入札情報は以下の通りです。
| 件名 | 情報セキュリティ外部監査業務(158KB) |
|---|---|
| 公示日または更新日 | 2023 年 9 月 27 日 |
| 組織 | 愛媛県愛南町 |
| 取得日 | 2023 年 9 月 27 日 19:05:06 |
令和5年度愛南町公告企第8号-20入札公告 下記のとおり条件付一般競争入札(事後審査型)を行いますので、地方自治法施行令(昭和22年政令第16号)第167条の6及び愛南町契約事務規則(平成17年愛南町規則第21号)第4条の規定に基づき公告します。
愛南町長 清水 雅文入札番号 0820期間-期間総務課 Tel 0895-72-1211期間場所到着期限郵送先日時場所入札保証金契約保証金要前払い部分払い契約書の作成要否支払条件なしなし※愛南町では事後審査型の郵便入札を行っています。入札書(必要に応じて工事内訳書)及び上記に示す提出資料を同封の上応札願います。詳しくはHPに掲載している入札制度概要等をご覧ください。
業務費内訳書の提出 不要入札保証金及び契約保証金免除免除申請書及び資料の受付令和5年10月17日(火)まで城辺郵便局留(一般書留または簡易書留)競争入札執行の日時及び場所令和5年10月19日(木) 午後1時30分から愛南町役場本庁 3階 大会議室③配置予定の技術者 ・配置技術者等の資格・業務経験(様式第3号)④その他の提出書類・入札参加に必要な資格(5)を証明する書類(任意様式)質問に対する回答書令和5年10月6日(金)~令和5年10月17日(火)愛南町ホームページ提出資料の内容①申請書 ・競争参加資格確認申請書(様式第1号)②業務実績 ・同種(類似)業務実績(様式第2号)質問受付令和5年9月27日(水)~令和5年10月5日(木) 正午まで場所愛南町城辺甲2420 愛南町役場本庁(4)監査対象となる情報資産の管理及び当該情報資産に関する情報システムに関わる業務(企画、設計、開発、構築、運用、保守又は支援のいずれかに関する業務)の受注者でないこと。
(5)「情報セキュリティ外部監査業務委託仕様書」7監査人要件 (2)、(3)及び(4)の要件を満たすこと。
設計図書等閲覧及び貸出-場所-最低制限価格・調査基準価格-入札参加に必要な資格(1)国内に契約権限を有する本店又は支店若しくは営業所を有すること。
(2)国、又は地方公共団体との間に本業務の対象となる業務に相当する情報セキュリティ監査業務の実績を有すること。
(3)担当技術者(監査責任者)を配置することができること。
入札書比較価格(税抜) 2,220,000円落札方式 自動落札(最低制限価格なし)履行期間 契約締結日の翌日から令和6年3月8日まで予定価格 2,442,000円業務概要情報セキュリティ外部監査オンサイト監査(技術検証含む)オフサイト監査、文書監査標的型攻撃メール訓練、監査報告書等資料作成、監査報告会等の実施令和5年9月27日記業務名 情報セキュリティ外部監査業務業務場所 愛南町 城辺甲2420
設 計 書 情報セキュリティ外部監査業務摘 要 数 量 単位 単 価 金 額1 オンサイト監査(本庁:8所属程度) 技術的検証含む 4 人日2 オフサイト監査 2 人日3 文書監査 3.5 人日4 標的型攻撃メール訓練 1 式5 監査報告書等資料作成費 9 人日6 監査報告会・情報セキュリティ研修会 各1回 3 人日7 諸経費 1 式合 計情報セキュリティ外部監査業務設計書名 称 備 考計消 費 税
情報セキュリティ外部監査業務委託仕様書1 業務名情報セキュリティ外部監査業務2 監査目的本業務は、本町の「情報セキュリティポリシー」及び「愛南町特定個人情報等の安全管理に関する基本方針」、「愛南町特定個人情報の取扱いに関する管理規程」等に基づき実施している情報資産の管理、各種情報システムの保守・運用、職員研修等の情報セキュリティ対策について、第三者による独立かつ専門的な立場から、基準等に準拠して適切に実施されているか否かを点検・評価し、問題点の確認、改善方法等についての検討、助言及び指導を行うことによって、本町の情報セキュリティ対策の向上に資することを目的とする。3 監査期間契約締結日の翌日から令和6年3月8日まで4 監査対象本町の行政情報システム及び特定個人情報を取り扱う業務を対象とする(具体的な範囲は、別に受託者に指示する)。5 監査内容「地方公共団体情報セキュリティ監査ガイドライン」及び「地方公共団体等における監査のためのチェックリスト」等を基に本町の実情にあった監査項目を抽出して、助言型監査を実施すること。なお、技術検証及び標的型攻撃メール訓練の実施も含まれることに留意すること。(1)監査実施計画書の作成監査の手順、実施スケジュール等を具体的に記載した監査実施計画書を作成すること。(2)監査チェックリストの作成第6項で示す適用基準から、本町の実情に合わせた監査項目を設定し、具体的な確認内容を記載した監査チェックリストを作成すること。(3)現場視察の実施ア 被監査者に対し、監査チェックリストに従いインタビューを行うこと。イ 必要に応じて、記録類や情報保管場所等について情報セキュリティポリシーの遵守状況等をレビューすること。ウ インタビュー及びレビューの結果、情報セキュリティポリシー等が十分に遵守されていない場合、現状の運用及び遵守できない理由について確認すること。エ 監査対象所属は、本庁内の8所属程度とし、1所属当たり1時間程度で実施すること。(4)システム脆弱性等技術診断の実施ア インターネット側に設置するホームページサーバ、メールサーバ等の脆弱性等の技術診断を実施すること。イ 診断結果報告書を作成し、監査報告書にまとめること。(5)標的型攻撃メール訓練の実施本町が保有する特定のメールアカウントに疑似標的型メールを送信し、標的型攻撃メールに対する免疫力や対応力を確認するための訓練を実施すること。ア 訓練メールは、100~200アカウントに対し送信(計2回)することとし、送信に当たっては、受信側のメールサーバの負荷を考慮し、本町と協議のうえ実施すること。イ 訓練メールは、添付ファイル型若しくは URL 型いずれかとし、それぞれ添付ファイルを開封若しくは URL をクリックした際にウィルス感染することを前提とした訓練とすること。ウ 本町が提供するデータを基に、開封したユーザーが特定でき、またそれを所属別に集計することが可能な形式で収集できること。エ 訓練メールの標題、本文及び発信元については、カスタマイズが可能であること。
また、メール本文のテンプレートを提供すること。オ 訓練メール開封者に対して、このメールが訓練用メールであること、また、教育用コンテンツを表示できること。カ 訓練の実施に当たっては、実施計画書を作成し、本町と事前に協議及び動作確認を行ったうえで実施すること。キ 訓練実施後、訓練結果報告書及び事後教育コンテンツを作成し、監査報告書にまとめること。(6)情報セキュリティポリシーの見直し提案監査結果及び情報セキュリティと取り巻く状況の変化を踏まえ、本町の情報セキュリティポリシーやそれに係る運用について、改善すべき事項があれば提案し、監査報告書にまとめること。(7)監査報告書の作成ア 監査で確認した内容及び標的型攻撃メール訓練結果を取りまとめた監査報告書を作成し、提出すること。イ 監査報告書は、監査対象についての脆弱点を網羅した非公開の「監査報告書(詳細版)」と公開を前提とした「監査報告書(公開版)」の2種類を作成し、提出すること。
なお、様式は任意とするが、サイズについては、A4版(縦)で作成すること。(8)監査報告会・情報セキュリティ研修会の実施ア 最高情報セキュリティ責任者、統括情報セキュリティ責任者及び情報セキュリティ責任者(保護管理者)に対し、監査報告書を用いて監査報告会を実施すること(1時間程度)。イ 各所属の情報システム運用担当者、保護担当者及び事務取扱担当者等に対し、監査結果(標的型攻撃メール訓練結果含む)及び最新の情報セキュリティの現状と動向を踏まえたセキュリティ研修を実施すること(1時間程度)。ウ 事前に研修資料を作成し、担当者の確認を得ること。エ 監査報告会・情報セキュリティ研修会は、同日の開催で可とする。6 適用基準(1) 必須とする基準ア 愛南町情報セキュリティポリシー(基本方針及び対策基準)イ 愛南町特定個人情報等の安全管理に関する基本方針ウ 愛南町特定個人情報の取扱いに関する管理規程エ 愛南町特定個人情報等取扱マニュアル(2) 参考とする基準ア 特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体編)イ 地方公共団体における情報セキュリティポリシーに関するガイドラインウ 地方公共団体における情報セキュリティ監査に関するガイドラインエ 情報セキュリティサービス基準7 監査人要件(1) 受託者は、監査対象となる情報資産の管理及び当該情報資産に関する情報システムに関わる業務(企画、設計、開発、構築、運用、保守又は支援のいずれかに関する業務)の受注者でないこと。(2) 監査責任者、監査人、監査補助者、アドバイザー等で構成される監査チームを編成すること。(3) 監査チームには、情報セキュリティ監査に必要な知識及び経験(地方公共団体における情報セキュリティ監査の実績)を持ち、次に掲げるいずれかの資格を有する者が1人以上含まれていること。ア システム監査技術者イ 公認情報システム監査人(CISA)ウ 公認システム監査人(CSA)エ ISMS主任審査員オ ISMS審査員カ 情報セキュリティアドミニストレータキ 公認情報セキュリティ主任監査人ク 公認情報セキュリティ監査人(4) 監査チームには、監査の効率と品質の保持のため次のいずれかの実績(実務経験)を有する専門家が1人以上含まれていること。ア 情報セキュリティ監査イ 情報セキュリティに関するコンサルティングウ 情報セキュリティポリシーの作成に関するコンサルティング(支援を含む)8 監査成果物と納品方法次の監査成果物を書面(A4版縦)及び電子媒体(CD-R)にて提出すること。(1) 監査成果物ア 業務完了報告書イ 監査実施計画書ウ 監査チェックリストエ 情報セキュリティ監査報告書(詳細版)※標的型攻撃メール訓練報告書及び情報セキュリティポリシーの見直し提案書含む。オ 情報セキュリティ監査報告書(公開版)カ 情報セキュリティ研修会資料キ 議事録ク その他必要な書類(2) 納品方法ア 紙媒体 各2部イ 電子媒体(CD-R) 1部※電子ファイルは加工可能な形式のファイルとすること。(3) 成果物の帰属成果物及びこれに付随する資料は、全て本町に帰属するものとし、書面による本町の承諾を受けないでほかに公表、譲渡、貸与又は使用してはならない。ただし、成果物及びこれに付随する資料に関し、受託者が従前から保有する著作権は、受託者に留保されるものとし、本町は、本業務の目的の範囲内で自由に利用できるものとする。9 契約締結後、提出が必要な書類次の書類を契約締結後速やかに提出すること(各1部)。(1)業務着手届(2)守秘義務誓約書(3)従事者の資格を証明する書類の写し(4)監査実施計画書10 留意事項業務の実施に当たっては、次の事項に留意すること。(1) 資料の提供等本業務の実施に当たり、必要な資料及びデータの提供は、本町が妥当と判断する範囲内で提供する。なお、受託者は、本町から提供された資料は適切に保存し、特に個人情報に係るもの及び情報システムのセキュリティに係るものの保管は厳格に行うものとする。また、契約終了後は本件監査に当たり収集した一切の資料を速やかに本町に返還し、又は廃棄するものとする。(2) 再委託受託者は、本業務の全部を一括して他の業者に再委託することを原則禁止する。本業務の一部をやむを得ず再委託する必要がある場合は、当該業務に係る業務遂行能力を持つ者を責任を持って選定することとし、再委託して処理する内容、再委託の理由、再委託先の事業者の名称、再委託先事業者において取り扱う情報、従事者の氏名及び経歴その他再委託先に対する安全性及び信頼性を確保する対策並びに管理及び監督の方法等を明記した書面を事前に提出し、承認を得なければならない。(3) 秘密保持等受託者は、本業務の実施に当たり、知り得た情報及び成果品の内容を正当な理由なくほかに開示し、又は自らの利益のために利用してはならない。これは、契約終了後又は契約解除後においても同様とする。(4) 議事録等の作成受託者は、本業務の実施にあたり、本町と行う会議、打ち合わせ等に関する議事録を作成し、本町にその都度提出して内容の確認を得るものとする。(5) 関係法令の遵守受託者は、本業務の実施にあたり、関係法令等を遵守し業務を円滑に進めなければならない。(6) 報告等受託者は作業スケジュールに十分配慮し、本町と密接に連絡を取り業務の進捗状況を報告するものとする。11 その他本業務の実施に当たり、本仕様書に記載のない事項については本町と協議のうえ決定するものとする。