令和７年度情報セキュリティ監査等業務

令和７年度情報セキュリティ監査等業務 入 札 公 告令和７年８月１９日次のとおり一般競争入札に付します。 広島市長 松 井 一 實１ 一般競争入札に付する事項⑴ 業務名令和７年度情報セキュリティ監査等業務⑵ 履行の内容等入札説明書及び仕様書による。 ⑶ 履行期間契約締結の日から令和８年３月３１日まで⑷ 予定価格５，０００，０００円(消費税及び地方消費税相当額を除く。)⑸ 履行場所広島市企画総務局行政経営部情報政策課(広島市中区国泰寺町一丁目４番２１号)及びその他本市が指定する場所⑹ 入札方式本件業務は、開札後に入札参加資格の有無を確認する入札後資格確認型一般競争入札で入札執行する。 ⑺ 入札方法ア 入札金額は、総価を記載すること。 イ 落札決定に当たっては、入札書に記載された金額に当該金額の１００分の１０に相当する額を加算した金額(当該金額に１円未満の端数があるときは、その端数金額を切り捨てるものとする。)をもって落札価格とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の１１０分の１００に相当する金額を入札書に記載すること。 ウ 入札参加者は、入札書に記載する金額の算定根拠となった入札金額内訳書を作成し、入札書と同時に提出すること。 入札金額内訳書の提出がない場合は、その者のした入札を無効とする。 ⑻ 入札区分本件業務は、広島市電子入札システム(以下「電子入札システム」という。)を利用して行う電子入札対象案件である。 本件業務の入札は、紙による入札を認めない電子入札システム利用限定の案件である。 電子入札システムに関する手続については、広島市電子入札システム等利用規約及び広島市電子入札運用基準に従うものとし、これらに反する入札は無効とする。 ２ 入札参加資格次に掲げる入札参加資格を全て満たしていること。 ⑴ 地方自治法施行令第１６７条の４及び広島市契約規則(以下「規則」という。)第２条の規定に該当しない者であること。 ⑵ 広島市競争入札参加資格の「令和５・６・７年」の「物品の売買、借入れ、修繕及び製造の請負並びに役務(建設コンサルティングサービスに係る役務を除く。)の提供」の契約の種類「役務の提供の施設維持管理業務を除く役務」の登録種目「３０－０６情報処理(コンピュータ関連)」に登録されている者であること。 ⑶ 広島市内に本店又は支店若しくは営業所を有する者であること。 ⑷ 入札公告の日から開札日までの間のいずれの日においても、営業停止処分又は本市の指名停止措置若しくは競争入札参加資格の取消しを受けていないこと。 ⑸ 入札者名義のＩＣカードを取得し、電子入札システムの利用者登録を完了している者であること。 ⑹ その他は、入札説明書による。 ３ 一般競争入札参加資格確認申請書の交付方法広島市のホームページ(https://www.city.hiroshima.lg.jp/)のトップページの「事業者向け情報」→「入札・契約情報」→「電子入札」→「調達情報公開システム」の「一般公開用」→「入札・見積り情報」(詳細)からダウンロードできる。 ４ 契約条項を示す場所等⑴ 契約条項を示す場所本市のホームページ(前記３に記載のとおり。以下同じ。)からダウンロードできる。 ⑵ 入札説明書、仕様書等の交付方法本市のホームページからダウンロードできる。 ⑶ 契約担当課(契約条項、入札説明書、仕様書等に関する問合せ先)〒７３０－８５８７広島市中区国泰寺町一丁目４番２１号広島市企画総務局行政経営部情報政策課(広島市役所北庁舎４階)電話 ０８２－５０４－２０２４(直通)⑷ 入札書の提出方法電子入札システムを利用して、令和７年８月２９日(金)の午前８時３０分から午後５時まで及び９月１日(月)の午前８時３０分から午後３時までに送信(入札書の提出をいう。以下同じ。)すること。 ただし、やむを得ない理由で、電子入札システムで送信できない場合は、所定の届出の後、入札書を添付書類とともに令和７年９月１日(月)の午後３時までに入札執行課に持参すること。 ⑸ 入札執行課〒７３０－８５８６広島市中区国泰寺町一丁目６番３４号広島市財政局契約部物品契約課(市役所本庁舎 １５階)電話 ０８２－５０４－２６２０(直通)⑹ 入札回数入札回数は、１回限りとする。 ⑺ 開札の日時及び場所ア 日時 令和７年９月２日(火)午後１時３０分イ 場所 広島市中区国泰寺町一丁目６番３４号市役所本庁舎１５階 入札室⑻ 開札ア 入札参加者のうち開札の立会いを希望する者は、立ち会うことができる。 (立ち会うことができる者は、１者につき１名とする。)イ 開札の結果、予定価格の制限の範囲内で最低の価格をもって有効な入札書を送信した者があるときは、落札者の決定を保留した上で、当該者を落札候補者とする。 ウ 落札候補者となるべき同価の入札をした者が２者以上あるときは、開札日の「翌日(休日でない日)」にくじ引きにより落札候補者を決定する。 ただし、同価の入札をした者の全てが立ち会っている場合には、開札後直ちに、くじ引きにより落札候補者を決定する。 この場合において、くじを引かない者がある場合には、当該入札事務に関係のない職員がその者に代わってくじを引く。 ５ 一般競争入札参加資格確認申請書等の提出落札候補者となった者は、一般競争入札参加資格確認申請書及び入札参加資格の確認に必要な書類(以下「資格確認申請書等」という。)を持参により提出しなければならない。 ⑴ 提出場所前記４⑶に同じ。 ⑵ 提出部数提出部数は、１部とする。 なお、提出した資格確認申請書等は、返却しない。 ⑶ 提出期限令和７年９月３日(水)の正午まで。 ただし、前記４⑻ウ本文によりくじ引きを行う場合などは、別途提出期限を指定する。 なお、提出期限までに提出できない場合は、その者のした入札を無効とする。 ⑷ その他入札参加者は、資格確認申請書等を前記⑶の提出期限までに提出できるよう準備しておくこと。 ６ 一般競争入札参加資格の確認一般競争入札参加資格の有無については、特別の定めがある場合を除き、開札日時を基準として、前記５により提出された資格確認申請書等に基づき、確認する。 ただし、落札候補者が、開札日時以後、落札者の決定までの間に前記２⑵の広島市競争入札参加資格の取消し若しくは指名停止措置を受け、又はその他一般競争入札参加資格を満たさなくなったときは、その者のした入札を無効とする。 ７ 落札者の決定⑴ 前記６により一般競争入札参加資格を有すると確認された落札候補者を落札者として決定する。 ⑵ 落札者を決定したときは、その結果を入札参加者全員に通知する。 ８ その他⑴ 入札保証金免除⑵ 入札の無効次に掲げる入札は、無効とする。 ア 本件公告に示した入札に参加する者に必要な資格のない者がした入札イ 資格確認申請書等に虚偽の記載をした者がした入札ウ 前記１⑷の予定価格を上回る入札エ その他規則第８条各号のいずれかに該当する入札⑶ 契約保証金要。 ただし、規則第３１条第１号又は第３号に該当する場合は、免除する。 詳細は、入札説明書による。 ⑷ 契約書の作成の要否要⑸ 入札の中止等本件入札に関して、天災地変があった場合、電子入札システムの障害発生等により電子入札の執行が困難な場合、入札参加者の談合や不穏な行動の情報があった場合など、入札を公正に執行することができないと判断されるときは、入札の執行を延期又は中止することがある。 また、開札後においても、発注者の入札手続の誤りなどにより入札の公正性が損なわれると認められたときは入札を中止することがある。 ⑹ 契約の締結本契約については、落札者を決定した日から５日以内の日(最終日が広島市の休日を定める条例第１条第１項各号に掲げる日に当たるときは、その日後において、その日に最も近い同項各号に掲げる日でない日まで)に、落札者が本市から交付された契約書に記名･押印して、取り交わすものとする。 ⑺ その他詳細は、入札説明書による。 1仕様書１ 業務名令和７年度情報セキュリティ監査等業務２ 業務目的広島市(以下「本市」という。)の情報システムの運用管理等において、「広島市情報セキュリティポリシー」(以下「ポリシー」という。)等に基づき実施している情報セキュリティ対策について、監査中期計画に基づき定めた年度計画に従って、第三者による独立かつ専門的な立場から情報セキュリティ監査を行うとともに、情報セキュリティ自己点検の支援等を実施し、本市の情報セキュリティ対策の向上を図る。 ３ 契約期間契約締結日から令和8年３月３１日まで４ 業務実施場所広島市企画総務局行政経営部情報政策課(広島市中区国泰寺町一丁目４番２１号)及びその他本市が指定する場所５ 業務内容(１)情報セキュリティ監査ポリシー等に基づき、助言型の情報セキュリティ監査を実施すること。 監査日程及び監査項目については、本市と協議の上、決定すること。 ア 監査対象システム(ア)本市が所管又は利用する情報システムのうち、監査中期計画に基づき定めた年度計画において監査対象としているシステム。 (イ)監査対象は１２システムとし、詳細は契約締結後に提示する。 イ 監査適用基準(ア)広島市情報セキュリティポリシー(令和７年４月１日改正)(イ)監査対象システムの情報セキュリティ実施手順(ウ)個人情報の保護に関する法律(平成１５年法律第５７号)(エ)広島市個人情報の保護に関する法律施行条例(令和５年広島市条例第４号)(オ)情報セキュリティ等に関し有用な基準等で、本市と協議の上、採用するものウ 監査評価基準監査評価基準は次のとおりとする。 他の監査評価基準を用いようとする場合は、本市と協議の上、決定すること。 評価基準 内 容重大な不適合 情報セキュリティの維持に、問題が発生する可能性が高い状況軽微な不適合 情報セキュリティの維持に、問題が発生する可能性がある状況観察事項 情報セキュリティの維持に問題はないが、改善することが望ましい状況2推奨事項 情報セキュリティの維持に特に有効な施策を実施されている状況エ 監査内容監査対象の１２システムについて、各情報システムの運用管理が、ポリシー等に基づいて適切に実施されているかを監査すること。 また、そのうち1システムについては、利用管理についても同様の観点で監査すること。 オ 監査方法等(ア)監査実施計画書の作成監査日程等の決定後、別紙で示す様式に従って、監査実施計画書を作成すること。 (イ)監査チェックリストの作成監査を効率的かつ効果的に実施するため、事前に監査対象システム所管課に確認すべき具体的な項目を記載した、監査チェックリストを作成すること。 (ウ)監査調書の作成監査対象システム所管課から提出される資料の確認、関係者へのヒアリング等を実施し、その内容を取りまとめた監査調書を作成すること。 なお、ヒアリングは原則的に現地実施とするが、開催困難な状況であると本市が判断した場合、本市の指定する方法で実施することとする。 (エ)意見交換会の実施監査の結果、発見された問題点について事実誤認がないかなど確認を行うための意見交換会を実施すること。 意見交換会終了後は、議事録を作成し速やかに提出すること。 なお、意見交換会は原則的に現地実施とするが、開催困難な状況であると本市が判断した場合、本市の指定する方法で実施することとする。 (オ)監査報告書の作成別紙で示す様式に従って、監査報告書を作成すること。 監査報告書は、監査対象システムに関する脆弱点を網羅した非公開の「詳細版」及び本市ホームページ公開用の「概要版」を作成すること。 (２)β‘モデル対象システムに対する情報セキュリティ監査ア 監査対象システムの選定当市全約100システムから、(１)アの監査対象システムとして選定されたシステムと重複しないように監査中期計画で定めた基準に基づく特にリスク値の高い情報システムの中からβ’モデル監査対象システムを選定すること。 イ 監査対象システムに対する情報セキュリティ監査総務省が公表している「地方公共団体における情報セキュリティポリシーに関するガイドライン」及び「地方公共団体における情報セキュリティ監査に関するガイドライン」に定められた基準により、システムの状況に応じた内容により情報セキュリティ監査業務を実施するとともに、地方公共団体情報システム機構が定める様式に従って報告書を作成すること。 ウ β‘モデル対象システムに対する内部監査体制構築支援β‘モデル監査の対象システムに対する継続的な内部監査を実施するための実施手順作成の支援をすること。 (３)情報セキュリティ自己点検の支援3ポリシー等に基づき、情報セキュリティ自己点検票を作成すること。 情報セキュリティ自己点検票は情報システム所管課用及び情報システム利用課用の２種類を作成すること。 作成に当たっては、点検項目及び点検方法等について、本市と協議の上、決定すること。 (４)業務実施スケジュール各業務の実施スケジュールは、概ね次のとおりとする。 なお、具体的な実施スケジュールは契約締結後に発注者受注者協議の上、決定するものとする。 項 目 実施スケジュール(１)情報セキュリティ監査令和７年９月から令和８年２月まで(２)β‘モデル対象システムに対する情報セキュリティ監査令和７年９月から令和７年１２月まで(３)情報セキュリティ自己点検の支援令和７年９月から令和７年１２月まで６ 委託業務実施計画書の作成等(１)委託業務実施計画書の作成ア 業務開始に当たり、契約締結日から１０日以内に委託業務実施計画書を作成し、本市の承認を得ること。 イ 委託業務実施計画書は、別紙で示す様式に従って作成すること。 ウ 委託業務実施計画書を変更する必要があるときは、本市の承認を得た上で変更し、変更後の委託業務実施計画書を提出すること。 エ 委託業務実施計画書には、後記７に示す業務履行体制(資格、実績等)を確認できる書類を添付すること。 (２)委託業務実施報告書の作成すべての業務が完了したときには、委託業務実施報告書を作成し提出すること。 (３)本市からの資料等の提供ア 業務の実施に当たり必要となる資料及び電子データを、本市が妥当と判断する範囲内で提供する。 イ 本市が提供した資料及び電子データは、業務を実施する目的のためにのみ用いることができる。 ウ 本市が提供した資料及び電子データは、本市の許可なく複写又は複製してはならない。 エ 本市が提供した資料及び電子データは、適切に保管すること。 オ 本市が提供した資料(本市の許可を得て複写・複製したものも含む。 )は、業務終了後に本市へ返却すること。 カ 本市が提供した電子データ(本市の許可を得て複写・複製したものも含む。)は、業務終了後に消去すること。 (４)成果物の作成成果物については、その内容等について本市と協議の上、作成すること。 4また、成果物の作成に当たって、各課等に対する調査が必要となる場合は、本市と協議の上、必要に応じて調査票等の資料を作成すること。 (５)議事録等の作成ア 協議等を行う際は、本市、受注者とも協議事項を事前に連絡すること。 イ 協議後は、別紙で示す様式に従って議事録を作成し速やかに提出すること。 ウ 協議等において生じた検討課題については、議事録とは別に、別紙で示す様式に従って課題管理表を作成すること。 (６)報告等受注者は、作業スケジュールに十分配慮した上で業務に当たることとし、本市と密接に連絡を行い、適宜業務の進捗状況を報告すること。 ７ 業務履行体制(１)情報セキュリティ監査の実施に当たっては、監査責任者、監査人、監査補助者等で構成する監査チームを編成すること。 (２)監査責任者及び監査人は、次に掲げるいずれかの資格を有する者とする。 ア システム監査技術者イ 公認情報システム監査人(ＣＩＳＡ)ウ 公認システム監査人エ ＩＳＭＳ主任審査員オ ＩＳＭＳ審査員カ 公認情報セキュリティ主任監査人キ 公認情報セキュリティ監査人(３)監査チームには、クラウドを対象とした監査の品質及び効率の保持のため次のいずれかの実績(実務経験)を有する者を１人以上含むこと。 ア ISMAPへのクラウドサービス登録審査に必要な監査業務イ ISMAP情報セキュリティガイドラインに定められた監査資料作成業務ウ ISMAP情報セキュリティガイドラインに基づく予備調査業務(４)監査チームの構成員は、監査対象となる情報システムの企画、開発、運用、保守等に関わっていない者とする。 (５)監査チームの構成員には、外部人材を含めないこと。 ８ 情報セキュリティ対策(１)業務の実施に当たっては、ポリシーに定める事項を遵守すること。 (２)成果物の作成に当たっては、コンピュータウィルス対策など十分なセキュリティ対策が施された環境で行うこと。 (３)業務の従事者が本市の施設内で業務を実施するときは、名前札や身分証明書を着用させること。 (４)本市は、受注者に対し、本市の情報の保護管理に関する実施状況を調査し、又は報告を求めるこ5とができるものとする。 ９ 提出物及び成果物等(１)提出物、成果物の作成及び納品期限本市に提出する、委託業務実施計画書、委託業務実施報告書、議事録(以下「提出物」という。)のほか、業務の成果物として下表の物を提出すること。 なお、成果物は、本市と協議の上、分割又は統合して提出することも可とする。 成果物の名称 納品期限情報セキュリティ監査監査実施計画書 監査日程等の決定後１０日以内監査チェックリスト 監査日程等の決定後２０日以内監査調書 各監査対象システムの監査終了後２０日以内意見交換会議事録 意見交換会の終了後５日以内監査報告書(概要版・詳細版) 意見交換会終了後３０日以内β‘モデル対象システムに対する情報セキュリティ監査監査対象システム一覧 監査日程等の決定後４０日以内監査報告書 監査対象システムの決定後４０日以内内部監査手順に関する助言書 令和８年3月末情報セキュリティ自己点検の支援情報セキュリティ自己点検票 令和７年１２月２６日(２)提出物、成果物の形態、部数等ア 使用言語提出物及び成果物は、日本語で表記すること。 イ 電子データの形式提出物及び成果物は、Ｗｏｒｄ、Ｅｘｃｅｌ又はＰｏｗｅｒＰｏｉｎｔのいずれかの形式で加工可能な電子データにて提出すること。 ウ 記録媒体電子データは、ＣＤ－Ｒ等本市が指定する記録媒体にて提出すること。 エ 部数提出物及び成果物は、電子データを１部提出すること。 (３)著作権の帰属提出物、成果物及びこれらに付随する資料の著作権(著作権法第２７条及び第２８条の権利を含む。)は、すべて本市に帰属するものとし、書面による本市の承諾を受けないで他に公表、譲渡、貸与又は使用してはならない。 ただし、受注者が従前から保有する著作権は受注者に留保されるものとし、本市は、業務の目的の範囲内で自由に利用できるものとする。 10 その他業務の実施に当たり、本仕様書に疑義が生じたとき、又は、本仕様書に記載のない事項については、本市と協議の上、決定すること。