ชื่อโครงกา:ซื้ออระบบเฝ้าระวัง และบริหารจัดการภัยคุกคามทางไซเบอร์
สถานที่ : ETDA
ผู้ว่าจ้าง : ETDA
วันที่เริ่มโครงการ : 16 ธ.ค. 63
วันสิ้นสุดโครงการ : 26 ธ.ค. 64
วัตถุประสงค์
เพื่อจัดซื้อพร้อมติดตั้งระบบเฝ้าระวัง และบริหารจัดการภัยคุกคามทางไซเบอร์ สำหรับให้บริการหน่วยงานภาครัฐ จำนวน ๒๕๐ หน่วยงาน
ขอบเขตการดำเนินงาน
รายละเอียดคุณลักษณะเฉพาะ
๔.๑. ผู้เสนอราคาจะต้องจัดทำแผนงานโครงการโดยละเอียด (Project Plan) ที่เกี่ยวกับการติดตั้ง ตลอดจน
กิจกรรมอื่น ๆ ที่เกี่ยวข้องกับการดำเนินงานตลอดทั้งโครงการ โดยต้องผ่านความเห็นชอบจาก สพธอ.
ประกอบด้วยเนื้อหาอย่างน้อย ดังนี้
๔.๑.๑. รายละเอียดโครงการ (Project Charter)
๔.๑.๒. วิธีการบริหารโครงการ (Project Methodology)
๔.๑.๓. ขอบเขตการดำเนินงาน (Project Scope of Work)
๔.๑.๔. กำหนดการดำเนินงาน (Project Schedule)
๔.๑.๕. โครงสร้างบุคลากรในโครงการ (Project Organization and Resource)
๔.๑.๖. การบริหารความเสี่ยงในโครงการ (Project Risk Management)
๔.๒. ระบบตรวจจับและวิเคราะห์การโจมตีบนเครือข่าย (Log analysis) (“ระบบตรวจจับและวิเคราะห์ ฯ”)
สำหรับติดตั้งที่หน่วยงานตามที่ สพธอ. กำหนด จำนวนไม่น้อยกว่า ๒๕๐ ระบบ โดยมีคุณสมบัติดังนี้
๔.๒.๑. ต้องจัดเก็บข้อมูล Log จากแหล่งที่มาดังนี้ได้เป็นอย่างน้อย
• อุปกรณ์ด้านความมั่นคงปลอดภัย ได้แก่ Firewall, VPN, IDS, IPS, WAF, DDoS
Protection
• บริการสารสนเทศ ได้แก่ E-Mail, DNS, Website รวมถึงโปรแกรมประยุกต์ที่พัฒนาขึ้น
โดยเฉพาะ
QMS-FM-OGA-14-V02-แบบฟอร์ม TOR ซื้อ
๓ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.)
• ระบบปฏิบัติการ ได้แก่ Unix/Linux, Windows
• ระบบจากข้อ ๔.๔
๔.๒.๒. ต้องรองรับข้อมูล Log ไม่น้อยกว่า ๕๕๐ EPS และรองรับข้อมูล Log สูงสุดไม่น้อยกว่า ๗๕๐
EPS สำหรับอย่างน้อย ๓๐ หน่วยงาน เพื่อนำมาจัดเก็บข้อมูลในระบบตามข้อ ๔.๓
๔.๒.๓. ต้องจัดเก็บข้อมูล Log ได้ไม่จำกัดจำนวนอุปกรณ์
๔.๒.๔. ต้องจัดเก็บข้อมูล Log จากอุปกรณ์ที่ สพธอ. โดยมีพื้นที่จัดเก็บข้อมูลอย่างน้อย ๑๐๐ GB
ต่อวัน ประกอบไปด้วยอุปกรณ์ด้านความมั่นคงปลอดภัย ได้แก่ WAF, DDoS Protection ได้
เป็นอย่างน้อย
๔.๒.๕. ผู้เสนอราคาต้องรับผิดชอบค่าใช้จ่ายทั้งหมด กรณีที่ต้องมีการติดตั้งอุปกรณ์หรือซอฟต์แวร์
อื่นเพิ่มเติม
๔.๓. ผู้เสนอราคาจะต้องมีระบบตรวจจับและวิเคราะห์การโจมตีบนเครือข่าย (Log analysis) (“ระบบ
ตรวจจับและวิเคราะห์ ฯ”) ในส่วนกลาง โดยมีคุณลักษณะดังนี้
๔.๓.๑. ต้องมีระบบที่ประมวลผล ซึ่งมีการติดตั้ง และทำงานในลักษณะที่เป็น Redundant อย่างน้อย
๒ ระบบ (แยกศูนย์ข้อมูล และแยกผู้ให้บริการอินเทอร์เน็ต) ได้แก่ ระบบหลัก และระบบ
สำรอง โดยมีฟังก์ชันการทำงานที่เทียบเท่ากัน และทำงานทดแทนกันได้ตลอดเวลา
๔.๓.๒. ผู้เสนอราคาต้องรับผิดชอบค่าใช้จ่ายทั้งหมด กรณีที่ต้องมีการติดตั้งอุปกรณ์หรือซอฟต์แวร์อื่น
เพิ่มเติม
๔.๓.๓. ต้องจัดเก็บ วิเคราะห์และตรวจจับภัยคุกคาม จากข้อมูล Log ที่ได้รับตามข้อ ๔.๒ ตามหัวข้อ
๓.๒ Architecture ในเอกสาร NIST SP800-92 โครงสร้าง Log Management
ซึ่งประกอบด้วย ๔ ส่วนดังนี้
• General ความสามารถทั่วไป ประกอบด้วย Log parsing, Event filtering, และ Event
aggregation
• Storage ความสามารถจัดเก็บข้อมูล ประกอบด้วย Log rotation, Log archival, Log
compression, Log reduction, Log conversion, Log normalization และ Log file
integrity checking
• Analysis ความสามารถวิเคราะห์ข้อมูล ประกอบด้วย Event correlation, Log
viewing และ Log reporting
• Disposal ความสามารถลบหรือทำลายข้อมูล ประกอบด้วย Log clearing
๔.๓.๔. ต้องรองรับข้อมูลที่ต้องนำมาประมวลผลข้อมูลเพื่อวิเคราะห์ภัยคุกคามย้อนหลังได้ไม่น้อยกว่า
๙๐ วัน และรองรับการจัดเก็บ Raw Log ย้อนหลังได้ไม่น้อยกว่า ๓๖๕ วัน ทั้งระบบหลักและ
ระบบสำรอง
๔.๓.๕. ต้องมีการจัดส่งข้อมูล Log มายังอุปกรณ์ส่วนกลางที่ สพธอ. โดยจัดส่งในลักษณะ Near
Real-Time หรือไม่เกิน ๕ นาทีนับตั้งแต่ที่ได้รับข้อมูลจากหน่วยงาน ผ่านช่องทาง API ของ
เจ้าของผลิตภัณฑ์ที่เสนอ หรือ Syslog
QMS-FM-OGA-14-V02-แบบฟอร์ม TOR ซื้อ
๔ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.)
๔.๓.๖. ต้องจัดเก็บข้อมูล Log ที่ได้รับจากข้อ ๔.๒ จำนวนไม่น้อยกว่า ๒๕๐ ระบบ โดยไม่จำกัด
จำนวนอุปกรณ์ที่จัดส่ง Log
๔.๓.๗. ต้องแจ้งเตือนภัยคุกคาม หรือเหตุการณ์ต้องสงสัยที่พบไปยังระบบภายนอกที่ สพธอ. กำหนด
ผ่านช่องทางดังนี้ได้เป็นอย่างน้อย
• Email
• Syslog
• API ของเจ้าของผลิตภัณฑ์ที่เสนอ
๔.๓.๘. ต้องสามารถประมวลผลและวิเคราะห์ข้อมูล Log ในลักษณะแยกเป็นรายหน่วยงาน และรวม
หลายหน่วยงานหรือทุกหน่วยงานพร้อม ๆ กันได้
๔.๓.๙. ต้องมีบัญชีผู้ใช้งานสำหรับเข้าใช้งานระบบตรวจจับและวิเคราะห์ ฯ สำหรับเจ้าหน้าที่ สพธอ.
สำหรับกำหนดเงื่อนไขในการตรวจจับเหตุการณ์ภัยคุกคาม และวิเคราะห์ภัยคุกคามได้
๔.๓.๑๐. ต้องตรวจจับภัยคุกคามอย่างน้อย ๓๐ รูปแบบของเหตุการณ์ภัยคุกคาม (Scenario) โดย
เงื่อนไขในการกำหนดเหตุการณ์ภัยคุกคามต้องผ่านความเห็นชอบจาก สพธอ. และแสดงผล
การวิเคราะห์ในรูปแบบหน้าจอ Dashboard เพื่อแสดงผลการตรวจจับภัยคุกคามในรูปแบบ
ตารางและกราฟ แบบเลือกช่วงเวลาและมีกลไกสำหรับ Auto Refresh ตามลักษณะของภัย
คุกคาม หรือเหตุการณ์ต้องสงสัย
๔.๓.๑๑. ต้องมีบัญชีผู้ใช้งานสำหรับเจ้าหน้าที่ของหน่วยงานภาครัฐไม่น้อยกว่า ๒๕๐ บัญชี เพื่อเข้าใช้
งานระบบตรวจจับและวิเคราะห์ ฯ หรือระบบที่มีการพัฒนาขึ้นมาเฉพาะ สำหรับแสดงผลการ
วิเคราะห์ข้อมูลแยกรายหน่วยงานในรูปแบบ Dashboard ตามข้อ ๔.๓.๑๐
๔.๓.๑๒. ต้อง Export ข้อมูลตามข้อ ๔.๓.๑๐ ได้ในรูปแบบ CSV และรูปแบบ Plain Text โดยสามารถ
ตั้งค่าระบุช่วงเวลา ( Schedule) ในการ Export เพื่อส่งต่อไปยัง บริการ อื่น
ได้อย่างน้อยผ่านโพรโทคอล SFTP, Syslog และ HTTP ซึ่งประกอบด้วยข้อมูลดังนี้เป็นอย่าง
น้อย
• Agency Name
• Source IP Address
• Source Port
• Destination IP Address
• Destination Port
• Protocol
• Incident Type
• URL
๔.๓.๑๓. ต้องทำ Data Enrichment กับข้อมูล Log โดยอย่างน้อยต้องสามารถแสดงข้อมูลเกี่ยวกับ
แหล่งที่มาของข้อมูล และประเภทของภัยคุกคามที่พบ
QMS-FM-OGA-14-V02-แบบฟอร์ม TOR ซื้อ
๕ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.)
๔.๓.๑๔. ต้องบริหารจัดการภัยคุกคามที่ตรวจพบด้วยกระบวนการที่สอดคล้องตามข้อกำหนด
เรื่อง Detection and Analysis ตามหัวข้อ ๓.๒ Architecture ในเอกสาร NIST SP800-61
แบ่งออกเป็น ๗ หัวข้อ ได้แก่
• Attack Vectors สามารถจัดกลุ่มหรือแยกแยะประเภทของการโจมตีของแต่ละภัย
คุกคาม
• Signs of an Incident สามารถตรวจจับพฤติกรรมที่เป็นภัยคุกคาม
• Sources of Precursors and Indicator สามารถรับข้อมูลจากแหล่งข้อมูลหรือ
เครื่องมือที่ใช้ตรวจจับหาสัญญาณของการเกิดภัยคุกคาม เช่น Log หรือ Alert จาก
Security Device ต่าง ๆ
• Incident Analysis สามารถตรวจสอบและวิเคราะห์เพื่อยืนยันว่าข้อมูลที่พบเป็น
ภัยคุกคาม เช่น การคัดกรองภัยคุกคามที่เป็น False positive หรือ การลบภัยคุกคาม ที่
ไม่ใช่ Security Incident ออกไป ฯลฯ
• Incident Documentation สามารถบันทึกข้อมูลของภัยคุกคาม และข้อมูลอื่น ๆ
ที่เกี่ยวข้อง เช่น สถานะของภัยคุกคาม รายละเอียดของภัยคุกคาม สิ่งที่ได้ดำเนินการไป
แล้ว การประเมินผลกระทบ ข้อมูลการติดต่อผู้เกี่ยวข้อง การดำเนินการในขั้นถัดไป ฯลฯ
• Incident Prioritization สามารถจัดลำดับความสำคัญของภัยคุกคาม
• Incident Notification สามารถแจ้งเตือนไปยังผู้เกี่ยวข้องเมื่อตรวจพบภัยคุกคาม
๔.๓.๑๕. ต้องตั้งค่านาฬิกาของทุกอุปกรณ์ที่เกี่ยวข้องกับบริการให้เทียบเคียงเวลามาตรฐาน ผ่านระบบ
อินเทอร์เน็ตโดยใช้โปรโตคอล Network Time Protocol (NTP)
๔.๓.๑๖. ต้องสร้าง Timestamp ของข้อมูล Log จากข้อมูลเวลาที่ระบบตรวจจับและวิเคราะห์ ฯ
ได้รับจริง
๔.๓.๑๗. ต้องใช้งานได้อย่างต่อเนื่อง (๙๙.๙๐% Availability) และในกรณีที่บริการเกิดปัญหาหรือ
หยุดชะงัก ต้องมีการแจ้งเตือนและมีแนวทางในการแก้ไขปัญหาไปยังเจ้าหน้าที่ของ สพธอ.
ภายใน ๓๐ นาที พร้อมทั้งเมื่อดำเนินแก้ไขปัญหาแล้วเสร็จ ให้แจ้งผลให้ทาง สพธอ. รับทราบ
ภายใน ๑ ชั่วโมง
๔.๓.๑๘. ต้องมีระยะเวลาในการใช้งานอย่างน้อยถึงวันสิ้นสุดของสัญญา
๔.๔. ผู้เสนอราคาจะต้องมีระบบตรวจจับภัยคุกคามและการโจมตีบนเครื่องลูกข่ายในลักษณะ Incident
response สำหรับติดตั้งที่หน่วยงานตามที่ สพธอ. กำหนด จำนวน ๑๐,๐๐๐ เครื่อง โดยมีคุณลักษณะ
ดังนี้
๔.๔.๑. ต้องมีระบบบริหารจัดการส่วนกลาง โดยผู้เสนอราคาต้องรับผิดชอบค่าใช้จ่ายทั้งหมด กรณีที่
ต้องมีการติดตั้งอุปกรณ์ โดยมีคุณลักษณะดังนี้
• บริหารจัดการเครื่องลูกข่ายได้ไม่น้อยกว่า ๑๐,๐๐๐ เครื่อง
• บริหารจัดการผ่าน Web based ด้วยโพรโทคอล HTTPS
๔.๔.๒. ต้องใช้งานร่วมกับเครื่องลูกข่ายที่มีระบบปฏิบัติการดังนี้เป็นอย่างน้อย
QMS-FM-OGA-14-V02-แบบฟอร์ม TOR ซื้อ
๖ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.)
• Windows ๗
• Windows ๘ หรือ Windows ๘.๑
• Windows ๑๐
• Windows Server ๒๐๐๘
• Windows Server ๒๐๑๒
• Windows Server ๒๐๑๖
• Windows Server ๒๐๑๙
๔.๔.๓. ต้องมีกลไกในการตรวจจับภัยคุกคาม ดังนี้เป็นอย่างน้อย
• การตรวจจับรูปแบบผิดปกติที่สอดคล้องกับภัยคุกคามที่เป็นที่รู้จัก หรือสิ่งบ่งชี้ภัยคุกคาม
(Indicator of Compromise : IOC) เทียบกับฐานข้อมูลภัยคุกคามของเจ้าของผลิตภัณฑ์
หรือตามที่ สพธอ. กำหนดเป็นเงื่อนไข ได้ดังนี้เป็นอย่างน้อย
o Hash ของ File
o IP Address
o Domain
o File Name
o Process Name
o Registry Name
• การตรวจจับรูปแบบการโจมตีด้วยการวิเคราะห์พฤติกรรมหรือเหตุการณ์ที่เกิดขึ้นบน
เครื่องลูกข่ายที่ผิดปกติ ได้ดังนี้เป็นอย่างน้อย
o พฤติกรรมการทำงานของ Process บนเครื่องลูกข่ายที่ผิดปกติ
o พฤติกรรมการทำงานกับ File บนเครื่องลูกข่ายที่ผิดปกติ
o พฤติกรรมการทำงานกับ Registry บนเครื่องลูกข่ายที่ผิดปกติ
o พฤติกรรมการติดต่อสื่อสารผ่านระบบเครือข่ายบนเครื่องลูกข่ายที่ผิดปกติ
๔.๔.๔. ต้องมีกลไกในการตอบสนองต่อภัยคุกคาม จากระบบบริหารจัดการส่วนกลาง ดังนี้เป็นอย่าง
น้อย
• การแจ้งเตือน (Alert) เมื่อตรวจสอบพบพฤติกรรมของเครื่องลูกข่ายในลักษณะที่
เกี่ยวข้องกับภัยคุกคามได้แบบอัตโนมัติ ที่แสดงผลบนระบบบริหารจัดการส่วนกลาง โดย
ข้อมูลในการแจ้งเตือนประกอบไปด้วยข้อมูลดังนี้เป็นอย่างน้อย
o ชื่อหน่วยงาน (Agency Name)
o ชื่อเครื่องลูกข่าย (Endpoint Name)
o ไอพีแอดเดรสของเครื่องลูกข่ายที่ตรวจพบ (Endpoint IP Address)
o ประเภท และรายละเอียดภัยคุกคาม (Incident Type and details)
QMS-FM-OGA-14-V02-แบบฟอร์ม TOR ซื้อ
๗ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.)
• การหยุดกระบวนการการทำงานของเครื่องลูกข่าย (Block) เมื่อตรวจสอบพบพฤติกรรม
ของเครื่องลูกข่ายในลักษณะที่เกี่ยวข้องกับภัยคุกคามแบบอัตโนมัติ และแบบที่ผู้ดูแล
กำหนดเงื่อนไขเอง ตามลักษณะดังนี้เป็นอย่างน้อย
o หยุดการทำงานของ File ต้องสงสัย ตามรายการข้อมูล Hash File, File Name
เป็นอย่างน้อย
o หยุดการทำงานของ Process ต้องสงสัย ตามรายการข้อมูล Process Name
เป็นอย่างน้อย
o หยุดการทำงานของ Registry ต้องสงสัย ตามรายการข้อมูล Registry Name
เป็นอย่างน้อย
o หยุดการติดต่อสื่อสารผ่านระบบเครือข่าย ตามรายการข้อมูล IP Address เป็น
อย่างน้อย
• การตรวจสอบความเชื่อมโยงของภัยคุกคามที่ตรวจพบบนเครื่องลูกข่ายทั้งหมด โดย
ประกอบไปด้วยข้อมูลดังนี้เป็นอย่างน้อย
o Hash ของ File
o IP Address
o Domain
o File Name
o Process Name
o Registry Name
o ประเภท และรายละเอียดภัยคุกคาม (Incident Type and details)
๔.๔.๕. ต้องบันทึกพฤติกรรมของเครื่องลูกข่าย ทั้งที่อาจพบว่าเป็นรูปแบบผิดปกติที่สอดคล้องกับภัย
คุกคามที่เป็นที่รู้จัก หรือสิ่งบ่งชี้ภัยคุกคาม (Indicator of Compromise : IOC) เทียบกับ
ฐานข้อมูลภัยคุกคามของเจ้าของผลิตภัณฑ์ หรือตามที่ สพธอ. กำหนด รวมถึงการบันทึก
พฤติกรรมปกติ พร้อมส่งข้อมูลไปยังระบบบริหารจัดการส่วนกลาง โดยข้อมูลที่บันทึก
ประกอบด้วยพฤติกรรมดังนี้เป็นอย่างน้อย
• การทำงานที่เกี่ยวข้องกับ File บนเครื่องลูกข่าย ต้องสามารถระบุ
o Hash ของ File
o File Name
o File Path
o ประเภท และรายละเอียดภัยคุกคาม (Incident Type and details) (หากมี)
• การทำงานที่เกี่ยวข้องกับ Process บนเครื่องลูกข่าย ต้องสามารถระบุ
o Process Name
o ประเภท และรายละเอียดภัยคุกคาม (Incident Type and details) (หากมี)
• การทำงานที่เกี่ยวข้องกับ Registry ต้องสามารถระบุ
o Registry Name
QMS-FM-OGA-14-V02-แบบฟอร์ม TOR ซื้อ
๘ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.)
o ประเภท และรายละเอียดภัยคุกคาม (Incident Type and details) (หากมี)
• การติดต่อสื่อสารผ่านระบบเครือข่าย ต้องสามารถระบุ
o Source IP Address
o Source Port
o Destination IP Address
o Destination Port
o Domain
๔.๔.๖. ต้องสามารถแสดงผลข้อมูลการวิเคราะห์ภัยคุกคามที่ตรวจพบบนเครื่องลูกข่าย จากระบบ
บริหารจัดการส่วนกลางหรือระบบตรวจจับและวิเคราะห์ ฯ ในข้อ ๔.๓ โดยจัดทำเป็น
Dashboard สำหรับการเฝ้าระวังอย่างน้อยสำหรับระดับบริหาร และระดับปฏิบัติการ
๔.๔.๗. ต้องสามารถค้นหาข้อมูลพฤติกรรมของเครื่องลูกข่าย จากระบบบริหารจัดการส่วนกลาง โดย
ระบุเงื่อนไขในการค้นหาด้วยข้อมูลตามคุณลักษณะของพฤติกรรมตามข้อ ๔.๔.๕ ได้เป็น
อย่างน้อย
๔.๔.๘. ต้องสามารถแบ่งกลุ่มของเครื่องลูกข่ายที่ติดตั้ง พร้อมสร้างบัญชีใช้งานสำหรับแต่ละกลุ่มแยก
ตามชื่อของหน่วยงาน จากระบบบริหารจัดการส่วนกลางได้
๔.๔.๙. ต้องสามารถส่งข้อมูลพฤติกรรมของเครื่องลูกข่าย ผ่านโปรโตคอล Syslog หรือ Rest API
หรือ ช่องทางอื่น ๆ ไปยังระบบตรวจจับและวิเคราะห์ ฯ ในข้อ ๔.๓ โดยต้องแสดงข้อมูลดัง
รายการดังนี้เป็นอย่างน้อย
• ชื่อเครื่องลูกข่าย (Endpoint Name)
• ไอพีแอดเดรสของเครื่องลูกข่ายที่ตรวจพบ (Endpoint IP Address)
• ไอพีแอดเดรสปลายทาง (Destination IP Address)
• ชื่อกระบวนการทำงาน (Process Name)
• ประเภท และรายละเอียดภัยคุกคาม (Incident Type and details)
๔.๔.๑๐. ต้องมีระยะเวลาในการใช้งานอย่างน้อยถึงวันสิ้นสุดของสัญญา
๔.๕. ผู้เสนอราคาจะต้องเข้าสำรวจพื้นที่ ติดตั้งอุปกรณ์ และตั้งค่าการเชื่อมต่อระบบตรวจจับและวิเคราะห์ ฯ
และระบบตรวจจับและตอบสนองต่อภัยคุกคามสำหรับเครื่องลูกข่าย ตามข้อ ๔.๒ ถึง ๔.๔ โดยมีการ
ตั้งค่าการจัดเก็บ Log จากแหล่งที่มาของแต่ละแห่ง และตั้งค่าอุปกรณ์เครือข่ายของ สพธอ. สำหรับ
เชื่อมต่อกับส่วนกลาง (ถ้ามี) พร้อมทั้งสนับสนุนอุปกรณ์สำหรับการติดตั้งที่จำเป็น โดยไม่คิดค่าใช้จ่าย
เพิ่มเติม เพื่อให้การเฝ้าระวังและป้องกันภัยคุกคาม ดำเนินการได้อย่างต่อเนื่องรวมไปถึงจัดทำรายงาน
การสำรวจและติดตั้งที่หน่วยงาน โดยประกอบไปด้วยรายละเอียดดังต่อไปนี้
๔.๕.๑. รายงานการสำรวจพื้นที่ และรายงานการติดตั้งอุปกรณ์และการตั้งค่าเชื่อมต่อ ต้องมีข้อมูล
ดังนี้เป็นอย่างน้อย
• การสำรวจพื้นที่
o ชื่อหน่วยงาน
QMS-FM-OGA-14-V02-แบบฟอร์ม TOR ซื้อ
๙ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.)
o ชื่อและข้อมูลติดต่อผู้ประสานงานในการสำรวจพื้นที่ของหน่วยงาน
o ช่วงเวลาดำเนินการสำรวจพื้นที่
o สถานที่ติดตั้งอุปกรณ์
o จุดติดตั้งในตู้ Rack การเชื่อมต่อระบบไฟฟ้า และการเชื่อมต่อสายสัญญาณ
เครือข่าย
o ระบบเครือข่ายของหน่วยงาน
o รายการอุปกรณ์ที่จะจัดส่ง Log และรายการเครื่องลูกข่ายที่ติดตั้งซอฟต์แวร์
o ข้อควรระวัง ปัญหาที่พบและข้อจำกัดในการปฏิบัติงาน
• การติดตั้งอุปกรณ์และการตั้งค่าเชื่อมต่อ
o ชื่อหน่วยงาน
o ชื่อและข้อมูลติดต่อผู้ประสานงานในการติดตั้งอุปกรณ์ของหน่วยงาน
o ช่วงเวลาดำเนินการติดตั้งอุปกรณ์
o สถานที่ติดตั้งอุปกรณ์
o รายการอุปกรณ์/เครื่องลูกข่ายที่ติดตั้ง
o แผนภาพการเชื่อมต่ออุปกรณ์
o การตั้งค่าของระบบตรวจจับและวิเคราะห์ ฯ ที่หน่วยงาน
o รายละเอียดของอุปกรณ์ที่จัดส่ง Log ประกอบไปด้วยข้อมูลประเภทของ
อุปกรณ์ โดเมนเนม ชื่อเครื่อง และ IP Address (Private and Public IP) เป็น
อย่างน้อย
o การตรวจสอบความถูกต้องของการจัดส่งข้อมูล Log ที่ได้รับตามข้อ ๔.๒.๑
ประกอบไปด้วยการทำ Log parsing และ Event filtering
o การแก้ไขการตั้งค่าบนอุปกรณ์ของหน่วยงานเพื่อจัดส่ง Log
o การแก้ไขการตั้งค่าบนเครื่องลูกข่ายของหน่วยงานเพื่อติดตั้งซอฟต์แวร์
o ขั้นตอนการติดตั้งและตั้งค่าอุปกรณ์
๔.๕.๒. รายงานภาพรวมของการติดตั้งอุปกรณ์/เครื่องลูกข่าย สำหรับการจัด Log ของระบบ
ประมวลผลและวิเคราะห์ข้อมูล Log และระบบตรวจจับและตอบสนองต่อภัยคุกคามสำหรับ
เครื่องลูกข่าย โดยต้องมีข้อมูลดังนี้เป็นอย่างน้อย
• แผนภาพและแบบสถาปัตยกรรมและการเชื่อมต่อระบบทั้งหมด
• รายการอุปกรณ์/เครื่องลูกข่ายที่เกี่ยวข้องทั้งหมด
• รายชื่อหน่วยงาน และผู้ประสานงาน
• รายการอุปกรณ์ที่จัดเก็บ Log
• รายการสถานะจำนวนอุปกรณ์ที่จัดเก็บ Log และการตรวจสอบความถูกต้องของการ
จัดเก็บ Log
• รายการการติดตั้งระบบตรวจจับและตอบสนองต่อภัยคุกคามสำหรับเครื่องลูกข่าย
QMS-FM-OGA-14-V02-แบบฟอร์ม TOR ซื้อ
๑๐ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.)
๔.๖. ผู้เสนอราคาจะต้องเฝ้าระวังและวิเคราะห์ภัยคุกคามจากระบบตรวจจับและวิเคราะห์ ฯ ตลอด
๒๔ ชั่วโมง ๗ วัน นับถัดจากวันครบกำหนดส่งมอบงานงวดที่ ๑ ถึง วันครบกำหนดส่งมอบงานงวด
สุดท้าย ประกอบด้วย
๔.๖.๑. ต้องมีศูนย์ปฏิบัติการ SOC (Security Operation Center) ประกอบไปด้วยบุคลากรดังนี้
• ผู้จัดการศูนย์ปฏิบัติการ SOC (SOC Manager) ในด้านการควบคุมการทำงานเฝ้าระวัง
และวิเคราะห์ภัยคุกคาม
• เจ้าหน้าที่ผู้เชี่ยวชาญ (Security Analyst Tier1) ในด้านการวิเคราะห์ภัยคุกคาม
• เจ้าหน้าที่ผู้เชี่ยวชาญพิเศษ (Security Analyst Tier2) ในด้านการบริหารจัดการระบบ
ตรวจจับและวิเคราะห์ ฯ และการวิเคราะห์ภัยคุกคามไซเบอร์ขั้นสูง
๔.๖.๒. ต้องดำเนินงานตามขั้นตอนการปฏิบัติงาน เรื่อง การรับแจ้งเหตุภัยคุกคาม (Incident
Response) และขั้นตอนการปฏิบัติงานอื่น ๆ ตามที่ สพธอ. กำหนด รวมถึงกรณีที่มีการตรวจ
พบเหตุการณ์ภัยคุกคามที่สำคัญตามเงื่อนไขต้องมีการจัดทำรายงานเหตุภัยคุกคามด้วย
๔.๖.๓. ต้องมีกลไกจากเจ้าหน้าที่ในศูนย์ปฏิบัติการ SOC (Security Operation Center)
ในการแจ้งเตือนและดำเนินการเพื่อระงับการโจมตีที่อาจส่งผลกระทบรุนแรงกับระบบที่มีการ
เฝ้าระวังจากระบบตรวจจับและวิเคราะห์ ฯ ภายใน ๑ ชั่วโมงหลังจากได้ผลการวิเคราะห์ไม่
น้อยกว่าร้อยละ ๙๖ โดยใช้ช่องทางตามข้อ ๔.๖.๕
๔.๖.๔. ต้องมีการจัดทำรายงานสรุปสถิติเหตุภัยคุกคามที่ตรวจพบจากระบบตรวจจับและวิเคราะห์ ฯ
รวมถึงสถานการณ์ภัยคุกคามที่เกิดขึ้นในปัจจุบัน โดยจัดส่งเป็นรายเดือน และเมื่อมีการร้อง
ขอโดย สพธอ.
๔.๖.๕. ต้องมีช่องทาง หรือกระบวนการในการรวบรวมข้อมูล และแจ้งเตือนภัยคุกคามมายัง สพธอ.
แบบอัตโนมัติตามรูปแบบที่ สพธอ. กำหนด โดยหากมีค่าใช้จ่ายผู้เสนอราคาต้องรับผิดชอบ
ค่าใช้จ่ายทั้งหมด กรณีที่ต้องมีการติดตั้งอุปกรณ์หรือซอฟต์แวร์อื่นเพิ่มเติม
๔.๖.๖. ต้องมีรายงานการปฏิบัติงานประจำวันของเจ้าหน้าที่ตามข้อ ๔.๖.๑
๔.๗. ผู้เสนอราคาจะต้องพัฒนาและออกแบบระบบสนับสนุนการรับมือและประสานเหตุภัยคุกคามไซเบอร์
โดยมีคุณลักษณะดังนี้
๔.๗.๑. ต้องศึกษาวิเคราะห์ความต้องการของเครื่องมือและกระบวนการที่ต้องการสำหรับระบบ
สนับสนุนการรับมือและประสานเหตุภัยคุกคามไซเบอร์ ดังนี้
• บริการการรับแจ้งเหตุภัยคุกคามไซเบอร์ (Incident management) ประกอบไปด้วย
รายละเอียดดังต่อไปนี้
o กระบวนการรับแจ้งเหตุภัยคุกคามไซเบอร์จากอีเมล
o กระบวนการยืนยันและวิเคราะห์เหตุภัยคุกคามที่ได้รับแจ้ง
o กระบวนการประสานแจ้งเหตุภัยคุกคามไปยังส่วนงานที่เกี่ยวข้อง
o กระบวนการรายงานผลรายวัน เดือน และสัปดาห์ และสถิติภาพรวมของ SLA
ในลักษณะ Dashboard เพื่อประเมินประสิทธิภาพในการวางแผนการทำงาน
o กระบวนการสืบค้นและเปรียบเทียบกับผลการดำเนินงาน
QMS-FM-OGA-14-V02-แบบฟอร์ม TOR ซื้อ
๑๑ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.)
o กระบวนการนำข้อมูลจากเครื่องมือที่พัฒนาออกมาในรูปแบบไฟล์ csv, xml,
xls หรือ xlsx
o กระบวนการบันทึกรูปภาพของเหตุภัยคุกคามประเภทการโจมตีเว็บไซต์แบบ
อัตโนมัติ โดยสามารถกำหนดช่วงเวลาของการบันทึกรูปภาพได้ ประกอบไปด้วย
เหตุภัยคุกคาม ดังนี้เป็นอย่างน้อย
– Website Defacement
– Website Phishing
– Website Malicious code
o กระบวนการติดตามเหตุการณ์ภัยคุกคามแบบอัตโนมัติ สำหรับเป็นข้อมูลในการ
ดำเนินการตรวจสอบการแก้ไขปัญหาเหตุภัยคุกคาม ประกอบไปด้วยเหตุภัย
คุกคาม ดังนี้เป็นอย่างน้อย
– Website Defacement
– Website Phishing
– Website Malicious code
o กระบวนการรวบรวมข้อมูลภัยคุกคาม (Threat intelligence) และข้อมูลการ
เฝ้าระวังในรูปแบบอัตโนมัติ รองรับการรับข้อมูลผ่าน email, CSV file, REST
API, Python script, Syslog ได้เป็นอย่างน้อย และสามารถปรับเปลี่ยนรูปแบบ
ของการรับข้อมูลได้ เช่น การจัดกลุ่มของข้อมูลที่จัดเก็บ การจัดเก็บชื่อ
Attribute ที่จัดเก็บในระบบ รวมถึงสามารถระบุที่มาของข้อมูล และลดความ
ซ้ำซ้อนของข้อมูลได้ กรณีที่รับข้อมูลจากหลายแหล่ง
• บริการสำหรับแลกเปลี่ยนข้อมูลที่เกี่ยวข้องกับภัยคุกคาม (Information Sharing)
ประกอบไปด้วยรายละเอียดดังต่อไปนี้
o กระบวนการนำเข้า Indicator of compromise (IOC) ในรูปแบบอัตโนมัติ
รองรับการรับข้อมูลผ่าน email, CSV file, REST API, Python script, Syslog
ได้เป็นอย่างน้อย
o กระบวนการแสดงความเชื่อมโยงของข้อมูล Indicator of compromise (IOC)
เพื่อแสดงให้เห็นถึงแหล่งที่มา และความเกี่ยวข้องกัน
o กระบวนการส่งต่อ Indicator of compromise (IOC)
o กระบวนการรายงานผลรายวัน เดือน และสัปดาห์ ในลักษณะ Dashboard
o กระบวนการสืบค้นข้อมูล Indicator of compromise (IOC)
o กระบวนการกำหนดประเภทภัยคุกคาม และระดับความรุนแรง รวมถึงที่มาของ
ข้อมูล Indicator of compromise (IOC)
o กระบวนการการบริหารจัดการข้อมูล Indicator of compromise (IOC) ให้
ข้อมูลเป็นปัจจุบัน และทันสมัยอยู่เสมอ
QMS-FM-OGA-14-V02-แบบฟอร์ม TOR ซื้อ
๑๒ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.)
• ส่งออก (Export) ข้อมูลที่เป็นรายงานในรูปแบบไฟล์ ได้ทั้ง Microsoft Excel และ PDF
ได้
• มีกลไกในการแจ้งเตือนที่เกี่ยวข้องกับกระบวนการของบริการการรับแจ้งเหตุภัยคุกคามไซ
เบอร์ (Incident management) และบริการสำหรับแลกเปลี่ยนข้อมูลที่เกี่ยวข้องกับภัย
คุกคาม (Information Sharing) ผ่าน Email และ Line application ของผู้ดูแลระบบได้
เป็นอย่างน้อย
• มีกลไกในการแจ้งเตือนผู้ดูแลระบบ หากเกิดปัญหาหรือความขัดข้อง โดยสามารถแจ้ง
เตือนผ่าน Email และ Line application ของผู้ดูแลระบบได้เป็นอย่างน้อย
• สามารถกำหนดสิทธิของผู้ใช้งาน ตามขอบเขตของการเข้าใช้งานและตั้งค่าได้ โดยอย่าง
น้อยต้องครอบคลุมสิทธิของการเข้าถึงข้อมูล และแก้ไขการตั้งค่าของระบบได้
• สามารถบริหารจัดการและทำการตั้งค่าการทำงานผ่าน Web-based Application โดย
รองรับการใช้งานผ่าน Protocol HTTP และ HTTPS ซึ่งสามารถใช้งานได้ด้วยโปรแกรม
Web Browser Edge, Google Chrome, Mozilla Firefox เป็นอย่างน้อย
• รวบรวมและวิเคราะห์ความต้องการของผู้ใช้งาน (User Requirement) ความต้องการ
ของระบบ (System Requirements) ตลอดจนข้อจำกัด หรือเงื่อนไขอื่น ๆ
• ออกแบบส่วนต่อประสานผู้ใช้ (User Interface) ฐานข้อมูล และองค์ประกอบที่จำเป็นต่อ
การใช้งาน
• จัดทำเอกสารประกอบการออกแบบและพัฒนา ประกอบด้วยเอกสารอย่างน้อย ดังนี้
o เอกสารการวิเคราะห์ความต้องการ (Requirement Analysis Specification)
o เอกสารการวิเคราะห์และออกแบบ (Design Specification)
o เอกสารการพัฒนาโปรแกรม (Program Specification) (ถ้ามี)
๔.๗.๒. ต้องพัฒนา ติดตั้ง และทดสอบ โดยกระบวนการทำงานที่พัฒนาขึ้น ต้องมีความมั่นคง
ปลอดภัย และเชื่อมโยงการทำงานดังต่อไปนี้เป็นอย่างน้อย
• พัฒนา ติดตั้ง และทดสอบ บนอุปกรณ์ และเครือข่าย ตามที่ สพธอ. กำหนด
• จัดทำเอกสารรายงานการติดตั้งและปรับแต่งค่า
• จัดทำเอกสารคู่มือโมเดลขั้นตอน/กระบวนการทำงาน (Process Specification) ที่
สอดคล้องกับกระบวนการทำงาน (Workflow) ที่พัฒนาขึ้น โดยมีคำอธิบายเพื่อการเพิ่ม
ขยายและปรับแก้ไขกระบวนการทำงานได้ใน
• ทดสอบความถูกต้องและทดสอบการยอมรับ (Acceptance test) ภายใต้สภาพแวดล้อม
ทดสอบ (UAT) โดยให้จัดทำชุดข้อมูลสำหรับการทดสอบที่ใกล้เคียงกับข้อมูลจริง พร้อม
ทั้งแก้ไขข้อผิดพลาดที่เกิดขึ้นระหว่างการทดสอบ ให้สามารถทำงานได้อย่างถูกต้อง
สมบูรณ์
• ทดสอบการเชื่อมโยง (Integration test) ให้ระบบสามารถทำงานร่วมกันได้อย่างถูกต้อง
สมบูรณ์ ร่วมกับเจ้าหน้าที่ของ สพธอ. และผู้เกี่ยวข้องในโครงการ
QMS-FM-OGA-14-V02-แบบฟอร์ม TOR ซื้อ
๑๓ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.)
• จัดทำเอกสารการทดสอบ (Test Scenario/Test Case/Test Script) และรายงานผล
การทดสอบ (Test Report)
• ต้องออกแบบและพัฒนาระบบให้สอดคล้องกับ นโยบายการรักษาความมั่นคงปลอดภัย
ด้านสารสนเทศ และแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เกี่ยวกับ
การเข้าถึงและควบคุมการใช้งานสารสนเทศ ของ สพธอ.
• ต้องออกแบบและพัฒนาระบบให้สอดคล้องกับหลักเกณฑ์ของ OWASP (Open Web
Application Security Project) เวอร์ชันล่าสุดที่มีการประกาศในการใช้งาน ณ วันที่ลง
นามในสัญญา
• ต้องดำเนินการตรวจประเมินช่องโหว่ของระบบ (Vulnerability Assessment
Scanning) ด้วยเครื่องมือ และบุคลากรหรือคณะทำงานที่มีความเชี่ยวชาญด้านการตรวจ
ประเมินความมั่นคงปลอดภัยสารสนเทศ พร้อมดำเนินการแก้ไขช่องโหว่ให้แล้วเสร็จ
ตลอดจนส่งมอบรายงานผลการตรวจประเมิน และการแก้ไขช่องโหว่ดังกล่าวแก่ สพธอ.
๔.๗.๓. ต้องจัดทำคู่มือสำหรับผู้ใช้งานทั่วไป (User Manual) และคู่มือสำหรับผู้ดูแลระบบ
(Administrator Manual)
๔.๗.๔. ต้องจัดทำเอกสารกระบวนการทำงาน ประกอบด้วยเอกสารอย่างน้อย ดังนี้
• เอกสารกระบวนการรับแจ้งเหตุภัยคุกคาม
• เอกสารกระบวนการวิเคราะห์และยืนยันเหตุภัยคุกคาม
• เอกสารกระบวนการประสานแจ้งเหตุภัยคุกคาม และติดตามเหตุ
• เอกสารกระบวนการจัดทำรายงานการปฏิบัติงานและการส่งต่อมอบงานให้เจ้าหน้าที่
ปฏิบัติงานในช่วงต่อ
• เอกสารกระบวนการการบริหารจัดการข้อมูล Indicator of compromise (IOC)
• เอกสารกระบวนการนำเข้า Indicator of compromise (IOC)
• เอกสารกระบวนการส่งต่อ Indicator of compromise (IOC)
๔.๘. ศูนย์ข้อมูลที่ติดตั้ง และจัดเก็บข้อมูล จะต้องได้รับรองเรื่องมาตรฐานการจัดการความปลอดภัยของ
ข้อมูล ISO/IEC 27001:2013 เป็นอย่างน้อย โดยมีขอบเขตของการรับรองฯ ดังต่อไปนี้
๔.๘.๑. ศูนย์ข้อมูลที่ติดตั้งระบบตรวจจับและวิเคราะห์ ฯ ที่ส่วนกลาง ตามข้อ ๔.๓
๔.๘.๒. ศูนย์ปฏิบัติการ SOC (Security Operation Center) ตามข้อ ๔.๖.๑
๔.๘.๓. ศูนย์ข้อมูลที่จัดเก็บข้อมูลที่ดำเนินงานของศูนย์ปฏิบัติการ SOC (Security Operation
Center) ตามข้อ ๔.๖.๑
๔.๙. ผู้เสนอราคาต้องมีผู้เชี่ยวชาญทำหน้าที่ให้คำปรึกษาเกี่ยวกับการบริหารจัดการระบบตามข้อ ๔.๓ และ
๔.๔ โดยจะต้องมีใบรับรองการบริหารจัดการจากเจ้าของผลิตภัณฑ์ อย่างน้อย ๒ คน ที่สามารถติดต่อ
ได้ตลอด ๒๔ ชั่วโมง ๗ วัน
๔.๑๐. ผู้เสนอราคาจะต้องดำเนินงานด้านข้อมูลส่วนบุคคล ในกรณีที่มีส่วนใดส่วนหนึ่งเป็นข้อมูลส่วนบุคคลทั้ง
ทางตรงและทางอ้อม ผู้เสนอราคาจะต้องดำเนินการให้เป็นไปตามกรอบของพระราชบัญญัติคุ้มครอง
ข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และ
QMS-FM-OGA-14-V02-แบบฟอร์ม TOR ซื้อ
๑๔ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.)
๔.๑๐.๑. การดำเนินการนี้ สพธอ. กระทำในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้รับจ้างกระทำใน
ฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (ผู้ประมวลผล)
๔.๑๐.๒. การดำเนินการใด ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ผู้ประมวลผล ควรดำเนินการด้วยความ
รอบคอบระมัดระวัง และมีมาตรการรักษาความปลอดภัยที่เหมาะสม ตรวจสอบได้
๔.๑๐.๓. ผู้ประมวลผลต้องดำเนินการต่าง ๆ ดังนี้
๔.๑๐.๓.๑ ระยะสิ้นสุดสัญญา ผู้ประมวลผล ต้องนำข้อมูลทั้งหมดที่จัดเก็บไว้ที่ตน หรือนำไป
ประมวลผลต่าง ๆ ส่งมอบให้กับ สพธอ. ทั้งหมด
• เมื่อดำเนินการส่งมอบแล้ว ผู้ประมวลผลต้องลบทำลายข้อมูลที่เกี่ยวข้องทั้งหมดทิ้งทันที
• ผู้ประมวลผล ต้องจัดทำหนังสือยืนยันการลบทำลายข้อมูลดังกล่าวให้กับ สพธอ. (self
declaration) ทั้งในส่วนที่ได้ดำเนินการไปแล้ว และ ส่วนที่ไม่สามารถดำเนินการได้
ตามปกติ (เช่น ข้อมูลในระบบ backup (โดยให้ระบุอายุข้อมูลของข้อมูลที่สำรองด้วย) ,
ข้อมูลเชิงสถิติ , หรือ ข้อมูลที่ถูกทำให้เป็น anonymous แล้ว)
๔.๑๐.๓.๒ กรณีที่พบเหตุข้อมูลรั่วไหล ให้ผู้ประมวลผลข้อมูลแจ้งต่อ สพธอ. ทันทีโดยไม่ชักช้า
และต้องให้ความร่วมมือกับ สพธอ. อย่างเต็มที่ในการสืบสวนสอบสวน แม้สัญญาจะได้สิ้นสุดไป
แล้วก็ตาม
๔.๑๑. ผู้เสนอราคาจะต้องดำเนินการถอนการติดตั้งและขนย้ายอุปกรณ์ของ สพธอ. ที่ติดตั้งที่หน่วยงาน โดย
ขนย้ายมาสถานที่ที่ สพธอ. กำหนด โดยไม่คิดค่าใช้จ่ายเพิ่มเติม
๔.๑๒. ผู้เสนอราคาจะต้องจัดอบรมในลักษณะการฝึกปฏิบัติการ (Workshop) ตามวัน เวลา และสถานที่ที่
สพธอ. กำหนด โดยผู้เสนอราคาต้องรับผิดชอบค่าใช้จ่ายทั้งหมด ประกอบด้วยค่าสถานที่ ค่าอาหาร
และค่าเอกสารประกอบการอบรมทั้งหมด และจัดทำรายงานสรุปผลการอบรมทุกหลักสูตร (Training
Report) ประกอบไปด้วยหลักสูตรดังนี้
๔.๑๒.๑. หลักสูตรสำหรับผู้ดูแลระบบ (Administration Training) การบริหารจัดการ การใช้งาน
การติดตั้ง ระบบตรวจจับและวิเคราะห์ ฯ ตามข้อ ๔.๓ ระบบตรวจจับและตอบสนองต่อภัย
คุกคามสำหรับเครื่องลูกข่าย ตามข้อ ๔.๔ และระบบสนับสนุนการรับมือและประสานเหตุภัย
คุกคามไซเบอร์ ตามข้อ ๔.๗ สำหรับเจ้าหน้าที่ของ สพธอ. จำนวนไม่น้อยกว่า ๕ ที่นั่ง
๔.๑๒.๒. หลักสูตรสำหรับผู้ใช้งานทั่วไป (End-User Training) การใช้งาน ระบบตรวจจับและวิเคราะห์
ฯ ตามข้อ ๔.๓ ระบบตรวจจับและตอบสนองต่อภัยคุกคามสำหรับเครื่องลูกข่าย ตามข้อ ๔.๔
และระบบสนับสนุนการรับมือและประสานเหตุภัยคุกคามไซเบอร์ ตามข้อ ๔.๗ สำหรับ
เจ้าหน้าที่ของ สพธอ. จำนวนไม่น้อยกว่า ๕ ที่นั่ง
๔.๑๓. ผู้เสนอราคาจะต้องจัดทำข้อเสนอโครงการที่สอดคล้องตามข้อมูลดังนี้เป็นอย่างน้อย เพื่อรองรับการ
บริหารจัดการโครงการให้ต่อเนื่อง โดยผู้เสนอราคาจะต้องประเมินค่าใช้จ่ายระยะเวลาของโครงการ
๑ ปี และกำหนดการยืนราคาอย่างน้อย ๒ ปี ดังนี้
๔.๑๓.๑. การตั้งค่า การติดตั้ง การขนย้าย ระบบตรวจจับและวิเคราะห์ ฯ ตามข้อ ๔.๒ กรณีเมื่อ
หน่วยงานมีการเปลี่ยนแปลงเครือข่าย เคลื่อนย้ายอุปกรณ์ เปลี่ยนแปลงแหล่งที่มาในการ
จัดเก็บข้อมูล Log หรืออื่น ๆ ที่ทำให้ไม่สามารถดำเนินการจัดส่งข้อมูล Log มาที่ส่วนกลางได้
QMS-FM-OGA-14-V02-แบบฟอร์ม TOR ซื้อ
๑๕ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.)
๔.๑๓.๒. ระบบตรวจจับและวิเคราะห์การโจมตีบนเครือข่าย (Log analysis) (“ระบบตรวจจับและ
วิเคราะห์ ฯ”) ในส่วนกลาง ตามข้อ ๔.๓
๔.๑๓.๓. ระบบตรวจจับภัยคุกคามและการโจมตีบนเครื่องลูกข่ายในลักษณะ Incident response
ตามข้อ ๔.๔
๔.๑๓.๔. การเฝ้าระวังและวิเคราะห์ภัยคุกคามจากระบบตรวจจับและวิเคราะห์ ฯ ตลอด ๒๔ ชั่วโมง
๗ วัน ตามข้อ ๔.๖
๔.๑๓.๕. การปรับปรุงรายงานให้เป็นข้อมูลปัจจุบัน ตามที่ได้มีการเปลี่ยนแปลงในการดำเนินการ
โครงการ โดยประกอบไปด้วยรายงานดังต่อไปนี้เป็นอย่างน้อย
– รายงานการติดตั้งอุปกรณ์และการตั้งค่าเชื่อมต่อ
– รายงานภาพรวมของการติดตั้งอุปกรณ์/เครื่องลูกข่าย สำหรับการจัด Log ของระบบ
ประมวลผลและวิเคราะห์ข้อมูล Log และระบบตรวจจับและตอบสนองต่อภัยคุกคาม
สำหรับเครื่องลูกข่าย
– ข้อเสนออื่น ๆ ที่ทำให้โครงการมีประสิทธิภาพ และเป็นประโยชน์สูงสุดต่อการทำงานใน
อนาคต
๔.๑๔. ผู้เสนอราคาจะต้องให้บุคลากรในโครงการทั้งหมด ลงนามข้อตกลงการไม่เปิดเผยข้อมูลหรือความลับ
(non-disclosure agreement: NDA) ของ สพธอ.
๔.๑๕. ผู้เสนอราคาจะต้องจัดหาเจ้าหน้าที่จำนวน ๒ ที่นั่ง เข้าปฏิบัติงานตามวันและเวลาปฏิบัติงานของ
สพธอ. ที่ สพธอ. เพื่อเป็นผู้ประสานงาน กำกับ ติดตาม การดำเนินงานของโครงการให้เป็นไปตาม
แผนงาน ตลอดจนให้คำแนะนำแก่เจ้าหน้าที่ของหน่วยงาน และ สพธอ. หากเกิดปัญหาในการติดตั้ง
รวมถึงให้คำแนะนำในการวิเคราะห์เหตุการณ์ภัยคุกคาม รวมถึงงานอื่น ๆ ที่ สพธอ. กำหนด โดยให้เริ่ม
เข้าปฏิบัติงานภายใน ๑๕ (สิบห้า) วัน นับถัดจากวันที่ลงนามในสัญญา ถึง วันครบกำหนดส่งมอบงาน
งวดสุดท้าย และทาง สพธอ. สงวนสิทธิในการคัดเลือกเจ้าหน้าที่ตามเกณฑ์ที่ สพธอ. กำหนด ก่อน
ที่ผู้เสนอราคาจะจัดส่งเจ้าหน้าที่เข้าดำเนินการ โดยเจ้าหน้าที่ต้องมีคุณสมบัติดังต่อไปนี้
๔.๑๕.๑. วุฒิการศึกษาขั้นต่ำระดับปริญญาตรี สาขาวิทยาการคอมพิวเตอร์ หรือสาขาอื่น ๆ ที่มีความ
เกี่ยวข้อง
๔.๑๕.๒. ถ้าเป็นเพศชายต้องผ่านหรือได้รับยกเว้นการตรวจคัดเลือกเข้ารับราชการทหาร
๔.๑๕.๓. ผ่านการตรวจประวัติอาชญากร จากกองทะเบียนประวัติอาชญากรสำนักงานตำรวจแห่งชาติ
โดยผู้เสนอราคาจะต้องเป็นผู้รับผิดชอบค่าใช้จ่ายการดำเนินการทั้งหมด โดยเจ้าหน้าที่ต้องไม่
เคยได้รับโทษจำคุก
๔.๑๕.๔. ต้องปฏิบัติตามกฎ ระเบียบ ข้อบังคับต่าง ๆ ของ สพธอ. ตลอดระยะเวลาการทำงาน กรณี
พบการฝ่าฝืน สพธอ. สามารถแจ้งให้ผู้เสนอราคาเปลี่ยนตัวได้ โดยผู้เสนอราคาจะต้องเสนอ
เจ้าหน้าที่ใหม่ให้ สพธอ. พิจารณาทันที เพื่อคัดเลือกก่อนเข้าดำเนินการ
๔.๑๕.๕. มีประสบการณ์วิเคราะห์ภัยคุกคามกับระบบตรวจจับและวิเคราะห์ ฯ ตามที่เสนอในขอบเขต
ข้อ ๔.๒ และ ๔.๓ ไม่น้อยกว่า ๑ ปี และมีประสบการณ์การทำงานด้านความมั่นคงปลอดภัย
ไม่น้อยกว่า ๒ ป