ประกวดราคาจ้างโครงการจ้างเหมาบริการยกระดับศักยภาพของระบบความมั่นคงปลอดภัยทางไซเบอร์อย่างยั่งยืน สำหรับสำนักงานคณะกรรมการการศึกษาขั้นพื้นฐาน
โครงการจ้างเหมาบริการยกระดับศักยภาพของระบบความมั่นคงปลอดภัยทางไซเบอร์อย่างยั่งยืน สําหรับสํานักงานคณะกรรมการการศึกษาขั้นพื้นฐาน จัดทำขึ้นตามแผนแม่บทภายใต้ยุทธศาสตร์ชาติ 2566-2580 ที่มุ่งเน้นการเสริมสร้างความมั่นคงปลอดภัยไซเบอร์ในหน่วยงานภาครัฐ โดยเฉพาะในด้านการศึกษา ซึ่งมีความเสี่ยงสูงจากการโจมตีทางไซเบอร์ที่เพิ่มขึ้นอย่างต่อเนื่อง โครงการนี้มีวัตถุประสงค์หลักเพื่อปรับปรุงนโยบาย กระบวนการ และมาตรฐานความปลอดภัยไซเบอร์ให้สอดคล้องกับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และข้อกำหนดของสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) โดยมีการดำเนินการครอบคลุมทั้งการจัดทำแผนบริหารความเสี่ยง การติดตั้งระบบตรวจจับและตอบสนองภัยคุกคาม (XDR), การป้องกันไวรัส, การวิเคราะห์ข่าวกรองภัยคุกคาม (Threat Intelligence), การตรวจสอบช่องโหว่ในระบบปฏิบัติการและแอปพลิเคชัน (Vulnerability Assessment), การบํารุงรักษาเชิงป้องกัน, และการจัดตั้งศูนย์ปฏิบัติการไซเบอร์จากภายนอก (External Cybersecurity Operation Center) ทั้งนี้ ผู้รับจ้างต้องมีผลงานที่ผ่านการรับรองจากหน่วยงานรัฐหรือเอกชนที่สํานักงานคณะกรรมการการศึกษาขั้นพื้นฐานเชื่อถือ อย่างน้อย 9.5 ล้านบาท และต้องมีคุณสมบัติครบถ้วนตามที่กำหนด รวมถึงมีทุนจดทะเบียนหรือมูลค่าสุทธิของกิจการไม่น้อยกว่า 3 ล้านบาท หรือมีวงเงินสินเชื่อจากธนาคารภายในประเทศหรือต่างประเทศ 1 ใน 4 ของมูลค่าโครงการ โครงการนี้มีระยะเวลาดำเนินการ 3 ปี (พ.ศ. 2569 – 2571) และต้องการผู้รับจ้างที่มีความเชี่ยวชาญสูงในด้านไซเบอร์ซีเคียวริตี้ พร้อมทั้งมีทีมงานที่มีประสบการณ์ในการบริหารจัดการความปลอดภัยไซเบอร์ในหน่วยงานภาครัฐ
English summary
This project aims to enhance the cybersecurity resilience of the Office of the Basic Education Commission (OBEC) through comprehensive cybersecurity service outsourcing. It is aligned with the National Strategy 2023-2037 and the Cybersecurity Act 2019, focusing on proactive cyber defense, risk management, and threat intelligence. The project includes the establishment of an external cybersecurity operations center, implementation of advanced detection and response systems (XDR), vulnerability assessments, antivirus protection, and continuous monitoring of attack surfaces. It requires a contractor with at least 9.5 million THB of relevant experience, certified by trusted government or private entities, and must meet stringent financial and technical qualifications. The project spans 3 years (2026–2028) and demands high-level expertise in cybersecurity management for public sector organizations.
สำนักงานคณะกรรมการการศึกษาขั้นพื้นฐาน จังหวัดกรุงเทพมหานคร
ข้อมูลเชิงลึกของโครงการ
AI วิเคราะห์ ปลดล็อกแล้วเป้าหมายโครงการ
- เพื่อจัดทําและทบทวนมาตรฐาน นโยบาย และกระบวนการในการบริหารจัดการความมั่นคงปลอดภัยทางไซเบอร์ให้สอดคล้องกับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และข้อกําหนดของสกมช.
- เพื่อให้มีผู้เชี่ยวชาญให้คําแนะนําและแก้ไขปัญหาด้านการบริหารจัดการนโยบายและมาตรฐานความมั่นคงปลอดภัยทางไซเบอร์
- เพื่อเพิ่มประสิทธิภาพและความต่อเนื่องในการตรวจจับความเสี่ยงของระบบสารสนเทศจากภัยคุกคามทางไซเบอร์ที่มาจากภายนอก (Attack Surface Management)
- เพื่อตรวจสอบและยกระดับมาตรฐานความปลอดภัยทางข้อมูลสารสนเทศของสํานักงานคณะกรรมการการศึกษาขั้นพื้นฐานในเชิงรุก (Proactive Security Assessment)
- เพื่อเพิ่มประสิทธิภาพในการตรวจจับและป้องกันภัยคุกคามทางไซเบอร์ (Extended Detection and Response: XDR) และการตรวจจับภัยคุกคามขั้นสูง (Advanced Persistent Threats)
- เพื่อตรวจสอบภัยคุกคามผ่านบริการข่าวกรองภัยคุกคามทางไซเบอร์ (Threat Intelligence) ที่เข้ามาโจมตีระบบเทคโนโลยีดิจิทัลและสารสนเทศของสํานักงานคณะกรรมการการศึกษาขั้นพื้นฐาน
- เพื่อเฝ้าระวัง บริหารจัดการ ติดตาม และวิเคราะห์ผลที่ได้จากบริการความมั่นคงปลอดภัยทางไซเบอร์ให้สามารถดําเนินการได้อย่างมีประสิทธิภาพ
- เพื่อจัดตั้งศูนย์ปฏิบัติการการรักษาความมั่นคงปลอดภัยทางไซเบอร์จากภายนอก (External Cybersecurity Operation Center) ซึ่งมีผู้เชี่ยวชาญควบคุมและดูแล
- เพื่อปรับปรุงแก้ไขเอกสารนโยบาย มาตรฐาน และกระบวนการที่เกี่ยวข้องให้เป็นปัจจุบันและสอดคล้องกับพระราชบัญญัติฯ
- เพื่อพัฒนาบุคลากรส่วนกลางที่รับผิดชอบงานด้านเทคโนโลยีสารสนเทศและการสื่อสารให้มีความรู้และทักษะเกี่ยวกับการบริหารจัดการความมั่นคงปลอดภัยทางไซเบอร์ให้มีความต่อเนื่องและยั่งยืน
ขอบเขตของงาน
- จัดทําแผนการบริหารโครงการ (Project Management Plan) และแผนการดําเนินการโครงการ (Implementation Plan) อย่างละเอียด
- จัดตั้งและดําเนินการศูนย์ปฏิบัติการการรักษาความมั่นคงปลอดภัยทางไซเบอร์จากภายนอก (External Cybersecurity Operation Center)
- ให้บริการบริหารความเสี่ยงระบบสารสนเทศของหน่วยงานจากเครือข่ายภายนอก (Attack Surface Management)
- ให้บริการตรวจจับการโจมตีและตอบสนองภัยคุกคาม (Extended Detection and Response: XDR)
- ให้บริการป้องกันไวรัส (Antivirus) ทั้งในระดับเครื่องปลายทางและเครือข่าย
- ให้บริการข่าวกรองภัยคุกคามทางไซเบอร์ (Threat Intelligence) ที่ทันสมัยและแม่นยำ
- ให้บริการตรวจสอบและรายงานช่องโหว่ของระบบปฏิบัติการและแอปพลิเคชัน (Vulnerability Assessment Tool)
- ให้บริการบํารุงรักษาเชิงป้องกัน (Preventive Maintenance) สำหรับระบบข่าวกรองภัยคุกคาม (Threat Intelligence) และระบบตรวจสอบช่องโหว่
- จัดทำรายงานการประเมินความเสี่ยงทางไซเบอร์รายไตรมาส
- จัดอบรมและพัฒนาทักษะด้านไซเบอร์ซีเคียวริตี้ให้กับบุคลากรในสํานักงานคณะกรรมการการศึกษาขั้นพื้นฐาน
- จัดทำเอกสารนโยบาย คู่มือการปฏิบัติงาน และมาตรฐานความปลอดภัยไซเบอร์ที่สอดคล้องกับกฎหมายและข้อกำหนดของสกมช.
- ติดตามและประเมินผลการดำเนินงานอย่างต่อเนื่อง พร้อมรายงานผลต่อคณะกรรมการตรวจรับพัสดุ
สิ่งที่ต้องส่งมอบ
- แผนการบริหารโครงการ (Project Management Plan)
- แผนการดําเนินการโครงการ (Implementation Plan)
- ศูนย์ปฏิบัติการการรักษาความมั่นคงปลอดภัยทางไซเบอร์จากภายนอก (External Cybersecurity Operation Center)
- ระบบบริหารความเสี่ยงระบบสารสนเทศ (Attack Surface Management)
- ระบบตรวจจับและตอบสนองภัยคุกคาม (XDR) พร้อมรายงานผลการดำเนินงาน
- ระบบป้องกันไวรัส (Antivirus) ที่ติดตั้งและใช้งานได้จริง
- ระบบข่าวกรองภัยคุกคามทางไซเบอร์ (Threat Intelligence) พร้อมรายงานการวิเคราะห์
- รายงานการตรวจสอบช่องโหว่ของระบบปฏิบัติการและแอปพลิเคชัน (Vulnerability Assessment Report)
- ระบบบํารุงรักษาเชิงป้องกัน (Preventive Maintenance) สำหรับระบบข่าวกรองภัยคุกคามและระบบตรวจสอบช่องโหว่
- รายงานการประเมินความเสี่ยงทางไซเบอร์รายไตรมาส
- คู่มือการปฏิบัติงานด้านความมั่นคงปลอดภัยไซเบอร์
- หลักสูตรการอบรมด้านไซเบอร์ซีเคียวริตี้สำหรับบุคลากรในสํานักงานคณะกรรมการการศึกษาขั้นพื้นฐาน
- รายงานสรุปผลการดำเนินงานประจำปี
ระยะเวลาดำเนินการ
- ระยะเวลาดำเนินการ: 3 ปี (พ.ศ. 2569 – 2571)
- ระยะเวลาก่อสร้าง/ติดตั้งระบบ: 6 เดือน (เดือนที่ 1 – 6 ของปีงบประมาณ 2569)
- ระยะเวลาระบบดำเนินการ: 2 ปี 6 เดือน (เดือนที่ 7 – 36 ของปีงบประมาณ 2569 – 2571)
- ระยะเวลารายงานผล: ทุก 3 เดือน (ไตรมาสที่ 1, 2, 3, 4)
- ระยะเวลารายงานสรุปผล: ปีละ 1 ครั้ง (สิ้นปีงบประมาณ 2569, 2570, 2571)
คุณสมบัติผู้เสนอราคา
- ต้องเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยหรือต่างประเทศ ที่มีความเชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้
- ต้องมีผลงานด้านการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ในหน่วยงานรัฐหรือเอกชนที่สํานักงานคณะกรรมการการศึกษาขั้นพื้นฐานเชื่อถือ อย่างน้อย 9.5 ล้านบาท
- ต้องมีทุนจดทะเบียนหรือมูลค่าสุทธิของกิจการไม่น้อยกว่า 3 ล้านบาท หรือมีวงเงินสินเชื่อจากธนาคารภายในประเทศหรือต่างประเทศ 1 ใน 4 ของมูลค่าโครงการ
- ต้องมีทีมงานที่มีประสบการณ์ด้านการบริหารจัดการความปลอดภัยไซเบอร์ในหน่วยงานภาครัฐ อย่างน้อย 5 ปี
- ต้องมีผู้เชี่ยวชาญด้านการวิเคราะห์ภัยคุกคาม (Threat Analyst), ผู้เชี่ยวชาญด้านการตรวจสอบช่องโหว่ (Vulnerability Assessor), และผู้เชี่ยวชาญด้านการตอบสนองต่อเหตุการณ์ (Incident Responder)
- ต้องมีระบบบริหารจัดการความปลอดภัยไซเบอร์ที่ได้รับการรับรองตามมาตรฐาน ISO/IEC 27001 หรือมาตรฐานสากลอื่นที่เทียบเท่า
- ต้องมีระบบการจัดการความปลอดภัยของข้อมูล (Data Security Management System) ที่มีประสิทธิภาพ
- ต้องมีระบบการจัดการความเสี่ยง (Risk Management System) ที่สามารถติดตามและรายงานผลได้
- ต้องมีระบบการฝึกอบรมและพัฒนาทักษะด้านไซเบอร์ซีเคียวริตี้ให้กับบุคลากรภายในองค์กร
- ต้องมีผู้บริหารระดับสูงที่มีประสบการณ์ด้านไซเบอร์ซีเคียวริตี้ในหน่วยงานภาครัฐหรือองค์กรที่มีชื่อเสียง
เกณฑ์การพิจารณา
- คุณสมบัติของผู้เสนอราคา (20 คะแนน)
- ผลงานที่เกี่ยวข้อง (30 คะแนน)
- ประสบการณ์ด้านไซเบอร์ซีเคียวริตี้ (25 คะแนน)
- คุณภาพของแผนการดำเนินงาน (15 คะแนน)
- ความคุ้มค่าและประสิทธิภาพของระบบ (10 คะแนน)
- ความสอดคล้องกับมาตรฐานสากล (10 คะแนน)
- ความพร้อมในการจัดตั้งศูนย์ปฏิบัติการไซเบอร์ (10 คะแนน)
ข้อกำหนดทางเทคนิค
- ระบบบริหารจัดการความเสี่ยงทางไซเบอร์ (Cyber Risk Management System) ต้องสามารถตรวจจับและวิเคราะห์ภัยคุกคามจากภายนอกได้แบบเรียลไทม์
- ระบบตรวจจับและตอบสนองภัยคุกคาม (XDR) ต้องรองรับการตรวจจับภัยคุกคามขั้นสูง (APT) และสามารถตอบสนองได้โดยอัตโนมัติ
- ระบบข่าวกรองภัยคุกคาม (Threat Intelligence) ต้องเชื่อมต่อกับแหล่งข้อมูลภัยคุกคามระดับโลก เช่น MITRE ATT&CK, VirusTotal, และ ThreatConnect
- ระบบตรวจสอบช่องโหว่ (Vulnerability Assessment) ต้องใช้เครื่องมือที่ทันสมัย เช่น Nessus, OpenVAS, หรือ Qualys
- ระบบป้องกันไวรัส (Antivirus) ต้องใช้เทคโนโลยี AI และ Machine Learning ในการตรวจจับมัลแวร์ที่พัฒนาขึ้นใหม่
- ศูนย์ปฏิบัติการไซเบอร์ (Cybersecurity Operation Center) ต้องมีระบบการสื่อสารที่ปลอดภัย พร้อมอุปกรณ์และซอฟต์แวร์ที่ทันสมัย
- ระบบการจัดการเหตุการณ์ (Incident Response System) ต้องมีการบันทึกเหตุการณ์ทั้งหมด และสามารถรายงานผลได้ภายใน 24 ชั่วโมง
- ระบบการฝึกอบรมต้องมีหลักสูตรที่ได้รับการรับรองจากหน่วยงานที่เกี่ยวข้อง เช่น สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)
เงื่อนไขสัญญา
- รูปแบบสัญญา: สัญญาจ้างเหมาบริการ (Service Contract)
- ระยะเวลาสัญญา: 3 ปี (พ.ศ. 2569 – 2571)
- งบประมาณรวม: 9,500,000 บาท (เก้าล้านห้าแสนบาทถ้วน)
- รูปแบบการชำระเงิน: แบ่งชำระเป็น 4 งวด ตามผลการดำเนินงาน
- งวดที่ 1: 25% เมื่อส่งมอบแผนการดำเนินงานและเริ่มต้นโครงการ
- งวดที่ 2: 35% เมื่อติดตั้งระบบและทดสอบระบบเสร็จสมบูรณ์
- งวดที่ 3: 30% เมื่อระบบดำเนินงานได้ 6 เดือน และมีรายงานผลการดำเนินงาน
- งวดที่ 4: 10% เมื่อสิ้นสุดสัญญาและส่งมอบรายงานสรุปผล
- บทลงโทษ: กรณีไม่ปฏิบัติตามสัญญา หรือส่งมอบงานล่าช้าเกิน 30 วัน อาจถูกลงโทษตามกฎหมาย หรือปรับเงินตามสัดส่วน
- ความรับผิดชอบต่อความเสียหาย: ผู้รับจ้างต้องรับผิดชอบต่อความเสียหายที่เกิดขึ้นจากการละเลยหรือการกระทำผิดของตน
- ข้อกำหนดการรักษาความลับ: ผู้รับจ้างต้องรักษาความลับของข้อมูลทั้งหมดที่เกี่ยวข้องกับโครงการ
คำถามที่พบบ่อย (FAQ)
-
โครงการนี้ต้องการผู้รับจ้างที่มีประสบการณ์ด้านใดบ้าง?
ต้องการผู้รับจ้างที่มีประสบการณ์ด้านการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ในหน่วยงานรัฐหรือองค์กรที่มีชื่อเสียง อย่างน้อย 5 ปี และมีผลงานที่เกี่ยวข้องไม่น้อยกว่า 9.5 ล้านบาท -
ผู้รับจ้างต้องมีทุนจดทะเบียนหรือมูลค่าสุทธิเท่าใด?
ต้องมีทุนจดทะเบียนหรือมูลค่าสุทธิของกิจการไม่น้อยกว่า 3 ล้านบาท หรือมีวงเงินสินเชื่อจากธนาคารภายในประเทศหรือต่างประเทศ 1 ใน 4 ของมูลค่าโครงการ -
ต้องมีการจัดตั้งศูนย์ปฏิบัติการไซเบอร์จากภายนอกหรือไม่?
ใช่ ต้องจัดตั้งศูนย์ปฏิบัติการการรักษาความมั่นคงปลอดภัยทางไซเบอร์จากภายนอก (External Cybersecurity Operation Center) ที่มีผู้เชี่ยวชาญควบคุมและดูแลตลอด 24 ชั่วโมง -
ระบบตรวจจับภัยคุกคาม (XDR) ต้องมีคุณสมบัติอย่างไร?
ต้องสามารถตรวจจับภัยคุกคามขั้นสูง (APT) ได้แบบเรียลไทม์ และสามารถตอบสนองได้โดยอัตโนมัติ พร้อมเชื่อมต่อกับแหล่งข้อมูลภัยคุกคามระดับโลก -
ผู้รับจ้างต้องมีการฝึกอบรมบุคลากรหรือไม่?
ใช่ ต้องจัดทำหลักสูตรการอบรมด้านไซเบอร์ซีเคียวริตี้ให้กับบุคลากรในสํานักงานคณะกรรมการการศึกษาขั้นพื้นฐาน อย่างน้อยปีละ 2 ครั้ง -
ระบบข่าวกรองภัยคุกคาม (Threat Intelligence) ต้องมีแหล่งข้อมูลใดบ้าง?
ต้องเชื่อมต่อกับแหล่งข้อมูลภัยคุกคามระดับโลก เช่น MITRE ATT&CK, VirusTotal, และ ThreatConnect -
ต้องมีการรายงานผลการดำเนินงานอย่างไร?
ต้องรายงานผลการดำเนินงานทุก 3 เดือน (รายไตรมาส) และส่งรายงานสรุปผลการดำเนินงานประจำปี -
ผู้รับจ้างต้องมีระบบการจัดการเหตุการณ์ (Incident Response) หรือไม่?
ใช่ ต้องมีระบบการจัดการเหตุการณ์ที่สามารถบันทึกเหตุการณ์ทั้งหมด และรายงานผลได้ภายใน 24 ชั่วโมง -
ผู้รับจ้างต้องมีการรับรองมาตรฐานใดบ้าง?
ต้องมีระบบการจัดการความปลอดภัยไซเบอร์ที่ได้รับการรับรองตามมาตรฐาน ISO/IEC 27001 หรือมาตรฐานสากลอื่นที่เทียบเท่า
เอกสารขอบเขตงาน (TOR) ฉบับเต็ม
(ร่าง) ขอบเขตของงาน (Terms of Reference: TOR)
จ้างเหมาบริการยกระดับศักยภาพของระบบความมั่นคงปลอดภัยทางไซเบอร์อย่างยั่งยืน สําหรับสํานักงานคณะกรรมการการศึกษาขั้นพื้นฐาน
- หลักการและเหตุผล
จากแผนแม่บทภายใต้ยุทธศาสตร์ชาติ (พ.ศ. 2566 - 2580) ฉบับปรับปรุง ในประเด็นเรื่องความมั่นคง ซึ่งมีเป้าหมายแผนแม่บทย่อย เรื่องปัญหาความมั่นคงที่มีอยู่ในปัจจุบัน (เช่น ปัญหายาเสพติด ความมั่นคงทาง ไซเบอร์ การค้ามนุษย์ ฯลฯ) และมีตัวชี้วัด เรื่องดัชนีความปลอดภัยจากภัยคุกคาม อันสอดคล้องกันกับมาตรา 44 แห่งพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 สําหรับหน่วยงานภาครัฐและหน่วยงาน โครงสร้างพื้นฐานสําคัญทางสารสนเทศ พ.ศ. 2564 ประกอบด้วย (1) แผนการตรวจสอบและประเมินความเสี่ยงด้าน การรักษาความมั่นคงปลอดภัยไซเบอร์ โดยผู้ตรวจประเมิน ผู้ตรวจสอบภายใน หรือผู้ตรวจสอบอิสระจากภายนอก และ (2) แผนการรับมือภัยคุกคามทางไซเบอร์ รวมทั้งการรับมือภัยคุกคามทางไซเบอร์ โดยมุ่งเน้นการตรวจสอบ ควบคุมความปลอดภัยของข้อมูล ป้องกัน เฝ้าระวังและการตอบสนอง พร้อมทั้งการแก้ไขปัญหาที่เกิดจากภัยคุกคาม ทางไซเบอร์ รวมถึงการบริหารจัดการนโยบายและมาตรฐานความมั่นคงปลอดภัยทางไซเบอร์ ตั้งแต่ปีงบประมาณ พ.ศ. 2566 – 2568 สํานักงานคณะกรรมการการศึกษาขั้นพื้นฐาน ได้มีการดําเนินการให้สอดคล้องกับพระราชบัญญัติ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 โดยมีการศึกษา วิเคราะห์ ออกแบบ จัดทําสถาปัตยกรรมและ ดําเนินงานให้สอดคล้องกับมาตรฐานสากล ในการเฝ้าระวัง บริหารจัดการ ติดตาม และวิเคราะห์ผลที่ได้จาก ระบบด้านความมั่งคงปลอดภัยทางไซเบอร์ เพื่อยกระดับศักยภาพความมั่นคงปลอดภัยไซเบอร์ (Security Maturity Uplift) ของสํานักงานคณะกรรมการการศึกษาขั้นพื้นฐาน
โดยปีงบประมาณ พ.ศ. 2568 สํานักงานคณะกรรมการการศึกษาขั้นพื้นฐาน ได้มีการดําเนินการ ออกแบบสถาปัตยกรรมความปลอดภัยทางไซเบอร์ของสํานักงานคณะกรรมการการศึกษาขั้นพื้นฐาน (Enterprise Security Architecture Blueprint) ให้มีความปลอดภัยอย่างยั่งยืน สามารถป้องกันภัยคุกคาม ทางไซเบอร์แบบเชิงรุกและสามารถป้องกันก่อนที่จะเกิดเหตุภัยคุกคามได้ มีการตรวจสอบภัยคุกคาม ผ่านบริการข่าวกรองภัยคุกคามทางไซเบอร์ (Threat Intelligence) มีบริการตรวจจับและป้องกันภัยคุกคาม ทางไซเบอร์ (Extended Detection and Response of Cyber Security) สามารถป้องกันการโจมตี เครื่องคอมพิวเตอร์แม่ข่ายที่มีข้อมูลสําคัญ และมีการจัดเตรียมผู้เชี่ยวชาญในการเฝ้าระวัง บริหารจัดการ ติดตาม และวิเคราะห์ผล รวมถึงการจัดตั้งศูนย์ปฏิบัติการการรักษาความมั่นคงปลอดภัยทางไซเบอร์จาก ภายนอก (External Cybersecurity Operation Center) ในการตรวจสอบการถูกบุกรุก (Compromise Assessment) การตอบสนอง และการกําจัดภัยคุกคามทางไซเบอร์ (Incident Response)
ดังนั้น ในปีงบประมาณ พ.ศ. 2569 สํานักงานคณะกรรมการการศึกษาขั้นพื้นฐาน จึงมีความจําเป็น
ต้องดําเนินการเกี่ยวกับความมั่นคงปลอดภัยทางไซเบอร์อย่างต่อเนื่องและเพิ่มเติมให้สอดคล้องกับ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ในการปรับปรุงและพัฒนานโยบาย มาตรฐาน และกระบวนการให้สอดคล้องกับหลักการทางไซเบอร์ในปัจจุบัน ในส่วนต่าง ๆ ทั้งในด้านการตรวจสอบ มาตรฐานความปลอดภัยทางสารสนเทศขององค์กรในเชิงรุก ด้านการระบุและตรวจจับโดยใช้เทคโนโลยี
ที่ทันสมัยด้านการฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์เพื่อลดโอกาสการ
หลอกลวงทางไซเบอร์ (Social Engineering)
Quiz
FFP
.8..
.3..
.4..
.6…
JENN
.10..
Dow 11.
2
และมีผู้เชี่ยวชาญที่มีความรู้และประสบการณ์ ในการตอบสนองต่อภัยคุกคาม และการมีศูนย์ปฏิบัติการการ รักษาความมั่นคงปลอดภัยทางไซเบอร์จากภายนอก (External Cybersecurity Operation Center) ทําให้การบริหารจัดการความเสี่ยงทางไซเบอร์มีประสิทธิภาพ
2. วัตถุประสงค์
2.1
เพื่อจัดทําและทบทวนมาตรฐาน นโยบาย และกระบวนการในการบริหารจัดการความมั่นคง
ปลอดภัยทางไซเบอร์
ให้มีความสอดคล้องกับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์
พ.ศ. 2562 และตามข้อกําหนดของสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
(สกมช.)
2.2 เพื่อให้มีผู้เชี่ยวชาญให้คําแนะนํา และแก้ไขปัญหาด้านการบริหารจัดการนโยบายและมาตรฐาน
ความมั่นคงปลอดภัยทางไซเบอร์
2.3 เพื่อเพิ่มประสิทธิภาพและความต่อเนื่องในการตรวจจับความเสี่ยงของระบบสารสนเทศ จากภัยคุกคามทางไซเบอร์ที่มาจากภายนอก (Attack Surface Management)
2.4 เพื่อตรวจสอบและยกระดับมาตรฐานความปลอดภัยทางข้อมูลสารสนเทศของสํานักงาน คณะกรรมการการศึกษาขั้นพื้นฐานในเชิงรุก (Proactive Security Assessment)
2.5 เพื่อเพิ่มประสิทธิภาพในการตรวจจับและป้องกันภัยคุกคามทางไซเบอร์ (Extended Detection and Response of Cyber Security) และการตรวจจับภัยคุกคามขั้นสูง (Advance Persistence Threat) กับระบบ คอมพิวเตอร์แม่ข่ายที่ติดตั้งภายในศูนย์ข้อมูล (Data Center) ของสํานักงานคณะกรรมการการศึกษาขั้นพื้นฐาน
2.6 เพื่อตรวจสอบภัยคุกคามผ่านบริการข่าวกรองภัยคุกคามทางไซเบอร์ (Threat Intelligence) ที่เข้ามาโจมตีระบบเทคโนโลยีดิจิทัลและสารสนเทศของสํานักงานคณะกรรมการการศึกษาขั้นพื้นฐาน
2.7 เพื่อเฝ้าระวัง บริหารจัดการ ติดตาม และวิเคราะห์ผลที่ได้จากบริการความมั่งคงปลอดภัย ทางไซเบอร์ ให้สามารถดําเนินการได้อย่างมีประสิทธิภาพ
2.8 เพื่อจัดตั้งศูนย์ปฏิบัติการการรักษาความมั่นคงปลอดภัยทางไซเบอร์จากภายนอก (External Cybersecurity Operation Center) ซึ่งมีผู้เชี่ยวชาญควบคุมและดูแล
2.9 เพื่อปรับปรุงแก้ไขเอกสารนโยบาย มาตรฐาน และกระบวนการที่เกี่ยวข้อง ให้เป็นปัจจุบันและ สอดคล้องกับพระราชบัญญัติฯ
2.10 เพื่อพัฒนาบุคลากรส่วนกลางที่รับผิดชอบงานด้านเทคโนโลยีสารสนเทศและการสื่อสาร ให้มีความรู้และทักษะเกี่ยวกับการบริหารจัดการความมั่นคงปลอดภัยทางไซเบอร์ให้มีความต่อเนื่องและยั่งยืน
3. คุณสมบัติผู้เสนอราคา
3.1 มีความสามารถตามกฎหมาย 3.2 ไม่เป็นบุคคลล้มละลาย
3.3 ไม่อยู่ระหว่างเลิกกิจการ
3.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังกําหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
1..
.2..
441
7……
.8..
2
3.
STAUN
.4..
.10.
بھکر
.5.
.6……
11.
3
3.5 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงาน และได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงาน ของหน่วยงานของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงาน เป็นหุ้นส่วน ผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอํานาจในการดําเนินงานในกิจการของนิติบุคคลนั้นด้วย 3.6 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการ
บริหารพัสดุภาครัฐกําหนดในราชกิจจานุเบกษา
3.7 เป็นนิติบุคคลผู้มีอาชีพรับจ้างงานที่ประกวดราคาด้วยวิธีการทางอิเล็กทรอนิกส์ดังกล่าว 3.8 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้เสนอราคาอื่นที่เข้ายื่นข้อเสนอให้แก่สํานักงานคณะกรรมการ การศึกษาขั้นพื้นฐาน ณ วันประกาศประกวดราคาอิเล็กทรอนิกส์ การแข่งขันราคาอย่างเป็นธรรมในการประกวดราคาอิเล็กทรอนิกส์ครั้งนี้
หรือไม่เป็นผู้กระทําการอันเป็นการขัดขวาง
3.9 ไม่เป็นผู้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้เสนอ ราคาได้มีคําสั่งให้สละเอกสิทธิ์ความคุ้มกันเช่นว่านั้น
3.10 ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติดังนี้
3.10.1 การกําหนดสัดส่วนการเข้าร่วมค้าของคู่สัญญา
กรณีที่ข้อตกลงฯ กําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงฯ จะต้องมีการกําหนดสัดส่วนหน้าที่ และความรับผิดชอบในปริมาณงาน สิ่งของ หรือมูลค่าตามสัญญา ของผู้เข้าร่วมค้าหลักมากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
3.10.2 กรณีที่ข้อตกลงฯ กําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก กิจการร่วม
ค้านั้นต้องใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอ
สําหรับข้อตกลงฯ ที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก ทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่กําหนดไว้ในเอกสารเชิญชวน
3.10.3 การยื่นข้อเสนอของกิจการร่วมค้า
ผู้เข้าร่วมค้า
3.10.3.1 กรณีที่ข้อตกลงฯ กําหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่ง
เป็นผู้ยื่นข้อเสนอในนามกิจการร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอํานาจ
สําหรับข้อตกลงฯ ที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอ
ผู้เข้าร่วมค้าทุกรายจะต้องลงลายมือชื่อในหนังสือมอบอํานาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอ
ในนามกิจการร่วมค้า
3.10.3.2 การยื่นข้อเสนอด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ (e - bidding) ให้ผู้เข้าร่วมค้า ที่ได้รับมอบหมายหรือมอบอํานาจตามข้อ 3.10.3.1 ดําเนินการซื้อเอกสารประกวดราคาอิเล็กทรอนิกส์ กรณีที่มีการจําหน่ายเอกสารซื้อหรือจ้าง
3.11 ผู้ยื่นข้อเสนอต้องลงทะเบียนที่มีข้อมูลถูกต้องครบถ้วน ในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (Electronic Government Procurement: e-GP) ของกรมบัญชีกลาง
3.12 ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ ดังนี้
3.12.1 กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งตามกฎหมายไทยหรือต่างประเทศซึ่งได้ จดทะเบียนเกินกว่า 1 ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิ ปรากฏในงบแสดงฐานะการเงินที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก 1 ปีสุดท้ายก่อนวันที่ ยื่นข้อเสนองบแสดงฐานะการเงิน 1 ปีสุดท้ายก่อนวันยื่นข้อเสนอ หมายถึง งบแสดงฐานะการเงินย้อนไปก่อน วันที่หน่วยงานของรัฐกําหนดให้เป็นวันยื่นข้อเสนอ 1 ปีปฏิทิน เว้นแต่กรณีนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย
1.
7…..
»
440
2.
0-
4.
.3…
.5…..
..6…………
.8..
9 5
.10..
.11….
4
หากวันยื่นข้อเสนอเป็นช่วงระยะเวลาที่กรมพัฒนาธุรกิจการค้ากําหนดให้นิติบุคคลยื่นงบแสดงฐานะการเงินกับ กรมพัฒนาธุรกิจการค้า ซึ่งจะอยู่ในช่วงเดือนมกราคม – เดือนพฤษภาคม ของทุกปี โดยนิติบุคคล ที่เป็นผู้ยื่นข้อเสนอนั้นยังอยู่ในช่วงของการยื่นงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า คือ ช่วงเดือน มกราคม – เดือนพฤษภาคม กรณีนี้ให้สามารถยื่นงบแสดงฐานะการเงินย้อนหลังไปอีก 1 ปี ได้
3.12.2 กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย ซึ่งยังไม่มีการรายงาน งบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า หรือกรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมาย ต่างประเทศซึ่งยังไม่มีการรายงานงบแสดงฐานะการเงิน ให้พิจารณาการกําหนดมูลค่าของทุนจดทะเบียน โดยผู้ยื่นข้อเสนอจะต้องมีทุนจดทะเบียนที่เรียกชําระมูลค่าหุ้นแล้ว ณ วันที่ยื่นข้อเสนอไม่ต่ํากว่า 3 ล้านบาท
3.12.3 กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียน หรือมีแต่ไม่เพียง พอที่จะเข้ายื่นข้อเสนอ สามารถดําเนินการได้ดังนี้
3.12.3.1 กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย ผู้ยื่นข้อเสนอ สามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ 1 ใน 4 ของมูลค่างบประมาณของโครงการหรือรายการที่ยื่น ข้อเสนอในแต่ละครั้ง จะเป็นสินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุน หรือบริษัทเงินทุนหลักทรัพย์
ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้าประกันตามประกาศ ของธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทย แจ้งเวียนให้ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สํานักงานใหญ่รับรอง หรือที่สํานักงานสาขารับรอง (กรณีได้รับมอบอํานาจจากสํานักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวันยื่นข้อเสนอไม่เกิน 90 วัน
3.12.3.2 กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศ ผู้ยื่น ข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ 1 ใน 4 ของมูลค่างบประมาณของโครงการหรือ รายการที่ยื่นข้อเสนอในแต่ละครั้ง จะเป็นสินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุน หรือบริษัทเงินทุน หลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้ําประกันตามประกาศ ของธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทยแจ้งเวียนให้ทราบ หรือเป็น สินเชื่อที่ธนาคารต่างประเทศ หรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการ
พาณิชย์และประกอบธุรกิจค้ําประกันตามประกาศของธนาคารกลางต่างประเทศนั้น ตามรายชื่อบริษัท
ที่ธนาคารกลางต่างประเทศนั้นแจ้งเวียนให้ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สํานักงาน ใหญ่รับรอง หรือที่สํานักงานสาขารับรอง (กรณีได้รับมอบอํานาจจากสํานักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่น ข้อเสนอ นับถึงวันยื่นข้อเสนอไม่เกิน 90 วัน
3.12.4 กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศที่มิได้ถือสัญชาติไทย ตามข้อ 3.12.2 และข้อ 3.12.3.2 มูลค่าจะต้องเป็นไปตามอัตราแลกเปลี่ยนเงินตราตามประกาศที่ธนาคาร แห่งประเทศไทยกําหนด ในช่วงระหว่างวันที่เผยแพร่ประกาศและเอกสารเชิญชวนในระบบจัดซื้อจัดจ้าง ภาครัฐด้วยอิเล็กทรอนิกส์ (e - GP) หรือมีหนังสือเชิญชวน จนถึงวันเสนอราคา
ทั้งนี้ ผู้ยื่นข้อเสนอจะต้องยื่นเอกสารที่แสดงให้เห็นถึงข้อมูลเกี่ยวกับมูลค่าสุทธิของกิจการ
แล้วแต่กรณี ประกอบกับเอกสารดังกล่าวจะต้องผ่านการรับรองตามระเบียบกระทรวงการต่างประเทศว่าด้วย การรับรองเอกสาร พ.ศ. 2539 และที่แก้ไขเพิ่มเติม กําหนด โดยจะต้องยื่นเอกสารดังกล่าวในวันยื่นข้อเสนอ หากผู้ยื่นข้อเสนอมิได้มีการยื่นเอกสารดังกล่าวมาพร้อมกับการยื่นข้อเสนอให้ถือว่าผู้ยื่นข้อเสนอรายนั้น
ยื่นเอกสารไม่ครบถ้วนตามเงื่อนไขที่กําหนดไว้ในเอกสารประกวดราคา
1…
7…..
Quiz
+*
2.
3.
4
بھیکہ
.5.
.8.
9
.10..
J
11..
.6………….
5
3.12.5 กรณีตามข้อ 3.12.1 - ข้อ 3. 12.4 ไม่ใช้บังคับกับกรณีดังต่อไปนี้ 3.12.5.1 กรณีผู้ยื่นข้อเสนอเป็นหน่วยงานของรัฐภายในประเทศ
3.12.5.2 นิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยที่อยู่ระหว่างการฟื้นฟูกิจการตาม
พระราชบัญญัติ ล้มละลาย พ.ศ. 2483 และที่แก้ไขเพิ่มเติม
3.13 ผู้ยื่นข้อเสนอต้องมีผลงานประเภทเดียวกันในการจัดหาครั้งนี้ โดยเป็นผลงานที่แล้วเสร็จในสัญญา เดียว มีมูลค่าของผลงานไม่น้อยกว่า 9,500,000 บาท (เก้าล้านห้าแสนบาทถ้วน) และเป็นผลงานที่เป็นคู่สัญญา โดยตรงกับหน่วยงานของรัฐหรือหน่วยงานเอกชนที่สํานักงานคณะกรรมการการศึกษาขั้นพื้นฐานเชื่อถือ
ม
โดยให้ยื่นเอกสารหนังสือรับรองผลงานและสําเนาสัญญาขณะเข้าเสนอราคา ทั้งนี้ คณะกรรมการพิจารณาผล
ขอสงวนสิทธิ์ในการที่จะดําเนินการตรวจสอบเอกสารหนังสือรับรองผลงานและสําเนาสัญญาไปยังหน่วยงาน
ที่ออกเอกสาร
AXK
4. ขอบเขตการดําเนินงาน
ผู้รับจ้างต้องดําเนินการให้ครอบคลุมตามขอบเขตการดําเนินงาน โดยมีรายละเอียด อย่างน้อยดังนี้ 4.1 การจัดทําแผนการบริหารโครงการ แผนการดําเนินการโครงการ และประชุมเริ่มโครงการ (Kick - off Meeting) อย่างน้อยดังนี้
4.1.1 จัดทําแผนการบริหารโครงการและแผนการดําเนินการโครงการ โดยกําหนดระยะเวลา
ในการดําเนินการแต่ละกิจกรรมอย่างชัดเจน เพื่อให้คณะกรรมการตรวจรับพัสดุ พิจารณาอนุมัติก่อนเริ่ม
ดําเนินการ ประกอบด้วย
รายละเอียดดังนี้
4.1.1.1 แผนการบริหารโครงการ (Project Management Plan)
4.1.1.2 แผนการดําเนินการโครงการ (Implementation Plan) ประกอบด้วย
- บริการบริหารความเสี่ยงระบบสารสนเทศของหน่วยงานจากเครือข่าย
ภายนอก (Attack Surface Management) - บริการตรวจจับการโจมตีและตอบสนองภัยคุกคาม (Extended
Detection and Response: XDR) - บริการป้องกันไวรัส (Antivirus)
- บริการข่าวกรองภัยคุกคามทางไซเบอร์ (Threat Intelligence) 5) การบํารุงรักษาเชิงป้องกัน (Preventive Maintenance) บริการข่าวกรอง
ภัยคุกคามทางไซเบอร์ (Threat Intelligence) - บริการตรวจสอบและรายงานช่องโหว่ของระบบปฏิบัติการและแอปพลิเคชัน
(Vulnerability Assessment Tool) - การบํารุงรักษาเชิงป้องกัน (Preventive Maintenance) บริการตรวจสอบ และรายงานช่องโหว่ของระบบปฏิบัติการและแอปพลิเคชัน (Vulnerability
Assessment Tool)
1.0
7…
.2.
.8…
Q
.3…
لله
พ
4.
بھیک
5.
.6……….
.10..
11.