ประกวดราคาจ้างบำรุงรักษาระบบบริหารจัดการบริการเทคโนโลยีสารสนเทศ (IT Service Management (ITSM))
สถาบันส่งเสริมการสอนวิทยาศาสตร์และเทคโนโลยี (สสวท.) มีความประสงค์จ้างเหมาบริการบำรุงรักษาระบบบริหารจัดการบริการเทคโนโลยีสารสนเทศ (ITSM) เพื่อให้การดูแลโครงสร้างพื้นฐานดิจิทัลของสถาบันเป็นไปอย่างมีประสิทธิภาพและได้มาตรฐานสากล โดยครอบคลุมระบบสารสนเทศ ระบบเครือข่าย เครื่องคอมพิวเตอร์แม่ข่าย (On-premise และ GDCC) ระบบฐานข้อมูล Microsoft SQL Server และระบบสนับสนุนการทำงานร่วมกัน Microsoft 365
วัตถุประสงค์หลักคือการยกระดับการบริหารจัดการตามแนวทาง ITIL, ISO/IEC 20000 และ ISO/IEC 27001 เพื่อสร้างความเชื่อมั่นในระบบสารสนเทศ ลดความเสี่ยงจากการหยุดชะงักของระบบงาน (Business Interruption) และเพิ่มขีดความสามารถในการรับมือกับภัยคุกคามทางไซเบอร์ให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) และ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์
ขอบเขตงานประกอบด้วยการจัดหาคณะผู้เชี่ยวชาญ (Back Office) ไม่น้อยกว่า 9 คน ที่มีประกาศนียบัตรเฉพาะทาง (เช่น CISSP, CCNP, PMP, ITIL) และเจ้าหน้าที่ปฏิบัติงานประจำ (Front Office) จำนวน 2 คน เพื่อเฝ้าระวังระบบแบบ Real-time, บริหารจัดการ Patch, ปรับแต่งประสิทธิภาพ (Tuning), จัดทำแผนกู้คืนระบบ (DR Plan), ซ้อมรับมือภัยคุกคาม (Cyber Threat Simulation) และถ่ายทอดองค์ความรู้ให้แก่เจ้าหน้าที่ สสวท. โดยผู้รับจ้างต้องมีเครื่องมือสนับสนุนการทำงาน เช่น ระบบ ITSM, Monitoring Tools และระบบบริหารจัดการ Source Code ตลอดอายุสัญญา 12 เดือน
English summary
The Institute for the Promotion of Teaching Science and Technology (IPST) is seeking a contractor to provide IT Service Management (ITSM) maintenance services for its digital infrastructure, including on-premise servers, Government Cloud (GDCC), Microsoft SQL Server, and Microsoft 365. The project aims to align operations with international standards (ITIL, ISO/IEC 20000, ISO/IEC 27001) and ensure compliance with the PDPA and Cybersecurity Act. The scope includes providing a team of at least 9 specialized experts and 2 on-site staff to perform system monitoring, incident management, performance tuning, disaster recovery planning, and cybersecurity threat simulations. The contract duration is 12 months with a budget of 2,200,000 THB.
อาคารสิริภิญโญ, อาคารศูนย์บริการวิทยาศาสตร์เพื่อสุขภาพ (อาคาร 6), องค์การค้าของ สกสค. (โรงพิมพ์คุรุสภาลาดพร้าว)
ข้อมูลเชิงลึกของโครงการ
AI วิเคราะห์ ปลดล็อกแล้วเป้าหมายโครงการ
- เพื่อบริหารจัดการบริการเทคโนโลยีสารสนเทศตามแนวทาง ITSM และมาตรฐานสากล (ITIL, ISO/IEC 20000, ISO/IEC 27001)
- เพื่อยกระดับความมั่นคงปลอดภัยไซเบอร์ตามนโยบายของสถาบันและกฎหมายที่เกี่ยวข้อง (PDPA, พ.ร.บ. ไซเบอร์ฯ)
- เพื่อลดความเสี่ยงจากการหยุดชะงักของระบบงาน (Business Interruption)
- เพื่อเพิ่มขีดความสามารถในการป้องกัน ตรวจสอบ และรับมือกับภัยคุกคามทางไซเบอร์
ขอบเขตของงาน
- บริหารจัดการและบำรุงรักษาระบบโครงสร้างพื้นฐาน (On-premise, GDCC, SQL Server, M365)
- จัดหาเจ้าหน้าที่ประจำ (Front Office) 2 คน และผู้เชี่ยวชาญสนับสนุน (Back Office) 9 คน
- ดำเนินการตามกระบวนการ ITIL (Incident, Problem, Change, Request, Configuration Management)
- จัดทำแผนกู้คืนระบบ (DR Plan) และทดสอบกู้คืนข้อมูล
- บริหารจัดการความมั่นคงปลอดภัย (Patching, Hardening, VAPT Support)
- จัดทำสถานการณ์จำลองภัยคุกคามไซเบอร์ (Tabletop Exercise) อย่างน้อย 2 กรณี
- ถ่ายทอดความรู้ (Knowledge Transfer) และจัดทำคู่มือการปฏิบัติงาน
สิ่งที่ต้องส่งมอบ
- แผนการดำเนินงาน (Project Plan) และแผนการโอนย้ายงาน
- รายงานการปฏิบัติงานประจำเดือน (Daily/Monthly Operations Report)
- รายงานสถานะสินทรัพย์ดิจิทัล (Existing Asset Report)
- รายงานการบำรุงรักษาเชิงป้องกัน (Preventive Maintenance Report)
- รายงานการวิเคราะห์และปรับแต่งประสิทธิภาพ (Tuning Report)
- รายงานผลการทดสอบกู้คืนระบบ (Backup & Recovery Test Report)
- รายงานการซ้อมรับมือภัยคุกคามไซเบอร์ (Cyber Incident Response Report)
- คู่มือการปฏิบัติงาน (Work Instruction/Manual)
ระยะเวลาดำเนินการ
12 เดือน นับถัดจากวันที่ได้รับหนังสือแจ้งให้เริ่มงาน
คุณสมบัติผู้เสนอราคา
- Eligibility Requirements: ต้องเป็นนิติบุคคล, ไม่เป็นผู้ทิ้งงาน, มีมูลค่าสุทธิของกิจการตามเกณฑ์กรมบัญชีกลาง
- Standards Compliance: ต้องได้รับการรับรองมาตรฐาน ISO/IEC 20000 และ ISO/IEC 27001
- Experience: มีผลงานประเภทเดียวกันกับงานจ้างนี้ วงเงินไม่น้อยกว่า 1,000,000 บาท ในระยะเวลาไม่เกิน 2 ปี
- Technical Capabilities: ต้องมีหนังสือรับรอง Microsoft Solutions Partner Designations (Infrastructure/Modern Work)
- Personnel:
- ต้องมีคณะผู้เชี่ยวชาญ (Back Office) ไม่น้อยกว่า 9 คน ครอบคลุมทักษะ: ความมั่นคงปลอดภัย (CISSP), เครือข่าย (CCNP), Cloud/M365 (Azure/M365 Expert), Linux (CompTIA Linux+/RHCE), Virtualization (VMware), ฐานข้อมูล (SQL Server), วิเคราะห์ข้อมูล (Power BI), บริหารโครงการ (PMP), มาตรฐานไอที (ITIL 4), ความต่อเนื่องทางธุรกิจ (BCM)
- ต้องมีเจ้าหน้าที่ประจำ (Front Office) 2 คน วุฒิปริญญาตรีสาขาที่เกี่ยวข้อง ประสบการณ์ไม่น้อยกว่า 3 ปี
เกณฑ์การพิจารณา
พิจารณาโดยใช้หลักเกณฑ์ราคาเพียงอย่างเดียว (Lowest Price) โดยพิจารณาจากราคารวมที่เสนอต่ำสุด
ข้อกำหนดทางเทคนิค
- ระบบต้องรองรับมาตรฐาน ITIL
- ระบบ Monitoring ต้องตรวจสอบสถานะได้แบบ Real-time
- ระบบต้องสอดคล้องกับมาตรฐานความปลอดภัยของ สกมช. และนโยบายของ สสวท.
- เครื่องมือและซอฟต์แวร์ต้องมีลิขสิทธิ์ถูกต้อง
เงื่อนไขสัญญา
- จ่ายเงิน 4 งวด (งวดละ 25%) ตามผลงานที่ส่งมอบ
- ค่าปรับกรณีระบบขัดข้องเกินกำหนด: 0.025% ของราคาสัญญาต่อชั่วโมง
- ค่าปรับกรณีไม่เข้าแก้ไขงานตามเวลา: 0.1% ของค่าจ้างรายงวดต่อชั่วโมง
- ค่าปรับกรณีส่งมอบงานล่าช้า: 0.1% ของราคาสัญญาต่อวัน
คำถามที่พบบ่อย (FAQ)
- Q: เจ้าหน้าที่ประจำ 2 คน ต้องปฏิบัติงานกี่โมง? A: 08:00 – 17:00 น. หรือตามเวลาทำการของ สสวท.
- Q: หากเกิดเหตุวิกฤตในช่วงนอกเวลาทำการต้องทำอย่างไร? A: ต้องให้บริการแบบ On-call หรือ On-site ทันทีโดยไม่มีค่าใช้จ่ายเพิ่ม
- Q: มีการจำกัดจำนวนชั่วโมงการปฏิบัติงานนอกเวลาหรือไม่? A: กำหนดเพดานไม่เกิน 12 วันต่อปี
- Q: ระบบ Monitoring ที่ผู้รับจ้างต้องจัดหาต้องทำอะไรได้บ้าง? A: ตรวจสอบประสิทธิภาพและสถานะเครื่องแม่ข่าย/เครือข่ายแบบ Real-time และแจ้งเตือนผ่านอีเมล
- Q: การทดสอบกู้คืนระบบ Microsoft 365 ต้องทำบ่อยแค่ไหน? A: อย่างน้อยระบบละ 2 ครั้ง ภายในเดือนที่ 9
- Q: ผู้รับจ้างต้องดูแลอุปกรณ์ที่อยู่ภายใต้การรับประกันของบริษัทอื่นหรือไม่? A: ต้องประสานงานและกำกับดูแลการทำงานให้เป็นไปตามมาตรฐาน สสวท.
- Q: การซ้อมรับมือภัยคุกคามไซเบอร์ต้องทำกี่กรณี? A: อย่างน้อย 2 กรณี (เช่น Ransomware หรือ Data Breach)
- Q: หากเจ้าหน้าที่ Front Office แก้ไขปัญหาไม่ได้ต้องทำอย่างไร? A: ต้องจัดส่งผู้เชี่ยวชาญ (Back Office) เข้าดำเนินการแก้ไขให้เสร็จตาม SLA
- Q: การนับเวลา SLA เริ่มต้นอย่างไร? A: เริ่มนับในช่วงวันจันทร์ – เสาร์ เวลา 08.00 – 16.30 น.
- Q: ผู้รับจ้างต้องส่งมอบงานให้รายใหม่เมื่อสิ้นสุดสัญญาอย่างไร? A: ต้องให้ความร่วมมือในการถ่ายโอนงานอย่างน้อย 5 วันทำการ พร้อมส่งมอบเอกสารและข้อมูลการตั้งค่าทั้งหมด
เอกสารขอบเขตงาน (TOR) ฉบับเต็ม
รายละเอียดขอบเขตงาน
จ้างบ ารุงรักษาระบบบริหารจัดการบริการเทคโนโลยีสารสนเทศ (IT Service Management (ITSM)) ด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ (e-bidding)
- หลักการและเหตุผล
ฝ่ายเทคโนโลยีสารสนเทศ สถาบันส่งเสริมการสอนวิทยาศาสตร์และเทคโนโลยี (สสวท.) มีหน้าที่ดูแล รับผิดชอบโครงสร้างพื้นฐานดิจิทัลที่ส าคัญ ประกอบด้วย ระบบสารสนเทศ ระบบเครือข่าย เครื่องคอมพิวเตอร์แม่ ข่ายทั้ง On-premise และ คลาวด์กลางภาครัฐ (GDCC) รวมถึงระบบฐานข้อมูล Microsoft SQL Server และระบบ สนับสนุนการท างานร่วมกัน Microsoft 365 เพื่อให้บริการแก่บุคลากรได้อย่างต่อเนื่อง
เพื่อให้การบริหารจัดการเป็นไปอย่างมีประสิทธิภาพภายใต้มาตรฐานสากลและสอดคล้องกับสถาปัตยกรรม เทคโนโลยีที่เปลี่ยนแปลงไป สสวท. จึงมีความจ าเป็นต้องจัดหาผู้เชี่ยวชาญที่มีความรู้ความสามารถเฉพาะด้านในการ บริหารจัดการเชิงรุกตามแนวทาง IT Service Management (ITSM) และการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อรองรับการขับเคลื่อนพันธกิจของสถาบันให้มีความมั่นคง ปลอดภัย และสอดคล้องกับกฎหมายที่เกี่ยวข้อง - วัตถุประสงค์
2.1 เพื่อด าเนินการบริหารจัดการบริการเทคโนโลยีสารสนเทศ รวมถึงระบบคลาวด์ภาครัฐ (GDCC) ฐานข้อมูล และระบบสนับสนุนการท างานร่วมกัน ตามแนวทาง ITSM และมาตรฐานสากล (ITIL, ISO/IEC 20000, ISO/IEC 27001) โดยเน้นการยกระดับความมั่นคงปลอดภัยไซเบอร์ตามนโยบายและแนวปฏิบัติของสถาบัน
2.2 เพื่อสร้างความเชื่อมั่นในระบบสารสนเทศ ลดความเสี่ยงจากการหยุดชะงักของระบบงาน (Business Interruption) และเพิ่มขีดความสามารถในการป้องกัน ตรวจสอบ และรับมือกับภัยคุกคามทางไซเบอร์ต่อโครงสร้าง พื้นฐานดิจิทัลของสถาบันได้อย่างมีประสิทธิภาพและทันท่วงที
2.3 เพื่อให้การด าเนินงานด้านเทคโนโลยีสารสนเทศสอดคล้องกับกฎหมายและระเบียบที่เกี่ยวข้อง ได้แก่ พ.ร.บ. ว่าด้วยการกระท าความผิดเกี่ยวกับคอมพิวเตอร์, พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) - คุณสมบัติของผู้ยื่นข้อเสนอ
3.1 มีความสามารถตามกฎหมาย
3.2 ไม่เป็นบุคคลล้มละลาย
3.3 ไม่อยู่ระหว่างเลิกกิจการ
1/21
3.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือท าสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังก าหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
3.5 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงานของ รัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วนผู้จัดการ กรรมการ ผู้จัดการ ผู้บริหาร ผู้มีอ านาจในการด าเนินงานในกิจการของนิติบุคคลนั้นด้วย
3.6 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหารพัสดุ ภาครัฐก าหนดในราชกิจจานุเบกษา
3.7 เป็นนิติบุคคลผู้มีอาชีพรับจ้างงานที่ประกวดราคาอิเล็กทรอนิกส์ดังกล่าว
3.8 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่สถาบันส่งเสริมการสอน วิทยาศาสตร์และเทคโนโลยี (สสวท.) ณ วันประกาศประกวดราคาอิเล็กทรอนิกส์ หรือไม่เป็นผู้กระท าการอันเป็นการ ขัดขวางการแข่งขันอย่างเป็นธรรมในการประกวดราคาอิเล็กทรอนิกส์ครั้งนี้
3.9 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทยเว้นแต่รัฐบาลของผู้ยื่นข้อเสนอ ได้มีค าสั่งให้สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
3.10 ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติ ดังนี้
กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้าก าหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงระหว่างผู้เข้าร่วมค้าจะต้องมีการก าหนดสัดส่วนหน้าที่ และความรับผิดชอบในปริมาณงาน สิ่งของ หรือมูลค่า ตามสัญญาของผู้เข้าร่วมค้าหลักมากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้าก าหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก กิจการร่วมค้านั้นต้องใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอ ส าหรับข้อตกลงระหว่างผู้เข้าร่วมค้าที่ไม่ได้ก าหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก ผู้เข้าร่วมค้าทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่ก าหนดไว้ในเอกสารเชิญชวน หรือหนังสือเชิญชวน กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้าก าหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่งเป็น ผู้ยื่นข้อเสนอ ในนามกิจการร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอ านาจ
ส าหรับข้อตกลงระหว่างผู้เข้าร่วมค้าที่ไม่ได้ก าหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอ ผู้เข้าร่วม ค้าทุกรายจะต้องลงลายมือชื่อในหนังสือมอบอ านาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอในนามกิจการร่วม ค้า
3.11 ผู้ยื่นข้อเสนอต้องลงทะเบียนที่มีข้อมูลถูกต้องครบถ้วนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (Electronic Government Procurement: e - GP) ของกรมบัญชีกลาง
3.12 ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ เป็นไปตามหนังสือคณะกรรมการวินิจฉัยปัญหาการจัดซื้อจัด จ้างและการบริหารพัสดุภาครัฐ ด่วนที่สุด ที่ กค (กวจ) ที่ 0405.2/ว124 ลงวันที่ 1 มีนาคม 2566
2/21
3.13 ผู้ยื่นข้อเสนอต้องมีผลงานประเภทเดียวกันกับงานรับจ้างในครั้งนี้ จ านวนไม่น้อยกว่า 1 ผลงาน วงเงินไม่น้อยกว่า 1,000,000 บาท (หนึ่งล้านบาทถ้วน) ในระยะเวลาไม่เกิน 2 ปี นับถัดจากวันสิ้นสุดภาระผูกพันตาม สัญญา จนถึงวันที่ยื่นข้อเสนอ และเป็นผลงานที่เป็นคู่สัญญาโดยตรงกับหน่วยงานของรัฐ หรือหน่วยงานเอกชนที่ สถาบันส่งเสริมการสอนวิทยาศาสตร์และเทคโนโลยี (สสวท.) เชื่อถือ โดยยื่นส าเนาหนังสือรับรองผลงานและส าเนา สัญญาหรือใบสั่งซื้อ ซึ่งเป็นงานเดียวกัน
4. คุณสมบัติเฉพาะของผู้ยื่นข้อเสนอ
4.1 เป็นผู้มีประสบการณ์ในการบริหารโครงการด้านเทคโนโลยีสารสนเทศและการสื่อสาร มีความรู้ความสามารถ ในระบบสารสนเทศและการสื่อสาร สามารถให้ค าปรึกษา แนะน า ตรวจสอบ ประสานงาน และวิเคราะห์ ปัญหา พร้อมเสนอแนวทางแก้ไขที่เกี่ยวข้องกับระบบเครือข่ายและเครื่องแม่ข่ายคอมพิวเตอร์ซึ่งเป็น โครงสร้างพื้นฐานด้านเทคโนโลยีดิจิทัล
4.2 ผู้ยื่นข้อเสนอต้องมีหนังสือรับรองจากทาง Microsoft ในการรับรองถึงการมีประสิทธิภาพในการให้บริการ (Solutions Partner Designations) ในด้าน Infrastructure (Azure) และ/หรือ Modern Work 4.3 ผู้ยื่นข้อเสนอต้องเป็นผู้ได้รับการรับรองมาตรฐาน ISO/IEC 20000 และ ISO/IEC 27001 เพื่อการบริการที่มี คุณภาพและปลอดภัย
4.4 ผู้ยื่นข้อเสนอต้องจัดให้มีคณะผู้เชี่ยวชาญเฉพาะด้าน (Back Office) เพื่อปฏิบัติงานสนับสนุน ไม่น้อยกว่า 9 คน (บุคลากร 1 คนสามารถถือครองประกาศนียบัตรได้มากกว่า 1 รายการ) โดยต้องมีหนังสือรับรองการ ท างานและมีประกาศนียบัตรที่ยังไม่หมดอายุ ณ วันที่ยื่นข้อเสนอ ครอบคลุมทักษะดังต่อไปนี้
- ด้านความมั่นคงปลอดภัย ต้องได้รับประกาศนียบัตร CISSP (Certified Information Systems Security Professional) เพื่อให้ค าแนะน าเชิงกลยุทธ์และการบริหารความเสี่ยง อย่างน้อย 1 คน 2) ด้านระบบเครือข่าย ต้องได้รับประกาศนียบัตร CCNP อย่างน้อย 1 คน
- ด้านโครงสร้างพื้นฐานคลาวด์และ Microsoft 365 ต้องได้รับประกาศนียบัตร Azure Solutions Architect Expert หรือ Azure Administrator Associate หรือ Microsoft 365 Certified: Administrator Expert อย่างน้อย 1 คน
- ด้านระบบปฏิบัติการ Linux ต้องมีประสบการณ์ไม่น้อยกว่า 3 ปี ในการบริหารจัดการ Linux (เช่น Ubuntu, RedHat) และได้รับประกาศนียบัตร CompTIA Linux+ หรือ RHCE หรือเทียบเท่า อย่าง น้อย 1 คน
- ด้านระบบเสมือน (Virtualization) ต้องมีประสบการณ์ไม่น้อยกว่า 3 ปี ในการบริหารจัดการ ระบบ VMware โดยเฉพาะ อย่างน้อย 1 คน
- ด้านฐานข้อมูล ต้องมีความรู้ความช านาญในการบริหารจัดการฐานข้อมูล SQL Server อย่างน้อย 1 คน
3/21 - ด้านการวิเคราะห์ข้อมูล ต้องได้รับประกาศนียบัตร Microsoft Certified: Power BI Data Analyst Associate อย่างน้อย 1 คน
- ด้านการบริหารจัดการโครงการ ต้องได้รับประกาศนียบัตร PMP (Project Management Professional) เพื่อท าหน้าที่วางแผนและควบคุมภาพรวมการด าเนินงาน อย่างน้อย 1 คน 9) ด้านมาตรฐานการให้บริการไอที (ITIL Specialist) ต้องได้รับประกาศนียบัตร ITIL 4 (Foundation หรือสูงกว่า) เพื่อก ากับดูแลกระบวนการ ITSM ให้เป็นไปตามมาตรฐาน อย่างน้อย 1 คน 10) ด้านความต่อเนื่องทางธุรกิจ (BCM Specialist) ต้องมีความเชี่ยวชาญและประสบการณ์ด้าน การบริหารความต่อเนื่องทางธุรกิจ (BCM) และการจัดท าแผนกู้คืนระบบ (DR Plan) อย่างน้อย 1 คน
4.5 ผู้ยื่นข้อเสนอต้องจัดให้มีเจ้าหน้าที่ปฏิบัติงานประจ า ณ สสวท. จ านวน 2 คน โดยต้องมีวุฒิการศึกษาขั้นต่ า ระดับปริญญาตรี ในสาขาคอมพิวเตอร์ เทคโนโลยีสารสนเทศ หรือสาขาที่เกี่ยวข้อง และมีประสบการณ์ด้าน การดูแลระบบคอมพิวเตอร์แม่ข่ายและระบบเครือข่ายไม่น้อยกว่า 3 ปี โดยแบ่งตามความเชี่ยวชาญดังนี้ - เจ้าหน้าที่ด้านระบบโครงสร้างพื้นฐาน (Infrastructure System Administrator) ต้องมี ความรู้ความเชี่ยวชาญและสามารถบริหารจัดการระบบต่างๆ ดังนี้
- บริหารจัดการ Windows Server (เวอร์ชัน 2012 R2 ถึง 2022) และ Linux (Ubuntu, CentOS, Red Hat) รวมถึงการจัดการ Security Patch และการใช้งาน Docker/Container
- บริหารจัดการ Active Directory, LDAP, DHCP และ DNS (ทั้ง IPv4 และ IPv6)
- บริหารจัดการ Microsoft Exchange Server 2019, Microsoft Office 365 และ
- บริหารจัดการระบบรักษาความปลอดภัย Trend Micro, Mail Security (IMSVA) และการตั้งค่า ความปลอดภัยบน Microsoft EMS
- บริหารจัดการระบบส ารองข้อมูล (Backup/Restore, Replication, HA), ระบบฐานข้อมูล SQL Server, File Server Resource Manager และ Web Server (IIS, Apache, Nginx) 2) เจ้าหน้าที่ด้านระบบเครือข่าย (Network Administrator) ต้องมีความรู้ความเชี่ยวชาญและ สามารถบริหารจัดการระบบต่างๆ ดังนี้
- บริหารจัดการโครงสร้างพื้นฐานเครือข่าย LAN/WAN และระบบ Wireless Network - บริหารจัดการระบบ DHCP, DNS (ทั้ง IPv4 และ IPv6), RADIUS Server และระบบ Wireless Security
- บริหารจัดการความมั่นคงปลอดภัยเครือข่าย (Internet Security) และการใช้งาน Endpoint Security Solution
- บริหารจัดการและใช้งานเครื่องมือตรวจสอบประสิทธิภาพเครือข่าย (Network Monitoring Tools) เพื่อเฝ้าระวังและแก้ไขปัญหาได้อย่างทันท่วงที
4/21
- ขอบเขตการด าเนินงาน
ผู้ยื่นข้อเสนอต้องสามารถให้ค าปรึกษา แนะน า สนับสนุน และประสานงานในการตรวจสอบ วิเคราะห์ และ แก้ไขปัญหาที่เกิดขึ้นกับระบบโครงสร้างพื้นฐานด้านเทคโนโลยีดิจิทัล ซึ่งครอบคลุมถึงระบบเครือข่าย เครื่อง คอมพิวเตอร์แม่ข่ายทั้งภายในหน่วยงาน (On-premise) และระบบคลาวด์กลางภาครัฐ (GDCC) ระบบบริหารจัดการ ฐานข้อมูล (Microsoft SQL Server) และระบบสนับสนุนการท างานร่วมกัน (Microsoft 365) เพื่อให้ระบบ สารสนเทศทั้งหมดสามารถให้บริการได้อย่างต่อเนื่อง มีเสถียรภาพ และมีประสิทธิภาพสูงสุด
ทั้งนี้ การด าเนินงานต้องอยู่ภายใต้แนวทาง IT Service Management (ITSM) ตามกรอบมาตรฐาน ITIL โดยเน้นกระบวนการหลัก ได้แก่ Incident Management, Problem Management, Change Management, Request Fulfillment และ Configuration Management ให้เป็นไปตามมาตรฐานสากล ISO/IEC 20000 และ ISO/IEC 27001 รวมถึงต้องปฏิบัติตามนโยบายความมั่นคงปลอดภัยสารสนเทศของ สสวท. และประกาศที่เกี่ยวข้อง
กับการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cyber Security) และการคุ้มครองข้อมูลส่วนบุคคล (PDPA) เพื่อ ยกระดับความน่าเชื่อถือ ลดความเสี่ยงจากภัยคุกคาม และป้องกันเหตุการณ์ที่อาจส่งผลกระทบต่อความพร้อมใช้งาน ของระบบงานส าคัญ โดยมีรายละเอียดการด าเนินงานดังนี้
5.1 ผู้ยื่นข้อเสนอต้องเสนอแผนการด าเนินงาน (Project Plan) โดยมีรายละเอียด ดังนี้
- โครงสร้างคณะท างาน (Organization Chart) ระบุชื่อ-นามสกุล รูปถ่าย หนังสือรับรองการ ท างาน และคุณสมบัติของบุคลากรทุกคนที่จะปฏิบัติงานในโครงการให้ชัดเจน
- การติดต่อประสานงาน (Communication & Support) จัดให้มีระบบ Call Center หรือ ช่องทางติดต่อที่สามารถให้บริการได้ 24 ชั่วโมง พร้อมระบุรายชื่อบุคลากร ต าแหน่ง อีเมล หมายเลขโทรศัพท์ และ สถานที่ตั้งที่สามารถติดต่อได้จริง
- แผนการโอนย้ายงานและถ่ายทอดความรู้ (Transition & Knowledge Transfer Plan) ผ่านการ ฝึกอบรมขณะปฏิบัติงาน (On-the-job Training) รวมถึงการจัดท าเอกสารคู่มือประกอบการท างาน เช่น ขั้นตอนการ ปฏิบัติงาน (Procedure), วิธีการปฏิบัติงาน (Work Instruction), คู่มือการใช้งาน (Manual) และระเบียบปฏิบัติ ต่างๆ (Rules & Regulations)
- แผนการบริหารจัดการสิทธิ์เข้าถึง (Access Control & Account Management) แนวทางการ จัดท าหรือปรับปรุงระบบการจัดการบัญชีผู้ใช้งานตามนโยบายความปลอดภัยของ สสวท. และมาตรฐานสากล 5) แผนการส ารองข้อมูลและแนวทางการกู้คืนระบบเครือข่ายและเครื่องแม่ข่าย (Backup & Disaster Recovery Plan)
5.2 ผู้ยื่นข้อเสนอต้องจัดการประชุมเริ่มงาน ในรูปแบบ Onsite ณ สสวท. เพื่อน าเสนอบุคลากรที่จะ ปฏิบัติงานในโครงการทั้งหมด พร้อมระบุบทบาทความรับผิดชอบของแต่ละบุคคลให้ชัดเจน, แผนการด าเนินงานโดย ละเอียดตลอดอายุสัญญา (Project Roadmap) รวมถึงขั้นตอนและวิธีการปฏิบัติงานตามขอบเขตงาน (Scope of
5/21
Work) และ ก าหนดรายละเอียดของงานและรายงาน (Deliverables) ที่ต้องจัดส่งในการประชุมติดตามงาน ประจ าเดือน
5.3 เจ้าหน้าที่ประจ า จ านวน 2 คน ต้องปฏิบัติงาน ณ สสวท. ระหว่างเวลา 08:00 – 17:00 น. (หรือตาม เวลาท าการที่ สสวท. ก าหนด) โดยมีขอบเขตภาระงานดังนี้ - การตรวจสอบและเฝ้าระวังระบบประจ าวัน (Daily Operations)
- Health Check ตรวจสอบสถานะการท างานเบื้องต้นและตรวจสอบ Log ของระบบคอมพิวเตอร์ แม่ข่ายและเครือข่ายตามภาคผนวก 1 พร้อมสรุปรายงานประจ าวัน
- Connectivity Check ทดสอบการเชื่อมต่อ VPN ระบบสารสนเทศ และเว็บไซต์ จากเครือข่าย ภายนอก อย่างน้อยวันละ 2 ครั้ง (เวลา 09:00 น. และ 13:00 น.)
- Email System Check ตรวจสอบสถานะการรับ-ส่งจดหมายอิเล็กทรอนิกส์ทั้งภายในและ ภายนอกองค์กร อย่างน้อยวันละ 3 ครั้ง (เวลา 09:00 น., 13:00 น. และ 16:00 น.)
- Security Monitoring ตรวจสอบสถานะการท างานของระบบ Endpoint Antivirus Solutions และติดตามการแจ้งเตือนภัยคุกคามจากศูนย์ CSOC เพื่อด าเนินการป้องกันและระงับเหตุตามขั้นตอน พร้อมรายงาน ผลให้ สสวท. ทราบทันที
- บริหารจัดการและเฝ้าระวังระบบเครือข่ายและเครื่องแม่ข่ายผ่านระบบ Monitoring ตามที่ น าเสนอในโครงการ เพื่อให้มั่นใจว่าโครงสร้างพื้นฐานด้านดิจิทัลท างานได้อย่างมีประสิทธิภาพตลอดเวลา 3) การปฏิบัติงานนอกเวลาท าการ (Overtime & Emergency Support) ในกรณีที่มีการแก้ไข ปัญหาค้างคาหรือมีความจ าเป็นเร่งด่วน ต้องสามารถปฏิบัติงานต่อเนื่องจนกว่าปัญหาจะคลี่คลาย โดยไม่มีค่าใช้จ่าย เพิ่มเติม ในกรณีนอกเวลาท าการ ต้องสามารถให้บริการในรูปแบบ On-call หรือ On-site เข้าปฏิบัติงาน ณ อาคาร สิริภิญโญ ได้ทันทีเมื่อเกิดเหตุวิกฤต (เช่น ระบบล่ม, ภัยคุกคามทางไซเบอร์) หรือเมื่อมีการบ ารุงรักษาระบบโครงสร้าง พื้นฐานของอาคาร (เช่น ระบบไฟฟ้า, เครื่องปรับอากาศ) ที่ส่งผลกระทบต่อระบบไอที โดยก าหนดเพดานการ ปฏิบัติงานนอกเวลาท าการไม่เกิน 12 วันต่อปี (หรือตามที่ตกลงในสัญญา)
5.4 ต้องด าเนินการตรวจสอบสถานะระบบที่เกี่ยวข้อง และจัดท ารายงานสรุปผลการด าเนินงานเสนอต่อ สสวท. อย่างน้อยเดือนละ 1 ครั้ง โดยมีรายละเอียดดังนี้ - ตรวจสอบและรายงานรายการคอมพิวเตอร์และบัญชีผู้ใช้งานที่ไม่มีการใช้งาน (Inactive) เกิน 30 วัน เพื่อให้ สสวท. พิจารณาสั่งการ ลบ (Delete) หรือ ปิดกั้น (Disable) ตามความเหมาะสม 2) ตรวจสอบและรายงานบัญชี Mailbox ที่ไม่มีการใช้งานเกิน 30 วัน พร้อมทั้งตรวจสอบสถานะ IP กับฐานข้อมูล DNS-based Blacklists (ไม่น้อยกว่า 80 รายการ) หากพบสถานะผิดปกติ ต้องแจ้งเตือนทันทีและ รายงานผลการด าเนินการแก้ไขจนกว่าจะกลับสู่สถานะปกติ (Delist)
- ตรวจสอบและรายงานสิทธิ์การเข้าถึง (Permissions) บน Shared Folder และปริมาณการใช้
6/21
พื้นที่จัดเก็บข้อมูล เพื่อให้เจ้าของข้อมูล (Data Owner) ตรวจสอบความถูกต้องและบริหารจัดการพื้นที่ได้อย่างมี ประสิทธิภาพ - ตรวจสอบสถานะอุปกรณ์เครือข่าย (Network Assets) และพอร์ตเชื่อมต่อ (Port) ที่ไม่มีการใช้ งาน เพื่อให้ สสวท. พิจารณาสั่งการ ปิด (Disable) ตามมาตรการความมั่นคงปลอดภัย
- ตรวจสอบระบบจัดเก็บ Log File แบบศูนย์กลาง (Centralized Log) ให้มีความพร้อมใช้งาน และจัดเก็บข้อมูลได้ครบถ้วน ถูกต้องตาม พ.ร.บ. ว่าด้วยการกระท าความผิดเกี่ยวกับคอมพิวเตอร์ ฉบับที่บังคับใช้อยู่ ในปัจจุบัน
- รายงานสถานะการบริหารจัดการแพตช์ (Patch) และการปิดช่องโหว่ของระบบปฏิบัติการและ ซอฟต์แวร์ต่างๆ ให้เป็นปัจจุบันอย่างสม่ าเสมอตามวงจรการบริหารจัดการที่ได้มาตรฐาน
5.5 การจัดการฐานข้อมูล (Database Management) ผู้ยื่นข้อเสนอต้องบริหารจัดการและบ ารุงรักษาระบบ ฐานข้อมูลส่วนกลาง (On-premise และ GDCC) ดังนี้ - ติดตามสถานะการท างานของ Microsoft SQL Server ให้พร้อมใช้งาน มีเสถียรภาพ และ ปลอดภัยอย่างต่อเนื่อง
- เฝ้าระวังและจัดการพื้นที่จัดเก็บข้อมูล (Disk), Index, Statistics และ Session เพื่อป้องกัน ปัญหาด้านประสิทธิภาพ (Performance Bottleneck)
- วิเคราะห์และท า Tuning ระบบฐานข้อมูลและชุดค าสั่ง (Query) ให้ท างานรวดเร็ว พร้อมจัดท า รายงานสรุปผลการปรับปรุงอย่างสม่ าเสมอ
- ด าเนินการส ารองข้อมูล (Backup) ทดสอบการกู้คืน (Recovery) บริหารจัดการสิทธิ์การเข้าถึง และติดตั้ง Patch ความปลอดภัยตามนโยบายของ สสวท.
- วิเคราะห์และแก้ไขปัญหาที่เกี่ยวข้องกับระบบฐานข้อมูลร่วมกับผู้ที่เกี่ยวข้อง ให้กลับมาใช้งานได้ ตามระดับการให้บริการ (SLA) ที่ก าหนด
5.6 ผู้ยื่นข้อเสนอต้องบริหารจัดการข้อมูลสินทรัพย์ดิจิทัล (IT Asset Management) ซึ่งครอบคลุมทั้ง อุปกรณ์ระบบเครือข่าย, เครื่องแม่ข่าย (On-premise และ GDCC), ระบบฐานข้อมูล และสิทธิ์การใช้งานซอฟต์แวร์ (License) ต่างๆ ให้เป็นไปตามแนวทาง ITIL โดยต้องจัดท ารายงานบัญชีสถานะสินทรัพย์ดิจิทัลและระบบสารสนเทศ (Existing Asset Report) ที่เป็นปัจจุบัน อย่างน้อย 2 ครั้ง (ภายในเดือนที่ 3 และเดือนที่ 11) นับถัดจากวันที่ได้รับ หนังสือแจ้งให้เริ่มงาน เพื่อใช้ในการวางแผนบริหารจัดการและปรับปรุงระบบให้มีความมั่นคงปลอดภัย
5.7 ผู้ยื่นข้อเสนอต้องบริหารจัดการระบบปฏิบัติการ Linux ให้ท างานได้อย่างมีประสิทธิภาพและมั่นคง ปลอดภัย ดังนี้ - ด าเนินการ Update Patch และ Upgrade ระบบปฏิบัติการ (OS) ให้เป็นเวอร์ชันปัจจุบันเพื่อ ปิดช่องโหว่และเพิ่มประสิทธิภาพ ทั้งนี้ ในกรณีที่เป็นระบบปฏิบัติการที่มีระบบงานประยุกต์ (Application) จาก
7/21
ผู้พัฒนารายอื่นติดตั้งอยู่ โดยต้อง วิเคราะห์ ตรวจสอบความพร้อม และประสานงานร่วมกับผู้พัฒนารายนั้นๆ เพื่อวาง แผนการด าเนินงานและทดสอบอย่างรัดกุมก่อนเริ่มด าเนินการ - บริหารจัดการการส ารองข้อมูล (Backup) และทดสอบการกู้คืนข้อมูลระบบ (Recovery) ให้ พร้อมใช้งานเมื่อเกิดเหตุขัดข้อง
- ร่วมวางแผนและด าเนินการทดสอบแผนกู้คืนระบบจากภัยพิบัติ (Disaster Recovery Plan) ให้ สอดคล้องตามมาตรฐานและนโยบายที่ สสวท. ก าหนด
- ให้ค าปรึกษา แนะน า และบริหารจัดการระบบ Docker Containers เพื่อรองรับการท างานของ ระบบงานประยุกต์รวมถึงการใช้งาน GitLab เพื่อบริหารจัดการการตั้งค่าระบบและสนับสนุนกระบวนการส่งมอบ ระบบงาน (Deployment)
5.8 ผู้ยื่นข้อเสนอต้องด าเนินการกู้คืนระบบเมื่อเกิดปัญหาตามมาตรฐาน ITIL และระดับการให้บริการ (SLA) ที่ก าหนด ดังนี้ - รับทราบและตอบรับเหตุขัดข้องทันทีที่ได้รับแจ้งจากระบบเฝ้าระวังอัตโนมัติ หรือจากเจ้าหน้าที่ สสวท. ผ่านช่องทางที่ตกลงกัน
- วิเคราะห์สาเหตุที่แท้จริง (Root Cause) และด าเนินการกู้คืนระบบให้กลับมาใช้งานได้ตามปกติ หากระบบเสียหายจนไม่สามารถกู้คืนได้ ต้องด าเนินการติดตั้งระบบใหม่ให้มีสถานะและข้อมูลพร้อมใช้งานดังเดิม พร้อมจัดท ารายงานสรุปการแก้ไขปัญหา (Incident Report)
- กรณีเจ้าหน้าที่ประจ า (Front Office) ไม่สามารถแก้ไขปัญหาได้ จะต้องจัดให้มีผู้เชี่ยวชาญ (Back Office) เข้าด าเนินการตรวจสอบและแก้ไขให้แล้วเสร็จตาม SLA
- หากปัญหาเกิดจากฮาร์ดแวร์ช ารุด สสวท. จะเป็นผู้จัดหาอุปกรณ์ทดแทน เมื่ออุปกรณ์พร้อมใช้ งาน จะต้องด าเนินการกู้คืนระบบให้แล้วเสร็จตาม SLA โดยจะเริ่มนับเวลาใหม่หรือขยายเวลาให้ตามที่ สสวท. เห็นชอบ
- กรณีเป็นการแก้ไขปัญหาที่วิกฤตหรือต่อเนื่อง จะต้องสามรถปฏิบัติงานนอกเวลาท าการจนกว่า จะแก้ไขปัญหาแล้วเสร็จ โดยไม่มีค่าใช้จ่ายเพิ่มเติม
หมายเหตุ: เกณฑ์การนับเวลาตามระดับการให้บริการ (SLA)
ต้องสามารถแจ้งได้ตลอด 24 ชั่วโมง ผ่านอีเมล โทรศัพท์ หรือระบบแจ้งซ่อม (Ticketing System) โดยจะ เริ่มต้นนับเวลาในช่วงวันจันทร์ – เสาร์ เวลา 08.00 – 16.30 น.
- ตัวอย่าง: หากได้รับแจ้งเหตุในวันเสาร์ เวลา 18.00 น. จะเริ่มนับเวลาตาม SLA ตั้งแต่วันจันทร์ เวลา 08.00 น. เป็นต้นไป (ยกเว้นกรณีเหตุวิกฤตที่ส่งผลกระทบวงกว้าง สสวท. อาจขอให้ด าเนินการแก้ไขทันทีตามความ
เหมาะสม)
8/21
5.9 ผู้ยื่นข้อเสนอต้องด าเนินการบริหารจัดการแผนและทดสอบการกู้คืนระบบตามภาคผนวก 1 อย่างน้อย ดังนี้
- จัดท าและปรับปรุง แผนปฏิบัติงาน (Work Instruction) และ คู่มือการส ารองและกู้คืนข้อมูล (Backup & Recovery) ให้เป็นปัจจุบัน โดยต้องครอบคลุมทั้งระบบ On-premise, Cloud GDCC, ฐานข้อมูล MS SQL และ Microsoft365 และผ่านการรับรองจากผู้เชี่ยวชาญที่เกี่ยวข้อง
- ประสานงานร่วมกับผู้พัฒนาระบบงานสารสนเทศ (เช่น MIS, บริหารงานบุคคล, สารบรรณ) เพื่อ จัดท าแผนและทดสอบกู้คืนระบบงานและฐานข้อมูลอย่างน้อยปีละ 1 ครั้ง เพื่อให้มั่นใจว่าระบบสามารถท างาน ร่วมกันได้อย่างสมบูรณ์
- ทดสอบกู้คืนข้อมูลระบบ Microsoft 365 (เช่น Exchange Online, SharePoint/OneDrive) และ File Server อย่างน้อยระบบละ 2 ครั้ง ภายในเดือนที่ 9 นับถัดจากวันที่เริ่มงาน โดย สสวท. เป็นผู้ก าหนด ช่วงเวลา
- การทดสอบในข้อ 2 และ 3 ต้องด าเนินการภายใต้การก ากับดูแล ตรวจสอบ และรับรองโดย ผู้เชี่ยวชาญด้าน Business Continuity Plan (BCP) หรือผู้ดูแลระบบที่เกี่ยวข้อง ตลอดทุกขั้นตอน เพื่อให้เป็นไปตาม มาตรฐานความมั่นคงปลอดภัย
5.10 ผู้ยื่นข้อเสนอต้องบ ารุงรักษาเชิงป้องกัน (Preventive Maintenance) ระบบโครงสร้างพื้นฐานด้าน เทคโนโลยีดิจิทัล อย่างน้อย 2 ครั้ง (ภายในเดือนที่ 6 และเดือนที่ 11) นับถัดจากวันที่ได้รับหนังสือแจ้งให้เริ่มงาน โดย มีขอบเขตการด าเนินงาน ดังนี้ - ตรวจสอบสภาพการท างาน (Health Check) ของอุปกรณ์และระบบปฏิบัติการให้พร้อมใช้งาน และจัดท ารายงานผลการตรวจสอบพร้อมข้อเสนอแนะในการปรับปรุงประสิทธิภาพ
- ในกรณีที่อุปกรณ์หรือซอฟต์แวร์อยู่ภายใต้การรับประกัน (MA) ของบริษัทอื่น ผู้ยื่นข้อเสนอต้อง เป็นผู้ประสานงาน ก ากับดูแล และร่วมตรวจสอบการท างานกับบริษัทเหล่านั้น เพื่อให้การบ ารุงรักษาเชิงป้องกัน เป็นไปตามมาตรฐานที่ สสวท. ก าหนด
- ประสานงานกับผู้ดูแล อุปกรณ์ต่างๆ เพื่อด าเนินการ Update Firmware หรือ Patch ตามรอบ การบ ารุงรักษา โดยต้องมีการส ารองข้อมูลการตั้งค่า (Configuration Backup) และแผนถอยกลับ (Rollback Plan) ทุกครั้งก่อนเริ่มด าเนินการ
5.11 ผู้ยื่นข้อเสนอต้องด าเนินการปรับแต่งประสิทธิภาพ (Tuning) และเสริมความมั่นคงปลอดภัย (Hardening) ให้แก่ระบบเครือข่าย เครื่องแม่ข่ายทั้ง On-premise และ Cloud (GDCC) ระบบฐานข้อมูล รวมถึง ระบบ Microsoft 365 และ Microsoft Azure ให้ท างานได้อย่างต่อเนื่อง มีเสถียรภาพ และปลอดภัยตาม มาตรฐานสากล ISO/IEC 27001 มาตรฐานความปลอดภัยทางไซเบอร์ และนโยบายของ สสวท. อย่างเคร่งครัด
9/21
5.12 ผู้ยื่นข้อเสนอต้องตรวจสอบสถานะการท างานของระบบจดหมายอิเล็กทรอนิกส์ (Microsoft Exchange Server 2019 และ Microsoft 365) โดยครอบคลุมการตรวจสอบสุขภาพระบบ (Service Health), ประสิทธิภาพการท างาน, ระบบการรับส่งอีเมล (Mail Flow & Message Queue) รวมถึงการตรวจสอบ Audit Log และ Security Log เพื่อเฝ้าระวังและป้องกันเหตุการณ์ผิดปกติหรือภัยคุกคามทางไซเบอร์อย่างสม่ าเสมอ
5.13 ผู้ยื่นข้อเสนอต้องด าเนินการจัดท าสถานการณ์จ าลองภัยคุกคามไซเบอร์ ( Cyber Threat Simulation/Tabletop Exercise) เพื่อป้องกันและลดผลกระทบจากภัยคุกคามตามความเสี่ยงส าคัญของ สสวท. อย่างน้อย 2 กรณี (Cases) โดยต้องด าเนินการตามขั้นตอนและกระบวนการดังนี้ - วิเคร าะห์คว ามเสี่ยงที่ส าคัญ (เช่น Ransomware, Data Breach ห รือ Cloud Service Disruption) เพื่อออกแบบสถานการณ์จ าลองตามแนวทางของ สกมช.
- จัดท าขั้นตอนการปฏิบัติงานมาตรฐาน (Standard Operating Procedures: SOP) หรือ Playbook ในการตรวจจับ (Detect), การยับยั้ง (Containment) และการกู้คืนระบบ (Recovery) ส าหรับแต่ละกรณี ที่ก าหนด
- ด าเนินการซ้อมรับมือเหตุการณ์ (Cyber Incident Response Exercise) ร่วมกับเจ้าหน้าที่ที่ เกี่ยวข้อง เพื่อทดสอบความเข้าใจในบทบาทหน้าที่และความสมบูรณ์ของแนวปฏิบัติที่จัดท าขึ้น 4) จัดท า ร ายง านส รุปผลก า รซ้อม (Post-Incident Report/After Action Review) พ ร้อม ข้อเสนอแนะในการปรับปรุงโครงสร้างพื้นฐานและมาตรการรักษาความปลอดภัยของ สสวท. ให้มีความมั่นคง ปลอดภัยยิ่งขึ้น
5.14 ผู้ยื่นข้อเสนอต้องจัดให้มีผู้เชี่ยวชาญเฉพาะด้านเพื่อรองรับการปฏิบัติงานกรณีพิเศษ การแก้ไข เหตุการณ์ผิดปกติที่นอกเหนือจากขอบเขตงานปกติ หรือการด าเนินการภาระงานอื่นที่เกี่ยวข้องกับโครงสร้างพื้นฐาน ดิจิทัลตามที่ สสวท. มอบหมาย รวมจ านวนไม่น้อยกว่า 10 วันท าการ (Man-Days) โดยเมื่อได้รับแจ้งรายละเอียดงาน จาก สสวท. แล้ว จะต้องด าเนินการวิเคราะห์ ประเมินผลกระทบ และจัดประชุมน าเสนอแนวทางการด าเนินงาน เพื่อให้ สสวท. พิจารณาเห็นชอบก่อนเริ่มด าเนินการ ทั้งนี้ ในการติดตั้งและปรับแต่งระบบที่เกี่ยวข้องให้สามารถ ท างานได้อย่างมีประสิทธิภาพและมั่นคงปลอดภัยตามข้อตกลง โดย สสวท. จะเป็นผู้รับผิดชอบจัดหาเครื่อง คอมพิวเตอร์แม่ข่ายและลิขสิทธิ์ซอฟต์แวร์เพิ่มเติมที่จ าเป็น (หากมี)
5.15 ผู้ยื่นข้อเสนอต้องให้ค าแนะน า ร่วมวิเคราะห์ และปรับปรุงกระบวนการท างานด้านโครงสร้างพื้นฐาน ดิจิทัลและความมั่นคงปลอดภัยสารสนเทศ ให้สอดคล้องกับนโยบาย สสวท. (ภาคผนวก 2) มาตรฐานสากล (เช่น ISO/IEC 27001, NIST) และกฎหมายที่เกี่ยวข้อง (พ.ร.บ. ไซเบอร์ฯ และ PDPA) ครอบคลุมทั้งการควบคุมการเข้าถึง, การบริหารจัดการสินทรัพย์, การส ารองข้อมูล และการเตรียมความพร้อมรับมือเหตุฉุกเฉิน (BCP)
ทั้งนี้ ในกรณีที่การวิเคราะห์หรือปรับปรุงกระบวนการดังกล่าวมีความซับซ้อน หรือจ าเป็นต้องใช้ผู้เชี่ยวชาญ เฉพาะด้านเพิ่มเติม สสวท. มีสิทธิ์พิจารณาให้ผู้รับจ้างด าเนินการ ได้รับการสนับสนุนจากผู้เชี่ยวชาญกรณีพิเศษ ตามที่ ก าหนดไว้ในข้อ 5.14 เพื่อให้การด าเนินงานเป็นไปตามมาตรฐานสากลอย่างมีประสิทธิภาพ
10/21
5.16 ในกรณีเกิดเหตุการณ์ภัยคุกคามทางไซเบอร์หรือเหตุการณ์ที่สร้างความเสียหายต่อโครงสร้างพื้นฐาน ดิจิทัลและข้อมูลอิเล็กทรอนิกส์ ผู้ยื่นข้อเสนอต้องจัดส่งผู้เชี่ยวชาญเข้าด าเนินการสนับสนุน สสวท. ทันทีเพื่อ ปฏิบัติงานตามแนวทางของ สกมช. ดังนี้ - ให้ค าแนะน าและด าเนินการร่วมกับ สสวท. ในการระงับการแพร่กระจายของภัยคุกคาม แก้ไข ช่องโหว่ และกู้คืนระบบให้กลับมาให้บริการตามปกติอย่างเร่งด่วน
- ด าเนินการวิเคราะห์หาสาเหตุที่แท้จริงของการบุกรุก (Root Cause Analysis) รวมถึงการเก็บ รวบรวมพยานหลักฐานดิจิทัลที่เกี่ยวข้องตามหลักการพิสูจน์หลักฐานดิจิทัล (Digital Forensics) 3) จัดท ารายงานสรุปเหตุการณ์ (Incident Report) พร้อมเสนอแนะมาตรการปรับปรุงระบบและ วิธีการป้องกันเพื่อไม่ให้เกิดเหตุการณ์ซ้ าเดิม
- สนับสนุนข้อมูลและประสานงานร่วมกับหน่วยงานภายนอกหรือหน่วยงานก ากับดูแล (เช่น สก มช. หรือ สพธอ.) ตามที่ สสวท. มอบหมาย
5.17 ผู้ยื่นข้อเสนอต้องให้ความร่วมมือและสนับสนุนผู้เชี่ยวชาญที่ สสวท. จัดหามา ในการตรวจสอบช่องโหว่ และทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing: VAPT) เพื่อค้นหาจุดอ่อนและ ความเสี่ยงของโครงสร้างพื้นฐานดิจิทัล โดยผู้ยื่นข้อเสนอมีหน้าที่ด าเนินการปิดช่องโหว่ (Remediation) หรือปรับแต่ง การตั้งค่าระบบตามค าแนะน าในรายงานผลการตรวจสอบให้แล้วเสร็จภายในระยะเวลาที่ก าหนด ทั้งนี้ ต้องมีการ วิเคราะห์ผลกระทบและวางแผนการด าเนินการร่วมกับ สสวท. เพื่อมิให้กระทบต่อการให้บริการของระบบงาน
5.18 การถ่ายทอดความรู้และการถ่ายโอนงาน (Knowledge Transfer) - ต้องถ่ายทอดองค์ความรู้ด้านการบริหารจัดการ การบ ารุงรักษา และการตั้งค่าระบบ (Configuration) ให้แก่เจ้าหน้าที่ สสวท. โดยต้องจัดประชุมน าเสนอสรุปผลการด าเนินงานและข้อเสนอแนะเป็นระยะ ทั้งนี้ หัวหน้าโครงการและผู้เชี่ยวชาญ (Back Office) ต้องเข้าร่วมประชุมเพื่อตอบข้อซักถามตามที่ สสวท. ก าหนด
- การรับโอนงานจากผู้รับจ้างรายเดิม (Transition-In) ต้องจัดส่งแผนการรับโอนงานล่วงหน้าไม่ น้อยกว่า 5 วันท าการก่อนเริ่มสัญญา และจัดให้มีผู้จัดการโครงการพร้อมทีมงาน (Front Office & Back Office) เข้า ด าเนินการรับถ่ายทอดข้อมูลและสิทธิ์ในการเข้าถึงระบบจากผู้รับจ้างรายเดิมให้ครบถ้วนภายในกรอบเวลาดังกล่าว
- การส่งมอบงานให้ผู้รับจ้างรายใหม่ (Transition-Out) เมื่อสิ้นสุดสัญญา ผู้รับจ้างต้องให้ความ ร่วมมือในการถ่ายโอนงานให้รายใหม่อย่างน้อย 5 วันท าการ โดยต้องด าเนินการสรุปรายละเอียดภาระงาน คู่มือการ ปฏิบัติงานของเจ้าหน้าที่ จัดท ารายงานสรุปสถานะระบบสารสนเทศ (Existing Report) และแผนผังโครงสร้างระบบ (Network/System Diagram) ฉบับล่าสุด ณ วันสิ้นสุดสัญญา รวมถึงส่งมอบเอกสารประกอบการด าเนินงาน ข้อมูล การตั้งค่าระบบ (Configuration) ทั้งหมดในรูปแบบไฟล์อิเล็กทรอนิกส์ (PDF) และส่งคืนทรัพย์สินทั้งหมดให้แก่ สสวท. ให้ครบถ้วน
11/21
5.19 ผู้ยื่นข้อเสนอต้องจัดให้มีเครื่องมือและระบบสนับสนุนการด าเนินงาน เพื่อใช้สนับสนุนการปฏิบัติงาน ตลอดอายุสัญญา โดยมีรายละเอียดดังนี้ - ระบบบริหารจัดการบริการไอที (ITSM & CMDB) ต้องรองรับมาตรฐาน ITIL เพื่อใช้บริหารจัดการ สินทรัพย์ (IT Asset Management) และกระบวนการให้บริการอย่างเป็นระบบ มีระบบ Workflow ส าหรับจัดการ เหตุขัดข้อง (Incident Management) ที่สามารถติดตามสถานะการแก้ไขปัญหาได้ตั้งแต่เริ่มต้นจนจบ
- ระบบเฝ้าระวังและแจ้งเตือน (Infrastructure Monitoring) ต้องสามารถตรวจสอบประสิทธิภาพ และสถานะการท างานของเครื่องแม่ข่าย (Physical/Virtual Server) และอุปกรณ์เครือข่ายตามภาคผนวก 1 ได้แบบ เรียลไทม์ พร้อมระบบแจ้งเตือน (Alerting) ผ่านอีเมลหรือช่องทางที่ สสวท. ก าหนดเมื่อเกิดเหตุขัดข้อง
- ระบบตรวจเช็กช่องโหว่ (Vulnerability Assessment Tools) ต้องสามารถสแกนพอร์ต (Port Scanning) ตรวจสอบบริการที่เปิดใช้งาน และค้นหาช่องโหว่เบื้องต้นของระบบเครือข่ายและเครื่องแม่ข่าย พร้อม รายงานแนวทางแก้ไข (Remediation Guide) เพื่อความมั่นคงปลอดภัย
- ระบบตรวจสอบประสิทธิภาพจากภายนอก (Application & Website Monitoring) ต้องเป็น ระบบ Cloud-based ที่ตรวจสอบสถานะเว็บไซต์และแอปพลิเคชันจากภายนอกได้ตลอด 24 ชั่วโมง ทุกวัน (24x7) พร้อมแจ้งเตือนทันทีเมื่อระบบไม่สามารถเข้าถึงได้
- ระบบตรวจสอบสถานะบัญชีด า (Blacklist Monitoring) ต้องสามารถตรวจสอบสถานะ IP Address ของระบบอีเมลกับฐานข้อมูล DNS-based Blacklists ระดับสากลอย่างน้อย 80 รายการเป็นประจ าทุกวัน และแจ้งเตือนเมื่อพบสถานะผิดปกติหรือเมื่อได้รับการถอนชื่อออก (Delist)
- ระบบบริหารจัดการซอร์สโค้ดและชุดค าสั่ง (Source Control Management & CI/CD) เพื่อใช้ ในการจัดเก็บและบริหารจัดการชุดค าสั่ง (Script), ไฟล์การตั้งค่าระบบ (Configuration Files) ของเครื่องแม่ข่ายและ อุปกรณ์เครือข่าย ให้เป็นระเบียบและสามารถตรวจสอบประวัติการแก้ไขย้อนหลังได้ รวมถึงสนับสนุนกระบวนการส่ง มอบและติดตั้งระบบงาน (Deployment) บนระบบ Docker และ Container ให้มีความรวดเร็วและแม่นย า
เงื่อนไขการด าเนินการและการใช้งาน - ต้องน าเสนอรายละเอียดของเครื่องมือและระบบสนับสนุนทั้งหมด รวมถึงก าหนดสิทธิ์การเข้าใช้งาน (Dashboard/Admin Access) ในวันประชุมเริ่มงาน (Kick-off Meeting) เพื่อให้ สสวท. พิจารณาเห็นชอบก่อนเริ่ม ด าเนินการติดตั้งหรือใช้งาน
- ซอฟต์แวร์และเครื่องมือทั้งหมดต้องเป็นเวอร์ชันที่มีลิขสิทธิ์ถูกต้องตามกฎหมาย (Licensed Software) หรือเป็นซอฟต์แวร์รหัสเปิด (Open Source) ที่ไม่มีข้อจ ากัดในการใช้งานเชิงพาณิชย์ และต้องไม่ละเมิดลิขสิทธิ์ของ ผู้อื่น โดยผู้รับจ้างเป็นผู้รับผิดชอบค่าใช้จ่ายที่เกิดขึ้นทั้งหมดตลอดอายุสัญญา
12/21
5.20 ผู้ยื่นข้อเสนอต้องด าเนินการประสานงาน ติดตาม และก ากับดูแลการท างานของผู้รับจ้างรายอื่น ที่มี สัญญาบ ารุงรักษาอุปกรณ์หรือระบบกับ สสวท. เพื่อควบคุมให้การปฏิบัติงานและการแก้ไขปัญหาเป็นไปตามนโยบาย ของ สสวท. รวมถึงเป็นไปตามเงื่อนไขการรับประกันและระดับการให้บริการ (SLA) ที่ก าหนดไว้ เพื่อให้ระบบสามารถ ท างานได้อย่างต่อเนื่องและมีเสถียรภาพ
5.21 ผู้ยื่นข้อเสนอต้องจัดท ารายการวัสดุหรือครุภัณฑ์ที่ใช้ในงานจ้าง ซึ่งเป็นพัสดุที่ผลิตภายในประเทศ โดย ต้องใช้ไม่น้อยกว่าร้อยละ 60 ของมูลค่าพัสดุที่จะใช้ในงานจ้างนี้ (ถ้ามี)
- ระยะเวลาการด าเนินงาน 12 เดือน นับถัดจากวันที่ได้รับหนังสือแจ้งให้เริ่มงาน
- วงเงินงบประมาณ 2,200,000 บาท (สองล้านสองแสนบาทถ้วน) (รวมภาษีมูลค่าเพิ่ม) ดังนี้ งบประมาณปี 2569 เป็นเงิน 550,000 บาท
งบประมาณปี 2570 เป็นเงิน 1,650,000 บาท - หลักเกณฑ์และสิทธิในการพิจารณาราคา ในการพิจารณาผลการยื่นข้อเสนอครั้งนี้ สถาบันส่งเสริมการสอน วิทยาศาสตร์และเทคโนโลยี (สสวท.) จะพิจารณาตัดสิน โดยใช้หลักเกณฑ์ราคา เพียงอย่างเดียว และ การ พิจารณาผู้ชนะการยื่นข้อเสนอ สถาบันส่งเสริมการสอนวิทยาศาสตร์และเทคโนโลยี (สสวท.) จะพิจารณาจาก ราคารวม (รวมภาษีมูลค่าเพิ่มแล้ว) ที่เสนอราคาต่ าสุด
- เอกสารในโครงการ จะต้องจัดท าเอกสารและรายงานต่างๆ ดังนี้
9.1 รายงานการปฏิบัติงานประจ าเดือน มีรายละเอียดดังนี้
- บันทึกการปฏิบัติงานรายวัน ของเจ้าหน้าที่ (Front Office) ประจ า ณ สสวท.
- บันทึกการปฏิบัติงานรายวัน ของผู้เชี่ยวชาญ (Back Office) (ถ้ามี)
- สถิติและปริมาณการใช้งาน Storage ของเครื่อง File Server ทุกเครื่อง
- รายการเครื่องคอมพิวเตอร์ รายการบัญชีผู้ใช้งาน รายการจดหมายอิเล็กทรอนิกส์ที่ไม่ถูกใช้งาน เกิน 30 วัน หรือตามที่ สสวท. ก าหนด
- การตรวจสอบการท างานของระบบบริการรับส่ง E-mail
- การส ารองข้อมูลและการกู้คืนข้อมูล (ถ้ามี)
- การปฏิบัติตามเอกสารการแจ้งเตือนค าแนะน า ในการป้องกันแก้ไขภัยคุกคามทางไซเบอร์ (ถ้ามี) 8) การปรับปรุงการตั้งค่าระบบ ตามนโยบายหรือ สสวท. ก าหนด (ถ้ามี)
- การบริหารจัดการติดตามควบคุมบริษัทที่มีสัญญาบ ารุงรักษาระบบ/อุปกรณ์ เครื่องคอมพิวเตอร์ แม่ข่าย กับ สสวท. (ถ้ามี)
13/21 - การให้ค าปรึกษา จัดการ/ด าเนินการปรับแต่งประสิทธิภาพ (Tuning) ระบบเครือข่ายและ เครื่องแม่ข่ายคอมพิวเตอร์ที่ให้บริการโครงสร้างพื้นฐานด้านเทคโนโลยีดิจิทัล (ถ้ามี) 11) การวิเคราะห์การท างานของระบบเครือข่ายและเครื่องแม่ข่ายคอมพิวเตอร์ที่ให้บริการโครงสร้าง พื้นฐานด้านเทคโนโลยีดิจิทัล ตามนโยบายและแนวปฏิบัติด้านความมั่นคงปลอดภัยระบบเทคโนโลยี และการสื่อสาร สสวท. (ถ้ามี)
9.2 รายงานอื่นๆ ตามงวดงาน
9.2.1 แผนปฏิบัติงานส ารองและกู้คืนระบบเครือข่ายและเครื่องแม่ข่ายคอมพิวเตอร์ที่ให้บริการ โครงสร้างพื้นฐานด้านเทคโนโลยีดิจิทัล ตามภาคผนวก 1 ที่ได้รับการตรวจสอบและรับรองจากผู้เชี่ยวชาญ (2 ฉบับ)
9.2.2 รายงานสถานะของระบบสารสนเทศที่มีอยู่ในปัจจุบัน (Existing Report) (2 ฉบับ) 9.2.3 รายงานการบ ารุงรักษาเชิงป้องกัน (2 ฉบับ)
9.2.4 รายงานการด าเนินการจัดท าระบบเสมือนจริงตามที่ สสวท. ก าหนด จากภัยคุกคามทางไซ เบอร์อย่างน้อย 2 กรณี
9.2.5 รายงานการวิเคราะห์และปรับแต่งประสิทธิภาพ (Tuning) ระบบเครือข่ายและเครื่องแม่ข่าย คอมพิวเตอร์ที่ให้บริการโครงสร้างพื้นฐานด้านเทคโนโลยีดิจิทัล ตามนโยบายและแนวปฏิบัติด้านความมั่นคง ปลอดภัยระบบเทคโนโลยีและการสื่อสาร สสวท. (2 ฉบับ)
9.2.6 แผนปฏิบัติงานกู้คืนระบบงานและข้อมูลที่ สสวท. ได้มอบหมายให้ส ารองระบบและข้อมูล (1 ฉบับ)
9.2.7 รายงานผลการทดสอบ การกู้คืนร่วมกับผู้พัฒนาระบบงาน ตามที่ สสวท. ก าหนด ในข้อ 9.2.6 (1 ฉบับ)
9.2.8 คู่มือส ารองและกู้คืนระบบเครือข่ายและเครื่องแม่ข่ายคอมพิวเตอร์ที่ให้บริการโครงสร้าง พื้นฐานด้านเทคโนโลยีดิจิทัล ตามภาคผนวก 1 หรือ ตามที่ สสวท. ก าหนด เช่น ระบบ Active Directory ระบบ Internet DNS Server Messaging และ ระบบ Wireless System ระบบ Network infrastructure (2 ฉบับ)
9.2.9 รายงานผลการทดสอบการกู้คืน ระบบจดหมายอิเล็กทรอนิกส์ และระบบ File Server 1 ฉบับ
9.2.10 คู่มือการถ่ายทอดความรู้ (Solution Transfer) 1 ฉบับ
14/21
10. การส่งมอบงานและการจ่ายเงิน จ่ายเงินจ านวนร้อยละ 25 ของวงเงินสัญญา จ านวน 4 งวด ดังนี้ งวดที่ 1 เมื่อผู้รับจ้างส่งแผนการด าเนินงานการบริหารจัดการและบ ารุงรักษาระบบเครือข่ายและเครื่องแม่ ข่ายคอมพิวเตอร์ที่ให้บริการโครงสร้างพื้นฐานด้านเทคโนโลยีดิจิทัล ตามเอกสารภาคผนวก 1 ภายใน 5 วัน นับถัดจากวันลงนามในสัญญาและปฏิบัติงานตามขอบเขตของงาน ตั้งแต่ เดือนที่ 1 – เดือนที่ 3 และส่งมอบ รายงาน ตามข้อ 9.1 และ 9.2 รายงานอื่นๆ ตามงวดงาน และคณะกรรมการตรวจรับเรียบร้อยแล้ว ดังนี้
- แผนปฏิบัติงานส ารองและกู้คืนระบบเครือข่ายและเครื่องแม่ข่ายคอมพิวเตอร์ที่ให้บริการ โครงสร้างพื้นฐานด้านเทคโนโลยีดิจิทัล ตามภาคผนวก 1 ที่ได้รับการตรวจสอบและรับรองจากผู้เชี่ยวชาญ (ฉบับที่ 1)
- รายงานสถานะของระบบสารสนเทศที่มีอยู่ในปัจจุบัน (Existing Report) (ฉบับที่ 1)
- แผนปฏิบัติงานกู้คืนระบบงานและข้อมูลที่ สสวท. ได้มอบหมายให้ส ารองระบบและข้อมูล 4) รายการวัสดุหรือครุภัณฑ์ที่ใช้ในงานจ้าง ซึ่งเป็นพัสดุที่ผลิตภายในประเทศ โดยต้องใช้ไม่น้อยกว่า ร้อยละ 60 ของมูลค่าพัสดุที่จะใช้ในงานจ้างนี้ (ถ้ามี)
โดยจัดส่งในรูปแบบเอกสารไฟล์อิเล็กทรอนิกส์ PDF จ านวน 1 ชุด
งวดที่ 2 เมื่อผู้รับจ้างปฏิบัติงานตามขอบเขตของงาน เดือนที่ 4 – เดือนที่ 6 และส่งมอบรายงาน ตามข้อ 9.1 และ 9.2 รายงานอื่นๆ ตามงวดงาน และคณะกรรมการตรวจรับเรียบร้อยแล้ว ดังนี้ 1) รายงานการบ ารุงรักษาเชิงป้องกัน (ฉบับที่ 1) - รายงานการวิเคราะห์และปรับแต่งประสิทธิภาพ (Tuning) ระบบเครือข่ายและเครื่องแม่ข่าย คอมพิวเตอร์ที่ให้บริการโครงสร้างพื้นฐานด้านเทคโนโลยีดิจิทัล ตามนโยบายและแนวปฏิบัติด้านความมั่นคง ปลอดภัยระบบเทคโนโลยีและการสื่อสาร สสวท. (ฉบับที่ 1)
- คู่มือส ารองและกู้คืนระบบเครือข่ายและเครื่องแม่ข่ายคอมพิวเตอร์ที่ให้บริการโครงสร้างพื้นฐาน ด้านเทคโนโลยีดิจิทัล ตามภาคผนวก 1 หรือ ตามที่ สสวท. ก าหนด เช่น ระบบ Active Directoryระบบ Internet DNS Server Messaging และ ระบบ Wireless System ระบบ Network infrastructure (ฉบับที่ 1)
โดยจัดส่งในรูปแบบเอกสารไฟล์อิเล็กทรอนิกส์ PDF จ านวน 1 ชุด
งวดที่ 3 เมื่อผู้รับจ้างปฏิบัติงานตามขอบเขตของงาน ตั้งแต่ เดือนที่ 7 – เดือนที่ 9 และส่งมอบรายงาน ตามข้อ 9.1 และ 9.2 รายงานอื่นๆ ตามงวดงาน และคณะกรรมการตรวจรับเรียบร้อยแล้ว ดังนี้ 1) แผนปฏิบัติงานส ารองและกู้คืนระบบเครือข่ายและเครื่องแม่ข่ายคอมพิวเตอร์ที่ให้บริการ โครงสร้างพื้นฐานด้านเทคโนโลยีดิจิทัล ตามภาคผนวก 1 ที่ได้รับการตรวจสอบและรับรองจากผู้เชี่ยวชาญ (ฉบับที่ 2) - รายงานผลการทดสอบ การกู้คืนร่วมกับผู้พัฒนาระบบงาน ตามที่ สสวท. ก าหนด ในข้อ 9.2.7
15/21
3) รายงานผลการทดสอบการกู้คืน ระบบจดหมายอิเล็กทรอนิกส์ และระบบ File Server 1 ฉบับ โดยจัดส่งในรูปแบบเอกสารไฟล์อิเล็กทรอนิกส์ PDF จ านวน 1 ชุด
งวดที่ 4 เมื่อผู้รับจ้างปฏิบัติงานตามขอบเขตของงาน ตั้งแต่ เดือนที่ 10 – เดือนที่ 12 และส่งมอบรายงาน ตามข้อ 9.1 และ 9.2 รายงานอื่นๆ ตามงวดงาน และคณะกรรมการตรวจรับเรียบร้อยแล้ว ดังนี้ 1) รายงานการบ ารุงรักษาเชิงป้องกัน (ฉบับที่ 2)
2) รายงานสถานะของระบบสารสนเทศที่มีอยู่ในปัจจุบัน (Existing Report) (ฉบับที่ 2)
3) รายงานการด าเนินการจัดท าระบบเสมือนจริงตามที่ สสวท. ก าหนด จากภัยคุกคามทางไซเบอร์ อย่างน้อย 2 กรณี
4) รายงานการวิเคราะห์และปรับแต่งประสิทธิภาพ (Tuning) ระบบเครือข่ายและเครื่องแม่ข่าย คอมพิวเตอร์ที่ให้บริการโครงสร้างพื้นฐานด้านเทคโนโลยีดิจิทัล ตามนโยบายและแนวปฏิบัติด้านความมั่นคง ปลอดภัยระบบเทคโนโลยีและการสื่อสาร สสวท. (ฉบับที่ 2)
5) คู่มือส ารองและกู้คืนระบบเครือข่ายและเครื่องแม่ข่ายคอมพิวเตอร์ที่ให้บริการโครงสร้างพื้นฐาน ด้านเทคโนโลยีดิจิทัล ตามภาคผนวก 1 หรือ ตามที่ สสวท. ก าหนด เช่น ระบบ Active Directoryระบบ Internet DNS Server Messaging และ ระบบ Wireless System ระบบ Network infrastructure (ฉบับ ที่ 2)
6) คู่มือการถ่ายทอดความรู้ (Solution Transfer) โดยจัดส่งในรูปแบบเอกสารไฟล์อิเล็กทรอนิกส์ PDF จ านวน 1 ชุด
11. การให้บริการและค่าปรับ
ผู้รับจ้างต้องบริหารจัดการระบบโครงสร้างพื้นฐานด้านเทคโนโลยีดิจิทัล (ซึ่งครอบคลุมถึงระบบเครือข่าย, เครื่องแม่ข่ายทั้ง On-premise และ GDCC, ระบบฐานข้อมูล MS SQL และระบบ Microsoft 365) ให้มี ประสิทธิภาพ มั่นคงปลอดภัย และพร้อมใช้งานอย่างต่อเนื่อง โดยมีเกณฑ์การให้บริการและความรับผิดดังนี้
11.1 ผู้รับจ้างต้องบริหารจัดการมิให้ระบบขัดข้องรวมเกินกว่า 4 (สี่) ชั่วโมงต่อเดือน หรือร้อยละ 0.55 ของ เวลาใช้งานทั้งหมดในเดือนนั้น (แล้วแต่ตัวเลขใดจะมากกว่ากัน) หากระบบขัดข้องเกินกว่าก าหนด ผู้รับจ้างยินยอมให้ สสวท. คิดค่าปรับเป็นรายชั่วโมงในอัตราร้อยละ 0.025 ของราคาค่าจ้างรวมตามสัญญาต่อชั่วโมง ส าหรับเวลาที่ไม่ สามารถใช้งานได้ในส่วนที่เกินก าหนด (เศษของชั่วโมงนับเป็น 1 ชั่วโมง)
11.2 ในกรณีที่เกิดเหตุขัดข้องหรือได้รับการแจ้งซ่อม หากผู้รับจ้างไม่เข้าด าเนินการตรวจสอบหรือแก้ไข ภายในเวลาที่ก าหนดในขอบเขตงาน (TOR) หรือไม่สามารถแก้ไขให้แล้วเสร็จตามก าหนดผู้รับจ้างยินยอมให้คิด ค่าปรับเป็นรายชั่วโมงในอัตราร้อยละ 0.1 ของค่าจ้างรายงวด นับจากเวลาที่ครบก าหนดจนถึงเวลาที่เริ่มการแก้ไข หรือจนกว่าจะแก้ไขแล้วเสร็จ (เศษของชั่วโมงนับเป็น 1 ชั่วโมง) หากผู้รับจ้างไม่ด าเนินการ สสวท. มีสิทธิ์จ้าง บุคคลภายนอกมาด าเนินการแทน โดยผู้รับจ้างต้องรับผิดชอบค่าใช้จ่ายที่เกิดขึ้นจริงทั้งหมด
16/21
11.3 ในกรณีที่ผู้รับจ้างส่งมอบรายงานประจ างวด หรือผลการด าเนินงานล่าช้ากว่าที่ก าหนดในสัญญา และ สสวท. ยังไม่บอกเลิกสัญญา ผู้รับจ้างต้องช าระค่าปรับให้แก่ สสวท. เป็นรายวันในอัตราร้อยละ 0.1 ของราคาค่าจ้าง รวมตามสัญญา นับถัดจากวันที่ครบก าหนดส่งมอบจนถึงวันที่ส่งมอบงานให้แก่ สสวท. ครบถ้วนถูกต้อง
12. ข้อสงวนสิทธิ์
12.1 สสวท. สามารถขอเปลี่ยนแปลงบุคลากรหลัก ตามที่ระบุไว้ในข้อเสนอได้โดยไม่มีเงื่อนไข 12.2 ผู้รับจ้างไม่มีสิทธิ์เปลี่ยนแปลงบุคลากรหลัก ตลอดระยะเวลาด าเนินการ โดยไม่ได้รับความเห็นชอบจาก สสวท.
12.3 ข้อมูลและเอกสารใดๆ ที่ สสวท. ได้รับทราบหรือได้รับจากหน่วยงานลูกค้าของ สสวท. และ/หรือ จาก สสวท. รวมทั้งผลงานที่ส่งมอบ ผู้ยื่นข้อเสนอต้องถือเป็นความลับ ไม่น าไปเผยแพร่ให้บุคคลใดทราบเป็นอันขาด เว้น แต่ได้รับการอนุญาตเป็นลายลักษณ์อักษรจาก สสวท.
12.4 สสวท. ขอสงวนสิทธิ์ในการยกเลิกการจ่ายเงินทันที และ/หรือเรียกเงินคืน หากผู้ยื่นข้อเสนอไม่สามารถ ด าเนินการได้ตามข้อก าหนดและเงื่อนไข (TOR) ข้อหนึ่งข้อใดของสัญญาจ้างในโครงการนี้ โดยที่ผู้ยื่นข้อเสนอจะไม่ขอ เรียกร้องสิทธิรวมทั้งค่าใช้จ่ายใดๆ จาก สสวท. ยกเว้นการไม่สามารถด าเนินการได้ดังกล่าวเป็นผลมาจากข้อจ ากัดของ สสวท.
13. เงื่อนไขอื่นๆ สสวท. แบ่งส านักงาน ออกเป็น 3 ที่ ดังนี้
- ส านักงานหลัก อาคารสิริภิญโญ เลขที่ 475 ชั้น 9 ถนนศรีอยุธยา แขวงถนนพญาไท เขตราชเทวี กรุงเทพฯ 10400
- ส านักงานย่อย อาคารศูนย์บริการวิทยาศาสตร์เพื่อสุขภาพ (อาคาร 6) เลขที่ 928 ถนนสุขุมวิท แขวงพระ โขนง เขตคลองเตย กรุงเทพฯ 10110
- ส านักงานย่อย องค์การค้าของ สกสค. เลขที่ 2249 อาคาร 19 โรงพิมพ์คุรุสภาลาดพร้าว แขวงสะพานสอง เขตวังทองหลาง กรุงเทพมหานคร 10310
ตัวอย่างตารางเปรียบเทียบข้อก าหนด สสวท.
รายละเอียดข้อก าหนดของ สสวท.
ข้อเสนอ
เอกสารอ้างอิง
(ระบุเลขหน้า)
หมายเหตุ
4.2 ผู้ยื่นข้อเสนอต้องมีหนังสือรับรองจากทาง Microsoft ใน การรับรองถึงการมีประสิทธิภาพในการให้บริการ (Solutions Partner Designations) ในด้าน Infrastructure (Azure) และ/หรือ Modern Work
หนังสือหรือจดหมาย รับรองจากบริษัท
หน่วยงานที่สามารถ ออกใบรับรองได้
หนังสือรับรองหรือ เอกสารรับรอง ระบุ เลขข้อ
(ท าแถบสีหรือ
เครื่องหมายให้
ชัดเจน)
17/21
4.7ผู้ยื่นข้อเสนอต้องมีผู้เชียวชาญอย่างน้อย 1 คน และมี ประสบการณ์อย่างน้อย 3 ปี ในการติดตั้งและบริหารจัดการ ระบบ Virtualization ของ VMware
หนังสือรับรองจาก
บริษัทผู้ยื่นข้อเสนอ หรือหน่วยงานที่
สามารถออกใบรับรอง ได้
หนังสือรับรองหรือ เอกสารรับรอง ระบุ เลขข้อ
(ท าแถบสีหรือ
เครื่องหมายให้
ชัดเจน)
18/21
ภาคผนวก 1 รายการระบบต่างๆ
ผู้รับจ้างต้องด าเนินการบริหารจัดการ บ ารุงรักษา และปรับแต่งประสิทธิภาพ (Tuning) รวมถึงเสริมความ มั่นคงปลอดภัย (Hardening) ให้แก่ระบบต่างๆ ตามรายการที่ก าหนดในภาคผนวกนี้ เพื่อให้ระบบโครงสร้างพื้นฐาน ดิจิทัลสามารถให้บริการได้อย่างต่อเนื่อง มีเสถียรภาพ และมีประสิทธิภาพสูงสุด ทั้งนี้ การด าเนินงานต้องสอดคล้อง กับนโยบายและแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศของ สสวท. และเป็นไปตามกฎหมายที่เกี่ยวข้อง
ตารางระดับการให้บริการ (SLA)
หมวดหมู่ระบบงาน รายการระบบและกิจกรรมการปฏิบัติงาน SLA (ชั่วโมง)
1. Identity & Directory
Active Directory (On-premise): บ ารุงรักษา, จัดการ GPO, Backup, Auditing
4
Microsoft Entra ID (Azure AD): บริหารจัดการบัญชี และตรวจสอบสถานะการ Sync
4
Core Network Services: บริหารจัดการ DNS (Internal/External) และ DHCP
2
2. Messaging &
Collaboration
Microsoft Exchange Server 2019: Mail Flow, Storage Management, Database Health
4
Microsoft 365 (Exchange Online/Teams): บริหารจัดการสิทธิ์และ Service Health
4
Mail Security: บริหารจัดการ Spam Filter, Relay Server และ Blacklist Monitoring
2
3. DevOps &
Configuration
GitLab Self-Managed: Source Control, User Access, Backup และการดูแลระบบ
4
Configuration as Code: การจัดเก็บและปรับปรุง Script/Config บน GitLab
6
4. Cloud &
Virtualization
VMware vSphere (vCenter/ESXi): การบริหารจัดการ VM และ Cluster Health
4
GDCC (Government Cloud): บริหารจัดการทรัพยากรบน Cloud กลางภาครัฐ
4
5. Security & Protection
Endpoint Security (Antivirus/EDR): การอัปเดต Signature และ Remediation
4
SSL Certificate: การติดตั้งและต่ออายุ SSL (เมื่อได้รับไฟล์จาก สสวท.)
2
Network Access Control (NAC): การควบคุมการเข้าถึงระบบเครือข่าย (Forescout)
4
6. Infrastructure &
Network
Network Infrastructure: บ ารุงรักษาอุปกรณ์ Switch, Wireless Controller/AP
6
Windows / Linux Server: การ Patching, Hardening และการจัดการ OS
6
7. Data & Storage
File Server & SAN Storage: การจัดการ Quota, Permission และ Shadow Copy
6
Backup & Recovery: การส ารองข้อมูลตามรอบ และการทดสอบกู้คืน (Restore Test)
6
8. Monitoring & Support Monitoring Tools:
การตั้งค่าระบบเฝ้าระวัง (Solarwinds/Zabbix) และระบบแจ้งเตือน
4
ITSM (iTop): การจัดการ Asset Inventory (CMDB) และบันทึก Ticket
8
19/21
หมายเหตุรายการเครื่องมือและซอฟต์แวร์สนับสนุนที่ สสวท. มีอยู่ (Existing Tools)
- Virtualization: VMware vCenter Server เวอร์ชัน 6 และ 7
- Security & EDR: Trend Micro Smart Protection, Crowdstrike EDR และ Forescout Network Access Control 3. Backup Solutions: CA Arcserve (Disk to Tape), Arcserve UDP (Disk to Disk), Windows Server Backup และ Veeam Backup
- Monitoring Tools: Manage Engine (EventLog Analyzer, Exchange Reporter Plus), Solarwinds และ Zabbix 5. Management & Source Control: Aruba Wireless Controller Management, iTop และ GitLab
20/21
ภาคผนวก 2 นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยดิจิทัล
ผู้รับจ้างต้องศึกษา ท าความเข้าใจ และถือปฏิบัติงานให้สอดคล้องกับกฎหมาย ระเบียบ ประกาศ และนโยบายที่เกี่ยวข้อง อย่างเคร่งครัด ดังนี้
- กฎหมายและประกาศระดับกระทรวง
1.1 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) การบริหารจัดการข้อมูลส่วนบุคคลที่อยู่ใน ระบบสารสนเทศของ สสวท.
1.2 พระราชบัญญัติว่าด้วยการกระท าความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560 และประกาศกระทรวง ดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2564 2. ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) และ สกมช.
ผู้รับจ้างต้องปฏิบัติตามมาตรฐานขั้นต่ าและแนวทางที่ สกมช. ก าหนด ได้แก่
2.1 มาตรฐานขั้นต่ าของข้อมูลหรือระบบสารสนเทศ พ.ศ. 2566 เพื่อวางรากฐานความปลอดภัยพื้นฐาน 2.2 มาตรฐานการก าหนดคุณลักษณะความมั่นคงปลอดภัยไซเบอร์ให้แก่ข้อมูลหรือระบบสารสนเทศ พ.ศ. 2566 2.3 มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ. 2567 (Cloud Cybersecurity Standard) เพื่อการดูแลระบบ GDCC และ คลาวด์อื่นๆ
2.4 มาตรฐานและแนวทางส่งเสริมพัฒนาระบบการให้บริการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2566
2.5 แนวปฏิบัติการรักษาความมั่นคงปลอดภัยเว็บไซต์ (Website Security Guideline) ส าหรับการดูแลเว็บไซต์ ภายใต้ความรับผิดชอบของ สสวท. - แผนและแนวทางปฏิบัติงานด้านไซเบอร์ (Cybersecurity Framework)
3.1 แผนการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2567 และแผนการตรวจสอบด้านการรักษาความมั่นคง ปลอดภัยไซเบอร์
3.2 การประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cyber Risk Assessment) ตามวงรอบที่ ก าหนด
3.3 แผนการรับมือภัยคุกคามทางไซเบอร์ (Cyber Incident Response Plan) และขั้นตอนการปฏิบัติงาน มาตรฐาน (SOP/Playbook) - นโยบายและแนวปฏิบัติภายใน สสวท.
4.1 นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ พ.ศ. 2565 ของ สสวท. 4.2 นโยบายการส ารองข้อมูลและการเตรียมความพร้อมในกรณีฉุกเฉิน เพื่อความต่อเนื่องทางธุรกิจ (BCP) 5. การเปลี่ยนแปลงกฎหมายและประกาศในอนาคต
ผู้รับจ้างมีหน้าที่ติดตาม ปรับปรุงกระบวนการท างาน และปฏิบัติตามกฎหมาย ประกาศ หรือหลักเกณฑ์ใหม่ๆ ที่ เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล ที่มีการประกาศใช้ระหว่างอายุสัญญา
จ้าง โดยไม่มีค่าใช้จ่ายเพิ่มเติม
21/21