ประกวดราคาซื้อระบบป้องกันการโจมตีเว็บแอปพลิเคชัน (Web Application Firewall WAF) จำนวน 1 ระบบ
โรงพยาบาลบ้านแพ้ว (องค์การมหาชน) มีความประสงค์จะจัดซื้อระบบป้องกันการโจมตีเว็บแอปพลิเคชัน (Web Application Firewall: WAF) จำนวน 1 ระบบ เพื่อป้องกันความเสี่ยงจากการถูกโจมตีทางไซเบอร์ต่อระบบบริการออนไลน์ เช่น ระบบดูผลตรวจสุขภาพออนไลน์ และการเชื่อมต่อ API กับหน่วยงานภาครัฐ ซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคลจำนวนมาก วัตถุประสงค์หลักคือเพื่อป้องกันการรั่วไหลของข้อมูลผู้ป่วยตามมาตรฐาน PDPA และป้องกันการเจาะระบบที่มุ่งเป้าไปยังช่องโหว่ของเว็บไซต์ (เช่น SQL Injection, XSS) เพื่อให้ระบบบริการดิจิทัลทำงานได้อย่างต่อเนื่อง
ขอบเขตของงานประกอบด้วยการจัดหาและติดตั้งระบบ IMPERVA Cloud WAF ที่รองรับการใช้งาน 3 เว็บไซต์ โดยมีระยะเวลาการให้บริการดูแลระบบ (Managed Service) นาน 24 เดือน ผู้ขายจะต้องดำเนินการกำหนดนโยบายความปลอดภัย ปรับแต่งระบบเพื่อลดอัตราการปิดกั้นที่ผิดพลาด (False Positive) และจัดให้มีระบบ Dashboard แสดงผลแบบ Real-time รวมถึงการตรวจสุขภาพเว็บไซต์ (Website Health Check) เพื่อประเมินความเสี่ยง นอกจากนี้ยังรวมถึงการบริการให้คำปรึกษาโดยวิศวกรผู้เชี่ยวชาญและการแจ้งเตือนภัยคุกคามระดับวิกฤตทันทีที่ตรวจพบ การพิจารณาคัดเลือกจะใช้เกณฑ์ราคา โดยมีราคากลางอยู่ที่ 800,000 บาท
English summary
Ban Phaeo Hospital (Public Organization) is seeking to procure one Web Application Firewall (WAF) system to enhance the security of its online services, including online health result portals and government API connections. The project aims to comply with the Personal Data Protection Act (PDPA) and prevent cyberattacks such as SQL Injection, Cross-Site Scripting (XSS), and DDoS attacks that could lead to data breaches or system downtime.
The scope of work includes providing and installing IMPERVA Cloud WAF licenses for 3 websites, with a 24-month managed service period. The contractor is responsible for security policy configuration, continuous fine-tuning to minimize false positives, and providing a real-time security dashboard. Additionally, the project includes website health check assessments, expert technical consultation during business hours, and 24/7 critical threat monitoring and alerting. The project has a budget of 800,000 THB, and the selection will be based on the Price Criteria. Delivery is required within 30 days of contract signing.
โรงพยาบาลบ้านแพ้ว (องค์การมหาชน)
ข้อมูลเชิงลึกของโครงการ
AI วิเคราะห์เป้าหมายโครงการ
- เพื่อจัดหาระบบป้องกันการโจมตีเว็บแอปพลิเคชัน (Web Application Firewall WAF) จำนวน 1 ระบบ
- เพื่อยกระดับความปลอดภัยของฐานข้อมูลผู้ป่วยให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)
- เพื่อป้องกันการเจาะระบบและการโจมตีที่มุ่งเป้าไปที่ช่องโหว่ของเว็บไซต์และแอปพลิเคชันของโรงพยาบาล
- เพื่อให้ระบบบริการดิจิทัลของโรงพยาบาลสามารถใช้งานได้อย่างต่อเนื่องและมีประสิทธิภาพ
ขอบเขตของงาน
- บริหารจัดการระบบป้องกันการโจมตีเว็บแอปพลิเคชันบนระบบคลาวด์ (Managed Cloud WAF) รองรับ 3 เว็บไซต์
- จัดหาและติดตั้งระบบ IMPERVA Cloud WAF พร้อมสิทธิ์การใช้งาน (License)
- กำหนดนโยบายความปลอดภัย (Security Policy) เพื่อป้องกัน SQL Injection, Cross-Site Scripting (XSS), Remote File Inclusion และ DDoS Attack
- ปรับแต่งนโยบายความปลอดภัยและวิเคราะห์เหตุการณ์ False Positive อย่างต่อเนื่องตลอดอายุสัญญา
- จัดเตรียมระบบ WAF Protection Real-time Dashboard สำหรับรายงานสถานการณ์โจมตี
- ดำเนินการตรวจสุขภาพเว็บไซต์ (Website Health Check Dashboard) ทั้งก่อนและหลังติดตั้ง เพื่อประเมินความเสี่ยงเชิงโครงสร้าง
- ให้บริการคำปรึกษาด้านความมั่นคงปลอดภัยโดยวิศวกรผู้เชี่ยวชาญในวันและเวลาทำการ (09:00 - 18:00 น.)
- ให้บริการเฝ้าระวังและแจ้งเตือนภัยคุกคามเฉพาะเจาะจง (Targeted Attack Alert) ตลอด 24 ชั่วโมง
สิ่งที่ต้องส่งมอบ
- ระบบป้องกันการโจมตีเว็บแอปพลิเคชัน (WAF) ที่ติดตั้งและพร้อมใช้งานสำหรับ 3 เว็บไซต์
- สิทธิ์การใช้งาน (License) ระบบ IMPERVA Cloud WAF ระยะเวลา 24 เดือน
- ระบบ Dashboard แสดงผลความปลอดภัยแบบ Real-time
- ระบบ Dashboard สำหรับติดตามผลการตรวจสุขภาพเว็บไซต์ (Website Health Check)
- เอกสารรายงานผลการประเมินความเสี่ยงและสรุปรายการช่องโหว่พร้อมแนวทางแก้ไข
- รายงานสรุปการให้บริการและการเฝ้าระวังตามระยะเวลาที่กำหนดในสัญญา
ระยะเวลาดำเนินการ
- กำหนดส่งมอบพัสดุและติดตั้งระบบให้แล้วเสร็จ: ภายใน 30 วัน นับถัดจากวันลงนามในสัญญา
- ระยะเวลาการให้บริการดูแลระบบและบำรุงรักษา: 24 เดือน
คุณสมบัติผู้เสนอราคา
- Eligibility Requirements: เป็นนิติบุคคลผู้มีอาชีพขายพัสดุที่ประกวดราคาดังกล่าว และต้องลงทะเบียนในระบบ e-GP ของกรมบัญชีกลาง
- Standards Compliance: การปรับปรุงแก้ไขช่องโหว่ต้องเป็นไปตามแนวทางปฏิบัติตามมาตรฐานสากล (Best Practices)
- Experience: ไม่ระบุจำนวนปีขั้นต่ำ แต่ต้องเป็นผู้มีอาชีพขายพัสดุตามที่ประกวดราคา
- Previous Project Cost: ไม่ระบุ
- Technical Capabilities: ต้องสามารถจัดหาและติดตั้งระบบ IMPERVA Cloud WAF และมีทีมวิศวกรผู้เชี่ยวชาญสำหรับให้คำปรึกษา
- Personnel: ต้องมีทีมงานวิศวกรผู้เชี่ยวชาญคอยตรวจสอบภัยคุกคามและให้คำปรึกษาด้านเทคนิค
- Financial Requirements:
- กรณีจดทะเบียนเกิน 1 ปี: ต้องมีมูลค่าสุทธิของกิจการ (สินทรัพย์สุทธิ - หนี้สินสุทธิ) เป็นบวก ในปีสุดท้ายก่อนยื่นข้อเสนอ
- กรณีบุคคลธรรมดา: ต้องมีเงินฝากคงเหลือในบัญชีไม่น้อยกว่า 1 ใน 4 ของงบประมาณโครงการ (200,000 บาท)
- กรณีมูลค่าสุทธิไม่เพียงพอ: สามารถใช้หนังสือรับรองวงเงินสินเชื่อไม่น้อยกว่า 1 ใน 4 ของงบประมาณโครงการ (200,000 บาท)
เกณฑ์การพิจารณา
- พิจารณาคัดเลือกข้อเสนอโดยใช้เกณฑ์ราคา (Price Criteria)
ข้อกำหนดทางเทคนิค
- ระบบต้องเป็น Cloud-based WAF (IMPERVA)
- รองรับการป้องกันภัยคุกคามตามมาตรฐาน OWASP Top 10 เช่น SQL Injection และ XSS
- มีระบบป้องกันการโจมตีประเภท DDoS Attack
- รองรับการบริหารจัดการเว็บไซต์จำนวน 3 เว็บไซต์
- มีระบบ Real-time Dashboard สำหรับดูสถานะความปลอดภัย
- มีฟีเจอร์ Website Health Check เพื่อประเมินช่องโหว่ของเว็บไซต์
- บริการ Managed Service โดยทีมงานผู้เชี่ยวชาญตลอด 24 ชั่วโมง ตลอดระยะเวลา 24 เดือน
เงื่อนไขสัญญา
- การจ่ายเงิน: จ่ายงวดเดียวเมื่อผู้ขายส่งมอบสิ่งของครบถ้วนตามสัญญาและคณะกรรมการตรวจรับเรียบร้อยแล้ว
- อัตราค่าปรับ: กรณีส่งมอบล่าช้า จะปรับในอัตราร้อยละ 0.20 ของราคาสิ่งของที่ยังไม่ได้รับมอบต่อวัน
- ภาษี: ราคานี้รวมภาษีมูลค่าเพิ่มและค่าใช้จ่ายทั้งปวงแล้ว
คำถามที่พบบ่อย (FAQ)
- Q: ระบบ WAF ที่จัดซื้อรองรับการใช้งานกับกี่เว็บไซต์?
A: รองรับการใช้งานทั้งหมด 3 เว็บไซต์- Q: ระยะเวลาการให้บริการ Managed Service และ License คือเท่าใด?
A: ระยะเวลาการให้บริการรวม 24 เดือน - Q: ระบบที่กำหนดใน TOR คือยี่ห้ออะไร?
A: กำหนดเป็นระบบ IMPERVA Cloud WAF - Q: การป้องกันครอบคลุมภัยคุกคามประเภทใดบ้าง?
A: ครอบคลุม SQL Injection, Cross-Site Scripting (XSS), Remote File Inclusion และ DDoS Attack - Q: มีบริการให้คำปรึกษาในช่วงเวลาใดบ้าง?
A: ให้บริการคำปรึกษาในวันและเวลาทำการ ระหว่าง 09:00 - 18:00 น. - Q: หากเกิดการโจมตีรุนแรง (Targeted Attack) จะมีการแจ้งเตือนอย่างไร?
A: มีระบบแจ้งเตือนเหตุการณ์ระดับวิกฤตทันที (Real-time Alert) เมื่อตรวจพบการโจมตีที่มุ่งเป้าหมาย - Q: ผู้ขายต้องทำรายงานประเมินความเสี่ยงหรือไม่?
A: ต้องจัดทำและส่งมอบเอกสารรายงานผลการประเมินความเสี่ยง (Website Health Check) พร้อมแนวทางแก้ไข - Q: การติดตั้งระบบต้องเสร็จสิ้นภายในกี่วัน?
A: ต้องติดตั้งและส่งมอบให้แล้วเสร็จภายใน 30 วัน นับถัดจากวันลงนามในสัญญา - Q: มีระบบ Dashboard ให้ผู้ว่าจ้างดูเองหรือไม่?
A: มีระบบ Web Application Security Dashboard แสดงผลแบบ Real-time ให้ใช้งาน - Q: หากผู้ว่าจ้างไม่สามารถให้สิทธิ์เข้าถึงเพื่อตรวจสุขภาพเว็บไซต์ได้ จะถือว่าผู้ขายผิดสัญญาหรือไม่?
A: ไม่ถือว่าผิดสัญญา ให้ถือว่าบริษัทผู้ขายได้ปฏิบัติตามขอบเขตงานในส่วนนั้นแล้ว
- Q: ระยะเวลาการให้บริการ Managed Service และ License คือเท่าใด?
เอกสารขอบเขตงาน (TOR) ฉบับเต็ม
๑.
ร่างรายละเอียดขอบเขตของงานทั้งโครงการ (Terms of Reference : TOR) โครงการจัดซื้อระบบป้องกันการโจมตีเว็บแอปพลิเคชัน (Web Application Firewall WAF)
ความเป็นมา
จํานวน ๑ ระบบ
เนื่องด้วยปัจจุบันโรงพยาบาลบ้านแพ้ว (องค์การมหาชน) มีการให้บริการผ่านระบบเครือข่ายอินเทอร์เน็ต ได้แก่ ระบบดูผลตรวจสุขภาพออนไลน์ การเชื่อมต่อ API ระบบต่างๆ ของหน่วยงานภาครัฐ ที่เกี่ยวข้องกับข้อมูล ส่วนบุคคลของผู้รับบริการ ซึ่งระบบเหล่านี้มีความเสี่ยงต่อการถูกโจมตีทางไซเบอร์ ที่อาจทําให้ข้อมูลผู้ป่วยรั่วไหล หรือระบบหยุดชะงักได้ เพื่อเป็นการยกระดับความปลอดภัยของฐานข้อมูลผู้ป่วย ตามพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล (PDPA), ป้องกันการเจาะระบบและการโจมตีที่มุ่งเป้าไปที่ช่องโหว่ของเว็บไซต์ แอปพลิเคชันของ โรงพยาบาล และระบบบริการดิจิทัลของโรงพยาบาลให้สามารถใช้งานได้อย่างต่อเนื่อง
๒. วัตถุประสงค์
๓.
๒.๑ เพื่อจัดหาระบบป้องกันการโจมตีเว็บแอปพลิเคชัน (Web Application Firewall WAF)
จํานวน ๑ ระบบ
๒.๒ เพื่อให้การปฏิบัติงานเป็นไปอย่างมีประสิทธิภาพ
คุณสมบัติของผู้ยื่นข้อเสนอ
๓.๑ มีความสามารถตามกฎหมาย ๓.๒ ไม่เป็นบุคคลล้มละลาย
๓.๓
ไม่อยู่ระหว่างเลิกกิจการ
๓.๔ ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐไว้ชั่วคราวตามที่
ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
๓.๕ ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงาน
ของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วนผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอํานาจในการดําเนินงานในกิจการของนิติบุคคลนั้นด้วย
๓.๖ มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหาร
พัสดุภาครัฐกําหนดในราชกิจจานุเบกษา
๓.๗ เป็นนิติบุคคล ผู้มีอาชีพขายพัสดุที่ประกวดราคาอิเล็กทรอนิกส์ดังกล่าว
๓.๔ ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่ โรงพยาบาลบ้านแพ้ว (องค์การมหาชน) ณ วันประกาศประกวดราคาอิเล็กทรอนิกส์หรือไม่เป็นผู้กระทําการอันเป็นการขัดขวางการ แข่งขันราคาอย่างเป็นธรรม ในการเสนอราคาครั้งนี้
๓.๔ ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้ยื่น ข้อเสนอได้มีคําสั่งสละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
๓.๑๐
ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติดังนี้
กิจการร่วมค้าที่ยื่นข้อเสนอ ผู้เข้าร่วมค้าทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่กําหนดไว้ ในเอกสารเชิญชวน เว้นแต่ในกรณีกิจการร่วมค้าที่มีข้อตกลงระหว่างผู้เข้าร่วมค้ากําหนดให้ผู้เข้าร่วมค้ารายใด รายหนึ่งเป็นผู้เข้าร่วมค้าหลัก กิจการร่วมค้านั้นสามารถใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นก่อสร้าง ของกิจการร่วมค้าที่ยื่นข้อเสนอ
คณะกรรมการกําหนดรายละเอียดคุณลักษณะและกําหนดราคากลาง
ลงชื่อ นางสาวเบญจวรรณ ทองคํา
ลงชื่อ นายอดิพงษ์ ม่วงเสม
ลงชื่อ นางสาวรัตนาภรณ์ นิ่มธานี
ประธานกรรมการ
Iman
กรรมการ …..//
กรรมการ
๒
กรณีมีข้อตกลงระหว่างผู้เข้าร่วมค้ากําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงดังกล่าวจะต้องมีการกําหนดสัดส่วนหน้าที่ และความรับผิดชอบในปริมาณงาน สิ่งของ หรือมูลค่าตาม สัญญา มากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
ผู้ยื่นข้อเสนอต้องลงทะเบียนที่มีข้อมูลถูกต้องครบถ้วนในระบบจัดซื้อจัดจ้างภาครัฐด้วย
อิเล็กทรอนิกส์ (Electronic Government Procurement : e-GP) ของกรมบัญชีกลาง
๓.๑๒ ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ ดังนี้
(๑) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยซึ่งได้จดทะเบียนเกินกว่า ๑ ปี ต้อง จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิที่ปรากฏในงบแสดงฐานะการเงินที่
มีมูลค่าสุทธิของกิจการ
มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก ๑ ปีสุดท้ายก่อนวันยื่นข้อเสนอ
(๒) สําหรับการจัดซื้อจัดจ้างครั้งหนึ่งที่มีวงเงินเกิน ๕๐๐,๐๐๐ บาทขึ้นไป กรณีผู้ยื่นข้อเสนอเป็น บุคคลธรรมดา โดยพิจารณาจากหนังสือรับรองบัญชีเงินฝากไม่เกิน ๙๐ วัน ก่อนวันยื่นข้อเสนอ โดยต้องมีเงิน ฝากคงเหลือในบัญชีธนาคารเป็นมูลค่า ๑ ใน ๔ ของมูลค่างบประมาณของโครงการหรือรายการที่ยื่นข้อเสนอ
ในแต่ละครั้ง และหากเป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ได้รับการคัดเลือกจะต้องแสดงหนังสือรับรองบัญชี
เงินฝากที่มีมูลค่าดังกล่าวอีกครั้งหนึ่งในวันลงนามในสัญญา
(๓) กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียนหรือมีแต่ไม่เพียงพอที่จะเข้ายื่น ข้อเสนอ ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ ๑ ใน ๔ ของมูลค่างบประมาณของ โครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง (สินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุนหรือบริษัท เงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้าประกันตาม
ประกาศของธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทยแจ้งเวียนให้ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สํานักงานใหญ่รับรอง หรือที่สํานักงานสาขารับรอง (กรณีได้รับ มอบอํานาจจากสํานักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวันยื่นข้อเสนอไม่เกิน ๙๐ วัน)
(๔) กรณีตาม (๑) - (๓) ยกเว้นสําหรับกรณีดังต่อไปนี้
(๔.๑) กรณีที่ผู้ยื่นข้อเสนอเป็นหน่วยงานของรัฐ
(๔.๒) นิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยที่อยู่ระหว่างการฟื้นฟูกิจการตามพระราชบัญญัติ
ล้มละลาย (ฉบับที่ ๑๐) พ.ศ. ๒๕๖๑
๔. รายละเอียดคุณลักษณะเฉพาะ
รายละเอียดตามเอกสารแนบ (หน้า ๔-๕)
๕. กําหนดเวลาส่งมอบพัสดุ
๓๐ วัน นับถัดจากวันลงนามในสัญญา
5. หลักเกณฑ์ในการพิจารณาคัดเลือกข้อเสนอ
การพิจารณาคัดเลือกข้อเสนอโดยใช้เกณฑ์ราคา
๗. วงเงินงบประมาณ
๘๐๐,๐๐๐.๐๐ บาท (แปดแสนบาทถ้วน) จากเงินรายได้ของโรงพยาบาลบ้านแพ้ว (องค์การมหาชน)
คณะกรรมการกําหนดรายละเอียดคุณลักษณะและกําหนดราคากลาง
ลงชื่อ นางสาวเบญจวรรณ ทองคํา
ลงชื่อ นายอดิพงษ์ ม่วงเสม
ลงชื่อ นางสาวรัตนาภรณ์ นิ่มธานี
ประธานกรรมการ
1
กรรมการ
กรรมการ
son consal
4. งวดงานและการจ่ายเงิน
โรงพยาบาลบ้านแพ้ว (องค์การมหาชน) จะจ่ายค่าสิ่งของซึ่งได้รวมภาษีมูลค่าเพิ่ม ตลอดจน ภาษีอากรอื่น ๆ และค่าใช้จ่ายทั้งปวงแล้วให้แก่ผู้ยื่นข้อเสนอที่ได้รับการคัดเลือกให้เป็นผู้ขาย เมื่อผู้ขาย ได้ส่งมอบสิ่งของได้ครบถ้วนตามสัญญาซื้อขายหรือข้อตกลงเป็นหนังสือ และโรงพยาบาลบ้านแพ้ว (องค์การมหาชน) ได้ตรวจรับมอบสิ่งของไว้เรียบร้อยแล้ว
๔. อัตราค่าปรับ
ในกรณีที่ผู้เสนอราคาไม่สามารถดําเนินงานได้ตามเงื่อนไขที่กําหนดไว้ในเอกสารนี้ ผู้เสนอราคาจะต้องเสีย
ค่าปรับในอัตราร้อยละ ๐.๒๐ ของราคาค่าสิ่งของที่ยังไม่ได้รับมอบต่อวัน
คณะกรรมการกําหนดรายละเอียดคุณลักษณะและกําหนดราคากลาง
ลงชื่อ นางสาวเบญจวรรณ ทองคํา ลงชื่อ นายอดิพงษ์ ม่วงเสม ลงชื่อ นางสาวรัตนาภรณ์ นิ่มธานี
ประธานกรรมการ
IVNOW กรรมการ ……
กรรมการ
จากก
๔
รายละเอียดคุณลักษณะเฉพาะ
ระบบป้องกันการโจมตีเว็บแอปพลิเคชัน (Web Application Firewall WAF) จํานวน ๑ ระบบ
๑. ขอบเขตการดําเนินการ
๑.๑ การบริหารจัดการระบบป้องกันการโจมตีเว็บแอปพลิเคชันบนระบบคลาวด์
จํานวนเว็บไซต์ที่รองรับ ๓ เว็บไซต์
ระยะเวลาการให้บริการ ๒๔ เดือน
๑.๒ การบริการให้คําปรึกษาด้านระบบและความมั่นคงปลอดภัย
- ให้บริการคําปรึกษาในวันและเวลาทําการ ระหว่าง ๐๙:๐๐ - ๑๘:๐๐ น.
๒. บริการบริหารจัดการระบบป้องกันการโจมตีเว็บแอปพลิเคชันบนระบบคลาวด์ (Managed Cloud WAF)
ผู้ขายต้องยกระดับความปลอดภัยเว็บไซต์ด้วยบริการ Web Application Firewall (WAF) แบบ Managed Service โดยมีทีมงานคอยตรวจสอบและคัดกรองภัยคุกคามตลอด ๒๔ ชั่วโมง
๒.๑ บริษัทผู้ขายต้องทําการจัดหาและติดตั้งระบบป้องกัน (IMPERVA Cloud WAF)
Cloud WAF
๒.๑.๑ ดําเนินการจัดเตรียมสิทธิ์การใช้งาน (License) และนําเว็บไซต์เข้าสู่ระบบ Imperva ตามมาตรฐานและขั้นตอนทางเทคนิคที่เหมาะสม
๒.๑.๒ กําหนดนโยบายความปลอดภัยและระเบียบการคัดกรองพื้นฐานเพื่อป้องกันภัยคุกคาม ทางไซเบอร์ที่สําคัญ ได้แก่ SQL Injection, Cross-Site Scripting (XSS), Remote File Inclusion และ DDoS
Attack
๒.๑.๓ บริการปรับแต่งนโยบายความปลอดภัยและวิเคราะห์เหตุการณ์การปิดกั้นที่ผิดพลาด (False Positive) อย่างต่อเนื่องตลอดอายุสัญญา เพื่อให้ระบบทํางานสอดคล้องกับแอปพลิเคชันอย่างมี
ประสิทธิภาพ
๒.๒ มีระบบเฝ้าระวังและแสดงผล (WAF Protection Real-time Dashboard)
๒.๒.๑ จัดเตรียมระบบแสดงผลข้อมูลความมั่นคงปลอดภัย (Web Application Security Dashboard) เพื่อรายงานสถานการณ์โจมตีและภาพรวมความปลอดภัยของระบบในรูปแบบเรียลไทม์
๒.๓ บริษัทผู้ขายต้องมีระบบประเมินความเสี่ยง (Website Health Check Dashboard)
๒.๓.๑ บริษัทผู้ขายต้องดําเนินการจัดเตรียมระบบแสดงผล (Dashboard) สําหรับติดตามผล การตรวจสุขภาพเว็บไซต์ เพื่อใช้ประเมินความเสี่ยงเชิงโครงสร้างทั้งในระยะก่อนและหลังการติดตั้งระบบ WAF ๒.๓.๒ บริษัทผู้ขายต้องจัดทําและส่งมอบเอกสารรายงานผลการประเมินความเสี่ยง เพื่อสรุป รายการช่องโหว่ที่ตรวจพบ พร้อมให้คําแนะนําในการปรับปรุงแก้ไขตามแนวทางปฏิบัติตามมาตรฐานสากล
(Best Practices)
ทั้งนี้ หากผู้ว่าจ้างไม่ประสงค์ให้ดําเนินการประเมินความเสี่ยง หรือไม่สามารถให้ข้อมูล สิทธิ์ การเข้าถึง หรือความร่วมมือใดๆ ที่จําเป็นสําหรับการประเมินได้ ให้ถือว่าบริษัทผู้ขายได้ปฏิบัติตามขอบเขตการ ให้บริการในส่วนนี้แล้ว
๒.๔ บริษัทผู้ขายต้องมีระบบสนับสนุนและแจ้งปัญหา (Support)
๒.๔.๑ ให้บริการให้คําปรึกษาด้านความมั่นคงปลอดภัยของเว็บแอปพลิเคชันและแนะนําแนว
ทางแก้ไขปัญหาเชิงเทคนิค โดยทีมวิศวกรผู้เชี่ยวชาญตลอดระยะเวลาการให้บริการ
คณะกรรมการกําหนดรายละเอียดคุณลักษณะและกําหนดราคากลาง
ลงชื่อ นางสาวเบญจวรรณ ทองคํา
ลงชื่อ นายอดิพงษ์ ม่วงเสม
ลงชื่อ นางสาวรัตนาภรณ์ นิ่มธานี
ประธานกรรมการ
กรรมการ
2
กรรมการ
๕
๒.๕ บริษัทผู้ขายต้องมีระบบแจ้งเตือนภัยคุกคามเฉพาะเจาะจง (Web Targeted Attack Alert) ๒.๕.๑ ให้บริการแจ้งเตือนเหตุการณ์ระดับวิกฤตทันทีเมื่อมีการตรวจพบการโจมตีที่มุ่ง เป้าหมาย (Targeted Attack) หรือการโจมตีแบบ DDoS ที่รุนแรงจนส่งผลกระทบต่อความพร้อมใช้งานของ
ระบบ
คณะกรรมการกําหนดรายละเอียดคุณลักษณะและกําหนดราคากลาง
ลงชื่อ นางสาวเบญจวรรณ ทองคํา ลงชื่อ นายอดิพงษ์ ม่วงเสม ลงชื่อ นางสาวรัตนาภรณ์ นิ่มธานี
ประธานกรรมการ
กรรมการ
กรรมการ
ม ทา