คลาวด์ภาครัฐ มาตรฐานสากลคู่มือจัดซื้อคลาวด์ภาครัฐ: บัญชีบริการดิจิทัล depa และ TOR คลาวด์

หน่วยงานอยากใช้คลาวด์แต่ไม่แน่ใจว่าจะจัดซื้ออย่างไรให้ถูกระเบียบ หน้านี้สรุปครบทั้งบัญชีบริการดิจิทัลของ depa วิธีเฉพาะเจาะจง วิธีคัดเลือก e-bidding การเขียน TOR คลาวด์ และการวางงบประมาณแบบ OPEX

  • ISO/IEC 27001
  • ISO 22301
  • ISO 20000-1
  • CSA-STAR

Data Center ในไทย มาตรฐาน TIA-942 Tier 3+ ข้อมูลอยู่ในประเทศไทย

ภาพรวมการจัดซื้อจัดจ้างคลาวด์ภาครัฐ มีกี่วิธี อะไรบ้าง

การจัดซื้อบริการคลาวด์ของหน่วยงานรัฐอยู่ภายใต้หลักการเดียวกับการจัดซื้อจัดจ้างพัสดุทั่วไป คือความโปร่งใส ตรวจสอบได้ และคุ้มค่ากับงบประมาณแผ่นดิน โดยวิธีที่พบบ่อยกับงานไอทีและคลาวด์มีสามวิธีหลัก ได้แก่ วิธีเฉพาะเจาะจง วิธีคัดเลือก และวิธีประกวดราคาอิเล็กทรอนิกส์ (e-bidding)

ในระดับหลักการ วิธีเฉพาะเจาะจงคือการเชิญผู้ให้บริการรายที่มีคุณสมบัติตรงกับความต้องการมาเสนอราคาโดยตรง วิธีคัดเลือกคือการเชิญผู้ให้บริการที่เหมาะสมหลายรายมายื่นข้อเสนอเพื่อเปรียบเทียบกัน ส่วน e-bidding คือการประกาศเชิญชวนเป็นการทั่วไป ให้ผู้สนใจแข่งขันผ่านระบบอิเล็กทรอนิกส์ แต่ละวิธีมีเงื่อนไขและระยะเวลาต่างกัน จึงควรหารือกับเจ้าหน้าที่พัสดุตั้งแต่เริ่มโครงการ

บัญชีบริการดิจิทัล (depa) คืออะไร ช่วยหน่วยงานอย่างไร

บัญชีบริการดิจิทัลคือรายการสินค้าและบริการดิจิทัลของผู้ประกอบการไทยที่ผ่านการตรวจสอบและขึ้นทะเบียนตามหลักเกณฑ์ของสำนักงานส่งเสริมเศรษฐกิจดิจิทัล (depa) เพื่อให้หน่วยงานภาครัฐจัดซื้อบริการดิจิทัลได้สะดวก โปร่งใส และมั่นใจในคุณสมบัติของผู้ให้บริการมากขึ้น

ประโยชน์โดยตรงคือลดภาระการตรวจสอบคุณสมบัติผู้ขายด้วยตัวเอง เพราะผู้ประกอบการในบัญชีผ่านเกณฑ์ด้านมาตรฐานและความน่าเชื่อถือมาแล้วระดับหนึ่ง และยังเป็นการสนับสนุนผู้ประกอบการดิจิทัลไทย

สำหรับงานคลาวด์ การอ้างอิงบริการที่ขึ้นทะเบียนช่วยให้การเตรียมเอกสารจัดซื้อง่ายขึ้น ทั้งนี้ควรตรวจสอบรายการล่าสุดจากช่องทางทางการของ depa ทุกครั้ง เพราะรายการมีการปรับปรุงต่อเนื่อง

เจ้าหน้าที่ลงนามสัญญาจัดซื้อบริการคลาวด์ที่ขึ้นทะเบียนในบัญชีบริการดิจิทัล

วิธีเฉพาะเจาะจง วิธีคัดเลือก และ e-bidding ต่างกันอย่างไร

ตารางด้านล่างสรุปมุมมองเชิงเปรียบเทียบของทั้งสามวิธี เพื่อใช้ตั้งต้นหารือกับฝ่ายพัสดุ ไม่ใช่ข้อสรุปทางระเบียบ

หัวข้อเปรียบเทียบวิธีเฉพาะเจาะจงวิธีคัดเลือกe-bidding
เหมาะกับกรณีไหนบริการที่มีผู้ให้บริการคุณสมบัติเฉพาะตรงกับความจำเป็นของงานงานที่มีผู้ให้บริการเหมาะสมจำนวนจำกัด และต้องการเปรียบเทียบข้อเสนองานที่เปิดแข่งขันเป็นการทั่วไป มีผู้ให้บริการในตลาดหลายราย
ความเร็วเชิงเปรียบเทียบเร็วที่สุดในสามวิธี เพราะขั้นตอนน้อยกว่าปานกลาง ขึ้นกับจำนวนผู้ยื่นข้อเสนอและรอบการพิจารณาใช้เวลามากกว่าโดยเปรียบเทียบ เพราะมีขั้นตอนประกาศและรอผล
จุดที่ต้องเตรียมเหตุผลความจำเป็น และหลักฐานคุณสมบัติเฉพาะของผู้ให้บริการรายชื่อผู้ให้บริการที่จะเชิญ และเกณฑ์ให้คะแนนที่ชัดเจนเป็นธรรมTOR และขอบเขตงานที่รัดกุมตั้งแต่แรก เพราะแก้ไขภายหลังได้ยาก

ความเร็วในตารางเป็นการเปรียบเทียบเชิงหลักการ การเลือกวิธีจริงให้ยึดระเบียบพัสดุและคำแนะนำของเจ้าหน้าที่พัสดุเป็นหลัก

ขั้นตอนจัดซื้อคลาวด์ภาครัฐ ตั้งแต่เริ่มต้นจนตรวจรับ

การจัดซื้อคลาวด์ที่ราบรื่นมักเริ่มจากการบ้านด้านเทคนิคก่อนงานเอกสาร เพราะความต้องการที่ชัดเจนทำให้ทุกขั้นตอนถัดไปสั้นลง เรียงตามลำดับได้ดังนี้

  • สำรวจความต้องการ: รวบรวมรายการระบบงาน จำนวนผู้ใช้ ทรัพยากร และช่วงเวลาที่ระบบต้องพร้อมให้บริการ เพื่อให้ขนาดบริการที่จัดซื้อพอดีกับงานจริง
  • จัดชั้นข้อมูล: ประเมินความอ่อนไหวของข้อมูลแต่ละชุดตามหลักเกณฑ์การจัดชั้นข้อมูลของ DGA ข้อมูลชั้นสูงควรอยู่บนคลาวด์ในประเทศที่ควบคุมและตรวจสอบได้
  • เขียน TOR: แปลงความต้องการเป็นขอบเขตงานที่วัดผลได้ ระบุ SLA ใบรับรองมาตรฐาน และเงื่อนไขสำคัญให้ครบตามแนวทางในหัวข้อถัดไป
  • เลือกวิธีจัดซื้อ: หารือกับฝ่ายพัสดุว่างานนี้เข้าเงื่อนไขวิธีใด แล้ววางแผนเวลาโครงการตามขั้นตอนของวิธีนั้น
  • พิจารณาข้อเสนอและทำสัญญา: ตรวจคุณสมบัติ ใบรับรอง และข้อเสนอทางเทคนิคควบคู่กับราคา พร้อมกำหนดเงื่อนไขการส่งมอบในสัญญาให้ชัดเจน
  • ตรวจรับ: ทดสอบการใช้งานจริงตาม TOR เช่น การเข้าถึงระบบ ประสิทธิภาพ การสำรองข้อมูล และช่องทางแจ้งเหตุ ก่อนลงนามตรวจรับงาน

ขั้นตอนที่มักถูกข้ามคือการจัดชั้นข้อมูล ทั้งที่เป็นตัวกำหนดรูปแบบคลาวด์ที่เหมาะสม การทำให้ครบตั้งแต่ต้นช่วยลดปัญหาต้องแก้ TOR กลางทาง

เขียน TOR คลาวด์อย่างไรให้ได้ของจริง ไม่ใช่แค่ราคาถูก

TOR คลาวด์ที่ดีคือเครื่องมือคัดกรองผู้ให้บริการที่มีคุณภาพจริง หากระบุเพียงจำนวน CPU, RAM และพื้นที่จัดเก็บ หน่วยงานอาจได้ราคาถูกในวันยื่นซอง แต่เสียเรื่องความปลอดภัยและการดูแลในระยะยาว หัวข้อที่ควรระบุอย่างน้อยมีดังนี้

  • Data Residency: กำหนดให้ข้อมูลจัดเก็บและประมวลผลในประเทศไทย พร้อมระบุที่ตั้งศูนย์ข้อมูลได้ชัดเจน
  • ใบรับรองมาตรฐาน: เช่น ISO/IEC 27001 ด้านความมั่นคงปลอดภัยสารสนเทศ ISO 22301 ด้านความต่อเนื่องทางธุรกิจ และศูนย์ข้อมูลระดับ Tier 3 ขึ้นไป
  • SLA: ระดับความพร้อมใช้งาน ช่องทางแจ้งเหตุ เวลาตอบสนอง และเงื่อนไขชดเชยเมื่อบริการไม่เป็นไปตามข้อตกลง
  • การสำรองข้อมูล: ความถี่ในการสำรอง จำนวนสำเนา ระยะเวลาเก็บรักษา และการทดสอบกู้คืนเป็นระยะ
  • การสนับสนุน: ทีมงานที่ติดต่อได้จริง ช่องทางภาษาไทย และการแบ่งขอบเขตความรับผิดชอบให้ชัดเจน
  • เงื่อนไขออกจากบริการ: สิทธิในการย้ายข้อมูลออก รูปแบบข้อมูลที่ส่งมอบคืน และการลบข้อมูลเมื่อสิ้นสุดสัญญา

ข้อสุดท้ายสำคัญกว่าที่หลายหน่วยงานคิด เพราะเป็นหลักประกันว่าหน่วยงานจะไม่ถูกผูกติดกับผู้ให้บริการรายใดโดยไม่มีทางออก

ทีมจัดซื้อประชุมตรวจทานเอกสาร TOR คลาวด์ร่วมกันก่อนเปิดรับข้อเสนอ

เกณฑ์พิจารณาข้อเสนอ: ราคาต่ำสุด หรือราคาประกอบคุณภาพ

บริการคลาวด์ของแต่ละรายไม่เท่ากันแม้ตัวเลขสเปกจะใกล้เคียงกัน ความต่างที่แท้จริงอยู่ที่ความปลอดภัย ความพร้อมของศูนย์ข้อมูล คุณภาพทีมดูแล และความมั่นคงของผู้ให้บริการ การตัดสินด้วยราคาต่ำสุดเพียงอย่างเดียวจึงเสี่ยงได้ของที่ดูเหมือนกันบนกระดาษ แต่ใช้งานจริงต่างกันมาก

แนวทางที่เหมาะกับบริการคลาวด์คือเกณฑ์ราคาประกอบคุณภาพ โดยให้น้ำหนักคะแนนด้านเทคนิค เช่น ใบรับรองมาตรฐาน สถาปัตยกรรมความปลอดภัย แผนสำรองข้อมูล และทีมสนับสนุน ควบคู่กับคะแนนราคา เพื่อให้ได้ผู้ให้บริการที่คุ้มค่าที่สุดตลอดอายุสัญญา ไม่ใช่ถูกที่สุดในวันเปิดซอง

งบประมาณคลาวด์แบบ OPEX ต่างจากซื้อเครื่องแบบ CAPEX อย่างไร

การซื้อเซิร์ฟเวอร์มาติดตั้งเองเป็นงบลงทุน (CAPEX) ที่ต้องจ่ายก้อนใหญ่ครั้งเดียว แล้วรับภาระค่าดูแล ค่าซ่อมบำรุง และการเสื่อมสภาพของอุปกรณ์ต่อเนื่อง ส่วนบริการคลาวด์เป็นค่าใช้จ่ายดำเนินงาน (OPEX) ที่จ่ายตามรอบบริการและปริมาณการใช้งานจริง

งบประมาณคลาวด์แบบ OPEX ช่วยให้หน่วยงานวางงบประมาณรายปีได้แม่นยำขึ้น เพราะเป็นค่าบริการที่ค่อนข้างคงที่ ขยายหรือลดขนาดได้ตามภารกิจ และไม่ต้องตั้งงบก้อนใหญ่เปลี่ยนอุปกรณ์ยกชุดเมื่อหมดอายุการใช้งาน

หัวข้อซื้อเครื่องเอง (CAPEX)ใช้บริการคลาวด์ (OPEX)
ลักษณะการจ่ายลงทุนก้อนใหญ่ครั้งแรก และมีค่าดูแลตามมาตลอดอายุอุปกรณ์จ่ายเป็นรอบตามการใช้งาน คาดการณ์ค่าใช้จ่ายได้
การวางงบประมาณรายปีต้องตั้งงบลงทุนล่วงหน้า และเผื่องบซ่อมเปลี่ยนอุปกรณ์วางเป็นค่าใช้จ่ายประจำที่ค่อนข้างคงที่
การขยายระบบต้องจัดซื้ออุปกรณ์เพิ่มเป็นรอบ ใช้เวลาจัดหานานปรับเพิ่มหรือลดทรัพยากรได้ตามภารกิจจริง
ภาระการดูแลหน่วยงานดูแลฮาร์ดแวร์ ไฟฟ้า ความเย็น และความปลอดภัยเองผู้ให้บริการดูแลโครงสร้างพื้นฐานตาม SLA
ความเสี่ยงอุปกรณ์ล้าสมัยรับความเสี่ยงเองเมื่อครบอายุการใช้งานแพลตฟอร์มได้รับการปรับปรุงเทคโนโลยีต่อเนื่อง

ไม่จำเป็นต้องเลือกสุดทางใดทางหนึ่ง หลายหน่วยงานใช้แบบผสม โดยคงระบบเดิมที่ยังใช้ได้ และย้ายระบบใหม่หรือระบบที่ต้องขยายขึ้นคลาวด์ก่อน

นโยบาย Cloud First การจัดชั้นข้อมูล และบทบาทของ GDCC

นโยบาย Cloud First วางหลักให้หน่วยงานรัฐพิจารณาใช้บริการคลาวด์เป็นทางเลือกแรกแทนการลงทุนสร้างระบบเองทั้งหมด ส่วนหลักเกณฑ์การจัดชั้นข้อมูลของ DGA ช่วยให้เลือกประเภทคลาวด์ตามความอ่อนไหวของข้อมูลแต่ละชุดได้อย่างเป็นระบบ

ข้อมูลชั้นสูงหรือระบบที่กระทบความมั่นคงควรอยู่บนคลาวด์ในประเทศที่ควบคุมและตรวจสอบได้ เช่น Sovereign Cloud ขณะที่งานทั่วไปเลือกรูปแบบที่คุ้มค่าได้ ทั้งหมดต้องสอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และแนวทางด้านความมั่นคงปลอดภัยของ สกมช.

สำหรับหน่วยงานที่ใช้คลาวด์กลางภาครัฐ (GDCC) อยู่แล้ว คลาวด์เอกชนไทยคือส่วนเสริม ไม่ใช่คู่แข่ง เช่น งานที่ต้องการทรัพยากรเฉพาะ ระบบสำรอง DR ต่างไซต์ หรือ SLA เฉพาะด้าน การใช้ร่วมกันช่วยให้ระบบโดยรวมยืดหยุ่นและทนทานต่อเหตุไม่คาดฝันมากขึ้น

เช็กลิสต์เอกสารและคุณสมบัติผู้ให้บริการก่อนตัดสินใจ

ก่อนสรุปผู้ให้บริการ ควรขอเอกสารต่อไปนี้มาตรวจประกอบการพิจารณา เพื่อยืนยันว่าข้อเสนอที่ได้รับตรงกับความสามารถจริง

  • ใบรับรองมาตรฐานที่ยังมีผลบังคับ เช่น ISO/IEC 27001, ISO 22301, ISO 20000-1 และ CSA-STAR
  • หลักฐานที่ตั้งศูนย์ข้อมูลในประเทศไทย และมาตรฐานของศูนย์ข้อมูล เช่น TIA-942 ระดับ Tier 3 ขึ้นไป
  • ร่าง SLA ที่ระบุความพร้อมใช้งาน เวลาตอบสนอง และเงื่อนไขชดเชยเป็นลายลักษณ์อักษร
  • แนวปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และการควบคุมการเข้าถึงข้อมูลของเจ้าหน้าที่ฝั่งผู้ให้บริการ
  • สถานะการขึ้นทะเบียนในบัญชีบริการดิจิทัลหรือทะเบียนผู้ประกอบการที่เกี่ยวข้อง
  • ผลงานอ้างอิงกับหน่วยงานลักษณะใกล้เคียงกัน และแผนการสนับสนุนหลังเริ่มใช้งานจริง

THAI DATA ช่วยหน่วยงานในกระบวนการจัดซื้ออย่างไร

THAI DATA เป็นผู้ให้บริการคลาวด์ของคนไทย ก่อตั้งปี 2016 ให้บริการจาก Data Center มาตรฐาน TIA-942 Tier 3+ ในประเทศไทยสองไซต์ คือกรุงเทพฯ และต่างจังหวัด พร้อมใบรับรอง ISO/IEC 27001, ISO 22301, ISO 20000-1 และ CSA-STAR ซึ่งใช้อ้างอิงในกระบวนการจัดซื้อได้โดยตรง

ทีมงานคนไทยของเราช่วยได้ตั้งแต่ต้นทาง ทั้งข้อมูลทางเทคนิคประกอบการเขียน TOR การออกแบบระบบให้ตรงตามขอบเขตงาน การจัดเตรียมใบเสนอราคาและเอกสารประกอบการจัดซื้อครบชุด ไปจนถึงการส่งมอบและตรวจรับตามเงื่อนไข

หากหน่วยงานของท่านกำลังวางแผนจัดซื้อคลาวด์ ปรึกษาทีมงานได้ฟรี โทร 061-989-8891, LINE @thaidatacloud หรืออีเมล [email protected]

คำถามที่พบบ่อย

บัญชีบริการดิจิทัลคืออะไร

คือรายการสินค้าและบริการดิจิทัลของผู้ประกอบการไทยที่ผ่านการขึ้นทะเบียนตามหลักเกณฑ์ของ depa ช่วยให้หน่วยงานรัฐจัดซื้อได้สะดวก โปร่งใส และมั่นใจในคุณสมบัติผู้ให้บริการ

หน่วยงานรัฐจัดซื้อคลาวด์จากเอกชนได้ไหม ผิดระเบียบหรือไม่

ได้ นโยบาย Cloud First สนับสนุนให้ใช้คลาวด์ที่เหมาะสม ผ่านวิธีจัดซื้อตามระเบียบพัสดุ เช่น วิธีเฉพาะเจาะจง วิธีคัดเลือก หรือ e-bidding และอ้างอิงบัญชีบริการดิจิทัลประกอบได้

วิธีเฉพาะเจาะจงกับวิธีคัดเลือกต่างกันอย่างไร

วิธีเฉพาะเจาะจงคือการเชิญผู้ให้บริการรายเดียวที่คุณสมบัติตรงมาเสนอราคาโดยตรง ส่วนวิธีคัดเลือกคือการเชิญหลายรายมายื่นข้อเสนอเพื่อเปรียบเทียบ เงื่อนไขการใช้ให้หารือฝ่ายพัสดุของหน่วยงาน

e-bidding เหมาะกับการจัดซื้อคลาวด์แบบไหน

เหมาะกับงานที่เปิดแข่งขันเป็นการทั่วไปและมีผู้ให้บริการในตลาดหลายราย จุดสำคัญคือ TOR ต้องรัดกุมตั้งแต่แรก เพราะแก้ไขภายหลังได้ยากและกระทบระยะเวลาโครงการ

TOR คลาวด์ควรระบุอะไรบ้าง

อย่างน้อยควรครอบคลุม Data Residency ในประเทศไทย ใบรับรองมาตรฐาน เช่น ISO/IEC 27001 รวมถึง SLA การสำรองข้อมูล การสนับสนุนหลังการขาย และเงื่อนไขการย้ายข้อมูลออกเมื่อสิ้นสุดสัญญา

ควรใช้เกณฑ์ราคาต่ำสุดหรือราคาประกอบคุณภาพ

สำหรับบริการคลาวด์แนะนำเกณฑ์ราคาประกอบคุณภาพ เพราะผู้ให้บริการแต่ละรายต่างกันมากด้านความปลอดภัย SLA และการดูแล ราคาต่ำสุดอย่างเดียวเสี่ยงได้บริการที่ไม่ตอบโจทย์ระยะยาว

งบคลาวด์เป็น OPEX หมายความว่าอย่างไร

หมายถึงการจ่ายเป็นค่าบริการรายรอบตามการใช้งานจริง แทนการลงทุนซื้ออุปกรณ์ก้อนใหญ่แบบ CAPEX ทำให้วางงบประมาณรายปีคาดการณ์ได้ง่ายขึ้น และปรับขนาดบริการตามภารกิจได้

ใช้ GDCC อยู่แล้ว ยังจัดซื้อคลาวด์เอกชนเพิ่มได้ไหม

ได้ คลาวด์เอกชนไทยทำหน้าที่เสริมคลาวด์กลางภาครัฐ เช่น งานที่ต้องการทรัพยากรเฉพาะ ระบบ DR ต่างไซต์ หรือ SLA เฉพาะด้าน โดยเลือกตามการจัดชั้นข้อมูลของแต่ละระบบ

ต้องตรวจใบรับรองอะไรของผู้ให้บริการคลาวด์

อย่างน้อยควรมี ISO/IEC 27001 และ ISO 22301 ที่ยังมีผล พร้อมหลักฐานศูนย์ข้อมูลมาตรฐาน Tier 3 ขึ้นไปในประเทศไทย หากมี ISO 20000-1 และ CSA-STAR ด้วยจะยิ่งสะท้อนคุณภาพบริการ

THAI DATA ช่วยเรื่องการจัดซื้อได้อย่างไร

เราช่วยให้ข้อมูลทางเทคนิคประกอบการเขียน TOR ออกแบบระบบตามขอบเขตงาน จัดเตรียมใบเสนอราคา ใบรับรองมาตรฐาน และเอกสารประกอบการจัดซื้อครบชุด ปรึกษาฟรีที่โทร 061-989-8891 หรือ LINE @thaidatacloud

ขอใบเสนอราคา / ปรึกษาผู้เชี่ยวชาญคลาวด์ภาครัฐฟรี

กรอกข้อมูลสั้น ๆ ทีมงานติดต่อกลับภายใน 1 วันทำการ

  • 061-989-8891
  • LINE @thaidatacloud
  • ข้อมูลของคุณถูกเก็บเป็นความลับ และใช้เพื่อการติดต่อกลับเท่านั้น