สถานที่ : สถาบันการบินพลเรือน
ผู้ว่าจ้าง : สถาบันการบินพลเรือน
วันที่เริ่มโครงการ : 12 กรกฎาคม 2566
วันสิ้นสุดโครงการ : 9 ตุลาคม 2566

วัตถุประสงค์ / เป้าหมายโครงการ

1. เพื่อให้สถาบันฯ มีกระบวนการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล รวมทั้งการลบทำลายข้อมูลและการดำเนินการใดๆ ต้องเป็นไปตามหลักเกณฑ์ที่กฎหมายกำหนด
2. เพื่อให้สถาบันฯ มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม รวมทั้งทบทวนมาตรการดังกล่าวให้มีประสิทธิภาพอย่างสม่ำเสมอ และสอดคล้องกับมาตรฐานที่กฎหมายกำหนด
3. เพื่อให้การเปิดเผยข้อมูลแก่บุคคลภายนอกของสถาบันฯ มีมาตรการเพื่อป้องกันไม่ให้มีการนำข้อมูลส่วนบุคคลไปใช้ หรือเปิดเผยโดยปราศจากอำนาจโดยมิชอบ
4. เพื่อให้สถาบันฯ มีกระบวนการจัดทำและเก็บรักษาบันทึกรายการที่เกี่ยวข้องกับกิจกรรมประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามหลักเกณฑ์ที่กฎหมายกำหนด
5. เพื่อให้ระบบเทคโนโลยีสารสนเทศของสถาบันฯ มีแนวทางการพัฒนาระบบให้สามารถปฏิบัติงานได้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีกระบวนการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล รวมทั้งการรบทำร้ายข้อมูลและการดำเนินการใดๆ ที่ถูกต้องเป็นไปตามหลักเกณฑ์ที่กฎหมายกำหนด
6. เพื่อพัฒนาบุคลากรของสถาบันฯ ให้มีความรู้ ความตระหนัก และสามารถดำเนินงานตามนโยบายและแนวปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้อย่างถูกต้อง

ขอบเขตการดำเนินงาน

1. ผู้ยื่นข้อเสนอที่ได้รับการพิจารณาให้เป็นผู้ชนะและได้ทำสัญญาจ้างกับสถาบันฯ อันเป็นผู้รับจ้างตามสัญญาจ้าง ผู้รับจ้างต้องดำเนินการจัดทำรายงานขั้นต้น (Inception Report) ที่ครอบคลุมแผนการดำเนินโครงการ (Project Plan) แนวคิดและทฤษฎีที่ใช้ แนวทางในการบริหารโครงการและทรัพยากรที่ต้องใช้ในการดำเนินโครงการ และจัดให้มีการประชุมเริ่มงาน (Kick off Meeting) เพื่อนำเสนอรายละเอียดข้างต้นให้คณะกรรมการตรวจรับพิจารณาก่อนเริ่มดำเนินงาน
2. ผู้รับจ้างต้องดำเนินการติดตั้งระบบงานตามสัญญาบนอุปกรณ์ของสถาบันฯ ทั้งนี้เพื่อให้ระบบงานดังกล่าวสามารถทำงานร่วมกับระบบงานของสถาบันฯ ที่มีอยู่ได้อย่างมีประสิทธิภาพ มีความสามารถและขนาดเพียงพอสำหรับรองรับผู้ใช้บริการ ดังนั้น ระบบงานสามารถรองรับการติดตั้งโดยประกอบด้วยรายละเอียด ดังต่อไปนี้
2.1 ระบบงานสามารถติดตั้งและประมวลผลบนพื้นฐานระบบงานและอุปกรณ์ของสถาบันฯ ในพื้นที่ดาต้าเซ็นเตอร์หลัก (Primary Data Center) ดังต่อไปนี้
2.1.1 อุปกรณ์ของสถาบันฯ ประกอบด้วย Technology Stack ดังต่อไปนี้
1) ระบบปฏิบัติการ Microsoft Windows Server 2019 หรือ Linux หรือดีกว่า
2) ระบบฐานข้อมูลเชิงสัมพันธ์ (RDBMS) เช่น Microsoft SQL Server Expression version หรือ PostgreSQL หรือดีกว่า
2.1.2 ต้องดำเนินการส่งมอบและทำการติดตั้งระบบงาน ในอุปกรณ์ของสถาบันฯ ให้เป็นไปอย่างเรียบร้อย และปรับตั้งค่าให้สามารถทำงานได้อย่างมีประสิทธิภาพ
2.1.3 ต้องสามารถติดตั้งโดยแยกสภาวะแวดล้อม (Environment) แยกกันระหว่างสภาวะแวดล้อมแบบทดสอบ (Non-Production Environment) และสภาวะแวดล้อมแบบดำเนินงาน (Production Environment) รวมแยกค่า Configuration ทุกอย่างตามสภาวะแวดล้อมอย่างชัดเจน
2.1.4 ต้องบูรณาการบัญชีผู้ใช้งานกับระบบ Microsoft Active Directory ของสถาบันฯ
2.2 ระบบงานสามารถติดตั้งและประมวลผลบนพื้นฐานระบบงานและอุปกรณ์ของสถาบันฯ ในพื้นที่ดาต้าเซ็นเตอร์สำรอง (Disaster Recovery Data Center) ดังต่อไปนี้
2.2.1 อุปกรณ์ของสถาบันฯ โดยประกอบด้วย Technology Stack ดังต่อไปนี้
1) ระบบปฏิบัติการ Microsoft Windows Server 2019 หรือ Linux หรือดีกว่า
2) ระบบฐานข้อมูลเชิงสัมพันธ์ (RDBMS) เช่น Microsoft SQL Server Expression version หรือ PostgreSQL หรือดีกว่า
2.2.2 ต้องดำเนินการส่งมอบและทำการติดตั้งระบบงานในอุปกรณ์ของสถาบันฯ ให้เป็นไปอย่างเรียบร้อย และปรับตั้งค่าให้สามารถทำงานได้อย่างมีประสิทธิภาพ
2.2.3 ต้องบูรณาการบัญชีผู้ใช้งานกับระบบ Microsoft Active Directory ของสถาบันฯ

3. ผู้ยื่นข้อเสนอต้องดำเนินการทดสอบประสิทธิภาพการทำงานของระบบงาน ดังต่อไปนี้
3.1 ระบบสามารถตอบสนองได้ไม่เกิน 30 วินาทีต่อการประมวลผลหนึ่งหน้าการแสดงผล
3.2 ระบบสามารถแสดงให้เห็นการใช้งานพร้อมกัน (Concurrent) ได้ตั้งแต่ 50 Concurrent โดยไม่มีข้อผิดพลาดระบบงานใดๆ ระหว่างการดำเนินการ
4. ผู้ยื่นข้อเสนอต้องให้คำแนะนำและระบบงานที่นำเสนอต้องรองรับการทดสอบด้านความปลอดภัยทางสารสนเทศ
4.1 ให้คำแนะนำการทดสอบช่องโหว่ระดับระบบปฏิบัติการ (OS vulnerability)
4.2 มีการสแกนระดับแอพพลิเคชั่นโดยไม่มีผลลัพธ์ในขั้นวิกฤต (Severe) ก่อนใช้งานระบบงานจริง
4.3 ระบบงานที่นำเสนอต้องรองรับการทดสอบเจาะระบบตามมาตรฐาน OWASP TOP 10 โดยไม่มีผลลัพธ์ในขั้นวิกฤต (Severe) ก่อนใช้งานระบบงานจริง
5. ผู้ยื่นข้อเสนอต้องจัดทำรายงานวิเคราะห์กรอบแนวทางการปฏิบัติตาม วัตถุประสงค์ และความต้องการระบบฯ โดยครอบคลุมกระบวนการดำเนินการหลัก (Core Business Capability) กระบวนการดำเนินการสนับสนุน (Enabling Capability) และ กระบวนการบริหารจัดการและการวางแผน (Strategy and Management Capability) เป็นอย่างน้อย
6. ผู้ยื่นข้อเสนอต้องดำเนินการจัดทำเอกสารการออกแบบระบบ ซึ่งประกอบด้วย แผนผังโครงสร้างฐานข้อมูล (ER – Diagram) และพจนานุกรมข้อมูล (Data Dictionary) แผนผังการทำงานของระบบ (System Diagram) และแผนผังของเครือข่าย (Network Diagram) เป็นอย่างน้อย
7. ผู้ยื่นข้อเสนอต้องดำเนินการให้คำแนะนำ ตรวจสอบ และนำเข้าข้อมูลปัจจุบันของสถาบันฯ ให้เป็นไปตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และทดสอบการใช้งานในส่วนที่เกี่ยวข้องให้ถูกต้องครบถ้วนตรงกับคุณสมบัติเฉพาะที่ได้กำหนดไว้ในข้อ 5
8. ในกรณีที่ระบบงานไม่สามารถทำงานหรือรองรับการทำงานได้อย่างมีประสิทธิภาพ ผู้ยื่นข้อเสนอต้องให้คำแนะนำในการเพิ่มประสิทธิภาพระบบเครื่องคอมพิวเตอร์และอุปกรณ์ให้กับสถาบันฯ โดยไม่คิดค่าใช้จ่ายใดๆ
9. ผู้ยื่นข้อเสนอต้องให้บริการระบบบริหารจัดการสำรองและกู้คืนข้อมูลของระบบเป็นระยะเวลา 5 ปี นับถัดจากวันตรวจรับงานงวดสุดท้ายเสร็จสมบูรณ์
10. ผู้ยื่นข้อเสนอต้องสามารถรองรับการบริหารความต่อเนื่องทางด้านธุรกิจ และแผนการดำเนินการ เมื่อเกิดเหตุการณ์วิกฤต
11. ผู้ยื่นข้อเสนอต้องจัดให้มีบุคลากร(เจ้าหน้าที่) ซึ่งเป็นผู้ที่มีความรู้ด้านคอมพิวเตอร์โปรแกรมระบบงานที่พัฒนาตามโครงการ จำนวน 1 คน โดยไม่คิดค่าใช้จ่ายในการดำเนินการ เพื่อให้คำปรึกษา แนะนำ และแก้ไขปัญหา ให้กับพนักงานของสถาบันฯ พร้อมทั้งให้จัดทำรายงานสรุปปัญหาและแนวทางแก้ไข (ถ้ามี) โดยเป็นระยะเวลา 5 ปี นับถัดจากวันตรวจรับงานงวดสุดท้ายเสร็จสมบูรณ์ ดังนี้
11.1 ตั้งแต่เดือนที่ 1 – 6 นับถัดจากวันตรวจรับงานงวดสุดท้าย ผู้ยื่นข้อเสนอต้องจัดให้มีบุคลากร(เจ้าหน้าที่) ตามข้อ 4.7 ให้มาปฏิบัติหน้าที่ที่สถาบันฯ อย่างน้อยเดือนละ 2 วัน ในเวลาราชการ
11.2 ตั้งแต่เดือนที่ 7 เป็นต้นไปจนถึงสิ้นสุดระยะเวลารับประกัน (ระยะเวลา 5 ปี นับถัดจากวันตรวจรับงานงวดสุดท้ายเสร็จสมบูรณ์) ผู้ยื่นข้อเสนอต้องจัดให้มีบุคลากร(เจ้าหน้าที่) ตามข้อ 4.7 ให้มาปฏิบัติหน้าที่ที่สถาบันฯ อย่างน้อยเดือนละ 1 วัน ในเวลาราชการ
11.3 บุคลากร (เจ้าหน้าที่) ของผู้ยื่นข้อเสนอตามข้อ 4.7 ให้ผู้ยื่นข้อเสนอต้องทำการแจ้งรายชื่อ เบอร์โทรติดต่อ หรือ Line ID หรือ e-mail เพื่อใช้ติดต่อประสานงาน และเป็นการแจ้งและรับเรื่องเมื่อระบบเกิดเหตุขัดข้อง รวมถึงกรณีที่มีการเปลี่ยนแปลงบุคลากร(เจ้าหน้าที่) ผู้ยื่นข้อเสนอต้องแจ้งให้สถาบันฯ ทราบล่วงหน้าทุกครั้ง
12. ผู้ยื่นข้อเสนอต้องดำเนินการจัดทำและติดตั้งระบบสนับสนุนการบริหารจัดการข้อมูลส่วนบุคคลให้ถูกต้องครบถ้วนตรงกับคุณสมบัติเฉพาะ