จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างเหมาบริการโครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัย ตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำนักงานกิจการยุติธรรม

สำนักงานกิจการยุติธรรม 69039570219

฿2,500,000 ปีงบ 2569 ประกาศ 30 เม.ย. 2569 กรุงเทพมหานคร

รายละเอียดการจ้าง

โครงการนี้มีวัตถุประสงค์เพื่อปฏิบัติตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 โดยมีเป้าหมายให้ระบบเทคโนโลยีสารสนเทศของสำนักงานกิจการยุติธรรมมีความมั่นคงปลอดภัยและเป็นไปตามนโยบายระดับประเทศ ขอบเขตงานหลักประกอบด้วยการทดสอบเจาะระบบและการสแกนหาช่องโหว่เป็นประจำอย่างน้อยปีละ 2 ครั้ง สำหรับระบบทั้งหมด 3 ศูนย์ ได้แก่ ศูนย์ OJA, ศูนย์ DXC และศูนย์ NJADC ซึ่งครอบคลุมพื้นที่เครือข่ายไม่น้อยกว่า 170 IP Address งานทดสอบเจาะระบบจะครอบคลุมทั้งเว็บแอปพลิเคชัน (3 เว็บไซต์) การทดสอบเครือข่ายจากภายนอกและภายใน โดยอ้างอิงมาตรฐานสากล เช่น OWASP Top 10 และ CWE Top 25 นอกจากนี้ยังรวมถึงการตรวจสอบการตั้งค่า Security Hardening ของเครื่องแม่ข่ายไม่น้อยกว่า 10 เครื่อง โดยเปรียบเทียบกับ CIS Benchmark ผลลัพธ์ที่ต้องส่งมอบคือรายงานผลการทดสอบทั้งเชิงเทคนิคและบทสรุปสำหรับผู้บริหาร พร้อมคำแนะนำในการแก้ไขช่องโหว่และลดความเสี่ยง รวมถึงการให้คำปรึกษาและการจัดทำรายงานเปรียบเทียบผลการแก้ไขระหว่างการทดสอบครั้งที่ 1 และครั้งที่ 2

English summary

This project aims to comply with the Cybersecurity Act B.E. 2562 (2019), with the goal of ensuring the information technology systems of the Office of Justice Affairs are secure and align with national-level cybersecurity policies. The primary scope of work involves conducting regular Penetration Testing and Vulnerability Assessment at least twice a year for all three centers: OJA Center, DXC Center, and NJADC Center, covering a network scope of no less than 170 IP addresses. The penetration testing will cover web applications (3 websites), external and internal network penetration tests, following international standards such as OWASP Top 10 and CWE Top 25. The work also includes checking the Security Hardening configurations of no less than 10 servers against the CIS Benchmark. Deliverables include detailed technical reports and executive summaries of all test results, along with remediation and risk mitigation recommendations. The contractor is also required to provide consultation and produce a comparative report analyzing the fixes between the first and second rounds of testing.

สถานที่ดำเนินการ

สำนักงานกิจการยุติธรรม อาคารรัฐประศาสนภักดี ชั้น 4 ศูนย์ราชการเฉลิมพระเกียรติฯ 80 พรรษา ถนนแจ้งวัฒนะ หลักสี่ กรุงเทพมหานคร

คำสำคัญ

ทดสอบเจาะระบบ Penetration Testing Vulnerability Assessment ตรวจสอบช่องโหว่ความปลอดภัย Security Hardening ISO 27001 CIS Benchmark OWASP Top 10 บริการความมั่นคงปลอดภัยไซเบอร์จ้างเหมาบริการไอที

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

เพื่อดำเนินการทดสอบเจาะระบบและสแกนหาช่องโหว่ในระบบของสำนักงานกิจการยุติธรรมเป็นประจำอย่างน้อย 2 ครั้งต่อปี ให้กับศูนย์ OJA, ศูนย์ DXC และศูนย์ NJADC
เพื่อให้ระบบมีความมั่นคงปลอดภัยและเป็นไปตามนโยบายรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน ระดับกระทรวง และระดับประเทศ

ขอบเขตของงาน

ดำเนินการทดสอบเจาะระบบ (Annual Penetration Test) และสแกนหาช่องโหว่ (Annual Vulnerability Assessment) สำหรับระบบสารสนเทศของศูนย์ OJA, ศูนย์ DXC และศูนย์ NJADC จำนวนอย่างน้อย 2 ครั้ง
ทดสอบเจาะระบบเว็บแอปพลิเคชันจำนวน 3 เว็บไซต์ โดยอ้างอิงแนวทางตามมาตรฐานสากล OWASP Top 10 และ CWE TOP 25 เวอร์ชันล่าสุด
ทดสอบเจาะระบบเครือข่ายจากภายนอก (External Network Penetration Test) และเครือข่ายภายใน (Internal Network Penetration Test) จำนวนไม่น้อยกว่า 170 IP Address
ดำเนินการสแกนหาช่องโหว่โดยใช้เครื่องมืออัตโนมัติ (Vulnerability Assessment) จำนวนไม่น้อยกว่า 170 IP Address
ตรวจสอบการตั้งค่า Security Hardening ให้กับเครื่องแม่ข่ายไม่น้อยกว่า 10 เครื่อง โดยเปรียบเทียบการตั้งค่าด้วย Template ที่อ้างอิงกับ CIS Benchmark และใช้เครื่องมือเฉพาะทางที่เป็น Commercial
วิเคราะห์ จัดทำเอกสารรายงานผลการทดสอบทั้งในรูปแบบ Hard Copy และ Soft Copy (Word, PDF)
ร่วมประชุมเพื่อหารือและให้คำปรึกษาเพื่อจัดทำแนวทางและวิธีการดำเนินการปิดช่องโหว่ อย่างน้อย 2 ครั้ง
สำหรับการทดสอบครั้งที่ 2 จะต้องนำผลการแก้ไขช่องโหว่ครั้งที่ 1 มาเปรียบเทียบและจัดทำรายงานผล

สิ่งที่ต้องส่งมอบ

งวดที่ 1 (ภายใน 30 วันนับจากวันลงนามสัญญา):

แผนการดำเนินงานโครงการ
สัญญาการรักษาข้อมูลที่เป็นความลับ (Non-Disclosure Agreement)

งวดที่ 2 (ภายใน 60 วันนับจากวันลงนามสัญญา):

รายงานการทดสอบเจาะระบบเพื่อสำรวจหาช่องโหว่ Web Application จำนวน 3 เว็บไซต์ (ครั้งที่ 1)
รายงานผลการทดสอบเจาะระบบ (Penetration Testing Report) ครั้งที่ 1 สำหรับไม่น้อยกว่า 170 IP Address
รายงานผลการทดสอบสแกนหาช่องโหว่โดยใช้เครื่องมืออัตโนมัติ (Vulnerability Assessment Report) ครั้งที่ 1 สำหรับไม่น้อยกว่า 170 IP Address

งวดที่ 3 (ภายใน 180 วันนับจากวันลงนามสัญญา):

รายงานการทดสอบเจาะระบบเพื่อสำรวจหาช่องโหว่ Web Application จำนวน 3 เว็บไซต์ (ครั้งที่ 2)
รายงานผลการทดสอบเจาะระบบ (Penetration Testing Report) ครั้งที่ 2 สำหรับไม่น้อยกว่า 170 IP Address
รายงานผลการทดสอบสแกนหาช่องโหว่โดยใช้เครื่องมืออัตโนมัติ (Vulnerability Assessment Report) ครั้งที่ 2 สำหรับไม่น้อยกว่า 170 IP Address
รายงานผลการตรวจสอบการตั้งค่า Security Hardening (ในรูปแบบ PDF และไฟล์ Excel/CSV)

ระยะเวลาดำเนินการ

ระยะเวลาดำเนินโครงการทั้งหมด: 180 วัน นับถัดจากวันลงนามในสัญญา
กำหนดส่งมอบงานงวดที่ 1: ภายใน 30 วัน
กำหนดส่งมอบงานงวดที่ 2: ภายใน 60 วัน
กำหนดส่งมอบงานงวดที่ 3: ภายใน 180 วัน

คุณสมบัติผู้เสนอราคา

ประสบการณ์: ต้องเคยมีผลงานในการทำ Security Hardening หรือผลงานในการวิเคราะห์ช่องโหว่และทดสอบเจาะระบบ กับหน่วยงานภาครัฐหรือเอกชนที่น่าเชื่อถือ อย่างน้อย 2 ผลงาน โดยแต่ละผลงานต้องมีมูลค่าไม่น้อยกว่า 1,000,000 บาท ย้อนหลังไม่เกิน 5 ปี นับจากวันที่ยื่นข้อเสนอ
มาตรฐาน: ต้องได้รับมาตรฐานระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001 (ISMS) โดยมีใบรับรองที่ยังไม่หมดอายุ ณ วันยื่นข้อเสนอ
ทีมงาน: ต้องจัดทีมงานไม่น้อยกว่า 4 คน ประกอบด้วย:
- ผู้จัดการโครงการ (Project Manager) 1 คน: มีวุฒิปริญญาตรีสาขาที่เกี่ยวข้องด้านคอมพิวเตอร์ มีประสบการณ์ด้านคอมพิวเตอร์ไม่น้อยกว่า 5 ปี และมีประสบการณ์เป็นผู้จัดการโครงการด้านความมั่นคงปลอดภัยสารสนเทศไม่น้อยกว่า 1 ปี ในโครงการที่มีมูลค่าไม่ต่ำกว่า 1 ล้านบาท
- ผู้เชี่ยวชาญด้านทดสอบเจาะระบบ อย่างน้อย 1 คน: มีวุฒิปริญญาตรีสาขาที่เกี่ยวข้อง มีประสบการณ์ทดสอบเจาะระบบไม่น้อยกว่า 5 ปี ในโครงการมูลค่าไม่ต่ำกว่า 1 ล้านบาท และต้องมีใบรับรองความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ระดับสากลอย่างน้อย 2 รายการจากรายการที่กำหนด (เช่น GPEN, GXPN, OSCP, PNPT, CPTS)
- นักตรวจสอบช่องโหว่และนักทดสอบเจาะระบบ อย่างน้อย 2 คน: มีวุฒิปริญญาตรีสาขาที่เกี่ยวข้อง มีประสบการณ์ที่เกี่ยวข้องไม่น้อยกว่า 3 ปี ในโครงการมูลค่าไม่ต่ำกว่า 1 ล้านบาท และต้องมีใบรับรองความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ระดับสากลอย่างน้อย 2 รายการจากรายการที่กำหนด (เช่น GPEN, OSCP, CRT, GWAPT, eCPPT, PNPT ฯลฯ)
ข้อเสนอทางเทคนิค: ต้องจัดทำตารางเปรียบเทียบรายละเอียดและเงื่อนไขเฉพาะ (Statement of Compliance) ต่อข้อกำหนดใน TOR ทุกข้อ

เกณฑ์การพิจารณา

การพิจารณาใช้หลักเกณฑ์ราคาประกอบเกณฑ์อื่น โดยมีน้ำหนักคะแนนดังนี้:

ราคา (Price): น้ำหนัก 40%
ข้อเสนอด้านเทคนิค/คุณภาพ (Technical Proposal): น้ำหนัก 60% (แบ่งเป็น 100 คะแนนย่อย)
- ผลงานและประสบการณ์ (40 คะแนน): พิจารณาจากจำนวนผลงานตามข้อ 5.13 (20 คะแนน) และการมีใบรับรอง ISO/IEC 27001 (20 คะแนน)
- บุคลากร ทีมงาน (30 คะแนน): พิจารณาจากคุณวุฒิการศึกษา ประสบการณ์ และการมีใบรับรองของทีมงาน 4 ตำแหน่งตามที่กำหนด
- ข้อเสนอด้านอื่นๆ (30 คะแนน): พิจารณาจากการให้บริการป้องกันความเสี่ยงดิจิทัล (Digital Risk Protection) (20 คะแนน) การมีแผนบริหารความเสี่ยง (5 คะแนน) และการแสดงตารางค่าใช้จ่ายรายกิจกรรม (5 คะแนน)
  ผู้ที่ได้คะแนนรวมสูงสุดจะเป็นผู้ได้รับการคัดเลือก

ข้อกำหนดทางเทคนิค

มาตรฐานการทดสอบ: ต้องอ้างอิงมาตรฐานสากล ได้แก่ OWASP Top 10 และ CWE TOP 25 Most Dangerous Software Weaknesses เวอร์ชันล่าสุด
ขอบเขตการทดสอบ:
- Web Application Penetration Test: จำนวน 3 เว็บไซต์
- Network Penetration Test (External & Internal): ครอบคลุมไม่น้อยกว่า 170 IP Address
- Automated Vulnerability Assessment: ครอบคลุมไม่น้อยกว่า 170 IP Address
Security Hardening Check: ตรวจสอบการตั้งค่าเครื่องแม่ข่ายไม่น้อยกว่า 10 เครื่อง โดยใช้เทมเพลตที่อ้างอิง CIS Benchmark และต้องใช้เครื่องมือเฉพาะทางที่เป็น Commercial ที่มีลิขสิทธิ์ถูกต้อง
รูปแบบรายงาน: ต้องมีทั้งบทสรุปสำหรับผู้บริหาร (Executive Summary) และรายละเอียดเชิงเทคนิค ต้องส่งมอบในรูปแบบไฟล์ Word และ PDF รวมถึงข้อมูลการตรวจสอบ Security Hardening ในรูปแบบ Excel หรือ CSV
ความถี่: ดำเนินการทดสอบครบชุดอย่างน้อย 2 ครั้งภายในระยะเวลาสัญญา

เงื่อนไขสัญญา

วงเงินงบประมาณ: 2,500,000 บาท (สองล้านห้าแสนบาทถ้วน)
การจ่ายเงิน: แบ่งเป็น 3 งวด
- งวดที่ 1 (20%): เมื่อส่งมอบแผนงานและ NDA ภายใน 30 วัน
- งวดที่ 2 (55%): เมื่อส่งมอบรายงานผลการทดสอบครั้งที่ 1 ภายใน 60 วัน
- งวดที่ 3 (25%): เมื่อส่งมอบรายงานผลการทดสอบครั้งที่ 2 และรายงาน Security Hardening ภายใน 180 วัน
ค่าปรับ:
- กรณีจ้างช่วงโดยไม่ได้รับอนุญาต: ค่าปรับร้อยละ 10 ของวงเงินงานจ้างช่วงนั้น
- กรณีปฏิบัติผิดสัญญาอื่นๆ: ค่าปรับร้อยละ 0.10 ของราคาค่าจ้าง ต่อวัน
การบอกเลิกสัญญา: สำนักงานฯ สงวนสิทธิ์บอกเลิกสัญญาหากมีเหตุจำเป็นที่เป็นอุปสรรคต่อการจ้าง โดยผู้รับจ้างไม่สามารถเรียกร้องค่าเสียหายใดๆ
สิทธิ์ในข้อมูลและเอกสาร: ลิขสิทธิ์ในฐานข้อมูลและเอกสารทุกฉบับเป็นกรรมสิทธิ์ของสำนักงานกิจการยุติธรรม
การเปลี่ยนบุคลากร: สำนักงานฯ สงวนสิทธิ์ในการเปลี่ยนแปลงบุคลากรหลักที่ระบุในข้อเสนอ โดยไม่มีเงื่อนไข

คำถามที่พบบ่อย (FAQ)

Q: โครงการนี้ต้องทดสอบระบบกี่ศูนย์ และศูนย์ใดบ้าง?
A: ต้องทดสอบระบบสารสนเทศของสำนักงานกิจการยุติธรรมทั้งหมด 3 ศูนย์ ได้แก่ ศูนย์ OJA, ศูนย์ DXC และศูนย์ NJADC
Q: ต้องทดสอบเจาะระบบเครือข่ายแบบใดบ้าง?
A: ต้องทดสอบทั้งสองแบบ ได้แก่ การทดสอบเจาะระบบผ่านเครือข่ายจากภายนอก (External Network Penetration Test) และผ่านระบบเครือข่ายภายใน (Internal Network Penetration Test)
Q: การตรวจสอบ Security Hardening ต้องทำกับเครื่องแม่ข่ายกี่เครื่องและใช้อะไรเป็นเกณฑ์?
A: ต้องตรวจสอบการตั้งค่า Security Hardening ให้กับเครื่องแม่ข่ายไม่น้อยกว่า 10 เครื่อง โดยต้องเปรียบเทียบการตั้งค่าด้วย Template ที่อ้างอิงกับมาตรฐาน CIS Benchmark
Q: เครื่องมือที่ใช้ในการตรวจสอบ Security Hardening ต้องเป็นแบบใด?
A: ต้องใช้โปรแกรมที่เป็นแบบ Commercial ที่มีความน่าเชื่อถือและมีลิขสิทธิ์ถูกต้อง เฉพาะสำหรับการทำ Security Hardening เท่านั้น
Q: รายงานผลการทดสอบต้องมีองค์ประกอบอะไรบ้าง?
A: ต้องมีอย่างน้อย บทสรุปสำหรับผู้บริหาร (Executive Summary) และรายละเอียดเชิงเทคนิคของผลการทดสอบ รวมถึงความเสี่ยงที่อาจเกิดขึ้น
Q: หากพบช่องโหว่แล้วไม่สามารถปิดได้ทันที ผู้รับจ้างต้องทำอย่างไร?
A: ต้องเสนอแนวทางลดความเสี่ยงหรือลดผลกระทบที่เกิดขึ้นแทนการปิดช่องโหว่ โดยจัดทำเป็นส่วนหนึ่งของรายงาน
Q: การทดสอบครั้งที่ 2 มีความแตกต่างจากครั้งแรกอย่างไร?
A: ในการทดสอบครั้งที่ 2 ผู้รับจ้างจะต้องนำผลการแก้ไขช่องโหว่จากครั้งที่ 1 มาทบทวน เปรียบเทียบ และจัดทำรายงานผลการทดสอบพร้อมการวิเคราะห์ประสิทธิภาพของการแก้ไข
Q: ผู้รับจ้างมีหน้าที่ให้คำปรึกษานอกเหนือจากการทดสอบหรือไม่?
A: ใช่ ผู้รับจ้างต้องร่วมประชุมเพื่อหารือและให้คำปรึกษาเพื่อจัดทำแนวทางและวิธีการดำเนินการปิดช่องโหว่ อย่างน้อย 2 ครั้ง ตามรายงานผลการทดสอบ
Q: รายงานผลการตรวจสอบ Security Hardening ต้องส่งในรูปแบบไฟล์ใดบ้าง?
A: ต้องส่งมอบรายงานในรูปแบบ PDF และไฟล์ข้อมูลในรูปแบบ Excel หรือ CSV
Q: การให้บริการป้องกันความเสี่ยงดิจิทัล (Digital Risk Protection) หมายถึงอะไรในการประเมินข้อเสนอ?
A: หมายถึง การเฝ้าระวังพื้นที่เสี่ยงจากการโจมตีภายนอก (Attack Surface) และการตรวจจับเว็บไซต์ฟิชชิ่ง (Domain Impersonation) ด้วยผลิตภัณฑ์ที่มีลิขสิทธิ์ตลอดระยะเวลาสัญญา ซึ่งเป็นส่วนหนึ่งของเกณฑ์การให้คะแนนข้อเสนอด้านอื่นๆ

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR) โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัย ตามประมวลแนวทางปฏิบัติ ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
๑/๑๐
๑. ความเป็นมา
พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ ได้กําหนดให้มีการจัดทํา ประมวลแนวทางปฏิบัติ และกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์อันเป็นข้อกําหนด
ขั้นต่ําในการดําเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สําหรับหน่วยงานของรัฐ และหน่วยงาน โครงสร้างพื้นฐานสําคัญทางสารสนเทศ โดยกําหนดให้มีการประเมินช่องโหว่และการทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing) ทางด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน ที่ครอบคลุม ทั้งฮาร์ดแวร์ (Hardware) และซอฟต์แวร์ (Software) ว่ามีช่องโหว่ใดบ้างที่มีผลกระทบต่อความมั่นคง ปลอดภัยไซเบอร์ของหน่วยงาน เพื่อให้หน่วยงานทราบถึงจุดอ่อนด้านความมั่นคงปลอดภัย และแก้ไขก่อนที่จะ
เกิดเหตุการณ์ที่ส่งผลกระทบต่อระบบสารสนเทศของหน่วยงาน
สํานักงานกิจการยุติธรรมเป็นหน่วยงานที่มีการพัฒนาระบบเทคโนโลยีสารสนเทศ เพื่อยกระดับบริการ ของหน่วยงาน ซึ่งประกอบด้วย ระบบสารสนเทศภายในสํานักงานกิจการยุติธรรม (ศูนย์ OJA) ศูนย์แลกเปลี่ยน ข้อมูลกระบวนการยุติธรรม Data Exchange Center (ศูนย์ DXC) และศูนย์ปฏิบัติการฐานข้อมูลการบริหารงาน ยุติธรรมแห่งชาติ (ศูนย์ NJADC) ที่มีการพัฒนา ทั้งด้านอุปกรณ์ ด้านระบบบริการ และด้านระบบรักษาความมั่นคง ปลอดภัย โดยศูนย์ OJA มีภารกิจหลักในการพัฒนาระบบเทคโนโลยีสารสนเทศ ระบบงานสําคัญของหน่วยงาน และเทคโนโลยีที่ช่วยในการขับเคลื่อนงานเชื่อมต่องานต่าง ๆ ของทั้งศูนย์ NJADC ที่มีภารกิจหลักเกี่ยวกับฐานข้อมูล ด้านกระบวนการยุติธรรม (Database) ด้วยชุดข้อมูลของหน่วยงานที่เป็นการยกระดับงาน หรือเพิ่มขีดความสามารถ ของหน่วยงาน (Capacity of Organization) และเครื่องมือดิจิทัลที่หน่วยงานนํามาใช้/ระบบงานสําคัญ (Digital Base) เทคโนโลยีที่นํามาใช้ในการพัฒนางานด้านกระบวนการยุติธรรม และศูนย์ DXC ที่ได้ดําเนินการขอรับรอง มาตรฐาน ISO/IEC 27001:2022 การบริหารจัดการความเสี่ยงทั้งด้านบุคลากร กระบวนการ และเครื่องมือหรือ เทคโนโลยี เพื่อลดผลกระทบต่อผู้ใช้งานและหน่วยงานที่เกี่ยวข้องโดยรวม พร้อมทั้งรับประกันคุณภาพการให้บริการ ว่ามีความมั่นคงปลอดภัยขั้นสูง จึงมีความจําเป็นอย่างยิ่งที่จะต้องดําเนินโครงการตรวจประเมินประสิทธิภาพ ความมั่นคงปลอดภัย ตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการ ยุติธรรม เพื่อทดสอบเจาะระบบ และสแกนหาช่องโหว่ในระบบ เป็นประจําอย่างน้อย ๑ ครั้งต่อปี ให้กับศูนย์ OJA ศูนย์ DXC และศูนย์ NJADC ให้มีความมั่นคงปลอดภัย และเป็นไปตามนโยบายการรักษาความมั่นคงปลอดภัย ไซเบอร์ของหน่วยงาน ระดับกระทรวง และระดับประเทศ
๒. วัตถุประสงค์
เพื่อดําเนินการทดสอบเจาะระบบและสแกนหาช่องโหว่ในระบบของสํานักงานกิจการยุติธรรมเป็น ประจําอย่างน้อย ๒ ครั้งต่อปี ให้กับศูนย์ OJA ศูนย์ DXC และศูนย์ NJADC มีความมั่นคงปลอดภัยและเป็นไป ตามนโยบายรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน ระดับกระทรวง และระดับประเทศ
๓. เป้าหมาย
ระบบเทคโนโลยีสารสนเทศของสํานักงานกิจการยุติธรรม ซึ่งประกอบด้วย ศูนย์ OJA ศูนย์ DXC และศูนย์ NJADC มีความมั่นคงปลอดภัย สามารถใช้งานได้อย่างต่อเนื่อง และรองรับข้อกําหนดในกฎหมาย และมาตรฐานด้านความมั่นคงปลอดภัยไซเบอร์
Jints=
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
๔. ประโยชน์ที่คาดว่าจะได้รับ
ผลผลิต
๒/๑๐
มีรายงานผลการทดสอบเจาะระบบ (Penetration Testing Report) และรายงานผลการทดสอบสแกน หาช่องโหว่โดยใช้เครื่องมืออัตโนมัติ (Vulnerability Assessment Report) ของสํานักงานกิจการยุติธรรม
ที่สามารถนํามาใช้ในการแก้ไขช่องโหว่ตามลําดับความเร่งด่วน
ผลลัพธ์
สํานักงานกิจการยุติธรรมมีรายงานสรุปความเสี่ยงและช่องโหว่ที่เป็นจุดอ่อนของระบบเทคโนโลยี
สารสนเทศ สําหรับการพัฒนาแก้ไขปรับปรุงเพื่อป้องกันและลดโอกาสที่จะถูกบุกรุก หรือโจมตีจากผู้ไม่ประสงค์ดี
๕. คุณสมบัติของผู้ยื่นข้อเสนอ
๕.๑ มีความสามารถตามกฎหมาย ๕.๒ ไม่เป็นบุคคลล้มละลาย ๕.๓ ไม่อยู่ระหว่างเลิกกิจการ
๕.๔. ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังกําหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
๕.๕ ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของ
หน่วยงานของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วน ผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอํานาจในการดําเนินงานในกิจการของนิติบุคคลนั้นด้วย
๕.๖ มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหาร พัสดุภาครัฐกําหนดในราชกิจจานุเบกษา
๕.๗ เป็นบุคคลธรรมดาหรือนิติบุคคลผู้มีอาชีพรับจ้างงานที่ประกวดราคาอิเล็กทรอนิกส์ดังกล่าว ๕.๘ ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอราคารายอื่นที่เข้ายื่นข้อเสนอให้แก่สํานักงาน กิจการยุติธรรม ณ วันประกาศประกวดราคาอิเล็กทรอนิกส์ หรือไม่เป็นผู้กระทําการอันเป็นการขัดขวางการแข่งขัน ราคาอย่างเป็นธรรมในการประกวดราคาอิเล็กทรอนิกส์ครั้งนี้
๕.๕. ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้ยื่น ข้อเสนอได้มีคําสั่งให้สละเอกสิทธิ์ความคุ้มกันเช่นว่านั้น
๕.๑๐ ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติ ดังนี้
(๑) การกําหนดสัดส่วนในการเข้าร่วมค้าของคู่สัญญา
กรณีที่ข้อตกลงฯ กําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงฯ จะต้องมีการกําหนดสัดส่วนหน้าที่ และความรับผิดชอบในปริมาณงาน สิ่งของ หรือมูลค่าตามสัญญาของผู้เข้าร่วมค้า หลักมากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
(๒) กรณีที่ข้อตกลงฯ กําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก กิจการร่วมค้านั้น
ต้องใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอ
สําหรับข้อตกลงฯ ที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก ผู้เข้าร่วมค้า ทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่กําหนดไว้ในเอกสารเชิญชวน
(๓) การยื่นข้อเสนอของกิจการร่วมค้า
(๓.๑) กรณีที่ข้อตกลงฯ กําหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่น
ข้อเสนอในนามกิจการร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอํานาจ
finte
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
KAK
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
๓/๑๐
สําหรับข้อตกลงฯ ที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอ ผู้เข้าร่วมค้า
ทุกรายจะต้องลงลายมือชื่อในหนังสือมอบอํานาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอในนามกิจการร่วมค้า (๓.๒) การยื่นข้อเสนอด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ (e - bidding) ให้ผู้เข้าร่วมค้า ที่ได้รับมอบหมายหรือมอบอํานาจตามข้อ (๓.๑) ดําเนินการซื้อเอกสารประกวดราคาอิเล็กทรอนิกส์ กรณีที่มี การจําหน่ายเอกสารซื้อหรือจ้าง
๕.๑๑ ผู้ยื่นข้อเสนอต้องลงทะเบียนที่มีข้อมูลถูกต้องครบถ้วนในระบบจัดซื้อจัดจ้างภาครัฐ ด้วยอิเล็กทรอนิกส์ (Electronic Government Procurement : e-GP) ของกรมบัญชีกลาง
๕.๑๒ ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ ดังนี้
©).
กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยหรือต่างประเทศซึ่งได้จด
ทะเบียนเกินกว่า ๑ ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิที่ปรากฏ ในงบแสดงฐานะการเงินที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก ๑ ปีสุดท้ายก่อนวันยื่นข้อเสนองบ แสดงฐานะการเงิน ๑ ปีสุดท้ายก่อนวันยื่นข้อเสนอ หมายถึง งบแสดงฐานะการเงินย้อนไปก่อนวันที่หน่วยงาน ของรัฐกําหนดให้เป็นวันยื่นข้อเสนอ ๑ ปีปฏิทิน เว้นแต่กรณีนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย หากวันยื่น ข้อเสนอเป็นช่วงระยะเวลาที่กรมพัฒนาธุรกิจการค้ากําหนดให้นิติบุคคลยื่นงบแสดงฐานะการเงินกับกรมพัฒนา ธุรกิจการค้า ซึ่งจะอยู่ในช่วงเดือนมกราคม – เดือนพฤษภาคม ของทุกปี โดยนิติบุคคลที่เป็นผู้ยื่นข้อเสนอนั้นยังอยู่ ในช่วงของการยื่นงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า คือ ช่วงเดือนมกราคม – เดือนพฤษภาคม กรณีนี้ให้สามารถยื่นงบแสดงฐานะการเงินย้อนไปอีก ๑ ปี ได้
๒. กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย ซึ่งยังไม่มีการรายงานงบแสดง ฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ให้พิจารณาการกําหนดมูลค่าของทุนจดทะเบียน โดยผู้ยื่นข้อเสนอจะต้อง มีทุนจดทะเบียนที่เรียกชําระมูลค่าหุ้นแล้ว ณ วันที่ยื่นข้อเสนอ ไม่ต่ํากว่า ๑ ล้านบาท
๓. สําหรับการจัดซื้อจัดจ้างครั้งหนึ่งที่มีวงเงินเกิน ๕๐๐,๐๐๐ บาทขึ้นไป กรณีผู้ยื่นข้อเสนอ เป็นบุคคลธรรมดา โดยพิจารณาจากหนังสือรับรองบัญชีเงินฝากไม่เกิน ๙๐ วัน ก่อนวันยื่นข้อเสนอ โดยต้อง มีเงินฝากคงเหลือในบัญชีธนาคารเป็นมูลค่า ๑ ใน ๔ ของมูลค่างบประมาณของโครงการหรือรายการที่ยื่น ข้อเสนอ ในแต่ละครั้ง และหากเป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ได้รับการคัดเลือกจะต้องแสดงหนังสือ
รับรองบัญชีเงินฝากที่มีมูลค่าดังกล่าวอีกครั้งหนึ่งในวันลงนามในสัญญา
๔. กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียน หรือมีแต่ไม่เพียงพอ ที่จะเข้ายื่นข้อเสนอ สามารถดําเนินการได้ดังนี้
(๑) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย หรือบุคคลธรรมดาที่ถือ สัญชาติไทย ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ ๑ ใน ๔ ของมูลค่างบประมาณของ โครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง จะเป็นสินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุนหรือ บริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้ําประกัน
ตามประกาศของธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทยแจ้งเวียนให้
ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สํานักงานใหญ่รับรอง หรือที่สํานักงานสาขารับรอง (กรณีได้รับมอบอํานาจจากสํานักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวันยื่นข้อเสนอไม่เกิน ๙๐ วัน
(๒) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศ หรือบุคคล ธรรมดาที่มิได้ถือสัญชาติไทย ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ ๑ ใน ๔ ของมูลค่า งบประมาณของโครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง จะเป็นสินเชื่อที่ธนาคารต่างประเทศหรือบริษัท
เงินทุนหรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบ
ธุรกิจค้ําประกันตามประกาศของธนาคารกลางต่างประเทศนั้น ตามรายชื่อบริษัทที่ธนาคารกลางต่างประเทศ
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
นั้นแจ้งเวียนให้ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สํานักงานใหญ่รับรอง หรือที่สํานักงาน สาขารับรอง (กรณีได้รับมอบอํานาจจากสํานักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวันยื่นข้อเสนอไม่เกิน ๙๐ วัน
๕. กรณีกรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศ หรือบุคคล ธรรมดาที่มิได้ถือสัญชาติไทยตามข้อ ๒ ข้อ ๓ และข้อ ๔ (๒) มูลค่าจะต้องเป็นไปตามอัตราแลกเปลี่ยนเงินตรา ตามประกาศที่ธนาคารแห่งประเทศไทยกําหนด ในช่วงระหว่างวันที่เผยแพร่ประกาศและเอกสารประกวดราคา ในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (e - GP) จนถึงวันเสนอราคา
ทั้งนี้ ผู้ยื่นข้อเสนอจะต้องยื่นเอกสารที่แสดงให้เห็นถึงข้อมูลเกี่ยวกับมูลค่าสุทธิของกิจการ
แล้วแต่กรณี ประกอบกับเอกสารดังกล่าวจะต้องผ่านการรับรองตามระเบียบกระทรวงการต่างประเทศว่าด้วย การรับรองเอกสาร พ.ศ. ๒๕๓๙ และที่แก้ไขเพิ่มเติม กําหนด โดยจะต้องยื่นเอกสารดังกล่าวในวันยื่นข้อเสนอ หากผู้ยื่นข้อเสนอมิได้มีการยื่นเอกสารดังกล่าวมาพร้อมกับการยื่นข้อเสนอให้ถือว่าผู้ยื่นข้อเสนอรายนั้นยื่น
เอกสารไม่ครบถ้วนตามเงื่อนไขที่กําหนดไว้ในเอกสารประกวดราคา
5. กรณีตามข้อ ๑ - ข้อ ๕ ไม่ใช้บังคับกับกรณีดังต่อไปนี้
๖.
๕
(๖.๑) กรณีที่ผู้ยื่นข้อเสนอเป็นหน่วยงานของรัฐภายในประเทศ
(๖.๒) นิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยที่อยู่ระหว่างการฟื้นฟูกิจการตามพระราชบัญญัติ ล้มละลาย พ.ศ. ๒๔๘๓ และที่แก้ไขเพิ่มเติม
(๖.๓) งานจ้างก่อสร้างที่กรมบัญชีกลางได้ขึ้นทะเบียนผู้ประกอบการงานก่อสร้างแล้วและ
งานจ้างก่อสร้างที่หน่วยงานของรัฐที่ได้มีการจัดทําบัญชีผู้ประกอบการงานก่อสร้างที่มีคุณสมบัติเบื้องต้นไว้แล้ว ก่อนวันที่พระราชบัญญัติการจัดซื้อจัดจ้างฯ มีผลใช้บังคับ
การจัดซื้อจัดจ้างฯ
(๖.๔) การจัดซื้อจัดจ้างตามมาตรา ๕๖ วรรคหนึ่ง (๒) (ข) และ (ค) แห่งพระราชบัญญัติ
(๖.๕) การซื้ออสังหาริมทรัพย์และการเช่าอสังหาริมทรัพย์
(5.5) กรณีงานจ้างบริการหรืองานจ้างเหมาบริการกับบุคคลธรรมดา เช่น จ้างพนักงานขับรถ ครูชาวต่างชาติ พนักงานเก็บขยะ พนักงานบันทึกข้อมูล เป็นต้น
๕.๑๓ ผู้ยื่นข้อเสนอต้องเคยมีผลงานในการทํา Security Hardening หรือผลงานในการวิเคราะห์ ช่องโหว่และทดสอบเจาะระบบ กับหน่วยงานภาครัฐหรือหน่วยงานเอกชนที่มีความน่าเชื่อถือ โดยผู้ยื่นข้อเสนอ ต้องแนบเอกสารหลักฐานสัญญาจ้างงาน หรือหนังสือรับรองจากหน่วยงาน หรือหนังสือรับรองการจ้างงาน หรือเอกสารที่แสดงถึงผลงานดังกล่าว และยื่นพร้อมเอกสารประกวดราคาครั้งนี้ด้วย โดยแสดงผลงานอย่างน้อย ๒ ผลงาน โดยแต่ละผลงานต้องมีมูลค่าไม่น้อยกว่า 9,000,000 บาท (หนึ่งล้านบาทถ้วน) ย้อนหลังไม่เกิน ๕ ปี นับจากวันที่ยื่นข้อเสนอ
๕ ปี
๕.๑๔. ผู้ยื่นข้อเสนอจะต้องได้รับมาตรฐานระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001 (Information Security Management System: ISMS) โดยต้องยื่นเอกสารเป็นหลักฐาน ที่ยังไม่หมดอายุ ณ วันยื่นเอกสารพร้อมเอกสารประกวดราคาครั้งนี้ด้วย
๕.๑๕ ผู้ยื่นข้อเสนอต้องแสดงทีมงานในการดําเนินงานโครงการนี้ไม่น้อยกว่า ๔ คน ดังนี้
๕.๑๕.๑ ผู้จัดการโครงการ (Project Manager) จํานวน ๑ คน โดยต้องแนบเอกสารหลักฐาน ดังกล่าวมาพร้อมกับการยื่นเอกสารประกวดราคาฯ ครั้งนี้ด้วย ซึ่งมีคุณสมบัติ ดังนี้
(๑) มีวุฒิทางการศึกษาอย่างน้อยปริญญาตรี สาขาวิศวกรรมคอมพิวเตอร์ หรือสาขา
วิทยาการคอมพิวเตอร์ หรือสาขาวิทยาศาสตร์คอมพิวเตอร์ หรือสาขาสารสนเทศศาสตร์ หรือสาขาอื่น ๆ ที่เกี่ยวข้องด้านคอมพิวเตอร์
کی
Link
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
jent
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
๕/๑๐
(๒) มีประสบการณ์ในการทํางานด้านคอมพิวเตอร์ ไม่น้อยกว่า ๕ ปี และมีประสบการณ์ ในการเป็นผู้จัดการโครงการ (Project Manager) ที่เกี่ยวข้องกับด้านความมั่นคงปลอดภัย สารสนเทศไม่น้อยกว่า ๑ ปี อย่างน้อย ๑ โครงการ ซึ่งมีมูลค่าไม่ต่ํากว่า ๑ ล้านบาท ๕.๑๕.๒ ผู้เชี่ยวชาญด้านทดสอบเจาะระบบ จํานวนอย่างน้อย ๑ คน โดยต้องแนบเอกสาร หลักฐานดังกล่าวมาพร้อมกับการยื่นเอกสารประกวดราคาฯ ครั้งนี้ด้วย ซึ่งมีคุณสมบัติ ดังนี้
(๑) มีวุฒิทางการศึกษาอย่างน้อยปริญญาตรี สาขาวิทยาการคอมพิวเตอร์ หรือวิศวกรรม
คอมพิวเตอร์ หรือสาขาอื่น ๆ ที่เกี่ยวข้องด้านคอมพิวเตอร์
(๒) มีประสบการณ์ในการทดสอบเจาะระบบ ไม่น้อยกว่า ๕ ปี ในโครงการอย่างน้อย
๑ โครงการ มูลค่าโครงการไม่ต่ํากว่า ๑ ล้านบาท
(๓) ต้องได้รับการรับรอง หรือได้รับประกาศนียบัตรรับรองความรู้ความสามารถทางด้าน
ความมั่นคงปลอดภัยไซเบอร์จากหน่วยงานในระดับสากล อย่างใดอย่างหนึ่ง จํานวน อย่างน้อย ๒ รายการ ดังนี้
• GIAC Penetration Tester (GPEN)
GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
• OffSec Certified Professional (OSCP) vs OffSec Certified Professional
Plus (OSCP+)
Practical Network Penetration Tester (PNPT)
Certified Penetration Testing Specialist (CPTS)
๕.๑๕.๓ นักตรวจสอบช่องโหว่และนักทดสอบเจาะระบบ จํานวนอย่างน้อย ๒ คน โดยต้อง แนบเอกสารหลักฐานดังกล่าวมาพร้อมกับการยื่นเอกสารประกวดราคาฯ ครั้งนี้ด้วย ซึ่งมีคุณสมบัติ ดังนี้
(๑) มีวุฒิทางการศึกษาอย่างน้อยปริญญาตรี สาขาวิทยาการคอมพิวเตอร์ หรือวิศวกรรม
คอมพิวเตอร์ หรือสาขาอื่น ๆ ที่เกี่ยวข้องด้านคอมพิวเตอร์
(๒) มีประสบการณ์การทํางานที่เกี่ยวข้องกับตําแหน่ง ไม่น้อยกว่า ๓ ปี มีหน้าที่และ ความรับผิดชอบในโครงการอย่างน้อย ๑ โครงการ ซึ่งมีมูลค่าไม่ต่ํากว่า ๑ ล้านบาท (๓) ได้รับการรับรอง หรือได้รับประกาศนียบัตรรับรองความรู้ความสามารถทางด้าน
ความมั่นคงปลอดภัยไซเบอร์จากหน่วยงานในระดับสากล อย่างใดอย่างหนึ่ง จํานวน อย่างน้อย ๒ รายการ ดังนี้
• GIAC Penetration Tester (GPEN)
GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
• Offsec Certified Professional (OSCP) vs OffSec Certified Professional
Plus (OSCP+)
• CREST Registered Penetration Tester (CRT)
• GIAC Web Application Penetration Tester (GWAPT)
• GIAC Enterprise Vulnerability Assessor (GEVA)
• eLearnSecurity Certified Professional Penetration Tester (eCPPT)
eLearnSecurity Web Application Penetration Tester (eWPT)
• Practical Network Penetration Tester (PNPT)
Certified Penetration Testing Specialist (CPTS)
กองพัฒนาแผน
mm-
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
๖/๑๐
๕.๑๖ ผู้ยื่นข้อเสนอต้องจัดทําตารางเปรียบเทียบรายละเอียดและเงื่อนไขเฉพาะต่อข้อกําหนด รายละเอียด (Specification) เป็นรายข้อทุกข้อ (Statement compliance) โดยใช้ตัวอย่างแบบฟอร์มที่กําหนด ให้เพื่อเปรียบเทียบรายการดังกล่าว หากผู้ยื่นข้อเสนอไม่ดําเนินการตามข้อนี้ คณะกรรมการพิจารณาผลการ
เสนอราคา ขอสงวนสิทธิ์ในการไม่พิจารณาข้อเสนอตามเอกสารของผู้ยื่นข้อเสนอ
รายละเอียดของงาน
รายละเอียดของงาน
ท
ที่
(Terms of Reference : TOR) ที่ สกธ. กําหนด
(Terms of Reference : TOR) ที่ยื่นข้อเสนอ
เอกสารอ้างอิง/ หมายเหตุ
หน้า
5. ขอบเขตของงานที่จะดําเนินการจัดจ้าง
๖.
ดําเนินการทดสอบเจาะระบบ (Annual Penetration Test) และสแกนหาช่องโหว่ (Annual Vulnerability Assessment) ของระบบสารสนเทศสํานักงานกิจการยุติธรรมจํานวน ๓ ศูนย์ ประกอบไปด้วย ศูนย์ OJA ศูนย์ DXC และ ศูนย์ NJADC โดยผู้เชี่ยวชาญด้านระบบรักษาความปลอดภัย จํานวนอย่างน้อย ๒ ครั้ง รายละเอียดดังนี้
๖.๑ ผู้เชี่ยวชาญด้านระบบรักษาความปลอดภัยดําเนินการทดสอบเจาะระบบเพื่อสํารวจหาช่องโหว่ Web Application จํานวน ๓ เว็บไซต์ โดยอ้างอิงแนวทางการเจาะระบบตามมาตรฐานสากล อย่างน้อยดังนี้

OWASP Top 10 เวอร์ชันล่าสุด
CWE TOP 25 Most Dangerous Software Weaknesses เวอร์ชันล่าสุด
๖.๒ ผู้เชี่ยวชาญด้านระบบรักษาความปลอดภัยดําเนินการทดสอบเจาะระบบผ่านเครือข่ายจาก ภายนอก (External Network Penetration Test) และผ่านระบบเครือข่ายภายใน (Internal Network Penetration Test) จํานวนไม่น้อยกว่า 170 IP Address
๖.๓ ผู้เชี่ยวชาญด้านระบบรักษาความปลอดภัยดําเนินการทดสอบสแกนหาช่องโหว่โดยใช้เครื่องมือ อัตโนมัติ (Vulnerability Assessment) จํานวนไม่น้อยกว่า 170 IP Address
๖.๔ จัดทํารายงานผลพร้อมวิธีการแก้ไขช่องโหว่ให้สํานักงานกิจการยุติธรรม พิจารณาในกรณีที่ไม่ สามารถปิดช่องโหว่ที่พบได้ หรือการปิดช่องโหว่แล้วมีผลกระทบรุนแรง จนทําให้ระบบไม่สามารถให้บริการได้
ให้เสนอแนวทางลดความเสี่ยงลดผลกระทบที่เกิดขึ้น
๖.๕ วิเคราะห์และจัดทําเอกสารรายงานผลการทดสอบเจาะระบบ โดยจัดทําเอกสาร (รูปแบบของ เอกสาร (Hard Copy) และรูปแบบไฟล์เอกสาร (Soft copy) ทั้งในรูปแบบของ File Word และ PDF) โดยเอกสารดังกล่าวประกอบด้วยหัวข้ออย่างน้อยดังต่อไปนี้ บทสรุปสําหรับผู้บริหาร (Executive Summary) และรายละเอียดเชิงเทคนิคของผลการทดสอบ รวมถึงความเสี่ยงที่อาจจะเกิดขึ้น
5.5 การทดสอบเจาะระบบและดําเนินการทดสอบสแกนหาช่องโหว่ ครั้งที่ ๒ จะต้องนําผลการแก้ไข ช่องโหว่ครั้งที่ ๑ มาเปรียบเทียบและจัดทําเอกสารรายงานผลดังกล่าว
๖.๗ ผู้ยื่นข้อเสนอจะต้องร่วมประชุมเพื่อหารือและให้คําปรึกษาเพื่อจัดทําแนวทางและวิธีการ ดําเนินการปิดช่องโหว่ อย่างน้อย ๒ ครั้ง ตามรายงานผลการทดสอบเจาะระบบ (Penetration Testing Report) และรายงานผลการทดสอบสแกนหาช่องโหว่โดยใช้เครื่องมืออัตโนมัติ (Vulnerability Assessment Report) ของสํานักงานกิจการยุติธรรม
๖.๔ ผู้ยื่นข้อเสนอต้องดําเนินการตรวจสอบการตั้งค่าเครื่องแม่ข่ายโดยสอดคล้องกับมาตรฐานสากล อย่างน้อย ดังนี
๖.๘.๑ ตรวจสอ
วจสอบการตั้งค่า Security Hardening ให้กับเครื่องแม่ข่ายไม่น้อยกว่า ๑๐ เครื่อง ๖.๔.๒ เปรียบเทียบการตั้งค่าโดยใช้ Template ที่อ้างอิงกับ CIS Benchmark
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
Agent
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
๗/๑๐
๖.๔.๓ ทําการตรวจสอบการตั้งค่าด้วยเครื่องมือสําหรับการทํา Security Hardening โดยเฉพาะ
เท่านั้น โดยใช้โปรแกรมที่เป็นแบบ Commercial ที่มีความน่าเชื่อถือและมีลิขสิทธิ์ถูกต้อง
๖.๔.๔ รายงานผลการตรวจสอบการตั้งค่า Security Hardening ประกอบด้วย ผลวิเคราะห์ การตั้งค่า พร้อมคําอธิบายเหตุผลด้านความมั่นคงปลอดภัยและข้อเสนอแนะ โดยส่งมอบรายงานในรูปแบบ PDF และไฟล์ Excel หรือ CSV
๗. กําหนดเวลาส่งมอบพัสดุ
๑๘๐ วัน นับถัดจากวันลงนามในสัญญา
๔. พื้นที่การดําเนินการ
สํานักงานกิจการยุติธรรม อาคารรัฐประศาสนภักดี ชั้น 4 ศูนย์ราชการเฉลิมพระเกียรติฯ ๘๐ พรรษา ถนนแจ้งวัฒนะ หลักสี่ กรุงเทพมหานคร
๔. หลักเกณฑ์ในการพิจารณาคัดเลือกข้อเสนอ
๔.๑ ในการพิจารณาผลการยื่นข้อเสนอประกวดราคาอิเล็กทรอนิกส์ครั้งนี้ สํานักงานฯ จะพิจารณาตัดสิน โดยใช้หลักเกณฑ์ราคาประกอบเกณฑ์อื่น
๔.๒ การพิจารณาผู้ชนะการยื่นข้อเสนอ
หลักเกณฑ์ราคาประกอบเกณฑ์อื่นในการพิจารณาผู้ชนะการยื่นข้อเสนอ จะพิจารณาโดยให้คะแนน
ตามปัจจัยหลักและน้ําหนักที่กําหนด ดังนี้
๔.๒.๑. ราคาที่ยื่นข้อเสนอ (Price) กําหนดน้ําหนักเท่ากับร้อยละ ๔๐
๔.๒.๒. ข้อเสนอด้านเทคนิค (เกณฑ์คุณภาพ) กําหนดน้ําหนักเท่ากับร้อยละ 50 โดยกําหนดให้น้ําหนักรวมทั้งหมดเท่ากับร้อยละ ๑๐๐ และการพิจารณาคัดเลือกผู้ที่มีคุณภาพ และคุณสมบัติถูกต้องครบถ้วนซึ่งได้คะแนนรวมสูงสุด (เกณฑ์ราคาประกอบเกณฑ์คุณภาพ)
ทั้งนี้ ข้อเสนอด้านเทคนิค (เกณฑ์คุณภาพ) ผู้ยื่นข้อเสนอจะต้องนําเสนอรายละเอียดโครงการ ตามกรอบที่สํานักงานกิจการยุติธรรมกําหนดอย่างครบถ้วน โดยยื่นเอกสารข้อเสนอทางด้านเทคนิค ในวันยื่นข้อเสนอราคาทางระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ เพื่อให้คณะกรรมการพิจารณาฯ ตามรายละเอียดและข้อกําหนดเกณฑ์การให้คะแนนข้อเสนอทางด้านเทคนิค รวม ๑๐๐ คะแนน ประกอบด้วย
รายละเอียด ดังนี้
เกณฑ์คุณภาพแบ่งออกเป็น ๓ หัวข้อหลัก โดยมีคะแนนเต็มในการพิจารณา ๑๐๐ คะแนน ดังนี้ ๑. ผลงานและประสบการณ์ของผู้ยื่นข้อเสนอ
๒. บุคลากร ทีมงาน (คุณวุฒิ จํานวน ประสบการณ์) ๓. ข้อเสนอด้านอื่น ๆ ที่เป็นประโยชน์ต่อโครงการ โดยมีรายละเอียดในการพิจารณาเกณฑ์ในแต่ละหัวข้อ มีดังนี้
๔๐ คะแนน
๓๐ คะแนน
๓๐ คะแนน
๑. ผลงานและประสบการณ์ของผู้ยื่นข้อเสนอ (๔๐ คะแนน)
สํานักงานกิจการยุติธรรมจะพิจารณาผลงานและประสบการณ์ของผู้ยื่นข้อเสนอ
จากงานที่ได้ดําเนินการแล้วเสร็จในช่วงเวลา ๕ ปีที่ผ่านมา (พ.ศ. ๒๕๖๔ ถึง พ.ศ. ๒๕๖๔) และให้ความสําคัญ กับประสบการณ์หรือผลงานที่เกี่ยวข้องโดยตรงกับงานที่ได้มีการกําหนดไว้ในขอบเขตของงาน (TOR) ในข้อ ๕.๑๓
และ ๕.๑๔ ซึ่งจะพิจารณาจากรายละเอียดดังนี้
کیمرے
Jinh
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
ลําดับ
๒
ผลงานและประสบการณ์
ผลงานที่เสนอตามขอบเขตของงาน (TOR) ในข้อ ๕.๑๓ (พิจารณาจากจํานวนผลงาน)
ผู้ยื่นข้อเสนอจะต้องได้รับมาตรฐานระบบการจัดการความ มั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001 (Information Security Management System: ISMS) ในข้อ ๕.๑๔
หมายเหตุ : ผลงานที่มีเอกสารหลักฐานที่ต้องแสดง
๘/๑๐
จํานวนผลงาน/มาตรฐาน
คะแนน
ล
๒
๒๐
๒๐
๒๐
๒๐
(ISO/IEC

๑. หนังสือรับรองผลงานในการทํา Security Hardening หรือผลงานในการวิเคราะห์ช่องโหว่และ ทดสอบเจาะระบบ กับหน่วยงานภาครัฐหรือหน่วยงานเอกชนที่มีความน่าเชื่อถือ โดยผู้ยื่นข้อเสนอต้องแนบ เอกสารหลักฐานสัญญาจ้างงาน หรือหนังสือรับรองจากหน่วยงาน หรือหนังสือรับรองการจ้างงาน หรือเอกสาร ที่แสดงถึงผลงานดังกล่าว
๒. สําเนาใบรับรองมาตรฐานของผู้ยื่นข้อเสนอด้าน ISO/IEC 27001
๒. บุคลากร ทีมงาน (คุณวุฒิ จํานวน ประสบการณ์) (๓๐ คะแนน)
จํานวน
วุฒิการศึกษา
ประสบการณ์ ที่เกี่ยวข้องกับ
การรับรอง
คะแนน
ลําดับ
ตําแหน่ง
โครงการ
เตม
ตาม
มากกว่า
ตาม
มากกว่า
TOR
TOR
TOR
(คะแนน)
(คะแนน)
(คะแนน)
TOR
(คะแนน)
หรือได้รับ ประกาศนียบัตร

ใบ
รับรอง
ใบ ขึ้น
M
ไป
E
๓
๑)
២
ด
๒
ล
๔
ลําดับ
ด
ผู้จัดการโครงการ
(Project Manager) ผู้เชี่ยวชาญด้าน
ทดสอบเจาะระบบ
นักตรวจสอบช่องโหว่และ
นักทดสอบเจาะระบบ (คนที่ ๑)
นักตรวจสอบช่องโหว่และ
นักทดสอบเจาะระบบ (คนที่ ๒)
일
으로
2
๒
๒
G
3
3
E
๓
๒
២
9
G
๒
๓. ข้อเสนอด้านอื่น ๆ ที่เป็นประโยชน์ต่อโครงการ (๓๐ คะแนน)
รายละเอียด การให้บริการป้องกันความเสี่ยงดิจิทัล
(Digital Risk Protection)
ด้วยผลิตภัณฑ์ที่มีลิขสิทธิ์ถูกต้อง
ตามกฎหมายตลอดระยะเวลา ตามสัญญาโครงการฯ
คะแนน
๒๐
๓ - ๒
๓
๒
E
E
୩
E
หลักเกณฑ์การให้คะแนน
การให้บริการ
E
๓
Յ
๓
3
โดเมน = ๒๐ - ๑๕ - ๑๐ คะแนน
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
ลําดับ
รายละเอียด
แนวคิดและการจัดทําแผนบริหาร ความเสี่ยงที่เกี่ยวข้องกับโครงการ
คะแนน
หลักเกณฑ์การให้คะแนน
๕
๕ คะแนน
๙/๑๐
๒ คะแนน
มีแนวคิดและแผนการ| มีแนวคิดและแผนการ บริหารความเสี่ยง บริหารความเสี่ยง
ที่ครบถ้วน และ
ครอบคลุมทุกกิจกรรม ภายใต้โครงการ
E
มีตารางแสดงรายละเอียดค่าใช้จ่าย
แต่ละรายการตามขอบเขตของงาน
(TOR)
વેન

๕ คะแนน

แสดงรายละเอียด
ค่าใช้จ่ายแต่ละกิจกรรม
แสดงรายละเอียด ค่าใช้จ่ายในแต่ละ
กิจกรรมชัดเจน
๒ คะแนน
แสดงรายละเอียด
ค่าใช้จ่ายแต่ละกิจกรรม
หมายเหตุ : การให้บริการป้องกันความเสี่ยงดิจิทัล (Digital Risk Protection) หมายถึง การเฝ้าระวังพื้นที่เสี่ยง จากการโจมตีภายนอก (Attack Surface) และการตรวจจับเว็บไซต์ฟิชชิ่ง (Domain Impersonation)
๑๐.วงเงินงบประมาณ/วงเงินที่ได้รับจัดสรร
๒,๕๐๐,๐๐๐ บาท (สองล้านห้าแสนบาทถ้วน)
๑๑.งวดงานและการจ่ายเงิน
สํานักงานกิจการยุติธรรมจะจ่ายเงินเป็นรายงวด ตามงวดการส่งมอบงาน จํานวน ๓ งวด ดังนี้
งวดที่ ๑ ร้อยละ ๒๐ ของวงเงินตามสัญญา เมื่อผู้รับจ้างดําเนินการส่งมอบงาน ภายใน ๓๐ วัน นับถัดจากวันลงนามในสัญญา โดยส่งมอบเอกสารรูปแบบของเอกสาร (Hard Copy) จํานวน 5 ชุด และรูปแบบ ไฟล์เอกสาร (Soft Copy) ทั้งในรูปแบบของ File Word และ PDF ลงใน Flash Drive จํานวน ๒ ชุด และคณะกรรมการ ตรวจรับพัสดุได้ตรวจรับเรียบร้อยแล้ว ดังรายการต่อไปนี้
๑. แผนการดําเนินงานโครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัย ตามประมวล แนวทางปฏิบัติ ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
๒. สัญญาการรักษาข้อมูลที่เป็นความลับ (Non-Disclosure Agreement)
งวดที่ ๒ ร้อยละ ๕๕ ของวงเงินตามสัญญา เมื่อผู้รับจ้างดําเนินการส่งมอบงาน ภายใน ๖๐ วัน นับถัดจากวันลงนามในสัญญา โดยส่งมอบเอกสารรูปแบบของเอกสาร (Hard Copy) จํานวน 5 ชุด และรูปแบบ ไฟล์เอกสาร (Soft Copy) ทั้งในรูปแบบของ File Word และ PDF ลงใน Flash Drive จํานวน ๒ ชุด และคณะกรรมการ ตรวจรับพัสดุได้ตรวจรับเรียบร้อยแล้ว ดังรายการต่อไปนี้
๑. รายงานการทดสอบเจาะระบบเพื่อสํารวจหาช่องโหว่ Web Application จํานวน ๓ เว็บไซต์
ครงท ๑
๒. รายงานผลการทดสอบเจาะระบบ (Penetration Testing Report) ครั้งที่ ๑ ของสํานักงาน
กิจการยุติธรรม จํานวนไม่น้อยกว่า 170 IP Address
๓. รายงานผลการทดสอบสแกนหาช่องโหว่โดยใช้เครื่องมืออัตโนมัติ (Vulnerability Assessment Report) ครั้งที่ ๑ ของสํานักงานกิจการยุติธรรม จํานวนไม่น้อยกว่า
170 IP Address
กองนโบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
(ร่าง) ขอบเขตของงาน (Terms of Reference : TOR)
โครงการตรวจประเมินประสิทธิภาพความมั่นคงปลอดภัยตามประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สํานักงานกิจการยุติธรรม
๑๐/๑๐
งวดที่ ๓ ร้อยละ ๒๕ ของวงเงินตามสัญญา เมื่อผู้รับจ้างดําเนินการส่งมอบงาน ภายใน ๑๘๐ วัน นับถัดจากวันลงนามในสัญญา โดยส่งมอบเอกสารรูปแบบของเอกสาร (Hard Copy) จํานวน 5 ชุด และรูปแบบ ไฟล์เอกสาร (Soft Copy) ทั้งในรูปแบบของ File Word และ PDF ลงใน Flash Drive จํานวน ๒ ชุด และคณะกรรมการ ตรวจรับพัสดุได้ตรวจรับเรียบร้อยแล้ว ดังรายการต่อไปนี้
๑๒. อัตราค่าปรับ
๑. รายงานการทดสอบเจาะระบบเพื่อสํารวจหาช่องโหว่ Web Application จํานวน ๓ เว็บไซต์
ครั้งที่ ๒
๒. รายงานผลการทดสอบเจาะระบบ (Penetration Testing Report) ครั้งที่ ๒ ของสํานักงาน
กิจการยุติธรรม จํานวนไม่น้อยกว่า 170 IP Address
๓. รายงานผลการทดสอบสแกนหาช่องโหว่โดยใช้เครื่องมืออัตโนมัติ (Vulnerability Assessment Report) : ครั้งที่ ๒ ของสํานักงานกิจการยุติธรรม จํานวนไม่น้อยกว่า
170 IP Address
๔. รายงานผลการตรวจสอบการตั้งค่า Security Hardening
๑๒.๑ กรณีที่ผู้รับจ้างนํางานที่รับจ้างไปจ้างช่วงให้ผู้อื่นทําอีกทอดหนึ่งโดยไม่ได้รับอนุญาตจากสํานักงาน จะกําหนดค่าปรับสําหรับการฝ่าฝืนดังกล่าวเป็นจํานวนร้อยละ ๑๐ ของวงเงินของงานจ้างช่วงนั้น
๑๒.๒ กรณีที่ผู้รับจ้างปฏิบัติผิดสัญญาจ้างนอกเหนือจากข้อ ๑๒.๑ จะกําหนดค่าปรับเป็นรายวันในอัตรา ร้อยละ ๐.๑๐ ของราคาค่าจ้าง
๑๓
ข้อสงวนสิทธิ์
๑๓.๑
สํานักงานกิจการยุติธรรมสงวนสิทธิ์ที่จะบอกเลิกสัญญาว่าจ้าง ในกรณีที่ผู้ว่าจ้างไม่อาจทําสัญญาจ้าง ตามที่ได้เจรจาตกลงหรือมีเหตุจําเป็นอื่น ๆ ที่เป็นอุปสรรคซึ่งทําให้ไม่สามารถดําเนินการจ้างได้ ให้ถือว่าเป็น อันเลิกไป ผู้รับจ้างไม่มีสิทธิ์โต้แย้งและเรียกร้องค่าเสียหายใด ๆ ทั้งสิ้น
๑๓.๒ สํานักงานกิจการยุติธรรมขอสงวนสิทธิ์ในการเปลี่ยนแปลงบุคลากรหลักตามที่ระบุไว้ในข้อเสนอ ทั้งนี้ เพื่อประโยชน์ของราชการเป็นสําคัญ และจะต้องดําเนินการโดยไม่มีเงื่อนไข ยกเว้นได้รับการยินยอม จากผู้ว่าจ้าง
ลิขสิทธิ์ในฐานข้อมูลและเอกสารทุกฉบับ ต้องเป็นกรรมสิทธิ์ของสํานักงานกิจการยุติธรรม
และขอสงวนสิทธิ์มิให้ผู้รับจ้างนําไปใช้ในกิจกรรมอื่นโดยไม่ได้รับการยินยอมจากสํานักงานกิจการยุติธรรม
กองนโยบายและประสานแผนกระบวนการยุติธรรม สํานักงานกิจการยุติธรรม
nig ont