จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างงานจ้างดำเนินการประเมินช่องโหว่ และการทดสอบเจาะระบบความมั่นคงปลอดภัยทางไซเบอร์ (Vulnerability Assessment and Penetration Testing)

สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) 69069453614
฿8,000,000 ปีงบ 2568 ประกาศ 30 มิ.ย. 2569 กรุงเทพมหานคร
รายละเอียดการจ้าง

สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) หรือ สพร. มีความประสงค์จะจ้างผู้ประกอบการที่มีความเชี่ยวชาญในการดำเนินการประเมินช่องโหว่และทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing) เพื่อเสริมสร้างความมั่นคงปลอดภัยไซเบอร์ให้กับระบบรัฐบาลดิจิทัล โดยมีวัตถุประสงค์หลักเพื่อตรวจสอบ วิเคราะห์ ประเมินช่องโหว่ และให้คำแนะนำในการปรับปรุงระบบรักษาความปลอดภัยของบริการภาครัฐ รวมถึงระบบเครือข่ายและระบบคอมพิวเตอร์ที่เกี่ยวข้อง เพื่อลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้นจากภัยคุกคามทางไซเบอร์ ขอบเขตการดำเนินงานครอบคลุมการทดสอบเจาะระบบสำหรับ Web Application, Mobile Application, API Security, Network Infrastructure/Server และ Cloud โดยใช้วิธีการทดสอบแบบ Grey Box ตามมาตรฐานสากล เช่น OWASP Testing Guide และ OWASP Mobile Application Security Testing Guide การทดสอบจะดำเนินการทั้งแบบอัตโนมัติและแบบ Manual Test โดยบุคลากรผู้เชี่ยวชาญ โครงการนี้กำหนดให้มีการทดสอบ 2 ครั้ง คือ Initial Pentest เพื่อค้นหาช่องโหว่ และ Revisit Pentest เพื่อตรวจสอบการแก้ไขช่องโหว่ที่พบ ผู้รับจ้างต้องจัดทำแผนการดำเนินงาน วิธีการ เครื่องมือ และบุคลากรที่เกี่ยวข้องเสนอ สพร. เพื่อพิจารณาอนุมัติก่อนเริ่มงาน และต้องใช้โปรแกรมทดสอบที่มีลิขสิทธิ์ถูกต้องตามกฎหมาย ระยะเวลาดำเนินงานทั้งหมด 365 วัน (12 เดือน) ภายใต้วงเงินงบประมาณ 8,000,000 บาท (แปดล้านบาทถ้วน) การพิจารณาคัดเลือกข้อเสนอจะใช้เกณฑ์ราคา โดยผู้ยื่นข้อเสนอต้องมีคุณสมบัติครบถ้วนตามที่กำหนด และมีผลงานประเภทเดียวกันมูลค่าไม่น้อยกว่า 3,000,000 บาท

English summary

The Digital Government Development Agency (Public Organization) (DGA) is seeking to contract a service provider for Vulnerability Assessment and Penetration Testing to enhance the cybersecurity of the digital government system. The objectives are to identify, analyze, and assess vulnerabilities, and provide recommendations for improving the security of government services, networks, and computer systems, thereby mitigating risks from cyber threats. The scope of work includes penetration testing for Web Applications, Mobile Applications, API Security, Network Infrastructure/Servers, and Cloud environments, employing Grey Box testing methodologies aligned with international standards like OWASP Testing Guide and OWASP Mobile Application Security Testing Guide. Testing will be conducted using a combination of automated tools and expert manual analysis. The project involves two phases of testing: Initial Pentest to discover vulnerabilities and Revisit Pentest to verify remediation. The contractor must submit an operational plan, methodology, tools, and personnel for approval prior to commencement and must use legally licensed testing software. The project duration is 365 days (12 months) with a budget of 8,000,000 Baht. Bid selection will be based on price, requiring bidders to meet all specified qualifications and possess a track record of similar projects valued at no less than 3,000,000 Baht.

สถานที่ดำเนินการ

กรุงเทพมหานคร

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

  • เพื่อตรวจสอบ วิเคราะห์ ประเมินช่องโหว่และการทดสอบเจาะระบบความมั่นคงปลอดภัยทางไซเบอร์ (Vulnerability Assessment and Penetration Testing) และให้คำแนะนำในการปรับปรุงด้านระบบรักษาความปลอดภัยของบริการภาครัฐ รวมถึงระบบเครือข่ายและระบบคอมพิวเตอร์ที่เกี่ยวข้อง
  • เพื่อลดความเสี่ยงและผลกระทบที่เกิดขึ้นจากภัยคุกคามทางไซเบอร์ของบริการภาครัฐ

ขอบเขตของงาน

  • การทดสอบเจาะระบบครอบคลุม Web Application, Mobile Application, API Security, Network Infrastructure/Server, และ Cloud
  • ดำเนินการทดสอบเจาะระบบแบบ Grey Box โดยอ้างอิงตามมาตรฐานแนวทางการเจาะระบบที่เป็นที่นิยม เช่น OWASP Testing Guide และ OWASP Mobile Application Security Testing Guide (MGTG) เวอร์ชันล่าสุด
  • การทดสอบจะจำลองการปฏิบัติการของไวรัสหรือแฮกเกอร์จริง เพื่อหาช่องทางในการเข้าถึงระบบ (Exploit) ผ่านช่องโหว่ต่างๆ
  • ครอบคลุมการทดสอบจากมุมมองของผู้ใช้งานที่ลงทะเบียนและไม่ได้ลงทะเบียน, การโจมตีแบบ injected or manipulated code, การประเมินการควบคุมการเข้าถึง (authentication and authorization), และการพยายามเข้าถึง/แก้ไขข้อมูลที่ไม่ได้รับอนุญาต
  • ใช้เครื่องมือเจาะระบบแบบอัตโนมัติ (Commercial Tool และ Open-source Tool) ผสมผสานกับความเชี่ยวชาญของบุคลากร (Human Skill) พร้อมการทดสอบและวิเคราะห์ด้วยตัวบุคคล (Manual Test)
  • การทดสอบต้องไม่กระทบกับการใช้งานระบบเทคโนโลยีสารสนเทศของ สพร. และหากเกิดความผิดปกติ ต้องรีบแก้ไขและแจ้งเจ้าหน้าที่ทันที
  • ดำเนินการทดสอบเจาะระบบ 2 ครั้งต่อระบบ: Initial Pentest (ค้นหาช่องโหว่) และ Revisit Pentest (ตรวจสอบการแก้ไขช่องโหว่) หาก Initial Pentest ไม่พบช่องโหว่ ให้ส่งเฉพาะรายงานครั้งที่ 1
  • ก่อนดำเนินการทดสอบแต่ละครั้ง ต้องส่งแผนการดำเนินงาน วิธีการ เครื่องมือ และบุคลากรที่เกี่ยวข้องให้ สพร. พิจารณาอนุมัติ
  • ใช้โปรแกรมทดสอบที่มีลิขสิทธิ์ถูกต้องตามกฎหมาย (Commercial Tools) สำหรับ Vulnerability Assessment และ Penetration Testing
  • วิเคราะห์และประเมินผลกระทบ ความเสี่ยง จากผลการทดสอบเทียบกับประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
  • จัดประชุมชี้แจงผลการทดสอบ วิเคราะห์การเจาะระบบระดับ Critical และ High พร้อมข้อเสนอแนะแนวทางการแก้ไข
  • จัดทำรายงานผลการประเมินช่องโหว่และความเสี่ยง (Initial Pentest) และรายงานผลการทดสอบซ้ำ (Revisit Pentest)
  • บุคลากรที่ใช้ในการทดสอบต้องเป็นพนักงานประจำของบริษัทที่มีอายุงานไม่น้อยกว่า 1 ปี
  • ปริมาณงานขั้นต่ำ: Business Use case 100, Screen Page 1,000, API Server 750 endpoints

สิ่งที่ต้องส่งมอบ

  • แผนการดำเนินงาน, วิธีการดำเนินงาน, และเครื่องมือที่ใช้ในการประเมินช่องโหว่ การทดสอบการเจาะระบบ และการจำลองการโจมตีเสมือนจริง
  • รายงานผลการดำเนินการประเมินหาความเสี่ยงช่องโหว่และการเจาะระบบ (Initial Pentest) สำหรับแต่ละระบบที่ดำเนินการเสร็จสิ้น
  • รายงานผลการประเมินหาความเสี่ยงจากช่องโหว่และการเจาะระบบซ้ำ (Revisit Pentest) สำหรับแต่ละระบบที่ดำเนินการแก้ไขแล้ว
  • รายงานสรุปปริมาณงานที่ใช้ในการทดสอบเจาะระบบ
  • รายงานสรุปผลการดำเนินงานทดสอบเจาะระบบซ้ำช่องโหว่ที่ได้มีการตรวจพบ และรายงานผลการประเมินหาความเสี่ยงที่เกิดจากช่องโหว่และการเจาะระบบทั้งหมด (ในการส่งมอบงานงวดสุดท้าย)
  • สัญญาไม่เปิดเผยข้อมูลที่เป็นความลับ (Non-Disclosure Agreement: NDA)
  • ข้อตกลงประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement)

ระยะเวลาดำเนินการ

365 วัน (12 เดือน) นับถัดจากวันลงนามในสัญญา หรือเมื่อครบวงเงินค่าจ้างตามสัญญา แล้วแต่กรณี

คุณสมบัติผู้เสนอราคา

  • Eligibility Requirements:
    • มีความสามารถตามกฎหมาย
    • ไม่เป็นบุคคลล้มละลาย
    • ไม่อยู่ระหว่างเลิกกิจการ
    • ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทำสัญญากับหน่วยงานของรัฐ
    • ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงาน
    • มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างฯ กำหนด
    • เป็นนิติบุคคลผู้มีอาชีพรับจ้างงานที่ประกวดราคาอิเล็กทรอนิกส์
    • ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่น หรือกระทำการอันเป็นการขัดขวางการแข่งขันอย่างเป็นธรรม
    • ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกันซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้ยื่นข้อเสนอได้มีคำสั่งให้สละเอกสิทธิ์และความคุ้มกัน
    • ต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (e-GP)
  • Standards Compliance:
    • ไม่ระบุข้อกำหนดเฉพาะด้านมาตรฐาน ISO หรือมาตรฐานสากลอื่น ๆ นอกเหนือจากแนวทางการทดสอบ (เช่น OWASP)
  • Experience:
    • มีผลงานประเภทเดียวกัน (ประเมินช่องโหว่และทดสอบเจาะระบบ) มูลค่าไม่น้อยกว่า 3,000,000 บาท ภายใต้สัญญาเดียวที่ดำเนินการเสร็จสิ้นแล้ว
    • ผลงานต้องเป็นคู่สัญญากับหน่วยงานภาครัฐ หรือหน่วยงานเอกชนที่ สพร. เชื่อถือ
  • Previous Project Cost:
    • มูลค่าผลงานประเภทเดียวกันไม่น้อยกว่า 3,000,000 บาท ภายใต้สัญญาเดียว
  • Technical Capabilities:
    • มีความสามารถในการดำเนินการทดสอบเจาะระบบสำหรับ Web Application, Mobile Application, API Security, Network Infrastructure/Server, และ Cloud
    • สามารถใช้เครื่องมือเจาะระบบแบบอัตโนมัติ (Commercial Tool และ Open-source Tool) และการทดสอบด้วยบุคลากร (Manual Test)
    • มีโปรแกรมทดสอบที่มีลิขสิทธิ์ถูกต้องตามกฎหมาย (Commercial Tools) สำหรับ Vulnerability Assessment และ Penetration Testing
  • Personnel:
    • หัวหน้าโครงการ: อย่างน้อย 1 คน พร้อมประกาศนียบัตรอย่างใดอย่างหนึ่ง เช่น CompTIA Security+, CEH, CompTIA Cybersecurity Analyst (CySA+), CompTIA Pentest+, CompTIA Advanced Security Practitioner (CASP+)
    • นักเจาะระบบ: จำนวนตามความเหมาะสม พร้อมประกาศนียบัตรอย่างใดอย่างหนึ่ง เช่น OSCP, GPEN, CompTIA Pentest+, CEH, eWPT, eWPTX, eJPT, eCXD, CREST Registered Penetration Tester (CRT)
    • บุคลากรที่ใช้ในการทดสอบต้องเป็นพนักงานประจำของบริษัทที่มีอายุงานไม่น้อยกว่า 1 ปี
  • Financial Requirements:
    • มูลค่าสุทธิของกิจการเป็นบวกจากงบแสดงฐานะการเงิน 1 ปีล่าสุด (สำหรับนิติบุคคลที่จัดตั้งเกิน 1 ปี)
    • หรือ ทุนจดทะเบียนที่เรียกชำระแล้วไม่น้อยกว่า 2,000,000 บาท (สำหรับนิติบุคคลที่ยังไม่มีรายงานงบการเงิน)
    • หรือ หนังสือรับรองวงเงินสินเชื่อจากธนาคาร/บริษัทเงินทุน ไม่น้อยกว่า 2,000,000 บาท (คิดเป็น 1 ใน 4 ของมูลค่าโครงการ)
    • กรณีเป็นนิติบุคคลต่างชาติ/บุคคลธรรมดาที่ไม่ใช่สัญชาติไทย ให้ใช้อัตราแลกเปลี่ยนตามประกาศธนาคารแห่งประเทศไทย
    • ยกเว้นหน่วยงานรัฐ หรือนิติบุคคลไทยที่อยู่ระหว่างฟื้นฟูกิจการ

เกณฑ์การพิจารณา

ใช้เกณฑ์ราคา โดยพิจารณาคัดเลือกข้อเสนอผู้ยื่นข้อเสนอที่มีคุณสมบัติและยื่นเอกสารหลักฐานครบถ้วน ถูกต้อง

ข้อกำหนดทางเทคนิค

  • การทดสอบเจาะระบบครอบคลุม Web Application, Mobile Application, API Security, Network Infrastructure/Server, และ Cloud
  • วิธีการทดสอบ: Grey Box Testing โดยอ้างอิงมาตรฐาน OWASP Testing Guide และ OWASP Mobile Application Security Testing Guide (MGTG) เวอร์ชันล่าสุด
  • การทดสอบจำลองการปฏิบัติการของแฮกเกอร์จริง เพื่อหาช่องทางเข้าถึงระบบ (Exploit)
  • ครอบคลุมการทดสอบจากมุมมองผู้ใช้งาน (ลงทะเบียน/ไม่ลงทะเบียน), การโจมตีแบบ injected/manipulated code, การประเมินการควบคุมการเข้าถึง (authentication/authorization), และการพยายามเข้าถึง/แก้ไขข้อมูลที่ไม่ได้รับอนุญาต
  • ผสมผสานการใช้เครื่องมืออัตโนมัติ (Commercial/Open-source) และการทดสอบด้วยบุคลากร (Manual Test)
  • การทดสอบต้องไม่กระทบระบบหลัก และต้องแก้ไข/แจ้งทันทีหากเกิดความผิดปกติ
  • ดำเนินการทดสอบ 2 ครั้งต่อระบบ: Initial Pentest และ Revisit Pentest
  • ใช้เครื่องมือทดสอบที่มีลิขสิทธิ์ถูกต้องตามกฎหมาย (Commercial Tools)
  • วิเคราะห์ความเสี่ยงเทียบกับประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
  • จัดประชุมชี้แจงผลการทดสอบและข้อเสนอแนะ
  • บุคลากรต้องมีคุณวุฒิและประกาศนียบัตรตามที่กำหนด
  • ปริมาณงานขั้นต่ำ: Business Use case 100, Screen Page 1,000, API Server 750 endpoints

เงื่อนไขสัญญา

  • Payment Schedule: 4 งวด
    • งวดที่ 1: ภายใน 90 วัน นับถัดจากวันลงนามในสัญญา
    • งวดที่ 2: ภายใน 180 วัน นับถัดจากวันลงนามในสัญญา
    • งวดที่ 3: ภายใน 270 วัน นับถัดจากวันลงนามในสัญญา
    • งวดที่ 4: ภายใน 365 วัน นับถัดจากวันลงนามในสัญญา
  • Payment Basis: จ่ายตามปริมาณงานจริงในรายงาน โดยถืออัตราค่าจ้างต่อหน่วย
  • Penalties: ค่าปรับรายวันในอัตราร้อยละ 0.05 ของค่าจ้างตามสัญญา หากไม่ดำเนินการทดสอบเจาะระบบแต่ละระบบพร้อมส่งรายงานแล้วเสร็จตามกำหนด
  • Confidentiality: ผู้รับจ้างต้องลงนามในสัญญาไม่เปิดเผยข้อมูลที่เป็นความลับ (NDA) และเก็บรักษาข้อมูลทั้งหมดเป็นความลับ
  • Data Processing: ผู้รับจ้างต้องปฏิบัติตามข้อตกลงประมวลผลข้อมูลส่วนบุคคล
  • Intellectual Property: สิทธิในทรัพย์สินทางปัญญาของข้อมูล เอกสาร และงานที่จัดทำขึ้นตกเป็นของผู้ว่าจ้างแต่เพียงผู้เดียว
  • Subcontracting: ห้ามจ้างช่วงงานทั้งหมดหรือบางส่วน เว้นแต่ได้รับอนุญาตเป็นหนังสือจาก สพร.
  • Performance Bond: ผู้รับจ้างที่ได้รับคัดเลือกต้องวางหลักประกันสัญญาจำนวนร้อยละ 5 ของมูลค่าสัญญา
  • Work Plan: ผู้รับจ้างต้องจัดทำแผนการดำเนินงานภายใน 15 วัน นับถัดจากวันลงนามในสัญญา

คำถามที่พบบ่อย (FAQ)

  • Q: การทดสอบเจาะระบบครอบคลุมระบบประเภทใดบ้าง?
    A: ครอบคลุม Web Application, Mobile Application, API Security, Network Infrastructure/Server, และ Cloud หรือตามที่ สพร. กำหนด
  • Q: วิธีการทดสอบเจาะระบบที่ใช้คืออะไร?
    A: ใช้การทดสอบแบบ Grey Box โดยอ้างอิงมาตรฐาน OWASP และผสมผสานเครื่องมืออัตโนมัติกับความเชี่ยวชาญของบุคลากร (Manual Test)
  • Q: ต้องมีการทดสอบกี่ครั้งต่อระบบ?
    A: ดำเนินการทดสอบ 2 ครั้ง คือ Initial Pentest เพื่อค้นหาช่องโหว่ และ Revisit Pentest เพื่อตรวจสอบการแก้ไข
  • Q: คุณสมบัติของบุคลากรที่ใช้ในการทดสอบเป็นอย่างไร?
    A: หัวหน้าโครงการต้องมีประกาศนียบัตรเฉพาะทาง เช่น CEH, CompTIA Security+ และนักเจาะระบบต้องมีประกาศนียบัตร เช่น OSCP, GPEN โดยบุคลากรต้องเป็นพนักงานประจำของบริษัทที่มีอายุงานไม่น้อยกว่า 1 ปี
  • Q: มีข้อกำหนดด้านผลงานของผู้ยื่นข้อเสนอหรือไม่?
    A: ผู้ยื่นข้อเสนอต้องมีผลงานประเภทเดียวกันมูลค่าไม่น้อยกว่า 3,000,000 บาท ภายใต้สัญญาเดียว
  • Q: ระยะเวลาดำเนินงานโครงการทั้งหมดนานเท่าใด?
    A: 365 วัน (12 เดือน) นับถัดจากวันลงนามในสัญญา
  • Q: งบประมาณสำหรับโครงการนี้เท่าไร?
    A: วงเงินงบประมาณทั้งสิ้น 8,000,000 บาท (แปดล้านบาทถ้วน)
  • Q: เกณฑ์ในการพิจารณาคัดเลือกข้อเสนอคืออะไร?
    A: ใช้เกณฑ์ราคา โดยพิจารณาจากผู้ยื่นข้อเสนอที่มีคุณสมบัติและเอกสารครบถ้วนถูกต้อง
  • Q: มีการกำหนดค่าปรับกรณีส่งมอบงานล่าช้าหรือไม่?
    A: มี โดยกำหนดค่าปรับรายวันในอัตราร้อยละ 0.05 ของค่าจ้างตามสัญญา
  • Q: ผู้รับจ้างต้องส่งมอบรายงานผลการทดสอบในรูปแบบใด?
    A: ส่งมอบในรูปแบบเอกสาร 1 ชุด และในรูปแบบดิจิทัลไฟล์ PDF 1 ชุด ผ่านระบบกลางสารบัญของ สพร. หรือช่องทางที่กำหนด

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

เปิ ดเผย
1

ข้อกำหนดและขอบเขตของงาน (Terms of Reference: TOR)
งานจ้างประเมินช่องโหว่และทดสอบเจาะระบบ (Penetration Testing and Vulnerability Assessment) เพื่อความมั่งคงปลอดภัยไซเบอร์ของระบบรัฐบาลดิจิทัล

  1. ความเป็นมา
    สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) จัดตั้งขึ้นตามพระราชกฤษฎีกาจัดตั้งสำนักงาน พัฒนารัฐบาลดิจิทัล (องค์การมหาชน) พ.ศ. 2561 เพื่อเป็นหน่วยงานกลางของระบบรัฐบาลดิจิทัล ทำหน้าที่ ให้บริการส่งเสริม สนับสนุน พัฒนา บริหารจัดการ และให้บริการโครงสร้างพื้นฐานทางเทคโนโลยีดิจิทัล และระบบการให้บริการหรือแอปพลิเคชันพื้นฐานของหน่วยงานของรัฐและหน่วยงานอื่นเกี่ยวกับการพัฒนารัฐบาล ดิจิทัล ซึ่ง สพร. เป็นศูนย์กลางการแลกเปลี่ยนทะเบียนข้อมูลดิจิทัลภาครัฐเพื่ออำนวยความสะดวกในการ ดำเนินงานของหน่วยงานของรัฐ เพื่อให้บริการแก่ประชาชนได้อย่างสะดวก รวดเร็ว และมั่นคงปลอดภัย โดย ลักษณะดำเนินงานดังกล่าวจะมีการเชื่อมโยงข้อมูลจำนวนมากเข้าหากันในโครงข่าย ประกอบกับจำนวนเว็บไซต์ เว็บแอปพลิเคชัน แอปพลิเคชัน สำหรับบริการหน่วยงานภาครัฐ ภาคประชาชน และภาคส่วนอื่น ๆ ที่เกี่ยวข้อง ตลอดจนบริการของ สพร. เพื่อมุ่งสู่การเป็นหน่วยงานกลางของระบบรัฐบาลดิจิทัล
    ประกอบกับ ประกาศคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง ประมวลแนวทาง ปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงาน โครงสร้างพื้นฐานสำคัญทางสารสนเทศ พ.ศ. ๒๕๖๔ อันเป็นข้อกำหนดขั้นต่ำในการดำเนินการด้านการรักษาความ มั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ รวมทั้ง กำหนดมาตรการในการประเมินความเสี่ยงการตอบสนองและรับมือกับภัยคุกคามทางไซเบอร์ เมื่อมีภัยคุกคามทาง ไซเบอร์ หรือเหตุการณ์ที่ส่งผลกระทบหรืออาจก่อให้เกิดผลกระทบหรือความเสียหายอย่างมีนัยสำคัญหรืออย่าง ร้ายแรงต่อระบบสารสนเทศของประเทศ โดยในข้อ ๒๑.๓ กำหนดให้มีการประเมินช่องโหว่และการทดสอบเจาะ ระบบ (Vulnerability Assessment and Penetration Testing) ต้องดำเนินการประเมินช่องโหว่ของบริการที่สำคัญ ของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ โดยเฉพาะอย่างยิ่งระบบเทคโนโลยี
    สารสนเทศ (Information Technology: IT) ระบบของโฮสต์ เครือข่าย และแอปพลิเคชันของบริการที่สำคัญ
    ลงนามผู้กำหนดขอบเขตของงาน
    ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
    SP-S02-002 Rev.3 Effective date: 09/04/2569
    เปิ ดเผย
    2
    หน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ โดยเฉพาะอย่างยิ่งทุกระบบที่เป็นมีการ เชื่อมต่ออินเทอร์เน็ตโดยตรง (Internet Facing) และควรดำเนินการทดสอบเจาะระบบอย่างน้อยปีละ ๑ ครั้ง ดังนั้น เพื่อให้สอดคล้องตามประมวลแนวทางปฏิบัติฯ และมาตรการดังกล่าวข้างต้น และการดำเนินงาน ตามภารกิจหน้าที่ของ สพร. ในการเป็นหน่วยงานกลางของระบบรัฐบาลดิจิทัลที่มีความมั่นคงปลอดภัยทางไซเบอร์ โดยมีการเฝ้าระวัง ติดตามและประเมินความเสี่ยงจากการประเมินช่องโหว่และการทดสอบการเจาะระบบ จึงควร ดำเนินการจ้างผู้ประกอบการที่มีประสบการณ์ทำการประเมินช่องโหว่และการทดสอบเจาะระบบความมั่นคง ปลอดภัยทางไซเบอร์ (Vulnerability Assessment and Penetration Testing) ต่อไป
  2. วัตถุประสงค์
    2.1 เพื่อตรวจสอบ วิเคราะห์ ประเมินช่องโหว่และการทดสอบเจาะระบบความมั่นคงปลอดภัยทางไซ เบอร์ (Vulnerability Assessment and Penetration Testing) และให้คำแนะนำในการปรับปรุงด้านระบบรักษา ความปลอดภัยของบริการภาครัฐ รวมถึงระบบเครือข่ายและระบบคอมพิวเตอร์ที่เกี่ยวข้อง
    2.2 เพื่อลดความเสี่ยงและผลกระทบที่เกิดขึ้นจากภัยคุกคามทางไซเบอร์ของบริการภาครัฐ
  3. คุณสมบัติของผู้ยื่นข้อเสนอ
    3.1 มีความสามารถตามกฎหมาย
    3.2 ไม่เป็นบุคคลล้มละลาย
    3.3 ไม่อยู่ระหว่างเลิกกิจการ
    3.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทำสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังกำหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
    3.5 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงาน ของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วน ผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอำนาจในการดำเนินงานในกิจการของนิติบุคคลนั้นด้วย
    3.6 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหาร พัสดุ ภาครัฐกำหนดในราชกิจจานุเบกษา
    3.7 เป็นนิติบุคคลผู้มีอาชีพรับจ้างงานที่ประกวดราคาอิเล็กทรอนิกส์ดังกล่าว
    ลงนามผู้กำหนดขอบเขตของงาน
    ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
    SP-S02-002 Rev.3 Effective date: 09/04/2569
    เปิ ดเผย
    3
    3.8 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่สำนักงาน สพร. ณ วัน ประกาศประกวดราคาอิเล็กทรอนิกส์ หรือไม่เป็นผู้กระทำการอันเป็นการขัดขวางการแข่งขันอย่างเป็นธรรมในการ ประกวดราคาอิเล็กทรอนิกส์ครั้งนี้
    3.9 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้ยื่น ข้อเสนอ ได้มีคำสั่งให้สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
    3.10 ผู้ยื่นข้อเสนอต้องลงทะเบียนที่มีข้อมูลถูกต้องครบถ้วนในระบบจัดซื้อจัดจ้างภาครัฐด้วย อิเล็กทรอนิกส์ (Electronic Government Procurement: e - GP) ของกรมบัญชีกลาง
    3.11 ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ ดังนี้
    (1) กรณีเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย/กฎหมายต่างประเทศ ซึ่งได้จดทะเบียนเกินกว่า 1 ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิที่ปรากฏในงบแสดงฐานะ การเงินที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก 1 ปีสุดท้ายก่อนวันยื่นข้อเสนอ
    (2) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่ตั้งขึ้นตามกฎหมายไทย/กฎหมายต่างประเทศ ซึ่งยังไม่มีการ รายงานงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ต้องมีทุนจดทะเบียนที่เรียกชำระมูลค่าหุ้นแล้ว ณ วันที่ยื่น ข้อเสนอไม่น้อยกว่า 2,000,000 บาท
    (3) กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียน หรือมีแต่ไม่เพียงพอ ผู้ยื่น ข้อเสนอสามารถขอหนังสือรับรองวงเงินสินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุนหรือบริษัทเงินทุน หลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้าประกันตามประกาศของ ธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทยแจ้งเวียนให้ทราบ หรือเป็นสินเชื่อที่ ธนาคารต่างประเทศหรือบริษัทเงินทุนหรือบริษัททุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการ พาณิชย์และประกอบธุรกิจค้ำประกันตามประกาศของธนาคารกลางของประเทศนั้น ตามรายชื่อบริษัทเงินทุนที่ ธนาคารกลางของประเทศนั้นแจ้งเวียนให้ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สำนักงานใหญ่ รับรอง หรือที่สำนักงานสาขารับรอง (กรณีได้รับมอบอำนาจจากสำนักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึง วันยื่นข้อเสนอไม่เกิน 90 วัน โดยต้องมียอดเงินรวมของวงเงินสินเชื่อไม่น้อยกว่า 2,000,000 บาท คิดเป็น 1 ใน 4 ของมูลค่าโครงการหรือรายการที่ยื่นเสนอในแต่ละครั้ง ทั้งนี้ สำหรับธนาคารภายในประเทศหนังสือรับรองวงเงิน สินเชื่อให้เป็นไปตามแบบที่กำหนด
    (4) กรณีเป็นนิติบุคคลที่จัดตั้งตามกฎหมายต่างประเทศและบุคคลธรรมดาที่มิได้ถือสัญชาติไทยตาม ข้อ (2) (3) มูลค่าจะต้องเป็นไปตามอัตราแลกเปลี่ยนเงินตราตามประกาศที่ธนาคารแห่งประเทศไทยกำหนดในช่วง
    ลงนามผู้กำหนดขอบเขตของงาน
    ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
    SP-S02-002 Rev.3 Effective date: 09/04/2569
    เปิ ดเผย
    4
    ระหว่างวันที่เผยแพร่ประกาศและเอกสารเชิญชวนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (e-GP) หรือมี หนังสือเชิญชวน จนถึงวันยื่นข้อเสนอ
    คุณสมบัติในข้อ (1) - (3) นี้ ยกเว้นกรณีที่ผู้ยื่นข้อเสนอเป็นหน่วยงานของรัฐ หรือนิติบุคคลที่จัดตั้ง ขึ้นตามกฎหมายไทยที่อยู่ระหว่างการฟื้นฟูกิจการตามพระราชบัญญัติล้มละลาย พ.ศ. 2483 และที่แก้ไขเพิ่มเติม
    3.12 ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติดังนี้
    กิจการร่วมค้าที่ยื่นข้อเสนอ ผู้เข้าร่วมค้าทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่กำหนดไว้ ในเอกสารเชิญชวน เว้นแต่ในกรณีกิจการร่วมค้าที่มีข้อตกลงระหว่างผู้เข้าร่วมค้ากำหนดให้ผู้เข้าร่วมค้ารายใดราย หนึ่งเป็นผู้เข้าร่วมค้าหลัก กิจการร่วมค้านั้นสามารถใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียว เป็นผลงานของกิจการ ร่วมค้าที่ยื่นข้อเสนอ
    กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากำหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงดังกล่าวจะต้องมีการกำหนดสัดส่วนหน้าที่ และความรับผิดชอบในปริมาณงาน สิ่งของ หรือมูลค่าตาม สัญญา มากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
    ทั้งนี้ กิจการร่วมค้า หมายถึง “กิจการที่มีข้อตกลงระหว่างผู้เข้าร่วมค้าเป็นลายลักษณ์อักษรว่าจะ ดำเนินการร่วมกันเป็นทางการค้าหรือหากำไรระหว่างบริษัทกับบริษัท บริษัทกับห้างหุ้นส่วนนิติบุคคล ห้างหุ้นส่วน นิติบุคคลกับห้างหุ้นส่วนนิติบุคคล หรือระหว่างบริษัทและ/หรือห้างหุ้นส่วนนิติบุคคลกับบุคคลธรรมดา คณะบุคคล ที่มิใช่นิติบุคคล ห้างหุ้นส่วนสามัญ นิติบุคคลอื่น หรือนิติบุคคลที่ตั้งขึ้นตามกฎหมายของต่างประเทศ โดยข้อตกลง นั้นอาจกำหนดให้มีผู้เข้าร่วมค้าหลักก็ได้”
    3.13 ผู้ยื่นข้อเสนอจะต้องมีผลงานประเภทเดียวกันกับงานที่ระบุไว้ในเอกสารนี้ ได้แก่ ผลงานใน ดำเนินการประเมินช่องโหว่และทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing) มูลค่าไม่น้อยกว่า 3,000,000 บาท ภายใต้สัญญาเดียวที่ดำเนินการเสร็จสิ้นแล้ว และเป็นผลงานที่เป็นคู่สัญญา โดยตรงกับหน่วยงานภาครัฐ หรือหน่วยงานเอกชนที่ สพร. เชื่อถือ โดยจะต้องแนบสำเนาหนังสือรับรองผลงานและ สำเนาสัญญา พร้อมรับรองสำเนาถูกต้องมาพร้อมกับการยื่นข้อเสนอด้วย
  4. รายละเอียดขอบเขตการดำเนินงาน
    การประเมินช่องโหว่และทดสอบเจาะระบบ (Penetration Testing and Vulnerability Assessment) เพื่อความมั่งคงปลอดภัยไซเบอร์ของระบบรัฐบาลดิจิทัล มีรายละเอียดขอบเขตการ ดำเนินงาน ดังต่อไปนี้
    ลงนามผู้กำหนดขอบเขตของงาน
    ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
    SP-S02-002 Rev.3 Effective date: 09/04/2569
    เปิ ดเผย
    5
    4.1 การดำเนินการทดสอบเจาะระบบ จะครอบคลุมประเภทการตรวจสอบช่องโหว่ของระบบบริการ ต่างๆ ของ สพร. ได้แก่ Web Application, Mobile Application, API Security, Network Infrastructure/ Server, และ Cloud เป็นต้น หรือตามความเหมาะสมกับระบบที่ สพร. กำหนดให้ดำเนินการ โดยคลอบคลุมอย่างน้อย ดังนี้
    4.1.1 ทดสอบเจาะระบบแบบ Grey Box ให้ดำเนินการโดยอ้างอิงตามมาตรฐานแนวทางการ เจาะระบบที่เป็นที่นิยมใช้กันโดยทั่วไป เช่น Open Web Application Security Project
    (OWASP) Testing guide และ OWASP Mobile Application Security Testing Guide
    (MGTG) และใช้ Version ล่าสุดที่มีการประกาศในการใช้งาน เป็นต้น
    4.1.2 ดำเนินการทดสอบเจาะระบบแบบ Grey Box ในการทดสอบจะดำเนินการเหมือนกับการ เจาะระบบโดยไวรัสหรือแฮกเกอร์ที่ปฏิบัติการจริง และทดสอบหาช่องทางในการเข้าถึง
    ระบบ (Exploit) ผ่านช่องโหว่ต่าง ๆ โดยคลอบคลุมรายละเอียด ดังนี้
    (1) ทดสอบเจาะระบบจากมุมมองของผู้ใช้งานที่มีการลงทะเบียนและไม่มีการลงทะเบียนใน
    ระบบ
    (2) ทดสอบการเจาะระบบในรูปแบบการโจมตีแบบ injected or manipulated code
    (3) ประเมินการควบคุมการเข้าถึงของผู้ใช้งาน ในมุมของ user authentication and
    authorization
    (4) ทดสอบการพยายามเข้าถึงข้อมูล, แก้ไขข้อมูล ที่ไม่ได้รับอนุญาต หรือการพยายามทำให้
    ระบบมีความปลอดภัยลดลง
    4.1.3 ดำเนินการทดสอบเจาะระบบในรูปแบบผสมผสาน โดยใช้เครื่องมือเจาะระบบแบบอัตโนมัติ (Automate Tool) ทั้งแบบ Commercial Tool และแบบ Open-source Tool ผสมผสาน
    กับความเชี่ยวชาญของบุคลากร (Human Skill) พร้อมเก็บหลักฐานจากการทดสอบ (ผู้รับจ้าง
    จะต้องใช้การทดสอบและวิเคราะห์ด้วยตัวบุคคลเองด้วย (Manual Test)
    4.1.4 ดำเนินการทดสอบเจาะระบบไม่ให้กระทบกับการใช้งานระบบเทคโนโลยีสารสนเทศของ สพร. โดยระหว่างการทดสอบเจาะระบบหากเกิดความผิดปกติของระบบที่ทำการทดสอบ
    จะต้องรีบแก้ไข และแจ้งให้เจ้าหน้าที่ของ สพร. ให้ทราบทันที
    4.1.5 ดำเนินการทดสอบเจาะระบบ ในแต่ละระบบจะต้องดำเนินการทดสอบทั้งหมดสองครั้ง คือ (1) Initial Pentest คือ การทดเจาะระบบครั้งที่ 1 เพื่อค้นหาช่องโหว่และความเสี่ยงต่างๆ
    ในระบบ
    ลงนามผู้กำหนดขอบเขตของงาน
    ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
    SP-S02-002 Rev.3 Effective date: 09/04/2569
    เปิ ดเผย
    6
    (2) Revisit Pentest คือ การทดสอบเจาะระบบครั้งที่ 2 เพื่อตรวจสอบช่องโหว่และความ
    เสี่ยงต่างๆที่ตรวจพบใน การทดสอบเจาะระบบครั้งที่ 1 ได้รับการแก้ไขและปิดเรียบร้อย
    แล้ว
    ทั้งนี้ มีข้อยกเว้นถ้าหากการทดสอบเจาะระบบครั้งที่ 1 ไม่พบช่องโหว่หรือความเสี่ยง
    ใดๆ ให้ส่งงานเฉพาะรายงานกาะทดสอบเจาะระบบครั้งที่ 1 เท่านั้น
    4.2 เมื่อ สพร. กำหนดระบบงานหนึ่งงานใดเพื่อทำการทดสอบเจาะระบบแล้ว ก่อนดำเนินการทดสอบ เจาะระบบแต่ละครั้งผู้รับจ้างต้องส่งแผนการดำเนินงาน วิธีการดำเนินงาน และเครื่องมือที่เหมาะสมสำหรับจะ นำมาใช้ในการประเมินช่องโหว่ การทดสอบการเจาะระบบ และการจำลองการโจมตีเสมือนจริง รวมถึงบุคลากรที่ เกี่ยวข้อง เพื่อกำหนดแนวทางการดำเนินงานโครงการที่เหมาะสม และรูปแบบในการทดสอบเจาะระบบตามกรอบ ดังระบุในข้อ 4.1 รวมถึงการประเมินผลกระทบที่อาจเกิดขึ้นเพื่อป้องกันมิให้เกิดความเสียหายต่อระบบที่ทดสอบ แล้วจัดทำรายละเอียดการดำเนินการดังกล่าวเสนอให้ สพร. พิจารณาให้ความเห็นชอบก่อนดำเนินการ
    4.3 สำหรับเครื่องที่ใช้ในการทดสอบเจาะระบบ ต้องใช้โปรแกรมทดสอบที่มีลิขสิทธิ์และผู้รับจ้างมีสิทธิ์ นำมาใช้ได้โดยถูกต้องตามกฎหมาย (Commercial Tools) ได้แก่
    (1) เครื่องมือสำหรับงานตรวจประเมินช่องโหว่ของระบบฯ (Vulnerability Assessment)
    (2) เครื่องมือสำหรับงานทดสอบเจาะระบบ (Penetration Testing)
    4.4 เมื่อดำเนินการทดสอบเจาะระบบแต่ละครั้งเรียบร้อยแล้ว ให้ทำการวิเคราะห์และประเมินผล พฤติการณ์แวดล้อม ผลกระทบที่เกิดขึ้น ความเสี่ยงหรือแนวโน้มที่อาจเกิดขึ้นจากภัยคุกคามทางไซเบอร์กรณีต่าง ๆ จากผลการทดสอบเจาะระบบนั้น ๆ เพื่อพิจารณาว่าลักษณะของภัยคุกคามทางไซเบอร์นั้นอยู่ในระดับใดเทียบเคียง กับประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง ลักษณะภัยคุกคามทางไซเบอร์ มาตรการป้องกัน รับมือ ประเมิน ปราบปราม และระงับภัยคุกคามทางไซเบอร์แต่ละระดับ พ.ศ. 2564
    4.5 จัดประชุมร่วมกับเจ้าหน้าที่ผู้รับผิดชอบระบบที่ทำการทดสอบเจาะระบบนั้น และเจ้าหน้าที่อื่น ๆ ที่ เกี่ยวข้อง เพื่อชี้แจงผลการทดสอบเจาะระบบนั้น ๆ และทำการวิเคราะห์การเจาะระบบที่มีผลกระทบในระดับ วิกฤต (Critical) และระดับสูง (High) พร้อมข้อเสนอแนะและแนวทางการแก้ไขโดยละเอียด
    4.6 จัดทำรายงานผลการดำเนินการประเมินหาความเสี่ยงช่องโหว่และการเจาะระบบ แต่ละระบบที่ ดำเนินการเสร็จสิ้นแล้วในการทดสอบเจาะระบบครั้งที่ 1 (Initial Pentest) เพื่อให้ สพร. สามารถนำไปใช้ในการ
    ลงนามผู้กำหนดขอบเขตของงาน
    ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
    SP-S02-002 Rev.3 Effective date: 09/04/2569
    เปิ ดเผย
    7
    วิเคราะห์ความคุ้มค่าในการดำเนินการเพื่อสร้างความมั่นคงปลอดภัย ให้กับระบบงาน โดยรายงานจะต้องมีเนื้อหา สาระ โดยมีรายละเอียดอย่างน้อยดังนี้
    (1) วิธีการและขั้นตอนการทดสอบ
    (2) รายละเอียดช่องโหว่ พร้อมประเมินความรุนแรงของช่องโหว่
    (3) คำแนะนำในการปิดช่องโหว่ เพื่อนำไปปรับปรุงแก้ไข
    ทั้งนี้ การดำเนินการทดสอบเจาะระบบและการจัดทำรายงานผลการดำเนินงานในข้อ 4.2 - 4.5 ให้ ดำเนินการให้เสร็จสิ้นภายใน 30 วัน นับจากวันที่เริ่มดำเนินการทดสอบเจาะระบบจริง
    4.7 เมื่อ สพร. โดยเจ้าหน้าที่ผู้รับผิดชอบหรือผู้เกี่ยวข้องกบระบบที่ทำการทดสอบเจาะระบบนั้น ได้ทำ การปรับปรุงแก้ไขตามข้อแนะนำเรียบร้อยแล้ว ให้ดำเนินการตรวจสอบซ้ำหรือการทดสอบเจาะระบบครั้งที่ 2 (Revisit Pentest) ช่องโหว่ที่ได้มีการตรวจพบ และจัดทำรายงานผลการประเมินหาความเสี่ยงที่เกิดจากช่องโหว่ และการเจาะระบบนั้นอีกครั้งหนึ่ง. โดยรายงานจะต้องมีเนื้อหาสาระ โดยมีรายละเอียดอย่างน้อยดังนี้
    (1) วิธีการและขั้นตอนการทดสอบ
    (2) รายละเอียดช่องโหว่ พร้อมประเมินความรุนแรงของช่องโหว่
    (3) สรุปผลการดำเนินงานทดสอบเจาะระบบ
    ทั้งนี้ ให้สรุปรายงานผลการทดสอบซ้ำช่องโหว่ที่ได้มีการตรวจพบ และจัดทำรายงานผลการประเมิน หาความเสี่ยงที่เกิดจากช่องโหว่และการเจาะระบบทั้งหมดในข้อนี้ พร้อมกับการส่งมอบงานงวดสุดท้าย (งวดที่ ค่าจ้างตามปริมาณงานครบวงเงินค่าจ้างตามสัญญา) หรือก่อนครบระยะเวลาดำเนินงานตามข้อ 5. แล้วแต่กรณี
    4.8 ในการดำเนินการทดสอบเจาะระบบ ต้องจัดให้มีบุคลากรที่เป็นพนักงานประจำของบริษัทที่มีอายุ งานไม่น้อยกว่า 1 ปี โดยบุคลากรต้องมีคุณสมบัติอย่างน้อยดังนี้
    (1) หัวหน้าโครงการ อย่างน้อย 1 คน ต้องมีประกาศนียบัตรอย่างหนึ่งอย่างใด ดังนี้
    • CompTIA Security+ หรือ
    • CEH (Certified Ethical Hacker) หรือ
    • CompTIA Cybersecurity Analyst (CySA+) หรือ
    • CompTIA Pentest+ หรือCompTIA Advanced Security Practitioner (CASP+)
    (2) นักเจาะระบบ จำนวนตามความเหมาะสม ต้องมีประกาศนียบัตรอย่างหนึ่งอย่างใด ดังนี้
    • Offensive Security Certified Professional (OSCP)
    • GIAC Penetration Tester (GPEN) หรือ
    ลงนามผู้กำหนดขอบเขตของงาน
    ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
    SP-S02-002 Rev.3 Effective date: 09/04/2569
    เปิ ดเผย
    8
    • CompTIA Pentest+ หรือ
    • CEH (Certified Ethical Hacker) หรือ
    • eLearnSecurity Web Application Penetration Tester (eWPT) หรือ
    • eLearnSecurity Web application Penetration Tester eXtreme (eWPTX) หรือ • eLearnSecurity Junior Penetration Tester (eJPT) หรือ
    • eLearnSecurity Certified eXploit Developer (eCXD) หรือ
    • CREST Registered Penetration Tester (CRT)
    4.9 สพร. จะกำหนดระบบเพื่อทำการทดสอบโดย พิจารณากำหนดตามความเหมาะสมดังกล่าวในข้อ 4.2 ข้างต้น โดยกำหนดเป็นปริมาณงานรวมในกระบวนการทดสอบเจาะระบบ ดังนี้
    (1) Business Use case จำนวน 100 use case
    (2) Screen Page จำนวน 1,000 pages
    (3) API Server จำนวน 750 endpoints
    ทั้งนี้ปริมาณงานดังกล่าวเป็นจำนวนขั้นสูงสุดของทั้งโครงการ และในการทดสอบเจาะระบบแต่ละ ครั้ง สพร. จะแจ้งระบบงานที่จะให้ดำเนินการทดสอบ และปริมาณงานตาม (1) – (3) ที่ต้องทำการทดสอบการเจาะ ระบบในการทดสอบแต่ละครั้ง และ สพร. สงวนสิทธิในการจ่ายค่าจ้างตามปริมาณงานดังกล่าวที่เกิดขึ้นจริง
  5. กำหนดระยะเวลาดำเนินงาน
    ภายใน 365 วัน (12 เดือน) นับถัดจากวันลงนามในสัญญา หรือเมื่อครบวงเงินค่าจ้างตามสัญญา แล้วแต่ อย่างใดอย่างหนึ่งถึงกำหนดก่อน
  6. หลักเกณฑ์การพิจารณาคัดเลือกข้อเสนอ
    สพร. จะพิจารณาคัดเลือกเลือกข้อเสนอผู้ยื่นข้อเสนอที่มีคุณสมบัติและยื่นเอกสารหลักฐานครบถ้วน ถูกต้อง โดยใช้เกณฑ์ราคา
  7. วงเงินงบประมาณ
    ภายในวงเงินทั้งสิ้น 8,000,000 บาท (แปดล้านบาทถ้วน) ซึ่งเป็นราคาที่รวมภาษีมูลค่าเพิ่มและค่าใช้จ่าย ทั้งปวงแล้ว
    ลงนามผู้กำหนดขอบเขตของงาน
    ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
    SP-S02-002 Rev.3 Effective date: 09/04/2569
    เปิ ดเผย
    9
  8. งวดงานและการจ่ายเงิน
    8.1 กำหนดการส่งมอบงานและการจ่ายเงินค่าจ้าง รวม 4 งวด โดยกำหนดระยะเวลาในแต่ละงวดดังนี้ - งวดที่ 1 ภายใน 90 วัน นับถัดจากวันลงนามในสัญญา
  • งวดที่ 2 ภายใน 180 วัน นับถัดจากวันลงนามในสัญญา
  • งวดที่ 3 ภายใน 270 วัน นับถัดจากวันลงนามในสัญญา
  • งวดที่ 4 ภายใน 365 วัน นับถัดจากวันลงนามในสัญญา
    8.2 ในแต่ละงวดต้องจัดทำรายละเอียดผลการทดสอบเจาะระบบ โดยจัดทำรายงานส่งมอบงานแต่ละ งวด โดยจัดทำในรูปแบบเอกสาร จำนวน 1 ชุด และในรูปแบบของดิจิทัลไฟล์เป็น PDF File ส่งเข้าระบบกลาง สารบัญของ สพร. Email: [email protected] หรือ ช่องทางที่สำนักงานกำหนด จำนวน 1 ชุด ประกอบด้วย
    (1) จำนวนและรายละเอียดการดำเนินการทดสอบเจาะระบบ และรายงานผลการประเมินหาความ เสี่ยงที่เกิดจากช่องโหว่และการเจาะระบบ ที่ดำเนินการเสร็จสิ้นตามรายละเอียดการดำเนินงาน ตามข้อ 4.6
    (2) รายงานสรุปปริมาณงานที่ใช้ในการทดสอบเจาะระบบตามช้อ 4.9 (เฉพาะระบบงานที่ ดำเนินการเสร็จสิ้นแล้ว)
    (3) รายงานสรุปผลการทดสอบเจาะระบบซ้ำช่องโหว่ที่ได้มีการตรวจพบ และจัดทำรายงานผลการ ประเมินหาความเสี่ยงที่เกิดจากช่องโหว่และการเจาะระบบที่ดำเนินงานทั้งหมด (เฉพาะการส่ง มอบงานงวดสุดท้ายตามข้อ 4.7)
    8.3 สพร. จะจ่ายค่าจ้างแต่ละงวดตามปริมาณงานจริงในรายงานในข้อ 8.1 (1) โดยถืออัตราค่าจ้างต่อ หน่วย โดยอัตราค่าจ้างดังกล่าวรวมภาษีมูลค่าเพิ่มและค่าใช้จ่ายทั้งปวงเรียบร้อยแล้ว
  1. ค่าปรับ
    งานจ้างครั้งนี้ สพร. ต้องการความสำเร็จในแต่ละระบบงานที่ สพร. กำหนด หากผู้รับจ้างไม่ดำเนินการ ทดสอบเจาะระบบแต่ละระบบพร้อมส่งรายงานแล้วเสร็จตามกำหนดในข้อ 4.6 และผู้ว่าจ้างยังมิได้บอกเลิกสัญญา ต้องยินยอมให้ สพร. ปรับเป็นรายวันในอัตราร้อยละ 0.05 ของค่าจ้างตามสัญญา นับถัดจากวันครบกำหนดการส่ง มอบ จนถึงวันที่ส่งมอบครบถ้วนถูกต้อง หรือจนถึงวันที่ สพร. บอกเลิกสัญญา แล้วแต่กรณี
    ลงนามผู้กำหนดขอบเขตของงาน
    ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
    SP-S02-002 Rev.3 Effective date: 09/04/2569
    เปิ ดเผย
    10
  2. การจัดทำข้อเสนอ
    ผู้ยื่นข้อเสนอต้องจัดทำข้อเสนอตามรายการ อย่างน้อย ดังนี้
    10.1 เอกสารส่วนที่ 1 ได้แก่ เอกสารแสดงคุณสมบัติของผู้ยื่นข้อเสนอ ให้จัดทำตามรายการเอกสาร หลักฐานที่กำหนด และเอกสารหลักฐานผลงานของผู้ยื่นข้อเสนอตามคุณสมบัติของผู้ยื่นข้อเสนอ ในข้อ 3
    10.2 เอกสารส่วนที่ 2 ประกอบด้วย
    (1) เอกสารการยอมรับดำเนินงานตามข้อกำหนด ตามตัวอย่าง ดังนี้
    ขอบเขตการดำเนินงาน ที่สพร. กำหนด
    ขอบเขตการดำเนินงาน ของผู้ยื่นข้อเสนอ
    ข้อเปรียบเทียบหรือการ ยืนยันยอมรับตามข้กำหนด
    เอกสารอ้างอิง
    ให้ระบุขอบเขตการ
    ดำเนินงานที่ สพร.กำหนด
    ให้ระบุขอบเขตการ
    ดำเนินงานของผู้ยื่นเสนอ
    ให้ระบุจุดที่ดีกว่า หรือ เทียบเท่า หรือแสดงการ ยืนยันยอมรับตาม
    ข้อกำหนด
    ให้ระบุ
    เอกสารอ้างอิง
    (ถ้ามี)

(2) โปรแกรมทดสอบที่มีลิขสิทธิ์และเอกสารหลักฐานซึ่งแสดงว่าผู้ยื่นข้อเสนอมีสิทธิ์นำมาใช้ได้โดย ถูกต้องตามกฎหมาย(Commercial Tools) ที่ใช้เป็นเครื่องที่ใช้ในการทดสอนเจาะระบบ ตาม ข้อ 4.3
(3) รายชื่อบุคลากรในการทดสอบเจาะระบบตามข้อ 4.8 (1) จำนวนอย่างน้อย 1 คน และตามข้อ 4.8 (2) จำนวนอย่างน้อย 3 คน พร้อมหลักฐานเอกสารประกาศนียบัตร
10.3 ข้อเสนอทางด้านราคา
ผู้ยื่นข้อเสนอต้องเสนอราคาค่าจ้างประเมินช่องโหว่และทดสอบเจาะระบบ (Penetration Testing and Vulnerability Assessment) เพื่อความมั่งคงปลอดภัยไซเบอร์ของระบบรัฐบาลดิจิทัลตามข้อกำหนดและ ขอบเขตของงานนี้ ตามปริมาณงานที่กำหนดในข้อ 4.9 และเสนอราคารวมในระบบจัดซื้อจัดจ้างภาครัฐด้วย อิเล็กทรอนิกส์ของกรมบัญชีกลาง ตามแบบและเงื่อนไชที่กำหนดในเอกสารการประกวดราคาอิเล็กทรอนิกส์ (e bidding) โดยเสนอราคาเป็นค่าจ้างรวมทั้งสิ้น ซึ่งรวมภาษีมูลค่าเพิ่มและค่าใช้จ่ายทั้งปวงไว้เรียบร้อยแล้ว
การเสนอราคาตามวรรคแรก ผู้ยื่นข้อเสนอไม่ต้องจัดทำเอกสารแจกแจงรายละเอียดประกอบราคา ยื่นเสนอ เว้นแต่ผู้ยื่นข้อเสนอที่ได้รับการคัดเลือกจะต้องจัดทำเอกสารแจกแจงรายละเอียดประกอบราคาที่เสนอ
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569
เปิ ดเผย
11
โดยจำแนกราคาต่อหน่วยและราคารวมของปริมาณงานแต่ละรายการตามข้อ 4.9 และมีราคารวมทั้งสิ้นสอดคล้อง กับราคาที่เสนอ
ทั้งนี้ ผู้ยื่นข้อเสนอจะต้องเสนอกำหนดยืนราคาไม่น้อยกว่า 90 วัน โดยภายในระยะเวลากำหนดยื่น ราคาดังกล่าวผู้ยื่นข้อเสนอต้องรับผิดชอบราคาที่ตนได้เสนอไว้และจะถอนการเสนอราคามิได้
11. การเก็บรักษาข้อมูลที่เป็นความลับ
ผู้รับจ้างจะต้องจัดการเก็บรักษาข้อมูลต่าง ๆ ที่เกี่ยวกับการดำเนินงานตามสัญญานี้ที่ผู้รับจ้างได้รับจาก ผู้ว่าจ้าง ซึ่งรวมถึงข้อมูลต่าง ๆ ที่ ผู้ว่าจ้าง ได้จัดทำขึ้นเนื่องจากการดำเนินงานนี้อย่างเป็นความลับ และ/หรือ ความลับทางการค้าของผู้ว่าจ้าง และผู้รับจ้างต้องหามาตรการในการจัดเก็บข้อมูลที่เป็นความลับให้มิดชิด ทั้งนี้ ผู้รับจ้าง จะต้องลงนามใน “สัญญาไม่เปิดเผยข้อมูลที่เป็นความลับ” พร้อมสัญญา
12. ข้อตกลงประมวลผลข้อมูลส่วนบุคคล
ผู้รับจ้างตกลงรับทำงานในโครงการฯ นี้ ซึ่งในการดำเนินการดังกล่าว ผู้ว่าจ้างได้มอบหมายหรือแต่งตั้งให้ ผู้รับจ้างเป็นผู้ดำเนินการกระบวนการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล (“การประมวลผลข้อมูล”) แทนหรือในนามของผู้ว่าจ้าง ดังนั้น ผู้รับจ้างในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องปฏิบัติตามข้อตกลงการ ประมวลผลข้อมูลส่วนบุคคล ตามข้อกำหนดใน “ข้อตกลงประมวลผลข้อมูลส่วนบุคคล” ที่แนบท้ายสัญญา
13.สิทธิในทรัพย์สินทางปัญญา
“ผู้รับจ้าง” จะต้องทำงานโดยสร้างสรรค์งานตามวัตถุประสงค์ของการจ้างด้วยความคิดและ ความสามารถ ของผู้รับจ้างเองและต้องไม่ทำการคัดลอกหรือละเมิดสิทธิในทรัพย์สินทางปัญญาของบุคคลอื่น
สิทธิในทรัพย์สินทางปัญญาของข้อมูลเอกสารและงานที่ “ผู้รับจ้าง” ได้จัดทำขึ้นให้ตกเป็นของ “ผู้ว่าจ้าง” และบรรดาข้อมูลเอกสาร ตลอดจนงานที่ “ผู้รับจ้าง” ได้จัดทำขึ้นนี้ให้ถือเป็นความลับและตกเป็น กรรมสิทธิ์และ สิทธิของ “ผู้ว่าจ้าง” แต่เพียงผู้เดียวโดยห้ามมิให้ “ผู้รับจ้าง” นำไปเผยแพร่หรือพัฒนาต่อกับบุคคลอื่นที่มิใช่ผู้ว่า จ้าง โดยไม่ได้รับการอนุญาตเด็ดขาด
กรณีที่ “ผู้รับจ้าง” มีความจำเป็นต้องการนำข้อมูลเอกสารและงานทั้งหมด (ผลงานที่เกิดจากการว่าจ้าง) ที่ “ผู้รับจ้าง” ได้จัดทำขึ้น ไปดำเนินการพัฒนาต่อยอดผลิตภัณฑ์อื่น ๆ เพื่อทำการขายสินค้านั้น “ผู้รับจ้าง”
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569
เปิ ดเผย
12
จะต้องทำความตกลงกันกับ “ผู้ว่าจ้าง” เป็นลายลักษณ์อักษรก่อนดำเนินการ โดยการทำเป็นหนังสือเห็นชอบจาก ทั้งสองฝ่าย
“ผู้รับจ้าง” จะต้องส่งมอบข้อมูลเอกสารและงานทั้งหมดที่ “ผู้รับจ้าง” ได้จัดทำขึ้นให้แก่ “ผู้ว่าจ้าง” เมื่อ สิ้นสุดสัญญานี้ โดยผู้รับจ้างอาจเก็บสำเนาข้อมูล เอกสารและงานที่ผู้รับจ้างได้จัดทำขึ้น ตามสัญญานี้ไว้กับตนได้แต่ ต้องไม่นำข้อความในเอกสารนั้นไปใช้ในกิจการอื่นที่ไม่เกี่ยวกับงาน โดยไม่ได้รับความยินยอมล่วงหน้าจาก “ผู้ว่า จ้าง” ก่อน
ข้อมูล เอกสาร รูปภาพ วีดีโอ หรือสื่อใด ๆ ที่ได้จากผู้ว่าจ้าง หรือผู้ที่รับจ้างนำมาใช้ประกอบการ ดำเนินงาน “ผู้รับจ้าง” ต้องเก็บรักษาไว้เป็นความลับ ห้ามมิให้เผยแพร่โดยมิได้อนุญาตจาก “ผู้ว่าจ้าง”เป็นลาย ลักษณ์อักษร และต้องส่งคืนผู้ว่าจ้างเมื่อดำเนินการแล้วเสร็จ
“ผู้รับจ้าง” จะต้องรับผิดต่อความเสียหายจากการละเมิดบทบัญญัติแห่งกฎหมาย หรือสิทธิในทรัพย์สิน ทางปัญญา หรือสิทธิอื่นใดของบุคคลอื่น อันเกิดจากการที่ ผู้รับจ้าง ตัวแทน หรือลูกจ้างของ “ผู้รับจ้าง” นำมาใช้ใน การปฏิบัติงานตามสัญญานี้ ตลอดจนรับผิดชอบในค่าเสียหายต่าง ๆ ที่เกิดขึ้นจากการนี้ ทั้งนี้หากบุคคลภายนอก กล่าวอ้างหรือใช้สิทธิเรียกร้องใดว่ามีการละเมิดลิขสิทธิ์ สิทธิในทรัพย์สินทางปัญญาใด ๆ หรือสิทธิอื่นใด “ผู้รับจ้าง”
ต้องดำเนินการทั้งปวงเพื่อให้ การกล่าวอ้างหรือ การเรียกร้องดังกล่าวระงับสิ้นไปโดยเร็ว หาก “ผู้รับจ้าง” มิอาจ กระทำได้และ “ผู้ว่าจ้าง” ต้องรับผิดชอบใช้ค่าเสียหาย ต่อบุคคลภายนอกอันเนื่องจากผลแห่งการละเมิดสิทธิ ดังกล่าว “ผู้รับจ้าง”ต้องเป็นผู้ชำระค่าเสียหาย ค่าปรับและค่าใช้จ่ายรวมทั้งค่าฤชาธรรมเนียมและค่าทนายความ แทน “ผู้ว่าจ้าง” ทั้งนี้ “ผู้ว่าจ้าง” จะแจ้งให้ “ผู้รับจ้าง” ทราบเป็น ลายลักษณ์อักษร เมื่อ “ผู้ว่าจ้าง” ได้รับการ กล่าวอ้าง หรือการใช้สิทธิเรียกร้องดังกล่าวโดยไม่ชักช้า
14. เงื่อนไขอื่น ๆ
14.1 สพร. ทรงไว้ซึ่งสิทธิ์ที่จะยกเลิกการดำเนินการจ้างโดยไม่พิจารณาจัดจ้างเลยก็ได้สุดแต่จะพิจารณา ทั้งนี้เพื่อประโยชน์ของทางราชการเป็นสำคัญ
14.2 สพร. สงวนสิทธิ์ที่จะดำเนินการจัดทำสัญญาเมื่อได้รับการจัดสรรงบประมาณแล้วเท่านั้น
14.3 ผู้ยื่นข้อเสนอ ซึ่ง สพร. ได้คัดเลือกไว้แล้ว ไม่มาทำสัญญาหรือข้อตกลงภายในกำหนดเวลา โดยไม่มี เหตุอันสมควร สพร. สงวนสิทธิ์ที่จะพิจารณาว่าผู้ยื่นข้อเสนอนั้น เป็นผู้ทิ้งงานและแจ้งเวียนให้ส่วนราชการต่าง ๆ ทราบต่อไป
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569
เปิ ดเผย
13
14.4 สพร. สงวนสิทธิ์ที่จะแก้ไขเพิ่มเติมเงื่อนไข หรือข้อกำหนดในแบบสัญญาให้เป็นไปตามความเห็นของ สำนักงานอัยการสูงสุด (ถ้ามี)
14.5 ผู้ยื่นข้อเสนองที่ได้รับการคัดเลือกให้ไปทำสัญญาจะต้องวางหลักประกันสัญญาจำนวนร้อยละ 5 ของมูลค่าสัญญา
14.6 ผู้รับจ้างต้องจัดทำแผนการดำเนินงานโดยจำแนกตามขั้นตอนและวิธีการดำเนินงาน ภายในกรอบ ระยะเวลาดำเนินงานตามข้อ 5. ภายใน 15 วัน นับถัดจากวันลงนามในสัญญา และให้ถือว่าแผนการดำเนินงาน ดังกล่าวเป็นส่วนหนึ่งของสัญญา ซึ่งผู้รับจ้างต้องถือปฏิบัติโดยเคร่งครัด
14.7 ผู้รับจ้างที่ได้รับการคัดเลือกจะต้องไม่เอางานทั้งหมดหรือแต่บางส่วนแห่งสัญญานี้ไปจ้างช่วงอีกทอด หนึ่ง เว้นแต่การจ้างช่วงงานแต่บางส่วนที่ได้รับอนุญาตเป็นหนังสือจาก สพร. แล้ว
14.8 ข้อมูลและเอกสารใด ๆ ที่ผู้รับจ้างได้รับทราบหรือได้รับจาก สพร. หรือลูกค้าของ สพร. รวมทั้งผลงานที่ ส่งมอบ ผู้รับจ้างจะต้องถือเป็นความลับ ไม่นำไปเผยแพร่ให้บุคคลใดทราบเป็นอันขาด เว้นแต่จะได้รับ การอนุญาตเป็นลายลักษณ์อักษรจาก สพร.
14.9 สพร. ขอสงวนสิทธิ์ที่จะยกเลิกการจ่ายเงินทันที และ/หรือเรียกเงินคืน หากผู้รับจ้างไม่สามารถส่งมอบ งานได้ตามข้อกำหนดและเงื่อนไขการจ้าง (TOR) ข้อหนึ่งข้อใดก็ดี เว้นแต่การที่ผู้รับจ้างไม่สามารถส่ง มอบงานได้ดังกล่าวเป็นผลมาจากเหตุสุดวิสัย ความผิดของ สพร. หรือมิได้เกิดจากความผิดของฝ่าย หนึ่งฝ่ายใด
15. หน่วยงานที่รับผิดชอบ
ส่วนบริหารจัดการและให้บริการด้านความมั่นคงปลอดภัยทางไซเบอร์ ฝ่ายความมั่นคงปลอดภัย ทางไซเบอร์ สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน)
ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569
เปิ ดเผย
14
16.สถานที่ติดต่อเพื่อขอทราบรายละเอียดเพิ่มเติม

  • สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) เลขที่ 999 ชั้น 4 อาคารสถาบันเพื่อการยุติธรรมแห่ง ประเทศไทย ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร 10210
  • E-mail: [email protected]
  • Website: www.dga.or.th
  • โทรศัพท์: 0-2612-6000

ลงนามผู้กำหนดขอบเขตของงาน
ประธานกรรมการ ( นายปณิธาน เขินอำนวย ) ลงนาม……..ปณิธาน เขินอำนวย……………………… วันที่…….5/6/2569…. กรรมการ ( นายณัฐพล สายรัตน์ ) ลงนาม……..ณัฐพล สายรัตน์…………………………… ครั้งที่………….1…………. กรรมการและเลขานุการ ( นายธงไชย จารุสุรเกษม ) ลงนาม……..ธงไชย จารุสุรเกษม……………………….
SP-S02-002 Rev.3 Effective date: 09/04/2569