tester) ต้องได้รับการรับรองและได้รับใบประกาศนียบัตรรับรองคุณวุฒิมาตรฐาน (Certification) ตามที่กำหนดในคุณสมบัติของบุคลากรที่ปรึกษา (เช่น OSCP, CEH)

• Q: การจัดอบรมต้องเป็นไปในลักษณะใด?
  A: ต้องจัดอบรมเกี่ยวกับการสร้างความตระหนักหรือหลักสูตรที่เกี่ยวข้องด้านภัยคุกคามทางไซเบอร์ให้กับบุคลากรของ สป.ทส.

• Q: ต้องส่งแผนงานใดบ้างก่อนเริ่มดำเนินการ?
  A: ต้องจัดทำแผนการประเมินช่องโหว่และแผนการทดสอบเจาะระบบ ส่งให้ สป.ทส. ก่อนการดำเนินการตามแผนนั้นๆ

• Q: เกณฑ์การให้คะแนนใบรับรอง (Certificate) มีรายละเอียดอย่างไร?
  A: มีการให้คะแนนแยกตามตำแหน่ง เช่น ผู้จัดการโครงการที่มีใบรับรอง 2 ใบ ได้ 20 คะแนน, ผู้เชี่ยวชาญ VA/PT ที่มีใบรับรอง 3 ใบ ได้ 20 คะแนน เป็นต้น ตามรายละเอียดในคู่มือการจัดซื้อจัดจ้าง

ร่างขอบเขตของงาน (Terms of Reference : TOR) งานจ้างที่ปรึกษาเพื่อดําเนินโครงการเสริมสร้างความมั่นคงปลอดภัยตาม พรบ. การรักษาความมั่นคง ปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ ประจําปี ๒๕๖๙
๑. ความเป็นมา
สํานักงานปลัดกระทรวงทรัพยากรธรรมชาติและสิ่งแวดล้อม (สป.ทส.) มีหน้าที่ในการบริหารจัดการ ทรัพยากรธรรมชาติและสิ่งแวดล้อมทั้งภายในและระหว่างประเทศ รวมถึงรับหน้าที่ในการประสาน การปฏิบัติงาน รวมทั้งกํากับ เร่งรัด ติดตาม และประเมินผลการปฏิบัติงานราชการและดําเนินการเรื่องราว ร้องทุกข์ของทุกหน่วยในสังกัดของ สป.ทส. ดังนั้น สป.ทส. จึงได้มีการนําเทคโนโลยีสารสนเทศและการสื่อสาร เข้ามาใช้เพื่อบริหารงาน และให้บริการกับหน่วยงานภายในสังกัด สป.ทส. ไปจนถึงหน่วยงานที่เกี่ยวข้อง ประชาชนที่ต้องการข้อมูลคําปรึกษาจาก สป.ทส.
ปัจจุบันภัยคุกคามทางไซเบอร์มีความรุนแรง มีการโจมตีในรูปแบบที่หลากหลาย และหวังผลทําให้ระบบ ของหน่วยงานหยุดชะงัก ไม่สามารถให้บริการได้ ส่งผลให้ข้อมูลในระบบมีความผิดพลาดคลาดเคลื่อนไปจาก ความจริง ข้อมูลสําคัญของหน่วยงานถูกเข้าถึงหรือถูกนําไปใช้โดยผู้ประสงค์ร้าย รวมไปจนถึงทําลายชื่อเสียง ของหน่วยงาน ทําให้มีความจําเป็นที่จะพัฒนาระบบเทคโนโลยีสารสนเทศของ สป.ทส. ให้สอดคล้องตาม ข้อกําหนดของพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ (พ.ร.บ.) พ.ศ. ๒๕๖๒ สป.ทส. จึงได้ จัดทําโครงการเสริมสร้างความมั่นคงปลอดภัยไซเบอร์ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ เพื่อวิเคราะห์สถานะปัจจุบันทางด้านความมั่นคงปลอดภัยไซเบอร์ให้กับระบบสารสนเทศ และปรับปรุง นโยบายและแนวปฏิบัติเกี่ยวกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ของ สป.ทส. เพื่อให้สอดคล้อง เป็นไปตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ฯ ตลอดจนการสร้างความตระหนักด้านความมั่นคง ปลอดภัยไซเบอร์ให้กับบุคลากรในสังกัด สป.ทส. เพื่อให้มีความรู้ความเข้าใจและรู้เท่าทันต่อภัยคุกคามฯ
๒. วัตถุประสงค์
๒.๑ เพื่อดําเนินการทดสอบเจาะระบบ และตรวจสอบช่องโหว่ ด้านความมั่นคงปลอดภัยไซเบอร์ให้กับ ระบบเทคโนโลยีสารสนเทศของ สป.ทส. และให้คําปรึกษาในการแก้ไขปัญหาที่พบ
๒.๒ เพื่อจัดอบรมเกี่ยวกับการสร้างความตระหนักหรือหลักสูตรที่เกี่ยวข้องด้านภัยคุกคามทางไซเบอร์ ให้กับบุคลากรของ สป.ทส.
๓. คุณสมบัติของผู้ยื่นข้อเสนอ
๓.๑ มีความสามารถตามกฎหมาย ๓.๒ ไม่เป็นบุคคลล้มละลาย ๓.๓ ไม่อยู่ระหว่างเลิกกิจการ
๓.๔ ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังกําหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
๓.๕ ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงาน
ของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วน ผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอํานาจในการดําเนินงานในกิจการของนิติบุคคลนั้นด้วย
O q
(นางสาวอนุสรา หิรัญวงษ์) นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
ประธานกรรมการ
Var Ms
(นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
กรรมการ
ohma เnomt
(นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
กรรมการและเลขานุการ
๒
๓.๖ มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหาร
พัสดุภาครัฐกําาหนดในราชกิจจานุเบกษา
๓.๗ เป็นนิติบุคคลหรือสถาบันการศึกษาที่มีการเรียนการสอน หรือมีผลงานที่เกี่ยวข้องที่ขึ้นทะเบียน เป็นที่ปรึกษา ระดับ ๑ กับศูนย์ข้อมูลที่ปรึกษา ของสํานักงานบริหารหนี้สาธารณะ กระทรวงการคลัง ในสาขา เทคโนโลยีสารสนเทศและการสื่อสาร (Information and Communication Technology Sector) และ ความเชี่ยวชาญด้านระบบความปลอดภัยในโลกไซเบอร์ (IT Security)
๓.๘ ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่ สํานักงาน ปลัดกระทรวงทรัพยากรธรรมชาติและสิ่งแวดล้อม ณ วันยื่นข้อเสนอ หรือไม่เป็นผู้กระทําการอันเป็นการ ขัดขวางการแข่งขันอย่างเป็นธรรม ในการยื่นข้อเสนอครั้งนี้
๓.๙ ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของที่ปรึกษา ได้มีคําสั่งให้สละเอกสิทธิ์ความคุ้มกันเช่นว่านั้น
๓.๑๐
ที่ปรึกษาต้องลงทะเบียนที่มีข้อมูลถูกต้องครบถ้วนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์
(Electronic Government Procurement: e - GP) ของกรมบัญชีกลาง
๓.๑๑
ที่ปรึกษาต้องมีบุคลากรหลักที่มีคุณสมบัติ ความรู้ความสามารถเหมาะสมกับตําแหน่งหน้าที่มีความ ชํานาญเกี่ยวกับงานจ้าง และอย่างน้อย จะต้องนําเสนอบุคลากรหลักในตําแหน่งต่าง ๆ ที่มีคุณสมบัติ และประสบการณ์ขั้นต่ํา ตามรายละเอียดที่ปรากฏตามตารางแสดงตําแหน่งและคุณสมบัติของบุคลากรของที่
ปรึกษา
๓.๑๒ ที่ปรึกษาต้องมีผลงานเป็นที่ปรึกษาด้านการตรวจสอบหาช่องโหว่และทดสอบเจาะระบบหรือ
ผลงานอื่นที่เกี่ยวข้องกับวัตถุประสงค์ของการจ้างที่ปรึกษาครั้งนี้ ภายในระยะเวลาไม่เกิน ๓ ปีนับถึงวันยื่น ข้อเสนอ โดยแต่ละสัญญาที่เคยให้บริการมีวงเงินค่าจ้างตามสัญญาไม่น้อยกว่า ๓๐๐,๐๐๐ บาท (สามแสนบาท ถ้วน) นับถึงวันยื่นข้อเสนอ
๓.๑๓ ที่ปรึกษาต้องมีทีมงานที่มีความรู้และประสบการณ์ในการให้คําปรึกษาและสนับสนุน เพื่อให้การ
ดําเนินการโครงการสําเร็จตามเป้าหมายและเป็นไปด้วยความเรียบร้อย ตารางแสดงตําแหน่งและคุณสมบัติของบุคลากรของที่ปรึกษา
ลําดับที่
ตําแหน่ง ผู้จัดการโครงการ
Of
(นางสาวอนุสรา หิรัญวงษ์) นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
ประธานกรรมการ
คุณสมบัติ
• สําเร็จการศึกษาไม่ต่ํากว่าระดับปริญญาโท ด้าน ความมั่นคงปลอดภัยสารสนเทศ ด้านเทคโนโลยี สารสนเทศ หรือด้านที่เกี่ยวข้อง
มีประสบการณ์ในการให้คําปรึกษาด้านความ มั่นคงปลอดภัยสารสนเทศให้แก่หน่วยงาน ราชการ หรือ หน่วยงานรัฐวิสาหกิจ หรือ ภาคเอกชน ไม่น้อยกว่า ๑๐ ปี
ได้รับใบรับรอง (Certificate) ด้านมาตรฐานการ รักษาความมั่นคงปลอดภัยไซเบอร์หรือ ด้าน เทคโนโลยีสารสนเทศ อย่างใดอย่างหนึ่ง ดังนี้

Certified Information Systems Security
Professional (CISSP)
Van Nos
(นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
กรรมการ
Certified
จํานวน (คน)
onme hom (นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
กรรมการและเลขานุการ
ลําดับที่
ตําแหน่ง
២
3
ผู้เชี่ยวชาญด้าน ประเมินช่องโหว่และ
การทดสอบเจาะระบบ
เลขานุการโครงการ
๔. ขอบเขตของงานจ้างที่ปรึกษา
คุณสมบัติ
Information Security Manager (CISM) อย่างน้อย ๑ ใบ
สําเร็จการศึกษาไม่ต่ํากว่าระดับปริญญาตรี ด้าน
เทคโนโลยีสารสนเทศ หรือด้านที่เกี่ยวข้อง
• มีประสบการณ์ในการให้คําปรึกษาด้านความ มั่นคงปลอดภัยสารสนเทศให้แก่หน่วยงาน ราชการ หรือหน่วยงานรัฐวิสาหกิจ หรือ ภาคเอกชน ไม่น้อยกว่า ๕ ปี
ได้รับใบรับรอง (Certificate) ด้านมาตรฐานการ รักษาความมั่นคงปลอดภัยไซเบอร์หรือ ด้าน เทคโนโลยีสารสนเทศ อย่างใดอย่างหนึ่ง ดังนี้
Offsec Certified Professional (OSCP) หรือ CompTIA PenTest+ หรือ Certified Ethical Hacker (CEH) EC-Council อย่าง น้อย ๑ ใบ
• สําเร็จการศึกษาไม่ต่ํากว่าระดับปริญญาตรี
• มีประสบการณ์ทํางานไม่น้อยกว่า ๒ ปี
จํานวนบุคลากรรวม
จํานวน (คน)
ที่ปรึกษาจะต้องดําเนินการตามข้อกําหนดและรายละเอียด ขอบเขตการดําเนินงานตามโครงการ โดยมี รายละเอียดการดําเนินงาน ดังนี้
๔.๑ จัดทําแผนการดําเนินโครงการ (Project Plan) ของโครงการ พร้อมกําหนดบุคลากรผู้รับผิดชอบ ในแต่ละงาน ภายใน ๓๐ วัน นับถัดจากวันที่ลงนามในสัญญา หรือนับถัดจากประธานคณะกรรมการตรวจรับฯ ได้รับสําเนาสัญญาจ้าง
๔.๒ จัดทํากระบวนการและดําเนินการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA) ตามระบบที่มีผลกระทบต่อการดําเนินงานของ สป.ทส. จํานวนระบบงานไม่น้อยกว่า ๑ ระบบงาน
๔.๓ ประเมินช่องโหว่และการทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Test)
๔.๓.๑ ดําเนินการประเมินช่องโหว่ (Vulnerability Assessment) ของระบบสารสนเทศ ของ สป.ทส. จํานวนไม่น้อยกว่า ๑ ระบบ (จํานวนไม่เกิน ๑๐ IP Address) จากวง IP ที่ สป.ทส กําหนด และประเมินช่องโหว่ซ้ําอีก ๑ ครั้ง หลังจากที่มีการปรับปรุงแก้ไขช่องโหว่ (กรณีที่ สป.ทส. มีการปรับปรุงแก้ไข ช่องโหว่ภายใน ๖๐ วัน) โดยจัดทําแผนการประเมินช่องโหว่ส่งให้ สป.ทส. ก่อนการดําเนินการ
๔.๓.๒ ดําเนินการทดสอบเจาะระบบ (Penetration Test) ในรูปแบบ Black box โดยวิเคราะห์ คุณสมบัติ การใช้งานและพฤติกรรมการทํางานของระบบฯ จํานวนไม่น้อยกว่า ๑ ระบบ/Application จากรายการที่ สป.ทส. กําหนด (จํานวน ๑ URL) และทดสอบเจาะระบบซ้ําอีก ๑ ครั้ง หลังจากที่มีการ
0
(นางสาวอนุสรา หิรัญวงษ์) นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
ประธานกรรมการ
Home Mi
(นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
กรรมการ
oto me thom
(นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
กรรมการและเลขานุการ

• C -
  ปรับปรุงแก้ไขข้อตรวจพบ (กรณีที่ สป.ทส. มีการปรับปรุงแก้ไขข้อตรวจพบภายใน ๖๐ วัน) โดยจัดทําแผนการ ทดสอบเจาะระบบส่งให้ สป.ทส. ก่อนการดําเนินการ
  ๔.๓.๓ การดําเนินการประเมินช่องโหว่ (Vulnerability Assessment) และทดสอบเจาะระบบ (Penetration Testers) ผู้รับจ้างต้องดําเนินการโดยใช้เครื่องมือ ที่มีความน่าเชื่อถือและเป็นมาตรฐานสากล ถูกต้อง โดยต้องแสดงหลักฐานประกอบ เช่น หลักฐานลิขสิทธิ์ (ห้ามใช้เครื่องมือที่ดัดแปลงหรือละเมิดลิขสิทธิ์) โดยมีรายละเอียดดังนี้
  ๑) เครื่องมือสําหรับการสแกนช่องโหว่อัตโนมัติ (Vulnerability Scanner) ระดับ Commercial ที่ผู้รับจ้างถือลิขสิทธิ์ถูกต้อง (เช่น Nessus, Rapid๗ InsightVM หรือเทียบเท่า) เพื่อใช้ ตรวจสอบฐานข้อมูลช่องโหว่ตามมาตรฐาน CVE/CVSS
  ๒) เครื่องมือเฉพาะทางอื่น ๆ (Manual Tools) ทั้งแบบ Commercial หรือ Open Source ที่เป็นยอมรับในระดับสากล เพื่อใช้ในการทดสอบเจาะระบบเชิงลึก (Manual Exploitation)
  ๔.๓.๔ ดําเนินการจัดทํารายงานสรุปผลการประเมินช่องโหว่และทดสอบเจาะระบบ และการแก้ไข ช่องโหว่และการแก้ไขข้อตรวจพบ โดยผลจากการสแกนอัตโนมัติ (Automated Tool) ต้องผ่านการวิเคราะห์ และมีการรับรองโดยผู้เชี่ยวชาญเพื่อคัดกรองผลที่ผิดพลาด (False Positive) ออกก่อนส่งมอบรายงาน
  พร้อมนําเสนอผลต่อคณะกรรมการตรวจรับฯ
  ๔.๓.๕ ผู้ทดสอบต้องทําการทดสอบเจาะระบบ (Penetration Testers) โดยจะต้องทําการวิเคราะห์ ด้วยตัวบุคคล (Manual) ร่วมกับเครื่องมือ หรือซอฟต์แวร์ หรือโปรแกรมที่ใช้ในการทดสอบ
  ๔.๓.๖ ผู้ทดสอบเจาะระบบ (Penetration Testers) ต้องได้รับการรับรองและได้รับใบประกาศนียบัตร รับรองคุณวุฒิมาตรฐาน (Certification) ตามที่กําหนดในคุณสมบัติของบุคลากรที่ปรึกษา
  ๆ
  ๔.๓.๗ ในการดําเนินงานของที่ปรึกษาจะต้องไม่ส่งผลกระทบหรือสร้างความเสียหายต่อระบบงาน ของ สป.ทส. หากมีความเสียหายใด ๆ อันเกิดจากการดําเนินการของที่ปรึกษา ที่ปรึกษาจะต้องรายงานให้ สป.ทส. ได้ทราบในทันทีและจะต้องเป็นผู้รับผิดชอบต่อความเสียหายนั้น โดยความเสียหายที่เกิดขึ้นจริงนั้น ต้องมีการตรวจสอบว่าความเสียหายนั้นเกิดจากการกระทําของที่ปรึกษาจริง รวมถึงที่ปรึกษาจะต้องทําให้ ระบบงานที่เสียหายหรือได้รับผลกระทบนั้นกลับมาใช้งาน ได้เป็นปกติดังเดิมภายในระยะเวลาอันรวดเร็ว โดยไม่มีค่าใช้จ่ายใด ๆ ทั้งสิ้น ทั้งนี้ ค่าใช้จ่ายใด ๆ ที่เกิดขึ้นถือเป็นความรับผิดชอบของผู้รับจ้าง
  ๕. ระยะเวลาดําเนินการ
  ที่ปรึกษาจะต้องดําเนินงานโครงการให้แล้วเสร็จภายใน ๑๘๐ วัน นับถัดจากวันลงนามในสัญญา
  ๖.
  งวดงาน
  งวดงาน
  งวดงานที่ ๑
  งวดงานที่ ๒
  0
  ดําเนินงานแล้วเสร็จและส่งมอบงาน
  ดําเนินการตามข้อ ๔.๑ - ๔.๒
• แผนการดําเนินการโครงการ (Project Plan) (ข้อ ๔.๑) - รายงานการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA) ของระบบสารสนเทศ (ข้อ ๔.๒) ดําเนินการตามข้อ ๔.๓ - เอกสารหลักฐานที่เกี่ยวข้องทั้งหมด
  (
  (นางสาวอนุสรา หิรัญวงษ์)
  นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
  ประธานกรรมการ
  (นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
  กรรมการ
  กําหนดส่งมอบ ภายใน ๖๐ วัน นับถัด จากวันลงนามในสัญญา
  ภายใน ๑๘๐ วัน นับถัด จากวันลงนามในสัญญา
  Onmธิ์ เกิomm (นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
  กรรมการและเลขานุการ
  งวดงาน
  ดําเนินงานแล้วเสร็จและส่งมอบงาน
  กําหนดส่งมอบ
  ๗. การจ่ายเงิน
  รายงานผลการประเมินช่องโหว่ (Vulnerability Assessment)
  (ข้อ ๔.๓.๑)
• รายงานผลการทดสอบเจาะระบบ (Penetration Testing) (ข้อ ๔.๓.๒)
  การจ่ายเงินค่าจ้างและการเบิกเงินค่าจ้างทั้งสัญญา โดยดําเนินการเบิกเงินค่าจ้างเป็นรายงวด แบ่งเป็น ๒
  งวด เมื่อผู้รับจ้างส่งมอบงานครบถ้วนและคณะกรรมการตรวจรับงานได้ทําการตรวจรับตามสัญญาเรียบร้อย
  แล้ว โดย
  งวดที่ ๑ ค่าจ้างดําเนินงานคิดเป็นร้อยละ ๓๐ ของวงเงินค่าจ้างทั้งสัญญา ภายใน ๖๐ วัน นับถัดจากวัน ลงนามในสัญญา และคณะกรรมการตรวจรับพัสดุในงานจ้างที่ปรึกษา ตรวจรับงานงวดที่ ๑ เรียบร้อยแล้ว
  งวดสุดท้าย ค่าจ้างดําเนินงานคิดเป็นร้อยละ ๗๐ ของวงเงินค่าจ้างทั้งสัญญา ภายใน ๑๘๐ วัน นับถัด จากวันลงนามในสัญญา และคณะกรรมการตรวจรับพัสดุในงานจ้างที่ปรึกษา ตรวจรับงานงวดสุดท้ายเรียบร้อยแล้ว
  ๔. วงเงินงบประมาณ
  วงเงินงบประมาณ ๖๒๓,๐๐๐ บาท (หกแสนสองหมื่นสามพันบาทถ้วน) รวมภาษีมูลค่าเพิ่ม
  ๔. หลักฐานการยื่นข้อเสนอ
  ผู้ยื่นข้อเสนอจะต้องเสนอเอกสารหลักฐานยื่นมาพร้อมกับการเสนอราคาทางระบบจัดซื้อจัดจ้างภาครัฐ
  ด้วยอิเล็กทรอนิกส์ โดยแยกเป็น ๒ ส่วน คือ
  ๔.๑ ส่วนที่ ๑ อย่างน้อยต้องมีเอกสารดังต่อไปนี้
  (๑) ในกรณีผู้ยื่นข้อเสนอเป็นนิติบุคคล
  (ก) ห้างหุ้นส่วนสามัญหรือห้างหุ้นส่วนจํากัด ให้ยื่นสําเนาหนังสือรับรองการจดทะเบียนนิติ บุคคล บัญชีรายชื่อหุ้นส่วนผู้จัดการ ผู้มีอํานาจควบคุม (ถ้ามี) พร้อมทั้งรับรองสําเนาถูกต้อง
  (ข) บริษัทจํากัดหรือบริษัทมหาชนจํากัด ให้ยื่นสําเนาหนังสือรับรองการจดทะเบียนนิติบุคคล หนังสือบริคณห์สนธิ บัญชีรายชื่อกรรมการผู้จัดการ ผู้มีอํานาจควบคุม (ถ้ามี) และบัญชีผู้ถือหุ้นรายใหญ่ (ถ้ามี) พร้อมทั้งรับรองสําเนาถูกต้อง
  (๒) ในกรณีผู้ยื่นข้อเสนอเป็นบุคคลธรรมดาหรือคณะบุคคลที่มิใช่นิติบุคคล ให้ยื่นสําเนาบัตร ประจําตัวประชาชนของผู้นั้น สําเนาข้อตกลงที่แสดงถึงการเข้าเป็นหุ้นส่วน (ถ้ามี) สําเนาบัตรประจําตัว ประชาชนของผู้เป็นหุ้นส่วน หรือสําเนาหนังสือเดินทางของผู้เป็นหุ้นส่วนที่มีได้ถือสัญชาติไทย พร้อมทั้งรับรอง สําเนาถูกต้อง
  (๓) ในกรณีผู้ยื่นข้อเสนอเป็นผู้ยื่นข้อเสนอร่วมกันในฐานเป็นผู้ร่วมค้า ให้ยื่นสําเนาสัญญาของการ เข้าร่วมค้า และเอกสารตามที่ระบุไว้ใน (๑) หรือ (๒) ของผู้ร่วมค้า แล้วแต่กรณี
  (๔) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย ซึ่งได้จดทะเบียนเกินกว่า ๑ ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิที่ปรากฏในงบแสดงฐานะ การเงินที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก ๑ ปีสุดท้ายก่อนวันยื่นข้อเสนอ หมายถึง งบแสดง ฐานะการเงินย้อนไป ก่อนวันที่หน่วยงานของรัฐกําหนดให้เป็นวันยื่นข้อเสนอ ๑ ปีปฏิทิน เว้นแต่กรณีนิติบุคคลที่
  On
  (นางสาวอนุสรา หิรัญวงษ์) นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
  ประธานกรรมการ
  Vom Nr
  (นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
  กรรมการ
  oloma i am
  (นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
  กรรมการและเลขานุการ
  -b-
  จัดตั้งขึ้น ตามกฎหมายไทย หากวันยื่นข้อเสนอเป็นช่วงระยะเวลาที่กรมพัฒนาธุรกิจการค้ากําหนดให้นิติบุคคล ยื่นงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ซึ่งจะอยู่ในช่วงเดือนมกราคม – เดือนพฤษภาคม ของทุกปี โดยนิติบุคคลที่เป็นผู้ยื่นข้อเสนอนั้นยังอยู่ในช่วงของการยื่นงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า คือ ช่วงเดือนมกราคม – เดือนพฤษภาคม กรณีนี้ให้สามารถยื่นงบแสดงฐานะการเงินย้อนไปอีก ๑ ปี ได้

(๕) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย ซึ่งยังไม่มีการรายงานงบแสดง ฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ให้พิจารณาการกําหนดมูลค่าของทุนจดทะเบียน โดยผู้ยื่นข้อเสนอ จะต้องมีทุนจดทะเบียนที่เรียกชําระมูลค่าหุ้นแล้ว ณ วันที่ยื่นข้อเสนอ มูลค่าการจัดซื้อจัดจ้างไม่เกิน ๑ ล้าน บาท ไม่ต้องกําหนดทุนจดทะเบียน
(๖) สําหรับการจัดซื้อจัดจ้างครั้งหนึ่งที่มีวงเงินเกิน ๕๐๐,000 บาทขึ้นไป กรณีผู้ยื่นข้อเสนอเป็น บุคคลธรรมดาให้พิจารณาจากหนังสือรับรองบัญชีเงินฝากไม่เกิน ๙๐ วัน ก่อนวันยื่นข้อเสนอ โดยต้องมีเงิน ฝากคงเหลือในบัญชีธนาคารเป็นมูลค่า ๑ ใน ๔ ของมูลค่างบประมาณของโครงการหรือรายการที่ยื่นข้อเสนอ
ในแต่ละครั้ง และหากเป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ได้รับการคัดเลือกจะต้องแสดงหนังสือรับรองบัญชี
เงินฝากที่มีมูลค่าดังกล่าวอีกครั้งหนึ่งในวันลงนามในสัญญา
(๒) กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียน หรือมีแต่ไม่เพียงพอที่จะ เข้ายื่นข้อเสนอ ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ ๑ ใน ๔ ของมูลค่างบประมาณ ของโครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง (สินเชื่อที่ธนาคารภายในประเทศหรือบริษัทเงินทุนหรือ
บริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์ และประกอบธุรกิจค้ํา
ประกันตามประกาศของธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทยแจ้ง
เวียนให้ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สํานักงานใหญ่รับรอง หรือที่สํานักงานสาขา รับรอง (กรณีได้รับมอบอํานาจจากสํานักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวันที่ยื่นข้อเสนอไม่เกิน ๙๐ วัน)
(๔) กรณีตาม (๔) - (๗) ยกเว้นสําหรับกรณีดังต่อไปนี้
(๘.๑) กรณีที่ผู้ยื่นข้อเสนอเป็นหน่วยงานของรัฐ
(๘.๒) นิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยที่อยู่ระหว่างการฟื้นฟูกิจการ ตามพระราชบัญญัติ
ล้มละลาย พ.ศ. ๒๔๘๓ และที่แก้ไขเพิ่มเติม
(๙) เอกสารเพิ่มเติมอื่นๆ
(๔.๑) สําเนาใบทะเบียนพานิชย์ สําเนาใบทะเบียนภาษีมูลค่าเพิ่ม
๔.๒ ส่วนที่ ๒ ที่ปรึกษาจะต้องยื่นข้อเสนอโครงการโดยต้องแยกออกเป็น ๒ ส่วนประกอบด้วยเอกสาร
อย่างน้อยดังต่อไปนี้
(๑) ข้อเสนอด้านคุณภาพ ที่ปรึกษาต้องเสนอเอกสาร อย่างน้อย ดังนี้
(๑.๑) ในกรณีที่ผู้ยื่นข้อเสนอมอบอํานาจให้บุคคลอื่นกระทําการแทนให้แนบหนังสือมอบ อํานาจซึ่งติดอากรแสตมป์ตามกฎหมาย โดยมีหลักฐานแสดงตัวตนของผู้มอบอํานาจและผู้รับมอบอํานาจทั้งนี้
หากผู้รับมอบอํานาจเป็นบุคคลธรรมดาต้องเป็นผู้ที่บรรลุนิติภาวะตามกฎหมายแล้วเท่านั้น
(๑.๒) ผลงาน ประสบการณ์การทํางานที่เกี่ยวข้อง และใบรับรอง (Certificate) จากสถาบัน ที่เป็นที่ยอมรับในระดับสากล
และ
Owy
(๑.๓) วิธีปฏิบัติงานและวิธีการบริหารโดยต้องมีเอกสารประกอบด้วย
(ก) วิธีการปฏิบัติงานที่แสดงกิจกรรมการดําเนินงานและระยะเวลาในการดําเนินงาน
(นางสาวอนุสรา หิรัญวงษ์) นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
ประธานกรรมการ
เส
(นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
กรรมการ
ongnÀ Wit (นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
กรรมการและเลขานุการ
-6-
บุคลากร
(ข) วิธีการบริหารโครงการที่แสดงถึงผังบุคลากรของที่ปรึกษา และกิจกรรมของ
(๑.๔) บุคลากร โดยมีเอกสารแสดงวุฒิการศึกษาประสบการณ์การทํางานในด้านที่เกี่ยวข้อ (๑.๕) ใบรับรอง (Certificate) จากสถาบันที่เป็นที่ยอมรับในระดับสากล
(๒) ข้อเสนอด้านราคา ที่ปรึกษาจะต้องนําเสนองบประมาณค่าใช้จ่ายในการดําเนินงานตาม ขอบเขตของงานโครงการฯ โดยจําแนกค่าใช้จ่ายออกเป็น
(๒.๑) ค่าใช้จ่ายในด้านบุคลากรหลัก ซึ่งต้องแสดงรายละเอียดการคํานวณค่าจ้างของที่ ปรึกษาแต่ละคนประกอบด้วย ค่าตอบแทนที่เป็นเงินเดือนค่าโสหุ้ย ค่าสวัสดิการสังคม และค่าธรรมเนียมของ แต่ละเดือน กับจํานวน Man-Month ของแต่ละคน
(๒.๒) ค่าใช้จ่ายด้านบุคลากรสนับสนุน ซึ่งต้องแสดงการคํานวณค่าจ้างของบุคลากร สนับสนุนและจํานวน Man-Month ในแต่ละตําแหน่ง
(๒.๓) ค่าใช้จ่ายดําเนินโครงการ ซึ่งต้องแสดงค่าใช้จ่ายที่เกี่ยวข้องกับการดําเนินโครงการ ตั้งแต่เริ่มต้นจนแล้วเสร็จและต้องแสดงค่าใช้จ่ายต่อหน่วยและผลรวมของแต่ละรายการ
(๒.๔) ค่าภาษี
(๒.๕) รายละเอียดค่าใช้จ่ายการดําเนินงานด้านต่างๆ
ราคาที่เสนอจะต้องยืนราคาไม่น้อยกว่า ๑๒๐ วัน นับแต่วันยื่นเอกสาร โดยภายในกําหนดยืน ราคาผู้เสนอราคาต้องรับผิดชอบราคาที่ตนได้เสนอไว้ และจะถอนการเสนอราคามิได้ หากผู้เสนอราคามิได้ระบุ เวลายืนราคา สป.ทส. จะถือว่าผู้เสนอราคามีเจตนายืนราคาตามจํานวนวันที่ สป.ทส. กําหนด
นอกจากนี้ ในส่วนข้อเสนอด้านราคาที่ปรึกษาจะต้องจัดส่งเอกสารหลักฐานบุคคลที่สามารถ
แสดงฐานค่าตอบแทนที่เสนอในการดําเนินโครงการของแต่ละบุคคลตัวอย่างเช่น เอกสารหรือหนังสือรับรอง
ค่าตอบแทนที่ได้รับในโครงการอื่น หรือหนังสือรับรองการชําระภาษีเงินได้บุคคลธรรมดาของที่ปรึกษาแต่ละ คน เป็นต้น (ถ้าหากไม่สามารถนําหลักฐานมาแสดง ให้ใช้อัตราเงินเดือนของบุคลากร ที่มีคุณสมบัติเท่าเทียม
กันภายในองค์กรของที่ปรึกษามาแสดง)
๑๐. หลักเกณฑ์ในการพิจารณาคัดเลือกข้อเสนอ
ในการพิจารณาผู้ชนะการยื่นข้อเสนอจะพิจารณาให้คะแนนและน้ําหนัก ดังนี้
๑๐.๑ ข้อเสนอด้านคุณภาพ กําหนดสัดส่วนของน้ําหนักในการให้คะแนน เพื่อใช้ในการประเมินการ พิจารณาคัดเลือกข้อเสนอด้านคุณภาพ ๗๐ คะแนน โดยต้องผ่านเกณฑ์คะแนนด้านคุณภาพไม่น้อยกว่าร้อยละ ๗๐ ของคะแนนรวมด้านคุณภาพ (๑๐๐ คะแนน) โดยมีรายละเอียดดังนี้
(๑) ผลงานและประสบการณ์การทํางานของผู้ยื่นข้อเสนอ
๖๕ คะแนน
(๑.๑) ผลงานของผู้ยื่นข้อเสนอ ผู้ยื่นข้อเสนอมีผลงานด้านความมั่นคงปลอดภัยไซเบอร์หรือ ด้านเทคโนโลยีสารสนเทศ และเป็นผลงานที่เป็นคู่สัญญาโดยตรงกับหน่วยงานของรัฐหรือหน่วยงานเอกชนเป็น ผลงานที่มูลค่าสัญญาไม่น้อยกว่า ๓๐๐,๐๐๐ บาท (สามแสนบาทถ้วน) ตามคุณสมบัติข้อ ๓.๑๒ และเป็น ผลงานที่เป็นคู่สัญญาโดยตรงกับส่วนราชการ หน่วยงานอื่นของรัฐ หน่วยงานตามกฎหมายว่าด้วยระเบียบ บริหารราชการส่วนท้องถิ่น หน่วยงานอื่นซึ่งมีกฎหมายบัญญัติให้มีฐานะเป็นราชการบริหารส่วนท้องถิ่น รัฐวิสาหกิจ หรือหน่วยงานเอกชนที่น่าเชื่อถือ โดยให้ยื่นสําเนาหนังสือรับรองผลงานหรือสําเนาสัญญาหรือ สําเนาใบสั่งจ้างจากคู่สัญญามาพร้อมกับการยื่นข้อเสนอ (๑๐ คะแนน)
On
(นางสาวอนุสรา หิรัญวงษ์) นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
ประธานกรรมการ
Van M
(นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
กรรมการ
doma Pot
(นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
กรรมการและเลขานุการ

• ๘ -
  เกณฑ์การพิจารณา
  (๑) ผลงานของผู้ยื่นข้อเสนอ ในวงเงินตั้งแต่ 9,000,000 บาท ขึ้นไป
  (๒) ผลงานของผู้ยื่นข้อเสนอ ในวงเงินตั้งแต่ ๓๐๐,๐๐๐ บาท ถึง 9,000,000 บาท
  คะแนน
  ๕
  (๑.๒) ประสบการณ์เฉพาะ จํานวนผลงานย้อนหลังไม่เกิน ๓ ปี นับถึงวันที่ยื่นข้อเสนอ ซึ่งเป็น ผลงานประเภทเดียวกันกับขอบเขตของงานจ้างที่ปรึกษา (๑๐ คะแนน)
  เกณฑ์การพิจารณา
  (๑) ผลงานของผู้ยื่นข้อเสนอ จํานวน ๒ งานขึ้นไป
  (๒) ผลงานของผู้ยื่นข้อเสนอ จํานวน ๑ งาน
  คะแนน
  ๕
  (๑.๓) ใบรับรอง (Certificate) จากสถาบันที่เป็นที่ยอมรับในระดับสากล กรณีผู้ยื่นข้อเสนอมี บุคลากรหลักในตําแหน่ง “ผู้จัดการโครงการ” ที่มีคุณสมบัติความรู้ความสามารถเหมาะสมที่มีความชํานาญ เกี่ยวกับงานจ้าง ตามคุณสมบัติข้อ ๓.๑๑ โดยมีใบรับรอง (Certificate) จากสถาบันที่เป็นที่ยอมรับในระดับ สากล (๒๐ คะแนน) ได้แก่ GIAC Security Expert (GSE), GIAC Security Professional (GSP)
  เกณฑ์การพิจารณา
  (๑) ใบรับรอง (Certificate) จํานวน ๒ ใบ (๒) ใบรับรอง (Certificate) จํานวน ๑ ใบ
  คะแนน
  ๒๐
  (๑.๔) ใบรับรอง (Certificate) จากสถาบันที่เป็นที่ยอมรับในระดับสากล กรณีผู้ยื่นข้อเสนอ ต้องมีบุคลากรหลักในตําแหน่ง “ผู้เชี่ยวชาญด้านประเมินช่องโหว่และการทดสอบเจาะระบบ” ที่มีคุณสมบัติ ความรู้ความสามารถเหมาะสมที่มีความชํานาญเกี่ยวกับงานจ้าง ตามคุณสมบัติข้อ ๓.๑๑ โดยมีใบรับรอง (Certificate) จากสถาบันที่เป็นที่ยอมรับในระดับสากล (๒๐ คะแนน) ได้แก่ GIAC Web Application Penetration Tester (GWAPT), Offensive Security Web Expert (OSWE), Offensive Security Certified Professional (OSCP)
  เกณฑ์การพิจารณา
  (๑) ใบรับรอง (Certificate) จํานวน ๓ ใบ (๒) ใบรับรอง (Certificate) จํานวน ๒ ใบ (๓) ใบรับรอง (Certificate) จํานวน ๑ ใบ
  คะแนน
  ๒๐
  ๑๐
  ๕
  (๑.๕) ใบรับรอง (Certificate) จากสถาบันที่เป็นที่ยอมรับในระดับสากล กรณีผู้ยื่นข้อเสนอมี บุคลากร (ตําแหน่งใดก็ได้หรือเสนอบุคลากรเพิ่มเติมเพื่อทํางานในส่วนที่เกี่ยวข้อง) ที่มีคุณสมบัติความรู้ ความสามารถเหมาะสมที่มีความชํานาญเกี่ยวกับงานจ้างในการดําเนินการด้านวิเคราะห์ผลกระทบทางธุรกิจ (BIA) หรือการอบรมและมีความรู้ความสามารถในการนําระบบการจัดการความมั่นคงปลอดภัยสารสนเทศตาม มาตรฐานมาใช้ โดยมีใบรับรอง (Certificate) จากสถาบันที่เป็นที่ยอมรับในระดับสากล (๕ คะแนน) ดังนี้ Certified Business Continuity Professional (CBCP) 50 PECB Certified ISO/IEC boon Lead Implementer
  Ou
  (นางสาวอนุสรา หิรัญวงษ์) นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
  ประธานกรรมการ
  VAM Nr
  (นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
  กรรมการ
  ComÀ เกือ
  (นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
  กรรมการและเลขานุการ
• 6-
  (๒) วิธีปฏิบัติงานและวิธีการบริหารโครงการโดยต้องมีเอกสาร (๒.๑) วิธีการปฏิบัติงานที่แสดงกิจกรรมการดําเนินงานและ
  ระยะเวลาในการดําเนินงาน
  (๒.๒) วิธีการบริหารโครงการที่แสดงถึงผังบุคลากรของที่ปรึกษา
  และกิจกรรมของบุคลากร
  ๓๕
  คะแนน
  ๑๘
  คะแนน
  ๑๗ คะแนน
  ๑๐.๒ ข้อเสนอด้านราคา กําหนดสัดส่วนของน้ําหนักในการให้คะแนน เพื่อใช้ในการประเมินการ พิจารณาคัดเลือกข้อเสนอร้อยละ ๓๐
  ทั้งนี้ ผู้ยื่นข้อเสนอที่ผ่านเกณฑ์ด้านคุณภาพแล้ว ซึ่งได้คะแนนไม่น้อยกว่าร้อยละ ๗๐ ของคะแนนรวม ด้านคุณภาพ จะได้รับการพิจารณาข้อเสนอด้านราคา โดยคัดเลือกผู้ชนะการเสนอราคาจากรายที่ได้คะแนน
  รวมด้านคุณภาพและด้านราคามากที่สุด
  คณะกรรมการจ้างที่ปรึกษาจะสงวนสิทธิ์ที่จะยกเลิกการพิจารณาข้อเสนอด้านคุณภาพ และข้อเสนอด้าน ราคา และกําหนดให้มีการยื่นข้อเสนอใหม่เมื่อพิจารณาแล้วเห็นว่าข้อเสนอดังกล่าว ที่ได้รับจากที่ปรึกษาทุก ราย ไม่สอดคล้องกับเงื่อนไขที่กําหนดไว้ในขอบเขตการดําเนินงาน และไม่ผ่านการพิจารณาเกณฑ์คุณภาพ
  และ/หรือข้อเสนอด้านราคาไม่สอดคล้องกับกรอบวงเงินงบประมาณของสํานักงานปลัดกระทรวง
  ทรัพยากรธรรมชาติและสิ่งแวดล้อม
  ๑๑. อัตราค่าปรับ
  กรณีที่ผู้รับจ้างไม่สามารถทํางานให้แล้วเสร็จตามสัญญาโดยไม่มีเหตุผลอันควร สํานักงานปลัดกระทรวง
  ทรัพยากรธรรมชาติและสิ่งแวดล้อม สงวนสิทธิ์ในการบอกเลิกสัญญาและทําการคิดค่าปรับตามจํานวนวันที่ เหลือตามสัญญา ในอัตราร้อยละ ๐.๑๐ ของราคางานจ้างที่ปรึกษา
  ๑๒. ข้อสงวนสิทธิ์
  ผลการพิจารณาและคําตัดสินของคณะกรรมการดําเนินการจ้างที่ปรึกษาฯ ถือเป็นที่สิ้นสุดและ สํานักงาน ปลัดกระทรวงทรัพยากรธรรมชาติและสิ่งแวดล้อม ขอสงวนสิทธิ์ในการเรียกร้องค่าเสียหายและค่าใช้จ่ายใด ๆ ที่เกิดขึ้นจากการยื่นข้อเสนอของที่ปรึกษาครั้งนี้
  ๑๓. หน่วยงานผู้รับผิดชอบดําเนินการ
  สํานักงานปลัดกระทรวงทรัพยากรธรรมชาติและสิ่งแวดล้อม ศูนย์เทคโนโลยีดิจิทัลและอากาศยาน ชั้น ๑๔ อาคารกรมควบคุมมลพิษ ๙๒ ซอพหลโยธิน ๗ ถนนพหลโยธิน แขวงพญาไท เขตพญาไท กรุงเทพมหานคร ๑๐๔๐๐ โทรศัพท์ ๐ ๒๒๗๘ ๘๖๗๓
  0
  (นางสาวอนุสรา หิรัญวงษ์) นักวิชาการคอมพิวเตอร์ชํานาญการพิเศษ
  ประธานกรรมการ
  Van Nas
  (นางปพิชญา ญานุชิตร) นักวิชาการคอมพิวเตอร์ปฏิบัติการ
  กรรมการ
  (นายศุภฤทธิ์ เกิดหนู) เจ้าหน้าที่ระบบงานคอมพิวเตอร์
  กรรมการและเลขานุการ