eGP
egp งานประมูลภาครัฐ
จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างกิจกรรมจัดการความเสี่ยงและยกระดับความมั่นคงปลอดภัยไซเบอร์ ของสำนักงานภายใต้โครงการพัฒนา โครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศเพื่อสนับสนุนการคุ้มครองข้อมูลส่วนบุคคล

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 69059395410
฿23,225,100 ปีงบ 2569 ประกาศ 29 พ.ค. 2569 กรุงเทพมหานคร
รายละเอียดการจ้าง

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) มีความจำเป็นต้องยกระดับความมั่นคงปลอดภัยไซเบอร์เพื่อรองรับภารกิจการคุ้มครองข้อมูลส่วนบุคคล เนื่องจากภัยคุกคามมีแนวโน้มรุนแรงและซับซ้อนมากขึ้น ดังนั้น จึงดำเนินโครงการนี้เพื่อสร้างระบบ กระบวนการ และกลไกด้านความมั่นคงปลอดภัยไซเบอร์อย่างเป็นองค์รวม สอดคล้องตามกรอบ NIST Cybersecurity Framework และกฎหมายที่เกี่ยวข้อง

ขอบเขตงานหลักประกอบด้วย 2 ส่วนงานหลักคือ ติดตั้งระบบต่างๆ จัดหา ส่งมอบและปรับแต่งอุปกรณ์หรือสิทธิการใช้งาน ระบบงานต่างๆ ที่ครอบคลุม (1). การจัดหาระบบ Multifactor Authentication (MFA) ป้องกันการเข้าถึงและเจาะระบบเพื่อยืนยันตัวตน => Multifactor / Authpoint additional security - one primary solution ได้ (2). การติดตั้ง และจัดหาระบบ Hardware Security Module (HSM), มอบ/เลือก Web Application Firewall Service tools ที่แผน Compliance ให้ป้องกันหรือกำจัดการเข้าร่วมซึ่ง Personal Dat รทำให้ Service - Web Detection/Local threats - Active defense tools around - Behavior Decrasing Flow Attacks [General → F5/A26 Security approach Deliver Agent - Vendor high usage monitoring
system/sufficient</Location Approach included /]Technical quality assess 100/% deliver final.

รวมมูลค่า 23,225,100 บาท ดำเนินการภายใน 90 วันนับถัดจากวันลงนามในสัญญา) รวมทั้งงานด้านsoftware which protect processing & development. deliverables high Q effectiveness target real-time -> operate - software provide … final-> … well executed,

นอกจากนี้ ผู้ขอต้อง teamมีเพิ่มที ซึงก็ดำเนิน หรือ Function Monitoring manage in-dept performance alongside provision cloud infrastructure ตรวจสอบ time, thorough documentation/res: both official /hand out presentation finalized -> done include verification FEA risk Future / path real Cloud & stable foundation . Evaluation user guidelines performance indicator meet done CS hands Audit required Sec / Action reliable transformation’ security improvement -> reliability prevent pass P creativity operation measures support ready Hand Over.

T professional environment. period signing the business validation Completion → follow Done verified monitor not been need create solution without bug until IT support + stable Cyber events operate Protect on top result of possible. Integration governance technical administration plan final effectively system service monthly repair. Condu**Implementation Deliver Services → Fulf prepared fully continue supporting guard response events always maintain procedure and records prevention document all property knowledge internal requirement support certification …committed final pass monthly accordingly method structure documentation thus proof accomplished each wise. training Knowledge guarantee first implementation until up user resources per method sustainable assist / Manage final.

English summary

M / Extra From → objective / Scope understand time minimal may Project through Continuous strong.
Every Activity. Required terms policies that cybersecurity gaps final Done smoothly better Phrashort use Project active multiple tracking => Cloud Ensure provide time activities mitigate stability. Protect Per Change Report Implementation Follow Complete Prevent + operations Control Steps supporting and guide response procedure test Monitor Handing manage → minimize organization monitoring team always after resolution vulnerability assessments ongoing effort at solutions along includes person requirement fully monitoring services structure ability production incident A Guide documentation Good metrics Maintain → reports protection policy All -> Continuous Manage robust Infrastructure Improvement resource A review Well define detect outcome Improve Practice actual throughout Cyber Drill prevention start guidelines designed Training preparation understanding within Well final risk adoption aligning smooth final Hires all Manage documents plan Efficient → reliable event make objective Governance done development Management integrated guidelines technical Strong appropriate established Implementation Procedure fulfill and and correct be and Implementation approach plan for and alignment implement project cover smooth coverage meeting Monitoring system The roadmap and comprehensive program Implementation collaboration Follow Develop good current => appropriate ensure achievement performed security timely. Detect become effective preparedness change Team detection administration Verification relevant Baseline framework general strategies reporting over maintain management produce completeness implementation deliver Sustain training Improve monitoring plans … deliver to milestones. safe practices design detection test project approved Practices control stakeholders through level usage internal and established objective definition summary should organization Develop monitor People key.

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

รายละเอียดขอบเขตของงาน
กิจกรรมจัดการความเสี่ยงและยกระดับความมั่นคงปลอดภัยไซเบอร์ของสำนักงานภายใต้โครงการพัฒนา โครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศเพื่อสนับสนุนการคุ้มครองข้อมูลส่วนบุคคล

  1. ความเป็นมา
    ปัจจุบัน สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีการนำระบบเทคโนโลยีสารสนเทศและดิจิทัล มาใช้ในการบริหารจัดการ การปฏิบัติงานภายใน และการให้บริการแก่ประชาชนและหน่วยงานที่เกี่ยวข้องอย่าง ต่อเนื่อง ทั้งในรูปแบบระบบสารสนเทศ เว็บไซต์ แอปพลิเคชัน และการเชื่อมโยงข้อมูลผ่านเครือข่ายอินเทอร์เน็ตและ ระบบคลาวด์ซึ่งส่งผลให้การทำงานมีประสิทธิภาพและสะดวกรวดเร็วยิ่งขึ้น แต่ในสภาวการณ์ปัจจุบัน ภัยคุกคามทาง ไซเบอร์มีแนวโน้มความรุนแรงและซับซ้อนมากขึ้น ซึ่งอาจส่งผลกระทบต่อความต่อเนื่องในการดำเนินงานตามภารกิจ ความน่าเชื่อถือของหน่วยงาน ตลอดจนความเชื่อมั่นของประชาชน
    สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในฐานะหน่วยงานของรัฐ มีหน้าที่และความรับผิดชอบ ในการดำเนินงานให้เป็นไปตามกฎหมาย ระเบียบ และการคุ้มครองข้อมูลส่วนบุคคล สำนักงานฯ จึงมีการจัดทำ โครงการกิจกรรมจัดการความเสี่ยงและยกระดับความมั่นคงปลอดภัยไซเบอร์ของสำนักงาน เพื่อพัฒนาระบบ กระบวนการ และกลไกด้านความมั่นคงปลอดภัยไซเบอร์อย่างเป็นองค์รวม ครอบคลุมการกำกับดูแล การระบุ ความเสี่ยง การป้องกัน การตรวจจับ และการตอบสนองต่อเหตุการณ์ทางไซเบอร์ ตลอดจนการเสริมสร้างความรู้ ความตระหนัก และสมรรถนะของบุคลากรให้สามารถรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพ สอดคล้องตามกฎหมายที่เกี่ยวข้อง ระเบียบ มาตรฐานสากล รวมถึงตามกรอบการปฏิบัติงานด้านความมั่นคง ปลอดภัยไซเบอร์ (NIST Cybersecurity Framework)
  2. วัตถุประสงค์
    2.1 เพื่อจัดหา ติดตั้ง ตั้งค่า พัฒนา ทดสอบ และส่งมอบระบบหรือสิทธิการใช้งานด้านความมั่นคงปลอดภัย ไซเบอร์ของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
    2.2 เพื่อเพิ่มประสิทธิภาพในการป้องกันภัยคุกคามทางไซเบอร์ โดยการจัดหา ติดตั้ง และบริหารจัดการระบบ รักษาความมั่นคงปลอดภัยที่ครอบคลุมเครื่องคอมพิวเตอร์ เครือข่าย ระบบสารสนเทศ และบริการที่ให้ ผ่านอินเทอร์เน็ต
    2.3 เพื่อเสริมสร้างความเชื่อมั่นด้านความมั่นคงปลอดภัยไซเบอร์ให้แก่ประชาชน หน่วยงานที่เกี่ยวข้อง และ ผู้มีส่วนได้ส่วนเสียในการดำเนินงานของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 2.4 เพื่อพัฒนาศักยภาพในการตรวจจับ วิเคราะห์ และแจ้งเตือนภัยคุกคามทางไซเบอร์ผ่านระบบที่จัดหา ติดตั้ง และปรับแต่งขึ้น
  3. คุณสมบัติผู้เสนอราคา
    3.1 มีความสามารถตามกฎหมาย
    3.2 ไม่เป็นบุคคลล้มละลาย
    3.3 ไม่อยู่ระหว่างเลิกกิจการ
    3.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทำสัญญากับหน่วยงานของรัฐ ไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบ

หน้า 1 / 19
ที่รัฐมนตรีว่าการกระทรวงการคลังกำหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศ ของ กรมบัญชีกลาง
3.5 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงาน ของหน่วยงานของ รัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วน ผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอำนาจในการดำเนินงานในกิจการของนิติบุคคลนั้นด้วย
3.6 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้าง และการบริหารพัสดุ ภาครัฐกำหนดในราชกิจจานุเบกษา
3.7 เป็นบุคคลธรรมดาหรือนิติบุคคลผู้มีอาชีพขายพัสดุที่ประกวดราคาอิเล็กทรอนิกส์ดังกล่าว 3.8 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้เสนอราคารายอื่นที่เข้ายื่นข้อเสนอให้แก่สำนักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคล ณ วันยื่นข้อเสนอหรือไม่เป็นผู้กระทำการอันเป็นการขัดขวางการแข่งขันอย่าง เป็นธรรมในการยื่นข้อเสนอครั้งนี้
3.9 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาล ของผู้ยื่นข้อเสนอ ได้มีคำสั่งให้สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
3.10 ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติ ดังนี้ (1) การกำหนดสัดส่วนในการเข้าร่วมค้าของคู่สัญญา
กรณีที่ข้อตกลงฯ กำหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงฯ จะต้องมีการกำหนดสัดส่วนหน้าที่ และความรับผิดชอบในปริมาณงาน สิ่งของ หรือมูลค่าตามสัญญา ของผู้เข้าร่วมค้าหลักมากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
(2) กรณีที่ข้อตกลงฯ กำหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก กิจการร่วมค้านั้นต้องใช้ ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอ สำหรับข้อตกลงฯ ที่ไม่ได้กำหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก ผู้เข้าร่วมค้าทุกรายจะต้องมีคุณสมบัติครบถ้วน ตามเงื่อนไขที่กำหนดไว้ในเอกสารเชิญชวน
(3) การยื่นข้อเสนอของกิจการร่วมค้า
(3.1) กรณีที่ข้อตกลงฯ กำหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่ง เป็นผู้ยื่นข้อเสนอใน นามกิจการร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอำนาจ
สำหรับข้อตกลงฯ ที่ไม่ได้กำหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอ ผู้เข้าร่วมค้า ทุก รายจะต้องลงลายมือชื่อในหนังสือมอบอำนาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอ ในนามกิจการร่วมค้า
(3.2) การยื่นข้อเสนอด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ (e - bidding) ให้ผู้เข้าร่วมค้า ที่ได้รับ มอบหมายหรือมอบอำนาจตามข้อ (3.1) ดำเนินการซื้อเอกสารประกวดราคาอิเล็กทรอนิกส์ กรณีที่มีการจำหน่ายเอกสารซื้อหรือจ้าง
3.11 ผู้ยื่นข้อเสนอต้องลงทะเบียนที่มีข้อมูลถูกต้องครบถ้วนในระบบจัดซื้อจัดจ้างภาครัฐ ด้วยอิเล็กทรอนิกส์ (Electronic Government Procurement: e - GP) ของกรมบัญชีกลาง
3.12 ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ ดังนี้

  1. กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยหรือต่างประเทศ ซึ่งได้จดทะเบียนเกินกว่า 1 ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิ ที่ปรากฏในงบ แสดงฐานะการเงินที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก 1 ปีสุดท้ายก่อนวันยื่นข้อเสนอ งบแสดงฐานะการเงิน 1 ปีสุดท้ายก่อนวันยื่น ข้อเสนอ หมายถึง งบแสดงฐานะการเงินย้อนไป ก่อน

หน้า 2 / 19
วันที่หน่วยงานของรัฐกำหนดให้เป็นวันยื่นข้อเสนอ 1 ปีปฏิทิน เว้นแต่กรณีนิติบุคคลที่จัดตั้งขึ้น ตาม กฎหมายไทย หากวันยื่นข้อเสนอเป็นช่วงระยะเวลาที่กรมพัฒนาธุรกิจการค้ากำหนดให้นิติบุคคล ยื่น งบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ซึ่งจะอยูในช่วงเดือนมกราคมถึงเดือนพฤษภาคม ของทุกปี โดยนิติบุคคลที่เป็นผู้ยื่นข้อเสนอนั้นยังอยู่ในช่วงของการยื่นงบแสดงฐานะการเงินกับกรม พัฒนาธุรกิจการค้า คือ ช่วงเดือนมกราคม - เดือนพฤษภาคม กรณีนี้ให้สามารถยื่นงบแสดงฐานะ การเงินย้อนไปอีก 1 ปี ได้
2) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย ซึ่งยังไม่มีการรายงาน งบแสดงฐานะ การเงินกับกรมพัฒนาธุรกิจการค้า หรือกรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมาย ต่างประเทศซึ่งยังไม่มีการรายงานงบแสดงฐานะการเงิน ให้พิจารณาการกำหนดมูลค่าของทุนจด ทะเบียนโดยผู้ยื่นข้อเสนอจะต้องมีทุนจดทะเบียนที่เรียกชำระมูลค่าหุ้นแล้ว ณ วันที่ยื่นข้อเสนอ ดังนี้
(1) มูลค่าการจัดซื้อจัดจ้างไม่เกิน 1 ล้านบาท ไม่ต้องกำหนดทุนจดทะเบียน (2) มูลค่าการจัดซื้อจัดจ้างเกิน 1 ล้านบาท แต่ไม่เกิน 5 ล้านบาท ต้องมีทุนจดทะเบียนไม่ต่ำ กว่า 1 ล้านบาท
(3) มูลค่าการจัดซื้อจัดจ้างเกิน 5 ล้านบาทแต่ไม่เกิน 10 ล้านบาท ต้องมีทุนจดทะเบียนไม่ต่ำ กว่า 2 ล้านบาท
(4) มูลค่าการจัดซื้อจัดจ้างเกิน 10 ล้านบาท แต่ไม่เกิน 20 ล้านบาท ต้องมีทุนจดทะเบียนไม่ ต่ำกว่า 3 ล้านบาท
(5) มูลค่าการจัดซื้อจัดจ้างเกิน 20 ล้านบาท แต่ไม่เกิน 60 ล้านบาท ต้องมีทุนจดทะเบียนไม่ ต่ำกว่า 8 ล้านบาท
(6) มูลค่าการจัดซื้อจัดจ้างเกิน 60 ล้านบาท แต่ไม่เกิน 150 ล้านบาท ต้องมีทุนจดทะเบียน ไม่ต่ำกว่า 20 ล้านบาท
(7) มูลค่าการจัดซื้อจัดจ้างเกิน 150 ล้านบาท แต่ไม่เกิน 300 ล้านบาท ต้องมีทุนจดทะเบียน ไม่ต่ำกว่า 60 ล้านบาท
(8) มูลค่าการจัดซื้อจัดจ้างเกิน 300 ล้านบาท แต่ไม่เกิน 500 ล้านบาท ต้องมีทุนจดทะเบียน ไม่ต่ำกว่า 100 ล้านบาท
(9) มูลค่าการจัดซื้อจัดจ้างเกิน 500ล้านบาทขึ้นไป ต้องมีทุนจดทะเบียนไม่ต่ำกว่า 200ล้านบาท 3) สำหรับการจัดซื้อจัดจ้างครั้งหนึ่งที่มีวงเงินเกิน 500,000 บาทขึ้นไป กรณีผู้ยื่นข้อเสนอ เป็นบุคคล ธรรมดาให้พิจารณาจากหนังสือรับรองบัญชีเงินฝากไม่เกิน 90 วัน ก่อนวันยื่นข้อเสนอ โดยต้องมีเงิน ฝากคงเหลือในบัญชีธนาคารเป็นมูลค่า 1 ใน 4 ของมูลค่างบประมาณของโครงการหรือรายการ ที่ยื่น ข้อเสนอในแต่ละครั้ง และหากเป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ได้รับการคัดเลือกจะต้องแสดง หนังสือรับรองบัญชีเงินฝากที่มีมูลค่าดังกล่าวอีกครั้งหนึ่งในวันลงนามในสัญญา
4) กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียน หรือมี แต่ไม่เพียงพอที่จะเข้ายื่น ข้อเสนอ สามารถดำเนินการได้ดังนี้
(1) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย หรือบุคคลธรรมดา ที่ถือสัญชาติ ไทย ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ 1 ใน 4 ของมูลค่า งบประมาณ ของโครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง จะเป็นสินเชื่อที่ธนาคาร ภายในประเทศ หรือบริษัทเงินทุน หรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบ กิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจ ค้ำประกันตามประกาศของธนาคารแห่ง

หน้า 3 / 19
ประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทย แจ้งเวียนให้ทราบ โดย พิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สำนักงานใหญ่รับรอง หรือที่สำนักงานสาขา รับรอง (กรณีได้รับมอบอำนาจจากสำนักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวันยื่น ข้อเสนอไม่เกิน 90 วัน
(2) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศ หรือบุคคลธรรมดาที่มิได้ ถือสัญชาติไทย ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ 1 ใน 4 ของ มูลค่า งบประมาณของโครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง จะเป็นสินเชื่อที่ ธนาคารต่างประเทศหรือบริษัท เงินทุนหรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจ ค้ำประกันตามประกาศของ ธนาคารกลางต่างประเทศนั้น ตามรายชื่อบริษัทที่ธนาคารกลางต่างประเทศนั้น แจ้งเวียนให้ ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สำนักงานใหญ่รับรอง หรือที่สำนักงาน สาขารับรอง (กรณีได้รับมอบอำนาจจากสำนักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวัน ยื่นข้อเสนอไม่เกิน 90 วัน
5) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศ หรือบุคคลธรรมดาที่มิได้ถือ สัญชาติไทยตามข้อ 2) ข้อ 3) และข้อ 4) (2) มูลค่าจะต้องเป็นไปตามอัตราแลกเปลี่ยนเงินตรา ตาม ประกาศที่ธนาคารแห่งประเทศไทยกำหนด ในช่วงระหว่างวันที่เผยแพร่ประกาศและเอกสารประกวด ราคา ในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (e - GP) จนถึงวันเสนอราคา
ทั้งนี้ ผู้ยื่นข้อเสนอจะต้องยื่นเอกสารที่แสดงให้เห็นถึงข้อมูลเกี่ยวกับมูลค่าสุทธิ ของกิจการแล้วแต่กรณี ประกอบกับเอกสารดังกล่าวจะต้องผ่านการรับรองตามระเบียบกระทรวงการต่างประเทศ ว่าด้วยการรับรองเอกสาร พ.ศ. 2539 และที่แก้ไขเพิ่มเติม กำหนด โดยจะต้องยื่นเอกสารดังกล่าว ในวันยื่นข้อเสนอ หากผู้ยื่นข้อเสนอมิได้มีการ ยื่นเอกสารดังกล่าวมาพร้อมกับการยื่นข้อเสนอให้ถือว่า ผู้ยื่นข้อเสนอรายนั้นยื่นเอกสารไม่ครบถ้วนตามเงื่อนไขที่ กำหนดไว้ในเอกสารประกวดราคา
6) กรณีตามข้อ 1) - ข้อ 5) ไม่ใช้บังคับกับกรณีดังต่อไปนี้
(1) กรณีที่ผู้ยื่นข้อเสนอเป็นหน่วยงานของรัฐภายในประเทศ
(2) นิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยที่อยู่ระหว่างการฟื้นฟูกิจการ ตามพระราชบัญญัติ ล้มละลาย พ.ศ. 2483 และที่แก้ไขเพิ่มเติม
(3) งานจ้างก่อสร้างที่กรมบัญชีกลางได้ขึ้นทะเบียนผู้ประกอบการงานก่อสร้างแล้ว และงานจ้าง ก่อสร้างที่หน่วยงานของรัฐที่ได้มีการจัดทำบัญชีผู้ประกอบการงานก่อสร้างที่มีคุณสมบัติ เบื้องต้นไว้แล้ว ก่อนวันที่พระราชบัญญัติการจัดซื้อจัดจ้างฯ มีผลใช้บังคับ
(4) การจัดซื้อจัดจ้างตามมาตรา 56 วรรคหนึ่ง (2) (ข) และ (ค) แห่งพระราชบัญญัติ การจัดซื้อ จัดจ้างฯ
(5) การซื้ออสังหาริมทรัพย์และการเช่าอสังหาริมทรัพย์
(6) กรณีงานจ้างบริการหรืองานจ้างเหมาบริการกับบุคคลธรรมดา เช่น จ้างพนักงานขับรถ ครู ชาวต่างชาติ พนักงานเก็บขยะ พนักงานบันทึกข้อมูล เป็นต้น
3.13 ผู้เสนอราคาต้องมีผลงานเกี่ยวกับการติดตั้งระบบเครือข่าย หรือการติดตั้งระบบรักษาความมั่นคง ปลอดภัยทางไซเบอร์หรือระบบเฝ้าระวังและรักษาความมั่นคงปลอดภัยไซเบอร์ของศูนย์ปฏิบัติการรักษา ความมั่นคงปลอดภัย หรืออุปกรณ์เฝ้าระวังและรักษาความมั่นคงปลอดภัยไซเบอร์ อย่างน้อย 1 งาน โดย เป็นผลงานที่แล้วเสร็จภายในระยะเวลาไม่เกิน 5 ปี นับถึงวันยื่นข้อเสนอ และเป็นผลงานที่ดำเนินการแล้ว
หน้า 4 / 19
เสร็จภายใต้สัญญาเดียว มีมูลค่าของผลงานไม่น้อยกว่า 10,000,000 บาท (สิบล้านบาทถ้วน) โดยต้องเป็น ผลงานที่เป็นคู่สัญญาโดยตรงกับหน่วยงานของรัฐ รัฐวิสาหกิจ หน่วยงานเอกชน หรือองค์กรอื่นที่มีสถานะ เป็นนิติบุคคล ทั้งนี้ ผู้เสนอราคาต้องยื่นหนังสือรับรองผลงานจากคู่สัญญา และสำเนาสัญญาพร้อมรับรอง สำเนาถูกต้องในวันยื่นข้อเสนอ โดยคณะกรรมการพิจารณาผลขอสงวนสิทธิ์ในการตรวจสอบเอกสาร หนังสือรับรองผลงานและสำเนาสัญญาไปยังหน่วยงานที่ออกเอกสาร
3.14 ผู้เสนอราคาจะต้องทำเอกสารข้อเสนอทางเทคนิค และตารางเปรียบเทียบรายละเอียดและเงื่อนไขเฉพาะ ตามขอบเขตและรายละเอียดของงานโครงการฯ (Specification) เป็นรายข้อทุกข้อ (Statement of Compliance) โดยใช้ตารางการเปรียบเทียบ ดังนี้
รายละเอียดการเปรียบเทียบขอบเขตและรายละเอียดของงาน
หัวข้อ/รายการ
คุณลักษณะเฉพาะ ของอุปกรณ์ และ ขอบเขตของงาน
รายการคุณลักษณะ เฉพาะของอุปกรณ์ และขอบเขตของ
งานที่เสนอ
ทำได้
(Compliance)
เลขหน้าเอกสาร
อ้างอิงในเอกสารข้อเสนอ ทางเทคนิค
รายละเอียด/
คำชี้แจง
เหตุผลเพิ่มเติม
……
……
……
……
……

  1. ขอบเขตของงาน
    4.1 ผู้รับจ้างต้องดำเนินการจัดหาและส่งมอบระบบยืนยันตัวตนเพิ่มเติมหลังจากทำการยืนยันตัวตนโดยการใช้ รหัสผ่าน Multifactor Authentication จำนวน 1 ระบบ
    4.1.1 มีสิทธิการใช้งานระบบยืนยันตัวตนเพิ่มเติมหลังจากทำการยืนยันตัวตนโดยการใช้รหัสผ่าน จำนวนไม่น้อยกว่า 1,000 ผู้ใช้งาน
    4.1.2 เป็นระบบซึ่งทำงานเป็น Appliance หรือ Virtual Appliance เพื่อติดตั้งแบบ On-Premise ได้ 4.1.3 สามารถกำหนดนโยบายรหัสผ่านได้ เช่น ความยาวขั้นต่ำของรหัสผ่าน องค์ประกอบของรหัสผ่าน และความซับซ้อนของรหัสผ่าน เป็นต้น
    4.1.4 สามารถรองรับรูปแบบการยืนยันตัวตนได้หลากหลาย เช่น Basic Authentication, Form Based, X.509 Client Certificate และมีช่องทางการยืนยันตัวตนภายนอก (External Authentication Interface: EAI) ได้เป็นอย่างน้อย
    4.1.5 สนับสนุนกระบวนการตรวจสอบผู้ใช้งานได้หลายรูปแบบ เช่น User-ID, Client-Side Certificate, RSA SecurID เป็นต้น
    4.1.6 สามารถใช้การยืนยันตัวตนแบบ Multifactor Authentication ได้ โดยมีรูปแบบการยืนยัน ตัวตนเพิ่มเติม เช่น Email OTP, HOTP OTP, RSA OTP, FIDO Universal รวมถึงมีแอปพลิเค ชันสนับสนุนบน Smart Phone
    4.1.7 สามารถทำงานร่วมกับ OpenAPI หรือ OpenID ได้
    4.1.8 ระบบที่จัดหาต้องสามารถใช้งานร่วมกับระบบของสำนักงานที่มีอยู่ได้และสามารถให้บริการได้ อย่างต่อเนื่อง ไม่มีผลกระทบ
    หน้า 5 / 19
    4.2 ผู้รับจ้างต้องดำเนินการจัดหาและส่งมอบระบบบริหารจัดการกุญแจดิจิทัลสำหรับเข้ารหัส จำนวน 1 ระบบ
    4.2.1 เป็นระบบซึ่งออกแบบมาสำหรับเป็น Hardware Security Module as a Service โดยเฉพาะ 4.2.2 ต้องใช้งานร่วมกับระบบและข้อมูลที่ สคส. ได้มีการพัฒนาและเข้ารหัสไว้แล้วได้ 4.2.3 ต้องได้รับการรับรองตามมาตรฐาน FIPS 140-2 Level 3 หรือดีกว่า
    4.2.4 ต้องเป็นระบบที่ให้บริการเฉพาะกับ สคส. โดยไม่มีการใช้งานร่วมกับผู้ใช้งานรายอื่น ในอุปกรณ์ หรือ Instance เดียวกัน
    4.2.5 ต้องมีไม่น้อยกว่า 2 Instance เพื่อเพิ่มความพร้อมใช้(High Availability)
    4.2.6 สามารถรักษาความปลอดภัยและป้องกัน Application Keys ไว้บนตัวระบบ HSM หรือ เข้ารหัส ด้วย Master Key เพื่อเปลี่ยนแปลงรูปแบบให้เป็นการเข้ารหัส (Application Key Token) 4.2.7 สามารถรักษาความปลอดภัยและป้องกัน Application Key รวมถึงสามารถสำรอง Application Key Token ได้ โดยไม่ต้องใช้อุปกรณ์HSM เพิ่มเติม หรือหากไม่สามารถดำเนินการได้ ต้องเสนอ ระบบที่สามารถดำเนินการได้ตามความต้องการเพิ่มเติม
    4.2.8 สามารถเข้ารหัสในรูปแบบต่าง ๆ ได้ดังนี้
  1. แบบ Asymmetric Algorithm เช่น RSA, DH, DSA และ ECC
  2. แบบ Symmetric Algorithm เช่น AES, ARIA, Camellia, CAST, RIPEMD160 HMAC, SEED และ 3DES ได้เป็นอย่างน้อย
  3. รองรับรูปแบบการเข้ารหัสใหม่ เพื่อรองรับ Post-Quantum Cryptography
    4.2.9 มี Application Programming Interface (API) แบบ PKCS#11, OpenSSL, Java (JCE), Microsoft CAPI/CNG
    4.2.10 มีระบบในการทำ Data Tokenization โดยมีรายละเอียดดังนี้
  4. สามารถปิดบังข้อมูลบางส่วนได้ (Data Masking)
  5. สามารถใช้งานได้ผ่าน REST API ได้
  6. สามารถทำ Chain Operation โดยสามารถปิดบังข้อมูล (Mask) บางส่วนได้หลังจาก การถอดรหัส (De-Tokenize) ได้
  7. สามารถใช้กับอักขระภาษาไทยได้
  8. รองรับการทำ Data Encryption ผ่าน RESTful API โดยการเพิ่ม License ได้ในอนาคต 6) สามารถบริหารจัดการและตั้งค่าได้ผ่าน Web UI
  9. ระบบต้องสามารถใช้งานร่วมกับ ระบบบริหารจัดการกุญแจดิจิทัลสำหรับเข้ารหัส ได้ 8) สามารถยืนยันตัวตนโดยใช้ Certificate ได้
  10. ไม่จำกัดจำนวนแพลตฟอร์มที่จะทำการติดตั้งชุดซอฟต์แวร์เพื่อใช้งาน
    4.2.11 ระบบที่จัดหาต้องสามารถใช้งานร่วมกับระบบของสำนักงานที่มีอยู่ได้และสามารถให้บริการได้ อย่างต่อเนื่อง ไม่มีผลกระทบ
    4.3 ผู้รับจ้างต้องดำเนินการจัดหาและส่งมอบระบบบริการตรวจสอบและป้องกันภัยคุกคามระบบเว็บแอป พลิเคชันและระบบฐานข้อมูล (Web Application Firewall) จำนวน 1 ระบบ
    4.3.1 สามารถป้องกันการโจมตีระบบต่าง ๆ ภายใต้โดเมน pdpc.or.th ได้ ไม่จำกัด subdomain
    หน้า 6 / 19
    4.3.2 สามารถป้องกันการโจมตีจากในระบบเครือข่ายแบบ DDoS ที่ระดับ Network Layer 3, 4 และ 7 ได้โดยไม่จำกัดจำนวนครั้ง และปริมาณการโจมตี
    4.3.3 รองรับการโจมตีประเภท DDoS ได้ไม่น้อยกว่า 248Tbps
    4.3.4 ต้องมี Node หรือ PoP (Point-of-Presence) ทั่วโลกรวมถึงประเทศไทย โดยในประเทศไทย ต้องมีจำนวน Node/PoP ไม่น้อยกว่า 9 จุด
    4.3.5 บริการในประเทศไทย ต้องสามารถป้องกันการโจมตีและบริการต่าง ๆ ดังนี้ DDoS Protection, Web Application Firewall (WAF) และ Content Delivery Network (CDN) 4.3.6 สามารถป้องกันการโจมตีผ่านเว็บไซต์ตามเงื่อนไขดังต่อไปนี้
  11. SQL Injection
  12. Broken Authentication
  13. Sensitive Data Exposure
  14. XML External Entities (XEE)
  15. Broken Access Control
  16. Security Misconfiguration
  17. Cross-Site Scripting
  18. Insecure Deserialization
  19. Using Components with known vulnerabilities
  20. Insufficient Logging and Monitoring
    4.3.7 สามารถกำหนดค่าของ Web Application Firewall Rule ได้ไม่น้อยกว่า 1,000 กฎ และ สามารถเลือกปิด/เปิด ได้
    4.3.8 สามารถกำหนดค่าของ Firewall ได้ ด้วยการกำหนด Source IP Address, Source IP Address Range, Autonomous Number (ASN)
    4.3.9 สามารถตรวจสอบการใช้งาน JavaScript ได้
    4.3.10 สามารถจัดการการทำ Caching ได้ เช่น การสั่งให้ลบข้อมูลจาก Cache หรือ ลบข้อมูลตาม เงื่อนไข เช่น Host, URL หรือ Tag ได้
    4.3.11 สามารถแสดงเนื้อหาของเว็บไซต์แบบ Static เป็นการชั่วคราวในขณะที่เครื่องแม่ข่ายไม่สามารถ ใช้งานได้
    4.3.12 มี Dashboard แสดงรายงานต่างๆ แบบทันต่อเหตุการณ์ (Real Time/Near Real Time) เพื่อ แสดงให้เห็นถึงปริมาณการเรียกใช้งาน ภัยคุกคาม อัตราการประหยัดแบนด์วิดธ์ โดยสามารถ แสดงข้อมูลได้ไม่น้อยกว่า 30 วัน
    4.3.13 มี Dashboard ด้าน Security โดยมีรายงานให้เห็นถึงหมายเลข IP Address ต้นทาง เว็บเบรา เซอร์ ประเทศ การโจมตี โดยสามารถแสดงข้อมูลได้ไม่น้อยกว่า 30 วัน
    4.3.14 มี Application Programming Interface (API) เพื่อใช้งานหรือสั่งการจากภายนอกได้ 4.3.15 สามารถส่งข้อมูลจราจรทางคอมพิวเตอร์กลับมาที่ สคส. ได้
    4.3.16 มีระบบตรวจสอบสุขภาพ (Health Check) ของเครื่องแม่ข่ายเพื่อให้ทราบถึงความพร้อมใช้และ แจ้งเตือนทางอีเมลได้
    4.3.17 มี Certificate สำหรับเว็บไซต์ที่ได้รับการรับรอง สำหรับ Website ที่ทำงานภายใต้การป้องกัน โดยไม่มีค่าใช้จ่ายเพิ่มเติม
    หน้า 7 / 19
    4.3.18 สามารถเพิ่ม Certificate (Custom Certificate) จากภายนอกได้ไม่น้อยกว่า 1 ใบรับรอง 4.3.19 ระบบที่จัดหาต้องสามารถใช้งานร่วมกับระบบของสำนักงานที่มีอยู่ได้และสามารถให้บริการได้ อย่างต่อเนื่อง ไม่มีผลกระทบ
    4.4 ผู้รับจ้างต้องดำเนินการจัดหาและส่งมอบระบบซอฟต์แวร์ตรวจสอบและการวิเคราะห์ Application Performance Monitoring Service and Dashboard จำนวน 1 ระบบ
    4.4.1 สามารถตรวจสอบประสิทธิภาพการทำงานของแอปพลิเคชันได้ เพียงพอ โดยมีปริมาณระบบที่ ต้องการตรวจสอบไม่น้อยกว่า
  21. ตรวจสอบประสิทธิภาพและเฝ้าระวังระบบบนเครื่องแม่ข่ายหรือเครื่องแม่ข่ายเสมือนได้ ไม่น้อยกว่า 25 เครื่อง
  22. สามารถตรวจสอบประสิทธิภาพและเฝ้าระวังได้ไม่น้อยกว่า 120 Containers
  23. สามารถตรวจสอบประสิทธิภาพและเฝ้าระวังครอบคลุม จำนวนรวม CPU หรือ Core ไม่น้อยกว่า 200 CPU หรือ Core และหน่วยความจำรวมได้ไม่น้อยกว่า 1,500 GB
  24. สามารถตรวจสอบประสิทธิภาพและเฝ้าระวังระบบฐานข้อมูลแบบ MySQL ได้ไม่น้อย กว่า 2 Servers
    4.4.2 สามารถตรวจสอบประสิทธิภาพจากการใช้งานจริงของผู้ใช้งานได้ (Real User Monitoring: RUM)
    4.4.3 สามารถรองรับผู้ใช้งานในการตรวจสอบประสิทธิภาพได้ไม่น้อยกว่า 5,000 Session ต่อเดือน 4.4.4 ทำงานแบบ Software as a Service ผ่านระบบ Cloud
    4.4.5 มี Agent ในการตรวจสอบประสิทธิภาพและเฝ้าระวังครอบคลุมระบบปฏิบัติการและ แพลตฟอร์มต่างๆ เช่น Windows Server และ Linux Server รวมถึง OpenShift/Kubernetes ได้เป็นอย่างน้อย
    4.4.6 สามารถตรวจสอบประสิทธิภาพการทำงานของแอปพลิเคชันทั้งในลักษณะเว็บเซอร์วิส (Web Service) และเว็บแอปพลิเคชัน (Web Application) โดยบอกถึงประสิทธิภาพการทำงาน (Request, Latency และ Error) โดยแสดงข้อมูลแบบ Metric และ Trace ได้
    4.4.7 สามารถตรวจสอบประสิทธิภาพการทำงานของแอปพลิเคชัน ที่พัฒนาด้วยภาษาต่างๆ เช่น Java, .Net, Node.js, Python และ PHP ได้เป็นอย่างน้อย
    4.4.8 สามารถแสดงความสัมพันธ์ระหว่างแอปพลิเคชันเซอร์วิสได้ (Service Map)
    4.4.9 สามารถตรวจสอบประสิทธิภาพการทำงานของ OpenShift/Kubernetes ได้ในรูปแบบ Metric โดยมีข้อมูลของ Cluster, Namespace, Nodes, Pods, Containers, ReplicaSet, Services, Ingress, Roles และ Storage ได้เป็นอย่างน้อย รวมถึงสามารถนำข้อมูลประสิทธิภาพการ ทำงานของแอปพลิเคชันแบบ trace ที่เกี่ยวข้องในช่วงเวลาเดียวกันมาแสดงได้
    4.4.10 สามารถตรวจสอบประสิทธิภาพการทำงานของ MySQL Database ในรูปแบบ Metric และ ตรวจสอบประสิทธิภาพของโปรแกรมบริหารจัดการฐานข้อมูลในระดับ Query Statement โดย แสดงข้อมูลของ Blocking/Waiting Query Statement ได้เป็นอย่างน้อย
    4.4.11 สามารถตรวจสอบประสิทธิภาพการทำงานส่วนของผู้ใช้งานเว็บแอปพลิเคชัน โดยแสดงข้อมูล ผู้ใช้งาน เช่น ชนิดของอุปกรณ์ที่ใช้งาน แพลตฟอร์มของเว็บเบราเซอร์ และพื้นที่เรียกใช้งาน ได้ เป็นอย่างน้อย

หน้า 8 / 19
4.4.12 สามารถตรวจสอบประสิทธิภาพการทำงานส่วนของผู้ใช้งานเว็บแอปพลิเคชัน โดยใช้ค่าการวัด มาตรฐาน เช่น Core Web Vital ได้เป็นอย่างน้อย และสามารถแสดงการใช้งานของผู้ใช้งานใน รูปแบบภาพเคลื่อนไหวได้
4.4.13 สามารถตรวจสอบประสิทธิภาพการทำงานส่วนของผู้ใช้งานเว็บแอปพลิเคชัน โดยดึงข้อมูล ประสิทธิภาพการทำงานของแอปพลิเคชันแบบ trace ที่เกี่ยวข้องในช่วงเวลาเดียวกันนำมาแสดง ร่วมกันได้
4.4.14 มีหน้าจอแสดงรายงานในลักษณะ Dashboard สำหรับผู้ดูแลระบบ สามารถสร้าง Dashboard ของตนเองโดยสามารถปรับเปลี่ยนการแสดงข้อมูลที่ต้องการได้
4.4.15 ข้อมูล Metric ต้องสามารถดูข้อมูลย้อนหลังได้ไม่น้อยกว่า 12 เดือน
4.4.16 ระบบที่จัดหาต้องสามารถใช้งานร่วมกับระบบของสำนักงานที่มีอยู่ได้และสามารถให้บริการได้ อย่างต่อเนื่อง ไม่มีผลกระทบ
4.5 ผู้รับจ้างต้องดำเนินการจัดหาและส่งมอบระบบจัดการสำรองและการกู้คืนข้อมูล พร้อมสิทธิ์การสำรอง ข้อมูลได้ไม่น้อยกว่า 10 TB จำนวน 1 ระบบ
4.5.1 ระบบสำรองข้อมูลและกู้คืนเป็นแบบรวมศูนย์ สามารถบริหารจัดการและตั้งค่าผ่านทาง Console GUI หรือ Web GUI ได้
4.5.2 สามารถสำรองข้อมูลเครื่องที่มีระบบปฏิบัติการต่าง ๆ เช่น Windows, Solaris, RedHat, SUSE, CentOS, Oracle Linux, รวมถึง Ubuntu ได้เป็นอย่างน้อย
4.5.3 สามารถสำรองข้อมูลและกู้คืนบนระบบเครื่องคอมพิวเตอร์เสมือน VMWare vSphere หรือ Microsoft Hyper-V หรือ Nutanix AHV แบบ Agentless ได้
4.5.4 สำรองข้อมูลเฉพาะ Change Block เพื่อลดปริมาณข้อมูลที่ทำการสำรองข้อมูล และสามารถกู้ คืนในรูปแบบ Full Restore ได้ โดยไม่ต้องทำการสำรองข้อมูลแบบ Full Backup
4.5.5 รองรับการสำรองข้อมูลและกู้คืนบนระบบฐานข้อมูล Oracle Database, SAP, DB2, Microsoft SQL Server, MongoDB, MySQL และ PostgreSQL ในรูปแบบ Online Backup ได้ 4.5.6 รองรับการสำรองข้อมูลประเภท Distributed File System เช่น Hadoop, HBASE, MongoDB แบบ Agentless ได้
4.5.7 สามารถลดความซ้ำซ้อน (Deduplication) ของข้อมูลที่ทำการสำรองได้ตั้งแต่ต้นทาง (Client side Deduplication) และปลายทาง (Media Server Deduplication) ได้
4.5.8 รองรับการเปิดเครื่องคอมพิวเตอร์เสมือน (Virtual Machine) จาก Backup Storage ขึ้นมาใช้ งานได้ทันที
4.5.9 สามารถทำการเข้ารหัสข้อมูล (Encryption) เพื่อเพิ่มระดับความปลอดภัยของข้อมูลได้ 4.5.10 สามารถแสดงความผิดปกติของการสำรองข้อมูล (Anomaly detection) เช่น ขนาดข้อมูล จำนวนไฟล์ การส่งข้อมูล การลดความซ้ำซ้อน และ ระยะเวลาการสำรองข้อมูล
4.5.11 สามารถตรวจสอบหาไวรัส/มัลแวร์ หลังจากสำรองข้อมูลได้โดยอัตโนมัติ
4.5.12 รองรับการใช้งานแบบ 2FA ได้ และต้องมีการใช้ Host-ID Based Certificate ในการเชื่อมต่อกัน ระหว่าง Host เพื่ออนุญาตให้เชื่อมต่อเฉพาะเครื่องที่มี Certificate จากระบบสำรองข้อมูล เท่านั้น

หน้า 9 / 19
4.5.13 รองรับการสำรองและกู้คืนข้อมูล Namespaces ของ Kubernetes แบบลดความซ้ำซ้อน รวมถึง เลือกกู้คืนข้อมูลเพียงบางส่วน เช่น ConfigMaps, Namespaces, Secrets, Persistent Volumes ผ่านหน้าจอ Web GUI ได้ โดยต้องสามารถใช้งานได้กับ Kubernetes, OpenShift, Tanzu และ GKE ได้
4.5.14 สามารถสำรองข้อมูลได้ไม่จำกัดจำนวนเครื่องโดยสามารถสำรองข้อมูลได้ไม่น้อยกว่า 10 TB 4.5.15 ระบบที่จัดหาต้องสามารถใช้งานร่วมกับระบบของสำนักงานที่มีอยู่ได้และสามารถให้บริการได้ อย่างต่อเนื่อง ไม่มีผลกระทบ
4.6 จัดหาและพัฒนาระบบตรวจจับพฤติกรรม วิเคราะห์และบันทึกข้อมูลของระบบเครือข่ายเพื่อค้นหา พฤติกรรมที่น่าสงสัย (Network Detection) และระบบตรวจจับพฤติกรรมที่น่าสงสัยในเครือข่าย โดย การวางกับดักหรือเหยื่อล่อ (Deception) โดยมีรายละเอียดดังนี้
4.6.1 ระบบตรวจจับพฤติกรรม วิเคราะห์และบันทึกข้อมูลของระบบเครือข่ายเพื่อค้นหาพฤติกรรมที่น่า สงสัย (Network Detection)

  1. สามารถถอดรหัสและวิเคราะห์ข้อมูลในระบบเครือข่ายในระดับ Application Layer (Layer 7) ได้ โดยครอบคลุม Protocol มาตรฐาน เช่น HTTP, DNS, SMTP และ SMB เป็นต้น
  2. รองรับการตรวจจับแบบผสมผสาน ทั้งการใช้ Signature-based เพื่อตรวจจับภัย คุกคามที่รู้จัก และ Behavioral-Based สำหรับการวิเคราะห์พฤติกรรมที่ผิดปกติ
  3. สามารถวิเคราะห์พฤติกรรมที่ถูกเข้ารหัส (SSL/TLS) ได้ โดยไม่ต้องถอดรหัส เช่น การ ตรวจสอบ JA3 Fingerprinting, Certificate Validation หรือ SNI Analysis เป็นต้น 4) สามารถตรวจจับรูปแบบการสื่อสารของมัลแวร์ (Command & Control) และ พฤติกรรมผิดปกติ เช่น Beaconing หรือ DNS Tunneling ได้
  4. มีโครงสร้างแบบ Scripting Framework ที่สามารถปรับแต่งเงื่อนไขการตรวจจับให้ เหมาะสมกับองค์กรได้
    4.6.2 ระบบตรวจจับพฤติกรรมที่น่าสงสัยในเครือข่าย โดยการวางกับดักหรือเหยื่อล่อ (Deception) 1) สามารถจำลองบริการปลอม (Decoy Services) ที่ครอบคลุมโปรโตคอลพื้นฐาน เช่น HTTP, FTP, SSH, SMB และ อื่นๆ ได้
  5. สามารถสร้างบริการปลอมเพิ่มเติม เพื่อจำลองระบบงานเฉพาะได้
  6. สามารถจัดเก็บหรือบันทึกพฤติกรรมของผู้โจมตีได้
  7. สามารถจำลองบริการปลอมได้หลากหลายระดับ ตั้งแต่บริการพื้นฐาน จนถึงบริการที่มี ความซับซ้อนสูง
    4.6.3 การติดตั้งระบบต้องติดตั้งบนเครื่องแม่ข่ายและระบบเครือข่ายที่สำนักงานเป็นผู้จัดสรรและ กำหนดเท่านั้น
    4.6.4 ผู้รับจ้างต้องให้คำแนะนำในการตั้งค่า ดูแลบำรุงรักษา เพิ่มเหยื่อล่อ แก่เจ้าหน้าที่ของ สำนักงาน ที่เกี่ยวข้อง

หน้า 10 / 19
4.7 ผู้รับจ้างต้องดำเนินการเฝ้าระวังและตอบสนองภัยคุกคามทางไซเบอร์ครบวงจร ( Cyber Security Operation Center)
4.7.1 สามารถรวบรวม Log และ Event จากอุปกรณ์หรือระบบที่เกี่ยวข้องกับความมั่นคงปลอดภัย สารสนเทศได้ เช่น Firewall, Server, Database, Application
4.7.2 สามารถทำ Correlation ของเหตุการณ์จากหลายแหล่งข้อมูล เพื่อระบุความสัมพันธ์ แนวโน้ม และรูปแบบของการโจมตีได้
4.7.3 สามารถสร้างเงื่อนไขการตรวจจับภัยคุกคาม (Detection Rule / Use Case) เพิ่มเติม จำนวน สูงสุดไม่น้อยกว่า 2 Use Case ต่อเดือน หรือตามความจำเป็นและความเหมาะสมของ สถานการณ์ภัยคุกคาม และรองรับการใช้ Sigma Rules หรือมาตรฐานเทียบเท่าได้
4.7.4 สามารถอ้างอิง หรือ Mapping เหตุการณ์กับ Framework มาตรฐาน เช่น MITRE ATT&CK หรือเทียบเท่า เพื่อสนับสนุนการวิเคราะห์พฤติกรรมการโจมตี
4.7.5 สามารถวิเคราะห์พฤติกรรมของผู้ใช้งาน อุปกรณ์ หรือเหตุการณ์ (Behavior Analytics) หรือ เทียบเท่า โดยสามารถประเมินความเสี่ยงของเหตุการณ์หรือทรัพย์สิน (Asset) ได้
4.7.6 สามารถแสดงความสัมพันธ์ของเหตุการณ์ (Event Correlation) และลำดับเหตุการณ์ (Timeline) เพื่อสนับสนุนการวิเคราะห์เชิงลึก และการสืบค้นย้อนหลังได้
4.7.7 ต้องรองรับการนำเข้าข้อมูล Threat Intelligence จากภายนอก และสามารถทำ Data Enrichment เพื่อเพิ่มบริบทของเหตุการณ์ได้
4.7.8 สามารถจัดทำรายงานและ Dashboard ขั้นพื้นฐานสำหรับผู้บริหารและผู้ปฏิบัติงาน เพื่อสรุป สถานะความเสี่ยง แนวโน้มภัยคุกคาม และสถานะการดำเนินงานได้
4.7.9 สามารถรองรับปริมาณข้อมูล Log ไม่น้อยกว่า 50 กิกะไบต์ต่อวัน และจัดเก็บข้อมูลย้อนหลังได้ ไม่น้อยกว่า 90 วัน หรือเป็นไปตามที่หน่วยงานกำหนด
4.7.10 สามารถรองรับการนำเข้าข้อมูล Log จากแหล่งข้อมูลที่หลากหลาย ทั้งแบบ Structured และ Unstructured และสามารถทำ Data Parsing หรือแปลงข้อมูลให้อยู่ในรูปแบบที่สามารถ วิเคราะห์ได้
4.7.11 สามารถรับ Log ได้หลากหลายช่องทาง เช่น API, Syslog, Agent หรือวิธีการมาตรฐานอื่นๆ 4.7.12 สามารถวิเคราะห์ข้อมูล Log ด้วยเทคโนโลยี AI, Machine Learning, Natural Language Processing (NLP) หรือเทคโนโลยีเทียบเท่า เพื่อช่วยในการตรวจจับภัยคุกคาม การอธิบาย เหตุการณ์ หรือสนับสนุนการวิเคราะห์หาสาเหตุ
4.7.13 ระบบต้องรองรับการทำ Threat Hunting และสามารถเชื่อมโยงข้อมูลจากหลายแหล่งเพื่อ วิเคราะห์เชิงบริบท (Contextual Analysis) ได้
4.7.14 สามารถรวมข้อมูลด้านความเสี่ยง เช่น Vulnerability, Asset, Threat Intelligence และข้อมูล อื่นที่เกี่ยวข้อง เพื่อใช้ในการวิเคราะห์และคาดการณ์ภัยคุกคามได้
4.7.15 ผู้รับจ้างต้องดำเนินการหรือประสานงานเพื่อติดตั้งระบบที่จำเป็นในการตรวจสอบและเฝ้าระวัง 4.7.16 ต้องมีการเฝ้าระวังระบบของสำนักงานตลอด 24 ชั่วโมง (24x7)
4.7.17 มีการแจ้งเตือนเหตุการณ์ในช่องทางต่าง ๆ เช่น โทรศัพท์ อีเมล และ Line เป็นต้น 4.7.18 ต้องมีการวิเคราะห์และประสานงานเพื่อตอบสนองต่อเหตุการณ์ตามระดับความรุนแรงที่กำหนด 1) เหตุการณ์ระดับ Critical เริ่มดำเนินการวิเคราะห์และแจ้งเตือนภายใน 30 นาที

หน้า 11 / 19
2) เหตุการณ์ระดับ High เริ่มดำเนินการวิเคราะห์และแจ้งเตือนภายใน 45 นาที
3) เหตุการณ์ระดับ Medium เริ่มดำเนินการวิเคราะห์และแจ้งเตือนภายใน 45 นาที 4) เหตุการณ์ระดับ Low เริ่มดำเนินการวิเคราะห์และแจ้งเตือนภายใน 45 นาที
4.7.19 ผู้รับจ้างต้องให้บริการ Remote Support ภายใน 3 ชั่วโมง หรือตามระดับความสำคัญของ เหตุการณ์
4.7.20 ต้องให้คำแนะนำ หรือ ดำเนินการ ในการประสานงานและแจ้งเหตุการณ์ต่อ สกมช. ในกรณีเกิด เหตุการณ์ที่มีความรุนแรง
4.7.21 สนับสนุนการปฏิบัติตามแผนตอบสนองภัยคุกคามทางไซเบอร์ของสำนักงาน
4.7.22 ผู้รับจ้างต้องจัดทำและส่งมอบหลักฐานผลการดำเนินงาน CSOC เพื่อประกอบการตรวจรับ อย่าง น้อยดังต่อไปนี้

  1. รายการแหล่งข้อมูล Log/Event ที่เชื่อมต่อแล้ว พร้อมสถานะการรับข้อมูล
  2. รายการ Detection Rule / Use Case ที่จัดทำ ปรับปรุง หรือเพิ่มเติม
  3. รายการแจ้งเตือน เหตุการณ์ และผลการวิเคราะห์เหตุการณ์
  4. หลักฐานการแจ้งเตือนและการดำเนินการตามระดับความรุนแรงของเหตุการณ์
  5. รายงานการปรับแต่ง Alert, False Positive และ Detection Rule
  6. รายงาน Threat Hunting หรือผลการวิเคราะห์เชิงรุก
  7. Dashboard หรือรายงานสรุปสำหรับผู้บริหารและผู้ปฏิบัติงาน
  8. รายงานผลการให้บริการรายเดือน และรายงานสรุปเมื่อสิ้นสุดโครงการ
  9. ต้องมีการส่งรายงานและประชุมความก้าวหน้าภายในวันที่ 10 ของเดือนถัดไป
    4.8 การตรวจสุขภาพด้านความมั่นคงปลอดภัยไซเบอร์ (Cyber Security Health Check) 4.8.1 ต้องมีการตรวจสอบช่องโหว่ด้านความมั่นคงปลอดภัยไซเบอร์ พร้อมแนะนำแนวทางการแก้ไข 1) ตรวจประเมินช่องโหว่ด้านความมั่นคงปลอดภัยไซเบอร์ให้แก่ระบบและอุปกรณ์ไม่น้อย กว่า 2 ครั้ง จำนวนไม่น้อยกว่า 50 อุปกรณ์/ระบบ
  10. ทดสอบเจาะระบบให้แก่ระบบของสำนักงาน ไม่น้อยกว่า 1 ครั้ง ไม่น้อยกว่า 5 ระบบ หากพบช่องโหว่ในระดับกลางขึ้นไปให้มีการทดสอบซ้ำอีกครั้ง
  11. ก่อนดำเนินการต้องดำเนินการประสานงานนัดหมายผู้เกี่ยวข้องเพื่อชี้แจงรายละเอียด ก่อน
  12. จัดเรียงลำดับความรุนแรงของช่องโหว่ตาม Common Vulnerability Scoring System 5) วิเคราะห์และประเมินความเสี่ยงช่องโหว่ที่พบ
  13. การทดสอบเจาะระบบให้ดำเนินการในรูปแบบ Black Box
  14. การทดสอบเจาะระบบต้องดำเนินการโดยผู้เชี่ยวชาญที่ได้รับใบรับรองความสามารถใน ระดับสากล
  15. การทดสอบเจาะระบบต้องดำเนินการด้วยตัวผู้เชี่ยวชาญแบบ Manual Testing และใช้ เครื่องมืออัตโนมัติ (Automatic Tools)
  16. ให้มีการจัดทำรายงานผลการตรวจสอบช่องโหว่และการทดสอบเจาะระบบพร้อมทั้ง ข้อเสนอแนะในการแก้ไข

หน้า 12 / 19
10) จัดทำรายงานสรุปสุดท้าย เมื่อจบโครงการ โดยมีการรายงานการตรวจสอบช่องโหว่ และ การทดสอบเจาะระบบ ผลการแก้ไขของสำนักงาน และผลการตรวจซ้ำเฉพาะช่อง โหว่ที่พบ (Re-visit)
4.8.2 สนับสนุนการจัดทำรายงานประจำปีเพื่อนำส่ง สกมช. ตามกฎหมาย โดย รวบรวมข้อมูลที่เกิดขึ้น ระหว่างการดำเนินโครงการ และข้อมูลอื่น ๆ
4.8.3 จัดทำและปรับปรุง เอกสารและคู่มือที่จำเป็นของสำนักงานดังต่อไปนี้

  1. แผนรับมือภัยคุกคามทางไซเบอร์ (Cyber Security Incident Response Plan) 2) คู่มือดำเนินการในกรณีเกิดเหตุการณ์ (Playbook): Ransomware, Zero-Day Attack และ Data Breach
    4.8.4 จัดทำการจำลองเหตุการณ์ภัยคุกคามด้านไซเบอร์ (Cyber Drill) เพื่อทดสอบประสิทธิภาพ โดย ประกอบด้วย
  2. จัดการประชุมเชิงปฏิบัติการเพื่อซักซ้อมแผนตอบสนองต่อเหตุการณ์ภัยคุกคามทางไซ เบอร์ (Tabletop Exercise)
  3. ออกแบบสถานการณ์สำหรับการซักซ้อมเสนอต่อคณะทำงานของสำนักงานเพื่อ ดำเนินการ
  4. ประสานงานองค์ประกอบสำหรับการฝึกซ้อม พร้อมจัดเตรียมทรัพยากรที่เกี่ยวข้อง 4) ดำเนินการซักซ้อมและประเมินผลการซักซ้อม พร้อมทั้งให้ข้อเสนอแนะในการปรับปรุง แผนดำเนินการ
    4.8.5 สร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์
  5. จัดอบรมเพื่อสร้างความตระหนักรู้ให้แก่พนักงานและเจ้าหน้าที่ของสำนักงาน ในรูปแบบ ทั้ง Online และ On-Site
  6. ผู้เข้าร่วมอบรมแบบ On-Site ไม่น้อยกว่า 30 คน
  7. ต้องมีการบันทึกการอบรมเพื่อเป็นเนื้อหาการเรียนรู้ออนไลน์สำหรับพนักงานและ เจ้าหน้าที่ของสำนักงานต่อไป
  8. ผู้รับจ้างต้องเป็นผู้จัดเตรียมเนื้อหา ข้อมูล และเอกสารต่าง ๆ สำหรับการอบรม ทั้งใน รูปแบบเอกสารและเอกสารดิจิทัล
  9. ดำเนินการทดสอบความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ ด้วยการทดสอบ การส่งอีเมลหลอกลวง (Phishing Simulation)
  10. ดำเนินการสรุปผลและจัดทำรายงาน
    4.8.6 จัดอบรมการใช้งานระบบที่พัฒนาในโครงการ เพื่อให้พนักงานที่เกี่ยวข้องสามารถใช้งานได้อย่าง ถูกต้องและมีประสิทธิภาพ จำนวนไม่น้อยกว่า 10 คน ในรูปแบบออนไซต์ พร้อมเอกสาร ประกอบในรูปแบบดิจิทัล
    4.9 การจัดทำรายงานวิเคราะห์ความเป็นไปได้เพื่อการพัฒนาอย่างยั่งยืน
    4.9.1 ศึกษา และวิเคราะห์ องค์ประกอบและระบบที่มีการจัดหาในโครงการ ตามข้อ 4.1 – 4.5 4.9.2 วิเคราะห์แนวทางการขยายความครอบคลุมขององค์ประกอบต่าง ๆ

หน้า 13 / 19
4.9.3 วิเคราะห์แนวทางการลดค่าใช้จ่ายแบบระบบสมาชิก (Subscription)
4.9.4 วิเคราะห์หาแนวทางการพัฒนาสำหรับแต่ละองค์ประกอบโดยใช้ซอฟต์แวร์แบบเปิดรหัสต้นฉบับ (Open Source)
4.9.5 จัดทำผลกระทบและวิเคราะห์แนวทางการเปลี่ยนผ่าน ทรัพยากรที่ต้องใช้ ค่าใช้จ่ายที่คาดว่าจะ สามารถลดได้
4.9.6 จัดทำเป็นรายงานโดยมีหัวข้อตามที่ สคส. กำหนด
4.10 ผู้รับจ้างต้องจัดทำแผนการดำเนินงานโครงการฯ ตามข้อ 4.1 – 4.9 ที่ระบุกิจกรรมการดำเนินงานอย่าง ละเอียด และนำส่งแผนการดำเนินโครงการฯ ภายใน 15 วัน นับถัดจากวันลงนามในสัญญา
5. หลักเกณฑ์และสิทธิในการพิจารณา
5.1 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จะพิจารณาจากเกณฑ์ราคา โดยพิจารณาคัดเลือก ผู้เสนอราคาที่เสนอราคาต่ำสุด
5.2 ข้อความหรือรายละเอียดใดของข้อกำหนดในเอกสารฉบับนี้ และข้อเสนอทั้งหมดของผู้เสนอราคาที่เสนอ มานั้น หากมีปัญหาในการตีความของข้อความหรือรายละเอียดอื่น ๆ ให้ถือเอาคำวินิจฉัยผลการตัดสิน ของคณะกรรมการฯ ถือเป็นสิ้นสุด
5.3 ในกรณีที่ผู้เสนอราคาที่ได้รับคัดเลือกไม่ยอมเข้าทำสัญญากับสำนักงานฯ ภายในเวลาที่กำหนด คณะกรรมการจะดำเนินการพิจารณาเลือกผู้เสนอราคาที่ได้คะแนนคุณสมบัติ และคุณภาพที่เป็น ประโยชน์ต่อโครงการและสำนักงานฯ มากที่สุดลำดับถัดไปแทน
6. การรับประกัน
6.1 ผู้รับจ้างต้องจัดให้มีศูนย์บริการหรือช่องทางการรับแจ้งเหตุ เพื่อรับแจ้งปัญหา เหตุขัดข้อง ข้อบกพร่อง ของงาน การใช้งานระบบ และเหตุที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ โดย สคส. สามารถแจ้งเหตุ ต่อผู้รับจ้างได้ตลอด 24 ชั่วโมง โดยต้องตอบรับหลังจากวันที่ได้รับแจ้งเหตุภายใน 4 ชั่วโมง ในช่องทาง ต่างๆ เช่น

  • ติดต่อผ่าน E-mail
  • ติดต่อผ่านโทรศัพท์สายด่วน (Hotline/Helpdesk/Call Center)
    6.2 ผู้รับจ้างต้องดำเนินการแก้ไขปัญหาที่เกิดขึ้นให้แล้วเสร็จภายใน 24 ชั่วโมง หากไม่สามารถดำเนินการได้ ตามเวลาที่กำหนด ต้องเสนอแผนดำเนินการแก้ไขและดำเนินการแก้ไขให้แล้วเสร็จภายใน 72 ชั่วโมง เว้น แต่ปัญหาที่เกิดขึ้นเป็นปัญหาที่มีผลกระทบในระดับประเทศหรือหลายประเทศ
    6.3 ผู้รับจ้างต้องรับประกันผลงาน งานติดตั้ง งานตั้งค่า งานพัฒนา/ปรับแต่ง ระบบ ซอฟต์แวร์ สิทธิการใช้ งาน บริการ รายงาน เอกสาร คู่มือ และสิ่งส่งมอบทั้งหมดตามข้อ 4 ให้สามารถใช้งานได้ถูกต้อง ครบถ้วน และเป็นไปตามขอบเขตของงาน
    6.4 ผู้รับจ้างต้องรับประกันงานตามข้อ 4 เป็นระยะเวลาไม่น้อยกว่า 1 ปี โดยนับถัดจากวันที่ผู้จ้างได้รับมอบ งานจ้าง
    6.5 หากพบว่าระบบ บริการ รายงาน เอกสาร คู่มือ หรือสิ่งส่งมอบใดไม่ถูกต้อง ไม่ครบถ้วน ไม่สามารถใช้งาน ได้ตามขอบเขตของงาน หรือไม่เป็นไปตามข้อเสนอทางเทคนิค ผู้รับจ้างต้องด าเนินการแก้ไข ปรับปรุง หรือส่งมอบเพิ่มเติมจนกว่าจะถูกต้องครบถ้วน โดยไม่คิดค่าใช้จ่ายเพิ่มเติม และไม่ถือเป็นเหตุให้ผู้รับจ้าง

หน้า 14 / 19
ขอขยายระยะเวลาการส่งมอบงาน เว้นแต่เกิดจากเหตุที่ส านักงานเป็นผู้ก่อให้เกิดความล่าช้า หรือมีเหตุ อื่นตามที่กฎหมายหรือสัญญาก าหนด
7. หลักฐานในการเสนอราคา
ผู้เสนอราคาจะต้องยื่นเอกสารดังต่อไปนี้
7.1 หลักฐานการจดทะเบียนนิติบุคคล

  1. ห้างหุ้นส่วนสามัญหรือห้างหุ้นส่วนจำกัดให้ยื่นสำเนาหนังสือรับรองการจดทะเบียนนิติบุคคล บัญชี รายชื่อหุ้นส่วนผู้จัดการ ผู้มีอำนาจควบคุม พร้อมรับรองสำเนาถูกต้องทุกหน้า
  2. บริษัทจำกัดหรือบริษัทมหาชนจำกัด ให้ยื่นสำเนาหนังสือรับรองการจดทะเบียนนิติบุคคล หนังสือ บริคณห์สนธิ บัญชีรายชื่อกรรมการผู้จัดการ ผู้มีอำนาจควบคุม และบัญชีผู้ถือหุ้นรายใหญ่ และใน กรณีผู้ถือหุ้นเป็นนิติบุคคลให้แสดงหลักฐานที่แสดงชื่อบุคคลผู้ถือหุ้นในนิติบุคคลนั้นมาด้วยพร้อม รับรองสำเนาถูกต้องทุกหน้า
  3. ในกรณีที่ผู้เสนอราคาหรือผู้เสนองานเป็นผู้เสนอราคาหรือผู้เสนองานร่วมกันในฐานะเป็นผู้ร่วมค้าให้ ยื่นสำเนาสัญญาของการเข้าร่วมค้า สำเนาบัตรประจำตัวประชาชนของผู้ร่วมค้า และในกรณีที่ ผู้เข้าร่วมค้าฝ่ายใดเป็นบุคคลธรรมดาที่มิได้ถือสัญชาติไทยก็ให้ยื่นสำเนาหนังสือเดินทาง หรือถ้าผู้ร่วม ค้า ฝ่ายใดเป็นนิติบุคคล ให้ยื่นเอกสารตามที่ระบุไว้ในข้อ 1)
  4. เอกสารอื่นตามที่ส่วนราชการกำหนด เช่น หนังสือแสดงฐานะทางการเงิน สำเนาใบทะเบียนพาณิชย์ สำเนาใบทะเบียนภาษีมูลค่าเพิ่ม
  5. ในกรณีเป็นสถาบันการศึกษาหรือหน่วยงานที่จัดตั้งโดยพระราชบัญญัติ ต้องสำเนาแสดงหลักฐานการ จัดตั้งหน่วยงาน วัตถุประสงค์ และอำนาจหน้าที่ของหน่วยงาน พร้อมทั้งรับรองสำเนาถูกต้องทุกหน้า 7.2 หนังสือแสดงฐานะทางการเงิน สำเนาใบทะเบียนพาณิชย์(ถ้ามี) หรือสำเนาใบทะเบียนภาษีมูลค่าเพิ่ม (ถ้ามี) พร้อมรับรองสำเนาถูกต้องทุกหน้า
    7.3 หนังสือมอบอำนาจซึ่งปิดอากรแสตมป์ตามกฎหมายในกรณีที่ผู้เสนอราคามอบอำนาจให้บุคคลอื่นทำการแทน 7.4 หลักฐานแสดงผลงานที่เกี่ยวข้องกับขอบเขตของงานที่ต้องดำเนินการ เช่น สำเนาสัญญาของโครงการที่ได้ ดำเนินการ เป็นต้น
    7.5 ผู้เสนอราคาต้องยื่นข้อเสนอเป็นภาษาไทย ส่วนเอกสารอ้างอิงสามารถเป็นภาษาไทยหรือภาษาอังกฤษ หากเป็นภาษาอื่นต้องแปลเป็นภาษาไทย
    7.6 ราคาที่เสนอจะต้องเป็นราคาที่รวมภาษีมูลค่าเพิ่ม และภาษีอื่น ๆ (ถ้ามี) รวมค่าใช้จ่ายทั้งปวงไว้ด้วยแล้ว 7.7 หนังสือแต่งตั้งตัวแทนจำหน่ายพร้อมรับรองบริการหลังการขายจากเจ้าของผลิตภัณฑ์หรือตัวแทนเจ้าของ ผลิตภัณฑ์ภายในประเทศตามข้อกำหนดรายการ ข้อ 4.1 – 4.5 โดยออกให้สำหรับโครงการนี้เท่านั้น 7.8 เอกสารอื่น ๆ ที่เกี่ยวข้อง
  1. ระยะเวลาดำเนินงาน
    ผู้รับจ้างต้องดำเนินการให้แล้วเสร็จภายใน 90 วัน (นับรวมวันหยุดราชการ) นับถัดจากวันที่ลงนามในสัญญา

หน้า 15 / 19
9. การส่งมอบงาน
ผู้รับจ้างต้องส่งมอบงานแบ่งเป็น 2 งวด โดยมีรายละเอียดดังต่อไปนี้
งวด
ดำเนินการ / สิ่งที่ส่งมอบ
ระยะเวลา
1
1. ส่งมอบสิทธิการใช้งาน/หลักฐานการให้บริการ ตามข้อ 4.1 – 4.5 2. รายงานผลการดำเนินงานและการส่งมอบสิทธิการใช้งาน ตามข้อ 4.1 – 4.5
ภายใน 45 วัน
นับถัดจากวันลง
นามในสัญญาจ้าง
2
1. รายงานผลการดำเนินการตามขอบเขตของงานข้อ 4.6
2. รายงานผลการให้บริการเฝ้าระวังและตอบสนองภัยคุกคามทางไซเบอร์ครบ วงจร (Cyber Security Operation Center) ตามข้อ 4.7
3. รายงานผลการดำเนินการตามขอบเขตของงานข้อ 4.8
4. รายงานผลการจัดทำรายงานวิเคราะห์ความเป็นไปได้เพื่อการพัฒนาอย่าง ยั่งยืน ตามข้อ 4.9
ภายใน 90 วัน
นับถัดจากวันลง
นามในสัญญาจ้าง

ให้ส่งมอบเอกสารรายงาน จำนวน 5 ชุด และรูปแบบเอกสารอิเล็กทรอนิกส์ อยู่ในแฟลชไดร์ฟ จำนวน 2 ชุด ของ แต่ละงวดงาน
10. การตรวจรับ
สคส. จะตรวจรับงานเมื่อผู้รับจ้าง ได้ดำเนินการส่งมอบงานตามหัวข้อเงื่อนไขการส่งมอบงานเรียบร้อยแล้ว โดยมีรายละเอียดการตรวจรับงาน ดังนี้

  1. สคส. จะถือว่าการตรวจรับงานเสร็จสิ้นสมบูรณ์ต่อเมื่อได้ทดสอบการใช้งานระบบทั้งหมดแล้วว่า สามารถใช้งานได้อย่างมีประสิทธิภาพ
  2. ผู้รับจ้างต้องดำเนินการติดตั้ง ตั้งค่า ทดสอบระบบ อุปกรณ์ ซอฟต์แวร์ และองค์ประกอบที่เกี่ยวข้อง กับโครงการให้แล้วเสร็จ พร้อมส่งมอบเอกสาร หลักฐาน รายงาน คู่มือ และข้อมูลประกอบการตรวจ รับตามที่ สคส. กำหนด
  3. สคส. ขอสงวนสิทธิ์ในการที่จะเปลี่ยนแปลงหรือเพิ่มเติมข้อกำหนดในการทดสอบและ/หรือเลือก ทดสอบบางกรณี
  4. งาน ระบบ บริการ รายงาน และเอกสารที่ส่งมอบต้องครบถ้วน และสามารถใช้งานได้ตามขอบเขตงาน หากพบข้อบกพร่องหรือรายการที่ไม่เป็นไปตามข้อกำหนดอันเป็นสาระสำคัญ สคส. มีสิทธิไม่ตรวจรับ งานในส่วนนั้น หรือให้ผู้รับจ้างดำเนินการแก้ไข ปรับปรุง หรือส่งมอบเพิ่มเติมจนกว่าจะครบถ้วน ถูกต้องตามสัญญา
  5. หลังจาก สคส. ตรวจรับงานเรียบร้อยแล้ว ผู้รับจ้างต้องให้ความร่วมมือในการปรับตั้งค่า สนับสนุนการ ใช้งานจริง และประสานงานกับเจ้าหน้าที่หรือผู้เกี่ยวข้อง เพื่อให้ระบบหรือบริการภายใต้สัญญาจ้าง สามารถใช้งานได้อย่างต่อเนื่องและมีประสิทธิภาพ

หน้า 16 / 19
11. เงื่อนไขการชำระเงิน
สคส. จะชำระค่าจ้างให้แก่ผู้รับจ้าง เมื่อผู้รับจ้างส่งมอบงานแต่ละงวดครบถ้วนถูกต้อง และคณะกรรมการ ตรวจรับงานได้ตรวจรับงานจ้างเรียบร้อยแล้ว โดยแบ่งการชำระค่าจ้างเป็น 2 งวด ดังนี้
งวดที่1 ชำระเงินร้อยละ 85 ของวงเงินทั้งหมด เมื่อผู้รับจ้างมอบงวดที่ 1 ครบถ้วน และคณะกรรมการได้ ตรวจรับงานเรียบร้อย
งวดที่2 ชำระเงินร้อยละ 15 ของวงเงินทั้งหมด เมื่อผู้รับจ้างมอบงวดที่ 2 ครบถ้วน และคณะกรรมการได้ ตรวจรับงานเรียบร้อย
12. ค่าปรับ
12.1 หากผู้รับจ้างไม่สามารถดำเนินงานหรือส่งมอบงานให้แล้วเสร็จตามระยะเวลา เงื่อนไข และขอบเขตงานที่ กำหนดไว้ในสัญญา ผู้รับจ้างต้องชำระค่าปรับให้แก่สำนักงาน ในอัตราร้อยละ 0.10 (ศูนย์จุดหนึ่งศูนย์) ของ วงเงินค่าจ้างตามสัญญา โดยนับถัดจากวันที่ครบกำหนดส่งมอบงานตามสัญญา จนถึงวันที่ผู้รับจ้างส่งมอบ งานครบถ้วนถูกต้อง
12.2 หากผู้รับจ้างไม่สามารถดำเนินการตามข้อกำหนดการรับประกันผลงาน การสนับสนุนหลังส่งมอบ ระดับการ ให้บริการ หรือระยะเวลาการตอบสนองที่กำหนดไว้ในข้อ 4.7 และข้อ 6 ได้ ผู้รับจ้างต้องชำระค่าปรับให้แก่ สคส. ตามอัตราที่กำหนดไว้ในสัญญา ทั้งนี้ สำนักงานมีสิทธิหักค่าปรับจากค่าจ้างหรือบังคับจากหลักประกัน การปฏิบัติตามสัญญา และไม่ตัดสิทธิในการเรียกค่าเสียหายเพิ่มเติมหรือใช้สิทธิบอกเลิกสัญญา กรณีไม่มีการ กำหนดอัตราค่าปรับเฉพาะสำหรับรายการใด ให้ สคส. พิจารณาคิดค่าปรับตามความเสียหายที่เกิดขึ้นจริง หรือตามที่กำหนดไว้ในสัญญา
13. ข้อสงวนสิทธิ์
13.1 หลังจากทำสัญญาแล้ว ผู้ว่าจ้างขอสงวนสิทธิ์ในการให้ผู้รับจ้างส่งมอบแผนการดำเนินงาน กิจกรรมให้ ผู้ว่าจ้างพิจารณาเห็นชอบก่อน ซึ่งผู้ว่าจ้างหรือผู้รับผิดชอบของสำนักงานฯ คงไว้ซึ่งสิทธิที่จะสั่งให้แก้ไข ปรับปรุงเปลี่ยนแปลงได้ตามที่เห็นสมควร
13.2 ผู้ว่าจ้างอาจจะออกเอกสารเพิ่มเติม (Addendum) เงื่อนไข และรายละเอียดข้อกำหนดและขอบเขตของ งาน (TOR) เมื่อใดก็ได้ก่อนถึงกำหนดวันและเวลายื่นข้อเสนอ
13.3 ในกรณีที่ผู้ว่าจ้างมีความจำเป็นไม่อาจทำสัญญาได้ หรือมีเหตุจำเป็นด้านอื่น ๆ ที่เป็นอุปสรรคผู้ว่าจ้างขอ สงวนสิทธิ์ที่จะยกเลิกการว่าจ้างครั้งนี้ได้ทุกขั้นตอน โดยไม่จำเป็นต้องแจ้งเหตุผลใด ๆ ให้ผู้รับจ้างทราบ ผู้รับจ้างไม่มีสิทธิ์โต้แย้ง และเรียกร้องค่าใช้จ่ายหรือค่าเสียหายใด ๆ ทั้งสิ้น
13.4 ผู้ว่าจ้างมีสิทธิ์ที่จะเปลี่ยนแปลง แก้ไข เพิ่มเติม หรือลดเนื้องานตามรายละเอียดในสัญญาได้ การเพิ่ม หรือ ลดเนื้องาน คู่สัญญาทั้งสองฝ่ายจะได้ตกลงเรื่องราคาใหม่โดยถือราคาที่ระบุไว้ในสัญญาเป็นฐาน ถ้าการ เพิ่มหรือลดงาน จำเป็นต้องมีการขยาย หรือลดเวลา ให้ตกลงไปในคราวเดียวกัน
13.5 การจัดทำข้อความ รูปแบบ เนื้อหาข้อมูล รูปภาพ เครื่องหมาย รูปแบบสื่อประชาสัมพันธ์กิจกรรม สื่อการ เรียนรู้ รายงาน เอกสาร คู่มือ หรือผลงานอื่นใดที่เกิดจากการดำเนินงานตามสัญญานี้ ให้ถือเป็นสิทธิของ สำนักงานฯ ผู้รับจ้างห้ามนำส่วนหนึ่งส่วนใดหรือทั้งหมดไปทำซ้ำ เผยแพร่ หรือใช้เพื่อการอื่นใดโดยไม่ได้ รับอนุญาตเป็นลายลักษณ์อักษรจากสำนักงานฯ หากพบว่ามีการฝ่าฝืน ผู้รับจ้างต้องรับผิดชอบต่อความ

หน้า 17 / 19
เสียหายที่เกิดขึ้น และชดใช้ค่าเสียหายให้แก่สำนักงานฯ ตามที่เกิดขึ้นจริง ทั้งนี้ ไม่ตัดสิทธิของสำนักงานฯ ในการดำเนินการตามกฎหมายที่เกี่ยวข้อง
13.6 หากเกิดปัญหาเกี่ยวกับการละเมิดทรัพย์สินทางปัญญาจากการดำเนินงานตามโครงการนี้ผู้รับจ้างจะต้อง รับผิดชอบแต่เพียงผู้เดียว
14. วงเงินงบประมาณ
จำนวน 23,225,100 บาท (ยี่สิบสามล้านสองแสนสองหมื่นห้าพันหนึ่งร้อยบาทถ้วน) ซึ่งเป็นวงเงินที่รวม ภาษีมูลค่าเพิ่มตลอดจนภาษีอากรและค่าใช้จ่ายอื่น ๆ ทั้งปวงด้วยแล้ว
15. การคุ้มครองข้อมูลส่วนบุคคล
ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในโครงการนี้ ต้องปฏิบัติตามหลักการคุ้มครองข้อมูลส่วน บุคคล รวมถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังต่อไปนี้

  1. ผู้รับจ้างต้องดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย มีความ โปร่งใส และสามารถตรวจสอบได้ (Lawfulness, Fairness and Transparency)
  2. ผู้รับจ้างต้องดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้ขอบเขตและวัตถุประสงค์ที่ สำนักงานฯ กำหนด และไม่นำไปใช้หรือเปิดเผยนอกเหนือขอบเขตและวัตถุประสงค์ที่ได้แจ้งไว้ของการ เก็บรวบรวม ใช้ เปิดเผยข้อมูลนั้น (Purpose Limitation)
  3. ผู้รับจ้างต้องดำเนินการเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเพียงพอ เกี่ยวข้อง และเท่าที่จำเป็นตามวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Data Minimization)
  4. ผู้รับจ้างต้องดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ถูกต้องและดำเนินการให้ข้อมูล เป็นปัจจุบันในกรณีที่จำเป็น (Accuracy)
  5. ผู้รับจ้างต้องดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็น (Storage Limitation)
  6. ผู้รับจ้างต้องดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีมาตรการรักษาความมั่นคง ปลอดภัยของข้อมูลที่เหมาะสม (Integrity and Confidentiality)
  7. ผู้รับจ้างต้องดำเนินการกำหนดหน้าที่ กำหนดความรับผิดชอบ ในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล (Accountability)
  8. ผู้รับจ้างต้องลงนามข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing Agreement: DPA)

หน้า 18 / 19
16. การเก็บรักษาข้อมูลที่เป็นความลับ
ผู้เสนอราคาจะต้องจัดการเก็บรักษาข้อมูลต่าง ๆ ที่เกี่ยวกับการดำเนินงานตามสัญญานี้ที่ผู้เสนอราคาได้รับ จาก สคส. ซึ่งรวมถึงข้อมูลต่าง ๆ ที่ ผู้เสนอราคาได้จัดทำขึ้นเนื่องจากการดำเนินงานนี้อย่างเป็นความลับ และ/หรือ ความลับทางการค้าของ สคส. และผู้เสนอราคาต้องจัดให้มีมาตรการในการจัดเก็บข้อมูลที่เป็นความลับให้มิดชิด ทั้งนี้ ผู้เสนอราคาจะต้องลงนามใน “สัญญาไม่เปิดเผยข้อมูลที่เป็นความลับ” พร้อมสัญญาจ้าง
ผู้เสนอราคาจะต้องรักษาข้อมูลบุคลากรของส่วนราชการที่จัดเก็บในโปรแกรมกลางด้านสารสนเทศทรัพยากร บุคคลทั้งหมดเป็นความลับ มิให้เปิดเผย หรือเผยแพร่ หรือแสดง หรือทำให้ปรากฏในลักษณะอื่นใดไม่นำข้อมูลไปใช้ นอกเหนือจากวัตถุประสงค์ในครั้งนี้ หรือไม่นำข้อมูลไปแสวงหาประโยชน์ใด ๆ ทั้งนี้จะต้องไม่ร่วมกับบุคคลอื่นหรือ ยินยอมให้บุคคลอื่นซึ่งได้รับทราบข้อมูลดังกล่าวในครั้งนี้กระทำการ เช่นว่านั้น หรือทำการคัดลอก เลียนแบบ สำเนา ทำ บันทึก ดัดแปลงหรือกระทำการใด ๆ ไม่ว่าโดยวิธีใดต่อข้อมูลที่ได้รับ หากฝ่าฝืนข้อกำหนดดังกล่าว ผู้เสนอราคา จะต้องรับผิดต่อความเสียหายทั้งปวงที่เกิดขึ้น และยินยอมรับผิดตามกฎหมายที่เกี่ยวข้อง ทั้งคดีแพ่ง คดีอาญา และ คดีทางปกครอง
17. หน่วยงานที่รับผิดชอบ
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
18. สถานที่ติดต่อเพื่อขอทราบรายละเอียดเพิ่มเติม
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเลขที่ 120 หมู่ 3 ชั้น 5-7 ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา 5 ธันวาคม 2550 (อาคาร ซี) ซอยแจ้งวัฒนะ 7 ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพฯ 10210

  • E-mail : [email protected]
  • โทรศัพท์: 02-111-8800 ต่อ 8101
    หน้า 19 / 19