ประกวดราคาจ้างวิเคราะห์และทดสอบช่องโหวของระบบ Health Link ระยะที่ 2
สถาบันข้อมูลขนาดใหญ่ (องค์การมหาชน) หรือ สขญ. ดำเนินการโครงการ Health Link เพื่อเชื่อมโยงข้อมูลสุขภาพทั่วประเทศ ปัจจุบันได้ย้ายระบบ Health Link ไปยังคลาวด์ใหม่ และมีความจำเป็นต้องตรวจสอบความปลอดภัยของระบบที่มีข้อมูลสุขภาพที่อ่อนไหว จึงได้จัดจ้างโครงการ “จ้างวิเคราะห์และทดสอบช่องโหว่ของระบบ Health Link ระยะที่ 2” เพื่อประเมินความเสี่ยงและหาช่องโหว่ที่อาจเกิดขึ้นหลังการย้ายระบบ วัตถุประสงค์หลักคือเพื่อให้ได้รายงานผลการทดสอบช่องโหว่ ระบุวิธีการจัดการช่องโหว่ที่เหมาะสม และยืนยันการปิดช่องโหว่ที่พบในระยะที่ 1 ขอบเขตงานครอบคลุมการทำ Gray-box Penetration Test บนเว็บไซต์สำหรับประชาชน (ลงทะเบียนความยินยอม) เว็บไซต์สำหรับสถานพยาบาล (ส่งต่อผู้ป่วย) เว็บไซต์สำหรับลงทะเบียนสถานพยาบาล และ FHIR Server สำหรับจัดเก็บข้อมูลการรักษา (API) จำนวน 10 เป้าหมาย รวมถึง Vulnerability Assessment บนเครื่องเซิร์ฟเวอร์ ผู้รับจ้างต้องส่งมอบงานทั้งหมดภายใน 210 วัน โดยจะพิจารณาคัดเลือกข้อเสนอจากเกณฑ์ราคา (20%) และข้อเสนอด้านเทคนิค (80%) ซึ่งรวมถึงความเหมาะสมของผู้เชี่ยวชาญและผลงานประสบการณ์ งบประมาณโครงการคือ 2,000,000 บาท
English summary
The Institute of Big Data (Public Organization) or BDI is procuring services for “Vulnerability Analysis and Testing of the Health Link System Phase 2” following its migration to a new cloud infrastructure. The project aims to identify and assess security vulnerabilities within the Health Link system, which handles sensitive health data. Key objectives include generating a report on identified vulnerabilities, providing appropriate remediation strategies, and verifying the closure of vulnerabilities from Phase 1 to ensure system security. The scope of work involves Gray-box Penetration Testing on various web portals (public consent registration, hospital referral system, hospital registration) and 10 FHIR Server APIs for health record storage, along with server vulnerability assessments. The contract duration is 210 days. Bid evaluation will consider price (20%) and technical proposals (80%), focusing on expert qualifications and project experience. The project budget is THB 2,000,000.
เลขที่ 234/432 ซอยลาดพร้าว 12 ถนนลาดพร้าว
ข้อมูลเชิงลึกของโครงการ
AI วิเคราะห์เป้าหมายโครงการ
- เพื่อให้ได้รายงานผลการทดสอบและจำนวนช่องโหว่ที่มีในระบบภายหลังจากย้ายระบบไปยังโครงสร้างพื้นฐานใหม่
- เพื่อให้สามารถพิจารณาและทราบวิธีการในการจัดการกับช่องโหว่ที่เกิดขึ้นอย่างเหมาะสม
- ดำเนินการทดสอบระบบภายหลังการวิเคราะห์ช่องโหว่ในระยะที่ 1 ที่ได้ดำเนินการแก้ไขเรียบร้อยแล้ว เพื่อให้เกิดความมั่นใจว่าระบบได้มีการปิดช่องโหว่จากระยะที่ 1 เรียบร้อยแล้ว
ขอบเขตของงาน
- การทำ Gray-box Penetration Test บนเว็บไซต์สำหรับประชาชน (Portal) จำนวน 1 เป้าหมาย ซึ่งมีฟังก์ชันหลัก ได้แก่ การเข้าสู่ระบบผ่าน ThaiD, การแก้ไขข้อมูลติดต่อ, การจัดการความยินยอม, และข้อมูลสุขภาพ/ประวัติการรักษา
- การทำ Gray-box Penetration Test บนเว็บไซต์สำหรับสถานพยาบาล (Refer) จำนวน 1 เป้าหมาย ซึ่งมีฟังก์ชันหลัก ได้แก่ การส่งต่อผู้ป่วย, การรับผู้ป่วย, การขอส่งต่อผู้ป่วย โดยมีการกรอกข้อมูลผู้ป่วย/แพทย์ และดึงข้อมูลเพื่อจัดการการส่งต่อ
- การทำ Gray-box Penetration Test บนเว็บไซต์สำหรับลงทะเบียนสถานพยาบาลและผู้ดูแล (Hospital Registration) จำนวน 1 เป้าหมาย
- การทำ Gray-box Penetration Test บนระบบเชื่อมต่อข้อมูลสุขภาพ (FHIR Server) จำนวน 10 เป้าหมาย (API) สำหรับเก็บข้อมูลการรักษา ซึ่งรองรับ API มาตรฐาน FHIR r4
- การทำ Vulnerability Assessment บนเครื่องเซิร์ฟเวอร์ที่ใช้ลง FHIR Server (Ubuntu 18.04, 20.04, 22.04)
สิ่งที่ต้องส่งมอบ
- รายงานผลการทดสอบและจำนวนช่องโหว่ที่พบในระบบ
- แนวทางการจัดการกับช่องโหว่ที่เกิดขึ้นอย่างเหมาะสม
- รายงานผลการทดสอบยืนยันการปิดช่องโหว่จากระยะที่ 1
- แผนการทำงาน (สำหรับงวดที่ 1)
- รายงานการทดสอบตามรายละเอียดข้อ 4.1, 4.2 และ 4.3 (สำหรับงวดที่ 2)
- รายงานการทดสอบตามรายละเอียดข้อ 4.4 (สำหรับงวดที่ 3)
- รายงานการทดสอบซ้ำตามรายละเอียดข้อ 4.1, 4.2, 4.3 และ 4.4 (สำหรับงวดที่ 4)
ระยะเวลาดำเนินการ
210 วัน นับถัดจากวันลงนามในสัญญา
คุณสมบัติผู้เสนอราคา
- Eligibility Requirements:
- เป็นนิติบุคคลหรือบุคคลธรรมดาผู้มีอาชีพตามที่ประกาศ
- ไม่เป็นบุคคลล้มละลาย
- ไม่อยู่ระหว่างเลิกกิจการ
- ไม่เป็นผู้ที่ถูกระงับการยื่นข้อเสนอหรือทำสัญญากับหน่วยงานของรัฐไว้ชั่วคราว
- ไม่เป็นผู้ที่ถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงาน
- ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่น หรือกระทำการอันเป็นการขัดขวางการแข่งขันราคาอย่างเป็นธรรม
- ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกันซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้เสนอราคาได้มีคำสั่งให้สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
- ต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (e-GP)
- Standards Compliance: ไม่ระบุ
- Experience:
- มีผลงานหรือประสบการณ์ในการวิเคราะห์และทดสอบช่องโหว่ของระบบหน่วยงานรัฐหรือเอกชนไม่น้อยกว่า 5 ปี
- มีหนังสือรับรองมูลงานมูลค่าไม่น้อยกว่า 1,000,000 บาท อย่างน้อย 1 ผลงาน
- Previous Project Cost: ไม่ระบุ (แต่มีข้อกำหนดเกี่ยวกับมูลค่าผลงานขั้นต่ำ)
- Technical Capabilities: ไม่ระบุโดยตรง แต่ประเมินจากคุณสมบัติของผู้เชี่ยวชาญ
- Personnel:
- มีพนักงานหรือบุคลากรที่ได้รับการรับรองความรู้ความสามารถด้านความมั่นคงปลอดภัยสารสนเทศ (Certificate) เป็นผู้ดำเนินการตามขอบเขตงาน
- คุณสมบัติ Certificate ที่ต้องการ:
- ด้าน Security และ Network: GPEN หรือ OSCP
- ด้าน Web Application: GWAPT
- ด้าน Mobile Application: GMOB หรือ eMAPT
- Financial Requirements:
- กรณีเป็นนิติบุคคลที่จัดตั้งเกิน 1 ปี: มีมูลค่าสุทธิของกิจการเป็นบวกในปีงบการเงินสุดท้ายก่อนวันยื่นข้อเสนอ
- กรณีเป็นนิติบุคคลที่ยังไม่มีการรายงานงบการเงิน หรือนิติบุคคลต่างประเทศที่ยังไม่มีการรายงานงบการเงิน: มีทุนจดทะเบียนที่เรียกชำระแล้วไม่ต่ำกว่า 1 ล้านบาท
- กรณีเป็นบุคคลธรรมดา (วงเงินเกิน 500,000 บาท): มีเงินฝากคงเหลือในบัญชีไม่เกิน 90 วัน ก่อนวันยื่นข้อเสนอ เป็นมูลค่า 1 ใน 4 ของมูลค่าประมาณโครงการ
- กรณีไม่มีมูลค่าสุทธิ/ทุนจดทะเบียนเพียงพอ: สามารถขอวงเงินสินเชื่อ 1 ใน 4 ของมูลค่าประมาณโครงการ จากธนาคารภายในประเทศ หรือบริษัทเงินทุนที่ได้รับอนุญาต หรือธนาคาร/บริษัทเงินทุนต่างประเทศที่ได้รับอนุญาต (สำหรับนิติบุคคล/บุคคลธรรมดาต่างประเทศ) โดยวงเงินสินเชื่อต้องออกให้ไม่เกิน 90 วันก่อนวันยื่นข้อเสนอ
เกณฑ์การพิจารณา
- หลักเกณฑ์: ราคาประกอบเกณฑ์อื่น
- น้ำหนัก:
- ราคาที่ยื่นข้อเสนอ: ร้อยละ 20
- ข้อเสนอด้านเทคนิคหรือข้อเสนออื่น ๆ: ร้อยละ 80
- ความเหมาะสมของผู้เชี่ยวชาญ/ที่ปรึกษา: ร้อยละ 60
- ผลงานและประสบการณ์: ร้อยละ 20
- เกณฑ์การให้คะแนนข้อเสนอด้านเทคนิค:
- ความเหมาะสมของผู้เชี่ยวชาญ/ที่ปรึกษา (60%): พิจารณาจากคุณสมบัติของพนักงาน/บุคลากรที่ได้รับการรับรอง Certificate (GPEN, OSCP, GWAPT, GMOB, eMAPT) และจำนวนปีที่ค้นพบ Vulnerabilities ในฐานข้อมูลที่เชื่อถือได้ (เช่น OSVDB, NVD) โดยมีคะแนนเต็ม 100 คะแนน
- ผลงานและประสบการณ์ (20%): พิจารณาจากจำนวนโครงการ VAPT ที่แล้วเสร็จภายใน 5 ปี โดยมีคะแนนตามจำนวนโครงการ (6 โครงการขึ้นไป = 100 คะแนน, 4-5 โครงการ = 80 คะแนน, 3 โครงการ = 60 คะแนน, ต่ำกว่า 3 โครงการ = 0 คะแนน)
ข้อกำหนดทางเทคนิค
- ประเภทการทดสอบ: Gray-box Penetration Test
- เป้าหมายการทดสอบ:
- เว็บไซต์สำหรับประชาชน (Portal) 1 เป้าหมาย (ฟังก์ชัน: ThaiD login, แก้ไขข้อมูลติดต่อ, จัดการความยินยอม, ข้อมูลสุขภาพ/ประวัติการรักษา)
- เว็บไซต์สำหรับสถานพยาบาล (Refer) 1 เป้าหมาย (ฟังก์ชัน: ส่ง/รับ/ขอส่งต่อผู้ป่วย, กรอกข้อมูลผู้ป่วย/แพทย์, ดึงข้อมูลจัดการการส่งต่อ)
- เว็บไซต์สำหรับลงทะเบียนสถานพยาบาลและผู้ดูแล (Hospital Registration) 1 เป้าหมาย
- ระบบเชื่อมต่อข้อมูลสุขภาพ (FHIR Server) 10 เป้าหมาย (API) ที่รองรับมาตรฐาน FHIR r4
- การประเมินช่องโหว่: Vulnerability Assessment บนเครื่องเซิร์ฟเวอร์ FHIR Server (Ubuntu 18.04, 20.04, 22.04)
- วัตถุประสงค์: ตรวจสอบความปลอดภัย, ระบุช่องโหว่, และเสนอแนวทางการแก้ไข
เงื่อนไขสัญญา
- การจ่ายเงิน: แบ่งออกเป็น 4 งวด
- งวดที่ 1 (20%): ภายใน 30 วันหลังลงนามสัญญา (ส่งมอบแผนงาน)
- งวดที่ 2 (30%): ภายใน 90 วันหลังลงนามสัญญา (ส่งมอบรายงานทดสอบ 4.1, 4.2, 4.3)
- งวดที่ 3 (30%): ภายใน 180 วันหลังลงนามสัญญา (ส่งมอบรายงานทดสอบ 4.4)
- งวดที่ 4 (20%): ภายใน 210 วันหลังลงนามสัญญา (ส่งมอบรายงานทดสอบซ้ำ 4.1-4.4)
- อัตราค่าปรับ: ร้อยละ 0.10 ของมูลค่าสัญญาต่อวัน (ขั้นต่ำวันละ 100 บาท) หากส่งมอบงานล่าช้า
คำถามที่พบบ่อย (FAQ)
- Q: โครงการนี้ต้องการทดสอบระบบส่วนใดบ้าง?
- A: โครงการนี้ต้องการทดสอบเว็บไซต์สำหรับประชาชน (Portal), เว็บไซต์สำหรับสถานพยาบาล (Refer), เว็บไซต์สำหรับลงทะเบียนสถานพยาบาล (Hospital Registration) และ FHIR Server (API) รวมถึงเครื่องเซิร์ฟเวอร์ที่เกี่ยวข้อง
- Q: การทดสอบจะใช้วิธีการใด?
- A: จะใช้วิธีการ Gray-box Penetration Test และ Vulnerability Assessment
- Q: ผู้รับจ้างต้องมีคุณสมบัติ Certificate ด้านใดบ้าง?
- A: ผู้รับจ้างต้องมีบุคลากรที่ได้รับการรับรอง Certificate ด้าน Security/Network (GPEN/OSCP), Web Application (GWAPT) และ/หรือ Mobile Application (GMOB/eMAPT)
- Q: ต้องมีผลงานประสบการณ์กี่ปีและมูลค่าเท่าใด?
- A: ต้องมีประสบการณ์ในการวิเคราะห์และทดสอบช่องโหว่ไม่น้อยกว่า 5 ปี และมีหนังสือรับรองมูลงานอย่างน้อย 1,000,000 บาท อย่างน้อย 1 ผลงาน
- Q: ระยะเวลาโครงการทั้งหมดนานเท่าใด?
- A: ระยะเวลาส่งมอบงานทั้งหมดคือ 210 วัน นับถัดจากวันลงนามในสัญญา
- Q: งบประมาณโครงการนี้เท่าไหร่?
- A: งบประมาณโครงการคือ 2,000,000 บาท (สองล้านบาทถ้วน) รวมภาษีมูลค่าเพิ่มแล้ว
- Q: การประเมินข้อเสนอจะพิจารณาจากอะไรบ้าง?
- A: พิจารณาจากราคา (20%) และข้อเสนอด้านเทคนิค (80%) ซึ่งรวมถึงความเหมาะสมของผู้เชี่ยวชาญและผลงาน/ประสบการณ์
- Q: มีการแบ่งงวดการจ่ายเงินอย่างไร?
- A: แบ่งการจ่ายเงินออกเป็น 4 งวด ตามผลงานที่ส่งมอบในแต่ละช่วงเวลา
- Q: หากส่งมอบงานล่าช้าจะมีค่าปรับหรือไม่?
- A: มีค่าปรับในอัตราร้อยละ 0.10 ของมูลค่าสัญญาต่อวัน (ขั้นต่ำวันละ 100 บาท)
- Q: ระบบ Health Link มีความสำคัญอย่างไร?
- A: ระบบ Health Link เป็นระบบที่เชื่อมโยงประวัติการรักษาจากหน่วยบริการต่างๆ ทั่วประเทศ ซึ่งมีข้อมูลสุขภาพที่มีความอ่อนไหว การตรวจสอบช่องโหว่จึงมีความสำคัญอย่างยิ่งต่อความปลอดภัยของข้อมูล
เอกสารขอบเขตงาน (TOR) ฉบับเต็ม
ขอบเขตของงาน (Terms of Reference : TOR)
จ้างวิเคราะห์และทดสอบช่องโหว่ของระบบ Health Link ระยะที่ 2
- ความเป็นมา
ตามที่สถาบันข้อมูลขนาดใหญ่ (องค์การมหาชน) หรือ สขญ. ด าเนินการและพัฒนาระบบการเชื่อมต่อ ข้อมูลสุขภาพจากหน่วยบริการต่างๆ ผ่านโครงการ Health Link หรือ โครงการจัดท าระบบดิจิทัลและ เทคโนโลยีเพื่อเชื่อมโยงข้อมูลสุขภาพทั่วประเทศ สขญ. ได้ด าเนินการเชื่อมโยงประวัติการรักษาระหว่าง สถานพยาบาลในพื้นที่กรุงเทพมหานครแล้วกว่า 1,568 แห่ง และต้องการขยายการเชื่อมต่อให้ครอบคลุมหน่วย บริการทั่วประเทศจ านวนอีกกว่า 10,000 แห่ง ปัจจุบัน สขญ. ได้ด าเนินการจัดจ้างเพื่อย้ายระบบโครงสร้าง พื้นฐานและพัฒนาระบบ Health Link ให้รองรับปริมาณการใช้งานที่เพิ่มขึ้น เพิ่มประสิทธิภาพการท างานของ บุคลากร และยกระดับความปลอดภัยของระบบ Health Link อย่างเป็นรูปธรรม โดยย้ายจากระบบคลาวด์เดิม ไปยังระบบคลาวด์ใหม่
ทั้งนี้ เนื่องจากระบบ Health Link เป็นระบบที่มีข้อมูลสุขภาพ ซึ่งเป็นข้อมูลที่มีความอ่อนไหว จึงมี ความเสี่ยงในการถูกโจมตีจากผู้ไม่ประสงค์ดี ในการย้ายระบบจึงต้องมีการตรวจสอบความปลอดภัยขั้นพื้นฐาน โครงการ Health Link จึงจ้างวิเคราะห์และทดสอบช่องโหว่ของระบบ Health Link ระยะที่ 2 เพื่อให้สามารถ หาช่องโหว่และจัดการกับช่องโหว่ได้อย่างเหมาะสม - วัตถุประสงค์
2.1 เพื่อให้ได้รายงานผลการทดสอบและจ านวนช่องโหว่ที่มีในระบบภายหลังจากย้ายระบบไปยัโครง สร้างพื้นฐานใหม่
2.2 เพื่อให้สามารถพิจารณาและทราบวิธีการในการจัดการกับช่องโหว่ที่เกิดขึ้นอย่างเหมาะสม 2.3 ด าเนินการทดสอบระบบภายหลังการวิเคราะห์ช่องโหว่ในระยะที่ 1 ที่ได้ด าเนินการแก้ไขเรียบร้อย แล้ว เพื่อให้เกิดความมั่นใจว่าระบบได้มีการปิดช่องโหว่จากระยะที่ 1 เรียบร้อยแล้ว - คุณสมบัติของผู้เสนอราคา
3.1 มีความสามารถตามกฎหมาย
3.2 ไม่เป็นบุคคลล้มละลาย
3.3 ไม่อยู่ระหว่างเลิกกิจการ
3.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือท าสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังก าหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
1
3.5 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงาน ของหน่วยงานของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วน ผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอ านาจในการด าเนินงานในกิจการของนิติบุคคลนั้นด้วย
3.6 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหาร พัสดุภาครัฐก าหนดในราชกิจจานุเบกษา
3.7 เป็นบุคคลธรรมดาหรือนิติบุคคลผู้มีอาชีพตามที่ประกาศ
3.8 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่น หรือกระท าการอันเป็นการขัดขวางการ แข่งขันราคาอย่างเป็นธรรม
3.9 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกันซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้เสนอ ราคาได้มีค าสั่งให้สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
3.10 ผู้ยื่นข้อเสนอต้องลงทะเบียนที่มีข้อมูลถูกต้องครบถ้วนในระบบจัดซื้อจัดจ้างภาครัฐด้วย อิเล็กทรอนิกส์ (Electronic Government Procurement : e-GP) ของกรมบัญชีกลาง 3.11 ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ ดังนี้ - กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยหรือต่างประเทศ ซึ่งได้จดทะเบียน เกินกว่า 1 ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิที่ปรากฏในงบ แสดงฐานะการเงินที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก 1 ปีสุดท้ายก่อนวันยื่นข้อเสนอ งบแสดง ฐานะการเงิน 1 ปีสุดท้ายก่อนวันยื่นข้อเสนอ หมายถึง งบแสดงฐานะการเงินย้อนไปก่อนวันที่หน่วยงานของรัฐ ก าหนดให้เป็นวันยื่นข้อเสนอ 1 ปีปฏิทิน เว้นแต่กรณีนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย หากวันยื่นข้อเสนอ เป็นช่วงระยะเวลาที่กรมพัฒนาธุรกิจการค้าก าหนดให้นิติบุคคลยื่นงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจ การค้า ซึ่งจะอยูในช่วงเดือนมกราคม - เดือนพฤษภาคม ของทุกปี โดยนิติบุคคลที่เป็นผู้ยื่นข้อเสนอนั้นยังอยู่ ในช่วงของการยื่นงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า คือ ช่วงเดือนมกราคม - เดือนพฤษภาคม กรณีนี้ให้สามารถยื่นงบแสดงฐานะการเงินย้อนไปอีก 1 ปี ได้
- กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย ซึ่งยังไม่มีการรายงานงบแสดง ฐานะการเงินกับกรมพัฒนาธุรกิจการค้า หรือกรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมาย ต่างประเทศซึ่งยังไม่มีการรายงานงบแสดงฐานะการเงิน ให้พิจารณาการก าหนดมูลค่าของทุนจดทะเบียน โดยผู้ ยื่นข้อเสนอจะต้องมีทุนจดทะเบียนที่เรียกช าระมูลค่าหุ้นแล้ว ณ วันที่ยื่นข้อเสนอ ไม่ต่ ากว่า 1 ล้านบาท
- ส าหรับการจัดซื้อจัดจ้างครั้งหนึ่งที่มีวงเงินเกิน 500,000 บาทขึ้นไป กรณีผู้ยื่นข้อเสนอ เป็นบุคคลธรรมดา ให้พิจารณาจากหนังสือรับรองบัญชีเงินฝากไม่เกิน 90 วัน ก่อนวันยื่นข้อเสนอ โดยต้องมีเงิน ฝากคงเหลือในบัญชีธนาคารเป็นมูลค่า 1 ใน 4 ของมูลค่างบประมาณของโครงการหรือรายการที่ยื่นข้อเสนอ ในแต่ละครั้ง และหากเป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ได้รับการคัดเลือกจะต้องแสดงหนังสือรับรองบัญชี
เงินฝากที่มีมูลค่าดังกล่าวอีกครั้งหนึ่งในวันลงนามในสัญญา
2 - กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียน หรือมีแต่ไม่เพียงพอที่จะเข้า ยื่นข้อเสนอ สามารถด าเนินการได้ดังนี้
(1) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย หรือบุคคลธรรมดาที่ถือ สัญชาติไทย ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ 1 ใน 4 ของมูลค่างบประมาณของ โครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง จะเป็นสินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุนหรือ บริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้ าประกัน ตามประกาศของธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทยแจ้งเวียนให้
ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่ส านักงานใหญ่รับรอง หรือที่ส านักงานสาขารับรอง (2) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศ หรือบุคคลธรรมดาที่ มิได้ถือสัญชาติไทย ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ 1 ใน 4 ของมูลค่างบประมาณ ของโครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง จะเป็นสินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุน หรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์ และประกอบธุรกิจค้ า ประกันตามประกาศของธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคาร แห่งประเทศไทยแจ้ง เวียนให้ทราบ หรือเป็นสินเชื่อที่ธนาคารต่างประเทศหรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบ กิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้ าประกันตามประกาศของธนาคารกลางต่างประเทศนั้น ตาม รายชื่อบริษัทที่ธนาคารกลางต่างประเทศนั้นแจ้งเวียนให้ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่ ส านักงานใหญ่รับรอง หรือที่ส านักงานสาขารับรอง (กรณีได้รับมอบอ านาจจากส านักงานใหญ่) ซึ่งออกให้แก่ผู้ ยื่นข้อเสนอ นับถึงวันยื่นข้อเสนอไม่เกิน 90 วัน - กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศ หรือบุคคลธรรมดาที่มิได้ ถือสัญชาติไทยตามข้อ 2 ข้อ 3 และข้อ 4 (2) มูลค่าจะต้องเป็นไปตามอัตราแลกเปลี่ยนเงินตรา ตามประกาศที่ ธนาคารแห่งประเทศไทยก าหนด ในช่วงระหว่างวันที่เผยแพร่ประกาศและเอกสารประกวดราคาในระบบจัดซื้อ จัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (e - GP) จนถึงวันเสนอราคา
ทั้งนี้ ผู้ยื่นข้อเสนอจะต้องยื่นเอกสารที่แสดงให้เห็นถึงข้อมูลเกี่ยวกับมูลค่าสุทธิของกิจการ แล้วแต่กรณี ประกอบกับเอกสารดังกล่าวจะต้องผ่านการรับรองตามระเบียบกระทรวงการต่างประเทศว่าด้วย การรับรองเอกสาร พ.ศ. 2539 และที่แก้ไขเพิ่มเติมก าหนด โดยจะต้องยื่นเอกสารดังกล่าวในวันยื่นข้อเสนอ หากผู้ยื่นข้อเสนอมิได้มีการยื่นเอกสารดังกล่าวมาพร้อมกับการยื่นข้อเสนอให้ถือว่าผู้ยื่นข้อเสนอรายนั้นยื่น เอกสารไม่ครบถ้วนตามเงื่อนไขที่ก าหนดไว้ในเอกสารประกวดราคา - กรณีตาม ข้อ 1 - ข้อ 5 ไม่ใช้บังคับกรณีดังต่อไปนี้
(6.1) กรณีที่ผู้ยื่นข้อเสนอเป็นหน่วยงานของรัฐภายในประเทศ
(6.2) นิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยที่อยู่ระหว่างการฟื้นฟูกิจการตามพระราชบัญญัติ ล้มละลาย พ.ศ. 2483 และที่แก้ไขเพิ่มเติม
3
(6.3) งานจ้างก่อสร้างที่กรมบัญชีกลางได้ขึ้นทะเบียนผู้ประกอบการงานก่อสร้างแล้ว และงาน จ้างก่อสร้างที่หน่วยงานของรัฐที่ได้มีการจัดท าบัญชีผู้ประกอบการงานก่อสร้างที่มีคุณสมบัติเบื้องต้นไว้แล้วก่อน วันที่พระราชบัญญัติการจัดซื้อจัดจ้างฯ มีผลใช้บังคับ
(6.4) การจัดซื้อจัดจ้างตามมาตรา 56 วรรคหนึ่ง (2) (ข) และ (ค) แห่งพระราชบัญญัติการ จัดซื้อจัดจ้างฯ
(6.5) การซื้ออสังหาริมทรัพย์และการเช่าอสังหาริมทรัพย์
(6.6) กรณีงานจ้างบริการหรืองานจ้างเหมาบริการกับบุคคลธรรมดา เช่น จ้างพนักงานขับรถ ครูชาวต่างชาติ พนักงานเก็บขยะ พนักงานบันทึกข้อมูล เป็นต้น
3.12 ผู้ยื่นเสนอราคาต้องมีผลงานหรือประสบการณ์ในการวิเคราะห์และทดสอบช่องโหว่ของระบบ หน่วยงานรัฐหรือเอกชนไม่น้อยกว่า 5 ปี และมีหนังสือรับรองมูลงานมูลค่าไม่น้อยกว่า 1,000,000 บาท อย่างน้อย 1 ผลงาน - ขอบเขตของงาน
ขอบเขตของงานจ้างวิเคราะห์และทดสอบช่องโหว่ของระบบ Health Link ระยะที่ 2 รายละเอียด ดังนี้
4.1 Gray-box Penetration Test Website ที่ใช้ส าหรับประชาชน ในการลงทะเบียนให้ความยินยอม และจัดการข้อมูลส่วนตัว (portal) จ านวณ 1 เป้าหมาย โดยมี function หลักดังนี้
4.1.1 การเข้าสู่ระบบผ่าน ThaiD
4.1.2 การแก้ไขข้อมูลติดต่อ
4.1.3 การจัดการความยินยอม
4.1.4 ข้อมูลสุขภาพและประวัติการรักษา
4.2 Gray-box Penetration Test Website ที่ใช้ส าหรับสถานพยาบาล ในการส่งตัวผู้ป่วย (Refer) จ านวณ 1 เป้าหมาย โดยมี function หลักดังนี้
4.2.1 ส่งตัวผู้ป่วยจากสถานพยาบาลต้นทาง ไปยังปลายทาง
4.2.2 รับตัวผู้ป่วย
4.2.3 ขอส่งตัวผู้ป่วย ระบบมีการกรอกข้อมูลผู้ป่วย ข้อมูลแพทย์ รวมถึงข้อมูลต่างๆ ที่เกี่ยวข้องกับ การส่งตัว และมีการดึงข้อมูลจากฐานข้อมูลเพื่อตรวจสอบและจัดการการส่งตัว
4.3 Gray-box Penetration Test Website ที่ใช้ส าหรับลงทะเบียนสถานพยาบาลและผู้ดูแล สถานพยาบาล (Hospital Registration) จ านวณ 1 เป้าหมาย
4.4 Gray-box Penetration Test ระบบเชื่อมต่อข้อมูลสุขภาพ (FHIR Server) ที่ใช้ส าหรับเก็บข้อมูล การรักษา 10 เป้าหมาย (API)
4
4.4.1 เป็นระบบจัดเก็บข้อมูลของผู้ป่วย ซึ่งอยู่ที่สถานพยาบาลต่างๆ
4.4.2 รองรับ API มาตรฐานของ FHIR r4
4.4.3 รวม Vulnerability Assessment เครื่องที่ใช้ลง FHIR server (Ubuntu 18.04, 20.04, 22.04) - ก าหนดระยะเวลาส่งมอบงาน
ผู้รับจ้างจะต้องส่งมอบงานทั้งหมดภายในระยะเวลา 210 วัน นับถัดจากวันลงนามในสัญญา - หลักเกณฑ์ในการพิจารณาคัดเลือกข้อเสนอ
6.1 ในการพิจารณาผลการยื่นข้อเสนอครั้งนี้ สถาบันข้อมูลขนาดใหญ่ (องค์การมหาชน) จะพิจารณาตัดสิน โดยใช้หลักเกณฑ์ ราคาประกอบเกณฑ์อื่น
6.2 การพิจารณาผู้ชนะการยื่นข้อเสนอ
กรณีใช้หลักเกณฑ์ราคาประกอบเกณฑ์อื่น ในการพิจารณาผู้ชนะการยื่นข้อเสนอสถาบันข้อมูลขนาดใหญ่ (องค์การมหาชน) จะพิจารณาโดยให้คะแนนตามปัจจัยหลักและน้ าหนักที่ก าหนด ดังนี้ 6.2.1 จ้างวิเคราะห์และทดสอบช่องโหว่ของระบบ Health Link ระยะที่ 2
(1) ราคาที่ยื่นข้อเสนอ ก าหนดน้ าหนักเท่ากับร้อยละ 20
(2) ข้อเสนอด้านเทคนิคหรือข้อเสนออื่น ๆ ก าหนดน้ าหนักเท่ากับร้อยละ 80 ประกอบด้วย รายละเอียด ดังนี้
เกณฑ์ข้อเสนอทางด้านเทคนิค (น้ าหนักร้อยละ 80) ประกอบด้วย - ความเหมาะสมของผู้เชี่ยวชาญ/ ที่ปรึกษา ร้อยละ 60 2. ผลงานและประสบการณ์ ร้อยละ 20
- ความเหมาะสมของผู้เชี่ยวชาญ/ ที่ปรึกษา น้ าหนักร้อยละ 60 มีรายละเอียดการให้คะแนนดังนี้
เกณฑ์การพิจารณาให้คะแนน
คะแนน
วิธีประเมิน
ผู้ ยื่ น ข้ อ เ ส น อ มี พ นั กง า น ห รื อ บุ ค ล า ก ร เ ป็ น ผู้ ค้ น พ บ Vulnerabilities ที่ถูกรวบรวมและเผยแพร่ จาก Vulnerability Database ที่ เ ชื่ อ ถื อ ไ ด้ เ ช่ น OSVDB (Open Source Vulnerability Database) หรือ NVD (National Vulnerability
100
พิจารณาจาก
คุณสมบัติ ของ
พนักงาน หรือ
บุคลากร
5
Database) ภายในระยะเวลาไม่เกิน 5 ปี นับจนถึงวันที่ยื่น ข้อเสนอ
มีพนักงาน หรือบุคลากร จ านวนอย่างน้อย 3 คน ซึ่งได้รับการ รับรองความรู้ ความสามารถทางด้านความมั่นคงปลอดภัย สารสนเทศ (Certificate) เป็นผู้ด าเนินการตามขอบเขตของงาน โดยมี คุณสมบัติอย่างน้อย ดังนี้
• ทางด้าน Security และ Network ได้รับ Certificate GPEN (GIAC Penetration Tester) ห รื อ Certificate OSCP (Offensive Security Certified Professional)
• ทางด้าน Web Application ได้รับ Certificate GWAPT (GIAC Web Application Penetration Tester)
• ท าง ด้ า น Mobile Application ไ ด้ รั บ Certificate GMOB (GIAC Mobile Device Security Analyst) หรือ Certificate eMAPT (elearnSecurity Mobile Application Penetration Tester)
มีพนักงาน หรือบุคลากร จ านวนอย่างน้อย 2 คน ซึ่งได้รับการ รับรองความรู้ ความสามารถทางด้านความมั่นคงปลอดภัย สารสนเทศ (Certificate) เป็นผู้ด าเนินการตามขอบเขตของงาน โดยมี คุณสมบัติอย่างน้อย ดังนี้
• ทางด้าน Security และ Network ได้รับ Certificate GPEN (GIAC Penetration Tester) ห รื อ Certificate OSCP (Offensive Security Certified Professional)
• ทางด้าน Web Application ได้รับ Certificate GWAPT (GIAC Web Application Penetration Tester)
• ท าง ด้ าน Mobile Application ไ ด้ รับ Certificate GMOB (GIAC Mobile Device Security Analyst) ห รื อ Certificate eMAPT (elearnSecurity Mobile Application Penetration Tester)
60
มีพนักงาน หรือบุคลากร จ านวนอย่างน้อย 1 คน ซึ่งได้รับการ รับรองความรู้ ความสามารถทางด้านความมั่นคงปลอดภัย
40
6
สารสนเทศ (Certificate) เป็นผู้ด าเนินการตามขอบเขตของงาน โดยมี คุณสมบัติอย่างน้อย ดังนี้
• ทางด้าน Security และ Network ได้รับ Certificate GPEN (GIAC Penetration Tester) ห รื อ Certificate OSCP (Offensive Security Certified Professional)
• ทางด้าน Web Application ได้รับ Certificate GWAPT (GIAC Web Application Penetration Tester)
• ท าง ด้ าน Mobile Application ไ ด้ รับ Certificate GMOB (GIAC Mobile Device Security Analyst) ห รื อ Certificate eMAPT (elearnSecurity Mobile Application Penetration Tester)
ไม่มีพนักง าน ห รือบุคล ากร ซึ่งได้ รับก า ร รับ รองความรู้ คว ามส าม า รถท างด้ านความมั่นคงปลอดภัยส ารสนเทศ (Certificate) เป็นผู้ด าเนินการตามขอบเขตของงาน โดยมี คุณสมบัติอย่างน้อย ดังนี้
• ทางด้าน Security และ Network ได้รับ Certificate GPEN (GIAC Penetration Tester) ห รื อ Certificate OSCP (Offensive Security Certified Professional)
• ทางด้าน Web Application ได้รับ Certificate GWAPT (GIAC Web Application Penetration Tester
• ท าง ด้ า น Mobile Application ไ ด้ รั บ Certificate GMOB (GIAC Mobile Device Security Analyst) หรือ Certificate eMAPT (elearnSecurity Mobile Application Penetration Tester)
0
7
2. ผลงานและประสบการณ์น้ าหนักร้อยละ 20 มีรายละเอียดการให้คะแนนดังนี้
เกณฑ์การพิจารณาให้คะแนน
คะแนน
วิธีประเมิน
ผู้ยื่นข้อเสนอ
• มีผลงานในการท า VAPT อย่างน้อย 6 โครงการขึ้นไป
100
พิจารณาจาก
เอกสารหนังสือ
รับรองผลงาน
หรือส าเนา
สัญญาหรือ
ส าเนาใบสั่งซื้อ/
สั่งจ้าง ที่แล้ว
เสร็จ ภายใน
ระยะเวลาไม่
เกิน 5 ปี
ผู้ยื่นข้อเสนอ
• มีผลงานในการท า VAPT 4-5 โครงการ
80
ผู้ยื่นข้อเสนอ
• มีผลงานในการท า VAPT 3 โครงการ
60
ผู้ยื่นข้อเสนอ
• มีผลงานในการท า VAPT ต่ ากว่า 3 โครงการ
0
- วงเงินงบประมาณ
งบประมาณประจ าปี 2569 เป็นเงินจ านวน 2,000,000 บาท (สองล้านบาทถ้วน) ซึ่งได้รวม ภาษีมูลค่าเพิ่มไว้แล้ว - งวดงานและการจ่ายเงิน
โดยมีรายละเอียดการส่งมอบงานและการจ่ายเงินแบ่งออกเป็น 3 งวด ดังต่อไปนี้
งวดที่ 1 ส่งมอบงานภายใน 30 วัน นับถัดจากวันที่ลงนามในสัญญา โดยก าหนดจ่ายเงิน คิดเป็น ร้อยละ 20 ของมูลค่าสัญญา เมื่อผู้รับจ้าง ได้ด าเนินงานส่งแผนการท างาน และท าหนังสือส่งมอบงาน งวดที่ 1 จ านวน 1 ชุด และคณะกรรมการได้ท าการตรวจรับเรียบร้อยแล้ว
งวดที่ 2 ส่งมอบงานภายใน 90 วัน นับถัดจากวันที่ลงนามในสัญญา โดยก าหนดจ่ายเงิน คิดเป็น ร้อยละ 30 ของมูลค่าสัญญา เมื่อผู้รับจ้าง ได้ด าเนินงานทดสอบตามรายละเอียดข้อ 4.1 , 4.2 และ 4.3 พร้อมจัดท ารายงานและท าหนังสือส่งมอบงาน งวดที่ 2 จ านวน 1 ชุด และคณะกรรมการได้ท าการตรวจรับ เรียบร้อยแล้ว
งวดที่ 3 ส่งมอบงานภายใน 180 วัน นับถัดจากวันที่ลงนามในสัญญา โดยก าหนดจ่ายเงิน คิดเป็น ร้อยละ 30 เมื่อผู้รับจ้างได้ด าเนินงานทดสอบตามรายละเอียดข้อ 4.4 พร้อมจัดท ารายงาน และท าหนังสือ ส่งมอบงาน งวดที่ 3 จ านวน 1 ชุด และคณะกรรมการได้ท าการตรวจรับเรียบร้อยแล้ว
8
งวดที่ 4 ส่งมอบงานภายใน 210 วัน นับถัดจากวันที่ลงนามในสัญญา โดยก าหนดจ่ายเงิน คิดเป็น ร้อยละ 20 เมื่อผู้รับจ้างได้ด าเนินงานทดสอบซ้ าตามรายละเอียดข้อ 4.1 , 4.2 , 4.3 และ 4.4 พร้อมจัดท า รายงาน และท าหนังสือส่งมอบงาน งวดที่ 4 จ านวน 1 ชุด และคณะกรรมการได้ท าการตรวจรับเรียบร้อยแล้ว - อัตราค่าปรับ
หากผู้รับจ้างไม่สามารถส่งมอบงานได้ตามเวลาที่ก าหนดไว้ในสัญญา ผู้รับจ้างจะต้องช าระค่าปรับ ให้แก่ สขญ. เป็นรายวัน ในอัตราร้อยละ 0.10 (ศูนย์จุดหนึ่งศูนย์) ของมูลค่าสัญญาจ้าง แต่จะต้องไม่ต่ ากว่า วันละ 100 บาท - สถานที่ติดต่อขอรับทราบข้อมูลเพิ่มเติม
สถาบันข้อมูลขนาดใหญ่ (องค์การมหาชน)
เลขที่ 234/432 ซอยลาดพร้าว 12 ถนนลาดพร้าว
แขวงจอมพล เขตจตุจักร กรุงเทพมหานคร 10900
ไปรษณีย์อิเล็กทรอนิกส์[email protected]
คณะกรรมการจัดท ารายละเอียดขอบเขตของาน
ลงชื่อ…………………………………………. ประธานกรรมการ
(นายจิรวัฒน์ ไพบูลย์)
ลงชื่อ……………………………….กรรมการ ลงชื่อ……………………………….กรรมการและเลขานุการ (นายจารุกิตต์ สายสอาด) (นายธีปพล สุทธิพันธ์)
9