入札情報は以下の通りです。
| 件名 | 令和4年度 情報セキュリティ監査請負業務 |
|---|---|
| 入札資格 | A B C |
| 公示日または更新日 | 2022 年 10 月 13 日 |
| 組織 | 独立行政法人石油天然ガス・ 金属鉱物資源機構 |
| 取得日 | 2022 年 10 月 13 日 19:11:51 |
入 札 公 告次のとおり一般競争入札に付します。令和4年10月13日独立行政法人石油天然ガス・金属鉱物資源機構契約担当役 理事 西 川 信 康1. 競争入札に付する事項(1)件名 令和4年度情報セキュリティ監査請負業務(2)内容 下記4.(2)に示す入札説明書に記載(3)契約期間 契約締結日~令和5年3月24日(4)入札方法 一般競争入札入札金額は請負業務の総価を記載すること。なお、落札者の決定に当たっては入札書に記載された金額に当該金額の 10 パーセントに相当する額を加算した金額(当該金額に1円未満の端数があるときは、その端数を切り捨てた金額)をもって落札価格とするので、入札者は消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積った価格の 110 分の 100 に相当する金額を入札書に記載すること。2. 競争に参加する者に必要な資格に関する事項下記全ての条件を満たすものとする。(1)独立行政法人石油天然ガス・金属鉱物資源機構(以下「機構」という)の「競争参加者の資格に関する公示」の「3 競争に参加することができない者」に該当しない者であること。(2)国内の法人又は個人については、令和04・05・06年度競争参加資格(全省庁統一資格)の「役務の提供等」で「A」、「B」若しくは「C」の等級に格付けされている者、又は当該競争参加資格を有していない者で、入札日までに競争参加者資格審査を受け、当該等級に格付けされた者であること。(3)現在、国又は政府関係機関等から補助金交付の停止又は契約に係る指名停止等の行政処分を受けている期間中でないこと。(4)下記に記載する項目を充たしていること。・「情報セキュリティサービス基準適合サービスリスト」の情報セキュリティ監査サービス分野に掲載されている者(5)過去3年以内に情報管理の不備を理由に国又は政府機関等との契約を解除されている者ではないこと。(6)本業務の仕様書等に記載している実施体制等に係る適合証明書の提出後、機構の審査の結果、資格を認められたものであること。(7)下記4.(2)に示す入札説明書の交付を受けたものであること。3.一般競争入札参加の申し出一般競争入札に参加しようとする者は、下記4.(2)の入札説明書の交付を受けた上で、上記2(2)、(4)、(5)を証明する書類を提出してください。詳細については、入札説明書に記載。4.契約条項を示す場所(1)入札書の提出先及び問合せ先〒105-0001東京都港区虎ノ門二丁目10番1号 虎ノ門ツインビルディング独立行政法人石油天然ガス・金属鉱物資源機構監査室 担当:林、北村Tel:03-6758-8197、8566 Fax 03-6758-8085電子メール: nyuusatsu-h213@jogmec.go.jp(2)入札説明書の交付入札参加希望者に、電子メールにて入札説明書を配付する。入札説明書の交付を希望する者は、令和4年10月25日(火)16時00分までに、添付の「入札説明書交付申込書」を上記(1)の記載の電子メール宛に提出すること。(3)入札説明会の有無 無(4)一般競争入札参加申請書の提出期限の日時等令和4年11月1日(火)16時00分までに、上記(1)宛てに持ち込み、郵送又は電子メールにて提出すること。(5)入札の日時及び場所令和4年11月8日(火)11時00〒105-0001 東京都港区虎ノ門二丁目10番1号 虎ノ門ツインビルディング独立行政法人石油天然ガス・金属鉱物資源機構 19階AB会議室※日時・場所は変更となる場合があります。変更する際には応札者に事前に御連絡いたします。5.入札保証金及び契約保証金に関する事項全額免除6.その他必要な事項(1)入札の無効 競争に参加する資格を有しない者がした入札及び入札の条件に違反した入札は無効とする。(2)契約書作成の要否 要(3)落札者決定方法 予定価格の制限の範囲内で有効な入札を行った者のうち、最も低い価格をもって入札した者を落札者とする。(4)手続きにおける交渉の有無 無○契約の公表に係る留意事項独立行政法人が行う契約については、「独立行政法人の事務・事業の見直しの基本方針」(平成22年12月7日閣議決定)において、独立行政法人と一定の関係を有する法人と契約をする場合には、当該法人への再就職の状況、当該法人との間の取引等の状況について情報を公開するなどの取組を進めるとされているところです。これに基づき、以下のとおり、機構との関係に係る情報を機構のホームページで公表することとしますので、所要の情報の機構への提供及び情報の公表に同意の上で、応札若しくは応募又は契約の締結を行っていただくよう御理解と御協力をお願いいたします。なお、案件への応札若しくは応募又は契約の締結をもって同意されたものとみなさせていただきますので、御了知願います。(1)公表の対象となる契約先次のいずれにも該当する契約先①機構において役員を経験した者(役員経験者)が再就職していること又は課長相当職以上の職を経験した者(課長相当職以上経験者)が役員、顧問等として再就職していること②機構との間の取引高が、総売上高又は事業収入の3分の1以上を占めていること※予定価格が一定の金額を超えない契約や光熱水費の支出に係る契約等は対象外(2)公表する情報上記に該当する契約先について、契約ごとに、物品役務等の名称及び数量、契約締結日、契約先の名称、契約金額等と併せ、次に掲げる情報を公表します。①機構の役員経験者及び課長相当職以上経験者(機構OB)の人数、職名及び機構における最終職名②機構との間の取引高③総売上高又は事業収入に占める機構との間の取引高の割合が、次の区分のいずれかに該当する旨3分の1以上2分の1未満、2分の1以上3分の2未満又は3分の2以上④一者応札又は一者応募である場合はその旨(3)機構に提供していただく情報①契約締結日時点で在職している機構OBに係る情報(人数、現在の職名及び機構における最終職名等)②直近の事業年度における総売上高又は事業収入及び機構との間の取引高(4)公表日契約締結日の翌日から起算して原則として72日以内以 上
令和4年度情報セキュリティ監査請負業務仕様書独立行政法人石油天然ガス・金属鉱物資源機構別紙1.件名令和4年度情報セキュリティ監査請負業務2.目的独立行政法人石油天然ガス・金属鉱物資源機構(以下「機構」という)における情報セキュリティに関する課題等を客観的に明らかにし、発見された課題等について必要な対策及びPDCAサイクルが継続的かつ有効に機能するための助言等を行い、監査を実施することにより機構の情報セキュリティ対策の強化を図ることを目的とする。3.調達概要(1)調達の範囲下記5.仕様に記載(2)契約期間契約締結日から令和5年3月24日4.適合証明書(1)入札公告「2.競争に参加する者に必要な資格に関する事項」の(4)に記載する項目を証明する書類・「情報セキュリティサービス基準適合サービスリスト」の情報セキュリティ監査サービス分野に掲載されている者(2)別紙1「適合証明書(情報セキュリティ要件)」注意1:別紙2「情報取扱者名簿、情報管理体制図」については、落札決定後に契約締結前に提出を行うこととする。注意2:業務請負契約書第22条に示す「情報セキュリティを確保するための体制等」については、契約締結後に機構に提示し了承を得た上で確認書類として提出を行うこととする。5.仕様本業務は、機構の業務内容、規模、情報システムの構成、取り扱う情報等の特性を考慮し、適切な情報セキュリティ対策を継続的に実施するためのマネジメントシステム(情報セキュリティ対策のPDCAサイクル)を確立するため、専門的知見に基づく対策に関する助言等を行い、情報セキュリティ水準の向上を図ること等を目的として、情報セキュリティ監査(助言型監査)を実施する。情報セキュリティ監査の基準は、内閣サイバーセキュリティセンター(NISC)が定める「政府機関等のサイバーセキュリティ対策のための統一基準群(令和3年度版)」(以下「統一基準群」という。)とする。(1)統一基準の準拠精査業務ア.統一基準の準拠精査業務機構の情報セキュリティ関連規程が、統一基準に準拠して、整合性、網羅性及び妥当性が十分に確保されているかについて検証する。問題点等があれば、その抽出と改善点(推奨)を提示すること。イ.準拠精査業務報告書の作成統一基準の準拠精査業務の実施結果に基づき、統一基準の準拠状況の報告書を提出すること。なお、問題点等があれば、その改善策の提案を行うこと。(2)情報セキュリティ監査業務情報セキュリティ監査の監査対象部署は3部署とし、各部署が保有する情報システムの内、一つの情報システムを選定(合計3システム)し、対面式または、WEB形式での監査を行うこととする。監査は、情報システムの導入時から運用時における、統一基準群に準じての運用の精査を行い、必要に応じて改善事項(指摘事項)、及び改善方法の助言を行うこととする。ア.業務実施計画書の作成本仕様書に基づき、業務の範囲、実施内容、詳細スケジュール、提出書類及び提出時期、業務従事者、体制、品質管理の方法及び会議体等、業務全体の実施計画書を作成の上、品質管理を含んだ適切な業務管理を実施し、定期的に作業の進捗状況を機構に報告すること。業務実施計画書に変更が生じた場合は、速やかに機構に報告するとともに、対応方法について機構と協議の上で進めるものとする。監査対象部署への説明会用資料作成、機構の要請時においては、事前説明会の参加すること。イ.情報セキュリティ対策の状況把握請負者は機構の規程及び情報システム資料を速やかに確認し、対策基準、組織体制、情報セキュリティ対策のリスク評価及びリスク評価に基づく情報システム並びにネットワークの技術的対策、情報セキュリティ監査の体制や結果、関係する規程類等の現状を把握すること。機構のネットワーク及びシステム概要については機構が提示する。ウ.情報セキュリティ監査実施計画書及び情報セキュリティ監査業務チェックリスト等の作成上記「ア.業務実施計画書の作成」「イ.情報セキュリティ対策の状況把握」の結果に基づき、情報セキュリティ監査業務及び情報セキュリティ監査業務用監査チェックリストを作成すること。情報セキュリティ監査実施計画書には、監査目的、監査対象部署、監査範囲、監査技法、監査スケジュール、監査業務責任者、業務分担等を記載すること。往査の期間は、定めないので必要な日数について事前に機構と協議すること。エ.往査の実施情報セキュリティ監査実施計画書、情報セキュリティ監査用監査チェックリストに基づき、情報セキュリティ監査(助言型監査)の手法を用いて、往査を実施すること。インタビュー(質問)、資料閲覧及び観察等の往査により問題点等が明らかになった際は、その状況に柔軟に対応するため、インタビュー内容の変更、管理表を更新するなど、スケジュールを含め、適宜変更・組み替えを行うこととする。往査の終了後は、明らかになった問題点に関する認識に齟齬がないよう、事実確認を行うこと。オ.情報セキュリティ監査結果報告書の作成往査の実施結果に基づき、監査報告書及びその概要を説明する資料の作成を行うこと。なお、監査報告書には、監査調書、リスク、情報セキュリティ対策の実施状況、総合的な評価、指摘事項と生じ得るリスク及び具体的な改善策(助言)を含めること。(3)工程管理、打ち合わせ上記5に関する工程管理を行い、適時進捗状況等の報告を行うこと。また、必要に応じて適時打ち合わせを実施すること。(4)成果物の作成・提出ア.成果物・統一基準の準拠精査業務報告書・情報セキュリティ監査業務報告書※情報セキュリティ監査実施基準、業務実施計画書、監査実施計画書、監査用監査チェックリストを含むこと・廃棄証明書・その他議事録等※本業務の実施過程で作成した文書等も併せて提出すること。当該文書等には、進捗・課題管理表、会議資料やその議事録(議事録は請負者が作成すること)等を含む。また、その他に作成された必要資料がある場合は併せて提出すること。イ.成果物提出方法・上記の成果物は電子媒体(CD-RやDVD-R等)により納品(正副各1部)すること。・各報告書等はPDF形式で作成すること。
ウ.納品場所〒105-0001 東京都港区虎ノ門二丁目10番1号独立行政法人石油天然ガス・金属鉱物資源機構 監査室(5)スケジュールア.情報セキュリティ監査実施 令和4年12月~令和5年2月イ.情報セキュリティ監査報告 令和5年3月上旬ウ.検収 令和5年3月中旬※請負者は、本仕様書の要求要件を全て満たしていることを明確にした資料を作成し、契約終了日の1週間前までに、機構の検収を受けること。納入物件の内容に関しては、本仕様書に示された条件、項目を満たしているかについて確認を行う。また、品質については上記2.目的で示された内容を満たすに十分か否かを基準に判断する。検収の結果、請負者側の契約不適合と認められるものについては、請負者の責任及び負担において速やかに修正すること。6.実施体制(1)体制図本業務を実施する際は以下の体制にて監査を実施するとともに、体制図を提示すること。・監査責任者1名(経済産業省システム監査もしくはCISA等の有資格者)・監査責任者補助1名以上・品質管理者1名(経済産業省システム監査もしくはCISA等の有資格者)(2)下記に記載する項目について、請負者が全て法人登録されていること。ア.監査人のうち 1 名を監査責任者とし、監査責任者は以下の資格のいずれかを保持していること。・特定非営利活動法人日本セキュリティ監査協会(JASA)が認定する公認情報セキュリティ主任監査人又は公認情報セキュリティ監査人・経済産業大臣が認定するシステム監査技術者・特定非営利活動法人日本システム監査人協会(SAAJ)が認定する公認システム監査人(CSA)・情報システムコントロール協会(ISACA)が認定する公認情報システム監査人(CISA)・情報システムコントロール協会(ISACA)が認定する公認情報セキュリティマネージャー(CISM)イ.当該案件の監査チームには、監査の効率と品質の保持のため、情報セキュリティ監査、情報セキュリティ(システム監査又は情報システム)に関するコンサルティング又は情報セキュリティポリシーの作成(支援を含む)について、いずれかの実績(実務経験)を有する専門家を 1 名以上含めることができる者であること。ウ.監査人以外に1名を品質責任者とし、品質責任者は以下の資格のいずれかを保持していること。・特定非営利活動法人日本セキュリティ監査協会(JASA)が認定する公認情報セキュリティ主任監査人又は公認情報セキュリティ監査人・経済産業大臣が認定するシステム監査技術者・特定非営利活動法人日本システム監査人協会(SAAJ)が認定する公認システム監査人(CSA)・情報システムコントロール協会(ISACA)が認定する公認情報システム監査人(CISA)・情報システムコントロール協会(ISACA)が認定する公認情報セキュリティマネージャー(CISM)エ.請負者及びその関係会社は、監査対象に対し、「電子政府情報セキュリティ監査基準モデル」の「Ⅱ.1.情報セキュリティ監査人の独立性要件」を満たしていること。(より独立性を確保するため、監査対象の「系列」「子会社」の禁止も要件とする。)7.情報セキュリティ対策(1)請負先に提供する情報の請負先における目的外利用の禁止本業務の実施のために機構から提供する情報その他当該業務の実施において知り得た情報については、その秘密を保持し、漏えい・紛失・盗難等が起こらぬように必要な措置を講じ、当該業務の目的以外に利用しないこと。ただし、法令に基づいて、必要最小限の範囲で開示する場合を除く。(2)請負先における情報セキュリティ対策の実施内容及び管理体制本業務で入手又は作成した資料は、セキュティ対策がとられた箇所で保管(日本国内のみ)することとし、クラウドサービス等のインターネット上のサービスを利用する場合は、セキュティ対策が十分に対策されていることを条件とする。また、必ず請負者の責任において専用の端末内又は外部電磁的記録媒体に暗号化する等、必要な対策を実施して保管すること。(3)請負業務の実施に当たり、請負先企業、若しくはその従業員、再請負先、又はその他の者による意図せざる変更が加えられないための管理体制(4)請負先の資本関係・役員等の情報、請負業務の実施場所、請負業務従事者の 所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍 に関する情報提供(5)情報セキュリティ・インシデントへの対処方法情報セキュリティ・インシデント及び情報の目的外利用等を認知した場合は、速やかに責任者に報告を行い、請負業務を一時中断するとともに、事実解明にあたること。
本業務の納入物件の控え以外の情報については、別添1「要保護情報等の消去に関する覚書」を締結し、適切に廃棄を行うこととする。
また、納入物件の保管は契約不適合責任期間の終了時までとし、書面及びCD-R 等媒体についても、契約不適合責任期間終了後、同様に廃棄を行うこと。
8.留意事項(1)業務実施に要する設備等請負者は本役務の遂行に必要となる物品等があれば全て用意すること。
(2)付随する作業等打ち合わせ時の会議資料や議事録の作成の他、各作業に付随した追加作業が発生する場合には適切に対応すること。また、本業務の目的を達成するために必要な作業、提出書類等がある場合は請負者が提案し、実施及び作成すること。
以 上別添1要保護情報等の消去に関する覚書独立行政法人石油天然ガス・金属鉱物資源機構(以下「甲」という。)と○○○(以下「乙」という。)は、○○年○○月○○日付で締結した「〇〇〇」に係る契約(以下「本契約」という。)において使用した要保護情報等の消去及び廃棄について、以下の通り合意するものとする。(消去の証明)第1条 乙は甲から本契約において入手した本契約に基づく運用上の要保護情報等について、削除・廃棄したことを証明する。(情報の消去)第2条 本契約において使用した要保護情報等について、情報が職務上不要となった場合は、速やかに以下の方法にて消去すること。(1) 電子媒体電磁的記録媒体を廃棄する場合には、当該記録媒体内に情報が残留した状態とならないよう、全ての情報を復元できないように抹消すること・専用ソフトウェアにてデータ消去・専用装置(イレイザー等)にてデータ消去・データ消去サービス・記憶媒体を物理的に破壊(2) 紙媒体要機密情報である書面を廃棄する場合には、復元が困難な状態にすること・シュレッダー等にて復元できない程度に裁断・書類によっては該当機密情報部分をマスキング・溶解〇〇年〇〇月〇〇日甲:東京都港区虎ノ門二丁目10番1号独立行政法人石油天然ガス・金属鉱物資源機構契約担当役 理事 西 川 信 康乙:別紙1適合証明書(情報セキュリティ要件)条件 回答1.令和04・05・06年度の競争参加資格(全省庁統一資格)において「役務の提供等」で「A」、「B」若しくは「C」の等級に格付けされた者、又は当該競争参加資格を有していない者で、入札書の提出の日時までに競争参加資格審査を受け、競争参加資格者名簿に登載された者であること。2.以下の資料が提出されているか。①情報取扱者以外の者が情報に接したり、職務上提供を要求してはならない旨を定める社内規則等②情報漏えいが発生した際の処分に関する社内規則等③親会社等の契約先に対して指導・監督等を行う者の一覧と資本・契約関係図④契約先と指導・監督等を行う者との関係を規定する契約等の説明資料⑤事業者のシステム上のアクセス制限等の説明資料3.移設業務に従事する全ての者において、業務を遂行する能力があることを証明できること。具体的には、移設業務従事者の略歴(氏名、所属、役職、業務経験、研修実績その他の経歴、専門的知識その他の知見、母語及び外国語能力、国籍等)を提出し、業務遂行能力を証明すること。4.受託者の情報管理体制がわかる「情報管理体制図」、情報を取扱う者の氏名・所属部署・役職等がわかる「情報取扱者名簿」を契約時に提出できることを確約すること。5.本業務の主となる企画及び立案並びに根幹に関わる執行管理について、再委託(委託業務の一部を第三者に委託することをいい、請負その他委託の形式を問わない。以下同じ。)を行わない。6.総額に対する再委託の割合が50%を超えないか。超える場合は、相当な理由があるか(「再委託費率が50%を超える理由書」を作成し提出すること)。○又は×○又は×○又は×○又は×○又は×超えない・超える(理由書)<適合証明書に対する照会先>住 所:所 属:担当者名:電話番号:FAX番号:E-mail:氏名 所属部署 役職パスポート番号及び国籍(※5)情報管理責任者(※1)A B C D E再委託先等 F(※1)受託者としての情報取扱の全ての責任を有する者。必ず明記すること。
(例)【情報管理体制図に記載すべき事項】・本事業の遂行にあたって保護すべき情報を取り扱う全ての者。(再委託先等も含む。)・本事業の遂行のため最低限必要な範囲で情報取扱者を設定し記載すること。
(※3)本業務の遂行にあたって保護すべき情報を取り扱う可能性のある者。
体制上の位置づけ(※4)情報取扱者名簿情報取扱管理者(※2)業務従事者(※3)(※2)本業務の遂行にあたって主に保護すべき情報を取り扱う者ではないが、本業務の進捗状況などの管理を行うもので、保護すべき情報を取り扱う可能性のある者。
(※4)実施計画書の研究の体制等に登録されている者は「●印」、それ以外の者は当該業務との関係性や役割を記載。
(※5)日本国籍を有する者及び法務大臣から永住の許可を受けた者(入管特例法の「特別永住者」を除く。)以外の者は、パスポート番号等を記載。
情報管理体制図・当機構との契約に違反する行為を求められた場合にこれを拒む権利を実効性をもって法的に保障されない者を記載してはならない。
(※6)住所、生年月日については、必ずしも提出することを要しないが、その場合であっても当機構の担当課等から求められた場合は速やかに提出すること。
再委託先等業務従事者情報取扱管理者情報管理責任者 AB(進捗状況管理)DC(経費情報管理)EF情報取扱者別紙2