ประกวดราคาซื้อระบบเฝ้าระวังและแจ้งเตือนภัยคุกคามและรักษาความมั่นคงปลอดภัยไซเบอร์ (SOC)
การเคหะแห่งชาติมุ่งเน้นการยกระดับมาตรการด้านความมั่นคงปลอดภัยไซเบอร์เพื่อปกป้องระบบสารสนเทศและข้อมูลสำคัญจากการโจมตีที่มีความซับซ้อนสูง โดยโครงการนี้มีวัตถุประสงค์หลักเพื่อจัดหาเครื่องมือตรวจจับ แจ้งเตือน และตอบสนองต่อภัยคุกคาม (SOC) ผ่านบริการ Managed Detection and Response (MDR) ตลอด 24 ชั่วโมง
ขอบเขตงานประกอบด้วย 4 ส่วนสำคัญ ได้แก่:
- การประเมินความสอดคล้องตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และกรอบมาตรฐานที่เกี่ยวข้อง
- การจัดกิจกรรมฝึกซ้อมสถานการณ์จำลองภัยคุกคาม (Advanced Tabletop Exercise) และการอบรมสร้างความตระหนักรู้ (Cybersecurity Awareness) ให้แก่บุคลากร
- การติดตั้งระบบวิเคราะห์และตอบสนองต่อภัยคุกคาม (XDR) และระบบป้องกันภัยคุกคาม (EDR) จำนวนไม่น้อยกว่า 2,500 ลิขสิทธิ์ พร้อมการตั้งค่า Policy และ Playbook อัตโนมัติ
- การให้บริการเฝ้าระวังและตอบสนองต่อภัยคุกคาม (Managed Detection and Response) ตลอดระยะเวลาการรับประกันอย่างน้อย 1 ปี
โครงการนี้กำหนดระยะเวลาดำเนินงาน 270 วัน โดยใช้เกณฑ์การพิจารณาแบบ Price Performance (ราคา 30% และคุณภาพ 70%) ผู้ยื่นข้อเสนอต้องมีผลงานในสัญญาเดียวไม่น้อยกว่า 14 ล้านบาท และมีทีมบุคลากรเชี่ยวชาญเฉพาะด้านตามที่กำหนด เพื่อให้มั่นใจได้ว่าระบบจะสามารถป้องกันและรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพและยั่งยืน
English summary
The National Housing Authority (NHA) is procuring a Security Operations Center (SOC) system, utilizing Managed Detection and Response (MDR) services to enhance cybersecurity resilience. The project scope includes compliance assessment with the Cybersecurity Act B.E. 2562, advanced tabletop exercises, cybersecurity awareness training, and the implementation of XDR and EDR systems (at least 2,500 licenses). The project requires 24/7 monitoring and response capabilities. The total budget is 35,101,000 THB with a 270-day implementation period. Bidders must demonstrate significant experience in SOC/cybersecurity projects with a minimum single-contract value of 14 million THB.
สำนักงานใหญ่การเคหะแห่งชาติ
ข้อมูลเชิงลึกของโครงการ
AI วิเคราะห์เป้าหมายโครงการ
- ประเมินความสอดคล้องการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
- ยกระดับศักยภาพบุคลากรผ่านการฝึกอบรม Workshop และการฝึกซ้อมสถานการณ์จำลอง (Tabletop Exercise)
- ดำเนินการเฝ้าระวัง ตรวจจับ วิเคราะห์ และตอบสนองต่อภัยคุกคาม (SOC) ตลอด 24 ชั่วโมง โดยใช้บริการ MDR
- เพิ่มประสิทธิภาพการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ขององค์กร
ขอบเขตของงาน
- จัดทำแผนการดำเนินงานภายใน 30 วัน
- สำรวจและประเมินความสอดคล้องตามกฎหมายและมาตรฐานความมั่นคงปลอดภัยไซเบอร์
- ออกแบบและจัดกิจกรรมฝึกซ้อมสถานการณ์ภัยคุกคาม (Scenario Design, IOC, Tabletop Exercise)
- จัดอบรม Cybersecurity Awareness ให้เจ้าหน้าที่ไม่น้อยกว่า 50 คน
- จัดหาและติดตั้งระบบ XDR (1 ระบบ) และ EDR (ไม่น้อยกว่า 2,500 ลิขสิทธิ์)
- ตั้งค่าระบบ (Configuration), นโยบาย (Policy), และ Playbook อัตโนมัติ
- ถ่ายทอดความรู้การใช้งานระบบให้เจ้าหน้าที่
- ให้บริการเฝ้าระวังและตอบสนองต่อภัยคุกคาม (MDR) ตลอด 24x7 ในช่วงรับประกัน
สิ่งที่ต้องส่งมอบ
- แผนการดำเนินงานและแผนผังระบบ (System Diagram)
- รายงานผลการประเมินความสอดคล้องและข้อเสนอแนะ
- รายงานสรุปผลการฝึกซ้อมสถานการณ์ภัยคุกคาม (Tabletop Exercise)
- รายงานการอบรม Cybersecurity Awareness
- ระบบ XDR และ EDR ที่ติดตั้งพร้อมใช้งาน
- รายงานการติดตั้งและทดสอบระบบ
- รายงานการเฝ้าระวังและตอบสนองต่อภัยคุกคาม (รายเดือน)
ระยะเวลาดำเนินการ
270 วัน นับถัดจากวันที่ลงนามในสัญญา
คุณสมบัติผู้เสนอราคา
- Eligibility Requirements: นิติบุคคลจดทะเบียนในไทยที่มีวัตถุประสงค์เกี่ยวข้องกับ IT หรือ Cybersecurity
- Standards Compliance: บุคลากรหลักต้องมีใบรับรอง ISO/IEC 27001:2022 Lead Auditor, ISO/IEC 27701, ISO/IEC 20000-1, CISM, CISSP, CompTIA Security+, CCE
- Experience: มีผลงานการเฝ้าระวัง/SOC/Cybersecurity/Network ให้หน่วยงานรัฐ/รัฐวิสาหกิจ/เอกชนที่เชื่อถือได้
- Previous Project Cost: ผลงานในสัญญาเดียวไม่น้อยกว่า 14,000,000 บาท (ย้อนหลังไม่เกิน 5 ปี)
- Technical Capabilities: ต้องมีหนังสือรับรองจากบริษัทสาขาเจ้าของผลิตภัณฑ์ในไทยโดยตรง
- Personnel: ทีมงาน 8 ตำแหน่ง (ผู้จัดการโครงการ, ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย, ประเมินความปลอดภัย, ฝึกซ้อมภัยคุกคาม, ระบบเครือข่าย, วิศวกรระบบ, นักวิเคราะห์ภัยคุกคาม, เจ้าหน้าที่ประสานงาน) พร้อมคุณสมบัติวุฒิการศึกษาและประสบการณ์ทำงาน 5-15 ปี
เกณฑ์การพิจารณา
- พิจารณาแบบ Price Performance (ราคา 30% / คุณภาพ 70%)
- เกณฑ์คุณภาพประกอบด้วย:
- ผลงานและประสบการณ์ของผู้ยื่นข้อเสนอ (20 คะแนน)
- มูลค่าผลงาน (20 คะแนน)
- คุณสมบัติและประสบการณ์ของบุคลากรหลัก (20 คะแนน)
- ข้อเสนอด้านเทคนิค (40 คะแนน)
ข้อกำหนดทางเทคนิค
- ระบบ XDR: รองรับ 200 ล้าน Log/วัน, รองรับ SaaS/On-premise, เชื่อมต่อ Firewall/EDR ได้, รองรับ MITRE ATT&CK Framework, สเปก Server (16 Core, 256GB RAM, 4TB HDD x 12)
- อุปกรณ์ Sensor: Throughput ไม่น้อยกว่า 3 Gbps, รองรับ SPAN/Mirrored, ตรวจจับ DNS/HTTP/SMB/Email Flow
- ระบบ EDR: รองรับ Windows/Linux/MacOS, จัดการจากส่วนกลาง, ตรวจจับ Ransomware (Honeypot/Snapshot), สแกนช่องโหว่และ Patching
เงื่อนไขสัญญา
- แบ่งจ่าย 4 งวด: งวดที่ 1 (5%), งวดที่ 2 (40%), งวดที่ 3 (25%), งวดที่ 4 (30%)
- ค่าปรับ: 0.20% ต่อวันของราคางานจ้างทั้งหมด
- การรับประกัน: อย่างน้อย 1 ปี หลังจากตรวจรับงานงวดสุดท้าย
- ต้องลงนาม NDA และบันทึกข้อตกลงด้านความมั่นคงปลอดภัยสารสนเทศ
คำถามที่พบบ่อย (FAQ)
- Q: ระบบ XDR ต้องรองรับการนำเข้า Log จากอุปกรณ์ใดบ้าง? A: รองรับจากอุปกรณ์ Network (Security Detection, HTTP, DNS) และเครื่องคอมพิวเตอร์เครือข่าย
- Q: การฝึกซ้อมสถานการณ์ภัยคุกคาม (Tabletop Exercise) ต้องครอบคลุมกี่ประเภท? A: อย่างน้อย 2 ประเภท เช่น Ransomware และ Data Breach
- Q: บริการ MDR ต้องเฝ้าระวังเครื่องคอมพิวเตอร์จำนวนเท่าใด? A: ไม่น้อยกว่า 300 เครื่อง (IP Address)
- Q: ผู้ยื่นข้อเสนอต้องมีหนังสือรับรองจากใคร? A: บริษัทสาขาเจ้าของผลิตภัณฑ์ในประเทศไทยโดยตรง
- Q: การส่งมอบงานต้องส่งในรูปแบบใด? A: เอกสารแบบรูปเล่ม 2 เล่ม และ Digital File (USB Drive) 5 ชุด
- Q: หากพบข้อบกพร่องต้องแก้ไขภายในกี่วัน? A: ภายใน 3 วัน นับจากวันที่ได้รับแจ้ง
- Q: ระบบ EDR ต้องรองรับกี่ลิขสิทธิ์? A: ไม่น้อยกว่า 2,500 ลิขสิทธิ์
- Q: การฝึกอบรม Cybersecurity Awareness จัดที่ไหน? A: สำนักงานใหญ่การเคหะแห่งชาติ
- Q: ระบบ XDR ต้องมี Dashboard อย่างน้อยกี่รูปแบบ? A: ไม่น้อยกว่า 4 Dashboards
- Q: การทำ Playbook อัตโนมัติในระบบ XDR กำหนดไว้อย่างน้อยเท่าใด? A: ไม่น้อยกว่า 4 Playbooks
เอกสารขอบเขตงาน (TOR) ฉบับเต็ม
1
รายละเอียดคุณลักษณะเฉพาะของงาน ซื้อระบบเฝ้าระวังและแจ้งเตือนภัยคุกคามและรักษาความมั่นคงปลอดภัยไซเบอร์ (SOC)
- ความเป็นมา
ในปัจจุบัน การเคหะแห่งชาติ (การเคหะแห่งชาติ) ได้มีการนําระบบเทคโนโลยีสารสนเทศและระบบ เครือข่ายเข้ามาใช้ เพื่อบริหารจัดการงานต่าง ๆ ทั้งด้านการบริหารจัดการภายใน การเคหะแห่งชาติ การให้บริการ ประชาชน การจัดเก็บและบริหารจัดการข้อมูลสารสนเทศที่มีความสําคัญและมีความอ่อนไหวสูง ตลอดจนการ
ให้บริการแบบดิจิทัลผ่านช่องทางออนไลน์อีกจํานวนมาก จึงก่อให้เกิดความเสี่ยงที่จะตกเป็นเป้าหมายของภัย คุกคามทางไซเบอร์ ซึ่ง ณ ปัจจุบันมีแนวโน้มในการโจมตีที่เกิดขึ้นได้ตลอดเวลา อีกทั้ง มีการปรับเปลี่ยนรูปแบบ และความสามารถที่ซับซ้อนมากขึ้น อาจทําให้ระบบเทคโนโลยีสารสนเทศและระบบเครือข่ายหยุดชะงักและไม่ สามารถให้บริการได้อย่างต่อเนื่อง สามารถสร้างผลกระทบต่อทั้งการดําเนินงาน ความเชื่อมั่นของผู้ใช้บริการ และ ภาพลักษณ์ขององค์กรได้
การเคหะแห่งชาติ จึงมีความจําเป็นต้องยกระดับมาตรการด้านความมั่นคงปลอดภัยไซเบอร์ เพื่อลดความ เสี่ยงและโอกาสของการเกิดภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นกับระบบเทคโนโลยีสารสนเทศซึ่งเป็นหัวใจหลัก ของการดําเนินงานในปัจจุบัน โดยการจัดหาเครื่องมือที่สามารถตรวจจับ แจ้งเตือน และตอบสนองต่อภัยคุกคาม พร้อมบริการเฝ้าระวังตลอด 24 ชั่วโมง เพื่อเสริมสร้างความสามารถด้านเทคนิคในการเฝ้าระวังและจัดการ เหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ให้มีความปลอดภัยมากยิ่งขึ้น และเพิ่มความสามารถในการบริหาร จัดการและตอบสนองต่อภัยคุกคามไซเบอร์ที่มีความซับซ้อนสูงให้มีประสิทธิภาพ อีกทั้ง เพื่อสอดคล้องตาม พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ซึ่งช่วยสร้างความเชื่อมั่นให้แก่ผู้ใช้บริการ และ
ภาพลักษณ์ที่ดีให้กับองค์กร - วัตถุประสงค์
2.1 เพื่อประเมินความสอดคล้องการดําเนินงานด้านความมั่นคงปลอดภัยไซเบอร์ของ การเคหะแห่งชาติ ให้
เป็นไปตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
2.2 เพื่อยกระดับศักยภาพของบุคลากรภายใน การเคหะแห่งชาติ ให้มีความรู้ ความเข้าใจ และ ความสามารถ ในการปฏิบัติงานด้านความมั่นคงปลอดภัยไซเบอร์อย่างมีประสิทธิภาพ ผ่านการจัดฝึกอบรมเชิง ปฏิบัติการ (Workshop) และการฝึกซ้อมสถานการณ์จําลองขั้นสูง (Advanced Tabletop Exercise) เพื่อเตรียมความพร้อมรับมือภัยคุกคามในสถานการณ์จริง
2.3 เพื่อดําเนินการเฝ้าระวัง ตรวจจับ วิเคราะห์ ตอบสนอง และแจ้งเตือนเหตุการณ์ด้านความมั่นคงปลอดภัย ไซเบอร์ (SOC) ให้แก่ การเคหะแห่งชาติ ตลอด 24 ชั่วโมง โดยใช้บริการระบบป้องกันและบริหารจัดการ ภัยคุกคามทางไซเบอร์ (Managed Detection and Response: MDR)
2.4 เพื่อให้การดําเนินงานด้านความมั่นคงปลอดภัยไซเบอร์ของการเคหะแห่งชาติเป็นไปอย่างมีประสิทธิภาพ
และสอดคล้องกับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
(นายจีรวุฒิ เสนารัตน์)
ผอก.ปค.ทส.
2
(นายยงยศ พัฒน์ทวี)
พ.ระบบงาน 8 ปค.ทส.
برای
(นายชานุวัฒน์ สมนึก)
พ.ระบบงาน 7 ปค.ทส.
2 - คุณสมบัติของผู้ยื่นข้อเสนอ
3.1 ผู้ยื่นข้อเสนอต้องเป็นนิติบุคคลตามกฎหมายที่จดทะเบียนในประเทศไทย มีวัตถุประสงค์ในการดําเนินธุรกิจ ที่เกี่ยวข้องกับด้านเทคโนโลยีสารสนเทศ หรือปลอดภัยทางไซเบอร์ หรือความปลอดภัยข้อมูลคอมพิวเตอร์ หรือที่เกี่ยวข้องกับงานในครั้งนี้ โดยต้องยื่นหลักฐานสําเนาหนังสือรับรองการจดทะเบียน ณ วันยื่นข้อเสนอ 3.2 ผู้ยื่นข้อเสนอจะต้องไม่เป็นผู้ที่ถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานของทางราชการหรือไม่เป็นหรือ ห้าม
ติดต่อหรือห้ามเข้าเสนองานกับทางราชการและได้แจ้งเวียนชื่อแล้ว หรือไม่เป็นผู้ที่ได้รับผลของการสั่งให้ นิติบุคคลหรือบุคคลอื่นเป็นผู้ทิ้งงานตามระเบียบของทางราชการ
3.3 ผู้ยื่นข้อเสนอต้องมีผลงานหรือประสบการณ์ทํางานที่เกี่ยวกับการเฝ้าระวัง รับมือภัยคุกคาม หรือศูนย์ ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) หรือความมั่นคงปลอดภัยทางไซเบอร์ หรือความปลอดภัย สารสนเทศ หรือระบบเครือข่าย ให้แก่หน่วยงานภาครัฐ รัฐวิสาหกิจ หรือเอกชนที่การเคหะแห่งชาติ เชื่อถือได้ โดยมีวงเงินผลงานในสัญญาเดียวไม่น้อยกว่า 14,000,000.- บาท (สิบสี่ล้านบาทถ้วน) ซึ่งเป็น ผลงานที่แล้วเสร็จย้อนหลังไม่เกิน 5 ปี นับถึงวันยื่นข้อเสนอ ทั้งนี้ ต้องนําเอกสารหลักฐานสําเนาสัญญา หรือสําเนาเอกสารสั่งซื้อสั่งจ้าง และสําเนาหนังสือรับรองผลงานมาแสดง ณ วันที่ยื่นข้อเสนอ
3.4 ผู้ยื่นข้อเสนอต้องมีบุคลากรในโครงการ โดยมีรายละเอียดอย่างน้อย ดังนี้
ประสบการณ์ ทํางานด้าน
จํานวน
ลําาดับ
ตาแหน่ง
เทคโนโลยี
(คน)
วุฒิการศึกษา (ไม่ต่ํากว่า)
คุณสมบัติ
สารสนเทศ
ไม่น้อยกว่า (ปี)
บุคลากรหลัก
1
ผู้จัดการโครงการ
1
10
ปริญญาโท ขึ้นไป
มีประสบการณ์ในการ
2 ผู้เชี่ยวชาญด้านความ
มันคงปลอดภัยไซเบอร์
1
15
ด้านวิศวกรรมศาสตร์ หรือ
วิทยาศาสตร์ สาขาด้าน
คอมพิวเตอร์ หรือสาขาด้าน เทคโนโลยีสารสนเทศ
หรือวิทยาการคอมพิวเตอร์ หรือสาขาอื่นที่เกี่ยวข้อง
ปริญญาโท ขึ้นไป
ด้านวิศวกรรมศาสตร์ หรือ วิทยาศาสตร์ สาขาด้าน คอมพิวเตอร์ หรือสาขาด้าน เทคโนโลยีสารสนเทศ หรือวิทยาการคอมพิวเตอร์ หรือสาขาอื่นที่เกี่ยวข้อง
บริหารงานโครงการที่
เกี่ยวกับอุปกรณ์ คอมพิวเตอร์ หรือระบบ
เครือข่ายคอมพิวเตอร์
อย่างน้อย 2 โครงการ
มีประสบการณ์ทํางาน ด้านความมั่นคงปลอดภัย ทางไซเบอร์ หรือความมั่นคง ปลอดภัยสารสนเทศ อย่าง น้อย 3 โครงการ และมี ประกาศนียบัตร ISO/IEC
27001:2022 Lead
Auditor
(นายจีรวุฒิ เสนารัตน์)
ผอก.ปค.ทส.
B
(นายยงยศ พัฒน์ทวี)
พ.ระบบงาน 8 ปค.ทส.
๒.ม.
(นายชานุวัฒน์ สมนึก)
พ.ระบบงาน 7 ปค.ทส.
3
ประสบการณ์
ทํางานด้าน
จํานวน
ลําาดับ
ตําแหน่ง
เทคโนโลยี
วุฒิการศึกษา
(คน)
(ไม่ต่ํากว่า)
คุณสมบัติ
สารสนเทศ
3
ผู้เชี่ยวชาญด้านการ 1
0
ประเมินด้านความ
มันคงปลอดภัยไซเบอร์
ไม่น้อยกว่า (ปี)
10
ปริญญาโท ขึ้นไป
4 ผู้เชี่ยวชาญด้านการ ฝึกซ้อมสถานการณ์ภัย คุกคามไซเบอร์
1
10
มีประสบการณ์ทํางาน
ด้านวิศวกรรมศาสตร์ หรือ
ด้านการประเมินด้านความ
วิทยาศาสตร์ สาขาด้าน
มั่นคงปลอดภัยไซเบอร์ หรือ
เทคโนโลยีสารสนเทศ
คอมพิวเตอร์ หรือสาขาด้าน ความมั่นคงปลอดภัย
หรือวิทยาการคอมพิวเตอร์
หรือสาขาอื่นที่เกี่ยวข้อง
ปริญญาตรี ขึ้นไป
ด้านวิศวกรรมศาสตร์ หรือ วิทยาศาสตร์ สาขาด้าน
คอมพิวเตอร์ หรือสาขาด้าน เทคโนโลยีสารสนเทศ
หรือวิทยาการคอมพิวเตอร์
สารสนเทศ อย่างน้อย 2
โครงการ และมี
ประกาศนียบัตร ISO/IEC
27001:2022 Lead Auditor
และ ISO/IEC 27701 Lead
Auditor และ ISO/IEC
20000-1:2018 Lead
Auditor และ Data
Protection Foundation
มีประสบการณ์ทํางาน ด้านการฝึกซ้อมสถานการณ์
ภัยคุกคามไซเบอร์อย่างน้อย 1 โครงการ และมี ประกาศนียบัตร Certified
Information Security
หรือสาขาอื่นที่เกี่ยวข้อง
5 ผู้เชี่ยวชาญด้าน
1
10
ปริญญาตรี ขึ้นไป
ระบบเครือข่าย
(นายจีรวุฒิ เสนารัตน์)
ผอก.ปค.ทส.
b
Manager (CISM) และ
ด้านวิศวกรรมศาสตร์ หรือ
วิทยาศาสตร์ สาขาด้าน
คอมพิวเตอร์ หรือสาขาด้าน
เทคโนโลยีสารสนเทศ
หรือวิทยาการคอมพิวเตอร์ หรือสาขาอื่นที่เกี่ยวข้อง
Certified Information
Systems Security
Professional (CISSP)) มีประสบการณ์ด้านการ ติดตั้งระบบเครือข่าย
คอมพิวเตอร์ อย่างน้อย 2
โครงการ
(นายยงยศ พัฒน์ทวี) พ.ระบบงาน 8 ปค.ทส.
(นายชานุวัฒน์ สมนึก)
พ.ระบบงาน 7 ปค.ทส.
4
ประสบการณ์
ทํางานด้าน
จํานวน
วุฒิการศึกษา
ลําาดับ
ตําาแหน่ง
เทคโนโลยี
(คน)
(ไม่ต่ํากว่า)
คุณสมบัติ
สารสนเทศ
ไม่น้อยกว่า (ปี)
บุคลากรผู้ช่วย
6
วิศวกรระบบ
1
10
ปริญญาตรี ขึ้นไป
ด้านวิศวกรรมศาสตร์ หรือ
วิทยาศาสตร์ สาขาด้าน
คอมพิวเตอร์ หรือสาขาด้าน
เทคโนโลยีสารสนเทศ
หรือวิทยาการคอมพิวเตอร์
มีประสบการณ์ทํางาน ด้านการติดตั้งระบบรักษา ความมั่นคงปลอดภัย ทางไซเบอร์ อย่างน้อย 2
โครงการ
หรือสาขาอื่นที่เกี่ยวข้อง
7 นักวิเคราะห์ภัย คุกคามไซเบอร์
1
10
ปริญญาตรี ขึ้นไป
วิทยาศาสตร์ สาขาด้าน
คอมพิวเตอร์ หรือสาขาด้าน
หรือวิทยาการคอมพิวเตอร์
ด้านวิศวกรรมศาสตร์ หรือ
มีประสบการณ์ทํางาน ด้านการรักษาความมั่นคง ปลอดภัยทางไซเบอร์ อย่าง
น้อย 2 โครงการ และมี
เทคโนโลยีสารสนเทศ - ประกาศนียบัตร CompTIA
Security+ และ Certified
หรือสาขาอื่นที่เกี่ยวข้อง
Cybersecurity Expert
(CCE)
บุคลากรสนับสนุน เจ้าหน้าที่ ประสานงานโครงการ
8
1
5
ปริญญาตรี ขึ้นไป
มีประสบการณ์ทํางาน ในด้านการประสานงาน
โครงการ
8
ทั้งนี้ ผู้ยื่นข้อเสนอไม่สามารถเปลี่ยนแปลงบุคลากรในระหว่างดําเนินงานโครงการฯ หากมีความจําเป็น
จะต้องเปลี่ยนแปลงบุคลากรในระหว่างดําเนินโครงการฯ จะต้องได้รับความเห็นชอบจากการเคหะแห่งชาติก่อน - ขอบเขตงาน
4.1 ผู้ขายต้องจัดส่งแผนการดําเนินงานภายใน 30 วัน นับถัดจากวันที่ลงนามในสัญญา
4.2 ดําเนินการประเมินความสอดคล้องการดําเนินงานด้านความมั่นคงปลอดภัยไซเบอร์ โดยมีรายละเอียด
ดังนี้
4.2.1 สํารวจ รวบรวมข้อมูลการดําเนินงานด้านระบบสารสนเทศ โครงสร้างพื้นฐานสําคัญทางสารสนเทศ
ของ การเคหะแห่งชาติ
(นายจีรวุฒิ เสนารัตน์)
ผอก.ปค.ทส.
2
(นายยงยศ พัฒน์ทวี) พ.ระบบงาน 8 ปค.ทส.
ป.ช.
(นายชานุวัฒน์ สมนึก) พ.ระบบงาน 7 ปค.ทส.
5
4.2.2 วิเคราะห์ และประเมินความสอดคล้องการดําเนินงานตามข้อ 4.2.1 กับกฎหมาย กฎระเบียบ
ดังต่อไปนี้
4.2.2.1 พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
4.2.2.2 แนวทางการจัดทําประมวลทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคง
ปลอดภัยไซเบอร์ พ.ศ. 2568 ของสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติ
4.2.3 จัดทํารายงานผลการประเมินความสอดคล้องการดําเนินงานด้านความมั่นคงปลอดภัยไซเบอร์ พร้อมทั้งระบุข้อเสนอแนะ ที่เหมาะสมกับบริบทของ การเคหะแห่งชาติ เพื่อปรับปรุงและ พัฒนาการดําเนินงานด้านความมั่นคงปลอดภัยไซเบอร์ให้สอดคล้องตาม
4.2.3.1 พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
4.2.3.2 แนวทางการจัดทําประมวลทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคง
ปลอดภัยไซเบอร์ พ.ศ. 2568 ของสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติ
4.3 ดําเนินการจัดเตรียมกิจกรรมฝึกซ้อมสถานการณ์ภัยคุกคามไซเบอร์ โดยมีรายละเอียด ดังนี้
4.3.1 จัดทํากรอบแนวคิดและแผนการดําเนินงาน (Conceptual Framework & Methodology) พร้อม
ระบุวันแล้วเสร็จของแต่ละกิจกรรม
4.3.2 ออกแบบสถานการณ์ภัยคุกคาม (Scenario Design) อย่างน้อย 2 ประเภท เช่น Ransomware
และ Data Breach ให้สอดคล้องกับระบบขององค์กร
4.3.3 จัดทําหลักฐานจําลองการโจมตีเชิงเทคนิค (Indicators of Compromise: IOC) เพื่อให้ ผู้เข้าร่วม
ได้ฝึกวิเคราะห์ข้อมูลทางเทคนิคเสมือนจริง
น
4.3.4 กําหนดบทบาทหน้าที่ของผู้เข้าร่วม Tabletop Exercise ให้ครอบคลุมฝ่ายต่าง ๆ ที่เกี่ยวข้อง 4.3.5 จัดเตรียมเอกสาร แบบฟอร์ม เครื่องมือ และ slide briefing สําหรับการฝึกซ้อม เพื่อให้ ผู้เข้าร่วม
เข้าใจก่อนเริ่มกิจกรรม
4.3.6 ดําเนินกิจกรรมฝึกอบรมและฝึกซ้อมภัยคุกคามไซเบอร์ จํานวน 1 รอบ ระยะเวลา 1 วัน โดยใช้ สถานการณ์ตามข้อ 4.3.2 อย่างน้อยหนึ่งเหตุการณ์ และมีการอภิปรายผลร่วมกันหลังเสร็จกิจกรรม 4.3.7 จัดให้มี Drill Master ที่มีประสบการณ์ควบคุมการฝึกซ้อม วิเคราะห์สถานการณ์ และให้
ข้อเสนอแนะอย่างมืออาชีพ
4.3.8 จัดทํารายงานผลการซ้อม พร้อมสรุปข้อเสนอแนะที่ได้จากการดําเนินกิจกรรม และแนวทาง พัฒนา
เพิ่มเติม
4.3.9 ปรับปรุง Incident Response Handbook ให้ทันสมัย และตรงกับบริบทขององค์กร โดยอ้างอิง
จากผลการฝึกซ้อม
4.3.10 นําเสนอผลการดําเนินงานและข้อเสนอแนะต่อผู้บริหารระดับสูง เพื่อใช้ประกอบการพัฒนาระบบ
ในอนาคต
4.3.11 สํารวจความพึงพอใจและบทเรียนจากผู้เข้าร่วม และจัดทํารายงานวิเคราะห์ผลเพื่อใช้ใน การพัฒนา
โครงการฝึกอบรมและฝึกซ้อมในครั้งต่อไป
2
برک کو بھ
(นายจีรวุฒิ เสนารัตน์)
ผอก.ปค.ทส.
(นายยงยศ พัฒน์ทวี)
พ.ระบบงาน 8 ปค.ทส.
(นายชานุวัฒน์ สมนึก) พ.ระบบงาน 7 ปค.ทส.
น
6
4.4 จัดฝึกอบรมหลักสูตร “การสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Awareness)” ให้กับเจ้าหน้าที่ของการเคหะแห่งชาติ จํานวนไม่น้อยกว่า 1 ครั้ง ผู้เข้าร่วมอบรมครั้งละ ไม่น้อยกว่า 50 คน ทั้งนี้ สถานที่จัดฝึกอบรม ณ สํานักงานใหญ่การเคหะแห่งชาติ โดยการเคหะแห่งชาติ จะจัดเตรียมอุปกรณ์และสถานที่ในการฝึกอบรม และผู้ขายเป็นผู้รับผิดชอบค่าวิทยากร ค่าเอกสาร ฝึกอบรม ค่าอาหารกลางวัน 1 มื้อ และค่าอาหารว่างและเครื่องดื่ม 2 มื้อ
4.5 จัดหาและส่งมอบลิขสิทธิ์ระบบวิเคราะห์และตอบสนองต่อภัยคุกคามบนระบบเครือข่ายคอมพิวเตอร์ (Extended Detection and Response (XDR)) จํานวน 1 ระบบ โดยมีสิทธิการใช้งานตั้งแต่วันที่ ส่งมอบลิขสิทธิ์ และสามารถใช้สิทธินี้ต่อเนื่องเป็นระยะเวลาไม่น้อยกว่า 1 ปี นับถัดจากวันที่คณะกรรมการ
ตรวจรับพัสดุได้ตรวจรับงานงวดสุดท้ายเรียบร้อยแล้ว
4.6 จัดหาและส่งมอบลิขสิทธิ์ระบบป้องกันภัยคุกคามทางคอมพิวเตอร์ (Endpoint Detection and Response (EDR)) จํานวน 1 ระบบ ไม่น้อยกว่า 2,500 ลิขสิทธิ์ โดยมีสิทธิการใช้งานตั้งแต่วันที่ ส่งมอบลิขสิทธิ์ และสามารถใช้สิทธินี้ต่อเนื่องเป็นระยะเวลาไม่น้อยกว่า 1 ปี นับถัดจากวันที่คณะกรรมการ
ตรวจรับพัสดุได้ตรวจรับงานงวดสุดท้ายเรียบร้อยแล้ว
4.7 ดําเนินการติดตั้งระบบตามภาคผนวก ก. คุณลักษณะเฉพาะ ข้อ 1.-3. ภายในการเคหะแห่งชาติ โดยมี
รายละเอียด ดังต่อไปนี้
4.7.1 ติดตั้งระบบวิเคราะห์และตอบสนองต่อภัยคุกคามบนระบบเครือข่ายคอมพิวเตอร์ (Extended
Detection and Response (XDR))
4.7.2 ดําเนินการกําหนดค่าเครือข่ายและระบบเบื้องต้น (Initial Network & System Configuration) 4.7.3 กําหนดค่า IP Address สําหรับ Management Plane และ Data Plane
4.7.4 ตั้งค่าการเข้าถึงระบบผ่าน Console และอัปเดต Firmware เบื้องต้น
4.7.5 ติดตั้งระบบคลัสเตอร์แบบ 3 โหนด (3-Node Cluster Formation)
4.7.6 ดําเนินการติดตั้ง License และอัปเดตระบบ
4.7.7 กําหนดค่า Policy และ Rule พื้นฐานของระบบ
4.7.8 สร้างรูปแบบการส่ง Log จากอุปกรณ์ต่าง ๆ ของการเคหะแห่งชาติ เข้ามายังระบบวิเคราะห์และ ตอบสนองต่อภัยคุกคามบนระบบเครือข่ายคอมพิวเตอร์ (Extended Detection and Response
(XDR)) ของโครงการนี้
4.7.9 ตั้งค่านโยบายสําหรับตรวจจับภัยคุกคามตามเงื่อนไข (Rules) ไม่น้อยกว่า 15 Rules 4.7.10 ตั้งค่า Dashboard สําหรับตรวจจับและเฝ้าระวังภัยคุกคาม ไม่น้อยกว่า 4 Dashboards 4.7.11 พัฒนากระบวนการสําหรับตอบสนองภัยคุกคามแบบอัตโนมัติ (Playbook) ผ่านระบบ XDR ของ
โครงการนี้ ไม่น้อยกว่า 4 Playbooks
4.8 ดําเนินการถ่ายทอดให้ความรู้การใช้งานระบบ ตามภาคผนวก ก. คุณลักษณะเฉพาะ ข้อ 1.-3. ให้แก่
ผู้ปฏิบัติงานและเจ้าหน้าที่ของการเคหะแห่งชาติ - ระยะเวลาการดําเนินการ
ระยะเวลาการดําเนินการ 270 วัน นับถัดจากวันที่ลงนามในสัญญา
(นายจีรวุฒิ เสนารัตน์)
ผอก.ปค.ทส.
(นายยงยศ พัฒน์ทวี) พ.ระบบงาน 8 ปค.ทส.
ชม
(นายชานุวัฒน์ สมนึก)
พ.ระบบงาน 7 ปค.ทส.
7 - การพิจารณาข้อเสนอโครงการ
การเคหะแห่งชาติจะพิจารณาข้อเสนอ โดยใช้หลักเกณฑ์ราคาประกอบเกณฑ์คุณภาพ (Price
Performance) พิจารณาการยื่นข้อเสนอจะพิจารณาให้คะแนนและน้ําหนักดังนี้
6.1 เกณฑ์ราคา
กําหนดน้ําหนักร้อยละ 30
6.2 เกณฑ์คุณภาพ กําหนดน้ําหนักร้อยละ 70
โดยกําหนดเกณฑ์การให้คะแนนและวิธีการประเมิน ดังนี้
(1) ผลงานและประสบการณ์ของผู้ยื่นข้อเสนอ (คะแนนเต็ม 20 คะแนน)
วิธีการประเมิน พิจารณาจากจํานวนผลงานและประสบการณ์ของผู้ยื่นข้อเสนอ ที่เกี่ยวกับ การเฝ้าระวัง รับมือภัยคุกคาม หรือศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) หรือความมั่นคง ปลอดภัยทางไซเบอร์ หรือความปลอดภัยสารสนเทศ หรือระบบเครือข่าย ให้แก่หน่วยงานภาครัฐ รัฐวิสาหกิจ หรือเอกชนที่การเคหะแห่งชาติเชื่อถือได้ ซึ่งเป็นผลงานที่แล้วเสร็จย้อนหลังไม่เกิน 5 ปี นับถึง วันยื่นข้อเสนอ ทั้งนี้ ต้องนําเอกสารหลักฐานสําเนาหนังสือรับรองผลงานมาแสดง ณ วันที่ยื่นข้อเสนอถึง วันยื่นข้อเสนอ
(เกณฑ์การพิจารณาให้คะแนน) - จํานวนผลงานมากกว่า 2 โครงการขึ้นไป
- จํานวนผลงาน 2 โครงการ
- จํานวนผลงาน 1 โครงการ
- ไม่มีผลงาน
(2) มูลค่าผลงานของผู้ยื่นข้อเสนอ (คะแนนเต็ม 20 คะแนน)
คะแนน
20
15
10
0
วิธีการประเมิน พิจารณาจากมูลค่าผลงานสูงสุดของผู้ยื่นข้อเสนอ ที่เกี่ยวกับการเฝ้าระวัง รับมือภัยคุกคาม หรือศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) หรือความมั่นคงปลอดภัยทาง ไซเบอร์ หรือความปลอดภัยสารสนเทศ หรือระบบเครือข่าย ให้แก่หน่วยงานภาครัฐ รัฐวิสาหกิจ หรือ เอกชนที่การเคหะแห่งชาติเชื่อถือได้ โดยมีวงเงินผลงานในสัญญาเดียวไม่น้อยกว่า 14,000,000.- บาท (สิบ สี่ล้านบาทถ้วน) ซึ่งเป็นผลงานที่แล้วเสร็จย้อนหลังไม่เกิน 5 ปี นับถึงวันยื่นข้อเสนอ ทั้งนี้ ต้องนําเอกสาร หลักฐานสําเนาหนังสือรับรองผลงานมาแสดง ณ วันที่ยื่นข้อเสนอ
(เกณฑ์การพิจารณาให้คะแนน) - โครงการมีมูลค่าวงเงินมากกว่า 30 ล้านบาทขึ้นไป
- โครงการมีมูลค่าวงเงินมากกว่า 20 ล้านบาท ถึง 30 ล้านบาท 3. โครงการมีมูลค่าวงเงินตั้งแต่ 14 ล้านบาท ถึง 20 ล้านบาท
คะแนน
20
15
10
(นายจีรวุฒิ เสนารัตน์)
ผอก.ปค.ทส.
G
(นายยงยศ พัฒน์ทวี)
พ.ระบบงาน 8 ปค.ทส.
(นายชานุวัฒน์ สมนึก) พ.ระบบงาน 7 ปค.ทส.
8
(3) คุณสมบัติและประสบการณ์ของบุคลากรหลักในโครงการ (คะแนนเต็ม 20 คะแนน)
(3.1) ผู้จัดการโครงการ (คะแนนเต็ม 4 คะแนน)
วิธีการประเมิน พิจารณาจากจํานวนผลงานในการบริหารงานโครงการที่เกี่ยวกับ อุปกรณ์คอมพิวเตอร์ หรือระบบเครือข่ายคอมพิวเตอร์ อย่างน้อย 2 โครงการ
(เกณฑ์การพิจารณาให้คะแนน) - มีผลงาน จํานวน 5 โครงการขึ้นไป
- มีผลงาน จํานวน 3 - 4 โครงการ
- มีผลงาน จํานวน 2 โครงการ
- มีผลงาน จํานวน 1 โครงการ หรือ ไม่มีผลงาน
คะแนน
4
3
2
0
(3.2) ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ (คะแนนเต็ม 4 คะแนน)
วิธีการประเมิน พิจารณาจากจํานวนผลงานโครงการที่เกี่ยวข้องด้านความมั่นคง ปลอดภัยทางไซเบอร์ หรือความมั่นคงปลอดภัยสารสนเทศ อย่างน้อย 3 โครงการ
(เกณฑ์การพิจารณาให้คะแนน) - มีผลงาน จํานวน 5 โครงการขึ้นไป
- มีผลงาน จํานวน 4 โครงการ
- มีผลงาน จํานวน 3 โครงการ
- มีผลงาน จํานวน 1-2 โครงการ หรือ ไม่มีผลงาน
คะแนน
4
3
2
0
(3.3) ผู้เชี่ยวชาญด้านการประเมินด้านความมั่นคงปลอดภัยไซเบอร์ (คะแนนเต็ม 4 คะแนน)
วิธีการประเมิน พิจารณาจากจํานวนผลงานโครงการที่เกี่ยวข้องการประเมินด้าน ความมั่นคงปลอดภัยไซเบอร์ หรือความมั่นคงปลอดภัยสารสนเทศ อย่างน้อย 2 โครงการ
(เกณฑ์การพิจารณาให้คะแนน) - มีผลงาน จํานวน 5 โครงการขึ้นไป
- มีผลงาน จํานวน 3 - 4 โครงการ
- มีผลงาน จํานวน 2 โครงการ
- มีผลงาน จํานวน 1 โครงการ หรือ ไม่มีผลงาน
คะแนน
4
3
2
0
(3.4) ผู้เชี่ยวชาญด้านการฝึกซ้อมสถานการณ์ภัยคุกคามไซเบอร์ (คะแนนเต็ม 4 คะแนน)
วิธีการประเมิน พิจารณาจากจํานวนผลงานโครงการที่เกี่ยวข้องด้านการฝึกซ้อม
สถานการณ์ภัยคุกคามไซเบอร์อย่างน้อย 1 โครงการ
(เกณฑ์การพิจารณาให้คะแนน) - มีผลงาน จํานวน 3 โครงการขึ้นไป
- มีผลงาน จํานวน 2 โครงการ 3. มีผลงาน จํานวน 1 โครงการ
- ไม่มีผลงาน
คะแนน
4
3
2
0
(นายจีรวุฒิ เสนารัตน์)
ผอก.ปค.ทส.
&
(นายยงยศ พัฒน์ทวี)
พ.ระบบงาน 8 ปค.ทส.
ย.ส
(นายชานุวัฒน์ สมนึก)
พ.ระบบงาน 7 ปค.ทส.
9
(3.5) ผู้เชี่ยวชาญด้านระบบเครือข่าย (คะแนนเต็ม 4 คะแนน)
วิธีการประเมิน พิจารณาจากจํานวนผลงานโครงการที่เกี่ยวข้องด้านการติดตั้งระบบ
เครือข่ายคอมพิวเตอร์ อย่างน้อย 2 โครงการ
(เกณฑ์การพิจารณาให้คะแนน) - มีผลงาน จํานวน 5 โครงการขึ้นไป
- มีผลงาน จํานวน 3 - 4 โครงการ
- มีผลงาน จํานวน 2 โครงการ
- มีผลงาน จํานวน 1 โครงการ หรือ ไม่มีผลงาน
(4) ข้อเสนอด้านเทคนิค (คะแนนเต็ม 40 คะแนน)
คะแนน
4
3
2
0
วิธีการประเมิน พิจารณาจากข้อเสนอด้านเทคนิคของผู้ยื่นข้อเสนอโดยต้องแสดงความเข้าใจ
และแนวทางการดําเนินงานให้สอดคล้องกับวัตถุประสงค์และขอบเขตของโครงการ โดยมีเกณฑ์การพิจารณาให้
ดังนี้
คะแนน ดงน
(เกณฑ์การพิจารณาให้คะแนน) - ความเข้าใจโครงการและแนวคิดการดําเนินงาน (10 คะแนน)
มีความเข้าใจการดําเนินโครงการ ครบถ้วนตามขอบเขตงาน และ
สามารถอธิบายแนวคิดการดําเนินงานได้อย่างละเอียด
มีความเข้าใจการดําเนินโครงการ ครบถ้วนตามขอบเขตงาน และ
สามารถอธิบายแนวคิดการดําเนินงานได้ในระดับทั่วไป
มีความเข้าใจการดําเนินโครงการ ไม่ครบถ้วนตามขอบเขตงาน
หรือการอธิบายแนวคิดการดําเนินงานในระดับน้อย - แผนการดําเนินงาน (Timeline) (10 คะแนน)
ะ
มีแผนการดําเนินงาน ครบถ้วนตามขอบเขตงาน พร้อมระบุ ขั้นตอน ระยะเวลา และการส่งมอบงาน ครบทุกหัวข้อ มีแผนการดําเนินงาน ครบถ้วนตามขอบเขตงาน แต่ระบุขั้นตอน ระยะเวลา การส่งมอบงาน ไม่ครบทุกหัวข้อ
มีแผนการดําเนินงาน ไม่ครบถ้วนตามขอบเขตงาน และระบุ ขั้นตอน ระยะเวลา การส่งมอบงาน ไม่ครบทุกหัวข้อ - แนวทางการประเมินความสอดคล้องและพัฒนาด้านความมั่นคง
(นายจีรวุฒิ เสนารัตน์)
ผอก.ปค.ทส.
ปลอดภัยไซเบอร์ ตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซ เบอร์ พ.ศ. 2562 และกรอบมาตรฐานที่เกี่ยวข้อง (10 คะแนน)
เสนอแนวทางการดําเนินงาน ครบถ้วนตามขอบเขตงาน และมี การอธิบายวิธีการดําเนินงานอย่างละเอียด
เสนอแนวทางการดําเนินงาน ครบถ้วนตามขอบเขตงาน และมี การอธิบายวิธีการดําเนินงานในระดับทั่วไป
เสนอแนวทางการดําเนินงาน ไม่ครบถ้วนตามขอบเขตงาน
(นายยงยศ พัฒน์ทวี) พ.ระบบงาน 8 ปค.ทส.
คะแนน
10
5
0
10
5
0
10
5
ชม
(นายชานุวัฒน์ สมนึก) พ.ระบบงาน 7 ปค.ทส.
10 - แนวทางการการออกแบบ ติดตั้ง และให้บริการระบบ XDR และ EDR และ SOC พร้อมการฝึกซ้อมและพัฒนา Incident Response (10 คะแนน) เสนอแนวทางการดําเนินงาน ครบถ้วนตามขอบเขตงาน และมี การอธิบายวิธีการดําเนินงานอย่างละเอียด
เสนอแนวทางการดําเนินงาน ครบถ้วนตามขอบเขตงาน และมี การอธิบายวิธีการดําเนินงานในระดับทั่วไป
เสนอแนวทางการดําเนินงาน ไม่ครบถ้วนตามขอบเขตงาน
10
5
0 - วงเงินงบประมาณที่ได้รับจัดสรร
วงเงินงบประมาณ 35,101,000 บาท (สามสิบห้าล้านหนึ่งแสนหนึ่งพันบาทถ้วน) รวมภาษีมูลค่าเพิ่มและ ค่าใช้จ่ายอื่น ๆ แล้ว - การส่งมอบงานและการเบิกจ่ายเงิน
ผู้ขายจะต้องส่งมอบงานที่แล้วเสร็จ ถูกต้องและครบถ้วนให้กับการเคหะแห่งชาติ โดยให้ส่งมอบงาน แต่ละงวดเป็นเอกสารแบบรูปเล่ม จํานวน 2 เล่ม และ Digital File (USB Drive) จํานวน 5 ชุด โดยแบ่งการ ส่งมอบงานและการเบิกจ่ายเงิน จํานวน 4 งวด ดังนี้
งวดที่ 1 ภายใน 30 วัน นับถัดจากวันที่ลงนามในสัญญา ผู้ขายต้องจัดส่งแผนการดําเนินงานทั้งระบบให้ การเคหะแห่งชาติ โดยมีเอกสารอย่างน้อยดังนี้ - โครงสร้างทีมงานด้านบุคลากร (Project Organization)
- แผนดําเนินงานทั้งโครงการ
- แผนงานการเชื่อมโยง (Integrate) สถาปัตยกรรมและการเชื่อมต่อภาพรวมระบบ เข้ากับ
ระบบเดิมของการเคหะแห่งชาติ ทั้งหมด
ะ - แผนภาพโครงสร้างการเชื่อมต่อของระบบที่เสนอกับระบบเครือข่ายของการเคหะแห่งชาติ
(System Diagram)
และการเคหะแห่งชาติ จะชําระเงินเป็นจํานวนร้อยละ 5 ของวงเงินตามสัญญา เมื่อผู้ขายส่งมอบงานถูกต้อง ครบถ้วนและคณะกรรมการตรวจรับพัสดุได้ตรวจรับงานเรียบร้อยแล้ว
งวดที่ 2 ภายใน 150 วัน นับถัดจากวันที่ลงนามในสัญญา ผู้ขายจะต้องดําเนินการส่งมอบงานพร้อมติดตั้ง ตามหัวข้อขอบเขตงาน ในข้อ 4.5, 4.6 และ 4.7 และการเคหะแห่งชาติ จะชําระเงินเป็นจํานวนร้อยละ 40 ของวงเงินตามสัญญา เมื่อผู้ขายส่งมอบงานถูกต้องครบถ้วนและคณะกรรมการตรวจรับพัสดุได้ตรวจรับงาน
เรียบร้อยแล้ว
(นายจีรวุฒิ เสนารัตน์)
ผอก.ปค.ทส.
e-
(นายยงยศ พัฒน์ทวี)
พ.ระบบงาน 8 ปค.ทส.
ม
(นายชานุวัฒน์ สมนึก) พ.ระบบงาน 7 ปค.ทส.
11
งวดที่ 3 ภายใน 210 วัน นับถัดจากวันที่ลงนามในสัญญา ผู้ขายจะต้องดําเนินการส่งมอบงานดังต่อไปนี้ - รายงานผลการจัดฝึกอบรมหลักสูตร “การสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซ
เบอร์ (Cybersecurity Awareness)” ให้กับเจ้าหน้าที่ของการเคหะแห่งชาติ - รายงานสรุปผลการฝึกซ้อมสถานการณ์ภัยคุกคามไซเบอร์
- รายงานผลการประเมินความสอดคล้องการดําเนินงานด้านความมั่นคงปลอดภัยไซเบอร์
พร้อมข้อเสนอแนะการพัฒนาปรับปรุง สําหรับการเคหะแห่งชาติ
และการเคหะแห่งชาติ จะชําระเงินเป็นจํานวนร้อยละ 25 ของวงเงินตามสัญญา เมื่อผู้ขายส่งมอบงานถูกต้อง ครบถ้วนและคณะกรรมการตรวจรับพัสดุได้ตรวจรับงานเรียบร้อยแล้ว
งวดที่ 4 ภายใน 270 วัน นับถัดจากวันที่ลงนามในสัญญา ผู้ขายจะต้องดําเนินการส่งมอบงานรายงานผล การติดตั้งและทดสอบระบบ โดยมีรายละเอียดดังต่อไปนี้ - ระบบวิเคราะห์และตอบสนองต่อภัยคุกคามบนระบบเครือข่ายคอมพิวเตอร์ (Extended
Detection and Response (XDR)) - อุปกรณ์ตรวจจับข้อมูลจราจรทางเครือข่าย (Sensor หรือ Probe)
- ระบบป้องกันภัยคุกคามทางคอมพิวเตอร์ (Endpoint Detection and Response (EDR)) และการเคหะแห่งชาติ จะชําระเงินเป็นจํานวนร้อยละ 30 ของวงเงินตามสัญญา เมื่อผู้ขายส่งมอบงานถูกต้อง ครบถ้วนและคณะกรรมการตรวจรับพัสดุได้ตรวจรับงานเรียบร้อยแล้ว
- อัตราค่าปรับ
กรณีที่ผู้ขายไม่สามารถดําเนินการแล้วเสร็จตามกําหนดเวลารวมในสัญญา ผู้ขายจะต้องชําระ ค่าปรับ ให้แก่ การเคหะแห่งชาติ เป็นรายวันในอัตราร้อยละ 0.20 (ศูนย์จุดสองศูนย์) ของราคางานจ้างทั้งหมด ตามสัญญา นับถัดจากวันที่ครบกําหนดแล้วเสร็จตามสัญญาจ้าง จนถึงวันที่ทํางานแล้วเสร็จจริง หรือวันที่ การเคหะแห่งชาติ
บอกเลิกสัญญาแล้วแต่กรณี - ข้อตกลงด้านความมั่นคงปลอดภัยสารสนเทศ และข้อตกลงการรักษาความลับข้อมูลหรือเอกสาร
10.1 ผู้ขายที่ได้รับการว่าจ้าง ต้องยินยอมลงนามในบันทึกข้อตกลงการไม่เปิดเผยข้อมูล (Non- Disclosure Agreement-NDA) และบันทึกข้อตกลงด้านความมั่นคงปลอดภัยสารสนเทศกับการเคหะแห่งชาติ
10.2 ซอฟต์แวร์ทุกประเภทที่ผู้ขายนํามาใช้กับงานของการเคหะแห่งชาติต้องไม่มีซอฟต์แวร์แอบแฝง หรือซอฟต์แวร์มุ่งร้าย (Malware) ใด ๆ หากการเคหะแห่งชาติตรวจพบผู้ที่ได้รับการว่าจ้างต้องรับผิดชอบ ในความ เสียหายที่เกิดขึ้นทั้งหมด
ๆ
(นายจีรวุฒิ เสนารัตน์)
ผอก.ปค.ทส.
&
(นายยงยศ พัฒน์ทวี) พ.ระบบงาน 8 ปค.ทส.
tak
(นายชานุวัฒน์ สมนึก)
พ.ระบบงาน 7 ปค.ทส.
12 - ข้อสงวนสิทธิ์
11.1
ผู้ขายต้องทําความเข้าใจในเอกสารทุกฉบับให้เป็นที่เข้าใจโดยชัดแจ้งและไม่ว่ากรณีใดทั้งสิ้น
ผู้ขาย จะยกเป็นข้ออ้าง โดยอาศัยเหตุจากการละเลย ไม่ทําความเข้าใจในข้อความดังกล่าวหรือละเลยไม่ปฏิบัติตาม ข้อความนั้น หรือโดยกล่าวอ้างสําคัญผิดในความหมายของข้อความ หรือปฏิเสธความรับผิดมิได้
11.2 หากการเคหะแห่งชาติพบหรือทราบเมื่อใดก็ตามว่าผู้ขายมีเจตนาที่จะปิดบังบิดเบือนหรือ พยายาม ให้การเคหะแห่งชาติเข้าใจผิดไปจากความเป็นจริงการเคหะแห่งชาติจะพิจารณาตัดสิทธิในการเสนอราคา หรือ ยกเลิกสัญญาที่ได้ทําไว้กับผู้ขายและเรียกค่าเสียหายที่พึงเกิดขึ้นจากการกระทําดังกล่าว
11.3 ข้อเสนอรายละเอียดต่าง ๆ ที่ผู้ขายเสนอมานั้น หากมีปัญหาเกี่ยวกับการตีความของข้อความใด ในระหว่างการพิจารณา และมีความจําเป็นต้องวินิจฉัยตัดสินเพื่อให้การจ้างนี้เป็นไปด้วยความเรียบร้อยการ เคหะแห่งชาติขอสงวนสิทธิการเป็นผู้ตีความและวินิจฉัยข้อขัดแย้ง ให้ถือคําวินิจฉัย
11.4 การเคหะแห่งชาติสงวนสิทธิ์ที่พิจารณาคุณสมบัติความรู้ความสามารถ ประสบการณ์ของ ผู้ปฏิบัติงานก่อนและระหว่างการดําเนินสัญญา และสงวนสิทธิ์ที่จะเปลี่ยนแปลงบุคลากรของผู้ขายโดยผู้ขาย ต้อง
แจ้งการเปลี่ยนแปลงบุคลากรดังกล่าวให้การเคหะแห่งชาติทราบเป็นลายลักษณ์อักษรและผู้ที่จะเข้ามา
แทนต้องมีคุณสมบัติเทียบเท่าหรือดีกว่าคุณสมบัติบุคลากรในเบื้องต้น
11.5
ทํางาน
การเคหะแห่งชาติสงวนสิทธิ์ที่จะยกเลิกการจัดซื้อจัดจ้างครั้งนี้ หากไม่ได้รับอนุมัติเงินงบประมาณ สําหรับการจัดซื้อจัดจ้างในครั้งนี้ หรือได้รับจัดสรรงบประมาณแต่ไม่เพียงพอ และการเคหะแห่งชาติอาจยกเลิกการจัดซื้อ จัดจ้างโดยไม่พิจารณาจัดซื้อจัดจ้างในครั้งนี้ต่อไปก็ได้
ทั้งนี้ ผู้ยื่นข้อเสนอจะเรียกร้องค่าเสียหายใด ๆ จากการเคหะแห่งชาติไม่ได้ และเมื่อการเคหะแห่งชาติได้รับอนุมัติ งบประมาณแล้ว จึงจะลงนามในสัญญาได้ โดยการเคหะแห่งชาติจะถือว่าสัญญามีผลผูกพันเมื่อได้มีการลงนามในสัญญาโดย ผู้มีอํานาจเรียบร้อยแล้วเท่านั้น” - การรับประกันผลงาน
กรณีผู้ขายต้องรับประกันผลงานให้การเคหะแห่งชาติสามารถใช้งานได้เป็นอย่างดี โดยการรับประกัน จะต้องมีระยะเวลาอย่างน้อย 1 ปี นับถัดจากวันที่คณะกรรมการตรวจรับพัสดุ ลงนามตรวจรับในเอกสารรับมอบ งานงวดสุดท้ายเรียบร้อยแล้ว โดยต้องรับประกันความชํารุดบกพร่องหรือ การขัดข้องของงานต่าง ๆ ที่ส่งมอบ ดังนี้ ผู้ขายต้องมีบริการด้านการเฝ้าระวัง ตรวจจับ และตอบสนองต่อภัยคุกคามทางไซเบอร์ (SOC) บนระบบวิเคราะห์และตอบสนองต่อภัยคุกคามบนระบบเครือข่ายคอมพิวเตอร์ (Extended Detection and Response (XDR)) โดยมีรายละเอียด ดังต่อไปนี้
12.1
12.1.1 มีบริการตรวจจับและตอบสนอง (Managed Detection and Response) โดยการเฝ้า ระวังภัยคุกคาม ตรวจจับ วิเคราะห์ และตอบสนอง สําหรับเครื่องคอมพิวเตอร์ จํานวนไม่น้อยกว่า 300 เครื่อง (IP Address) บนระบบวิเคราะห์และตอบสนองต่อภัยคุกคามบนระบบเครือข่ายคอมพิวเตอร์ (Extended Detection and Response (XDR) ตลอด 24x7 (ชั่วโมง/วัน)
12.1.2 มีระบบแจ้งเตือนกรณีพบความเสี่ยงจากภัยคุกคามทางไซเบอร์ผ่านช่องทาง Email หรือ Instant Message เช่น LINE, MS team หรือโทรศัพท์ ได้อย่างใดอย่างนึง
(นายจีรวุฒิ เสนารัตน์)
ผอก.ปค.ทส.
e
(นายยงยศ พัฒน์ทวี)
พ.ระบบงาน 8 ปค.ทส.
(นายชานุวัฒน์ สมนึก)
พ.ระบบงาน 7 ปค.ทส.
13
12.1.3 แนะนําวิธีการแก้ไขหรือวิธีตอบสนองภัยคุกคามทางไซเบอร์ให้กับเจ้าหน้าที่ของการเคหะ แห่งชาติในกรณีเกิดเหตุภัยคุกคาม
12.1.4 ตอบสนองภัยคุกคามทางไซเบอร์ตามสิทธิ์ที่ได้รับมอบหมาย เช่น การ Isolate หรือ Containment เครื่องต้องสงสัยออกจากระบบ Network เป็นต้น
12.2
12.1.5 สํารองข้อมูลค่าการติดตั้ง (Configuration) และอัพเดทระบบให้ทันสมัย (Patch) 12.1.6 รายงานการตอบสนองกับภัยคุกคามทางไซเบอร์
12.1.7 รายงานการตรวจสอบภัยคุกคามทางไซเบอร์ประจําเดือน
จัดเตรียมช่องทางในการแจ้งปัญหาหรือข้อขัดข้อง ผ่านทางโทรศัพท์ และจดหมาย อิเล็กทรอนิกส์
(E-Mail) หรือช่องทางอื่นตามที่ได้ตกลงกัน ให้แก่ การเคหะแห่งชาติ
12.3
ต้องรับผิดชอบการทํางาน คุณภาพ และประสิทธิภาพของงาน เพื่อให้เป็นไปตามข้อกําหนดของ การเคหะแห่งชาติถ้าหากพบว่ามีข้อบกพร่องเกิดขึ้น ผู้ขายจะต้องรับผิดชอบค่าใช้จ่ายทั้งหมด ในการแก้ไข หรือ
ปรับปรุงข้อบกพร่อง โดยไม่คิดค่าใช้จ่ายตลอดระยะเวลาการรับประกัน
12.4
กรณีที่มีปัญหาหรือข้อบกพร่องจากงานที่ส่งมอบ ต้องดําเนินการแก้ไขให้แล้วเสร็จภายใน 3 วัน นับจากวันที่การเคหะแห่งชาติได้แจ้งให้ผู้ขายทราบเป็นลายลักษณ์อักษรหรือทางจดหมายอิเล็กทรอนิกส์ (E-mail)
หรือช่องทางอื่นตามที่ได้ตกลงกัน
12.5
กรณีที่ไม่สามารถให้คําปรึกษา คําแนะนําเพื่อแก้ไขปัญหาที่เกิดขึ้นได้ ผู้ขายจะต้องยินยอมให้ การเคหะแห่งชาติจ้างบุคคลภายนอกในการให้บริการให้คําแนะนํา และคําปรึกษาแก้ไขปัญหาแทนโดยผู้ขาย
จะต้องรับผิดชอบค่าใช้จ่ายในส่วนนี้ โดยการเคหะแห่งชาติจะแจ้งให้ผู้ขายทราบ
(นายจีรวุฒิ เสนารัตน์)
ผอก.ปค.ทส.
8
(นายยงยศ พัฒน์ทวี) พ.ระบบงาน 8 ปค.ทส.
ปร
(นายชานุวัฒน์ สมนึก) พ.ระบบงาน 7 ปค.ทส.
14
ภาคผนวก ก.
คุณลักษณะเฉพาะ - ระบบวิเคราะห์และตอบสนองต่อภัยคุกคามบนระบบเครือข่ายคอมพิวเตอร์ (Extended Detection and
Response (XDR)) จํานวน 1 ระบบ มีคุณลักษณะเฉพาะอย่างน้อยดังนี้
1.1
1.2
1.3
1.4
เป็นชุดโปรแกรมระบบวิเคราะห์และตอบสนองต่อภัยคุกคามบนระบบเครือข่ายคอมพิวเตอร์ที่มีลิขสิทธิ
รองรับการใช้งานในการวิเคราะห์ภัยคุกคามทางได้ไซเบอร์ที่เกิดขึ้น จํานวนไม่น้อยกว่า 200,000,000
Log per day
รองรับการติดตั้งได้ทั้งในรูปแบบ Software-as-a-Service (SaaS) และรูปแบบ On-premises Virtualize deployment (Local Install) ได้
รองรับการนําเข้าข้อมูล (Log) จาก อุปกรณ์ Network เพื่อตรวจสอบภัยคุกคาม เช่น Security Detection, HTTP และ DNS ได้เป็นอย่างน้อย
รองรับการนําเข้าข้อมูล (Log) จากเครื่องคอมพิวเตอร์เครือข่ายได้
1.5 รองรับการนําเข้าข้อมูล (Log) จากการระบบเครือข่ายคอมพิวเตอร์ เพื่อตรวจสอบภัยคุกคาม โดยต้อง
สามารถรวบรวมข้อมูลจากอุปกรณ์ Sensor หรือ Probe ที่เสนอในโครงการได้
1.6
1.7
1.8
1.9
มีระบบ Threat intelligence เพื่อช่วยในการวิเคราะห์ และตรวจจับภัยคุกคามได้
มีระบบตรวจสอบ สําหรับวิเคราะห์การโจมตี ดังนี้ Al engine, Baseline Anomalies และ Gene
engine, Ransomware, Fileless attacks, Endpoint IOA, Cloud Identification, a Fuzzy Graph Matching ได้เป็นอย่างน้อย
รองรับการรับข้อมูล (Datasource) ผ่าน Protocol มาตรฐาน เช่น Syslog, SNMP, FTP เพื่อรับข้อมูล จากอุปกรณ์ภายนอก เช่น IPS หรือ Firewall เป็นต้น
สามารถทํา Incident Response เพื่อตอบสนองต่อภัยคุกคามทั้งแบบ Manual หรือ Automation ผ่านระบบ SOAR โดยมีชุดข้อมูลแบบ Pre-defined มาให้ในระบบ และสามารถแก้ไขเพิ่มเติมได้ (Modify)
1.10 สามารถแจ้งเหตุการณ์การโจมตี โดยบอกรายละเอียดของ Incident ที่เกิดขึ้น รวมไปถึงสามารถบอก
1.11
รายละเอียดของ Process บนหน้าจอ Dashboard ได้
หน้าจอของระบบ สามารถสรุปรายละเอียดของภัยคุกคามโดยเปรียบเทียบกับเทคนิคการโจมตีใน มาตรฐานของ MITRE ATT&CK Framework ได้
1.12 รองรับเชื่อมต่อไปยังอุปกรณ์ Firewall เพื่อแก้ไข หรือสร้าง Policy เมื่อมีเหตุการณ์ผิดปกติเกิดขึ้น โดย รองรับทั้งอุปกรณ์ภายใต้เครื่องหมายการค้าเดียวกันและอุปกรณ์เครื่องหมายการค้าอื่น เช่น Fortinet
1.13
1.14
หรือ Palo alto เป็นต้น
สามารถเชื่อมต่อไปยังซอฟต์แวร์ระบบป้องกันภัยคุกคามทางคอมพิวเตอร์ (EDR) ที่เสนอในโครงการได้ เพื่อสั่ง Scan หรือนําเครื่องออกจากระบบ (Isolate/Quarantine) เมื่อมีเหตุการณ์ผิดปกติเกิดขึ้น โดย รองรับทั้งซอฟต์แวร์ EDR
มีความสามารถในการเก็บข้อมูล Asset เพื่อช่วยตรวจสอบข้อมูลที่เกิดขึ้น เช่น Open ports, Web Apps, Accounts, processes เป็นต้น
(นายจีรวุฒิ เสนารัตน์)
ผอก.ปค.ทส.
2
(นายยงยศ พัฒน์ทวี)
พ.ระบบงาน 8 ปค.ทส.
کھ کی
(นายชานุวัฒน์ สมนึก)
พ.ระบบงาน 7 ปค.ทส.
1.15
1.16
1.17
1.18
1.19
1.20
1.21
15
สามารถตรวจสอบความเสี่ยง หรือช่องโหว่ในระบบได้ (Vulnerabilities) โดยมีข้อมูลประกอบ เช่น Vulnerability name, Vulnerability type, CVE-ID เป็นต้น
รองรับการสร้างรายงาน (Report) สําหรับสรุปภาพรวม Security ได้ หรือสามารถ Export Security Incident ออกจากระบบได้
หน้าจอของระบบ (Dashboard) สามารถแสดงผล โดยมีรายละเอียดอย่างน้อยต่อไปนี้
1.17.1 Security Alerts
1.17.2 Security Incidents
1.17.3 Security Logs
1.17.4 Risky Assets
1.17.5 Asset Check
1.17.6 Weakness
สามารถประเมิน Incident และจัดประเภทเหตุการณ์ด้านความมั่นคงปลอดภัยออกเป็นประเภทต่าง ๆ เช่น Unknown Threats, APT Attacks, Viruses เป็นต้น
หน้าแสดงรายละเอียดเหตุการณ์ (Incident Details) สามารถแสดงข้อมูลประวัติการถูกโจมตีย้อนหลัง ของสินทรัพย์ (Attack History of Affected Asset) เช่น Timeline, Attack Step เพื่อใช้เป็นข้อมูล ประกอบการกําหนดมาตรการเสริมสร้างความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน ระบบจะต้องมีการติดตั้งบนอุปกรณ์ ที่มีคุณสมบัติไม่น้อยกว่า ดังนี้
1.20.1 มีหน่วยประมวลผลกลาง (CPU) ขนาดไม่น้อยกว่า 16 Core หรือดีกว่า จํานวนไม่น้อยกว่า 1
หน่วย
1.20.2 มีหน่วยความจําหลัก (RAM) ความจุรวมไม่น้อยกว่า 256 GB หรือดีกว่า
1.20.3 มี Storage แบบ SATA HDD ที่มีขนาดความจุก่อนฟอร์แมตต่อหน่วยไม่น้อยกว่า 4TB จํานวน
12 หน่วย
1.20.4 มีช่องเชื่อมต่อเครือข่าย 10 Gigabit Ethernet แบบ SFP+ ไม่น้อยกว่า 2 ช่อง 1.20.5 มีช่องเชื่อมต่อเครือข่าย 1 Gigabit Ethernet ไม่น้อยกว่า 4 ช่อง
1.20.6 เครื่องแม่ข่ายมีความสูงไม่น้อยกว่า 2 U แบบ Rack Mount โดยสามารถติดตั้งเข้ากับตู้ Rack
มาตรฐานขนาด 19 นิ้วได้
เพื่อรับรองว่า
ผู้ยื่นข้อเสนอต้องมีหนังสือรับรองจากบริษัทสาขาเจ้าของผลิตภัณฑ์ในประเทศไทยโดยตรง ผู้ยื่นข้อเสนอสามารถให้คําปรึกษาทางด้านเทคนิครวมถึงการติดตั้งให้เป็นไปตามวัตถุประสงค์ของ
โครงการและการให้บริการอย่างมีประสิทธิภาพตลอดระยะเวลารับประกัน และเป็นของใหม่ ไม่เคย
ผ่านการใช้งานที่ใดมาก่อน รวมทั้งบริษัทสาขาเจ้าของผลิตภัณฑ์ยินดีจะสนับสนุนทางด้านเทคนิคและ การให้บริการดังกล่าว มาพร้อมกันในวันที่ยื่นเสนอราคา
(นายจีรวุฒิ เสนารัตน์)
ผอก.ปค.ทส.
(นายยงยศ พัฒน์ทวี) พ.ระบบงาน 8 ปค.ทส.
ม
(นายชานุวัฒน์ สมนึก) พ.ระบบงาน 7 ปค.ทส.
16 - อุปกรณ์ตรวจจับข้อมูลจราจรทางเครือข่าย (Sensor หรือ Probe) จํานวน 2 ชุด มีคุณลักษณะเฉพาะ
อย่างน้อยดังนี้
2.1 สามารถรวบรวมข้อมูลภายในระบบเครือข่ายด้วยวิธีการ SPAN หรือ Mirrored ได้
2.2 มี Throughput ไม่น้อยกว่า 3 Gbps
2.3 มี Interface แบบ 10/100/1000 BASE-T ไม่น้อยกว่า 2 ช่อง
2.4 เป็นอุปกรณ์ที่ถูกออกแบบมาเพื่อเป็น Network sensor โดยเฉพาะ
2.5 สามารถตรวจจับข้อมูลจราจรทางเครือข่าย Sensor หรือ Network Traffic Analysis หรือ Event Receiver หรือ Event/Flow Collector หรือเทียบเท่า สําหรับวิเคราะห์ Logs หรือ Network Traffic จากตัวอุปกรณ์ต้นทาง
2.6 รองรับการตรวจจับประเภทข้อมูลจราจรทางคอมพิวเตอร์ได้อย่างน้อยดังนี้ DNS Flow, HTTP Flow,
SMB Flow และ E-Mail Flow
2.7 สามารถส่งข้อมูลจากอุปกรณ์ ไปยังระบบวิเคราะห์และตอบสนองต่อภัยคุกคามบนระบบเครือข่าย
คอมพิวเตอร์ในโครงการนี้ได้
2.8 ผู้ยื่นข้อเสนอต้องมีหนังสือรับรองจากบริษัทสาขาเจ้าของผลิตภัณฑ์ในประเทศไทยโดยตรง เพื่อรับรองว่าผู้ ยื่นข้อเสนอสามารถให้คําปรึกษาทางด้านเทคนิครวมถึงการติดตั้งให้เป็นไปตามวัตถุประสงค์ของโครงการ
และการให้บริการอย่างมีประสิทธิภาพตลอดระยะเวลารับประกัน และเป็นของใหม่ ไม่เคยผ่านการใช้
งานที่ใดมาก่อน รวมทั้งบริษัทสาขาเจ้าของผลิตภัณฑ์ยินดีจะสนับสนุนทางด้านเทคนิคและการให้บริการ ดังกล่าว มาพร้อมกันในวันที่ยื่นเสนอราคา - ระบบป้องกันภัยคุกคามทางคอมพิวเตอร์ (Endpoint Detection and Response (EDR)) จํานวน 1
ระบบ ไม่น้อยกว่า 2,500 ลิขสิทธิ์ มีคุณลักษณะเฉพาะอย่างน้อยดังนี้
3.1 ซอฟต์แวร์ประเภท Endpoint Management สามารถบริหารจัดการจากส่วนกลาง และซอฟต์แวร์
ประเภท Endpoint Detection and Response ได้โดยใช้เพียง Agent เดียว
3.2 สามารถติดตั้งได้บนระบบปฏิบัติการ ได้แก่ Window, Linux, MacOS
3.3 สามารถบริหารจัดการ Endpoint ได้ดังนี้
3.3.1 บริหารจัดการแบ่งกลุ่มโดยจําแนกตาม IP Address
3.3.2 สามารถแสดงสถานะการใช้งาน CPU และ Memory ของเครื่อง Endpoint
3.3.3 สามารถ Enable, Disable, Uninstall, Restart endpoint agent จากส่วนกลางได้
3.4 สามารถกําหนด Password ในการป้องกันการตั้งค่าตัวโปรแกรมเพื่อไม่ให้ผู้ใช้งานสามารถ Exit และ
Uninstall โปรแกรมได้
3.5 สามารถตรวจสอบไวรัสคอมพิวเตอร์ รูปแบบอย่างน้อยดังนี้
3.5.1 ตั้งเวลาในการตรวจสอบ (Scheduled Scan)
3.5.2 การตรวจสอบทันที (Realtime Protection)
3.5.3 สามารถตรวจสอบไฟล์ประเภท Document, Script และ Compressed ได้
(นายจีรวุฒิ เสนารัตน์)
ผอก.ปค.ทส.
G
(นายยงยศ พัฒน์ทวี)
พ.ระบบงาน 8 ปค.ทส.
(นายชานุวัฒน์ สมนึก) พ.ระบบงาน 7 ปค.ทส.
17
3.6 สามารถรวมศูนย์จัดการภัยคุกคามทั้งหมดตาม Endpoint และ Event ได้เป็นอย่างน้อย
3.7 สามารถรวมศูนย์จัดการภัยคุกคามต่อ Endpoint โดยสามารถ Fix และ Isolate ได้เป็นอย่างน้อย 3.8 แสดงข้อมูล Hostname, IP Address, OS และสถานะ Online/Offline เครื่อง Endpoint ได้ 3.9 สามารถค้นหาไฟล์ต้องสงสัยที่อาจจะมีอยู่ในเครื่องคอมพิวเตอร์ (Infected File Tracking หรือ Threat Hunting) 3.10 สามารถทํา Remote support ไปยังเครื่อง Endpoint ได้
3.11 มีความสามารถในการตรวจจับ Web shell และ fileless attack ได้
3.12 สามารถป้องกันภัยคุกคามจาก Ransomware โดยทํางานในลักษณะ Honeypot ด้วยการสร้างไฟล์หลอก (Decoy Files) เพื่อช่วยตรวจจับพฤติกรรมของ Ransomware และ สามารถกู้คืนไฟล์ที่ถูกเข้ารหัสจาก Ransomware ได้ด้วยความสามารถด้าน Snapshot- Based Ransomware Recovery
3.13 สามารถสแกนช่องโหว่ (Vulnerability Scanning) บน Windows OS หรือ Linux OS ตามที่มีประกาศออกมา
จากเจ้าของผลิตภัณฑ์
3.14 สามารถตรวจสอบ windows security patch (Patching) ได้
3.15 สามารถออกรายงานภัยคุกคามทางไซเบอร์ (Security Report หรือ Event Report) ในรูปแบบของ PDF ได้เป็น
อย่างน้อย
3.16 รองรับการทํา RDP Secondary Authentication สําหรับ Remote Desktop Protocol (RDP) เพื่อป้องกัน
ความเสี่ยงจากการโจมตีแบบ Brute Force
3.17 ผู้ยื่นข้อเสนอต้องมีหนังสือรับรองจากบริษัทสาขาเจ้าของผลิตภัณฑ์ในประเทศไทยโดยตรง เพื่อรับรองว่าผู้ ยื่นข้อเสนอสามารถให้คําปรึกษาทางด้านเทคนิครวมถึงการติดตั้งให้เป็นไปตามวัตถุประสงค์ของโครงการ
และการให้บริการอย่างมีประสิทธิภาพตลอดระยะเวลารับประกัน และเป็นของใหม่ ไม่เคยผ่านการใช้
งานที่ใดมาก่อน รวมทั้งบริษัทสาขาเจ้าของผลิตภัณฑ์ยินดีจะสนับสนุนทางด้านเทคนิคและการให้บริการ ดังกล่าว มาพร้อมกันในวันที่ยื่นเสนอราคา
(นายจีรวุฒิ เสนารัตน์)
ผอก.ปค.ทส.
(นายยงยศ พัฒน์ทวี)
พ.ระบบงาน 8 ปค.ทส.
ปร
(นายชานุวัฒน์ สมนึก) พ.ระบบงาน 7 ปค.ทส.
ตําแหน่ง
ชื่อเอกสาร
ระดับชั้นความลับ
แบบฟอร์มบันทึกข้อตกลงการไม่เปิดเผยข้อมูลสําหรับผู้ให้บริการ ภายนอก (Non-Disclosure Agreement Form for Supplier) ใช้ภายในการเคหะแห่งชาติเท่านั้น (Internal Use Only)
รหัสเอกสาร
เวอร์ชัน
หมายเลขหน้า
บันทึกข้อตกลงการไม่เปิดเผยข้อมูล (Non-Disclosure Agreement)
ข้าพเจ้า บริษัท
โดย
ผู้รับมอบอํานาจตามหนังสือมอบอํานาจฉบับลงวันที่
ISMS-FRM-ITD-024
1
1/2
สํานักงานเลขที่………………..
ตําาบล/แขวง
ซอย
อําาเภอ/เขต
ซึ่งเป็นผู้รับจ้างภายใต้สัญญาในโครงการ ………….
สัญญาเลขที่
ถนน
จังหวัด
ฉบับลงวันที่
โดยบริษัทตกลงและยินยอมทําบันทึกฉบับนี้ โดยมีรายละเอียดและเงื่อนไข ดังนี้
“ข้อมูล” หมายถึง ข้อมูลที่ไม่เป็นที่เปิดเผยแก่บุคคลทั่วไป และข้อมูลดังต่อไปนี้
(1) ข้อมูลของระบบ ข้อมูลลูกค้า ตลอดจนข้อมูลอื่นใดที่อาจก่อให้เกิดความเสียหายกับองค์กร ระบบ ชื่อเสียง เป็นต้น (2) ข้อมูลเกี่ยวกับระบบทั้งหมดที่การเคหะแห่งชาติพัฒนาขึ้นไม่ว่าจะพัฒนาขึ้นเอง หรือจ้างบุคคลภายนอกพัฒนาขึ้น เช่น รูปแบบการนําส่งข้อมูล ข้อกําหนดของระบบ คุณสมบัติของระบบ ซึ่งรวมถึงความรู้ทางด้านเทคนิค ความชํานาญ วิธีการจัดการ ชื่อบัญชีผู้ใช้งาน (User Name/User ID) รหัสผ่าน (Password)
(3) ข้อมูลไม่ว่าจะปรากฏในรูปของเอกสาร ข้อมูลอิเล็กทรอนิกส์ หรือรูปแบบอื่นใด โดยมีเนื้อหาที่ไม่พึงเปิดเผยแก่บุคคล ทั่วไป หรือเป็นความลับทางการค้า หรือผลการวิจัย การวิเคราะห์ ศึกษา รายงาน บันทึก หรือข้อมูลความลับอื่นใดของการเคหะแห่งชาติ
(4) ภาพถ่ายหรือสําเนาสิ่งที่เป็นข้อมูลความลับ ดังกล่าวข้างต้น - การห้ามเปิดเผยข้อมูล
บริษัทจะไม่เปิดเผยข้อมูล ตลอดจนข้อมูลอื่นใดของการเคหะแห่งชาติ และหรือข้อมูลที่บริษัทได้รับทราบ จากการปฏิบัติหน้าที่ให้แก่บุคคลอื่น รวมทั้งพนักงานของการเคหะแห่งชาติที่ไม่มีส่วนเกี่ยวข้อง หรือองค์กรใด ๆ โดยปราศจาก ความยินยอมล่วงหน้าเป็นลายลักษณ์อักษรจากการเคหะแห่งชาติ และบริษัทจะใช้ความพยายาม ในการขัดขวางการกระทําใด ๆ ที่เป็นการเปิดเผยข้อมูล เช่นว่านั้น
บริษัทจะเก็บรักษาข้อมูล ตลอดจนข้อมูลอื่นใดของการเคหะแห่งชาติ ที่ตนได้ล่วงรู้มา โดยถือเป็นความลับ อย่างเคร่งครัด และตกลงยินยอมว่าจะเก็บรักษาข้อมูลดังกล่าวนั้นไว้เป็นความลับระหว่างพนักงานหรือบุคคลที่ได้รับอนุญาต
จากการเคหะแห่งชาติให้ทราบข้อมูลเหล่านั้น - การใช้ข้อมูล
บริษัทตกลงที่จะใช้ข้อมูล ตลอดจนข้อมูลอื่นใดของการเคหะแห่งชาติ เพียงเพื่อวัตถุประสงค์ในการทํางาน ให้แก่ หรือเพื่อประโยชน์ในการดําเนินงานของการเคหะแห่งชาติเท่านั้น และจะรักษาไว้ซึ่งความลับของข้อมูล ตลอดจนข้อมูลอื่นใด ของการเคหะแห่งชาติ โดยจะไม่นําไปใช้เพื่อประโยชน์อย่างอื่นนอกเหนือไปจากเพื่อประโยชน์ในการดําเนินงานของการเคหะแห่งชาติ - การรับรองให้เป็นทรัพย์สินของการเคหะแห่งชาติ
ข้อมูลใด ๆ ที่บริษัทได้ทําขึ้น เพื่อการพัฒนาการดําเนินงานของการเคหะแห่งชาติ และเอกสารอื่น ๆ บันทึกข้อมูล รวมทั้งที่บันทึกอยู่ในแผ่นดิสก์ คอมพิวเตอร์ หรือสื่อบันทึกข้อมูลอื่น ๆ หรือข้อมูลที่ได้มาจากการปฏิบัติ
เอกสารฉบับนี้เป็นเอกสารที่ใช้ภายในการเคหะแห่งชาติเท่านั้น ห้ามทําการเผยแพร่ส่วนหนึ่งส่วนใด โดยไม่ได้รับการอนุญาตเป็นลายลักษณ์อักษร จากคณะทํางานความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและเครือข่ายสื่อสารของการเคหะแห่งชาติ ผู้ฝ่าฝืนจะถูกดําเนินการตามระเบียบข้อบังคับของการเคหะแห่งชาติ
ชื่อเอกสาร
แบบฟอร์มบันทึกข้อตกลงการไม่เปิดเผยข้อมูลสําหรับผู้ให้บริการ
ภายนอก (Non-Disclosure Agreement Form for Supplier) ระดับชันความลับ ใช้ภายในการเคหะแห่งชาติเท่านั้น (Internal Use Only)
รหัสเอกสาร
ISMS-FRM-ITD-024
เวอร์ชัน
1
หมายเลขหน้า 2/2
ตามสัญญา ของบริษัทในระยะเวลาระหว่างการจ้างงาน ให้ถือเป็นทรัพย์สินของการเคหะแห่งชาติ และบริษัท จะคืนและ/หรือ ส่งมอบทรัพย์สินเช่นว่านั้น ให้การเคหะแห่งชาติในวันสิ้นสุดระยะเวลาการจ้างงานตามสัญญา หรือเมื่อสัญญาสิ้นสุดก่อนครบกําหนดเวลาตามสัญญาจ้าง หรือเมื่อการเคหะแห่งชาติร้องขอ - การให้บุคคลภายนอกรักษาไว้ซึ่งข้อมูลและดําเนินภายใต้กฎระเบียบและข้อตกลง
ในกรณีที่การปฏิบัติงานให้แก่การเคหะแห่งชาติ จะต้องมีการติดต่อกับบุคคลภายนอก บริษัทจะดําเนินการ ให้บุคคลภายนอกลงนามในข้อตกลงการไม่เปิดเผยข้อมูล (Non-Disclosure Agreement) ตามที่การเคหะแห่งชาติกําหนด และจะต้องจัดให้บุคคลภายนอกหรือบุคคลอื่นใดที่เกี่ยวข้อง หรือติดต่อกับการเคหะแห่งชาติ ได้ใช้ความระมัดระวังในการรักษา
ความลับในการรักษาความลับ ไม่เปิดเผยข้อมูล และจะต้องดําเนินการภายใต้กฎระเบียบและข้อตกลงของการเคหะแห่งชาติ ในเรื่อง การรักษาความลับด้วย
บริษัทตกลงที่จะปฏิบัติหน้าที่ให้ถูกต้องตรงตามกฎข้อบังคับ และข้อตกลงต่าง ๆ ของการเคหะแห่งชาติ
และกฎหมายที่เกี่ยวข้องกับการดําเนินงานของการเคหะแห่งชาติ - ทรัพย์สินทางปัญญา
บริษัทตกลงให้สิทธิในทรัพย์สินทางปัญญา ซึ่งรวมถึงลิขสิทธิ์ สิทธิบัตร เครื่องหมายการค้า และสิทธิอื่น ๆ ในงานที่เกี่ยวข้องกับงานที่บริษัทได้สร้างสรรค์ หรือประดิษฐ์ขึ้นในระหว่างสัญญาจ้างที่ทําไว้กับการเคหะแห่งชาติ และหรือ ผลงานใด ๆ ที่บริษัทได้จัดทําขึ้นโดยใช้วัสดุ หรือข้อมูลของการเคหะแห่งชาติ ไม่ว่าจะทําโดยคําสั่งหรือคําแนะนํา
ของการเคหะแห่งชาติ หรือไม่ก็ตาม และไม่ว่าได้ทําภายในระยะเวลาการทํางาน หรือหลังจากเวลางาน ให้ถือเป็นสิทธิ
ของการเคหะแห่งชาติแต่เพียงผู้เดียว - การไม่ประกอบธุรกิจแข่งขันกับการดําเนินงานของการเคหะแห่งชาติ
ๆ
บริษัทจะไม่ประกอบกิจการใด ๆ หรือกระทําการอย่างใดอย่างหนึ่งอันเป็นการแข่งขันหรืออาจเป็นการแข่งขัน กับการดําเนินงานของการเคหะแห่งชาติ และจะไม่ให้ความช่วยเหลือ หรือให้คําปรึกษา แก่บุคคลภายนอกหรือบุคคลอื่น อันอาจเป็นทางเสียหาย หรือเป็นการแข่งขันกับการดําเนินงานของการเคหะแห่งชาติ ไม่ว่าจะโดยทางตรงหรือทางอ้อม
ไม่ว่าข้อมูลหรือคําปรึกษานั้นจะถูกนําไปใช้ประโยชน์ในด้านใดก็ตาม
บริษัทได้อ่านข้อตกลงการไม่เปิดเผยข้อมูลฉบับนี้แล้ว และเข้าใจในหน้าที่และความรับผิดชอบ
ในหลักการข้างต้น บริษัทจะปฏิบัติตามข้อตกลงนี้โดยเคร่งครัด
ลงชื่อ
(
)
ตําแหน่ง/บริษัท
วันที่
เอกสารฉบับนี้เป็นเอกสารที่ใช้ภายในการเคหะแห่งชาติเท่านั้น ห้ามทําการเผยแพร่ส่วนหนึ่งส่วนใด โดยไม่ได้รับการอนุญาตเป็นลายลักษณ์อักษร จากคณะทํางานความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและเครือข่ายสื่อสารของการเคหะแห่งชาติ ผู้ฝ่าฝืนจะถูกดําเนินการตามระเบียบข้อบังคับของการเคหะแห่งชาติ
E
รือเอกสาร
ระดับชั้นความลับ
แบบฟอร์มบันทึกข้อตกลงด้านความมั่นคงปลอดภัยสารสนเทศสําหรับผู้ให้บริการ
ภายนอก (Information Security Agreement Form for Supplier) ใช้ภายในการเคหะแห่งชาติเท่านั้น (Internal Use Only)
บันทึกข้อตกลงด้านความมั่นคงปลอดภัยสารสนเทศ
รหัสเอกสาร
เวอร์ชัน
หมายเลขหน้า
ISMS-FRM-ITD-026
1
1/2
ข้าพเจ้า (บริษัท/ห้างหุ้นส่วนจํากัด/ที่ปรึกษา……
ตําาแหน่ง
โดย
ผู้รับมอบอํานาจตามหนังสือมอบอํานาจฉบับลงวันที่
สํานักงานเลขที่
…. อาคาร
ซอย
ตําาบล/แขวง
…………………ภอ/เขต
ซึ่งเป็นผู้รับจ้างภายใต้สัญญาในโครงการ
สัญญาเลขที่
ถนน
จังหวัด
ฉบับลงวันที่
โดยข้าพเจ้าตกลงและยินยอมทําบันทึกฉบับนี้ โดยมีรายละเอียดและเงื่อนไข ดังนี้
“ผู้ให้บริการภายนอก” หมายถึง บริษัท/ห้างหุ้นส่วนจํากัด/ที่ปรึกษา ที่ได้รับการว่าจ้างจากการเคหะแห่งชาติ - ผู้ให้บริการภายนอกจะต้องตระหนักด้านความมั่นคงปลอดภัยในข้อมูลและทรัพย์สิน รวมทั้งความปลอดภัย ของการเคหะแห่งชาติ ในช่วงเวลาที่ผู้ให้บริการภายนอกทํางานให้การเคหะแห่งชาติอย่างเคร่งครัด
- ในกรณีที่พบเหตุการณ์ที่ส่งผลกระทบด้านความมั่นคงปลอดภัยสารสนเทศ จะต้องแจ้งให้ผู้ดูแลโครงการ
หรือเจ้าหน้าที่ฝ่ายเทคโนโลยีสารสนเทศรับทราบทันที - ในช่วงเวลาที่ผู้ให้บริการภายนอกให้บริการกับการเคหะแห่งชาติ ผู้ให้บริการภายนอกต้องยินยอม
ให้การเคหะแห่งชาติตรวจสอบการทํางานได้โดยไม่มีเงื่อนไข - ห้ามนําบุคคลภายนอกที่ไม่มีรายชื่อ นอกเหนือจากที่ได้แจ้งไว้ต่อการเคหะแห่งชาติ เข้าพื้นที่ควบคุมความปลอดภัย
โดยเด็ดขาดเว้นแต่ได้รับอนุญาตจากการเคหะแห่งชาติ - ผู้ให้บริการภายนอกต้องปฏิบัติงานในพื้นที่ที่การเคหะแห่งชาติกําหนดเท่านั้น หากต้องปฏิบัติงานในพื้นที่อื่น ที่นอกเหนือจากที่กําหนดไว้ ต้องได้รับอนุญาตจากการเคหะแห่งชาติก่อนทุกครั้ง
- ไม่อนุญาตให้นําทรัพย์สินของการเคหะแห่งชาติออกนอกการเคหะแห่งชาติ เว้นแต่ได้รับอนุญาตแล้วเท่านั้น 7. ภายหลังการส่งมอบงาน ห้ามไม่ให้เคลื่อนย้ายอุปกรณ์ของการเคหะแห่งชาติโดยเด็ดขาด เว้นแต่ได้รับอนุญาต
หากมีการเคลื่อนย้ายจะต้องอยู่ภายใต้การควบคุมของเจ้าหน้าที่การเคหะแห่งชาติทุกครั้ง - การพัฒนาระบบสารสนเทศ การติดตั้ง และการทดสอบระบบ ผ่านระบบเครือข่ายสื่อสารของการเคหะแห่งชาติ ต้องได้รับอนุญาตจากการเคหะแห่งชาติ และต้องใช้งานพอร์ตสื่อสาร (Service Port) ที่กําหนดให้เท่านั้น
- ไม่อนุญาตให้ผู้ให้บริการภายนอกติดตั้ง และเช่าบริการระบบอินเทอร์เน็ตหรือต่อเชื่อมอุปกรณ์ ICT นอกเหนือจาก ที่กําหนดในสัญญาจ้าง เพื่อเชื่อมต่อเครือข่ายสื่อสารภายนอกโดยเด็ดขาด เว้นแต่ได้รับอนุญาตหรือร้องขอ จากการเคหะแห่งชาติ
- ห้ามไม่ให้นําอุปกรณ์ประมวลผลและสื่อบันทึกข้อมูลที่ไม่ใช่ของการเคหะแห่งชาติ มาต่อเชื่อมเข้ากับระบบเครือข่าย สื่อสารของการเคหะแห่งชาติโดยเด็ดขาด เว้นแต่ได้รับอนุญาตเป็นลายลักษณ์อักษรจากการเคหะแห่งชาติ
- ผู้ให้บริการภายนอกจะต้องใช้ซอฟต์แวร์ที่มีลิขสิทธิ์ถูกต้องตามกฎหมาย ในการพัฒนาระบบสารสนเทศ ให้การเคหะแห่งชาติ เพื่อป้องกันไม่ให้เกิดความเสียหายต่อระบบสารสนเทศ ระบบคอมพิวเตอร์ และระบบเครือข่ายสื่อสาร ของการเคหะแห่งชาติ ผู้ให้บริการภายนอกต้องรับผิดชอบต่อความเสียหายที่เกิดขึ้นทั้งหมด
เอกสารฉบับนี้เป็นเอกสารที่ใช้ภายในการเคหะแห่งชาติเท่านั้น ห้ามทําการเผยแพร่ส่วนหนึ่งส่วนใด โดยไม่ได้รับการอนุญาตเป็นลายลักษณ์อักษร จากคณะทํางานความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและเครือข่ายสื่อสารของการเคหะแห่งชาติ ผู้ฝ่าฝืนจะถูกดําเนินการตามระเบียบข้อบังคับของการเคหะแห่งชาติ
H
อเอกสาร
ระดับขั้นความลับ
แบบฟอร์มบันทึกข้อตกลงด้านความมั่นคงปลอดภัยสารสนเทศสําหรับผู้ให้บริการ
ภายนอก (Information Security Agreement Form for Supplier) ใช้ภายในการเคหะแห่งชาติเท่านั้น (Internal Use Only)
รหัสเอกสาร
เวอรชน
หมายเลขหน้า
1
ISMS-FRM-ITD-026
2/2 - ผู้ให้บริการภายนอกจะต้องส่งมอบซอฟต์แวร์ที่มีลิขสิทธิ์ถูกต้องตามกฎหมายให้การเคหะแห่งชาติ และต้องไม่มี โปรแกรมแอบแฝงหรือโปรแกรมมุ่งร้ายใด ๆ ฝังตัวอยู่
- ในกรณีที่ได้รับสิทธิเข้าใช้ระบบสารสนเทศของการเคหะแห่งชาติ ห้ามเปิดเผยชื่อผู้ใช้งานหรือรหัสผ่านให้กับผู้อื่น 14. ในกรณีที่จําเป็นต้องใช้ระบบเครือข่ายคอมพิวเตอร์ของการเคหะแห่งชาติ ผู้ให้บริการภายนอกจะต้องแจ้งผู้ดูแลโครงการ 15. ห้ามใช้ระบบเครือข่ายคอมพิวเตอร์ เพื่อประกอบธุรกิจหรือหาประโยชน์ทางธุรกิจ ซึ่งมิใช่ธุรกิจหรือกิจการ
ของการเคหะแห่งชาติ - ห้ามใช้ระบบเครือข่ายคอมพิวเตอร์ เพื่อการกระทําอันมีลักษณะเป็นการละเมิดทรัพย์สินทางปัญญาของการเคหะแห่งชาติ หรือบุคคลอื่น
- ห้ามใช้ระบบเครือข่ายคอมพิวเตอร์ เพื่อขัดขวางการใช้งานระบบเครือข่ายคอมพิวเตอร์ของการเคหะแห่งชาติ
เพื่อไม่ให้ใช้งานได้ตามปกติ
لے - ห้ามใช้ระบบเครือข่ายคอมพิวเตอร์ เพื่อการอื่นใดที่อาจขัดต่อผลประโยชน์ของการเคหะแห่งชาติหรืออาจก่อให้เกิด
ความขัดแย้ง หรือความเสียหายแก่การเคหะแห่งชาติ - ห้ามใช้ระบบเครือข่ายคอมพิวเตอร์ของการเคหะแห่งชาติ เพื่อให้ทราบข้อมูลข่าวสารของบุคคลอื่น โดยไม่ได้รับอนุญาต
จากผู้เป็นเจ้าของหรือผู้มีสิทธิในข้อมูลดังกล่าว - ห้ามใช้ระบบเครือข่ายของการเคหะแห่งชาติ เพื่อเผยแพร่ หาประโยชน์ในเชิงธุรกิจส่วนตัวและทําการเข้าสู่เว็บไซต์ ที่ไม่เหมาะสม เช่น เว็บไซต์ที่ขัดต่อศีลธรรม เว็บไซต์ที่มีเนื้อหาที่ขัดต่อชาติ ศาสนา พระมหากษัตริย์ เว็บไซต์ที่เป็นภัยต่อสังคม และห้ามนําเข้าข้อมูลคอมพิวเตอร์ใด ๆ ที่มีลักษณะอันเป็นเท็จ เป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักร เป็นความผิด เกี่ยวกับการก่อการร้าย หรือภาพที่มีลักษณะอันลามก และไม่ทําการเผยแพร่หรือส่งต่อข้อมูลคอมพิวเตอร์ดังกล่าวผ่านระบบ
เครือข่ายของการเคหะแห่งชาติ - ห้ามคัดลอกชุดคําสั่งหรือจัดทําขึ้นเอง เพื่อนําไปใช้เป็นเครื่องมือที่ทําให้ระบบเครือข่ายคอมพิวเตอร์ไม่สามารถ
ทํางานได้ตามปกติ
ข้าพเจ้าได้อ่านบันทึกข้อตกลงด้านความมั่นคงปลอดภัยสารสนเทศฉบับนี้แล้ว และเข้าใจในหน้าที่และความรับผิดชอบ ในหลักการข้างต้น บริษัทจะปฏิบัติตามข้อตกลงนี้โดยเคร่งครัด
ลงชื่อ
ตําาแหน่ง
วันที่
………….
)
เอกสารฉบับนี้เป็นเอกสารที่ใช้ภายในการเคหะแห่งชาติเท่านั้น ห้ามทําการเผยแพร่ส่วนหนึ่งส่วนใด โดยไม่ได้รับการอนุญาตเป็นลายลักษณ์อักษร จากคณะทํางานความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและเครือข่ายสื่อสารของการเคหะแห่งชาติ ผู้ฝ่าฝืนจะถูกดําเนินการตามระเบียบข้อบังคับของการเคหะแห่งชาติ