入札公告（前橋市情報セキュリティ監査業務）

入札公告（前橋市情報セキュリティ監査業務） 前橋市告示第 号入 札 公 告 兼 入 札 説 明 書次のとおり条件付一般競争入札を行うので、地方自治法施行令(昭和２２年政令第１６号)第１６７条の６第１項の規定により公告する。 令和７年１０月２２日前橋市長 小 川 晶記１ 条件付一般競争入札に付する事項(1) 件 名前橋市情報セキュリティ監査業務(2) 業務場所前橋市役所および受託事業者社内(3) 業務の概要ア 助言型監査の実施及び外部監査報告書等作成 (α’モデル採用自治体における外部監査)イ 国が例示する最新のセキュリティポリシー案との整合性確認、指摘及び監査により明らかになった脆弱性に対し、実現可能な具体的な対策案の提示ウ 監査結果報告会の開催エ その他本市のセキュリティ対策を含むDX推進関連施策全般に関する各種助言(4) 委託期間契約締結日から令和８年３月３１日まで(地方自治法第２３４条の３の規定に基づく長期継続契約)(5) 入札参加形態単体による参加とする。 (6) 入札及び開札の日時令和７年１０月３１日(金)午後１時３０分 入札即時開札(7) 入札及び開札の場所前橋市大手町二丁目１２番１号前橋市役所本庁舎１０階北会議室(8) 入札方法入札書は直接持参するものとし、電話、ファックス、郵送等による入札は認めない。 (9) 入札保証金免除(10) 契約保証金等ア この競争入札の落札者は、契約締結の日までに次のいずれかの保証を付さなければならない。 (ｱ) 契約保証金の納付による保証(ｲ) 銀行又は市長が確実と認める金融機関の保証(ｳ) 契約による債務の不履行により生ずる損害をてん補する履行保証保険契約の締結による保証イ アの規定にかかわらず、過去２年の間に本市、国(独立行政法人等を含む。)又はその他の地方公共団体と種類及び規模をほぼ同じくする契約を２回以上にわたって締結し、これらをすべて誠実に履行した者で、落札決定後２日(前橋市の休日を定める条例(平成元年前橋市条例第１４号)に規定する市の休日を除く。 )以内に契約保証金免除申請書を提出し、審査の結果、承認された場合には契約保証金を免除するものとする。 ウ アに掲げる契約保証金の額、保証金額又は保険金額は、請負代金額の１０分の１以上とすること。 (11) 最低制限価格無２ 入札参加資格この公告の条件付一般競争入札に参加できる者は、次に掲げる条件を全て満たし、かつ、この公告に係る競争入札参加資格確認通知書により資格有りとする通知を受けている者とする。 (1) 地方自治法施行令第１６７条の４第１項各号の規定に該当しない者であること。 (2) 地方自治法施行令第１６７条の４第２項各号の規定による本市の入札参加制限を受けていない者であること。 (3) 本市の令和８・９年度の物品・役務等業務競争入札参加資格の認定を受けており、かつ、令和８・９年度の物品・役務等業務競争入札参加資格審査申請を行い、申請受理通知を受けていること。 (4) 前橋市暴力団排除条例(平成２３年前橋市条例第３８号)に規定する暴力団員等(地方自治法施行令第１６７条の４第１項第３号の規定に該当する者を除く。)でないこと。 (5) ５(1)で定める申請書の提出期間の末日の翌日から１(6)で定める開札日までの間のいずれかの日においても前橋市指名停止措置要綱第２条又は前橋市暴力団排除対策措置要綱第２条の規定による指名停止期間中の者でないこと。 (6) 会社更生法(平成１４年法律第１５４号)に基づく更生手続開始又は民事再生法(平成１１年法律第２２５号)に基づく再生手続開始の申立てをしている者(会社更生法第１９９条第１項の規定による更生計画の認可又は民事再生法第１７４条第１項の規定による再生計画の認可がされている者を除く。)でないこと。 (7) 入札に参加しようとする者の間に資本若しくは人事面において、次のいずれにも関連がある者でないこと。 ア 親会社と子会社の関係にある者又は親会社を同じくする子会社同士の関係にある者。 イ 一方の会社の役員が、他方の会社の役員を現に兼ねている者又は一方の会社の役員が、他方の会社の管財人を現に兼ねている者。 ウ 上記ア又はイと同視しうる資本関係又は人的関係があると認められる者。 (8) 中小企業等協同組合法第３条に規定する事業協同組合等とその組合員が同時に入札参加申請をしていないこと。 (9) IS0/IEC27001(JIS Q 27001:2023)認証を取得していること。 (10) Chromebookを端末とした自治体セキュリティ強靭化監査に関する対応実績を有すること。 ただし、行政系ネットワークに関するものに限り、教育系ネットワークに関するものを除く。 ３ 仕様書等の配布期間、配布方法及び問い合わせ先(1) 配布期間 令和７年１０月２２日(水)から令和７年１０月２８日(火)まで。 (2) 取得方法 前橋市ホームページからダウンロードしてください。 取得先は、前橋市ホームページのトップページ 産業・ビジネス／入札・契約情報／入札／前橋市情報セキュリティ監査業務に係る条件付一般競争入札の実施についてURL：https://www.city.maebashi.gunma.jp/soshiki/seisaku/johoseisaku/gyomu/9/security_kansa.html(3) 問い合わせ先 前橋市未来創造部情報政策課情報政策係 担当：森尻前橋市大手町二丁目１２番１号 前橋市議会庁舎２階電話０２７－８９８－５８８３(直通)メールアドレスjoukan@city.maebashi.gunma.jp４ 入札参加資格の確認等この競争入札の参加希望者は、次に掲げる書類(以下次に掲げる(1)の書類を総称して｢申請書等｣という。 )を提出し、入札参加資格の有無について確認を受けなければならない。 なお、申請書等を提出期間内に提出しない者及び入札参加資格が無いと認められた者は、この競争入札に参加することができない。 申請書等は押印を省略することができる。 この場合、発行責任者及び担当者の欄に必ず記入すること。 (1) 条件付一般競争入札参加資格確認申請書兼誓約書(様式第１号)５ 申請書等の提出(1) 提出期間令和７年１０月２２日(水)から令和７年１０月２８日(火)まで(最終日の正午必着)(2) 提出場所３(3)と同じ(3) 提出方法持参、郵送又は電子メールによる。 ※持参する場合は午前９時から午後５時までの間とする。 ただし、休日(前橋市の休日を定める条例(平成元年前橋市条例第１４号)第１条に規定する休日をいう。 以下同じ。 )は受け付けないものとする。 ※郵送で提出する場合は、必ず簡易書留で送付すること。 ※電子メールで提出する場合は、押印は省略し、発行責任者及び担当者の欄に必ず記入すること。 また、送信したことを電話連絡すること。 (4) 入札参加資格の確認結果の通知入札参加資格の確認は申請書等の提出期限後に行うものとし、その結果は令和７年１０月２９日(水)までに競争入札参加資格確認通知書を電子メール等で送付する。 ６ 質問及び回答について(1) 質問受付期間令和７年１０月２２日(水)から令和７年１０月２７日(月)まで(休日を除く。)の午前９時ら午後５時まで。 (最終日の午前９時必着)(2) 質問方法質問票(所定様式)に必要事項を記載し、メール又は持参するものとする。 なお、質問票に入札参加者を特定できる記載がある等、入札執行に支障を来たすおそれがある質問には回答しないことができる。 また、質問票をメールする場合は、送信したことを電話連絡すること。 (3) 質問に対する回答期間及び方法質問に対する回答は、全ての質問事項をまとめ、令和７年１０月２７日(月)から前橋市ホームページに掲載する。 ７ 入札に関する事項(1) 入札の無効次のいずれかに該当する入札は、当該入札者の入札を無効とし、無効の入札を行った者を落札者としていた場合には、落札決定を取り消す。 ア 本件競争入札に参加する者に必要な資格のない者の入札イ 申請書等に虚偽の記載をする等虚偽の申請をした者の入札ウ 同一入札に対し２以上の入札をした者の入札エ 入札に際し不正行為のあった者の入札オ 入札書に必要な事項を記載しなかった者の入札カ その他入札に関する条件に違反した者の入札なお、入札参加資格のある旨の確認を受けた者であっても、開札の時において２に掲げる入札参加資格のない者が行った入札は、上記アに該当する。 (2) 入札時における注意事項ア 代理人が入札しようとするときは委任状を提出すること。 イ 入札書に記載する金額は、契約期間の総額(消費税及び地方消費税相当額を除いた額)を記載すること。 ウ 落札決定に当たっては、入札書に記載された金額に当該金額の１００分の１０に相当する額を加算した金額(当該金額に１円未満の端数があるときは、その端数を切り捨てた金額)をもって落札金額とするので、入札者は、消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約希望金額の１１０分の１００に相当する金額を入札書に記載すること。 エ 提出した入札書の書換え、引換え又は撤回は認めない。 オ 入札執行回数は、２回までとする。 (3) 落札者の決定方法ア 前橋市契約規則(平成２年前橋市規則第４号)第６条第１項の規定により定めた予定価格の制限の範囲内で有効な入札を行った者のうち、最低価格で入札した者を落札者とする。 イ 落札者となるべき同価の入札をした者が２者以上あるときは、くじにより落札者を決定する。 (4) 入札結果の公表前橋市ホームページで公表する。 ８ その他(1) 現場説明会は、開催しない。 (2) 申請書等の作成及び提出に係る費用は、申請者の負担とする。 (3) 提出期限後における申請書等の差し替え又は再提出は認めない。 (4) 提出された申請書等は、返却しない。 (5) 提出された申請書等は、入札参加資格の確認以外に申請者に無断で使用しない。 ただし、前橋市情報公開条例(平成９年前橋市条例第４５号)に基づく情報公開請求があった場合には、申請書等のうち同条例の規定により非公開とされる部分を除き、公開するものとする。 (6) 申請書等に虚偽の記載をした場合においては、前橋市物品の製造等業者指名停止措置要綱に基づく指名停止を行うことがある。 (7) 契約書及び契約に係る文書に使用する言語及び通貨は、日本語及び日本国通貨貨に限る。 前橋市情報セキュリティ監査業務仕様書令和７年１０月前橋市 未来創造部 情報政策課１．件名前橋市情報セキュリティ監査業務２．背景前橋市(以下「本市」という。)では、デジタル化の推進や市民の個人情報保護の観点から、市民の個人情報をはじめ、行政運営上重要な情報や情報システムを様々な脅威から防ぎ、市民へ安全・安定した行政サービス提供を継続するための様々な施策を実施している。 本市では、情報セキュリティポリシーを定めており、情報セキュリティ対策に関する事項を総合的・体系的・具体的に定めている。 本市の情報セキュリティポリシーは、セキュリティに関する統一的かつ基本的な方針である「基本方針」と、情報セキュリティ基本方針を実行に移すための「対策基準」及び「実施手順」の３要素に分類している。 本市では職員の業務生産性の向上とセキュリティ対策コストの最適化を目指し、令和７年度より、各種業務端末環境におけるChromebookを主体としたα´モデルによる強靭化を進めており、強靭化のための様々な対策及び施策を実施している。 総務省が示す、「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和７年３月版)」において、LGWAN接続系とインターネット接続系の分割の在り方として示されている α´モデルを採用する場合は、高度なセキュリティ対策の確実な実施が必要になることから、その実施について移行前に外部監査を実施し、移行後においても定期的に外部監査を実施し、その監査報告書を地方公共団体情報システム機構に提出することとされている。 以上の背景から、本市の情報セキュリティ監査を確実に実施するため「地方公共団体における情報セキュリティ監査に関するガイドライン」をもとに、本市が主催する監査として入札を実施する。 ３．目的本業務は、総務省が示す「α´モデル採用自治体における外部監査の実施手順」に従い、α´モデルの採用にあたり必須となる、「地方公共団体における情報セキュリティ監査に関するガイドライン」における組織的・人的対策に係る監査項目(23 項目)情報セキュリティ方針が遵守されていることを検証するための、セキュリティ監査を実施するものである。 ガイドラインに準拠して適切にセキュリティ対策が実施されているかを第三者による独立かつ専門的な立場から点検・評価し、問題点を確認するとともに、改善方法等について検討を行うことで、より適切な運用体制の構築やセキュリティ対策の維持向上を図る。 また、情報セキュリティ方針の運用における支援を受け、本市の情報セキュリティ対策の更なる改善に取り組むため、職員のセキュリティ意識向上に向けた啓発及びさらなるセキュリティ強化に関する各種助言を得ることを目的とする。 ４．監査対象本市の行政関連の業務に関するネットワーク及びシステムを対象とする(具体的な範囲は、別に受託者に指示する。)。 ５．業務内容業務内容について以下に示す。 1 助言型監査の実施及び外部監査報告書等作成(α’モデル採用自治体における外部監査)2 国が例示する最新のセキュリティポリシー案との整合性確認、指摘及び監査により明らかになった脆弱性に対し、実現可能な具体的な対策案の提示3 監査結果報告会の開催4 その他本市のセキュリティ対策を含むDX推進関連施策全般に関する各種助言６. 適用基準等本業務を実施するにあたり用いる適用基準等は、次のとおりとする。 必須とする基準1 前橋市情報セキュリティポリシー(令和７年４月改定)セキュリティポリシーの詳細版は、別に受託者に提示する。 参考とする基準1 個人情報の保護に関する法律(平成１５年法律第５７号)2 地方公共団体における情報セキュリティポリシーに関するガイドライン(総務省)3 地方公共団体における情報セキュリティ監査に関するガイドライン(総務省)4 前橋市個人情報の保護に関する法律施行条例(令和4年12月13日条例第43号)5 上記のほか委託期間において情報セキュリティに関し有用な基準等で、本市と協議して採用するもの参考とする資料1 前橋市情報セキュリティポリシー(概要版)2 ネットワーク構成図(概要版)※ 上記以外の資料は、受託者へ契約締結後に本市との協議の上必要に応じて提供する。 業務完了後に返却又は廃棄すること。 ７. 業務委託期間(1) 契約期間契約締結日から令和８年３月３１日まで(2) 業務実施期間前項契約期間のうち、監査の実施日は協議の上決定する。 また、緊急時における対応については、本市と協議の上、柔軟に対応すること。 ８. 監査について(1) 監査人要件1 受託者はIS0/IEC27001(JIS Q 27001:2023)認証を取得していること。 2 受託者はChromebookを端末とした自治体セキュリティ強靭化監査に関する対応実績を有すること。 ただし、行政系ネットワークに関するものに限り、教育系ネットワークに関するものを除く。 3 監査責任者、監査人、監査補助者等で構成される監査チームを編成すること。 4 監査の品質の保持のため監査品質管理責任者、監査品質管理者等の監査品質管理体制をつくること。 5 監査チームには、情報セキュリティ監査に必要な知識及び経験を持ち、次に掲げるいずれかの資格を有する者が１人以上含まれていること。 ア システム監査技術者イ 公認情報システム監査人(CISA)ウ 公認システム監査人エ ISMS 主任審査員オ ISMS 審査員カ 公認情報セキュリティ主任監査人キ 公認情報セキュリティ監査人6 監査チームには、監査の効率と品質の保持のため次のいずれかの実績(実務経験)を有する専門家が１人以上含まれていること。 ア 情報セキュリティ監査イ 情報セキュリティに関するコンサルティングウ 情報セキュリティポリシーの作成に関するコンサルティング(支援を含む。)7 監査チームの構成員が、監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画、開発、運用、保守等に関わっていないこと。 ９. スケジュール1 業務実施計画書の作成にあたり、業務全体のスケジュールを提示すること。 2 情報セキュリティ監査の結果を監査報告書(任意様式)、国の指定様式の作成を確実に実施するスケジュール案とすること。 3 実際の業務に当たっては、本市と協議の上決定するものとする。 １０. 成果物の納入(1) 成果物1 監査計画書2 監査に使用したチェックリスト3 監査報告書(任意様式)4 外部監査の実施に係る報告様式(指摘事項に対する改善方針、基本情報)5 改定後の情報セキュリティポリシー案等6 監査結果報告会での説明資料7 業務完了報告書8 その他必要な書類(2) 様式及び部数1 Ａ列４版(必要に応じてＡ列３版三つ折も可。Ａ列３版三つ折の場合、両面印刷は不可とする。)とし、様式は任意とする。 2 監査報告書は監査対象についての脆弱点を網羅した非公開の｢情報セキュリティ監査報告書(詳細版)｣と公開を前提とした｢情報セキュリティ監査報告書(公開版)｣の２種類を作成し、提出すること。 (3) 納期限1 実施計画書は、契約締結後速やかに提出すること。 2 その他については、本市と協議の上決定する。 なお、最終納期限は令和８年３月３１日とする。 (4) 著作権等1 成果物に関する著作権、著作隣接権、商標権、意匠権及び所有権(以下、「著作権等」という。)は、原則本市に帰属する。 2 成果物に含まれる受託者又は第三者が権利を有する著作物等(以下「既存著作物」という。)の著作権等は、個々の著作者等に帰属するものとする。 3 納入される成果物に既存著作物等が含まれる場合は、受託者が当該既存著作物の使用に必要な費用の負担及び使用許諾契約等に係る一切の手続を行うものとする。 (5) その他1 成果物等の納入後、その内容が要求品質を満たしていないものについては、受託者の責任において関連する項目を再検査し、当該箇所の修正を行うこと。 2 監査報告書の作成にあたっては、(別紙) 外部監査報告書作成 業務内容に従うこと。 １１． 留意事項(1) 秘密保持義務に関する事項受託者は、本業務の利用により直接又は間接に知り得た情報(以下、「機密情報」という。)について、次の事項を遵守しなければならない。 契約期間満了後又は契約解除後も同様とする。 1 機密情報を本業務以外の目的に使用しないこと。 2 機密情報を第三者に漏らさないこと。 3 機密情報が漏洩しないよう管理徹底すること。 4 機密情報を複製又は複写する場合は、本市の許可を事前に得ること。 5 機密情報を市の施設外に持ち出す場合は、本市の許可を事前に得た上で、紛失及び盗難を避けるため厳重に保管し、データは必ず暗号化すること。 6 機密情報を市の施設外に持ち出した場合は、監査終了時に破棄し、「情報資産廃棄報告書」を提出すること(2) その他1 「情報セキュリティポリシー(基本方針、対策基準、実施手順)」及び監査に必要と認められる書類で、本市が妥当と判断する情報を受託者にのみ開示する。 2 本業務は、事業を一括して他の事業者に委託してはならない。 業務の一部を他の事業者に再委託しようとする場合は、受託者は本市に対し申請を行い、あらかじめ許可を得ること。 申請時に、委託業務内容及び再委託の事業者名を明記した書面とともに、再委託事業者の身元を明らかにする資料等の提出を求める。 なお、再委託が許可される場合は、受託者に求めるものと実質同水準の情報セキュリティを確保する措置が担保されていると判断できる場合に限る。 3 本市での作業が必要な場合は、原則として平日９時から１７時までを作業可能時間とする。 4 本市が準備しなければならない事項については、十分な期間を設けた上で、内容と期限を明確にすること。 5 本業務に関し発生した事故については、その内容に関わらず速やかに書面をもって報告するとともに、その解決に努めること。 6 業務の進行状況について、本市から問合せがあったときは、その都度報告すること。 7 受託者は、本業務の実施にあたり、規程、要領その他関係法令等を遵守すること。 8 この仕様書に定めのない事項について、必要のあるときは、受託者と本市が都度協議し、決定するものとする。 １２． 発注部署前橋市 未来創造部 情報政策課連絡先：〒371-8601 群馬県前橋市大手町二丁目12番1号電話番号：027-898-5883(別紙)外部監査報告書作成 業務内容(ア) 監査計画の策定監査基本計画書をもとに、情報セキュリティ監査計画を策定すること。 計画書には、以下の内容を含めること。 1 監査基準2 監査対象3 スケジュール4 各監査対象向け監査項目(評価項目及び監査基準)5 監査実施体制(イ) 予備審査「６. 適用基準等」に記載されている「必須とする基準」「参考とする基準」、各監査資料を精査し、ヒアリングに向けた事前監査を実施すること。 「(ウ)ヒアリング」を円滑に実施するため、予備審査をもとに事前ヒアリングシートを作成すること。 (ウ) ヒアリングα´モデル採用自治体における外部監査の実施手順に規定されている監査実施例に従い、ヒアリング対象者、ヒアリング対象部門を特定し、ヒアリングを実施すること。 1 ヒアリングは現地にて対面で実施すること。 2 被監査者に対し、事前に被監査者が記入したチェックリストに従い、インタビューを行うこと。 3 必要に応じて、作業現場、記録類や情報保管場所等について情報セキュリティ方針の遵守状況等を視察及びレビューすること。 4 ヒアリングの結果、情報セキュリティ方針が十分に遵守されていない場合、現状の運用及び遵守できない理由について確認すること。 (エ) ヒアリング結果分析1 「α´モデル採用自治体における外部監査の実施手順」に基づき、ヒアリング結果の分析を行うこと。 (オ) 監査報告書の作成1 ヒアリング結果を分析の結果をもとに、「監査報告書」を作成すること。 2 監査報告書の様式及び記載項目は他の自治体の実績から任意に作成すること。 3 監査報告書に指摘事項がある場合は、その具体的な内容について監査報告書に記載すること。 4 監査報告書に指摘事項がある場合は、指摘事項に対する改善方針として、外部監査の実施に係る報告様式にも当該指摘事項への改善方針及び対応完了予定日を記載すること。 5 外部監査の実施に係る報告様式に記載する基本情報として団体名、採用モデル、監査実施に係る情報及び担当者等を記載すること。 (カ) その他関連作業その他、(ア)～(オ)の過程でより良い監査にするための作業があれば提案し、実施すること。