ประกวดราคาจ้างงานจ้างดำเนินการประเมินช่องโหว่ และการทดสอบเจาะระบบความมั่นคงปลอดภัยทางไซเบอร์ (Vulnerability Assessment and Penetration Testing)
สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) หรือ สพร. มีภารกิจในการเป็นหน่วยงานกลางด้านรัฐบาลดิจิทัล จึงมีความจำเป็นต้องยกระดับความมั่นคงปลอดภัยไซเบอร์ให้สอดคล้องกับประกาศคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2564 โดยเฉพาะการประเมินช่องโหว่และการทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing) สำหรับระบบบริการภาครัฐที่สำคัญและระบบที่มีการเชื่อมต่ออินเทอร์เน็ตโดยตรง (Internet Facing)
ขอบเขตงานครอบคลุมการทดสอบระบบ Web Application, Mobile Application, API Security และ Network Infrastructure โดยใช้วิธีการทดสอบแบบ Grey Box อ้างอิงมาตรฐาน OWASP และ OWASP MASVS/MSTG ผู้รับจ้างต้องดำเนินการทดสอบ 2 รอบ คือ Initial Pentest เพื่อค้นหาช่องโหว่ และ Revisit Pentest เพื่อตรวจสอบการแก้ไข พร้อมจัดทำรายงานวิเคราะห์ความเสี่ยงและข้อเสนอแนะในการปิดช่องโหว่ตามระดับความรุนแรง (Critical/High)
โครงการนี้มีระยะเวลาดำเนินงาน 365 วัน ภายใต้งบประมาณ 8,000,000 บาท โดย สพร. จะจ่ายค่าจ้างตามปริมาณงานจริงที่เกิดขึ้น (Use case, Screen page, API endpoints) ผู้สนใจต้องเป็นนิติบุคคลที่มีผลงานด้านการประเมินช่องโหว่และทดสอบเจาะระบบมูลค่าไม่น้อยกว่า 3,000,000 บาท ภายใต้สัญญาเดียว และต้องมีบุคลากรที่มีใบรับรองมาตรฐานสากล เช่น OSCP, CEH, GPEN หรือเทียบเท่า เพื่อรับรองคุณภาพการทดสอบ
English summary
The Digital Government Development Agency (DGA) is seeking professional services for Vulnerability Assessment and Penetration Testing to enhance the cybersecurity of digital government systems. The project scope includes testing Web Applications, Mobile Applications, APIs, and Network Infrastructure using a Grey Box approach, aligned with OWASP standards. The contractor is required to perform two rounds of testing: an Initial Pentest and a Revisit Pentest to verify remediation. The project duration is 365 days with a budget of 8,000,000 THB. Bidders must demonstrate prior experience in penetration testing with a contract value of at least 3,000,000 THB and provide certified personnel (e.g., OSCP, CEH, GPEN).
สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) อาคารสถาบันเพื่อการยุติธรรมแห่งประเทศไทย ถนนแจ้งวัฒนะ
ข้อมูลเชิงลึกของโครงการ
AI วิเคราะห์เป้าหมายโครงการ
- เพื่อตรวจสอบ วิเคราะห์ ประเมินช่องโหว่ และทดสอบเจาะระบบความมั่นคงปลอดภัยทางไซเบอร์
- เพื่อให้คำแนะนำในการปรับปรุงด้านระบบรักษาความปลอดภัยของบริการภาครัฐ ระบบเครือข่าย และระบบคอมพิวเตอร์ที่เกี่ยวข้อง
- เพื่อลดความเสี่ยงและผลกระทบที่เกิดขึ้นจากภัยคุกคามทางไซเบอร์ของบริการภาครัฐ
ขอบเขตของงาน
- ดำเนินการทดสอบเจาะระบบ (Penetration Testing) แบบ Grey Box สำหรับ Web Application, Mobile Application, API, Network/Server และ Cloud
- อ้างอิงมาตรฐาน OWASP Testing Guide และ OWASP Mobile Application Security Testing Guide (MSTG)
- ดำเนินการทดสอบ 2 ครั้ง (Initial Pentest และ Revisit Pentest)
- ใช้เครื่องมือทดสอบที่มีลิขสิทธิ์ถูกต้อง (Commercial Tools) ผสมผสานกับ Manual Test
- จัดทำรายงานผลการทดสอบ วิเคราะห์ความเสี่ยง และข้อเสนอแนะในการแก้ไข
- จัดประชุมชี้แจงผลการทดสอบแก่เจ้าหน้าที่ผู้รับผิดชอบระบบ
- ปริมาณงานรวม: Business Use case 100 รายการ, Screen Page 1,000 หน้า, API Server 750 endpoints
สิ่งที่ต้องส่งมอบ
- แผนการดำเนินงานและวิธีการทดสอบ (ก่อนเริ่มงาน)
- รายงานผลการทดสอบเจาะระบบครั้งที่ 1 (Initial Pentest)
- รายงานผลการทดสอบเจาะระบบครั้งที่ 2 (Revisit Pentest)
- รายงานสรุปปริมาณงานที่ดำเนินการจริงในแต่ละงวด
- รายงานวิเคราะห์ความเสี่ยงและข้อเสนอแนะในการปิดช่องโหว่
ระยะเวลาดำเนินการ
ระยะเวลาดำเนินงานรวม 365 วัน (12 เดือน) นับถัดจากวันลงนามในสัญญา
คุณสมบัติผู้เสนอราคา
- Experience: มีผลงานการประเมินช่องโหว่และทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing) มูลค่าไม่น้อยกว่า 3,000,000 บาท ภายใต้สัญญาเดียว
- Technical Capabilities: ต้องมีโปรแกรมทดสอบที่มีลิขสิทธิ์ถูกต้อง (Commercial Tools) สำหรับงาน Vulnerability Assessment และ Penetration Testing
- Personnel:
- หัวหน้าโครงการ (อย่างน้อย 1 คน): ต้องมีใบรับรอง CompTIA Security+, CEH, CySA+, Pentest+ หรือ CASP+
- นักเจาะระบบ (อย่างน้อย 3 คน): ต้องมีใบรับรอง OSCP, GPEN, Pentest+, CEH, eWPT, eWPTX, eJPT, eCXD หรือ CRT
- บุคลากรต้องเป็นพนักงานประจำที่มีอายุงานไม่น้อยกว่า 1 ปี
เกณฑ์การพิจารณา
พิจารณาคัดเลือกโดยใช้เกณฑ์ราคา (ผู้ที่ผ่านคุณสมบัติครบถ้วนและเสนอราคาต่ำสุด)
ข้อกำหนดทางเทคนิค
- การทดสอบแบบ Grey Box
- ต้องใช้เครื่องมือ Commercial Tools ที่มีลิขสิทธิ์ถูกต้อง
- ต้องมีการทำ Manual Test ควบคู่กับ Automate Tool
- ต้องปฏิบัติตามมาตรฐาน OWASP
เงื่อนไขสัญญา
- จ่ายเงิน 4 งวด ตามผลงานจริง (ทุก 90 วัน)
- ค่าปรับกรณีส่งมอบงานล่าช้า: ร้อยละ 0.05 ของค่าจ้างตามสัญญาต่อวัน
- หลักประกันสัญญา: ร้อยละ 5 ของมูลค่าสัญญา
- ต้องลงนามในสัญญาไม่เปิดเผยข้อมูล (NDA) และข้อตกลงประมวลผลข้อมูลส่วนบุคคล (DPA)
คำถามที่พบบ่อย (FAQ)
- Q: การทดสอบเจาะระบบต้องทำกี่ครั้งต่อระบบ? A: ต้องทำ 2 ครั้ง คือ Initial Pentest และ Revisit Pentest
- Q: ปริมาณงาน 100 Use case, 1,000 Pages, 750 API คืออะไร? A: เป็นปริมาณงานรวมสูงสุดของโครงการ สพร. จะแบ่งให้ทำเป็นรายระบบและจ่ายเงินตามจริง
- Q: บุคลากรต้องมีใบรับรองอะไรบ้าง? A: หัวหน้าโครงการต้องมีใบรับรองด้านความปลอดภัย เช่น CEH/Security+ และนักเจาะระบบต้องมีใบรับรองเฉพาะทาง เช่น OSCP/GPEN
- Q: เครื่องมือที่ใช้ต้องเป็นแบบไหน? A: ต้องเป็น Commercial Tools ที่มีลิขสิทธิ์ถูกต้องตามกฎหมาย
- Q: หากทดสอบครั้งแรกไม่พบช่องโหว่ ต้องทำ Revisit หรือไม่? A: ไม่ต้องทำ ให้ส่งงานเฉพาะรายงานครั้งที่ 1
- Q: การชำระเงินแบ่งอย่างไร? A: แบ่งจ่าย 4 งวด ตามระยะเวลา 90, 180, 270 และ 365 วัน
- Q: ผลงานที่ใช้ยื่นต้องเป็นอย่างไร? A: ต้องเป็นผลงานด้าน Pentest มูลค่าไม่น้อยกว่า 3 ล้านบาทในสัญญาเดียว
- Q: ต้องทำแผนการดำเนินงานเมื่อใด? A: ภายใน 15 วันนับจากวันลงนามในสัญญา
- Q: ข้อมูลที่ได้จากการทดสอบถือเป็นอะไร? A: ถือเป็นความลับและเป็นกรรมสิทธิ์ของ สพร. ห้ามนำไปเผยแพร่
- Q: หากระบบมีปัญหาจากการทดสอบต้องทำอย่างไร? A: ต้องรีบแก้ไขและแจ้งเจ้าหน้าที่ สพร. ทันที
เอกสารขอบเขตงาน (TOR) ฉบับเต็ม
เปิ ดเผย
1
ข้อกำหนดและขอบเขตของงาน (Terms of Reference: TOR)
งานจ้างประเมินช่องโหว่และทดสอบเจาะระบบ (Penetration Testing and Vulnerability Assessment) เพื่อความมั่งคงปลอดภัยไซเบอร์ของระบบรัฐบาลดิจิทัล
- ความเป็นมา
สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) จัดตั้งขึ้นตามพระราชกฤษฎีกาจัดตั้งสำนักงาน พัฒนารัฐบาลดิจิทัล (องค์การมหาชน) พ.ศ. 2561 เพื่อเป็นหน่วยงานกลางของระบบรัฐบาลดิจิทัล ทำหน้าที่ ให้บริการส่งเสริม สนับสนุน พัฒนา บริหารจัดการ และให้บริการโครงสร้างพื้นฐานทางเทคโนโลยีดิจิทัล และระบบการให้บริการหรือแอปพลิเคชันพื้นฐานของหน่วยงานของรัฐและหน่วยงานอื่นเกี่ยวกับการพัฒนารัฐบาล ดิจิทัล ซึ่ง สพร. เป็นศูนย์กลางการแลกเปลี่ยนทะเบียนข้อมูลดิจิทัลภาครัฐเพื่ออำนวยความสะดวกในการ ดำเนินงานของหน่วยงานของรัฐ เพื่อให้บริการแก่ประชาชนได้อย่างสะดวก รวดเร็ว และมั่นคงปลอดภัย โดย ลักษณะดำเนินงานดังกล่าวจะมีการเชื่อมโยงข้อมูลจำนวนมากเข้าหากันในโครงข่าย ประกอบกับจำนวนเว็บไซต์ เว็บแอปพลิเคชัน แอปพลิเคชัน สำหรับบริการหน่วยงานภาครัฐ ภาคประชาชน และภาคส่วนอื่น ๆ ที่เกี่ยวข้อง ตลอดจนบริการของ สพร. เพื่อมุ่งสู่การเป็นหน่วยงานกลางของระบบรัฐบาลดิจิทัล
ประกอบกับ ประกาศคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง ประมวลแนวทาง ปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงาน โครงสร้างพื้นฐานสำคัญทางสารสนเทศ พ.ศ. ๒๕๖๔ อันเป็นข้อกำหนดขั้นต่ำในการดำเนินการด้านการรักษาความ มั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ รวมทั้ง กำหนดมาตรการในการประเมินความเสี่ยงการตอบสนองและรับมือกับภัยคุกคามทางไซเบอร์ เมื่อมีภัยคุกคามทาง ไซเบอร์ หรือเหตุการณ์ที่ส่งผลกระทบหรืออาจก่อให้เกิดผลกระทบหรือความเสียหายอย่างมีนัยสำคัญหรืออย่าง ร้ายแรงต่อระบบสารสนเทศของประเทศ โดยในข้อ ๒๑.๓ กำหนดให้มีการประเมินช่องโหว่และการทดสอบเจาะ ระบบ (Vulnerability Assessment and Penetration Testing) ต้องดำเนินการประเมินช่องโหว่ของบริการที่สำคัญ ของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ โดยเฉพาะอย่างยิ่งระบบเทคโนโลยี
สารสนเทศ (Information Technology: IT) ระบบของโฮสต์ เครือข่าย และแอปพลิเคชันของบริการที่สำคัญ
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569
เปิ ดเผย
2
หน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ โดยเฉพาะอย่างยิ่งทุกระบบที่เป็นมีการ เชื่อมต่ออินเทอร์เน็ตโดยตรง (Internet Facing) และควรดำเนินการทดสอบเจาะระบบอย่างน้อยปีละ ๑ ครั้ง ดังนั้น เพื่อให้สอดคล้องตามประมวลแนวทางปฏิบัติฯ และมาตรการดังกล่าวข้างต้น และการดำเนินงาน ตามภารกิจหน้าที่ของ สพร. ในการเป็นหน่วยงานกลางของระบบรัฐบาลดิจิทัลที่มีความมั่นคงปลอดภัยทางไซเบอร์ โดยมีการเฝ้าระวัง ติดตามและประเมินความเสี่ยงจากการประเมินช่องโหว่และการทดสอบการเจาะระบบ จึงควร ดำเนินการจ้างผู้ประกอบการที่มีประสบการณ์ทำการประเมินช่องโหว่และการทดสอบเจาะระบบความมั่นคง ปลอดภัยทางไซเบอร์ (Vulnerability Assessment and Penetration Testing) ต่อไป - วัตถุประสงค์
2.1 เพื่อตรวจสอบ วิเคราะห์ ประเมินช่องโหว่และการทดสอบเจาะระบบความมั่นคงปลอดภัยทางไซ เบอร์ (Vulnerability Assessment and Penetration Testing) และให้คำแนะนำในการปรับปรุงด้านระบบรักษา ความปลอดภัยของบริการภาครัฐ รวมถึงระบบเครือข่ายและระบบคอมพิวเตอร์ที่เกี่ยวข้อง
2.2 เพื่อลดความเสี่ยงและผลกระทบที่เกิดขึ้นจากภัยคุกคามทางไซเบอร์ของบริการภาครัฐ - คุณสมบัติของผู้ยื่นข้อเสนอ
3.1 มีความสามารถตามกฎหมาย
3.2 ไม่เป็นบุคคลล้มละลาย
3.3 ไม่อยู่ระหว่างเลิกกิจการ
3.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทำสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังกำหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
3.5 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงาน ของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วน ผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอำนาจในการดำเนินงานในกิจการของนิติบุคคลนั้นด้วย
3.6 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหาร พัสดุ ภาครัฐกำหนดในราชกิจจานุเบกษา
3.7 เป็นนิติบุคคลผู้มีอาชีพรับจ้างงานที่ประกวดราคาอิเล็กทรอนิกส์ดังกล่าว
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569
เปิ ดเผย
3
3.8 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่สำนักงาน สพร. ณ วัน ประกาศประกวดราคาอิเล็กทรอนิกส์ หรือไม่เป็นผู้กระทำการอันเป็นการขัดขวางการแข่งขันอย่างเป็นธรรมในการ ประกวดราคาอิเล็กทรอนิกส์ครั้งนี้
3.9 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้ยื่น ข้อเสนอ ได้มีคำสั่งให้สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
3.10 ผู้ยื่นข้อเสนอต้องลงทะเบียนที่มีข้อมูลถูกต้องครบถ้วนในระบบจัดซื้อจัดจ้างภาครัฐด้วย อิเล็กทรอนิกส์ (Electronic Government Procurement: e - GP) ของกรมบัญชีกลาง
3.11 ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ ดังนี้
(1) กรณีเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย/กฎหมายต่างประเทศ ซึ่งได้จดทะเบียนเกินกว่า 1 ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิที่ปรากฏในงบแสดงฐานะ การเงินที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก 1 ปีสุดท้ายก่อนวันยื่นข้อเสนอ
(2) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่ตั้งขึ้นตามกฎหมายไทย/กฎหมายต่างประเทศ ซึ่งยังไม่มีการ รายงานงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ต้องมีทุนจดทะเบียนที่เรียกชำระมูลค่าหุ้นแล้ว ณ วันที่ยื่น ข้อเสนอไม่น้อยกว่า 2,000,000 บาท
(3) กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียน หรือมีแต่ไม่เพียงพอ ผู้ยื่น ข้อเสนอสามารถขอหนังสือรับรองวงเงินสินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุนหรือบริษัทเงินทุน หลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้าประกันตามประกาศของ ธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทยแจ้งเวียนให้ทราบ หรือเป็นสินเชื่อที่ ธนาคารต่างประเทศหรือบริษัทเงินทุนหรือบริษัททุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการ พาณิชย์และประกอบธุรกิจค้ำประกันตามประกาศของธนาคารกลางของประเทศนั้น ตามรายชื่อบริษัทเงินทุนที่ ธนาคารกลางของประเทศนั้นแจ้งเวียนให้ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สำนักงานใหญ่ รับรอง หรือที่สำนักงานสาขารับรอง (กรณีได้รับมอบอำนาจจากสำนักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึง วันยื่นข้อเสนอไม่เกิน 90 วัน โดยต้องมียอดเงินรวมของวงเงินสินเชื่อไม่น้อยกว่า 2,000,000 บาท คิดเป็น 1 ใน 4 ของมูลค่าโครงการหรือรายการที่ยื่นเสนอในแต่ละครั้ง ทั้งนี้ สำหรับธนาคารภายในประเทศหนังสือรับรองวงเงิน สินเชื่อให้เป็นไปตามแบบที่กำหนด
(4) กรณีเป็นนิติบุคคลที่จัดตั้งตามกฎหมายต่างประเทศและบุคคลธรรมดาที่มิได้ถือสัญชาติไทยตาม ข้อ (2) (3) มูลค่าจะต้องเป็นไปตามอัตราแลกเปลี่ยนเงินตราตามประกาศที่ธนาคารแห่งประเทศไทยกำหนดในช่วง
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569
เปิ ดเผย
4
ระหว่างวันที่เผยแพร่ประกาศและเอกสารเชิญชวนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (e-GP) หรือมี หนังสือเชิญชวน จนถึงวันยื่นข้อเสนอ
คุณสมบัติในข้อ (1) - (3) นี้ ยกเว้นกรณีที่ผู้ยื่นข้อเสนอเป็นหน่วยงานของรัฐ หรือนิติบุคคลที่จัดตั้ง ขึ้นตามกฎหมายไทยที่อยู่ระหว่างการฟื้นฟูกิจการตามพระราชบัญญัติล้มละลาย พ.ศ. 2483 และที่แก้ไขเพิ่มเติม
3.12 ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติดังนี้
กิจการร่วมค้าที่ยื่นข้อเสนอ ผู้เข้าร่วมค้าทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่กำหนดไว้ ในเอกสารเชิญชวน เว้นแต่ในกรณีกิจการร่วมค้าที่มีข้อตกลงระหว่างผู้เข้าร่วมค้ากำหนดให้ผู้เข้าร่วมค้ารายใดราย หนึ่งเป็นผู้เข้าร่วมค้าหลัก กิจการร่วมค้านั้นสามารถใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียว เป็นผลงานของกิจการ ร่วมค้าที่ยื่นข้อเสนอ
กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากำหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงดังกล่าวจะต้องมีการกำหนดสัดส่วนหน้าที่ และความรับผิดชอบในปริมาณงาน สิ่งของ หรือมูลค่าตาม สัญญา มากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
ทั้งนี้ กิจการร่วมค้า หมายถึง “กิจการที่มีข้อตกลงระหว่างผู้เข้าร่วมค้าเป็นลายลักษณ์อักษรว่าจะ ดำเนินการร่วมกันเป็นทางการค้าหรือหากำไรระหว่างบริษัทกับบริษัท บริษัทกับห้างหุ้นส่วนนิติบุคคล ห้างหุ้นส่วน นิติบุคคลกับห้างหุ้นส่วนนิติบุคคล หรือระหว่างบริษัทและ/หรือห้างหุ้นส่วนนิติบุคคลกับบุคคลธรรมดา คณะบุคคล ที่มิใช่นิติบุคคล ห้างหุ้นส่วนสามัญ นิติบุคคลอื่น หรือนิติบุคคลที่ตั้งขึ้นตามกฎหมายของต่างประเทศ โดยข้อตกลง นั้นอาจกำหนดให้มีผู้เข้าร่วมค้าหลักก็ได้”
3.13 ผู้ยื่นข้อเสนอจะต้องมีผลงานประเภทเดียวกันกับงานที่ระบุไว้ในเอกสารนี้ ได้แก่ ผลงานใน ดำเนินการประเมินช่องโหว่และทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing) มูลค่าไม่น้อยกว่า 3,000,000 บาท ภายใต้สัญญาเดียวที่ดำเนินการเสร็จสิ้นแล้ว และเป็นผลงานที่เป็นคู่สัญญา โดยตรงกับหน่วยงานภาครัฐ หรือหน่วยงานเอกชนที่ สพร. เชื่อถือ โดยจะต้องแนบสำเนาหนังสือรับรองผลงานและ สำเนาสัญญา พร้อมรับรองสำเนาถูกต้องมาพร้อมกับการยื่นข้อเสนอด้วย - รายละเอียดขอบเขตการดำเนินงาน
การประเมินช่องโหว่และทดสอบเจาะระบบ (Penetration Testing and Vulnerability Assessment) เพื่อความมั่งคงปลอดภัยไซเบอร์ของระบบรัฐบาลดิจิทัล มีรายละเอียดขอบเขตการ ดำเนินงาน ดังต่อไปนี้
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569
เปิ ดเผย
5
4.1 การดำเนินการทดสอบเจาะระบบ จะครอบคลุมประเภทการตรวจสอบช่องโหว่ของระบบบริการ ต่างๆ ของ สพร. ได้แก่ Web Application, Mobile Application, API Security, Network Infrastructure/ Server, และ Cloud เป็นต้น หรือตามความเหมาะสมกับระบบที่ สพร. กำหนดให้ดำเนินการ โดยคลอบคลุมอย่างน้อย ดังนี้
4.1.1 ทดสอบเจาะระบบแบบ Grey Box ให้ดำเนินการโดยอ้างอิงตามมาตรฐานแนวทางการ เจาะระบบที่เป็นที่นิยมใช้กันโดยทั่วไป เช่น Open Web Application Security Project
(OWASP) Testing guide และ OWASP Mobile Application Security Testing Guide
(MGTG) และใช้ Version ล่าสุดที่มีการประกาศในการใช้งาน เป็นต้น
4.1.2 ดำเนินการทดสอบเจาะระบบแบบ Grey Box ในการทดสอบจะดำเนินการเหมือนกับการ เจาะระบบโดยไวรัสหรือแฮกเกอร์ที่ปฏิบัติการจริง และทดสอบหาช่องทางในการเข้าถึง
ระบบ (Exploit) ผ่านช่องโหว่ต่าง ๆ โดยคลอบคลุมรายละเอียด ดังนี้
(1) ทดสอบเจาะระบบจากมุมมองของผู้ใช้งานที่มีการลงทะเบียนและไม่มีการลงทะเบียนใน
ระบบ
(2) ทดสอบการเจาะระบบในรูปแบบการโจมตีแบบ injected or manipulated code
(3) ประเมินการควบคุมการเข้าถึงของผู้ใช้งาน ในมุมของ user authentication and
authorization
(4) ทดสอบการพยายามเข้าถึงข้อมูล, แก้ไขข้อมูล ที่ไม่ได้รับอนุญาต หรือการพยายามทำให้
ระบบมีความปลอดภัยลดลง
4.1.3 ดำเนินการทดสอบเจาะระบบในรูปแบบผสมผสาน โดยใช้เครื่องมือเจาะระบบแบบอัตโนมัติ (Automate Tool) ทั้งแบบ Commercial Tool และแบบ Open-source Tool ผสมผสาน
กับความเชี่ยวชาญของบุคลากร (Human Skill) พร้อมเก็บหลักฐานจากการทดสอบ (ผู้รับจ้าง
จะต้องใช้การทดสอบและวิเคราะห์ด้วยตัวบุคคลเองด้วย (Manual Test)
4.1.4 ดำเนินการทดสอบเจาะระบบไม่ให้กระทบกับการใช้งานระบบเทคโนโลยีสารสนเทศของ สพร. โดยระหว่างการทดสอบเจาะระบบหากเกิดความผิดปกติของระบบที่ทำการทดสอบ
จะต้องรีบแก้ไข และแจ้งให้เจ้าหน้าที่ของ สพร. ให้ทราบทันที
4.1.5 ดำเนินการทดสอบเจาะระบบ ในแต่ละระบบจะต้องดำเนินการทดสอบทั้งหมดสองครั้ง คือ (1) Initial Pentest คือ การทดเจาะระบบครั้งที่ 1 เพื่อค้นหาช่องโหว่และความเสี่ยงต่างๆ
ในระบบ
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569
เปิ ดเผย
6
(2) Revisit Pentest คือ การทดสอบเจาะระบบครั้งที่ 2 เพื่อตรวจสอบช่องโหว่และความ
เสี่ยงต่างๆที่ตรวจพบใน การทดสอบเจาะระบบครั้งที่ 1 ได้รับการแก้ไขและปิดเรียบร้อย
แล้ว
ทั้งนี้ มีข้อยกเว้นถ้าหากการทดสอบเจาะระบบครั้งที่ 1 ไม่พบช่องโหว่หรือความเสี่ยง
ใดๆ ให้ส่งงานเฉพาะรายงานกาะทดสอบเจาะระบบครั้งที่ 1 เท่านั้น
4.2 เมื่อ สพร. กำหนดระบบงานหนึ่งงานใดเพื่อทำการทดสอบเจาะระบบแล้ว ก่อนดำเนินการทดสอบ เจาะระบบแต่ละครั้งผู้รับจ้างต้องส่งแผนการดำเนินงาน วิธีการดำเนินงาน และเครื่องมือที่เหมาะสมสำหรับจะ นำมาใช้ในการประเมินช่องโหว่ การทดสอบการเจาะระบบ และการจำลองการโจมตีเสมือนจริง รวมถึงบุคลากรที่ เกี่ยวข้อง เพื่อกำหนดแนวทางการดำเนินงานโครงการที่เหมาะสม และรูปแบบในการทดสอบเจาะระบบตามกรอบ ดังระบุในข้อ 4.1 รวมถึงการประเมินผลกระทบที่อาจเกิดขึ้นเพื่อป้องกันมิให้เกิดความเสียหายต่อระบบที่ทดสอบ แล้วจัดทำรายละเอียดการดำเนินการดังกล่าวเสนอให้ สพร. พิจารณาให้ความเห็นชอบก่อนดำเนินการ
4.3 สำหรับเครื่องที่ใช้ในการทดสอบเจาะระบบ ต้องใช้โปรแกรมทดสอบที่มีลิขสิทธิ์และผู้รับจ้างมีสิทธิ์ นำมาใช้ได้โดยถูกต้องตามกฎหมาย (Commercial Tools) ได้แก่
(1) เครื่องมือสำหรับงานตรวจประเมินช่องโหว่ของระบบฯ (Vulnerability Assessment)
(2) เครื่องมือสำหรับงานทดสอบเจาะระบบ (Penetration Testing)
4.4 เมื่อดำเนินการทดสอบเจาะระบบแต่ละครั้งเรียบร้อยแล้ว ให้ทำการวิเคราะห์และประเมินผล พฤติการณ์แวดล้อม ผลกระทบที่เกิดขึ้น ความเสี่ยงหรือแนวโน้มที่อาจเกิดขึ้นจากภัยคุกคามทางไซเบอร์กรณีต่าง ๆ จากผลการทดสอบเจาะระบบนั้น ๆ เพื่อพิจารณาว่าลักษณะของภัยคุกคามทางไซเบอร์นั้นอยู่ในระดับใดเทียบเคียง กับประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง ลักษณะภัยคุกคามทางไซเบอร์ มาตรการป้องกัน รับมือ ประเมิน ปราบปราม และระงับภัยคุกคามทางไซเบอร์แต่ละระดับ พ.ศ. 2564
4.5 จัดประชุมร่วมกับเจ้าหน้าที่ผู้รับผิดชอบระบบที่ทำการทดสอบเจาะระบบนั้น และเจ้าหน้าที่อื่น ๆ ที่ เกี่ยวข้อง เพื่อชี้แจงผลการทดสอบเจาะระบบนั้น ๆ และทำการวิเคราะห์การเจาะระบบที่มีผลกระทบในระดับ วิกฤต (Critical) และระดับสูง (High) พร้อมข้อเสนอแนะและแนวทางการแก้ไขโดยละเอียด
4.6 จัดทำรายงานผลการดำเนินการประเมินหาความเสี่ยงช่องโหว่และการเจาะระบบ แต่ละระบบที่ ดำเนินการเสร็จสิ้นแล้วในการทดสอบเจาะระบบครั้งที่ 1 (Initial Pentest) เพื่อให้ สพร. สามารถนำไปใช้ในการ
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569
เปิ ดเผย
7
วิเคราะห์ความคุ้มค่าในการดำเนินการเพื่อสร้างความมั่นคงปลอดภัย ให้กับระบบงาน โดยรายงานจะต้องมีเนื้อหา สาระ โดยมีรายละเอียดอย่างน้อยดังนี้
(1) วิธีการและขั้นตอนการทดสอบ
(2) รายละเอียดช่องโหว่ พร้อมประเมินความรุนแรงของช่องโหว่
(3) คำแนะนำในการปิดช่องโหว่ เพื่อนำไปปรับปรุงแก้ไข
ทั้งนี้ การดำเนินการทดสอบเจาะระบบและการจัดทำรายงานผลการดำเนินงานในข้อ 4.2 - 4.5 ให้ ดำเนินการให้เสร็จสิ้นภายใน 30 วัน นับจากวันที่เริ่มดำเนินการทดสอบเจาะระบบจริง
4.7 เมื่อ สพร. โดยเจ้าหน้าที่ผู้รับผิดชอบหรือผู้เกี่ยวข้องกบระบบที่ทำการทดสอบเจาะระบบนั้น ได้ทำ การปรับปรุงแก้ไขตามข้อแนะนำเรียบร้อยแล้ว ให้ดำเนินการตรวจสอบซ้ำหรือการทดสอบเจาะระบบครั้งที่ 2 (Revisit Pentest) ช่องโหว่ที่ได้มีการตรวจพบ และจัดทำรายงานผลการประเมินหาความเสี่ยงที่เกิดจากช่องโหว่ และการเจาะระบบนั้นอีกครั้งหนึ่ง. โดยรายงานจะต้องมีเนื้อหาสาระ โดยมีรายละเอียดอย่างน้อยดังนี้
(1) วิธีการและขั้นตอนการทดสอบ
(2) รายละเอียดช่องโหว่ พร้อมประเมินความรุนแรงของช่องโหว่
(3) สรุปผลการดำเนินงานทดสอบเจาะระบบ
ทั้งนี้ ให้สรุปรายงานผลการทดสอบซ้ำช่องโหว่ที่ได้มีการตรวจพบ และจัดทำรายงานผลการประเมิน หาความเสี่ยงที่เกิดจากช่องโหว่และการเจาะระบบทั้งหมดในข้อนี้ พร้อมกับการส่งมอบงานงวดสุดท้าย (งวดที่ ค่าจ้างตามปริมาณงานครบวงเงินค่าจ้างตามสัญญา) หรือก่อนครบระยะเวลาดำเนินงานตามข้อ 5. แล้วแต่กรณี
4.8 ในการดำเนินการทดสอบเจาะระบบ ต้องจัดให้มีบุคลากรที่เป็นพนักงานประจำของบริษัทที่มีอายุ งานไม่น้อยกว่า 1 ปี โดยบุคลากรต้องมีคุณสมบัติอย่างน้อยดังนี้
(1) หัวหน้าโครงการ อย่างน้อย 1 คน ต้องมีประกาศนียบัตรอย่างหนึ่งอย่างใด ดังนี้
• CompTIA Security+ หรือ
• CEH (Certified Ethical Hacker) หรือ
• CompTIA Cybersecurity Analyst (CySA+) หรือ
• CompTIA Pentest+ หรือCompTIA Advanced Security Practitioner (CASP+)
(2) นักเจาะระบบ จำนวนตามความเหมาะสม ต้องมีประกาศนียบัตรอย่างหนึ่งอย่างใด ดังนี้
• Offensive Security Certified Professional (OSCP)
• GIAC Penetration Tester (GPEN) หรือ
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569
เปิ ดเผย
8
• CompTIA Pentest+ หรือ
• CEH (Certified Ethical Hacker) หรือ
• eLearnSecurity Web Application Penetration Tester (eWPT) หรือ
• eLearnSecurity Web application Penetration Tester eXtreme (eWPTX) หรือ • eLearnSecurity Junior Penetration Tester (eJPT) หรือ
• eLearnSecurity Certified eXploit Developer (eCXD) หรือ
• CREST Registered Penetration Tester (CRT)
4.9 สพร. จะกำหนดระบบเพื่อทำการทดสอบโดย พิจารณากำหนดตามความเหมาะสมดังกล่าวในข้อ 4.2 ข้างต้น โดยกำหนดเป็นปริมาณงานรวมในกระบวนการทดสอบเจาะระบบ ดังนี้
(1) Business Use case จำนวน 100 use case
(2) Screen Page จำนวน 1,000 pages
(3) API Server จำนวน 750 endpoints
ทั้งนี้ปริมาณงานดังกล่าวเป็นจำนวนขั้นสูงสุดของทั้งโครงการ และในการทดสอบเจาะระบบแต่ละ ครั้ง สพร. จะแจ้งระบบงานที่จะให้ดำเนินการทดสอบ และปริมาณงานตาม (1) – (3) ที่ต้องทำการทดสอบการเจาะ ระบบในการทดสอบแต่ละครั้ง และ สพร. สงวนสิทธิในการจ่ายค่าจ้างตามปริมาณงานดังกล่าวที่เกิดขึ้นจริง - กำหนดระยะเวลาดำเนินงาน
ภายใน 365 วัน (12 เดือน) นับถัดจากวันลงนามในสัญญา หรือเมื่อครบวงเงินค่าจ้างตามสัญญา แล้วแต่ อย่างใดอย่างหนึ่งถึงกำหนดก่อน - หลักเกณฑ์การพิจารณาคัดเลือกข้อเสนอ
สพร. จะพิจารณาคัดเลือกเลือกข้อเสนอผู้ยื่นข้อเสนอที่มีคุณสมบัติและยื่นเอกสารหลักฐานครบถ้วน ถูกต้อง โดยใช้เกณฑ์ราคา - วงเงินงบประมาณ
ภายในวงเงินทั้งสิ้น 8,000,000 บาท (แปดล้านบาทถ้วน) ซึ่งเป็นราคาที่รวมภาษีมูลค่าเพิ่มและค่าใช้จ่าย ทั้งปวงแล้ว
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569
เปิ ดเผย
9 - งวดงานและการจ่ายเงิน
8.1 กำหนดการส่งมอบงานและการจ่ายเงินค่าจ้าง รวม 4 งวด โดยกำหนดระยะเวลาในแต่ละงวดดังนี้ - งวดที่ 1 ภายใน 90 วัน นับถัดจากวันลงนามในสัญญา
- งวดที่ 2 ภายใน 180 วัน นับถัดจากวันลงนามในสัญญา
- งวดที่ 3 ภายใน 270 วัน นับถัดจากวันลงนามในสัญญา
- งวดที่ 4 ภายใน 365 วัน นับถัดจากวันลงนามในสัญญา
8.2 ในแต่ละงวดต้องจัดทำรายละเอียดผลการทดสอบเจาะระบบ โดยจัดทำรายงานส่งมอบงานแต่ละ งวด โดยจัดทำในรูปแบบเอกสาร จำนวน 1 ชุด และในรูปแบบของดิจิทัลไฟล์เป็น PDF File ส่งเข้าระบบกลาง สารบัญของ สพร. Email: [email protected] หรือ ช่องทางที่สำนักงานกำหนด จำนวน 1 ชุด ประกอบด้วย
(1) จำนวนและรายละเอียดการดำเนินการทดสอบเจาะระบบ และรายงานผลการประเมินหาความ เสี่ยงที่เกิดจากช่องโหว่และการเจาะระบบ ที่ดำเนินการเสร็จสิ้นตามรายละเอียดการดำเนินงาน ตามข้อ 4.6
(2) รายงานสรุปปริมาณงานที่ใช้ในการทดสอบเจาะระบบตามช้อ 4.9 (เฉพาะระบบงานที่ ดำเนินการเสร็จสิ้นแล้ว)
(3) รายงานสรุปผลการทดสอบเจาะระบบซ้ำช่องโหว่ที่ได้มีการตรวจพบ และจัดทำรายงานผลการ ประเมินหาความเสี่ยงที่เกิดจากช่องโหว่และการเจาะระบบที่ดำเนินงานทั้งหมด (เฉพาะการส่ง มอบงานงวดสุดท้ายตามข้อ 4.7)
8.3 สพร. จะจ่ายค่าจ้างแต่ละงวดตามปริมาณงานจริงในรายงานในข้อ 8.1 (1) โดยถืออัตราค่าจ้างต่อ หน่วย โดยอัตราค่าจ้างดังกล่าวรวมภาษีมูลค่าเพิ่มและค่าใช้จ่ายทั้งปวงเรียบร้อยแล้ว
- ค่าปรับ
งานจ้างครั้งนี้ สพร. ต้องการความสำเร็จในแต่ละระบบงานที่ สพร. กำหนด หากผู้รับจ้างไม่ดำเนินการ ทดสอบเจาะระบบแต่ละระบบพร้อมส่งรายงานแล้วเสร็จตามกำหนดในข้อ 4.6 และผู้ว่าจ้างยังมิได้บอกเลิกสัญญา ต้องยินยอมให้ สพร. ปรับเป็นรายวันในอัตราร้อยละ 0.05 ของค่าจ้างตามสัญญา นับถัดจากวันครบกำหนดการส่ง มอบ จนถึงวันที่ส่งมอบครบถ้วนถูกต้อง หรือจนถึงวันที่ สพร. บอกเลิกสัญญา แล้วแต่กรณี
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569
เปิ ดเผย
10 - การจัดทำข้อเสนอ
ผู้ยื่นข้อเสนอต้องจัดทำข้อเสนอตามรายการ อย่างน้อย ดังนี้
10.1 เอกสารส่วนที่ 1 ได้แก่ เอกสารแสดงคุณสมบัติของผู้ยื่นข้อเสนอ ให้จัดทำตามรายการเอกสาร หลักฐานที่กำหนด และเอกสารหลักฐานผลงานของผู้ยื่นข้อเสนอตามคุณสมบัติของผู้ยื่นข้อเสนอ ในข้อ 3
10.2 เอกสารส่วนที่ 2 ประกอบด้วย
(1) เอกสารการยอมรับดำเนินงานตามข้อกำหนด ตามตัวอย่าง ดังนี้
ขอบเขตการดำเนินงาน ที่สพร. กำหนด
ขอบเขตการดำเนินงาน ของผู้ยื่นข้อเสนอ
ข้อเปรียบเทียบหรือการ ยืนยันยอมรับตามข้กำหนด
เอกสารอ้างอิง
ให้ระบุขอบเขตการ
ดำเนินงานที่ สพร.กำหนด
ให้ระบุขอบเขตการ
ดำเนินงานของผู้ยื่นเสนอ
ให้ระบุจุดที่ดีกว่า หรือ เทียบเท่า หรือแสดงการ ยืนยันยอมรับตาม
ข้อกำหนด
ให้ระบุ
เอกสารอ้างอิง
(ถ้ามี)
(2) โปรแกรมทดสอบที่มีลิขสิทธิ์และเอกสารหลักฐานซึ่งแสดงว่าผู้ยื่นข้อเสนอมีสิทธิ์นำมาใช้ได้โดย ถูกต้องตามกฎหมาย(Commercial Tools) ที่ใช้เป็นเครื่องที่ใช้ในการทดสอนเจาะระบบ ตาม ข้อ 4.3
(3) รายชื่อบุคลากรในการทดสอบเจาะระบบตามข้อ 4.8 (1) จำนวนอย่างน้อย 1 คน และตามข้อ 4.8 (2) จำนวนอย่างน้อย 3 คน พร้อมหลักฐานเอกสารประกาศนียบัตร
10.3 ข้อเสนอทางด้านราคา
ผู้ยื่นข้อเสนอต้องเสนอราคาค่าจ้างประเมินช่องโหว่และทดสอบเจาะระบบ (Penetration Testing and Vulnerability Assessment) เพื่อความมั่งคงปลอดภัยไซเบอร์ของระบบรัฐบาลดิจิทัลตามข้อกำหนดและ ขอบเขตของงานนี้ ตามปริมาณงานที่กำหนดในข้อ 4.9 และเสนอราคารวมในระบบจัดซื้อจัดจ้างภาครัฐด้วย อิเล็กทรอนิกส์ของกรมบัญชีกลาง ตามแบบและเงื่อนไชที่กำหนดในเอกสารการประกวดราคาอิเล็กทรอนิกส์ (e bidding) โดยเสนอราคาเป็นค่าจ้างรวมทั้งสิ้น ซึ่งรวมภาษีมูลค่าเพิ่มและค่าใช้จ่ายทั้งปวงไว้เรียบร้อยแล้ว
การเสนอราคาตามวรรคแรก ผู้ยื่นข้อเสนอไม่ต้องจัดทำเอกสารแจกแจงรายละเอียดประกอบราคา ยื่นเสนอ เว้นแต่ผู้ยื่นข้อเสนอที่ได้รับการคัดเลือกจะต้องจัดทำเอกสารแจกแจงรายละเอียดประกอบราคาที่เสนอ
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569
เปิ ดเผย
11
โดยจำแนกราคาต่อหน่วยและราคารวมของปริมาณงานแต่ละรายการตามข้อ 4.9 และมีราคารวมทั้งสิ้นสอดคล้อง กับราคาที่เสนอ
ทั้งนี้ ผู้ยื่นข้อเสนอจะต้องเสนอกำหนดยืนราคาไม่น้อยกว่า 90 วัน โดยภายในระยะเวลากำหนดยื่น ราคาดังกล่าวผู้ยื่นข้อเสนอต้องรับผิดชอบราคาที่ตนได้เสนอไว้และจะถอนการเสนอราคามิได้
11. การเก็บรักษาข้อมูลที่เป็นความลับ
ผู้รับจ้างจะต้องจัดการเก็บรักษาข้อมูลต่าง ๆ ที่เกี่ยวกับการดำเนินงานตามสัญญานี้ที่ผู้รับจ้างได้รับจาก ผู้ว่าจ้าง ซึ่งรวมถึงข้อมูลต่าง ๆ ที่ ผู้ว่าจ้าง ได้จัดทำขึ้นเนื่องจากการดำเนินงานนี้อย่างเป็นความลับ และ/หรือ ความลับทางการค้าของผู้ว่าจ้าง และผู้รับจ้างต้องหามาตรการในการจัดเก็บข้อมูลที่เป็นความลับให้มิดชิด ทั้งนี้ ผู้รับจ้าง จะต้องลงนามใน “สัญญาไม่เปิดเผยข้อมูลที่เป็นความลับ” พร้อมสัญญา
12. ข้อตกลงประมวลผลข้อมูลส่วนบุคคล
ผู้รับจ้างตกลงรับทำงานในโครงการฯ นี้ ซึ่งในการดำเนินการดังกล่าว ผู้ว่าจ้างได้มอบหมายหรือแต่งตั้งให้ ผู้รับจ้างเป็นผู้ดำเนินการกระบวนการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล (“การประมวลผลข้อมูล”) แทนหรือในนามของผู้ว่าจ้าง ดังนั้น ผู้รับจ้างในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องปฏิบัติตามข้อตกลงการ ประมวลผลข้อมูลส่วนบุคคล ตามข้อกำหนดใน “ข้อตกลงประมวลผลข้อมูลส่วนบุคคล” ที่แนบท้ายสัญญา
13.สิทธิในทรัพย์สินทางปัญญา
“ผู้รับจ้าง” จะต้องทำงานโดยสร้างสรรค์งานตามวัตถุประสงค์ของการจ้างด้วยความคิดและ ความสามารถ ของผู้รับจ้างเองและต้องไม่ทำการคัดลอกหรือละเมิดสิทธิในทรัพย์สินทางปัญญาของบุคคลอื่น
สิทธิในทรัพย์สินทางปัญญาของข้อมูลเอกสารและงานที่ “ผู้รับจ้าง” ได้จัดทำขึ้นให้ตกเป็นของ “ผู้ว่าจ้าง” และบรรดาข้อมูลเอกสาร ตลอดจนงานที่ “ผู้รับจ้าง” ได้จัดทำขึ้นนี้ให้ถือเป็นความลับและตกเป็น กรรมสิทธิ์และ สิทธิของ “ผู้ว่าจ้าง” แต่เพียงผู้เดียวโดยห้ามมิให้ “ผู้รับจ้าง” นำไปเผยแพร่หรือพัฒนาต่อกับบุคคลอื่นที่มิใช่ผู้ว่า จ้าง โดยไม่ได้รับการอนุญาตเด็ดขาด
กรณีที่ “ผู้รับจ้าง” มีความจำเป็นต้องการนำข้อมูลเอกสารและงานทั้งหมด (ผลงานที่เกิดจากการว่าจ้าง) ที่ “ผู้รับจ้าง” ได้จัดทำขึ้น ไปดำเนินการพัฒนาต่อยอดผลิตภัณฑ์อื่น ๆ เพื่อทำการขายสินค้านั้น “ผู้รับจ้าง”
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569
เปิ ดเผย
12
จะต้องทำความตกลงกันกับ “ผู้ว่าจ้าง” เป็นลายลักษณ์อักษรก่อนดำเนินการ โดยการทำเป็นหนังสือเห็นชอบจาก ทั้งสองฝ่าย
“ผู้รับจ้าง” จะต้องส่งมอบข้อมูลเอกสารและงานทั้งหมดที่ “ผู้รับจ้าง” ได้จัดทำขึ้นให้แก่ “ผู้ว่าจ้าง” เมื่อ สิ้นสุดสัญญานี้ โดยผู้รับจ้างอาจเก็บสำเนาข้อมูล เอกสารและงานที่ผู้รับจ้างได้จัดทำขึ้น ตามสัญญานี้ไว้กับตนได้แต่ ต้องไม่นำข้อความในเอกสารนั้นไปใช้ในกิจการอื่นที่ไม่เกี่ยวกับงาน โดยไม่ได้รับความยินยอมล่วงหน้าจาก “ผู้ว่า จ้าง” ก่อน
ข้อมูล เอกสาร รูปภาพ วีดีโอ หรือสื่อใด ๆ ที่ได้จากผู้ว่าจ้าง หรือผู้ที่รับจ้างนำมาใช้ประกอบการ ดำเนินงาน “ผู้รับจ้าง” ต้องเก็บรักษาไว้เป็นความลับ ห้ามมิให้เผยแพร่โดยมิได้อนุญาตจาก “ผู้ว่าจ้าง”เป็นลาย ลักษณ์อักษร และต้องส่งคืนผู้ว่าจ้างเมื่อดำเนินการแล้วเสร็จ
“ผู้รับจ้าง” จะต้องรับผิดต่อความเสียหายจากการละเมิดบทบัญญัติแห่งกฎหมาย หรือสิทธิในทรัพย์สิน ทางปัญญา หรือสิทธิอื่นใดของบุคคลอื่น อันเกิดจากการที่ ผู้รับจ้าง ตัวแทน หรือลูกจ้างของ “ผู้รับจ้าง” นำมาใช้ใน การปฏิบัติงานตามสัญญานี้ ตลอดจนรับผิดชอบในค่าเสียหายต่าง ๆ ที่เกิดขึ้นจากการนี้ ทั้งนี้หากบุคคลภายนอก กล่าวอ้างหรือใช้สิทธิเรียกร้องใดว่ามีการละเมิดลิขสิทธิ์ สิทธิในทรัพย์สินทางปัญญาใด ๆ หรือสิทธิอื่นใด “ผู้รับจ้าง”
ต้องดำเนินการทั้งปวงเพื่อให้ การกล่าวอ้างหรือ การเรียกร้องดังกล่าวระงับสิ้นไปโดยเร็ว หาก “ผู้รับจ้าง” มิอาจ กระทำได้และ “ผู้ว่าจ้าง” ต้องรับผิดชอบใช้ค่าเสียหาย ต่อบุคคลภายนอกอันเนื่องจากผลแห่งการละเมิดสิทธิ ดังกล่าว “ผู้รับจ้าง”ต้องเป็นผู้ชำระค่าเสียหาย ค่าปรับและค่าใช้จ่ายรวมทั้งค่าฤชาธรรมเนียมและค่าทนายความ แทน “ผู้ว่าจ้าง” ทั้งนี้ “ผู้ว่าจ้าง” จะแจ้งให้ “ผู้รับจ้าง” ทราบเป็น ลายลักษณ์อักษร เมื่อ “ผู้ว่าจ้าง” ได้รับการ กล่าวอ้าง หรือการใช้สิทธิเรียกร้องดังกล่าวโดยไม่ชักช้า
14. เงื่อนไขอื่น ๆ
14.1 สพร. ทรงไว้ซึ่งสิทธิ์ที่จะยกเลิกการดำเนินการจ้างโดยไม่พิจารณาจัดจ้างเลยก็ได้สุดแต่จะพิจารณา ทั้งนี้เพื่อประโยชน์ของทางราชการเป็นสำคัญ
14.2 สพร. สงวนสิทธิ์ที่จะดำเนินการจัดทำสัญญาเมื่อได้รับการจัดสรรงบประมาณแล้วเท่านั้น
14.3 ผู้ยื่นข้อเสนอ ซึ่ง สพร. ได้คัดเลือกไว้แล้ว ไม่มาทำสัญญาหรือข้อตกลงภายในกำหนดเวลา โดยไม่มี เหตุอันสมควร สพร. สงวนสิทธิ์ที่จะพิจารณาว่าผู้ยื่นข้อเสนอนั้น เป็นผู้ทิ้งงานและแจ้งเวียนให้ส่วนราชการต่าง ๆ ทราบต่อไป
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569
เปิ ดเผย
13
14.4 สพร. สงวนสิทธิ์ที่จะแก้ไขเพิ่มเติมเงื่อนไข หรือข้อกำหนดในแบบสัญญาให้เป็นไปตามความเห็นของ สำนักงานอัยการสูงสุด (ถ้ามี)
14.5 ผู้ยื่นข้อเสนองที่ได้รับการคัดเลือกให้ไปทำสัญญาจะต้องวางหลักประกันสัญญาจำนวนร้อยละ 5 ของมูลค่าสัญญา
14.6 ผู้รับจ้างต้องจัดทำแผนการดำเนินงานโดยจำแนกตามขั้นตอนและวิธีการดำเนินงาน ภายในกรอบ ระยะเวลาดำเนินงานตามข้อ 5. ภายใน 15 วัน นับถัดจากวันลงนามในสัญญา และให้ถือว่าแผนการดำเนินงาน ดังกล่าวเป็นส่วนหนึ่งของสัญญา ซึ่งผู้รับจ้างต้องถือปฏิบัติโดยเคร่งครัด
14.7 ผู้รับจ้างที่ได้รับการคัดเลือกจะต้องไม่เอางานทั้งหมดหรือแต่บางส่วนแห่งสัญญานี้ไปจ้างช่วงอีกทอด หนึ่ง เว้นแต่การจ้างช่วงงานแต่บางส่วนที่ได้รับอนุญาตเป็นหนังสือจาก สพร. แล้ว
14.8 ข้อมูลและเอกสารใด ๆ ที่ผู้รับจ้างได้รับทราบหรือได้รับจาก สพร. หรือลูกค้าของ สพร. รวมทั้งผลงานที่ ส่งมอบ ผู้รับจ้างจะต้องถือเป็นความลับ ไม่นำไปเผยแพร่ให้บุคคลใดทราบเป็นอันขาด เว้นแต่จะได้รับ การอนุญาตเป็นลายลักษณ์อักษรจาก สพร.
14.9 สพร. ขอสงวนสิทธิ์ที่จะยกเลิกการจ่ายเงินทันที และ/หรือเรียกเงินคืน หากผู้รับจ้างไม่สามารถส่งมอบ งานได้ตามข้อกำหนดและเงื่อนไขการจ้าง (TOR) ข้อหนึ่งข้อใดก็ดี เว้นแต่การที่ผู้รับจ้างไม่สามารถส่ง มอบงานได้ดังกล่าวเป็นผลมาจากเหตุสุดวิสัย ความผิดของ สพร. หรือมิได้เกิดจากความผิดของฝ่าย หนึ่งฝ่ายใด
15. หน่วยงานที่รับผิดชอบ
ส่วนบริหารจัดการและให้บริการด้านความมั่นคงปลอดภัยทางไซเบอร์ ฝ่ายความมั่นคงปลอดภัย ทางไซเบอร์ สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน)
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569
เปิ ดเผย
14
16.สถานที่ติดต่อเพื่อขอทราบรายละเอียดเพิ่มเติม
- สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) เลขที่ 999 ชั้น 4 อาคารสถาบันเพื่อการยุติธรรมแห่ง ประเทศไทย ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร 10210
- E-mail: [email protected]
- Website: www.dga.or.th
- โทรศัพท์: 0-2612-6000
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569