จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างทดสอบเจาะระบบแพลตฟอร์มข้อมูล

สถาบันข้อมูลขนาดใหญ่ (องค์การมหาชน) 69039471838

฿1,500,000 ปีงบ 2569 ประกาศ 7 พ.ค. 2569 กรุงเทพมหานคร

รายละเอียดการจ้าง

สถาบันข้อมูลขนาดใหญ่ (สขญ.) มีความประสงค์จ้างผู้เชี่ยวชาญภายนอกเพื่อดำเนินงานทดสอบและประเมินความมั่นคงปลอดภัยทางไซเบอร์ของแพลตฟอร์มเชื่อมโยงและวิเคราะห์ข้อมูล (D2U) เนื่องจากแนวโน้มการโจมตีทางไซเบอร์ที่เพิ่มขึ้นและการที่ระบบจำเป็นต้องได้รับการตรวจสอบอย่างสม่ำเสมอ

วัตถุประสงค์หลักเพื่อให้แพลตฟอร์ม D2U ดำเนินการได้อย่างมั่นคงปลอดภัยและสอดคล้องกับมาตรฐานสากล เช่น ISO 27001 โดยมุ่งเน้นการระบุ วิเคราะห์ และจัดการความเสี่ยงหรือช่องโหว่ที่อาจเกิดขึ้นกับทั้งสองส่วนของแพลตฟอร์ม ได้แก่ แพลตฟอร์มกลาง (Central) และแพลตฟอร์มข้อมูลรายสาขา (Sectorial)

ขอบเขตงานครอบคลุมการจัดทำแผนดำเนินงาน การประเมินช่องโหว่ (Vulnerability Assessment) อย่างน้อย 22 อุปกรณ์หรือ IP Addresses โดยใช้ซอฟต์แวร์มาตรฐานและอ้างอิง CVSS v3, การทดสอบเจาะระบบแบบ Black Box Penetration Testing ตามมาตรฐาน OSSTMM หรือ NIST SP 800-115 โดยครอบคลุมความเสี่ยงตาม OWASP Top 10 สำหรับเว็บแอปพลิเคชันและ API ต่างๆ ของระบบ, การทดสอบจุดเชื่อมต่อและกลไกการสื่อสารระหว่าง Central/Sectorial/Agent nodes รวมถึงการประเมินการควบคุมการแบ่งแยกเครือข่าย, และการทดสอบซ้ำ (Revisit) 1 ครั้งหลังจากหน่วยงานแก้ไขช่องโหว่แล้ว

ผลลัพธ์ที่ต้องส่งมอบ ได้แก่ แผนดำเนินงาน รายงานการประเมินช่องโหว่ รายงานการทดสอบเจาะระบบ พร้อมการจัดประชุมชี้แจงและให้คำปรึกษาการแก้ไขช่องโหว่แก่ทีมผู้ดูแลระบบและผู้พัฒนา โดยรายงานผลทั้งหมดต้องมีการเชื่อมโยง (Mapping) ช่องโหว่ที่พบกับมาตรฐาน ISO/IEC 27001:2022 (Annex A Controls) เพื่อใช้เป็นแนวทางในการจัดทำแผนบริหารความเสี่ยงต่อไป

English summary

The Big Data Institute (BDI) intends to hire an external expert to conduct cybersecurity assessment and penetration testing for its data linking and analysis platform (D2U), due to increasing cyber threats and the need for regular security audits.

The primary objective is to ensure the D2U platform operates securely and complies with international standards like ISO 27001. This involves identifying, analyzing, and managing potential risks or vulnerabilities across both core platform components: the Central Platform and the Sectorial Platform.

The scope of work includes developing an execution plan, conducting a Vulnerability Assessment (VA) on at least 22 devices or IP addresses using standard software and referencing CVSS v3, performing Black Box Penetration Testing following standards such as OSSTMM or NIST SP 800-115 covering risks per the latest OWASP Top 10 for web applications and APIs, testing connectivity and communication mechanisms between Central/Sectorial/Agent nodes including network segmentation control assessment, and conducting one revisit test after the institute has implemented fixes.

Key deliverables include the execution plan, vulnerability assessment report, penetration test report, along with briefing meetings and consultation for remediation provided to the system administration and development teams. All final reports must include a mapping of discovered vulnerabilities to the controls in ISO/IEC 27001:2022 (Annex A) to guide future risk treatment planning.

สถานที่ดำเนินการ

สถาบันข้อมูลขนาดใหญ่ (องค์การมหาชน) เลขที่ 234/432 ซอยลาดพร้าว 12 ถนนลาดพร้าว แขวงจอมพล เขตจตุจักร กรุงเทพมหานคร 10900

คำสำคัญ

ทดสอบเจาะระบบ Vulnerability Assessment Penetration Testing OWASP Top 10 ISO 27001 ความมั่นคงปลอดภัยไซเบอร์CVSS บริการทดสอบความปลอดภัย แพลตฟอร์มข้อมูล Big Data Security

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

เพื่อประเมินความเสี่ยง อันอาจเกิดขึ้นได้กับ แพลตฟอร์มกลาง (Central) และ แพลตฟอร์มข้อมูลรายสาขา (Sectorial) แพลตฟอร์มใดแพลตฟอร์มหนึ่ง หรือ ทั้ง 2 แพลตฟอร์ม พร้อมๆ กัน อันอาจะเกิดขึ้นได้ในอนาคต
เพื่อระบุความเสี่ยง หรือช่องโหว่อันอาจเกิดขึ้นได้กับ แพลตฟอร์มกลาง (Central) และ แพลตฟอร์มข้อมูลรายสาขา (Sectorial) แพลตฟอร์มใดแพลตฟอร์มหนึ่ง หรือ ทั้ง 2 แพลตฟอร์ม พร้อมๆ กัน อันอาจะเกิดขึ้นได้ในอนาคต
เพื่อวิเคราะห์ความเสี่ยง อันอาจเกิดขึ้นได้กับ แพลตฟอร์มกลาง (Central) และ แพลตฟอร์มข้อมูลรายสาขา (Sectorial) แพลตฟอร์มใดแพลตฟอร์มหนึ่ง หรือ ทั้ง 2 แพลตฟอร์ม พร้อมๆ กัน อันอาจะเกิดขึ้นได้ในอนาคต
เพื่อจัดการความเสี่ยง อันอาจเกิดขึ้นได้กับ แพลตฟอร์มกลาง (Central) และ แพลตฟอร์มข้อมูลรายสาขา (Sectorial) แพลตฟอร์มใดแพลตฟอร์มหนึ่ง หรือ ทั้ง 2 แพลตฟอร์ม พร้อมๆ กัน อันอาจะเกิดขึ้นได้ในอนาคต
เพื่อทราบความเสี่ยง อันอาจเกิดขึ้นได้กับ แพลตฟอร์มกลาง (Central) และ แพลตฟอร์มข้อมูลรายสาขา (Sectorial) แพลตฟอร์มใดแพลตฟอร์มหนึ่ง หรือ ทั้ง 2 แพลตฟอร์ม พร้อมๆ กัน อันอาจะเกิดขึ้นได้ในอนาคต
เพื่อจัดทำแผนการจัดการ และแนวทางการจัดการความเสี่ยงและช่องโหว่ อันอาจเกิดขึ้นได้กับ แพลตฟอร์มกลาง (Central) และ แพลตฟอร์มข้อมูลรายสาขา (Sectorial) แพลตฟอร์มใดแพลตฟอร์มหนึ่ง หรือ ทั้ง 2 แพลตฟอร์ม พร้อมๆ กัน อันอาจะเกิดขึ้นได้ในอนาคต
เพื่อให้มีการประเมินช่องโหว่ (VA) และการทดสอบเจาะระบบเพื่อค้นหาช่องโหว่และจุดอ่อน
เพื่อจัดทำรายงานสำหรับการรับเข้าการประเมินตามมาตรฐาน ISO 27001 (2022)
เพื่อพัฒนา และจัดการข้อมูลและระบบต่างๆ บนแพลตฟอร์ม ดีทู ทั้ง 2 ส่วน (Central, Sectorial)

ขอบเขตของงาน

การจัดทำแผนการดำเนินงาน: จัดทำแผนการดำเนินงานและจัดประชุม Kick-off เพื่อนำเสนอแผน ซึ่งต้องครอบคลุม (1) แผนการดำเนินงาน, (2) ขอบเขตการดำเนินการ, (3) วิธีการทดสอบ, (4) เกณฑ์การประเมินความเสี่ยงของช่องโหว่, (5) ผังโครงสร้างทีมงานและบทบาท (Project Manager, Quality Assurance, Tester)
การประเมินช่องโหว่ (Vulnerability Assessment):
- ดำเนินการประเมินช่องโหว่ครอบคลุม Server, Cloud, Network Equipment, Security Device ใน Internal Network จำนวนไม่น้อยกว่า 22 อุปกรณ์หรือ 22 IP Addresses
- ต้องใช้โปรแกรมคอมพิวเตอร์ที่มีลิขสิทธิ์ที่เป็นที่ยอมรับในระดับสากล
- ผลประเมินต้องอิงตามมาตรฐาน Common Vulnerability Scoring System (CVSS) version 3 และจัดลำดับความสำคัญของการแก้ไข
การทดสอบเจาะระบบ (Penetration Testing):
- ดำเนินการทดสอบเจาะระบบแบบ Black Box Penetration Testing ตามแนวทางมาตรฐานสากล เช่น OSSTMM หรือ NIST SP 800-115
- ครอบคลุมความเสี่ยงตาม OWASP Top 10 สำหรับ Web Application และ OWASP API Security Top 10 (หากมี API)
- ต้องครอบคลุมการทดสอบเว็บแอปพลิเคชันต่างๆ ได้แก่ data catalog, data pipeline, data visualization, jupyter notebook, object storage, data gov tools, data warehouse
การทดสอบจุดเชื่อมต่อและกลไกการสื่อสาร:
- ทดสอบการสื่อสารข้อมูลระหว่าง Central/Sectorial/Agent nodes ในรูปแบบต่างๆ เช่น API (REST/SOAP/GraphQL), Message Queue, Webhook, File Transfer, การสื่อสารผ่าน Network/Internet (TLS/HTTPS/VPN)
- ทดสอบการควบคุมการแบ่งแยกเครือข่าย (Network Segmentation Control) และการเคลื่อนย้ายภายในระบบ (Lateral Movement) โดยจำลองสถานการณ์การถูกบุกรุก
การทดสอบซ้ำ (Revisit): ดำเนินการประเมินช่องโหว่และทดสอบเจาะระบบซ้ำอีก 1 ครั้ง หลังจากที่ สขญ. ได้ดำเนินการแก้ไขช่องโหว่แล้ว (รวมทั้งหมด 2 รอบ)
การจัดทำรายงานและการให้คำปรึกษา: สำหรับแต่ละขั้นตอน (VA, Penetration Test, การทดสอบจุดเชื่อมต่อ) ต้องจัดทำรายงานอย่างละเอียดและจัดประชุมเพื่อชี้แจงรายละเอียดของช่องโหว่ที่พบ พร้อมให้คำปรึกษาในการปิดช่องโหว่แก่ทีมผู้ดูแลระบบและผู้พัฒนาระบบงาน
ข้อจำกัดและเงื่อนไขการทดสอบ: ต้องทดสอบเฉพาะขอบเขตที่ได้รับอนุญาตเท่านั้น และต้องไม่ดำเนินการทดสอบที่อาจก่อให้เกิดผลกระทบต่อความพร้อมใช้งานของระบบ (เช่น DoS, Stress Test) เว้นแต่จะได้รับอนุมัติเป็นกรณีเฉพาะ

สิ่งที่ต้องส่งมอบ

แผนการดำเนินงาน (Project Plan) ที่ครอบคลุมขอบเขต วิธีการทดสอบ เกณฑ์ประเมิน และโครงสร้างทีมงาน
รายงานการประเมินช่องโหว่ (Vulnerability Assessment Report) อย่างละเอียด พร้อมผลการวิเคราะห์และข้อแนะนำ
รายงานการทดสอบเจาะระบบ (Penetration Testing Report) อย่างละเอียด พร้อมผลการวิเคราะห์และข้อแนะนำ
รายงานการประเมินช่องโหว่และจุดอ่อนจากการทดสอบจุดเชื่อมต่อ (Connectivity & Communication Test Report)
รายงานผลการทดสอบซ้ำ (Revisit Report) หลังจากมีการแก้ไขช่องโหว่
ตารางสรุปการเชื่อมโยง (Mapping Table) ระหว่างช่องโหว่ที่พบกับมาตรฐาน ISO/IEC 27001:2022 Annex A Controls พร้อมข้อเสนอแนะสำหรับ Risk Treatment Plan
การจัดประชุม Kick-off เพื่อนำเสนอแผนดำเนินงาน
การจัดประชุมชี้แจงรายละเอียดและให้คำปรึกษาการปิดช่องโหว่แก่ผู้ดูแลระบบและผู้พัฒนาระบบงาน (อย่างน้อย 3 ครั้ง ตามแต่ละขั้นตอนหลักของงาน)

ระยะเวลาดำเนินการ

ผู้รับจ้างจะต้องส่งมอบงานทั้งหมดภายในระยะเวลา 90 วัน นับถัดจากวันลงนามในสัญญา

คุณสมบัติผู้เสนอราคา

Eligibility Requirements: ผู้ยื่นข้อเสนอต้องลงทะเบียนในระบบ e-GP ของกรมบัญชีกลาง มีข้อมูลถูกต้องครบถ้วน
Standards Compliance: -
Experience: -
Previous Project Cost: -
Technical Capabilities: -
Personnel: โครงสร้างทีมงานที่เสนอต้องประกอบด้วยบทบาท: ผู้จัดการโครงการ (Project Manager), ผู้ควบคุมคุณภาพโครงการ (Quality Assurance), ผู้ทดสอบเจาะระบบ (Tester)

เกณฑ์การพิจารณา

เกณฑ์การพิจารณาเป็นไปตามกฎหมายจัดซื้อจัดจ้างภาครัฐ โดยพิจารณาจากราคาเป็นหลัก และมีการให้แต้มต่อ (Price Preference) แก่ผู้ยื่นข้อเสนอกลุ่มต่อไปนี้:

ผู้ประกอบการ SMEs: หากเสนอราคาสูงกว่าราคาต่ำสุดไม่เกิน 10% จะได้รับสิทธิพิเศษ (ต้องมีคุณสมบัติครบตามที่กฎหมายกำหนด)
สินค้า Made In Thailand: หากเสนอราคาสูงกว่าราคาต่ำสุดไม่เกิน 5% และสินค้า/บริการได้รับการรับรองเครื่องหมาย Made In Thailand จากสภาอุตสาหกรรมแห่งประเทศไทย จะได้รับสิทธิพิเศษ
ผู้เสนอที่เป็นคนไทยหรือนิติบุคคลไทย (ที่ไม่ใช่ SMEs): หากเสนอราคาสูงกว่าราคาต่ำสุดของผู้เสนอที่เป็นชาวต่างชาติหรือนิติบุคคลต่างประเทศไม่เกิน 3% จะได้รับสิทธิพิเศษ
หากมีคุณสมบัติทั้ง SMEs และ Made In Thailand จะได้รับแต้มต่อรวมไม่เกิน 15%

ข้อกำหนดทางเทคนิค

งานนี้เป็นการทดสอบความมั่นคงปลอดภัยทางไซเบอร์โดยไม่เกี่ยวข้องกับข้อกำหนดทางเทคนิค (Specifications) ของวัสดุหรือโครงสร้างในการก่อสร้าง แต่มีข้อกำหนดด้านระเบียบวิธีและมาตรฐานในการทดสอบที่ชัดเจน ได้แก่:

การประเมินช่องโหว่ (VA): ต้องใช้ซอฟต์แวร์ที่มีลิขสิทธิ์ที่เป็นที่ยอมรับในระดับสากล และประเมินความเสี่ยงโดยอ้างอิงมาตรฐาน Common Vulnerability Scoring System (CVSS) version 3
การทดสอบเจาะระบบ (Penetration Testing): ต้องดำเนินการตามแนวทางมาตรฐานสากล เช่น Open Source Security Testing Methodology Manual (OSSTMM) หรือ NIST Special Publication 800-115 และต้องครอบคลุมความเสี่ยงตาม OWASP Top 10 (เว็บแอปพลิเคชันและ API)
ระบบเป้าหมาย: ครอบคลุมระบบแพลตฟอร์ม D2U ทั้งส่วน Central และ Sectorial รวมถึง Agent nodes, เว็บแอปพลิเคชันต่างๆ (data catalog, pipeline, visualization, jupyter notebook, object storage, data gov tools, data warehouse) และระบบเครือข่าย
การเชื่อมโยงกับมาตรฐาน: รายงานผลต้องมีการเชื่อมโยงช่องโหว่ที่พบกับมาตรฐาน ISO/IEC 27001:2022 ในส่วนของ Annex A Controls

เงื่อนไขสัญญา

ระยะเวลาสัญญา: 90 วัน นับจากวันลงนาม
การชำระเงิน: ชำระเงินเต็มจำนวน (100%) หลังจากผู้รับจ้างส่งมอบงานทั้งหมดและคณะกรรมการตรวจรับงานเรียบร้อยแล้ว
ค่าปรับ: หากส่งมอบงานล่าช้า ผู้รับจ้างต้องชำระค่าปรับเป็นรายวัน ในอัตราร้อยละ 0.10 ของมูลค่าสัญญา (แต่ไม่ต่ำกว่าวันละ 100 บาท)
วงเงินงบประมาณ: 1,500,000 บาท (รวม VAT แล้ว)

คำถามที่พบบ่อย (FAQ)

Q: งานนี้ครอบคลุมการทดสอบระบบคลาวด์ด้วยหรือไม่?
A: ใช่ ขอบเขตงานระบุชัดเจนว่าการประเมินช่องโหว่ (VA) ต้องครอบคลุมระบบคลาวด์ (Cloud) ด้วย
Q: ต้องใช้เครื่องมือซอฟต์แวร์ใดเป็นพิเศษสำหรับการประเมินช่องโหว่หรือไม่?
A: ต้องใช้โปรแกรมคอมพิวเตอร์ที่มีลิขสิทธิ์ที่เป็นที่ยอมรับในระดับสากลด้านการค้นหาช่องโหว่และประเมินความ risiko ไม่ได้ระบุชื่อเครื่องมือเฉพาะ
Q: การทดสอบเจาะระบบต้องทำตามมาตรฐานใดบ้าง?
A: ต้องดำเนินการตามแนวทางมาตรฐานสากล เช่น OSSTMM หรือ NIST SP 800-115 หรือมาตรฐานสากลอื่นที่เทียบเท่า
Q: ต้องทดสอบความเสี่ยงด้าน API ด้วยหรือไม่?
A: ใช่ หากระบบมีส่วนติดต่อแบบ API ต้องครอบคลุมความเสี่ยงตาม OWASP API Security Top 10 เวอร์ชันล่าสุดด้วย
Q: การทดสอบซ้ำ (Revisit) ต้องทำกี่ครั้งและเมื่อไร?
A: ต้องทำการทดสอบซ้ำ 1 ครั้ง หลังจากที่ สขญ. ได้ดำเนินการแก้ไขช่องโหว่จากรอบแรกแล้ว ทำให้รวมการประเมิน/ทดสอบทั้งหมด 2 ครั้ง
Q: รายงานผลต้องเชื่อมโยงกับมาตรฐานใด?
A: รายงานผลต้องมีการเชื่อมโยง (Mapping) ช่องโหว่ที่พบกับมาตรฐาน ISO/IEC 27001:2022 ในส่วนของ Annex A Controls
Q: ไม่อนุญาตให้ทำการทดสอบประเภทใดบ้าง?
A: ไม่อนุญาตให้ทำการทดสอบที่อาจกระทบความพร้อมใช้งานของระบบ เช่น Denial of Service (DoS), Stress Test เว้นแต่จะได้รับอนุมัติเป็นลายลักษณ์อักษรเป็นกรณีพิเศษ
Q: โครงสร้างทีมงานที่ต้องเสนอมีตำแหน่งอะไรบ้าง?
A: ต้องมีตำแหน่งอย่างน้อย ผู้จัดการโครงการ (Project Manager), ผู้ควบคุมคุณภาพโครงการ (Quality Assurance), และผู้ทดสอบเจาะระบบ (Tester)
Q: งานนี้ต้องจัดประชุมกับลูกค้าทั้งหมดกี่ครั้ง?
A: ต้องจัดประชุม Kick-off เมื่อเริ่มโครงการ และจัดประชุมเพื่อชี้แจงรายละเอียดช่องโหว่และให้คำปรึกษาในการปิดช่องโหว่สำหรับแต่ละขั้นตอนงานหลัก (VA, Penetration Test, การทดสอบจุดเชื่อมต่อ)
Q: การทดสอบ Lateral Movement คืออะไรและต้องทำอย่างไร?
A: คือการทดสอบจำลองสถานการณ์หลังจากถูกบุกรุกจากระบบหนึ่ง แล้วประเมินความสามารถในการเคลื่อนย้ายและเข้าถึงระบบอื่นภายในเครือข่าย (ระหว่าง Central/Sectorial/Agent nodes) เพื่อยืนยันประสิทธิภาพของกลไกควบคุมการเข้าถึงและ Network Segmentation

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

ขอบเขตของงาน (Terms of Reference : TOR)
จ้างทดสอบเจาะระบบแพลตฟอร์มข้อมูล

ความเป็นมา
สถาบันข้อมูลขนาดใหญ่ (สขญ.) ได้จัดทำพัฒนาแพลตฟอร์มเชื่อมโยงและวิเคราะห์ข้อมูล หรือ ดีทู เพื่อขับเคลื่อนการ พัฒนาการบริหารจัดการและวิเคราะห์ข้อมูลขนาดใหญ่ โดยมีแผนงานดำเนินโครงการในด้านวางรากฐานระบบข้อมูลเปิด ข้อมูล ภาครัฐ ภาคเอกชน รวมไปถึงกลไกการเชื่อมต่อข้อมูล กลไกการรักษาความปลอดภัย สนับสนุนทรัพยากรในการประมวลผล สร้าง ชุดข้อมูลเปิดสาธารณะ สร้างรายงานแดชบอร์ดหรือโมเดลทางคณิตศาสตร์ และการเปิดเผยข้อมูลที่ลดความเป็นข้อมูลส่วนบุคคล เพื่อสนับสนุนให้เกิดการใช้ประโยชน์ข้อมูลร่วมกัน ทั้งนี้โครงสร้างของแพลตฟอร์ม ดีทู จะแบ่งออกเป็น 2 ส่วน หลักๆ คือ แพลตฟอร์มกลาง (Central) และ แพลตฟอร์มข้อมูลรายสาขา (Sectorial)
เพื่อให้การดำเนินงานเป็นไปอย่างต่อเนื่อง มั่นคงปลอดภัย ทั้งนี้เนื่องจากแนวโน้มของการโจมตีทางไซเบอร์ผ่านระบบ สารสนเทศนั้นมีอัตราเพิ่มขึ้นอย่างมีนัยยะสำคัญ รวมถึงการที่แฟลตฟอร์ม ดีทู ต้องมีการตรวจสอบความมั่นคงปลอดภัยทางไซเบอร์ อย่างสม่ำเสมอ สขญ. จึงมีความประสงค์จ้างผู้เชี่ยวชาญภายนอกที่มีความสามารถและประสบการณ์ด้านความมั่นคงปลอดภัยระบบ เทคโนโลยีสารสนเทศ เข้าประเมินความมั่นคงปลอดภัยของระบบงานแพลตฟอร์ม ดีทู ทั้ง 2 ส่วนอันได้แก่ แพลตฟอร์มกลาง (Central) และ แพลตฟอร์มข้อมูลรายสาขา (Sectorial) รวมถึงระบบเครือข่ายสื่อสาร ระบบคอมพิวเตอร์ และระบบวิเคราะห์ ข้อมูลเพื่อให้การบริหารจัดการและควบคุมระบบเทคโนโลยีสารสนเทศ โครงการแพลตฟอร์ม ดีทู มีความปลอดภัยมากยิ่งขึ้น
วัตถุประสงค์
ในการดำเนินงานบริหารและจัดการข้อมูล และวิเคราะห์ข้อมูลบนแฟลตฟอร์ม ดีทู (Central, Sectorial) จำเป็นต้องมี ผู้เชี่ยวชาญเข้ามาทำการ ประเมินความเสี่ยง ตรวจสอบความมั่นคงปลอดภัยทางไซเบอร์ รวมทั้งปิดช่องโหว่ที่ตรวจพบ เพื่อให้แฟลต ฟอร์ม ดีทู ดำเนินการได้อย่างมั่นคงปลอดภัย และสามารถ comply ได้กับมาตรฐานสากล เช่น ISO 27001 เป็นต้น โดยกำหนด ระยะเวลาดำเนินการเป็น 90 วัน (3 เดือน) โดยมีวัตถุประสงค์ดังต่อไปนี้
2.1 เพื่อประเมินความเสี่ยง อันอาจเกิดขึ้นได้กับ แพลตฟอร์มกลาง (Central) และ แพลตฟอร์มข้อมูลรายสาขา (Sectorial) แพลตฟอร์มใดแพลตฟอร์มหนึ่ง หรือ ทั้ง 2 แพลตฟอร์ม พร้อมๆ กัน อันอาจะเกิดขึ้นได้ในอนาคต 2.2 เพื่อระบุความเสี่ยง หรือช่องโหว่อันอาจเกิดขึ้นได้กับ แพลตฟอร์มกลาง (Central) และ แพลตฟอร์มข้อมูลราย
สาขา (Sectorial) แพลตฟอร์มใดแพลตฟอร์มหนึ่ง หรือ ทั้ง 2 แพลตฟอร์ม พร้อมๆ กัน อันอาจะเกิดขึ้นได้ใน อนาคต
2.3 เพื่อวิเคราะห์ความเสี่ยง อันอาจเกิดขึ้นได้กับ แพลตฟอร์มกลาง (Central) และ แพลตฟอร์มข้อมูลรายสาขา (Sectorial) แพลตฟอร์มใดแพลตฟอร์มหนึ่ง หรือ ทั้ง 2 แพลตฟอร์ม พร้อมๆ กัน อันอาจะเกิดขึ้นได้ในอนาคต 2.4 เพื่อจัดการความเสี่ยง อันอาจเกิดขึ้นได้กับ แพลตฟอร์มกลาง (Central) และ แพลตฟอร์มข้อมูลรายสาขา (Sectorial) แพลตฟอร์มใดแพลตฟอร์มหนึ่ง หรือ ทั้ง 2 แพลตฟอร์ม พร้อมๆ กัน อันอาจะเกิดขึ้นได้ในอนาคต 2.5 เพื่อทราบความเสี่ยง อันอาจเกิดขึ้นได้กับ แพลตฟอร์มกลาง (Central) และ แพลตฟอร์มข้อมูลรายสาขา (Sectorial) แพลตฟอร์มใดแพลตฟอร์มหนึ่ง หรือ ทั้ง 2 แพลตฟอร์ม พร้อมๆ กัน อันอาจะเกิดขึ้นได้ในอนาคต 2.6 เพื่อจัดทำแผนการจัดการ และแนวทางการจัดการความเสี่ยงและช่องโหว่ อันอาจเกิดขึ้นได้กับ แพลตฟอร์มกลาง
(Central) และ แพลตฟอร์มข้อมูลรายสาขา (Sectorial) แพลตฟอร์มใดแพลตฟอร์มหนึ่ง หรือ ทั้ง 2 แพลตฟอร์ม พร้อมๆ กัน อันอาจะเกิดขึ้นได้ในอนาคต
2.7 เพื่อให้มีการประเมินช่องโหว่ (VA) และการทดสอบเจาะระบบเพื่อค้นหาช่องโหว่และจุดอ่อน 2.8 เพื่อจัดทำรายงานสำหรับการรับเข้าการประเมินตามมาตรฐาน ISO 27001 (2022)
1
2.9 เพื่อพัฒนา และจัดการข้อมูลและระบบต่างๆ บนแพลตฟอร์ม ดีทู ทั้ง 2 ส่วน (Central, Sectorial)
คุณสมบัติของผู้เสนอราคา
มีความสามารถตามกฎหมาย
3.1 ไม่เป็นบุคคลล้มละลาย
3.2 ไม่อยู่ระหว่างเลิกกิจการ
3.3 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทำสัญญากับหน่วยงานของรัฐไว้ชั่วคราวเนื่องจากเป็นผู้ที่ไม่ ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการกระทรวงการคลังกำหนด ตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
3.4 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงานของรัฐในระบบ เครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วนผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอำนาจในการดำเนินงานในกิจการของนิติบุคคลนั้นด้วย
3.5 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ กำหนดในราชกิจจานุเบกษา
3.6 เป็นบุคคลธรรมดาหรือนิติบุคคลผู้มีอาชีพตามที่ประกาศ
3.7 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่น หรือกระทำการอันเป็นการขัดขวางการแข่งขันราคาอย่างเป็น ธรรม
3.8 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกันซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้ยื่นข้อเสนอได้มีคำสั่งให้ สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
3.9 ผู้ยื่นข้อเสนอต้องลงทะเบียนที่มีข้อมูลถูกต้องครบถ้วนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (Electronic Government Procurement : e-GP) ของกรมบัญชีกลาง
3.10 ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ ดังนี้
กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยหรือต่างประเทศ ซึ่งได้จดทะเบียนเกินกว่า 1 ปีต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิที่ปรากฏในงบแสดงฐานะการเงิน ที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก 1 ปีสุดท้ายก่อนวันยื่นข้อเสนอ งบแสดงฐานะการเงิน 1 ปี สุดท้ายก่อนวันยื่นข้อเสนอ หมายถึง งบแสดงฐานะการเงินย้อนไปก่อนวันที่หน่วยงานของรัฐกำหนดให้เป็นวันยื่น ข้อเสนอ 1 ปีปฏิทิน เว้นแต่กรณีนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย หากวันยื่นข้อเสนอเป็นช่วงระยะเวลาที่กรม พัฒนาธุรกิจการค้ากำหนดให้นิติบุคคลยื่นงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ซึ่งจะอยูในช่วงเดือน มกราคม - เดือนพฤษภาคม ของทุกปีโดยนิติบุคคลที่เป็นผู้ยื่นข้อเสนอนั้นยังอยู่ในช่วงของการยื่นงบแสดงฐานะ การเงินกับกรมพัฒนาธุรกิจการค้า คือ ช่วงเดือนมกราคม - เดือนพฤษภาคม กรณีนี้ให้สามารถยื่นงบแสดงฐานะ การเงินย้อนไปอีก 1 ปีได้
กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย ซึ่งยังไม่มีการรายงานงบแสดงฐานะการเงิน กับกรมพัฒนาธุรกิจการค้า หรือกรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศซึ่งยังไม่มีการ รายงานงบแสดงฐานะการเงิน ให้พิจารณาการกำหนดมูลค่าของทุนจดทะเบียน โดยผู้ยื่นข้อเสนอจะต้องมีทุนจด ทะเบียนที่เรียกชำระมูลค่าหุ้นแล้ว ณ วันที่ยื่นข้อเสนอ ไม่ต่ำกว่า 8 ล้านบาท
2
สำหรับการจัดซื้อจัดจ้างครั้งหนึ่งที่มีวงเงินเกิน 500,000 บาทขึ้นไป กรณีผู้ยื่นข้อเสนอเป็นบุคคลธรรมดา ให้พิจารณาจากหนังสือรับรองบัญชีเงินฝากไม่เกิน 90 วัน ก่อนวันยื่นข้อเสนอ โดยต้องมีเงินฝากคงเหลือในบัญชี ธนาคารเป็นมูลค่า 1 ใน 4 ของมูลค่างบประมาณของโครงการหรือรายการที่ยื่นข้อเสนอ ในแต่ละครั้ง และหากเป็น ผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ได้รับการคัดเลือกจะต้องแสดงหนังสือรับรองบัญชีเงินฝากที่มีมูลค่าดังกล่าวอีกครั้ง หนึ่งในวันลงนามในสัญญา
กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียน หรือมีแต่ไม่เพียงพอที่จะเข้ายื่น ข้อเสนอ สามารถดำเนินการได้ดังนี้
(1) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย หรือบุคคลธรรมดาที่ถือสัญชาติ ไทย ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ 1 ใน 4 ของมูลค่างบประมาณของโครงการหรือ รายการที่ยื่นข้อเสนอในแต่ละครั้ง จะเป็นสินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุนหรือบริษัทเงินทุน หลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้ำประกันตามประกาศของ ธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทยแจ้งเวียนให้ทราบ โดยพิจารณาจาก ยอดเงินรวมของวงเงินสินเชื่อที่สำนักงานใหญ่รับรอง หรือที่สำนักงานสาขารับรอง
(2) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศ หรือบุคคลธรรมดาที่มิได้ ถือสัญชาติไทย ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ 1 ใน 4 ของมูลค่างบประมาณของโครงการ หรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง จะเป็นสินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุนหรือบริษัทเงินทุน หลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์ และประกอบธุรกิจค้ำประกันตามประกาศของ ธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคาร แห่งประเทศไทยแจ้งเวียนให้ทราบ หรือเป็นสินเชื่อที่ธนาคาร ต่างประเทศหรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้ำ ประกันตามประกาศของธนาคารกลางต่างประเทศนั้น ตามรายชื่อบริษัทที่ธนาคารกลางต่างประเทศนั้นแจ้งเวียนให้ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สำนักงานใหญ่รับรอง หรือที่สำนักงานสาขารับรอง (กรณีได้รับมอบ อำนาจจากสำนักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ
นับถึงวันยื่นข้อเสนอไม่เกิน 90 วัน
กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศ หรือบุคคลธรรมดาที่มิได้ถือสัญชาติไทย ตามข้อ 2 ข้อ 3 และข้อ 4 (2) มูลค่าจะต้องเป็นไปตามอัตราแลกเปลี่ยนเงินตรา
ตามประกาศที่ธนาคารแห่งประเทศไทยกำหนด ในช่วงระหว่างวันที่เผยแพร่ประกาศและเอกสารประกวดราคาในระบบ จัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์(e - GP) จนถึงวันเสนอราคา
ทั้งนี้ผู้ยื่นข้อเสนอจะต้องยื่นเอกสารที่แสดงให้เห็นถึงข้อมูลเกี่ยวกับมูลค่าสุทธิของกิจการแล้วแต่กรณีประกอบ กับเอกสารดังกล่าวจะต้องผ่านการรับรองตามระเบียบกระทรวงการต่างประเทศว่าด้วยการรับรองเอกสาร พ.ศ. 2539 และที่แก้ไขเพิ่มเติมกำหนด โดยจะต้องยื่นเอกสารดังกล่าวในวันยื่นข้อเสนอ หากผู้ยื่นข้อเสนอมิได้มีการยื่นเอกสารดังกล่าว มาพร้อมกับการยื่นข้อเสนอให้ถือว่าผู้ยื่นข้อเสนอรายนั้นยื่นเอกสารไม่ครบถ้วนตามเงื่อนไขที่กำหนดไว้ในเอกสารประกวด ราคา
3
กรณีตาม ข้อ 1 - ข้อ 5 ไม่ใช้บังคับกรณีดังต่อไปนี้
(6.1) กรณีที่ผู้ยื่นข้อเสนอเป็นหน่วยงานของรัฐภายในประเทศ
(6.2) นิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยที่อยู่ระหว่างการฟื้นฟูกิจการตามพระราชบัญญัติล้มละลาย พ.ศ. 2483 และที่แก้ไขเพิ่มเติม
(6.3) งานจ้างก่อสร้างที่กรมบัญชีกลางได้ขึ้นทะเบียนผู้ประกอบการงานก่อสร้างแล้ว และงานจ้างก่อสร้าง ที่หน่วยงานของรัฐที่ได้มีการจัดทำบัญชีผู้ประกอบการงานก่อสร้างที่มีคุณสมบัติเบื้องต้นไว้แล้วก่อนวันที่พระราชบัญญัติ การจัดซื้อจัดจ้างฯ มีผลใช้บังคับ
(6.4) การจัดซื้อจัดจ้างตามมาตรา 56 วรรคหนึ่ง (2) (ข) และ (ค) แห่งพระราชบัญญัติการจัดซื้อจัดจ้างฯ (6.5) การซื้ออสังหาริมทรัพย์และการเช่าอสังหาริมทรัพย์
(6.6) กรณีงานจ้างบริการหรืองานจ้างเหมาบริการกับบุคคลธรรมดา เช่น
จ้างพนักงานขับรถ ครูชาวต่างชาติพนักงานเก็บขยะ พนักงานบันทึกข้อมูล เป็นต้น
3.11 ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติดังนี้
3.11.1 การกำหนดสัดส่วนในการเข้าร่วมค้าของคู่สัญญา
กรณีที่ข้อตกลงฯ กำหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลักข้อตกลงฯ จะต้องมีการกำหนดสัดส่วน หน้าที่และความรับผิดชอบในปริมาณงาน สิ่งของ หรือมูลค่าตามสัญญาของผู้เข้าร่วมค้าหลักมากกว่าผู้เข้าร่วมค้ารายอื่นทุก ราย
3.11.2 งานซื้อหรือจ้าง และงานก่อสร้าง
กรณีที่ข้อตกลงฯ กำหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลักกิจการร่วมค้านั้นต้องใช้ผลงานของ ผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอ
สำหรับข้อตกลงฯ ที่ไม่ได้กำหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก ผู้เข้าร่วมค้าทุกรายจะต้องมีคุณสมบัติ ครบถ้วนตามเงื่อนไขที่กำหนดไว้ในหนังสือเชิญชวน
3.11.3 การยื่นข้อเสนอของกิจการร่วมค้า
(1) กรณีที่ข้อตกลงฯ กำหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอในนามกิจการ ร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอำนาจ
สำหรับข้อตกลงฯ ที่ไม่ได้กำหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอผู้เข้าร่วมค้าทุกรายจะต้องลงลายมือ ชื่อในหนังสือมอบอำนาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอในนามกิจการร่วมค้า
(2) การยื่นข้อเสนอด้วยวิธีคัดเลือก
หากผู้เข้าร่วมค้ารายใดได้รับหนังสือเชิญชวนจากหน่วยงานของรัฐแล้วให้ผู้เข้าร่วมค้าที่ได้รับมอบหมาย หรือมอบอำนาจตามข้อ (1) สามารถดำเนินการยื่นข้อเสนอในนามกิจการร่วมค้า
4
ขอบเขตของงาน
ผู้รับจ้างตรวจประเมินช่องโหว่และทดสอบเจาะระบบ แฟลตฟอร์ม ดีทูครอบคลุม Central/ Sectorial/ Agent nodes โดยต้องดำเนินงานตามรายละเอียดขอบเขตในการดำเนินงาน เนื้อหาอย่างน้อยดังนี้
4.1 ต้องจัดทำแผนการดำเนินงาน โดยต้องเสนอแผนดำเนินงานดังกล่าวให้สขญ. และดำเนินการจัดประชุมเพื่อนำเสนอ แผนการดำเนินงานเมื่อเริ่มต้นโครงการ (Kick off) เพื่อสื่อความกับผู้เกี่ยวข้องก่อนเข้าดำเนินการประเมินช่องโหว่ และทดสอบเจาะระบบ ดังนี้
(1) แผนการดำเนินงาน
(2) ขอบเขตการดำเนินการ
(3) วิธีการทดสอบ
(4) เกณฑ์การประเมินความเสี่ยงของช่องโหว่
(5) ผังโครงสร้างทีมงาน (Project Organization) และกำหนดบทบาทหน้าที่ของบุคลากร ดังนี้ - ผู้จัดการโครงการ (Project Manager)

ผู้ควบคุมคุณภาพโครงการ (Quality Assurance)
ผู้ทดสอบเจาะระบบ (Tester)
4.2 ดำเนินการประเมินช่องโหว่ (Vulnerability Assessment) โดยให้ครอบคลุมเครื่องคอมพิวเตอร์แม่ข่าย (Server) ระบบคลาวด์(Cloud) อุปกรณ์ในระบบเครือข่าย (Network Equipment) และอุปกรณ์ในระบบรักษาความ ปลอดภัยสารสนเทศ (Security Device) ของระบบเครือข่ายภายใน (Internal Network) สขญ. ตามที่สขญ. กำหนด จำนวนไม่น้อยกว่า 22 อุปกรณ์ หรือ 22 IP Addresses โดยการใช้โปรแกรมคอมพิวเตอร์ที่มีลิขสิทธิ์ที่เป็นที่ ยอมรับในระดับสากลในด้านการค้นหาช่องโหว่และประเมินความเสี่ยง ผลประเมินความเสี่ยงของช่องโหว่ต้องอิงตาม มาตรฐาน Common Vulnerability Scoring System (CVSS) version 3 ซึ่งระบุค่า CVSS Base Score สำหรับ แต่ละรายการ พร้อมทั้งจัดลำดับความสำคัญของการแก้ไขโดยพิจารณาระดับการเปิดรับความเสี่ยง (Exposure Level) เช่น การเปิดเผยให้เข้าถึงจากภายนอก, การต้องผ่านการพิสูจน์ตัวตนก่อนเข้าถึง, ความสามารถในการ ยกระดับสิทธิการเข้าถึง, และการเข้าถึงระบบหรือข้อมูลภายใน
4.2.1 จัดทำรายงานการประเมินช่องโหว่และการทดสอบอย่างละเอียด โดยมีเนื้อหาครอบคลุมถึง วิธีการทดสอบ ผลการประเมิน พร้อมผลการวิเคราะห์ผลกระทบจากความเสี่ยง และข้อแนะนำเพื่อใช้ในการแก้ไขปัญหา 4.2.2 ดำเนินการจัดประชุมเพื่อชี้แจงรายละเอียดของช่องโหว่ที่พบ และให้คำปรึกษาในการปิดช่องโหว่แก่ผู้ดูแล ระบบ และผู้พัฒนาระบบงาน เพื่อให้ผู้ดูแลระบบและผู้พัฒนาระบบงานสามารถปิดช่องโหว่ได้อย่างถูกต้อง 4.3 ดำเนินการทดสอบเจาะระบบ แบบ Black Box Penetration Testing โดยต้องดำเนินการตามแนวทาง มาตรฐานสากล Open Source Security Testing Methodology Manual (OSSTMM) หรือ NIST Special Publication 800-115 หรือ มาตรฐานสากลอื่นที่เทียบเท่าในส่วนที่เกี่ยวข้องกับการทดสอบเจาะระบบ ทั้งนี้การ ทดสอบต้องครอบคลุมความเสี่ยงตาม OWASP Top 10 สำหรับ Web Application เวอร์ชันล่าสุด และ OWASP API Security Top 10 เวอร์ชันล่าสุด (ในกรณีที่ระบบมีส่วนติดต่อแบบ API) สำหรับการทดสอบเจาะเว็บแอปพลิเค ชันต้องครอบคลุมอย่างน้อย ดังต่อไปนี้
• เว็บแอปพลิเคชัน data catalog
• เว็บแอปพลิเคชัน data pipeline
• เว็บแอปพลิเคชัน data visualization
5
• เว็บแอปพลิเคชัน jupyter notebook
• เว็บแอปพลิเคชัน object storage
• เว็บแอปพลิเคชัน data gov tools
• เว็บแอปพลิเคชัน data warehouse
4.3.1 จัดทำรายงานการทดสอบเจาะระบบ และการทดสอบอย่างละเอียด โดยมีเนื้อหาครอบคลุมถึง วิธีการ ทดสอบ ผลการประเมิน พร้อมผลการวิเคราะห์ผลกระทบจากความเสี่ยง และข้อแนะนำเพื่อใช้ในการแก้ไข ปัญหา
4.3.2 ดำเนินการจัดประชุมเพื่อชี้แจงรายละเอียดของช่องโหว่ที่พบ และให้คำปรึกษาในการปิดช่องโหว่แก่ผู้ดูแล ระบบ และผู้พัฒนาระบบงาน เพื่อให้ผู้ดูแลระบบและผู้พัฒนาระบบงานสามารถปิดช่องโหว่ได้อย่างถูกต้อง 4.4 ดำเนินการทดสอบจุดเชื่อมต่อและกลไกการสื่อสาร โดยต้องครอบคลุมการสื่อสารข้อมูลระหว่าง Central/ Sectorial/ Agent node ซึ่งอาจสื่อสารในรูปแบบ การเชื่อมต่อผ่าน API (REST / SOAP / GraphQL หรืออื่น ๆ) การแลกเปลี่ยนข้อมูลผ่าน Message Queue / Webhook / File Transfer การสื่อสารผ่าน Network หรือ Internet (TLS/HTTPS/VPN) ทั้งนี้ผู้รับจ้างต้องดำเนินการทดสอบการควบคุมการแบ่งแยกเครือข่าย (Network Segmentation Control) และการเคลื่อนย้ายภายในระบบ (Lateral Movement) โดยจำลองสถานการณ์การถูก บุกรุกจากระบบหนึ่ง และประเมินความสามารถในการเข้าถึงระบบอื่นระหว่าง Central/ Sectorial/ Agent node เพื่อยืนยันว่ากลไกการควบคุมการเข้าถึงเป็นไปตามการออกแบบด้านความมั่นคงปลอดภัย และไม่สามารถข้าม ขอบเขตความเชื่อถือ (Trust Boundary) ได้
4.4.1 จัดทำรายงานการประเมินช่องโหว่และจุดอ่อน และการทดสอบอย่างละเอียด โดยมีเนื้อหาครอบคลุมถึง วิธีการทดสอบ ผลการประเมิน พร้อมผลการวิเคราะห์ผลกระทบจากช่องโหว่และจุดอ่อน และข้อแนะนำ เพื่อใช้ในการแก้ไขปัญหา
4.4.2 ดำเนินการจัดประชุมเพื่อชี้แจงรายละเอียดของช่องโหว่และจุดอ่อนที่พบ และให้คำปรึกษาในการปิดช่อง โหว่แก่ผู้ดูแลระบบ และผู้พัฒนาระบบงาน เพื่อให้ผู้ดูแลระบบและผู้พัฒนาระบบงานสามารถปิดช่องโหว่ได้ อย่างถูกต้อง
4.5 ดำเนินการประเมินช่องโหว่และทดสอบเจาะระบบ ทดสอบเจาะระบบซ้ำ (Revisit) ตามข้อที่4.2-4.4 จำนวน 1 ครั้ง หลังจากที่สขญ. ได้ดำเนินการแก้ไขช่องโหว่แล้ว (รวมขอบเขตในโครงการ เท่ากับ 2 ครั้ง) พร้อมทั้งจัดทำรายงานผล และข้อเสนอแนะการแก้ไข
4.6 ผู้ให้บริการต้องดำเนินการทดสอบเฉพาะขอบเขตที่ได้รับอนุญาตเท่านั้น ได้แก่ IP Address, URL, Domain, ระบบ หรือบัญชีผู้ใช้งานที่องค์กรกำหนดเป็นลายลักษณ์อักษร และต้องไม่ดำเนินการทดสอบที่อาจก่อให้เกิดผลกระทบต่อ ความพร้อมใช้งานของระบบ เช่น การทดสอบแบบ Denial of Service (DoS), การทดสอบแบบ Stress Test หรือ การกระทำใดที่อาจทำให้ระบบหยุดชะงัก เว้นแต่จะได้รับอนุมัติเป็นกรณีเฉพาะ ทั้งนี้การทดสอบต้องดำเนินการ
ภายในช่วงเวลาที่องค์กรกำหนดเท่านั้น
4.7 รายงานผลการประเมินช่องโหว่และการทดสอบเจาะระบบ ต้องมีการเชื่อมโยง (Mapping) ระหว่างช่องโหว่และ ความเสี่ยงที่ตรวจพบกับมาตรฐาน ISO/IEC 27001:2022 ในส่วนของ Annex A Controls ที่เกี่ยวข้อง โดยจัดทำ ตารางสรุปการเชื่อมโยง (Mapping Table) พร้อมข้อเสนอแนะเพื่อใช้ในการทำ Risk treatment plan ต่อไปได้
6

กำหนดระยะเวลาส่งมอบงาน
ผู้รับจ้างจะต้องส่งมอบงานทั้งหมดภายในระยะเวลา 90 วัน นับถัดจากวันลงนามในสัญญา
สถานที่ส่งมอบงาน
ผู้รับจ้างจะต้องส่งมอบงานจัดจ้าง “ทดสอบเจาะระบบแพลตฟอร์มข้อมูล” ณ สถาบันข้อมูลขนาดใหญ่ (องค์การ มหาชน)
ระยะเวลาส่งมอบงานและเงื่อนไขการชำระเงิน
สขญ. จะชำระเงินเต็มจำนวน เมื่อผู้รับจ้างได้ส่งมอบงานทั้งหมด และคณะกรรมการได้ตรวจรับเรียบร้อยแล้ว
หลักเกณฑ์ในการพิจารณาคัดเลือกข้อเสนอ
เกณฑ์ราคา
8.1 หากผู้ยื่นข้อเสนอซึ่งเป็นผู้ประกอบการ SMEs เสนอราคาสูงกว่าราคาต่ำสุดของผู้ยื่นข้อเสนอรายอื่นที่ไม่เกินร้อย ละ 10 ให้หน่วยงานของรัฐจัดซื้อจัดจ้างกับผู้ประกอบการ SMEs ดังกล่าว โดยจัดเรียงลำดับผู้ยื่นข้อเสนอซึ่งเป็น ผู้ประกอบการ SMEs ซึ่งเสนอราคาสูงกว่าราคาต่ำสุดของผู้ยื่นข้อเสนอรายอื่นไม่เกินร้อยละ 10 ที่จะเรียกมาทำสัญญาไม่ เกิน 3 ราย
ผู้ยื่นข้อเสนอที่เป็นกิจการร่วมค้าที่จะได้สิทธิตามวรรคหนึ่ง ผู้เข้าร่วมค้าทุกรายจะต้องเป็นผู้ประกอบการ SMEs ทั้งนี้ผู้ประกอบการ SMEs ที่จะได้แต้มต่อด้านราคาตามวรรคหนึ่ง จะต้องมีวงเงินสัญญาสะสมตามปีปฏิทินรวมกับ ราคาที่เสนอในครั้งนี้แล้ว มีมูลค่ารวมกันไม่เกินมูลค่าของรายได้ตามขนาดที่ขึ้นทะเบียนไว้กับ สสว. 8.2 หากผู้ยื่นข้อเสนอได้เสนอพัสดุที่ได้รับการรับรองและออกเครื่องหมายการค้าที่ผลิตภายในประเทศไทย (Made In Thailand) จากสภาอุตสาหกรรมแห่งประเทศไทย เสนอราคาสูงกว่าราคาต่ำสุด ของผู้เสนอราคารายอื่นไม่เกินร้อยละ 5 ให้ จัดซื้อจัดจ้างจากผู้ยื่นข้อเสนอที่ได้รับการรับรองและออกเครื่องหมายสินค้าที่ผลิตภายในประเทศ (Made In Thailand) จากสภาอุตสาหกรรมแห่งประเทศไทย
อนึ่ง หากในการเสนอราคาครั้งนั้น ผู้ยื่นข้อเสนอรายใดมีคุณสมบัติทั้งข้อ 6.1 และข้อ 6.2 ให้ผู้ยื่นข้อเสนอรายนั้นได้ แต้มต่อในการเสนอราคาสูงกว่าผู้ยื่นข้อเสนอรายอื่นไม่เกินร้อยละ 15
8.3 หากผู้ยื่นข้อเสนอซึ่งมิใช่ผู้ประกอบการ SMEs แต่เป็นบุคคลธรรมดาที่ถือสัญชาติไทยหรือนิติบุคคลที่จัดตั้งขึ้นตาม กฎหมายไทยเสนอราคาสูงกว่าราคาต่ำสุดของผู้ยื่นข้อเสนอซึ่งเป็นบุคคลธรรมดาที่มิได้ถือสัญชาติไทยหรือนิติบุคคลที่จัดตั้ง ขึ้นตามกฎหมายของต่างประเทศไม่เกินร้อยละ 3 ให้จัดซื้อจัดจ้างกับบุคคลธรรมดาที่ถือสัญชาติไทยหรือนิติบุคคลที่จัดตั้ง ขึ้นตามกฎหมายไทยดังกล่าว
ผู้ยื่นข้อเสนอที่เป็นกิจการร่วมค้าที่จะได้สิทธิตามวรรคหนึ่ง ผู้เข้าร่วมค้าทุกรายจะต้องเป็นบุคคลธรรมดาที่ถือสัญชาติ ไทยหรือนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย
วงเงินงบประมาณ
งบประมาณประจำปี 2569 เป็นเงินจำนวน 1,500,000 บาท (หนึ่งล้านห้าแสนบาทถ้วน) ซึ่งได้รวมภาษีมูลค่าเพิ่มไว้ แล้ว
อัตราค่าปรับ
หากผู้รับจ้างไม่สามารถส่งมอบงานได้ตามเวลาที่กำหนดไว้ในสัญญา ผู้รับจ้างจะต้องชำระค่าปรับ ให้แก่ สขญ. เป็น รายวัน ในอัตราร้อยละ 0.10 (ศูนย์จุดหนึ่งศูนย์) ของมูลค่าสัญญาจ้าง แต่จะต้องไม่ต่ำกว่าวันละ 100 บาท
7
สถานที่ติดต่อขอรับทราบข้อมูลเพิ่มเติม
สถาบันข้อมูลขนาดใหญ่ (องค์การมหาชน)
เลขที่ 234/432 ซอยลาดพร้าว 12 ถนนลาดพร้าว
แขวงจอมพล เขตจตุจักร กรุงเทพมหานคร 10900
ไปรษณีย์อิเล็กทรอนิกส์[email protected]
คณะกรรมการจัดทำรายละเอียดขอบเขตของาน
ลงชื่อ…………………………………………. ประธานกรรมการ
(นางสาวฐิติรัตน์ บุญช่วยชู)
ลงชื่อ……………………………….กรรมการ ลงชื่อ……………………………….กรรมการและเลขานุการ (นายรัฐพล ชูเกาะทวด) (นายชยสิน แซ่เตีย)
8