eGP
egp งานประมูลภาครัฐ
จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างเหมาบริการงานยกระดับขีดความสามารถ ด้านการป้องกัน ตรวจจับ และตอบสนองภัยคุกคามไซเบอร์เชิงบูรณาการ

สำนักงานคณะกรรมการสุขภาพแห่งชาติ 69039444148
฿1,500,000 ปีงบ 2569 ประกาศ 24 มี.ค. 2569 นนทบุรี
รายละเอียดการจ้าง

สำนักงานคณะกรรมการสุขภาพแห่งชาติ (สช.) ซึ่งเป็นหน่วยงานหลักในการขับเคลื่อนนโยบายสาธารณะด้านสุขภาพ มีความจำเป็นเร่งด่วนในการยกระดับขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ เนื่องจากการดำเนินงานพึ่งพาเทคโนโลยีดิจิทัลและระบบคลาวด์เป็นหลัก และต้องเผชิญกับภัยคุกคามไซเบอร์ที่ซับซ้อนขึ้น ผลจากการวิเคราะห์ช่องว่าง (Gap Analysis) ตามมาตรฐานความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ. 2567 พบว่ายังมีช่องว่างด้านการควบคุมทางเทคนิคและกระบวนการปฏิบัติงานที่ต้องได้รับการแก้ไข

โครงการนี้มีวัตถุประสงค์เพื่อจัดหาและดำเนินการบริการเชิงบูรณาการ (Integrated Security Ecosystem) เพื่อปิดช่องว่างด้านความมั่นคงปลอดภัยทั้งหมดให้สอดคล้องกับมาตรฐานสากลภายในระยะเวลา 1 ปี โดยมีขอบเขตการดำเนินงานหลักครอบคลุมการจัดหาและติดตั้งระบบต่างๆ ได้แก่ 1) ระบบบริหารจัดการสิทธิ์ผู้ใช้งานที่มีสิทธิ์สูง (Privileged Access Management: PAM) สำหรับบริหารจัดการบัญชีสิทธิ์สูง 10 บัญชีบนทรัพย์สินสำคัญ 20 รายการ 2) ระบบบริหารจัดการกุญแจและข้อมูลลับทางการเข้ารหัส (Cryptographic Key and Secret Management) สำหรับจัดการ Secrets ไม่เกิน 50 รายการ 3) ระบบเสริมสร้างความมั่นคงปลอดภัยให้อุปกรณ์ปลายทางและเครื่องแม่ข่าย 4) การยกระดับระบบยืนยันตัวตนหลายปัจจัย (MFA) 5) การติดตั้งระบบตรวจจับและตอบสนองภัยคุกคามเชิงรุก (XDR) พร้อมบริการเฝ้าระวังวิเคราะห์เหตุการณ์ (Managed Service) และ 6) การดำเนินการทดสอบช่องโหว่และการเจาะระบบ (VA/PT) อย่างต่อเนื่อง โครงการยังรวมถึงการถ่ายทอดองค์ความรู้ให้บุคลากรของ สช. เพื่อสร้างความยั่งยืนในการบริหารจัดการระบบนิเวศความมั่นคงปลอดภัยไซเบอร์ต่อไป

English summary

The National Health Commission Office (NHSO) of Thailand requires integrated cybersecurity services and tools to elevate its cyber defense capabilities. This need arises from identified gaps in technical controls and operational processes following a Cloud Cybersecurity Standard B.E. 2567 Gap Analysis. The project aims to close all security gaps within one year by procuring and implementing an integrated security ecosystem. Key deliverables include the supply, installation, and management of a Privileged Access Management (PAM) system for 10 privileged accounts across 20 critical assets, a Cryptographic Key and Secret Management system for up to 50 secrets, endpoint and server security solutions, Multi-Factor Authentication (MFA) enhancement, an eXtended Detection and Response (XDR) system with managed monitoring services, and ongoing Vulnerability Assessment and Penetration Testing (VA/PT). The project also includes knowledge transfer to ensure sustainable management of the security ecosystem by NHSO personnel.

สถานที่ดำเนินการ
คำสำคัญ
ความมั่นคงปลอดภัยไซเบอร์ระบบ PAMPrivileged Access ManagementXDRการทดสอบเจาะระบบPenetration Testingจัดการข้อมูลลับSecret ManagementMFAการยืนยันตัวตนหลายปัจจัย

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

  • เพื่อวิเคราะห์ จัดลำดับความสำคัญ และจัดทำแผนปฏิบัติการ (Action Plan) ในการปิดช่องว่างด้านความมั่นคงปลอดภัยไซเบอร์และคลาวด์ตามความเสี่ยงระดับองค์กรให้แล้วเสร็จภายในปี 2569
  • เพื่อยกระดับมาตรการควบคุมการเข้าถึง (Access Control) และการบริหารจัดการบัญชีผู้ใช้งานที่มีสิทธิ์สูง (PAM) รวมถึงการบริหารจัดการข้อมูลลับทางการเข้ารหัสให้เป็นไปตามนโยบาย Least Privilege
  • เพื่อเสริมสร้างความมั่นคงปลอดภัยให้กับอุปกรณ์ปลายทางและเครื่องแม่ข่าย (Endpoint & Asset Security) ให้สามารถบริหารจัดการและตรวจสอบความสอดคล้องตามมาตรฐานจากศูนย์กลาง
  • เพื่อยกระดับความปลอดภัยในการยืนยันตัวตนหลายปัจจัย (MFA) สำหรับการเข้าถึงระบบงานสำคัญและระบบเครือข่ายจากระยะไกล เพื่อลดความเสี่ยงจากการถูกโจมตีผ่านช่องทางการเชื่อมต่อภายนอก
  • เพื่อติดตั้งระบบตรวจจับและตอบสนองภัยคุกคามเชิงรุก (XDR) พร้อมบริการเฝ้าระวัง วิเคราะห์เหตุการณ์ (Managed Service) เพื่อลดความเสี่ยงด้านการตรวจจับภัยคุกคามล่าช้า
  • เพื่อดำเนินการทดสอบช่องโหว่เชิงเทคนิค (VA/PT) อย่างต่อเนื่อง เพื่อประเมินประสิทธิภาพของมาตรการควบคุมความเสี่ยงและยืนยันสถานะความปลอดภัยของระบบงานสำคัญ
  • เพื่อถ่ายทอดองค์ความรู้และสร้างความพร้อมให้แก่บุคลากรในการบริหารจัดการระบบนิเวศความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานได้อย่างยั่งยืน

ขอบเขตของงาน

ผู้รับจ้างต้องดำเนินกิจกรรมยกระดับขีดความสามารถด้านการป้องกัน ตรวจจับ และตอบสนองภัยคุกคามไซเบอร์เชิงบูรณาการ โดยจัดหาสิทธิ์การใช้งานซอฟต์แวร์หรือบริการเฉพาะทางอย่างน้อยดังต่อไปนี้:

  • ระบบบริหารจัดการสิทธิ์ผู้ใช้งานที่มีสิทธิ์สูง (Privileged Access Management: PAM): ดำเนินการจัดหาและติดตั้งระบบ PAM เพื่อบริหารจัดการบัญชีผู้ใช้งานสิทธิ์สูง (Privileged Account) จำนวน 10 บัญชี บนทรัพย์สินทางเทคโนโลยีที่สำคัญ (Critical Asset) จำนวน 20 รายการ ครอบคลุมหน้าที่:
    • การบริหารจัดการบัญชีและข้อมูลอัตลักษณ์ (Account & Identity Management)
    • การควบคุมการเข้าถึงและมาตรการยืนยันตัวตน (Access Control & MFA)
    • การบันทึกเหตุการณ์และการตรวจสอบ (Logging & Audit)
    • การกำกับดูแลและการบูรณาการ (Governance & Integration)
  • ระบบบริหารจัดการกุญแจและข้อมูลลับทางการเข้ารหัส (Cryptographic Key and Secret Management): จัดหาและติดตั้งระบบบริหารจัดการกุญแจและข้อมูลลับ ซึ่งรองรับการจัดเก็บ Secrets ไม่เกิน 50 รายการ ครอบคลุม:
    • การบริหารจัดการวงจรชีวิตของกุญแจและข้อมูลลับ (Key and Secret Lifecycle Management)
    • มาตรการควบคุมการเข้ารหัสและการเข้าถึง (Cryptographic Controls and Access)
  • ระบบเสริมสร้างความมั่นคงปลอดภัยให้กับอุปกรณ์ปลายทางและเครื่องแม่ข่าย (Endpoint & Asset Security)
  • การยกระดับความปลอดภัยในการยืนยันตัวตนหลายปัจจัย (MFA)
  • การติดตั้งระบบตรวจจับและตอบสนองภัยคุกคามเชิงรุก (XDR) พร้อมบริการเฝ้าระวังวิเคราะห์เหตุการณ์ (Managed Service)
  • การดำเนินการทดสอบช่องโหว่เชิงเทคนิค (VA/PT) อย่างต่อเนื่อง
  • การถ่ายทอดองค์ความรู้และสร้างความพร้อมให้แก่บุคลากร

สิ่งที่ต้องส่งมอบ

  • แผนปฏิบัติการ (Action Plan) ในการปิดช่องว่างด้านความมั่นคงปลอดภัยไซเบอร์และคลาวด์
  • ระบบบริหารจัดการสิทธิ์ผู้ใช้งานที่มีสิทธิ์สูง (PAM) ที่ติดตั้งและทำงานสมบูรณ์ สำหรับ 10 บัญชีบนทรัพย์สินสำคัญ 20 รายการ
  • ระบบบริหารจัดการกุญแจและข้อมูลลับทางการเข้ารหัส (Cryptographic Key and Secret Management) ที่ติดตั้งและทำงานสมบูรณ์
  • ระบบเสริมสร้างความมั่นคงปลอดภัยอุปกรณ์ปลายทางและเครื่องแม่ข่ายที่ติดตั้งและทำงานสมบูรณ์
  • ระบบยืนยันตัวตนหลายปัจจัย (MFA) ที่ยกระดับและทำงานสมบูรณ์
  • ระบบตรวจจับและตอบสนองภัยคุกคามเชิงรุก (XDR) ที่ติดตั้งและทำงานสมบูรณ์ พร้อมบริการเฝ้าระวังวิเคราะห์เหตุการณ์ (Managed Service)
  • รายงานผลการทดสอบช่องโหว่และการเจาะระบบ (VA/PT)
  • การฝึกอบรมและถ่ายทอดองค์ความรู้ให้บุคลากรของ สช.

ระยะเวลาดำเนินการ

คุณสมบัติผู้เสนอราคา

  • Eligibility Requirements: ต้องเป็นนิติบุคคลผู้มีอาชีพรับจ้างที่ประกวดราคาอิเล็กทรอนิกส์ หากเป็นผู้ประกอบการ SMEs ต้องแนบหลักฐาน
  • Standards Compliance: -
  • Experience: -
  • Previous Project Cost: -
  • Technical Capabilities: ต้องมีความสามารถในการจัดหา ติดตั้ง และบริหารจัดการระบบความมั่นคงปลอดภัยไซเบอร์ตามขอบเขตงานที่กำหนด ได้แก่ PAM, Secret Management, Endpoint Security, MFA, XDR, และการทดสอบ VA/PT
  • Personnel: ต้องมีบุคลากรดำเนินงานหลักอย่างน้อย 3 คน ที่มีประสบการณ์และความเชี่ยวชาญเฉพาะด้าน โดยมีคุณวุฒิที่ระบุ:
    1. หัวหน้าโครงการ และที่ปรึกษาอาวุโส จำนวน 1 คน: มีประสบการณ์ด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management) ในหน่วยงานภาครัฐหรือองค์กรขนาดใหญ่ และมีคุณวุฒิอย่างน้อยหนึ่งใน: CISSP, CISA, CISM, หรือ ISO/IEC 27001:2022 Lead Auditor
    2. วิศวกรระบบความมั่นคงปลอดภัยไซเบอร์ จำนวน 1 คน: มีประสบการณ์ในการติดตั้ง จัดการระบบหรือเทคโนโลยีด้านความมั่นคงปลอดภัยไซเบอร์ (เช่น PAM, Endpoint, MFA) และมีคุณวุฒิอย่างน้อยหนึ่งใน: CISA, CISM, ISO/IEC 27001:2022 Lead Auditor, CEH, CC, หรือ Security+
    3. ผู้เชี่ยวชาญด้านการทดสอบ และวิเคราะห์เหตุการณ์ด้านความปลอดภัยไซเบอร์ จำนวน 1 คน: มีประสบการณ์ด้านการวิเคราะห์ช่องโหว่ (VA) และทดสอบเจาะระบบ (Penetration Testing) การวิเคราะห์เหตุการณ์ความมั่นคงปลอดภัย (SIEM/SOC Tier 1-2) และมีคุณวุฒิอย่างน้อยหนึ่งใน: CEH, CC, Security+, หรือประกาศนียบัตรด้านการวิเคราะห์เหตุการณ์ไซเบอร์

เกณฑ์การพิจารณา

ข้อกำหนดทางเทคนิค

  • ระบบ PAM: ต้องรองรับการบริหารจัดการบัญชีสิทธิ์สูง 10 บัญชี บนทรัพย์สินสำคัญ 20 รายการ ครอบคลุมการจัดการบัญชีและอัตลักษณ์ (รวม Secure Vault), การควบคุมการเข้าถึงด้วย MFA, การบันทึกและตรวจสอบเหตุการณ์ (Logging & Audit) ที่รองรับการกำหนดระยะเวลาการจัดเก็บ และการบูรณาการกับระบบอื่น
  • ระบบบริหารจัดการกุญแจและข้อมูลลับ (Secret Management): ต้องรองรับการจัดเก็บและจัดการวงจรชีวิต (Generation, Storage, Rotation, Destruction) ของ Secrets เช่น API Keys, SSH Keys ไม่เกิน 50 รายการ พร้อมมาตรการควบคุมการเข้ารหัสที่แข็งแรง
  • ระบบ XDR: ต้องเป็นระบบตรวจจับและตอบสนองภัยคุกคามเชิงรุก พร้อมบริการเฝ้าระวังและวิเคราะห์เหตุการณ์ (Managed Service)
  • การทดสอบ VA/PT: ต้องเป็นการทดสอบช่องโหว่และการเจาะระบบอย่างต่อเนื่อง

เงื่อนไขสัญญา

คำถามที่พบบ่อย (FAQ)

  • โครงการนี้มีระยะเวลาดำเนินงานทั้งหมดกี่ปี?
    จากวัตถุประสงค์และหลักการ โครงการนี้มีเป้าหมายในการปิดช่องว่างด้านความมั่นคงปลอดภัยให้สอดคล้องกับมาตรฐานสากลและกฎหมายที่เกี่ยวข้อง ภายในระยะเวลา 1 ปี

  • ระบบ PAM ที่ต้องจัดหาต้องรองรับการจัดการบัญชีและทรัพย์สินจำนวนเท่าใด?
    ระบบ PAM ต้องสามารถบริหารจัดการบัญชีผู้ใช้งานสิทธิ์สูง (Privileged Account) จำนวน 10 บัญชี โดยให้ครอบคลุมการเชื่อมต่อกับทรัพย์สินทางเทคโนโลยีที่สำคัญ (Critical Asset) จำนวน 20 รายการ

  • ระบบบริหารจัดการกุญแจและข้อมูลลับ (Secret Management) รองรับการจัดเก็บข้อมูลลับได้สูงสุดกี่รายการ?
    ระบบต้องรองรับการจัดเก็บ Secrets เช่น API Keys, SSH Keys ไม่เกิน 50 รายการ

  • บริการ Managed Service เกี่ยวข้องกับระบบใดในโครงการ?
    บริการเฝ้าระวังและวิเคราะห์เหตุการณ์ (Managed Service) เป็นส่วนหนึ่งของ ระบบตรวจจับและตอบสนองภัยคุกคามเชิงรุก (XDR) เพื่อลดความเสี่ยงด้านการตรวจจับภัยคุกคามล่าช้า

  • การทดสอบ VA/PT ในโครงการมีลักษณะอย่างไร?
    เป็นการดำเนินการทดสอบช่องโหว่เชิงเทคนิค (Vulnerability Assessment) และการทดสอบเจาะระบบ (Penetration Testing) อย่างต่อเนื่อง เพื่อประเมินประสิทธิภาพมาตรการควบคุมและยืนยันสถานะความปลอดภัยของระบบงานสำคัญ

  • ผู้เสนอราคาต้องจัดหาอุปกรณ์ Hardware ด้วยหรือไม่?
    จากขอบเขตงานระบุว่าเป็นการ “จัดหาสิทธิ์การใช้งานซอฟต์แวร์หรือบริการเฉพาะทาง” ดังนั้นจึงเน้นที่การจัดหา Software Licensing และบริการ Managed Service เป็นหลัก ไม่ได้ระบุถึงการจัดหาอุปกรณ์ Hardware โดยตรง

  • ระบบที่จัดหาต้องรองรับการทำงานกับสภาพแวดล้อมคลาวด์หรือไม่?
    ใช่ เนื่องจากโครงการมีวัตถุประสงค์เพื่อปิดช่องว่างด้านความมั่นคงปลอดภัยไซเบอร์และคลาวด์ โดยเฉพาะระบบ PAM ระบุว่าต้องสอดคล้องกับทรัพย์สินทั้งในส่วนระบบปกติ และสภาพแวดล้อมคลาวด์

  • มีการถ่ายทอดองค์ความรู้ให้บุคลากรของ สช. อย่างไร?
    โครงการมีวัตถุประสงค์เพื่อถ่ายทอดองค์ความรู้และสร้างความพร้อมให้แก่บุคลากรในการบริหารจัดการระบบนิเวศความมั่นคงปลอดภัยไซเบอร์ได้อย่างยั่งยืน ซึ่งน่าจะอยู่ในรูปแบบการฝึกอบรม (Training) หรือ Workshop แต่รายละเอียดระบุไว้ในขอบเขตการดำเนินงานกว้างๆ

  • เกณฑ์มาตรฐานหลักที่โครงการอ้างอิงคืออะไร?
    โครงการนี้อ้างอิงและมีเป้าหมายเพื่อปิดช่องว่าง (Gap) ตาม เกณฑ์มาตรฐานความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ. 2567 ของ สกมช.

  • โครงการนี้ตอบโจทย์ความเสี่ยงระดับใดขององค์กร?
    โครงการนี้มีเป้าหมายเพื่อลด ความเสี่ยงเชิงยุทธศาสตร์ และปิดช่องว่างด้านความมั่นคงปลอดภัยทั้งหมดของสำนักงานคณะกรรมการสุขภาพแห่งชาติ (สช.)

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

1
ขอบเขตของงาน
จ้างเหมาบริการงานยกระดับขีดความสามารถ ด้านการป้องกัน ตรวจจับ
และตอบสนองภัยคุกคามไซเบอร์เชิงบูรณาการ

  1. หลักการและเหตุผล
    สํานักงานคณะกรรมการสุขภาพแห่งชาติ (สช.) มีบทบาทสําคัญในการขับเคลื่อนนโยบายสาธารณะเพื่อ
    สุขภาพของประชาชน ซึ่งการดําเนินงานในปัจจุบันต้องพึ่งพาเทคโนโลยีดิจิทัลและระบบคลาวด์ (Cloud Computing) ในการจัดเก็บและประมวลผลข้อมูลที่มีความสําคัญสูง ภายใต้สภาวะการณ์ที่ภัยคุกคามไซเบอร์ มีความซับซ้อนและมีทิศทางที่ส่งผลกระทบโดยตรงต่อความต่อเนื่องทางธุรกิจ (Business Continuity) และความ น่าเชื่อถือขององค์กรในระดับยุทธศาสตร์ สํานักงานฯ จึงกําหนดให้ความมั่นคงปลอดภัยไซเบอร์เป็นหนึ่งในความ เสี่ยงสําคัญระดับองค์กรที่ต้องบริหารจัดการอย่างเป็นระบบ
    ที่ผ่านมา สํานักงานฯ ได้ดําเนินการวางรากฐานด้านนโยบายและมาตรฐานความมั่นคงปลอดภัยสารสนเทศ รวมถึงการประเมินความเสี่ยงเชิงลึกผ่านกระบวนการวิเคราะห์ช่องว่าง (Gap Analysis) ตามเกณฑ์มาตรฐานความ มั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ. 2567 ของ สกมช. จากผลการประเมินพบว่า แม้องค์กรจะมีรากฐานด้าน นโยบายที่ชัดเจน แต่ในมิติการควบคุมทางเทคนิค (Technical Controls) และกระบวนการปฏิบัติงาน (Operations) ยังคงมีช่องว่าง (Gaps) ที่ต้องได้รับการยกระดับอย่างเร่งด่วน โดยเฉพาะในด้านการกํากับดูแล การ บริหารจัดการสิทธิ์ การป้องกันการเข้าถึงจากระยะไกล และการเฝ้าระวังภัยคุกคาม
    เพื่อให้สามารถลดความเสี่ยงเชิงยุทธศาสตร์และปิดช่องว่างด้านความมั่นคงปลอดภัยทั้งหมดให้สอดคล้อง กับมาตรฐานสากลและกฎหมายที่เกี่ยวข้องภายในระยะเวลา 1 ปี สํานักงานฯ จึงมีความจําเป็นต้องจัดหาเครื่องมือ และบริการด้านความมั่นคงปลอดภัยเชิงบูรณาการ (Integrated Security Ecosystem) ที่สามารถบังคับใช้ มาตรการควบคุมทางเทคนิคได้จริง เพื่อยกระดับขีดความสามารถ (Uplift) ของหน่วยงานให้มีความพร้อมในการ ป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามได้อย่างสมบูรณ์
  2. วัตถุประสงค์
    2.1 เพื่อวิเคราะห์ จัดลําดับความสําคัญ และจัดทําแผนปฏิบัติการ (Action Plan) ในการปิดช่องว่างด้านความ
    มั่นคงปลอดภัยไซเบอร์และคลาวด์ตามความเสี่ยงระดับองค์กรให้แล้วเสร็จภายในปี 2569
    2.2 เพื่อยกระดับมาตรการควบคุมการเข้าถึง (Access Control) และการบริหารจัดการบัญชีผู้ใช้งานที่มีสิทธิ์ สูง (PAM) รวมถึงการบริหารจัดการข้อมูลลับทางการเข้ารหัสให้เป็นไปตามนโยบาย Least Privilege
    Livfors
    (สิระกาญจน์ มโนทัศนันท์)
    ธัมมาน
    (ธัญญาภรณ์ บุญแสน)
    (ศิริธร อรไชย)
    ประธานกรรมการ
    กรรมการ
    กรรมการ
    2
    2.3 เพื่อเสริมสร้างความมั่นคงปลอดภัยให้กับอุปกรณ์ปลายทางและเครื่องแม่ข่าย (Endpoint & Asset Security) ให้สามารถบริหารจัดการและตรวจสอบความสอดคล้องตามมาตรฐานจากศูนย์กลาง
    2.4 เพื่อยกระดับความปลอดภัยในการยืนยันตัวตนหลายปัจจัย (MFA) สําหรับการเข้าถึงระบบงานสําคัญและ ระบบเครือข่ายจากระยะไกล เพื่อลดความเสี่ยงจากการถูกโจมตีผ่านช่องทางการเชื่อมต่อภายนอก
    2.5 เพื่อติดตั้งระบบตรวจจับและตอบสนองภัยคุกคามเชิงรุก (XDR) พร้อมบริการเฝ้าระวัง วิเคราะห์เหตุการณ์ (Managed Service) เพื่อลดความเสี่ยงด้านการตรวจจับภัยคุกคามล่าช้า
    2.6 เพื่อดําเนินการทดสอบช่องโหว่เชิงเทคนิค (VA/PT) อย่างต่อเนื่อง เพื่อประเมินประสิทธิภาพของมาตรการ ควบคุมความเสี่ยงและยืนยันสถานะความปลอดภัยของระบบงานสําคัญ
    2.7 เพื่อถ่ายทอดองค์ความรู้และสร้างความพร้อมให้แก่บุคลากรในการบริหารจัดการระบบนิเวศความมั่นคง
    ปลอดภัยไซเบอร์ของหน่วยงานได้อย่างยั่งยืน
  3. คุณสมบัติของผู้เสนอราคา
    3.1 มีความสามารถตามกฎหมาย 3.2 ไม่เป็นบุคคลล้มละลาย
    3.3 ไม่อยู่ระหว่างเลิกกิจการ
    3.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอ หรือ ทําสัญญากับหน่วยงานของรัฐไว้ชั่วคราว
    เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังกําหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
    3.5 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงาน
    ของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วน ผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอํานาจในการดําเนินงานในกิจการของนิติบุคคลนั้นด้วย
    3.6 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหาร พัสดุภาครัฐกําหนดในราชกิจจานุเบกษา
    3.7 เป็นนิติบุคคลผู้มีอาชีพรับจ้างที่ประกวดราคาอิเล็กทรอนิกส์ดังกล่าวและถ้าเป็นผู้ประกอบการ SMEs ให้แนบหลักฐานด้วย
    3.8 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้ยื่น ข้อเสนอได้มีคําสั่งให้สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
    Likow
    (สิระกาญจน์ มโนทัศนันท์)
    เพรากรณ์
    (ธัญญาภรณ์ บุญแสน)
    Sur
    (ศิริธร อรไชย)
    ประธานกรรมการ
    กรรมการ
    กรรมการ
    3
    3.9 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่ สํานักงานคณะกรรมการ สุขภาพแห่งชาติ (สช.) ณ วันประกาศประกวดราคาอิเล็กทรอนิกส์ การแข่งขันอย่างเป็นธรรมในการประกวดราคาอิเล็กทรอนิกส์ครั้งนี้
    ดังนี้
    หรือไม่เป็นผู้กระทําการอันเป็นการขัดขวาง
    3.10 ต้องมีบุคลากรดําเนินงานหลักอย่างน้อย 3 คน ที่มีประสบการณ์และความเชี่ยวชาญในด้านต่างๆ
    (1) หัวหน้าโครงการ และที่ปรึกษาอาวุโส จํานวน 1 คน ซึ่งมีประสบการณ์ความเชี่ยวชาญด้านการ บริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management) ในหน่วยงานภาครัฐหรือ องค์กรขนาดใหญ่ โดยต้องมีคุณวุฒิวิชาชีพที่ได้รับการยอมรับในระดับสากล ได้แก่ CISSP (Certified Information
    Systems Security Professional) a CISA (Certified Information Systems Auditor) 0 CISM (Certified Information Systems Management) หรือ ISO/IEC 27001:2022 Lead Auditor
    (2) วิศวกรระบบความมั่นคงปลอดภัยไซเบอร์ จํานวน 1 คน ซึ่งมีประสบการณ์ในการติดตั้ง จัดการ ระบบหรือเทคโนโลยีด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ อาทิ ระบบบริหารจัดการสิทธิ์ (PAM) ระบบ จัดการอุปกรณ์ปลายทาง (Endpoint) และระบบยืนยันตัวตน (MFA) โดยจะต้องผ่านการทดสอบคุณวุฒิ หรือ ประกาศณียบัตรที่เกี่ยวข้อง เช่น CISA หรือ CISM หรือ ISO/IEC 27001:2022 Lead Auditor หรือ CEH
    (Certified Ethical Hacker) หรือ CC (Certified in Cybersecurity) หรือ Security+ เป็นต้น
    (3) ผู้เชี่ยวชาญด้านการทดสอบ และวิเคราะห์เหตุการณ์ด้านความปลอดภัยไซเบอร์ จํานวน 1 คน ซึ่งมีประสบการณ์ด้านการวิเคราะห์ช่องโหว่ (VA) และทดสอบเจาะระบบ (Penetration Testing) การวิเคราะห์ เหตุการณ์ความมั่นคงปลอดภัย (SIEM/SOC Tier 1-2) เพื่อสนับสนุนการเฝ้าระวังภัยคุกคาม โดยจะต้องผ่านการ ทดสอบคุณวุฒิหรือประกาศณียบัตรที่เกี่ยวข้อง เช่น CEH (Certified Ethical Hacker) หรือ CC (Certified in Cybersecurity) หรือ Security+ หรือประกาศนียบัตรด้านการวิเคราะห์เหตุการณ์ไซเบอร์
  4. ขอบเขตการดําเนินงาน
    ผู้รับจ้างต้องดําเนินกิจกรรมยกระดับขีดความสามารถ ด้านการป้องกัน ตรวจจับ และตอบสนองภัยคุกคาม
    ไซเบอร์เชิงบูรณาการ โดยจัดหาสิทธิ์การใช้งานซอฟต์แวร์หรือบริการเฉพาะทางอย่างน้อยดังต่อไปนี้
    4.1 ระบบบริหารจัดการสิทธิ์ผู้ใช้งานที่มีสิทธิ์สูง (Privileged Access Management: PAM)
    ผู้รับจ้างต้องดําเนินการจัดหาและติดตั้งระบบบริหารจัดการสิทธิ์ผู้ใช้งานที่มีสิทธิ์สูง (PAM) เพื่อ บริหารจัดการบัญชีผู้ใช้งานสิทธิ์สูง (Privileged Account) จํานวน 10 บัญชี โดยให้ครอบคลุมการเชื่อมต่อกับ ทรัพย์สินทางเทคโนโลยีที่สําคัญ (Critical Asset) จํานวน 20 รายการ ซึ่งที่มีคุณสมบัติและสอดคล้องกับมาตรฐาน ความมั่นคงปลอดภัย ดังนี้
    Liskow
    (สิระกาญจน์ มโนทัศนันท์)
    สัญมาก
    (ธัญญาภรณ์ บุญแสน)
    Suv
    (ศิริธร อรไชย)
    ประธานกรรมการ
    กรรมการ
    กรรมการ
    4
    4.1.1 การบริหารจัดการบัญชีและข้อมูลอัตลักษณ์ (Account & Identity Management)
    ระบบต้องสนับสนุนการระบุและจัดทําทะเบียนบัญชีผู้ใช้งานที่มีสิทธิ์สูง (Privileged
    Account Inventory) ให้สอดคล้องกับทรัพย์สินที่เกี่ยวข้องทั้งในส่วนของระบบปกติ และสภาพแวดล้อมคลาวด์
    ต้องมีระบบจัดเก็บข้อมูลลับ (Secure Vault) ที่มีความมั่นคงปลอดภัยและรองรับ การจัดการวงจรชีวิตของข้อมูลการพิสูจน์ตัวตน (Secret Authentication Information) เช่น รหัสผ่าน หรือ กุญแจเข้ารหัสลับ รองรับมาตรการควบคุมความปลอดภัยเมื่อพบว่าข้อมูลการลงทะเบียนหรือรหัสผ่าน
    มีความเสี่ยงหรือถูกคุกคาม
    ต้องกําหนดบทบาทหน้าที่และความรับผิดชอบ (Roles and Responsibilities) ใน
    การใช้งานระบบให้ชัดเจนตามแนวทางการแบ่งความรับผิดชอบร่วมกัน (Shared
    Responsibility Model)
    4.1.2 การควบคุมการเข้าถึงและมาตรการยืนยันตัวตน (Access Control & MFA)
    ต้องกําหนดให้มีการใช้การยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor
    Authentication: MFA) สําหรับผู้ดูแลระบบที่มีสิทธิพิเศษในการเข้าถึงและจัดการ ระบบงานสําคัญ
    สามารถจํากัดการเข้าถึงข้อมูลและบริการต่าง ๆ ได้ตามนโยบายการควบคุมการ เข้าถึง (Access Control Policy) เพื่อให้มั่นใจว่าการเข้าใช้งานเป็นไปตามสิทธิ์ที่
    กําหนด
    รองรับการควบคุมและตรวจสอบการใช้โปรแกรมอรรถประโยชน์พิเศษ (Privilege
    Utility Programs) เพื่อป้องกันผลกระทบต่อมาตรการควบคุมความปลอดภัยหลัก
    ของระบบ
    4.1.3 การบันทึกเหตุการณ์และการตรวจสอบ (Logging & Audit)
    ต้องมีขีดความสามารถในการบันทึกเหตุการณ์การใช้งานของผู้ดูแลระบบและ ผู้ปฏิบัติงานที่มีสิทธิ์พิเศษ (Administrator and Operator Logs) ระบบต้องสามารถบันทึกกิจกรรมการเข้าใช้งานในรูปแบบที่สามารถตรวจสอบ
    ย้อนหลังหรือใช้ในการวินิจฉัยเหตุการณ์ความปลอดภัยได้
    Lubos
    (สระกาญจน์ มโนทัศนันท์)
    ประธานกรรมการ
    INDIODY
    (ธัญญาภรณ์ บุญแสน)
    กรรมการ
    бли
    (ศิริธร อรไชย)
    กรรมการ
    5
    มีระบบบริหารจัดการบันทึกเหตุการณ์ที่รองรับการกําหนดระยะเวลาการจัดเก็บ
    ข้อมูล (Log Retention) ตามนโยบายของหน่วยงาน และมีมาตรการป้องกันการ เข้าถึงบันทึกข้อมูลโดยไม่ได้รับอนุญาต
    4.1.4 การกํากับดูแลและการบูรณาการ (Governance & Integration)
    ระบบต้องรองรับการออกรายงานสรุปสถานะการใช้งานและบันทึกเหตุการณ์ เพื่อสนับสนุนการทบทวนด้านการรักษาความมั่นคงปลอดภัยสารสนเทศอย่างเป็น
    อิสระ
    ระบบควรสนับสนุนการเชื่อมต่อข้อมูลร่วมกับระบบบริหารจัดการความปลอดภัยอื่น
    ๆ ผ่านมาตรฐานการเชื่อมต่อสากล เพื่อให้เกิดภาพรวมการกํากับดูแลที่สอดคล้องกับ นโยบายความมั่นคงปลอดภัยสารสนเทศขององค์กร
    4.2 ระบบบริหารจัดการกุญแจและข้อมูลลับทางการเข้ารหัส (Cryptographic Key and Secret Management)
    เพื่อให้การบริหารจัดการข้อมูลลับและกุญแจที่ใช้ในการเข้ารหัสข้อมูลมีความมั่นคงปลอดภัยและ
    สอดคล้องกับข้อกําหนดในการใช้งานระบบคลาวด์ ผู้รับจ้างต้องดําเนินการจัดหาและติดตั้งระบบบริหารจัดการ กุญแจและข้อมูลลับทางการเข้ารหัส ซึ่งมีคุณสมบัติดังนี้
    4.2.1 การบริหารจัดการวงจรชีวิตของกุญแจและข้อมูลลับ (Key and Secret Lifecycle
    Management)
    ระบบต้องรองรับการบริหารจัดการวงจรชีวิต (Lifecycle Management) ของ กุญแจสําหรับการเข้ารหัสและข้อมูลลับทางเทคนิค (Secrets) เช่น API Keys, SSH Keys และข้อมูลการพิสูจน์ตัวตนที่ใช้ในระบบงาน
    มีกระบวนการจัดการที่ครอบคลุมขั้นตอนสําคัญ ได้แก่ การสร้าง (Generation), การจัดเก็บอย่างมั่นคงปลอดภัย (Storage), การหมุนเวียน (Rotation) และการ ยกเลิกหรือทําลายเมื่อหมดอายุการใช้งาน
    สามารถระบุและจัดทําทะเบียนกุญแจที่ใช้งานในแต่ละบริการคลาวด์เพื่อให้สามารถ
    กํากับดูแลได้อย่างเป็นระบบ
    รองรับการจัดเก็บ Secrets ไม่เกิน 50 รายการ
    4.2.2 มาตรการควบคุมการเข้ารหัสและการเข้าถึง (Cryptographic Controls and Access)
    ต้องใช้มาตรการควบคุมการเข้ารหัสที่มีความแข็งแรงเพียงพอและสอดคล้องตาม ระดับความเสี่ยงที่ระบุไว้สําหรับข้อมูลและทรัพย์สินขององค์กร
    Lisbo
    (สิระกาญจน์ มโนทัศนันท์)
    ประธานกรรมการ
    ชิตาภรณ์
    (ธัญญาภรณ์ บุญแสน)
    กรรมการ
    Suv
    (ศิริธร อรไชย)
    กรรมการ