ประกวดราคาจ้างพัฒนาระบบบริหารจัดการข้อมูลส่วนบุคคล (PDPA)

1. ความเป็นมา
ขอบเขตงาน (Terms of Reference : TOR)
จ้างพัฒนาระบบบริหารจัดการข้อมูลส่วนบุคคล (PDPA)
การเคหะแห่งชาติในฐานะหน่วยงานรัฐวิสาหกิจที่มีภารกิจสําคัญในการพัฒนาที่อยู่อาศัยและ
คุณภาพชีวิตของประชาชน จําเป็นต้องให้ความสําคัญกับการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการและผู้มีส่วน ได้ส่วนเสียทุกภาคส่วน การจัดทําแนวปฏิบัติคุ้มครองข้อมูลส่วนบุคคลจึงมีหลักการและเหตุผลที่สําคัญหลาย ประการ ประการแรก เพื่อปกป้องสิทธิความเป็นส่วนตัวของประชาชนผู้ขอรับบริการด้านที่อยู่อาศัย ซึ่งต้องให้ ข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น ข้อมูลทางการเงิน สถานะครอบครัว หรือประวัติการอยู่อาศัย ประการที่สอง เพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่น ๆ ที่ เกี่ยวข้อง ซึ่งการเคหะแห่งชาติในฐานะหน่วยงานของรัฐต้องปฏิบัติตามอย่างเคร่งครัด
การมีแนวปฏิบัติที่ชัดเจนช่วยสร้างความน่าเชื่อถือให้กับการเคหะแห่งชาติ ทําให้ประชาชนเกิด
ความไว้วางใจในการให้ข้อมูลเพื่อขอรับบริการด้านที่อยู่อาศัย ขณะเดียวกันก็เป็นการลดความเสี่ยงจากการรั่วไหล ของข้อมูลหรือการใช้ข้อมูล ในทางที่ผิด ซึ่งอาจส่งผลกระทบต่อภาพลักษณ์และการดําเนินงานของหน่วยงาน อีก ทั้งยังช่วยสร้างมาตรฐานในการทํางาน ให้กับบุคลากรของการเคหะแห่งชาติ ทําให้เจ้าหน้าที่ทุกระดับเข้าใจและ ปฏิบัติตามหลักการคุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้อง ส่งผลให้การบริหารจัดการข้อมูลของผู้ขอรับบริการ และผู้อยู่อาศัยในโครงการมีประสิทธิภาพและความปลอดภัยมากขึ้น
การจัดทําแนวปฏิบัติคุ้มครองข้อมูลส่วนบุคคลจึงไม่เพียงแต่เป็นการปฏิบัติตามกฎหมายเท่านั้น แต่ยังเป็นการยกระดับมาตรฐานการให้บริการของการเคหะแห่งชาติให้ทัดเทียมกับองค์กรชั้นนําระดับสากล
สะท้อนถึงวิสัยทัศน์ในการเป็นองค์กรหลักด้านที่อยู่อาศัยที่ไม่เพียงแต่สร้างบ้าน แต่ยังสร้างความอุ่นใจให้กับ
ประชาชนในทุกมิติของการให้บริการ และในท้ายที่สุดการให้ความสําคัญกับการคุ้มครองข้อมูลส่วนบุคคลยัง สะท้อนถึงความรับผิดชอบต่อสังคมของการเคหะแห่งชาติ ซึ่งไม่เพียงแต่มุ่งพัฒนาที่อยู่อาศัยเท่านั้น แต่ยังใส่ใจใน การปกป้องสิทธิและความเป็นส่วนตัวของประชาชน อันเป็นรากฐานสําคัญ ในการสร้างความเชื่อมั่นและความ ร่วมมือจากทุกภาคส่วนในการพัฒนาคุณภาพชีวิตของประชาชนอย่างยั่งยืน
2. วัตถุประสงค์
2.1 เพื่อดําเนินการทบทวนกระบวนการบริหารจัดการข้อมูลส่วนบุคคลของการเคหะแห่งชาติที่ สอดคล้องกับข้อกําหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
2.2. เพื่อนําข้อมูลที่ได้จากผลการศึกษา มาประกอบการจัดหาหรือพัฒนาระบบบริหารจัดการ ข้อมูลส่วนบุคคล (PDPA Management Platform) เพื่อให้เป็นเครื่องมือสําหรับสนับสนุนบุคลากรของ การเคหะแห่งชาติ ในการปฏิบัติงานที่เกี่ยวเนื่องกับข้อมูลส่วนบุคคลแทนระบบบริหารจัดการข้อมูลส่วนบุคคล (PDPA Management Platform) ของสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
ลงซอ..
ลงชื่อ…………..
(เอกพล สีสัน)
(เนตรดาว บุรินทร์สุชาติ)
(ธรรมสรณ์ กูลประดิษฐ์)
2
3. คุณสมบัติของผู้ยื่นข้อเสนอ
3.1 ผู้ยื่นข้อเสนอต้องเป็นนิติบุคคลตามกฎหมายที่จดทะเบียนในประเทศไทย มีวัตถุประสงค์ใน การประกอบกิจการเกี่ยวกับงานดังกล่าว
3.2 ผู้ยื่นข้อเสนอต้องมีผลงานที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือความมั่นคงปลอดภัย สารสนเทศ หรือสถาปัตยกรรมองค์กร หรือการจัดทํานโยบายหรือแนวปฏิบัติที่เกี่ยวข้อง อาทิ การคุ้มครองข้อมูล ส่วนบุคคล หรือการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้แก่หน่วยงานภาครัฐ หรือรัฐวิสาหกิจ หรือเอกชน ที่การเคหะแห่งชาติเชื่อถือได้อย่างน้อย 1 สัญญา โดยมีวงเงินผลงานสัญญาเดียวไม่น้อยกว่า 6,617,600 บาท (หกล้านหกแสนหนึ่งหมื่นเจ็ดพันหกร้อยบาทถ้วน) และเป็นผลงานที่แล้วเสร็จย้อนหลังภายในระยะเวลาไม่เกิน 5 ปี นับถึงวันยื่นข้อเสนอ ทั้งนี้ ผู้ยื่นข้อเสนอต้องยื่นสําเนาหนังสือรับรองผลงาน หรือสําเนาสัญญาจ้างหรือใบสั่งจ้าง เพื่อยืนยันคุณสมบัติดังกล่าว ในวันยื่นเอกสารเสนอราคา
3.3 ผู้ยื่นข้อเสนอต้องเสนอบุคลากรในโครงการที่มีความรู้ ประสบการณ์และคุณสมบัติเฉพาะ ของตําแหน่งต่าง ๆ อย่างน้อย ดังนี้
ๆ
ตําาแหน่ง

1. ผู้จัดการโครงการ
2. ผู้เชี่ยวชาญด้านกฎหมาย คุ้มครองข้อมูลส่วนบุคคล
   วุฒิการศึกษา/คุณสมบัติ
   สําเร็จการศึกษาไม่ต่ํากว่าปริญญาโท ด้านคอมพิวเตอร์ หรือเทคโนโลยี สารสนเทศ หรือโทรคมนาคมหรือสาขาที่เกี่ยวข้องกับวิชาชีพเทคโนโลยี สารสนเทศและมีประสบการณ์ด้านการบริหารจัดการโครงการ เทคโนโลยีสารสนเทศหรือโครงการที่เกี่ยวข้องโดยตรงไม่น้อยกว่า 15 ปี และมีผลงานโครงการที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ
   ความมั่นคงปลอดภัยสารสนเทศ หรือความมั่นคงปลอดภัยทางไซเบอร์ หรือสถาปัตยกรรมองค์กร จํานวนไม่น้อยกว่า 1 โครงการ
   สําเร็จการศึกษาไม่ต่ํากว่าปริญญาโท ด้านกฎหมาย หรือนิติศาสตร์ หรือ สาขาที่เกี่ยวข้อง และมีประสบการณ์ในการทํางานไม่น้อยกว่า 5 ปี ใน ด้านการทําโครงการที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และมี ผลงานโครงการที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล จํานวนไม่
   น้อยกว่า 1 โครงการ และมีใบประกาศนียบัตรสาขาความมั่นคง ปลอดภัยทางดิจิทัลและส่วนบุคคล ที่รับรองโดยสถาบันคุณวุฒิวิชาชีพ
   (องค์การมหาชน)
3. เจ้าหน้าที่กํากับดูแลด้านการ สําเร็จการศึกษาไม่ต่ํากว่าปริญญาตรี ด้านกฎหมาย หรือนิติศาสตร์ หรือ ปฏิบัติตามกฎหมายคุ้มครอง สาขาที่เกี่ยวข้องและมีประสบการณ์ ในการทํางานไม่น้อยกว่า 3 ปี
   ข้อมูลส่วนบุคคล
   ด้านการจัดทําโครงการเกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วน
   บุคคล โดยมีประสบการณ์หรือผลงานโครงการที่เกี่ยวข้องด้านการ คุ้มครองข้อมูลส่วนบุคคล จํานวนไม่น้อยกว่า 1 โครงการ และมีใบ
   จํานวน
   (คน)
   1
   1
   1
   ลงเอ
   สง อ.
   (เอกพล สีสัน)
   (เนตรดาว บุรินทร์สุชาติ)
   (ธรรมสรณ์ กุลประดิษฐ์)
   3
   ตาแหน่ง
4. ผู้เชี่ยวชาญด้านเทคโนโลยี
   สารสนเทศ
   วุฒิการศึกษา/คุณสมบัติ
   ประกาศนียบัตรตามมาตรฐานสากลด้านการคุ้มครองข้อมูลส่วนบุคคล
   ซึ่งรับรองโดย International Association of Privacy Professionals (IAPP) อย่างน้อย 1 ใบรับรอง ได้แก่

• Certified Information Privacy Professional (CIPP/E) หรือ
• Certified Information Privacy Management (CIPM) หรือ
• Certified Information Privacy Technologist (CIPT) สําเร็จการศึกษาไม่ต่ํากว่าปริญญาโท ด้านคอมพิวเตอร์ หรือเทคโนโลยี สารสนเทศ หรือโทรคมนาคมหรือวิศวกรรม หรือสาขาที่เกี่ยวข้อง มี
  ประสบการณ์ในการทํางานด้านเทคโนโลยีสารสนเทศไม่น้อยกว่า 10 ปี

5. ผู้เชี่ยวชาญด้านความมั่นคง สําเร็จการศึกษาไม่ต่ํากว่าปริญญาตรี ด้านที่เกี่ยวข้องกับด้าน
   ปลอดภัยข้อมูล
6. นักวิเคราะห์ระบบ
7. นักพัฒนาระบบ
8. นักทดสอบระบบ
   คอมพิวเตอร์ หรือเทคโนโลยีสารสนเทศ หรือโทรคมนาคม หรือวิศวกรรม
   หรือสาขาที่เกี่ยวข้อง และมีประสบการณ์ทํางานไม่น้อยกว่า 5 ปี ด้าน ความมั่นคงปลอดภัยสารสนเทศหรือความมั่นคงปลอดภัยด้านไซเบอร์ โดยมีผลงานโครงการที่เกี่ยวข้องด้านความมั่นคงปลอดภัยข้อมูล หรือ
   ความมั่นคงปลอดภัยสารสนเทศ หรือความมั่นคงปลอดภัยไซเบอร์
   จํานวนไม่น้อยกว่า 1 โครงการ และมีประกาศนียบัตร Certified
   Cybersecurity Expert (CCE)
   สําเร็จการศึกษาไม่ต่ํากว่าปริญญาตรี ด้านคอมพิวเตอร์ หรือเทคโนโลยี สารสนเทศ หรือโทรคมนาคมหรือวิศวกรรม หรือสาขาที่เกี่ยวข้อง และ
   มีประสบการณ์ทํางานในการวิเคราะห์ การออกแบบระบบสารสนเทศ
   ไม่น้อยกว่า 5 ปี
   สําเร็จการศึกษาไม่ต่ํากว่าปริญญาตรี ด้านที่เกี่ยวข้องกับด้าน
   คอมพิวเตอร์ หรือเทคโนโลยีสารสนเทศ หรือโทรคมนาคม หรือวิศวกรรม หรือสาขาที่เกี่ยวข้อง และมีประสบการณ์การทํางานด้านการพัฒนา
   ระบบหรือซอฟต์แวร์ไม่น้อยกว่า 5 ปี
   สําเร็จการศึกษาไม่ต่ํากว่าปริญญาตรี ด้านที่เกี่ยวข้องกับด้าน
   คอมพิวเตอร์ หรือเทคโนโลยีสารสนเทศ หรือโทรคมนาคม หรือวิศวกรรม หรือสาขาที่เกี่ยวข้อง และมีประสบการณ์การทํางานด้านการทดสอบ
   ระบบหรือซอฟต์แวร์ไม่น้อยกว่า 5 ปี
   ลงชอ
   จํานวน
   (คน)
   ลงชอ
   ลงชื่อ… [ +
   (เอกพล สีสัน)
   (เนตรดาว บุรินทร์สุชาติ)
   (ธรรมสรณ์ กูลประดิษฐ์)
   1
   1
   1
   1
   1
   4
   ตําาแหน่ง
   9.พนักงานธุรการ
   วุฒิการศึกษา/คุณสมบัติ
   จานวน
   (คน)
   สําเร็จการศึกษาไม่ต่ํากว่าปริญญาตรี และประสบการณ์การทํางานด้าน 1 การประสานงานหรือสนับสนุนโครงการอย่างน้อย 1 ปี
   3.4. การจัดทําเอกสารประกอบการยื่นข้อเสนอ ผู้ยื่นข้อเสนอต้องตอบรับและตกลงเงื่อนไขทุก ประการ โดยจัดทําเอกสารแสดงความสอดคล้องตามข้อกําหนด แสดงการตอบรับเป็นรายข้อให้ครบทุกข้อตาม TOR และผู้ยื่นข้อเสนอต้องเสนอข้อมูลด้านเทคนิค เพื่อใช้เปรียบเทียบว่าตรงตามความต้องการของการเคหะ แห่งชาติ โดยข้อมูล ที่เสนอจะต้องแสดงให้การเคหะแห่งชาติเห็นว่าผู้ยื่นข้อเสนอเข้าใจถึงความต้องการของการ เคหะแห่งชาติเป็นอย่างดี สิ่งใดบ้างที่ตรงตามความต้องการ และสิ่งใดบ้าง ที่สูงกว่าความต้องการของการเคหะ
   แห่งชาติ
9. ขอบเขตการดําเนินงาน
   เพื่อให้การเคหะแห่งชาติ ดําเนินกิจการให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วน บุคคล พ.ศ. 2562 ผู้รับจ้างต้องดําเนินการให้ครอบคลุมงาน โดยมีรายละเอียดของขอบเขตการดําเนินงาน ดังนี้
   4.1 จัดทําแผนการดําเนินงานโครงการ (Project Plan) ให้แก่การเคหะแห่งชาติ โดยแผนการ ดําเนินงานดังกล่าว ต้องแสดงรายละเอียดขั้นตอนการทํางาน ระยะเวลาการดําเนินงานงวดการส่งมอบงาน พร้อมทั้งสิ่งส่งมอบงานในโครงการ พร้อมจัดประชุมเปิดตัวโครงการ (Kick-off Project) และนําเสนอแผนการ ดําเนินโครงการดังกล่าวให้แก่ผู้ที่เกี่ยวข้อง เพื่อทําความเข้าใจการดําเนินงานร่วมกันระหว่างการเคหะแห่งชาติและ ผู้รับจ้าง ภายในระยะเวลาไม่เกิน 30 วัน นับถัดจากวันลงนามในสัญญา
   4.2 ให้คําปรึกษาและคําแนะนําเพื่อจัดทําบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วน บุคคล (Record of Processing Activities: ROPA) โดยมีรายละเอียดการดําเนินงานดังนี้
   4.2.1 จัดทําบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA) และประเมิน ความเสี่ยงเบื้องต้น อย่างน้อยดังนี้

1. สร้างชุดคําถาม (Questionnaire) เพื่อเก็บรวบรวมข้อมูลจากเจ้าหน้าที่ที่เกี่ยวข้อง กับการคุ้มครองข้อมูลส่วนบุคคล เกี่ยวกับการเก็บรวบรวมข้อมูล ใช้งานข้อมูล และการเปิดเผยข้อมูลส่วนบุคคล ของฝ่าย/สํานัก/ศูนย์ ต่าง ๆ ในสังกัดของการเคหะแห่งชาติ พร้อมประเมินความเสี่ยงตามกฎหมายคุ้มครองข้อมูล ส่วนบุคคล โดยจัดทําบันทึกข้อมูลผ่านการส่งชุดคําถามให้กับหน่วยงานต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูล ส่วนบุคคล
2. จัดประชุมกลุ่มย่อย (Focus Group) เพื่อระบุรายละเอียดเกี่ยวกับข้อมูล ส่วนบุคคล ข้อมูลส่วนบุคคลอ่อนไหว การเก็บรวบรวมข้อมูล การใช้ข้อมูล และการเปิดเผยข้อมูลต่อบุคคล หรือหน่วยงานภายนอก รวมถึงบทบาทและกฎหมายที่ใช้ในการประมวลผลข้อมูลส่วนบุคคล โดยใช้วิธี
   สัมภาษณ์ผ่านการจัดประชุมออนไลน์หรือสถานที่ของการเคหะแห่งชาติ โดยจัดเป็นกลุ่มตามโครงการสร้าง
   องค์กรของการเคหะแห่งชาติ
   ลงชื่อ
   ลงชื่อ..
   ลงชื่อ
   ลงซอ.
   (เอกพล สีสัน)
   (เนตรดาว บุรินทร์สุชาติ)
   THINKIN
   (ธรรมสรณ์ กูลประดิษฐ์)
   5
3. ให้คําแนะนําแก่เจ้าหน้าที่ผู้รับผิดชอบกิจกรรม เพื่อแก้ไขบันทึกรายการกิจกรรมการ
   ประมวลผลข้อมูลส่วนบุคคล (ROPA) ให้มีความสมบูรณ์เป็นปัจจุบัน
   4.2.2 ทบทวนและตรวจสอบบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA)
   เพื่อระบุบทบาทและฐานทางกฎหมายที่ใช้ในการประมวลผลข้อมูล รวมทั้งตรวจสอบความสอดคล้องของกิจกรรม การประมวลผลข้อมูลส่วนบุคคล ตั้งแต่การเก็บรวบรวมการบันทึก การใช้ การเปิดเผย การลบทําลายข้อมูล รวมถึงมาตรการด้านนโยบายและด้านเทคนิค เพื่อความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล โดยใช้ระบบ บริหารจัดการข้อมูลส่วนบุคคล (PDPA Management Platform) ตามข้อ 4.6 ช่วยเหลือในการดําเนินงาน
   4.2.3 จัดทํารายงานบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA Report) เพื่อสร้างประวัติการจัดทําบันทึกรายการกิจกรรมฉบับปัจจุบัน โดยมีรายละเอียด อย่างน้อยดังนี้
4. สรุปจํานวนกิจกรรมของการเคหะแห่งชาติ
5. ประเภทของข้อมูลส่วนบุคคลที่ใช้ประมวลผล และประเภทเจ้าของข้อมูลส่วนบุคคล 3) สถานที่จัดเก็บข้อมูล
6. ระยะเวลาการจัดเก็บข้อมูล
7. การเปิดเผยหรือโอนข้อมูล
8. การดําเนินการให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิตามกฎหมาย
9. ประเมินภาพรวมความเสี่ยง
   4.3 ทบทวนและจัดทําเอกสารทางกฎหมายที่จําเป็น (Legal Documents) ให้สอดคล้องกับ กิจกรรมของการเคหะแห่งชาติ รวมทั้งตรวจสอบ ให้คําแนะนํา แก้ไข ปรับปรุงแบบฟอร์มและเอกสาร ทาง กฎหมายที่จําเป็นในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยมีเอกสารทางกฎหมายพื้นฐานอย่าง
   น้อยดังนี้
   4.3.1 นโยบายคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน (Privacy Policy)
   4.3.2 ประกาศความเป็นส่วนตัว (Privacy Notice) ที่จําเป็นตามกลุ่มเจ้าของข้อมูลส่วนบุคคล 4.3.3 ข้อตกลงการประมวลผลข้อมูลส่วนบุคคลฉบับมาตรฐาน (Data Processing Agreement) 4.3.4 แบบฟอร์มขอความยินยอมฉบับมาตรฐาน (Consent Form) ที่จําเป็นตามรูปแบบ
   ของหน่วยงานและกิจกรรม
   4.3.5 นโยบายการเก็บรักษาข้อมูลส่วนบุคคล (Data Retention Policy)
   4.3.6 แบบประเมินมาตรฐานความปลอดภัยเพื่อส่งข้อมูลไปต่างประเทศ (Data
   Transfer Assessment)
   4.3.7 แบบฟอร์มคําร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject’s Rights Request Form) และแนวปฏิบัติการดําเนินการเกี่ยวกับคําร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
   4.3.8 แบบฟอร์มการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Report Form) สําหรับแจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่การเคหะแห่งชาติ เอกสารแจ้งเหตุละเมิดข้อมูลส่วนบุคคลไปยัง สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ แนวปฏิบัติการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
   ลงชื่อ……
   (เอกพล สีสัน)
   ลงชื่อ
   (เนตรดาว บุรินทร์สุชาติ)
   (ธรรมสรณ์ กูลประดิษฐ์)
   6
   4.4 จัดทํารายงานการวิเคราะห์ช่องว่างและข้อบกพร่อง (Gap Analysis Report) เพื่อวิเคราะห์ ช่องว่างและข้อบกพร่องจากบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA) ซึ่งประเมินจาก กิจกรรมการประมวลผล ประเภทและความเสี่ยงของช่องว่าง และจัดทําแนวทางการแก้ไขช่องว่างทางกฎหมาย โดยดําเนินการประเมินความเสี่ยง ทั้งในด้านความเป็นส่วนตัว (Privacy Risk) และด้านความปลอดภัย (Security Risk)
   4.5 ผู้รับจ้างต้องส่งมอบสิทธิการใช้งานระบบบริหารจัดการข้อมูลส่วนบุคคล (PDPA Management Platform) จํานวน 1 สิทธิ์ ตามที่กําหนดในภาคผนวก ก. คุณสมบัติของระบบ
   4.6 ผู้รับจ้างต้องดําเนินการติดตั้งระบบบริหารจัดการข้อมูลส่วนบุคคล (PDPA Management Platform) ตามที่กําหนดในภาคผนวก ก. คุณสมบัติของระบบบนเครื่องคอมพิวเตอร์แม่ข่าย (Server) หรือระบบ Cloud หรือระบบเครื่องเสมือน (Virtual Machine: VM) ซึ่งการเคหะแห่งชาติ เป็นผู้จัดเตรียม ทั้งนี้ ผู้รับจ้างต้องดําเนินการ ทดสอบการใช้งานให้สามารถใช้งานได้
   น
   4.7 ผู้รับจ้างต้องพัฒนาระบบบริหารจัดการข้อมูลส่วนบุคคล (PDPA Management Platform) โดยระบบที่เสนอจะต้องมีรายละเอียดตามความต้องการของ กคช. ตามที่กําหนดในภาคผนวก ข. คุณสมบัติ เพิ่มเติม พร้อมจัดทําคู่มือการใช้งานระบบเป็นภาษาไทย
   4.8 ผู้รับจ้างต้องดําเนินการจัดอบรมเพื่อเตรียมความพร้อมการดําเนินการให้สอดคล้องตามกฎหมาย คุ้มครองข้อมูลส่วนบุคคล โดยประกอบด้วยรายละเอียดดังต่อไปนี้
   4.8.1 จัดอบรมเพื่อให้ความรู้เบื้องต้นเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูล ส่วนบุคคล (PDPA Awareness Training) สําหรับผู้ปฏิบัติงานและเจ้าหน้าที่ภายใน ระยะเวลา 3 ชั่วโมง โดยมี ผู้เข้าร่วมการอบรม จํานวนไม่น้อยกว่า 50 คน
   4.8.2 จัดอบรมเพื่อให้ความรู้เบื้องต้นเกี่ยวกับการดําเนินการตามกฎหมายคุ้มครองข้อมูล ส่วนบุคคล สําหรับผู้บริหารและคณะทํางาน ระยะเวลา 3 ชั่วโมง โดยมีผู้เข้าร่วมการอบรม จํานวนไม่น้อยกว่า 25 คน 4.8.3 จัดอบรมแนวทางการตอบสนองต่อเหตุละเมิดข้อมูลส่วนบุคคล (PDPA Data Breach Response) สําหรับผู้ปฏิบัติงานและเจ้าหน้าที่ภายใน ระยะเวลา 3 ชั่วโมง โดยมีผู้เข้าร่วมการอบรม จํานวนไม่น้อยกว่า 40 คน
   4.8.4 จัดอบรมการใช้งานระบบบริหารข้อมูลส่วนบุคคล (PDPA Management Platform) แบ่งออกเป็น 3 กลุ่มผู้ใช้งาน โดยมีรายละเอียดดังต่อไปนี้
10. ผู้ดูแลระบบ (System Administrator) เป็นระยะเวลา 6 ชั่วโมง โดยมีผู้เข้าร่วม
    อบรม จํานวนไม่น้อยกว่า 5 คน
11. ผู้ดูแลข้อมูลระบบ (Data / Application Administrator) เป็นระยะเวลา
    6 ชั่วโมง โดยมีผู้เข้าร่วมอบรม จํานวนไม่น้อยกว่า 5 คน
12. ผู้ใช้งานระบบ (User) ระยะเวลา 6 ชั่วโมง โดยมีผู้เข้าร่วมอบรม จํานวนไม่น้อยกว่า 15 คน 4.8.5 จัดหาหลักสูตรฝึกอบรมด้านการคุ้มครองข้อมูลส่วนบุคคล สําหรับเจ้าหน้าที่คุ้มครอง
    ข้อมูลส่วนบุคคล หรือบุคลากรของการเคหะแห่งชาติ ในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จํานวนไม่น้อย กว่า 2 คน พร้อมประกาศนียบัตรรับรองการอบรม (ถ้ามี)
    ลงซอ..
    ลงชอ
    ลงชื่อ
    (เอกพล สีสัน)
    (เนตรดาว บุรินทร์สุชาติ)
    (ธรรมสรณ์ กูลประดิษฐ์)
    7
    ทั้งนี้ สถานที่จัดฝึกอบรม ณ สํานักงานใหญ่ การเคหะแห่งชาติ โดยการเคหะแห่งชาติ จะ จัดเตรียมอุปกรณ์และสถานที่ในการฝึกอบรม และผู้รับจ้างเป็นผู้รับผิดชอบค่าอาหาร อาหารว่าง ของวิทยากรและ ผู้เข้ารับการฝึกอบรม และ ค่าเอกสารฝึกอบรม (ถ้ามี)
    4.9 ดําเนินการวิเคราะห์ความเสี่ยงข้อมูลรั่วไหล ของ กคช. จํานวน 2 ครั้ง เป็นระยะเวลา 6 เดือน โดยมีรายละเอียดดังนี้
    4.9.1 ดําเนินการวิเคราะห์ความเสี่ยงข้อมูลรั่วไหล โดยใช้ระบบบริหารจัดการโจมตีจาก ภายนอก (Attack Surface Management) ในรูปแบบที่เป็นซอฟต์แวร์ลิขสิทธิ์ ที่มีสิทธิการใช้งานเป็นระยะเวลา ไม่น้อยกว่า 6 เดือน โดยมีรายละเอียดตาม ภาคผนวก ค.คุณลักษณะเฉพาะของซอฟต์แวร์ ข้อ 1.
    4.9.2 ดําเนินการวิเคราะห์ความเสี่ยงข้อมูลรั่วไหล ครั้งที่ 1 พร้อมจัดประชุมชี้แจงผล
    การวิเคราะห์ความเสี่ยงข้อมูลรั่วไหลแก่คณะทํางานของการเคหะแห่งชาติ
    4.9.3 ดําเนินการวิเคราะห์ความเสี่ยงข้อมูลรั่วไหล ครั้งที่ 2 และสรุปผลการวิเคราะห์ พร้อม จัดทํารายงานสรุปผลความเสี่ยงข้อมูลรั่วไหล ของการเคหะแห่งชาติ โดยครอบคลุมรายละเอียด ดังนี้ 1) บทสรุปสําหรับผู้บริหาร (Executive Summary)
13. ภาพรวมทรัพย์สินขององค์กร (Asset Discovery & Inventory)
14. ข้อมูลรั่วไหลและภัยคุกคาม (Threat Intelligence & Data Leakage)
15. การประเมินช่องโหว่และการตั้งค่า (Vulnerability & Configuration Assessment) 4.10 ผู้รับจ้างต้องจัดส่งเจ้าหน้าที่ประจําโครงการ จํานวน 1 คน ในช่วงระหว่างระยะเวลาการ รับประกัน โดยมีคุณสมบัติวุฒิการศึกษาไม่ต่ํากว่าปริญญาตรี สาขาเกี่ยวข้องกับวิทยาการคอมพิวเตอร์ หรือ เทคโนโลยีสารสนเทศ หรืออื่น ๆ ที่เกี่ยวข้องและมีประสบการณ์ทํางานที่เกี่ยวกับระบบสารสนเทศอย่างน้อย 1 ปี

5. ระยะเวลาดําเนินงาน
   ระยะเวลาดําเนินงานภายใน 360 วัน นับถัดจากวันลงนามในสัญญา
6. การพิจารณาข้อเสนอ
   6.1.การเคหะแห่งชาติจะพิจารณาข้อเสนอ โดยใช้หลักเกณฑ์ราคาประกอบเกณฑ์อื่น
   (Price Performance) โดยกําหนดให้น้ําหนักรวมทั้งหมดเท่ากับร้อยละ 100 การพิจารณาการยื่นข้อเสนอจะ พิจารณาให้คะแนนและน้ําหนัก ดังนี้
   6.1.1 เกณฑ์ราคา กําหนดน้ําหนักร้อยละ 20
   6.1.2 เกณฑ์อื่น กําหนดน้ําหนักร้อยละ 80 ดังนี้
   6.2 ข้อเสนอด้านเทคนิคหรือข้อเสนออื่น กําหนดน้ําหนักเท่ากับ ร้อยละ 80 คะแนนเต็ม 100 คะแนน
   ให้คะแนน ดังนี้
   ลงชื่อ..
   ลงชอ
   ลงชื่อ
   (เอกพล สีสัน)
   (เนตรดาว บุรินทร์สุชาติ)
   TRININ
   (ธรรมสรณ์ กูลประดิษฐ์)
   8
   6.2.1 ผลงานและประสบการณ์ของผู้ยื่นข้อเสนอ คะแนนเต็ม 100 คะแนน (สัดส่วนน้ําหนักร้อยละ 15)
   6.2.1.1 จํานวนผลงานของผู้ยื่นข้อเสนอ คะแนนเต็ม 100 คะแนน (สัดส่วนน้ําหนักร้อยละ 10) ผู้ยื่นข้อเสนอต้องมีผลงานหรือประสบการณ์ทํางานที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือ ความมั่นคงปลอดภัยสารสนเทศ หรือสถาปัตยกรรมองค์กร หรือการจัดทํานโยบาย หรือแนวปฏิบัติที่เกี่ยวข้อง อาทิ การคุ้มครองข้อมูลส่วนบุคคล หรือการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้แก่หน่วยงานภาครัฐ รัฐวิสาหกิจ หรือเอกชนที่การเคหะแห่งชาติเชื่อถือได้ โดยมีมูลค่าผลงานรวมภาษีมูลค่าเพิ่มไม่น้อยกว่า 6,617,600 บาท (หกล้าน หกแสนหนึ่งหมื่นเจ็ดพันหกร้อยบาทถ้วน) โดยผลงานดังล่าวจะต้องดําเนินการแล้วเสร็จไม่เกิน 5 ปี นับถึงวัน ยื่นเอกสารเสนอราคา ทั้งนี้ ผู้ยื่นข้อเสนอต้องยื่นสําเนาหนังสือรับรองผลงาน หรือสําเนาสัญญาจ้างหรือใบสั่งจ้าง เพื่อยืนยันคุณสมบัติดังกล่าวในวันยื่นเอกสารเสนอราคา
   (เกณฑ์การพิจารณาให้คะแนน)
   1 ผลงานมากกว่า 4 โครงการขึ้นไป
   2 ผลงาน 2 - 3 โครงการ
   3 ผลงาน 1 โครงการ
   คะแนน
   100
   วิธีการประเมิน
   พิจารณาให้คะแนนจาก
   80
   เอกสารที่ผู้ยื่นข้อเสนอยื่นมา
   60
   6.2.1.2 มูลค่าผลงานของผู้ยื่นข้อเสนอ คะแนนเต็ม 100 คะแนน (สัดส่วนน้ําหนักร้อยละ 5) ผู้ยื่นข้อเสนอต้องมีผลงานหรือประสบการณ์ทํางานหรือขอบเขตงานที่เกี่ยวกับการคุ้มครอง ข้อมูลส่วนบุคคล หรือความมั่นคงปลอดภัยสารสนเทศ หรือสถาปัตยกรรมองค์กร หรือการจัดทํานโยบาย หรือ แนวปฏิบัติ ที่เกี่ยวข้อง อาทิ การคุ้มครองข้อมูลส่วนบุคคล หรือการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้แก่ หน่วยงานภาครัฐ รัฐวิสาหกิจ หรือเอกชนที่การเคหะแห่งชาติเชื่อถือได้ จํานวน 1 โครงการ โดยผลงานดังกล่าว จะต้องดําเนินการแล้วเสร็จไม่เกิน 5 ปี นับถึงวันยื่นเอกสารเสนอราคา ทั้งนี้ ผู้ยื่นข้อเสนอต้องยื่นสําเนาหนังสือ รับรองผลงาน หรือสําเนาสัญญาจ้างหรือใบสั่งจ้าง เพื่อยืนยันคุณสมบัติดังกล่าวในวันยื่นเอกสารเสนอราคา
   (เกณฑ์การพิจารณาให้คะแนน)
   1 โครงการมีมูลค่าวงเงินมากกว่า 16,000,000 บาทขึ้นไป (รวมภาษีมูลค่าเพิ่ม)
   ต่อ 1 สัญญา
   คะแนน วิธีการประเมิน
   100 พิจารณาให้คะแนน จากเอกสารที่ผู้ยืน
   2 โครงการมีมูลค่าวงเงินมากกว่า 10,000,000 บาท ไม่เกิน 16,000,000 บาท
   (รวมภาษีมูลค่าเพิ่ม) ต่อ 1 สัญญา
   80
   ข้อเสนอยื่นมา
   3 โครงการมีมูลค่าวงเงินมากกว่า 6,617,600 บาท ไม่เกิน 10,000,000 บาท (รวมภาษีมูลค่าเพิ่ม) ต่อ 1 สัญญา
   60
   ลงชื่อ……..
   (เอกพล สีสัน)
   ลงชอ
   ลงชื่อ..
   (เนตรดาว บุรินทร์สุชาติ)
   (ธรรมสรณ์ กูลประดิษฐ์)
   9
   6.2.2 คุณสมบัติและประสบการณ์ของบุคลากรในโครงการ คะแนนเต็ม 100 คะแนน
   (สัดส่วนน้ําหนัก ร้อยละ 30)
   6.2.2.1 ผู้จัดการโครงการ (สัดส่วนน้ําหนักร้อยละ 5)
   พิจารณาจากจํานวนปีประสบการณ์ทํางานด้านการบริหารจัดการโครงการเทคโนโลยีสารสนเทศ
   และจํานวนผลงานโครงการที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล หรือความมั่นคงปลอดภัย สารสนเทศ หรือความมั่นคงปลอดภัยทางไซเบอร์ หรือสถาปัตยกรรมองค์กร
   (เกณฑ์การพิจารณาให้คะแนน)
   1.มีประสบการณ์ด้านการบริหารจัดการโครงการเทคโนโลยีสารสนเทศตั้งแต่ 15 ปี ขึ้นไป และผลงานโครงการที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล หรือความมั่นคงปลอดภัย สารสนเทศ หรือความมั่นคงปลอดภัยทางไซเบอร์ หรือสถาปัตยกรรมองค์กร จํานวนมากกว่า 4
   โครงการ
   2.มีประสบการณ์ด้านการบริหารจัดการโครงการเทคโนโลยีสารสนเทศตั้งแต่ 11- 14ปี และผลงานโครงการที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล หรือความมั่นคงปลอดภัย สารสนเทศ หรือความมั่นคงปลอดภัยทางไซเบอร์ หรือสถาปัตยกรรมองค์กร จํานวน2-4
   โครงการ
   3.มีประสบการณ์ด้านการบริหารจัดการโครงการเทคโนโลยีสารสนเทศจํานวน 10 ปี และ
   ผลงานโครงการที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคลหรือความมั่นคงปลอดภัย
   สารสนเทศหรือความมั่นคงปลอดภัยทางไซเบอร์หรือสถาปัตยกรรมองค์กร จํานวน 1 โครงการ
7. ไม่ยื่นข้อเสนอ
   คะแนน วิธีการประเมิน
   100
   พิจารณาให้
   80
   60
   0
   คะแนนจาก
   เอกสารทผยน
   ข้อเสนอยื่นมา
   6.2.2.2 ผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล คะแนนเต็ม 100 คะแนน (สัดส่วนน้ําหนักร้อยละ 5)
   พิจารณาจาก จํานวนปีประสบการณ์ทํางานโครงการที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วน
   บุคคล และจํานวนผลงานโครงการที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล
   (เกณฑ์การพิจารณาให้คะแนน)
   คะแนน วิธีการประเมิน
   100 พิจารณาให้คะแนน
   1 มีประสบการณ์ทํางานที่เกี่ยวข้องพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล จํานวน 3 ปี ขึ้นไป และผลงานโครงการที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล จํานวน จากเอกสารที่ผู้ยืน
   มากกว่า 4 โครงการ
   2 มีประสบการณ์ทํางานที่เกี่ยวข้องพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล จํานวน 2 ปี 80 และผลงานโครงการที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล จํานวน 2-4 โครงการ
   3 มีประสบการณ์ทํางานที่เกี่ยวข้องพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล จํานวน 1 ปี และผลงานโครงการที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล จํานวน 1 โครงการ
   4 ไม่ยื่นเสนอ
   60
   0
   ข้อเสนอยื่นมา
   ลงชื่อ.
   ลงชื่อ
   ลงชื่อ.
   (เอกพล สีสัน)
   (เนตรดาว บุรินทร์สุชาติ)
   (ธรรมสรณ์ กุลประดิษฐ์)
   10
   6.2.2.3 ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยข้อมูล คะแนนเต็ม 100 คะแนน
   (สัดส่วนน้ําหนักร้อยละ 10)
   พิจารณาจาก จํานวนปีประสบการณ์ทํางานที่เกี่ยวข้องด้านความมั่นคงปลอดภัยสารสนเทศหรือ ความมั่นคงปลอดภัยด้านไซเบอร์ และจํานวนผลงานโครงการที่เกี่ยวข้องด้านความมั่นคงปลอดภัยข้อมูล หรือ ความมั่นคงปลอดภัยสารสนเทศ หรือความมั่นคงปลอดภัยไซเบอร์
   (เกณฑ์การพิจารณาให้คะแนน)
   คะแนน วิธีการประเมิน
   1 มีประสบการณ์ทํางานที่เกี่ยวข้องด้านความมั่นคงปลอดภัยสารสนเทศ หรือความมั่นคง 100 พิจารณาให้คะแนน ปลอดภัยด้านไซเบอร์ จํานวน 4 ปีขึ้นไป และมีผลงานโครงการที่เกี่ยวข้องด้านความมั่นคง ปลอดภัยข้อมูล หรือความมั่นคงปลอดภัยสารสนเทศ หรือความมั่นคงปลอดภัยไซเบอร์ จํานวน มากกว่า 4 โครงการ
   2 มีประสบการณ์ทํางานที่เกี่ยวข้องด้านความมั่นคงปลอดภัยสารสนเทศ หรือความมั่นคง 80 ปลอดภัยด้านไซเบอร์ จํานวน 3 ปี และมีผลงานโครงการที่เกี่ยวข้องด้านความมั่นคงปลอดภัย ข้อมูล หรือความมั่นคงปลอดภัยสารสนเทศ หรือความมั่นคงปลอดภัยไซเบอร์ จํานวน 2 4 โครงการ
   3 มีประสบการณ์ทํางานที่เกี่ยวข้องด้านความมั่นคงปลอดภัยสารสนเทศ หรือความมั่นคง 60 ปลอดภัยด้านไซเบอร์ จํานวน 2 ปี และมีผลงานโครงการที่เกี่ยวข้องด้านความมั่นคงปลอดภัย ข้อมูล หรือความมั่นคงปลอดภัยสารสนเทศ หรือความมั่นคงปลอดภัยไซเบอร์
   จํานวน 1 โครงการ
   4 ไม่ยื่นเสนอ
   0
   จากเอกสารที่ผู้ยื่น ข้อเสนอยื่นมา
   6.2.2.4 เจ้าหน้าที่กํากับดูแลด้านการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล คะแนนเต็ม 100 คะแนน (สัดส่วนน้ําหนักร้อยละ 10)
   พิจารณาจาก จํานวนผลงานโครงการที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล และมีใบ ประกาศนียบัตรตามมาตรฐานสากลด้านการคุ้มครองข้อมูลส่วนบุคคล ซึ่งรับรองโดย International Association
   of Privacy Professionals (IAPP) อย่างน้อย 1 ใบรับรอง ได้แก่

1. Certified Information Privacy Professional (CIPP/E) หรือ
2. Certified information Privacy Management (CIPM) หรือ
3. Certified Information Privacy Technologist (CIPT)
   ลงชื่อ.
   ลง
   ลงชื่อ
   (เอกพล สีสัน)
   (เนตรดาว บุรินทร์สุชาติ)
   THINKIN
   (ธรรมสรณ์ กูลประดิษฐ์)
   11
   ทั้งนี้ ต้องแนบเอกสารสําเนา เพื่อยืนยันคุณสมบัติดังกล่าวในวันที่ยื่นเอกสารประกวดราคาและ
   ต้องลงลายมือชื่อรับรองความถูกต้อง
   (เกณฑ์การพิจารณาให้คะแนน)
   คะแนน
   วิธีการประเมิน
   ที่ผู้ยื่นข้อเสนอยื่นมา
   1 มีผลงานโครงการที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคลจํานวน 100 พิจารณาให้คะแนนจากเอกสาร มากกว่า 2 โครงการ และมีใบประกาศนียบัตรตามมาตรฐานสากลด้านการ คุ้มครองข้อมูลส่วนบุคคล ตามที่กําหนดข้างต้น จํานวน 2 ใบรับรองขึ้นไป
   2 มีผลงานโครงการที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคลจํานวน 2 80 โครงการ และมีใบประกาศนียบัตรตามมาตรฐานสากลด้านการคุ้มครองข้อมูล ส่วนบุคคล ตามที่กําหนดข้างต้น จํานวน 1 ใบรับรอง
   3 มีผลงานโครงการที่เกี่ยวข้องด้านการคุ้มครองข้อมูลส่วนบุคคล จํานวน 1 โครงการ และมีใบประกาศนียบัตรตามมาตรฐานสากลด้านการ คุ้มครองข้อมูลส่วนบุคคล ตามที่กําหนดข้างต้น จํานวน 1 ใบรับรอง
   4 ไม่ยืนเสนอ
   60
   0
   6.2.3 ข้อเสนอด้านเทคนิค คะแนนเต็ม 100 คะแนน (สัดส่วนน้ําหนักร้อยละ 35) พิจารณาจากข้อเสนอด้านเทคนิคของผู้ยื่นข้อเสนอ โดยต้องแสดงความเข้าใจและแนวทางการ
   ดําเนินงานให้สอดคล้องกับวัตถุประสงค์และขอบเขตของโครงการ โดยมีเกณฑ์การพิจารณาดังนี้
   6.2.3.1 ความเข้าใจโครงการและแนวคิดการดําเนินงาน (30 คะแนน)
   6.2.3.2 แผนการดําเนินงาน (Timeline) (20 คะแนน)
   6.2.3.3 แนวทางการดําเนินงาน (50 คะแนน)
   6.2.3.3.1 ด้านกระบวนการบริหารจัดการข้อมูลส่วนบุคคลของการเคหะแห่งชาติ ที่สอดคล้องกับข้อกําหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (25 คะแนน)
   ลงชอ
   ลงชื่อ.
   ลงชื่อ………..
   (เอกพล สีสัน)
   (เนตรดาว บุรินทร์สุชาติ)
   (ธรรมสรณ์ กูลประดิษฐ์)
   Platform) (25 คะแนน)
   12
   6.2.3.3.2 ด้านระบบบริหารจัดการข้อมูลส่วนบุคคล (PDPA Management
   (เกณฑ์การพิจารณาให้คะแนน)
   คะแนน วิธีการประเมิน
   1 ความเข้าใจโครงการและแนวคิดการดําเนินงาน (30 คะแนน)
   มีความเข้าใจการดําเนินโครงการ และสามารถอธิบายแนวคิดการดําเนินงานได้ชัดเจน ครบถ้วน 30
   ตามขอบเขตงาน
   มีความเข้าใจการดําเนินโครงการ และสามารถอธิบายแนวคิดการดําเนินงานได้ตรงประเด็น
   ตามขอบเขตงาน
   22 พิจารณาให้
   มีความเข้าใจการดําเนินโครงการ และการอธิบายแนวคิดการดําเนินงานตรงประเด็นเพียง 15
   บางส่วน ตามขอบเขตงาน
   มีความเข้าใจในการดําเนินโครงการและการอธิบายแนวคิดการดําเนินงานไม่สอดคล้องกับ
   ขอบเขตงานหรือไม่มีข้อมูล
   2 แผนการดําเนินงาน (Timeline) (20 คะแนน)
   มีแผนการดําเนินงาน ครบถ้วนตามขอบเขตงาน พร้อมระบุขั้นตอน ระยะเวลา และการส่ง มอบงาน ครบทุกหัวข้อ
   มีแผนการดําเนินงาน ครบถ้วนตามขอบเขตงาน แต่ระบุขั้นตอน ระยะเวลา การส่งมอบงาน ไม่ครบทุกหัวข้อ
   บ
   มีแผนการดําเนินงาน ไม่ครบถ้วนตามขอบเขตงาน และระบุขั้นตอน ระยะเวลา การส่งมอบ งาน ไม่ครบทุกหัวข้อ
   ไม่มีรายละเอียดแผนงาน
   3 แนวทางการดําเนินงาน (50 คะแนน)
   3.1 ด้านกระบวนการบริหารจัดการข้อมูลส่วนบุคคลของการเคหะแห่งชาติ ที่สอดคล้องกับ
   ข้อกําหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
   0
   20
   15
   10
   0
   คะแนนจาก
   เอกสารที่ผู้ยืน ข้อเสนอยื่นมา
   เสนอแนวทางการดําเนินงานชัดเจน ครบถ้วนตามขอบเขตงาน และมีการอธิบายวิธีการ
   25
   ดําเนินงาน
   เสนอแนวทางการดําเนินงาน ครบถ้วนตามขอบเขตงาน แต่ไม่มีการอธิบายวิธีการดําเนินงาน
   เสนอแนวทางการดําเนินงาน ไม่ครบถ้วนตามขอบเขตงาน
   ไม่มีรายละเอียดแนวทางการดําเนินงาน
   3.2 ด้านระบบบริหารจัดการข้อมูลส่วนบุคคล (PDPA Management Platform)
   เสนอแนวทางการดําเนินงาน ครบถ้วนตามขอบเขตงาน และมีการอธิบายวิธีการ
   19
   13
   0
   25
   นําเนินงาน
   เสนอแนวทางการดําเนินงาน ครบถ้วนตามขอบเขตงานแต่ไม่ มีการอธิบายวิธีการ
   19
   นําเนินงาน
   เสนอแนวทางการดําเนินงาน ไม่ครบถ้วนตามขอบเขตงาน
   ไม่มีรายละเอียดแนวทางการดําเนินงาน
   ลงชื่อ
   (เอกพล สีสัน)
   ลงชื่อ
   ลง อ.
   (เนตรดาว บุรินทร์สุชาติ)
   13
   0
   THINKIN
   (ธรรมสรณ์ กูลประดิษฐ์)
   13

7. วงเงินในการจัดหา
   วงเงินงบประมาณจํานวนทั้งสิ้น 16,544,000 บาท (สิบหกล้านห้าแสนสี่หมื่นสี่พันบาท) รวมภาษีมูลค่าเพิ่ม และค่าใช้จ่ายอื่น ๆ แล้ว
8. การส่งมอบงานและการจ่ายเงิน
   ๆ
   การส่งมอบงานในแต่ละงวดประกอบด้วยเอกสารพร้อมบันทึกลงสื่ออิเล็กทรอนิกส์จํานวน 4 ชุด
   โดยแบ่งออกเป็น 4 งวด ดังนี้
   งวดที่ 1 เบิกจ่ายร้อยละ 15 ของวงเงินค่าจ้างทั้งหมด เมื่อผู้รับจ้างปฏิบัติติงานแล้วเสร็จภายใน 30 วันนับ ถัดจากวันที่ลงนามในสัญญาและคณะกรรมการตรวจรับพัสดุได้ตรวจรับเรียบร้อยแล้ว ดังต่อไปนี้

1. แผนการดําเนินงานโครงการ (Project Plan) ตามข้อ 4.1
2. สิทธิการใช้งานระบบบริหารจัดการข้อมูลส่วนบุคคล (PDPA Management Platform)
   ตามข้อ 4.5
   งวดที่ 2 เบิกจ่ายร้อยละ 25 ของวงเงินค่าจ้างทั้งหมด เมื่อผู้รับจ้างปฏิบัติติงานแล้วเสร็จ ภายใน 180 วัน นับถัดจากวันที่ลงนามในสัญญาจ้าง และคณะกรรมการตรวจรับพัสดุได้ตรวจรับเรียบร้อยแล้วดังต่อไปนี้
3. เอกสารทางกฎหมายที่จําเป็น (Legal Documents) ดังนี้
   1.1) นโยบายคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน (Privacy Policy) ตามข้อ 4.3.1 1.2) ข้อตกลงการประมวลผลข้อมูลส่วนบุคคลฉบับมาตรฐาน (Data Processing
   Agreement) ตามข้อ 4.3.3
   1.3) นโยบายการเก็บรักษาข้อมูลส่วนบุคคล (Data Retention Policy) ตามข้อ 4.3.5 1.4) แบบประเมินมาตรฐานความปลอดภัยเพื่อส่งข้อมูลไปต่างประเทศ (Data Transfer
   Assessment) ตามข้อ 4.3.6
   1.5) แบบฟอร์มคําร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject’s Rights Request Form) และแนวปฏิบัติการดําเนินการเกี่ยวกับคําร้องขอใช้สิทธิของเจ้าของ ข้อมูลส่วนบุคคล ตามข้อ 4.3.7
   1.6) แบบฟอร์มการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Report Form) สําหรับแจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่การเคหะแห่งชาติ เอกสารแจ้งเหตุ ละเมิดข้อมูลส่วนบุคคลไปยังสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ
   แนวปฏิบัติการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล ตามข้อ 4.3.8
4. รายงานผลการติดตั้งระบบบริหารจัดการข้อมูลส่วนบุคคล (PDPA Management
   Platform) ตามข้อ 4.6
5. รายงานผลการจัดอบรมเพื่อให้ความรู้เบื้องต้นเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครอง
   ข้อมูลส่วนบุคคล (PDPA Awareness Training) ตามข้อ 4.8.1
6. รายงานผลการจัดอบรมเพื่อให้ความรู้เบื้องต้นเกี่ยวกับการดําเนินการตามกฎหมายคุ้มครอง
   ข้อมูลส่วนบุคคล ตามข้อ 4.8.2
   ลงชื่อ
   ลงชื่อ
   ลงซอน
   (เอกพล สีสัน)
   (เนตรดาว บุรินทร์สุชาติ)
   (ธรรมสรณ์ กูลประดิษฐ์)
   14
   งวดที่ 3 เบิกจ่ายร้อยละ 25 ของวงเงินค่าจ้างทั้งหมด เมื่อผู้รับจ้างปฏิบัติติงานแล้วเสร็จ ภายใน 240 วัน นับถัดจากวันที่ลงนามในสัญญาจ้าง และคณะกรรมการตรวจรับพัสดุได้ตรวจรับเรียบร้อยแล้วดังต่อไปนี้
7. รายงานบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA Report)
   ตามข้อ 4.2.3
8. เอกสารทางกฎหมายที่จําเป็น (Legal Documents) ดังนี้
   2.1) ประกาศความเป็นส่วนตัว (Privacy Notice) ที่จําเป็นตามกลุ่มเจ้าของข้อมูล
   ส่วนบุคคล ตามข้อ 4.3.2
   2.2) แบบฟอร์มขอความยินยอมฉบับมาตรฐาน (Consent Form) ที่จําเป็นตามรูปแบบ
   ของหน่วยงานและกิจกรรม ตามข้อ 4.3.4
9. รายงานผลการจัดอบรมแนวทางการตอบสนองต่อเหตุละเมิดข้อมูลส่วนบุคคล (PDPA
   Data Breach Response) ตามข้อ 4.8.3
10. รายงานสรุปผลการวิเคราะห์ความเสี่ยงข้อมูลรั่วไหล ของ การเคหะแห่งชาติ ตามข้อ 4.9 งวดที่ 4 เบิกจ่ายร้อยละ 35 ของวงเงินค่าจ้างทั้งหมด เมื่อผู้รับจ้างปฏิบัติติงานแล้วเสร็จ ภายใน 360 วัน นับถัดจากวันที่ลงนามในสัญญาจ้าง และคณะกรรมการตรวจรับพัสดุได้ตรวจรับเรียบร้อยแล้วดังต่อไปนี้
11. รายงานการวิเคราะห์ช่องว่างและข้อบกพร่อง (Gap Analysis Report) ตามข้อ 4.4 2) รายงานผลการพัฒนาระบบบริหารจัดการข้อมูลส่วนบุคคล (PDPA Management

9. อัตราค่าปรับ
   Platform) ตามข้อ 4.7

3. คู่มือการใช้งานระบบบริหารจัดการข้อมูลส่วนบุคคล (PDPA Management Platform)
   ตามข้อ 4.7
4. รายงานผลการจัดอบรมการใช้งานระบบบริหารข้อมูลส่วนบุคคล (PDPA Management
   Platform) ตามข้อ 4.8.4
5. รายงานผลการจัดหาหลักสูตรฝึกอบรมด้านการคุ้มครองข้อมูลส่วนบุคคล ตามข้อ 4.8.5
   การเคหะแห่งชาติ จะคิดค่าปรับ กรณีดังต่อไปนี้
   9.1 กรณีที่ผู้รับจ้างนํางานที่รับจ้างไปจ้างช่วงให้ผู้อื่นทําอีกทอดหนึ่งโดยไม่ได้รับอนุญาตจากการเคหะ แห่งชาติ จะกําหนดค่าปรับสําหรับการฝ่าฝืนดังกล่าว ในอัตราร้อยละ 10.00 ของวงเงินงานจ้างช่วงนั้น
   9.2 กรณีที่ผู้รับจ้างปฏิบัติงานผิดสัญญาจ้างนอกเหนือจากข้อ 9.1 จะคิดค่าปรับเป็นรายวัน ในอัตรา ร้อยละ 0.10 ของราคางานจ้าง
   ………
   ลงซอ
   (เอกพล สีสัน)
   ลงชอ.
   ลงชื่อ.
   (เนตรดาว ปุริน รีสุชาติ)
   (ธรรมสรณ์ กูลประดิษฐ์)
   15

10. ลิขสิทธิ์
    10.1 ซอฟต์แวร์ทุกประเภทที่ผู้รับจ้างนํามาใช้กับงานของการเคหะแห่งชาติต้องไม่มีซอฟต์แวร์แอบ แฝงหรือ ซอฟต์แวร์มุ่งร้าย (Malware) ใด ๆ หากการเคหะแห่งชาติตรวจพบผู้ที่ได้รับการว่าจ้างต้องรับผิดชอบ ในความเสียหายที่เกิดขึ้นทั้งหมด
    10.2 ระบบงานและเอกสารทั้งหมดที่จัดทําขึ้น ถือเป็นลิขสิทธิ์ของการเคหะแห่งชาติ ผู้รับจ้าง จะต้องไม่เผยแพร่เอกสาร และ/หรือข้อมูลใด ๆ ที่จัดทําขึ้นทั้งหมด โดยไม่ได้รับความเห็นชอบอย่างเป็นลายลักษณ์ อักษรจากการเคหะแห่งชาติ รวมทั้งจะต้องไม่แสวงหาหรือยินยอมให้บุคคลอื่นแสวงหาประโยชน์ใด ๆ จากข้อมูลและ/ หรือ เอกสารดังกล่าว ทั้งในทางพาณิชย์หรือในกรณีอื่น อันอาจก่อให้เกิดความเสียหายแก่การเคหะแห่งชาติ ด้วย ประการใดทั้งสิ้น
    10.3 ข้อตกลงนี้ให้ถือเป็นส่วนหนึ่งของสัญญา อันเป็นเงื่อนไขที่ผู้ว่าจ้าง บอกเลิกสัญญา เรียกค่าเสียหาย หรือปรับสินไหม รวมทั้งการดําเนินคดีทั้งในทางแพ่งและอาญาทุกประเภท
    10.4 ระบบงานที่พัฒนา ปรับปรุง หรือจัดทําขึ้นใหม่ ภายหลังการติดตั้งและส่งมอบให้ การเคหะ แห่งชาติ ผู้รับจ้างต้องดําเนินการให้ การเคหะแห่งชาติ ได้รับสิทธิโดยชอบในการใช้โปรแกรมหรือซอฟแวร์ที่จําเป็น ต่อการใช้งานดังกล่าว หากมีบุคคลภายนอกกล่าวอ้าง หรือใช้สิทธิเรียกร้องใดๆ ว่ามีการละเมิดสิทธิ์หรือสิทธิบัตร ผู้รับ จ้างต้องดําเนินการทั้งปวง เพื่อให้การกล่าวอ้างหรือเรียกร้องนั้นระงับไปโดยเร็วและผู้รับจ้างต้องเป็นผู้ชําระ ค่าเสียหาย ค่าใช้จ่ายต่างๆ ที่เกิดขึ้นทั้งหมด
    10.5 หากสิ่งที่จัดหามีผู้อื่นเป็นของกรรมสิทธิ์ หรือสิทธิบัตรโปรแกรม/ซอฟต์แวร์ระบบงาน เมื่อได้ติดตั้งและส่งมอบระบบงานให้การเคหะแห่งชาติ ผู้รับจ้างต้องดําเนินการให้การเคหะแห่งชาติ ได้รับสิทธิ โดยชอบในการใช้ซอฟต์แวร์ดังกล่าว และได้รับสิทธิการใช้งานตลอดไป (แม้ระยะเวลาสัญญานี้จะสิ้นสุดลงแล้วก็ ตาม) และผู้รับจ้างรับผิดชอบค่าใช้จ่ายที่เกิดขึ้นในกรณีที่มีการกล่าวหา ฟ้องร้อง หรือเรียกค่าเสียหายใดๆจาก เจ้าของลิขสิทธิ์หรือสิทธิบัตร นั้น
    10.4 การจ้างพัฒนาระบบงานครั้งนี้ หากมีส่วนที่ต้องพัฒนาระบบเพิ่มเติมจากซอฟต์แวร์พื้นฐาน (Standard Package) ผู้รับจ้างต้องส่งมอบ Source Code รวมถึงเอกสารต่างๆ ที่เกี่ยวข้องกับการพัฒนาทั้งหมด ในส่วนของการพัฒนาเพิ่มเติมให้กับการเคหะแห่งชาติ และให้ถือเป็นกรรมสิทธิ์ ของการเคหะแห่งชาติ แต่เพียงผู้ เดียว ผู้รับจ้างจะนําไปใช้เผยแพร่ หรืออนุญาตให้ผู้ใดใช้ทั้งหมดหรือบางส่วนไม่ได้ เว้นแต่ได้รับอนุญาตเป็นลาย
    ลักษณ์อักษรจากการเคหะแห่งชาติ
    11.ข้อตกลงด้านความมั่นคงปลอดภัยสารสนเทศ และข้อตกลงการรักษาความลับข้อมูลหรือเอกสาร
    ผู้รับจ้างที่ได้รับการว่าจ้าง ต้องยินยอมลงนามในแบบฟอร์มบันทึกการไม่เปิดเผยข้อมูล (Non-Disclosure Agreement) และบันทึกข้อตกลงด้านความมั่นคงปลอดภัยสารสนเทศกับการเคหะแห่งชาติ
    ตามรายละเอียดแนบท้าย
    ลงชื่อ
    ลงชื่อ
    ลงชื่อ.
    THENTOO
    (เอกพล สีสัน)
    (เนตรดาว บุรินทร์สุชาติ)
    (ธรรมสรณ์ กูลประดิษฐ์)
    16
    ข้อสงวนสิทธิ์

12.1
ผู้รับจ้างต้องทําความเข้าใจในเอกสารทุกฉบับให้เป็นที่เข้าใจโดยชัดแจ้งและไม่ว่ากรณีใดทั้งสิ้น
ผู้รับจ้างจะยกเป็นข้ออ้าง โดยอาศัยเหตุจากการละเลย ไม่ทําความเข้าใจในข้อความดังกล่าวหรือละเลยไม่ปฏิบัติ ตามข้อความนั้น หรือโดยกล่าวอ้างสําคัญผิดในความหมายของข้อความ หรือปฏิเสธความรับผิดมิได้
12.2
หากการเคหะแห่งชาติพบหรือทราบเมื่อใดก็ตามว่าผู้รับจ้างมีเจตนาที่จะปิดบังบิดเบือนหรือ
พยายาม ให้การเคหะแห่งชาติเข้าใจผิดไปจากความเป็นจริงการเคหะแห่งชาติจะพิจารณาตัดสิทธิในการเสนอ
ราคา หรือยกเลิกสัญญาที่ได้ทําไว้กับผู้รับจ้างและเรียกค่าเสียหายที่พึงเกิดขึ้นจากการกระทําดังกล่าว
12.3 ข้อเสนอรายละเอียดต่าง ๆ ที่ผู้รับจ้างเสนอมานั้น หากมีปัญหาเกี่ยวกับการตีความของข้อความ ใด ๆ ในระหว่างการพิจารณา และมีความจําเป็นต้องวินิจฉัยตัดสินเพื่อให้การจ้างนี้เป็นไปด้วยความเรียบร้อย การ เคหะแห่งชาติขอสงวนสิทธิการเป็นผู้ตีความและวินิจฉัยข้อขัดแย้ง ให้ถือคําวินิจฉัย
ๆ
12.4 การเคหะแห่งชาติสงวนสิทธิ์ที่พิจารณาคุณสมบัติความรู้ความสามารถ ประสบการณ์ของ ผู้ปฏิบัติงาน ก่อนและระหว่างการดําเนินสัญญา และสงวนสิทธิ์ที่จะเปลี่ยนแปลงบุคลากรของผู้รับจ้าง โดยผู้รับ จ้าง ต้องแจ้งการเปลี่ยนแปลงบุคลากรดังกล่าวให้การเคหะแห่งชาติทราบเป็นลายลักษณ์อักษรและผู้ที่จะเข้ามา
ทํางานแทนต้องมีคุณสมบัติเทียบเท่าหรือดีกว่าคุณสมบัติบุคลากรในเบื้องต้น
12.5 ในกรณีที่มีข้อขัดแย้งและมีความจําเป็นต้องตีความเอกสารการจ้างหรือข้อขัดแย้งใดในเอกสาร อื่นใดที่ใช้ในการจ้างครั้งนี้ ซึ่งมีความจําเป็นต้องวินิจฉัยตัดสินเพื่อให้การจ้างนี้เป็นไปด้วยความเรียบร้อย การเคหะ
แห่งชาติขอสงวนสิทธิ์การเป็นผู้ตีความและวินิจฉัยข้อขัดแย้ง คําวินิจฉัยให้ถือเป็นที่สิ้นสุด
12.6 การเคหะแห่งชาติสงวนสิทธิ์ที่จะยกเลิกการจัดซื้อจัดจ้างครั้งนี้ หากไม่ได้รับอนุมัติเงินงบประมาณ สําหรับการจัดซื้อจัดจ้างในครั้งนี้ หรือได้รับจัดสรรงบประมาณแต่ไม่เพียงพอ และการเคหะแห่งชาติ อาจยกเลิกการ จัดซื้อจัดจ้างโดยไม่พิจารณาจัดซื้อจัดจ้างในครั้งนี้ต่อไปก็ได้ ทั้งนี้ ผู้ยื่นข้อเสนอจะเรียกร้องค่าเสียหายใด ๆ จากการ เคหะแห่งชาติไม่ได้ และเมื่อการเคหะแห่งชาติได้รับอนุมัติงบประมาณแล้ว จึงจะลงนาม ในสัญญาได้ โดยการเคหะ แห่งชาติ จะถือว่าสัญญามีผลผูกพันเมื่อได้มีการลงนามในสัญญาโดยผู้มีอํานาจเรียบร้อยแล้วเท่านั้น
13.การรับประกัน
ผู้รับจ้างต้องรับประกันผลงาน ดังนี้
13.1
ผู้รับจ้างต้องรับประกันการให้บริการเป็นระยะเวลาอย่างน้อย 1 ปี หลังจากการตรวจรับงานงวด
สุดท้ายเสร็จเรียบร้อยแล้ว โดยดําเนินการดังนี้
13.1.1 ให้คําแนะนําและช่วยแก้ไขปัญหาต่าง ๆ เกี่ยวกับการใช้งานระบบบริหารจัดการข้อมูล ส่วนบุคคล (PDPA Management Platform) ให้สามารถใช้งานได้ตลอดระยะเวลาโครงการ
ลงซอ..
ลงซอ..
ลงชอ
(เอกพล สีสัน)
(เนตรดาว บุรินทร์สุชาติ)
JTfurr
(ธรรมสรณ์ กูลประดิษฐ์)
17
13.1.2 ผู้ยื่นข้อเสนอต้องดําเนินการตามข้อตกลงระยะเวลาการให้บริการ (Service Level
Agreement : SLA) หลังจากที่ได้รับแจ้งปัญหามีรายละเอียด ดังนี้
เวลา
เวลาการ
ระดับความ
รุนแรง
คําอธิบายปัญหา
(Severity)
ช่องทาง
ตอบสนอง
แก้ไข
ตอบสนอง
(Response (Resolution
Time)
Time)
ระบบไม่สามารถใช้งานได้ทั้งหมด หรือ
ภายใน 4
ภายใน 1 วัน
Critical (Sev 1)
กระทบความมั่นคงปลอดภัยข้อมูล
ชั่วโมง
ทําการ
ระบบใช้งานได้บางส่วน ฟังก์ชันหลัก
ภายใน 1 วันทํา
ภายใน 3 วัน
High (Sev 2)
ไม่สามารถใช้งานได้
การ
ทําการ
ทางโทรศัพท์/อีเมล
ระบบมีปัญหาแต่ยังสามารถใช้งานได้
ภายใน 2 วันทํา ภายใน 5 วัน
Medium (Sev 3)
ไม่กระทบงานหลัก
การ
ทําการ
ปัญหาเล็กน้อย หรือข้อผิดพลาดด้าน
Low (Sev 4)
การแสดงผล (UI)
ภายใน 3 วันทํา ภายใน 7 วัน
การ
ทําการ
14. ปัญหาข้อขัดแย้งและการตีความ
ในกรณีที่มีข้อขัดแย้งและมีความจําเป็นต้องตีความตามขอบเขตการจ้างงานฉบับนี้หรือ
ข้อขัดแย้งใดในเอกสารอื่นใดที่ใช้ในการจ้างครั้งนี้ ซึ่งมีความจําเป็นต้องวินิจฉัยตัดสินเพื่อให้การจ้างนี้เป็นไปด้วย
ความเรียบร้อย การเคหะแห่งชาติขอสงวนสิทธิ์การเป็นผู้ตีความและวินิจฉัยข้อขัดแย้ง โดยให้คณะกรรมการร่าง ของขอบเขตงาน (TOR) และคณะกรรมการตรวจรับพัสดุหารือร่วมกัน คําวินิจฉัยของการเคหะแห่งชาตินี้เป็นที่สุด ผู้รับจ้างจะคัดค้านหรือโต้แย้ง รวมทั้งจะเรียกค่าทดแทนหรือค่าเสียหายใด ๆ จากการเคหะแห่งชาติมิได้ และผู้รับ จ้างยืนยันและรับรองว่าจะปฏิบัติตามทันที
15. แผนการทํางาน
ผู้รับจ้าง ต้องจัดทําแผนการทํางานมาให้การเคหะแห่งชาติ ภายใน 30 วัน นับถัดจากวันที่ลงนาม ในสัญญา ทั้งนี้แผนการทํางานให้ถือเป็นเอกสารส่วนหนึ่งของสัญญา
16. แผนการใช้พัสดุที่ผลิตภายในประเทศ
ผู้รับจ้างต้องจัดทําแผนการใช้วัสดุที่ผลิตภายในประเทศไม่น้อยกว่าร้อยละ 60 ของมูลค่าพัสดุที่ใช้ใน
การงานจ้างทั้งหมดตามสัญญา โดยส่งให้กับการเคหะแห่งชาติภายใน 60 วันนับถัดจากวันที่ลงนามในสัญญา
ลงชื่อ.
ลงซอ……..
(เอกพล สีสัน)
ลงชื่อ
ลงชื่อ
עורר
(เนตรดาว บุรินทร์สุชาติ)
(ธรรมสรณ์ กูลประดิษฐ์)
18
ภาคผนวก ก.
คุณสมบัติของระบบ

1. ข้อกําหนดทั่วไปของระบบ (General Requirements) มีคุณลักษณะอย่างน้อยดังนี้
   1.1 ระบบต้องสามารถทํางานร่วมกับระบบเครื่องคอมพิวเตอร์และอุปกรณ์ที่การเคหะแห่งชาติใช้อยู่ได้อย่างมี
   ประสิทธิภาพ
   1.2 ระบบต้องรองรับการใช้งานข้อมูลอย่างน้อย 2 ภาษา ได้แก่ ภาษาไทยและภาษาอังกฤษ
   1.3 ระบบต้องสามารถทํางานร่วมกับระบบอีเมล โดยรองรับการเชื่อมต่อผ่านโปรโตคอล SMTP
   1.4 ระบบต้องมีฟังก์ชันการบริหารจัดการผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน (User & Role Management) ดังนี้
   1.4.1 สร้าง แก้ไข และยกเลิกผู้ใช้งานและ/หรือกลุ่มผู้ใช้งานได้
   ๆ
   1.4.2 กําหนดสิทธิ์ (Authority) การเข้าถึงข้อมูลและการใช้งานฟังก์ชันต่าง ๆ ตามบทบาทที่กําหนด 1.4.3 กําหนดบทบาทและสิทธิ์การใช้งานตามฟังก์ชันการทํางานที่แตกต่างกันได้
   1.5 ระบบต้องสามารถกําหนดให้มีการส่งข้อความแจ้งเตือนสถานะการดําเนินงานในแต่ละขั้นตอนให้แก่
   ผู้เกี่ยวข้อง ตามที่การเคหะแห่งชาติกําหนด
2. ระบบบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities : ROPA) มี
   คุณลักษณะอย่างน้อยดังนี้
   2.1 ระบบต้องสามารถกําหนดและบันทึกข้อมูลของแต่ละประเภทกิจกรรมการประมวลผลข้อมูลส่วนบุคคล โดยมีข้อคําถามและรายละเอียดครบถ้วนตามมาตรา 39 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
   พ.ศ. 2562
   2.2 ระบบต้องสามารถจัดทําบันทึกรายการประมวลผลข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์ เพื่อให้
   เจ้าของข้อมูลส่วนบุคคลและการเคหะแห่งชาติสามารถตรวจสอบได้
   2.3 ระบบต้องรองรับการจัดเก็บข้อมูลที่เกี่ยวข้องกับ Data Subjects, Personally Identifiable
   Information (PIls) และฐานทางกฎหมาย (Legal Basis)
   2.4 ระบบต้องสามารถประเมินความเสี่ยง (Risk Assessment) ได้ ดังนี้
   2.4.1 ระบบต้องสามารถกําหนดรายการข้อมูลส่วนบุคคลที่มีความเสี่ยงและบันทึกประเภทความเสี่ยงได้ 2.4.2 ระบบต้องสามารถประเมินระดับความเสี่ยงของกระบวนการเก็บรวบรวม การประมวลผล และการ
   โอนหรือส่งต่อข้อมูลส่วนบุคคล
   2.4.3 ระบบต้องสามารถรองรับการทบทวนความเสี่ยง และบันทึกการแก้ไขช่องว่างทางกฎหมายแยกตาม
   ประเภทช่องว่างทางกฎหมาย
   2.4.4 ระบบต้องสามารถจัดทํารายงานสรุปกิจกรรมการประมวลผลข้อมูลส่วนบุคคล และรายงานสรุป
   ระดับความเสี่ยง แยกตามประเภทและระดับความเสี่ยง
   ลงชื่อ.
   ลงชอ
   ลงชื่อ
   (เอกพล สีสัน)
   (เนตรดาว บุรินทร์สุชาติ)
   กรรมช (ธรรมสรณ์ กูลประดิษฐ์)
   19
3. ระบบบริหารจัดการความยินยอม (Cookie & Consent Management)
   3.1 ระบบจัดการความยินยอมคุกกี้ (Cookie Consent Management : CKCM) มีคุณลักษณะอย่าง
   น้อยดังนี้
   3.1.1 ระบบต้องสามารถตรวจสอบคุกกี้และเทคโนโลยีที่เว็บไซต์ใช้ในการจัดเก็บข้อมูลส่วนบุคคล 3.1.2 ระบบต้องสามารถสร้างและปรับแต่งคุกกี้แบนเนอร์ (Customized Cookie Banner) ได้ 3.1.3 ระบบต้องรองรับการแสดงผลภาษาไทยและภาษาอังกฤษ
   3.1.4 เจ้าของข้อมูลสามารถให้หรือเพิกถอนความยินยอมผ่านเว็บไซต์ของการเคหะแห่งชาติได้ 3.1.5 ระบบต้องสามารถจดจําการให้ความยินยอมเพื่อไม่แจ้งเตือนซ้ําในการใช้งานครั้งถัดไป 3.1.6 ระบบต้องสามารถจัดเก็บสถานะและประวัติการให้ความยินยอมคุกกี้ของเจ้าของข้อมูล
   ส่วนบุคคล
   3.1.7 ระบบต้องสามารถขอความยินยอมในการใช้ข้อมูลตําแหน่งที่ตั้ง (Geo-Location)
   3.1.8 ระบบต้องสามารถกําหนดระยะเวลาการจัดเก็บข้อมูลความยินยอมได้ โดยค่าเริ่มต้นไม่เกิน 2 ปี
   หรือกําหนดได้ตามที่การเคหะแห่งชาติกําหนด
   3.1.9 ระบบต้องสามารถจัดทํารายงานและ Dashboard รวมถึง Export รายงานเป็นไฟล์ PDF และ
   จัดเก็บรายงานเพื่อใช้อ้างอิงในอนาคต
   3.2 ระบบจัดการความยินยอมของเจ้าของข้อมูล (Consent Management System : CSM)
   มีคุณลักษณะอย่างน้อยดังนี้
   3.2.1 ระบบต้องสามารถพิสูจน์และยืนยันตัวตนของเจ้าของข้อมูลส่วนบุคคลได้
   3.2.2 ระบบต้องมีหน้าจอสําหรับบันทึก แก้ไข และบริหารจัดการการให้ความยินยอม
   3.2.3 ระบบต้องสามารถจัดเก็บสถานะ ประวัติ และการควบคุมเวอร์ชัน (Version Control)
   ของแบบฟอร์มการให้ความยินยอม
   3.2.4 ระบบต้องรองรับการให้ความยินยอมจากหลายช่องทาง เช่น Email, QR Code หรือ URL
   3.2.5 ระบบต้องรองรับกระบวนการทบทวนการให้ความยินยอม (Re-Consent)
   3.2.6 ระบบต้องมี Dashboard แสดงภาพรวมสถานะและประวัติการให้ความยินยอม
   3.2.7 ระบบต้องมีเครื่องมือสําหรับสร้างแบบฟอร์มการขอความยินยอม
   3.2.8 ระบบต้องมี API สําหรับเชื่อมต่อกับระบบสารสนเทศที่เกี่ยวข้องของการเคหะแห่งชาติ
   3.2.9 ระบบต้องสามารถจัดทํารายงานและ Export รายงานเป็นไฟล์ PDF และ Excel/CSV และจัดเก็บ
   รายงานเพื่อใช้อ้างอิงในอนาคต
   ลงชื่อ
   ……..
   ลงชื่อ..
   ลงชอ
   ชื่อ…………….
   (เอกพล สีสัน)
   (เนตรดาว บุรินทร์สุชาติ)
   (ธรรมสรณ์ กูลประดิษฐ์)
   20
4. ระบบจัดการการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Access Request : DSAR)
   มีคุณลักษณะอย่างน้อยดังนี้
   4.1 ระบบต้องมีช่องทางให้เจ้าของข้อมูลยื่นคําขอใช้สิทธิตามกฎหมาย และตรวจสอบสถานะ
   การดําเนินงานได้
   4.2 ระบบต้องมี Workflow สําหรับการบริหารจัดการคําขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
   4.3 ระบบต้องสามารถจัดเก็บสถานะและประวัติคําขอใช้สิทธิ รวมถึงการควบคุมเวอร์ชันของแบบฟอร์ม 4.4 ระบบต้องมีหน้าจอสําหรับเจ้าหน้าที่บันทึก เปลี่ยนแปลง และติดตามสถานะการดําเนินงาน
   4.5 ระบบต้องสามารถบันทึกข้อพิจารณา เรื่องร้องเรียน และการส่งต่อไปยังหน่วยงานที่เกี่ยวข้อง
   4.6 ระบบต้องสามารถจัดทํารายงานและ Dashboard เพื่อใช้ในการบริหารจัดการและตรวจสอบย้อนหลัง 4.7 ระบบต้องสามารถแจ้งเตือนเจ้าของข้อมูลและเจ้าหน้าที่ที่เกี่ยวข้องผ่านทางอีเมลหรือช่องทาง
   ที่เหมาะสม
5. ระบบจัดการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Incident Report) มีคุณลักษณะอย่างน้อยดังนี้
   5.1 ระบบต้องมีระบบรับแจ้งเหตุละเมิดข้อมูลส่วนบุคคล และบันทึกสถานะของเหตุการณ์
   5.2 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องสามารถตรวจสอบและส่งต่อเหตุไปยังผู้ที่เกี่ยวข้องผ่านทางอีเมล 5.3 ระบบต้องสามารถจัดทําและนําส่งรายงานแจ้งเหตุไปยังสํานักงานคณะกรรมการคุ้มครองข้อมูล
   ส่วนบุคคลภายในระยะเวลา 72 ชั่วโมง
   5.4 ระบบต้องสามารถจัดทํารายงานและ Dashboard รวมถึง Export รายงานเป็นไฟล์ PDF และ Excel/CSV
   และจัดเก็บรายงานเพื่อใช้อ้างอิงในอนาคต
   ลงชื่อ
   (เอกพล สีสัน)
   ลงชอ
   ลงชื่อ
   (เนตรดาว บุรินทร์สุชาติ)
   STATI (ธรรมสรณ์ กูลประดิษฐ์)
   21
   ภาคผนวก ข.
   คุณสมบัติเพิ่มเติม
6. ระบบบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities : ROPA) มี
   คุณลักษณะอย่างน้อยดังนี้
   1.1 ระบบต้องสามารถออกรายงานภาพรวมของบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่มี ความครบถ้วน ถูกต้อง และสามารถนําไปใช้ในการตรวจสอบการปฏิบัติตามกฎหมาย รวมถึงแสดงระดับ ความเสี่ยงของกิจกรรมการประมวลผลได้
7. ระบบบริหารจัดการความยินยอม (Cookie & Consent Management) มีคุณลักษณะอย่างน้อยดังนี้
   2.1 ระบบต้องรองรับการกําหนดผู้รับผิดชอบ สําหรับข้อมูลความยินยอมแต่ละรายการ เพื่อระบุ ความรับผิดชอบในการจัดการตรวจสอบ และปรับปรุงข้อมูลความยินยอมให้ถูกต้องและเป็นปัจจุบัน
   2.2 ระบบต้องรองรับการบันทึกวันที่ให้ความยินยอมและสามารถระบุได้ว่าการบันทึกข้อมูลเป็นการบันทึก
   ย้อนหลัง พร้อมทั้งแสดงช่วงเวลาที่ย้อนหลังอย่างชัดเจน
   2.3 ระบบต้องรองรับการค้นหาและเรียกดูข้อมูลความยินยอมตามช่วงระยะเวลา (From-To Date) เพื่อให้
   สามารถเรียกดูข้อมูลจํานวนมากได้อย่างมีประสิทธิภาพ
8. ระบบจัดการคําขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล มีคุณลักษณะอย่างน้อยดังนี้
   3.1 ระบบต้องรองรับการกําหนดเวลาเก็บรักษาข้อมูลบริหารจัดการสิทธิที่ใช้เป็นหลักฐานในระบบ 3.2 ระบบต้องสามารถช่วยตรวจสอบและสนับสนุนการลบหรือทําลายข้อมูลส่วนบุคคลตามคําขอใช้สิทธิลบ
   ทําลาย
   ลงซอ…
   ลงซอ.
   ลงชอ.
   (เอกพล สีสัน)
   (เนตรดาว บุรินทร์สุชาติ)
   THE DAI (ธรรมสรณ์ กุลประดิษฐ์)
   22
   ภาคผนวก ค.
   คุณลักษณะเฉพาะของซอฟต์แวร์
9. ระบบบริหารจัดการโจมตีจากภายนอก (Attack Surface Management) จํานวน 1 ระบบ
   มีคุณลักษณะอย่างน้อยดังนี้
   1.1 สามารถทําการค้นหาทรัพย์สินขององค์กร (Assets) ที่เปิดเผยสู่ภายนอกและประเมินหรือระบุความ เสี่ยงของทรัพย์สินที่ตรวจเจอได้อย่างน้อยจํานวน 200 Assets โดยเข้าใช้งานผ่านคลาวด์แพลตฟอร์ม
   หรือ Software as a Service (SaaS)
   1.2 มีหน้า Dashboard หรือ Overview ที่สามารถแสดงถึงภาพรวมความเสี่ยงโดยรวม (Total score)
   ขององค์กรได้
   1.3 สามารถจํากัดสิทธิ์ผู้ใช้งานได้ 3 รูปแบบ ได้แก่ Admin, User และ Read-only ได้
   1.4
   สามารถตรวจสอบ IP, Domain, SSL/TLS certificates ขององค์กรได้
   1.5 สามารถระบุถึงช่องโหว่ (Vulnerabilities) หรือการตั้งค่าที่ไม่ถูกต้องบนสินทรัพย์ (Asset)
   องค์กรได้
   1.6 สามารถแสดงข้อมูลของ Certificate เช่น วันที่หมดอายุของ Certificate หรือ SSL/TLS versions ได้ 1.7 สามารถส่งออกข้อมูลในรูปแบบ CSV ได้เป็นอย่างน้อย
   1.8 รองรับการตรวจสอบสินทรัพย์ด้วยเทคนิค 3 รูปแบบได้แก่ การตรวจสอบแบบไม่รบกวนการ
   ทํางานของระบบ (Passive detection), การตรวจสอบด้วยการเชื่อมโยงข้อมูล (Implied Detection) และ การตรวจสอบด้วยการใช้ Payload (Active detection) ได้
   1.9 สามารถระบุ Leaked credentials ซึ่งเกี่ยวข้องกับ Assets ขององค์กรได้
   ของ
   1.10 สามารถแสดงการอ้างถึงสินทรัพย์ (Asset) ขององค์กรจากกลุ่ม Hacker บน Darkweb ได้ 1.11 สามารถแบ่งประเภทของการตรวจสอบ (Asset validation & Security Checks) ออกมาได้เป็น 8 ประเภท ได้แก่ Vulnerabilities, Network Security, Leaked Credentials, Malware Security, Darkweb mentions, SSL /TLS Security, Email Security และ DNS & Domains ได้
   1.12 สามารถนําข้อมูลที่เกี่ยวข้องกับสินทรัพย์ขององค์กรมาแสดงเป็นกราฟ (Graph) โดยรองรับการแสดง ข้อมูลอื่นเพิ่มเติมที่ระบบตรวจพบ เช่น
   1.12.1 Social media หรือ Contacts ที่เกี่ยวข้องกับสินทรัพย์ขององค์กร เช่น Telegram หรือ
   อื่นๆ
   1.12.2 Malicious activity เกี่ยวข้องกับสินทรัพย์ขององค์กร เช่น การตรวจพบความเกี่ยวข้องของ แผงควบคุมมัลแวร์ที่ใช้ควบคุมเครื่องเหยื่อ (Malware management panels) กับ
   สินทรัพย์ขององค์กร
   ลงชื่อ
   (เอกพล สีสัน)
   ลงชื่อ
   ลงชื่อ.
   (เนตรดาว บุรินทร์สุชาติ)
   (ธรรมสรณ์ กูลประดิษฐ์)
   23
   1.13 สามารถแสดงตําแหน่งของสินทรัพย์ขององค์กรที่ถูกตรวจพบโดยระบบ ในรูปแบบของแผนที่โลกได้
   (World Map)
   1.14 รองรับการระบุชนิดของฐานข้อมูลบนสินทรัพย์ขององค์กร เช่น MySQL, PostgreSQL, MSSQL
   Server, MongoDB, Elasticsearch, Redis และ Cassandra ได้เป็นอย่างน้อย
   1.15 รองรับการทํา Compliance โดยสามารถเชื่อมโยงปัญหาที่ตรวจพบบนสินทรัพย์ เข้ากับข้อกําหนด และมาตรฐานสากล เช่น CIS Controls V8.1 หรือใหม่กว่า และ NIS2 Directive
   เป็นต้น
   1.16 ผู้ยื่นข้อเสนอต้องได้รับการแต่งตั้งให้เป็นตัวแทนจําหน่ายจากจากบริษัทเจ้าของผลิตภัณฑ์หรือตัวแทน
   จําหน่ายในประเทศไทย โดยให้ยื่นเอกสารมาพร้อมในวันที่ยื่นข้อเสนอ
   ลงชื่อ..
   (เอกพล สีสัน)
   ลงชื่อ
   ลงชื่อ……
   (เนตรดาว บุรินทร์สุชาติ)
   (ธรรมสรณ์ กูลประดิษฐ์)