【郵送入札】告示第364号 情報セキュリティ監査業務委託（5月19日公告、6月9日開札）

【郵送入札】告示第364号 情報セキュリティ監査業務委託（5月19日公告、6月9日開札） 364 号酒田市長 矢 口 明 子 １．入札に付する事項(１) 情報セキュリティ監査業務委託(２) 履行場所 酒田市企画部デジタル戦略課情報システム係内(３) 内容 別添仕様書等による(４) 委託期間 契約の日から令和８年９月３０日まで(５) 入札方法 総価により行う。 ２．入札参加者の資格 次に掲げる要件をすべて満たす者であること。 (１) 地方自治法施行令第１６７条の４第１項各号のいずれにも該当しない者であること。 (２) 酒田市競争入札参加資格者指名停止要綱に基づく指名停止を受けていないこと。 (３)(４)３．入札参加資格確認申請(１) 申請期間(土日祝日を除く、午前８時３０分から午後５時まで。ただし、申請最終日は正午まで。)(２) 申請場所 酒田市総務部契約検査課(市役所２階)酒田市本町二丁目２番４５号(電話 ０２３４－２６－５７０８)(３) 申請書及び ① 一般競争入札参加資格確認申請書(別紙様式１号)添付書類 ② 同上申請書の写し(受領証用)⇒酒田市告示第入 札 公 告 郵送 条件付き一般競争入札を執行するので、地方自治法施行令(昭和２２年政令第１６号)第１６７条の６及び酒田市契約規則(平成１７年規則第５８号)第１９条の規定に基づき公告する。 令和８年５月１９日記件名入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の１１０分の１００に相当する金額を入札書に記載すること。 なお、落札決定にあたっては、入札書に記載された金額に、当該金額の１００分の１０に相当する金額を加算した金額(当該金額に１円未満の端数があるときは、その端数金額を切り捨てた金額)をもって落札価格とする。 (１)の説明⇒法的な禁止措置を受けていないものをいう。 (２)の説明⇒入札参加資格審査日(一般競争入札参加資格確認申請書の提出期限日)から入札日までの期間中のいずれの日においても指名停止を受けていないことをいう。 本公告日の前日までに、酒田市契約規則(平成17年11月1日規則第58号)第27条第3項に規定する競争入札参加者登録簿において、【役務】の【業種No.120(その他の業務委託)・細目No.1(その他の業務委託)】に搭載されていること。 (３)の説明⇒令和7・8年度酒田市競争入札(見積)参加資格審査申請書を提出する際に、希望する業種に上記の業種を希望し、その内容が、本告示日の前日までに令和7・8年度の指名競争入札参加者登録簿に登載されていることをいう。 本告示日から入札参加資格確認申請書の提出期限の日までの間に、入札に参加しようとする者の間に資本関係又は人的関係がないこと。 (酒田市条件付き一般競争入札説明書(物品、役務、賃貸借)参照)①入札に参加を希望する者は、申請書類を持参または郵送し、入札参加資格確認の審査を受けなければならない(ファクシミリ不可)。 ただし、申請者の住所または所在地が離島の場合はファクシミリまたはメールでの申請も可とする。 その場合は送信前後に電話で受け付けの確認を取ること。 ②郵送による申請の場合は、返信用封筒(宛先を記入し、切手を貼る)を同封すること。 ③入札参加資格の審査は、申請書の提出期限日を基準日とする。 令和８年５月１９日(火)から 令和８年５月２８日(木)正午まで(必着)資格確認結果は、令和８年５月２９日(金)までに通知します。 申請したにもかかわらず万一通知が届かない場合は令和８年６月１日(月)正午までに連絡ください。 (４) 留意事項 ※※※ 本告示で指定された期日までに申請書を提出しない者及び入札参加資格が無いと認められた者は本入札に参加することができない。 ※４．入札条件、入札説明書及び仕様書等の閲覧期間及び場所(１) 閲覧期間(２) 閲覧場所５．仕様書に関する質問等(１) 質問方法(別紙様式４号)によりメール、ファクシミリ又は持参で 令和８年５月２７日(水)正午まで(２) 回答方法(配達指定日)７．開札の日時、場所(１) 開札日時 令和８年６月９日(火) 午前９時０５分(２) 開札場所 ２０１会議室(市役所２階)８．入札保証金及び契約保証金(１) 入札保証金 免除(２) 契約保証金 免除９．その他(１) 入札の無効(２) 申請書類等(３) 契約書作成(４) 入札の説明(５) 担当部局等 ①(ＦＡＸ０２３４－２６－５７３８) (メール keiyaku@city.sakata.lg.jp)② (ＦＡＸ ０２３４－２６－９８３６)◎酒田市のホームページからダウンロード申請書等の作成及び提出に係る費用は、申請者の負担とする。 入札参加資格が無いと認められた者は、任意の書面により契約検査課長に対してその理由の説明を通知日の翌日(土日祝日を除く)の正午までに書面により求めることができる。 (郵送及びファクシミリ不可。)この場合、説明を求めた者に対して２日以内(土日祝日を除く)に書面により回答する。 令和８年５月１９日(火)から 令和８年６月８日(月)正午まで申請期限日以降における申請書等の差し替え及び再提出は認めない。 入札の説明については「酒田市条件付き一般競争入札説明書(物品、役務、賃貸借)」及び「入札条件」によるものとする。 (必ず熟読すること。)本入札に参加しようとする者が仕様書に関し質問がある場合は、契約検査課に「質問書」提出すること(電話不可)。 (１)による質問に対する回答は、質問者及び入札参加資格確認申請者全員に原則メールにより行う。 なお、メールによる回答は、酒田市競争入札(見積)参加資格審査申請書に記載されたメールアドレスへ送付する。 ６． 入札書の送達 令和 8 年 6 月 8 日 ( 月 )入札に参加する者に必要な資格の無い者のした入札、入札に関する条件に違反した入札、その他酒田市契約規則第17条の規定に該当する入札は無効とする。 本入札は、「酒田市条件付き一般競争入札説明書(物品、役務、賃貸借)」に基づき実施する。 条件付き一般競争入札についての関係書式｢入札参加資格確認申請書｣、｢入札書｣、｢委任状｣、｢質問書｣等は、酒田市のホームページからダウンロードするものとする。 この契約においては、契約書の作成を必要とする。 酒田市本町二丁目２番４５号 (電 話 ０２３４－２６－５７２１)条件付き一般競争入札についての「入札参加資格確認申請書」、「酒田市条件付き一般競争入札説明書(物品、役務、賃貸借)」、郵送入札ついての「郵送入札実施要領」は、酒田市のホームページに掲載されています。 契約に関する事務を担当する部局 酒田市総務部契約検査課(市役所２階) 酒田市本町二丁目２番４５号(電 話０２３４－２６－５７０８)仕様書に関する事務を担当する部局 酒田市企画部デジタル戦略課(市役所７階) 情報セキュリティ監査業務委託 仕様書１ 委託業務名情報セキュリティ監査業務委託２ 業務の目的国が示す「地方公共団体における情報セキュリティ監査に関するガイドライン」に則り、専門的知識及び知見を有する外部事業者による独立的な立場からLGWAN接続系のローカルブレイクアウト環境構築に伴う監査を実施し、本市における情報資産及び事務の安全かつ安定的な管理・運用を継続し、情報セキュリティの強靭化に資することを目的とする。 ３ 委託期間契約締結日から令和８年９月３０日(水)まで４ 発注部署酒田市企画部デジタル戦略課情報システム係 担当者：五十嵐連絡先：〒998-8540 山形県酒田市本町2丁目2番45号電話番号：0234-26-5721 電子メール：jyoho@city.sakata.lg.jp５ 履行場所酒田市企画部デジタル戦略課情報システム係内６ 業務内容(１)監査及びフォローアップの実施適用基準に基づき別紙「監査項目一覧」に記載の項目を対象に助言型の監査を実施すること。 (２)監査報告会監査報告書提出後、監査報告会を実施し、監査結果の説明を行うとともに、必要に応じて監査証拠に基づいた改善のための方策等の助言を行うこと。 (３)監査対象国が示す「α’モデル採用自治体における監査項目一覧」のうち、α’モデルの対策(コミュニケーションツールを利用するが、ファイルを内部に取り込まない場合)に基づく部分とし、その監査項目は「地方公共団体における情報セキュリティ監査に関するガイドライン」記載の「3.11. α’モデルを採用する場合の追加監査項目」のとおりとする。 【必須とする基準】・酒田市情報セキュリティポリシー(情報セキュリティ基本方針)・酒田市情報セキュリティポリシー(情報セキュリティ対策基準)【参考とする基準】・地方公共団体における情報セキュリティポリシーに関するガイドライン(総務省)・地方公共団体における情報セキュリティ監査に関するガイドライン(総務省)・上記のほか委託期間において情報セキュリティに関し有用な基準等で、本市と協議して採用するもの７ スケジュール以下に日程案を示す。 １か月目 ２か月目 ３か月目監査計画立案キックオフミーティング▲予備調査(必要あれば)監査日程調整監査監査報告書作成及び監査報告会▲(１)監査計画立案監査計画を立案し、実施計画書として提出した上でキックオフ時に説明を行う。 (２)キックオフミーティング原則対面形式とし、業務実施にあたり必要な事項に関する打ち合わせを行う。 (３)予備調査(必要あれば)必要に応じて、監査前に明らかにすべき事項を確認するための予備調査を行う。 (４)監査日程調整監査を実施する日時を調整する。 また本市のデジタル戦略課情報システム係内以外に立ち入りが必要な場合は事前に申し出ること。 (５)監査対面形式とし、監査資料のレビュー及び本市担当者へのヒアリングを実施する。 本市委託先へのヒアリングが必要な場合は本市が質問を仲介する形式とする。 (６)監査報告書作成及び監査報告会監査報告書を作成し、本市との協議を得た上で内容を確定する。 また監査報告会は対面形式で行う。 ８ 納入成果物(１)納入成果物以下の成果物を納入期限内に納入すること。 ①業務実施計画書②監査報告書③打合せ記録(２)納入形態等成果物を印刷した紙媒体を指定された部数で納入すること。 また、Microsoft Office製品及びPDF形式で読み取り可能な状態で成果物を保存した電磁的記録媒体(CD-R等)を1式納入すること。 (３)監査報告書の提出先酒田市企画部デジタル戦略課情報システム係とする。 ９ 検査及び委託料(１)委託料は、業務完了後支払うものとする。 (２)本業務が完了したときは、遅滞なく業務完了報告書に成果物を付して提出し、委託者が行う検査を受けなければならない。 (３)受託者は、委託者が行う検査に合格したときは、委託者に対し委託料の請求書を提出するものとする。 検査の結果不合格となり、補正を命ぜられたときは、受託者は、遅滞なく当該補正を行い、委託者に補正完了の届けを提出して再検査を受けなければならない。 (４)委託者は、受託者の正当な請求書を受理した日から３０日以内に、委託料を受託者に支払うものとする。 (５)上記委託料の消費税及び地方消費税はこの契約の成立日の税率により計算したもので、税率の変更により変動が生じたときは、変更契約書を取り交わすものとする。 １０ 留意事項(１)資料の提供等本業務の実施にあたり、必要な資料及びデータの提供は本市が妥当と判断する範囲内で提供する。 なお、受託者は、本市から提供された資料は適切に保管し、特に個人情報に係るもの及び情報システムのセキュリティに係るものの保管は厳格に行うものとする。 また、契約終了後は本件監査にあたり収集した一切の資料を速やかに本市に返還し、又は破棄するものとする。 (２)技術的検証技術的検証については、対象情報システム等の運用に対し、支障及び損害を与えないように実施するものとする。 (３)再委託受託者は、本業務の実施にあたり他の業者に再委託することを原則、禁止する。 再委託が必要な場合は、本市と協議の上、事前に書面により本市の承認を得ることとする。 (４)秘密保持等受託者は本業務の実施にあたり、知り得た情報及び成果品の内容を正当な理由なく他に開示し又は自らの利益のために利用してはならない。 これは、契約終了後又は契約解除後においても同様とする。 (５)打合せ記録の作成受託者は本業務の実施に必要な打合せを、本市主管課と随時に行い、指示に基づき業務を実施するとともに、円滑な業務遂行を図ること。 本市との打合せ記録は受託者が作成し、5営業日以内に提出すること。 (６)関係法令の遵守受託者は業務の実施にあたり、関係法令等を遵守し業務を円滑に進めなければならない。 (７)報告等受託者は作業スケジュールに十分配慮し、本市と密接に連絡を取り業務の進捗状況を報告するものとする。 １１ 資格要件等(１)本市の競争入札(見積)参加資格を保持していること。 (２)情報セキュリティ管理体制(社内規程、教育体制、事故対応体制等)が適切に整備されていること。 (３)応札者は、第三者の観点から、本市のα’モデル構築に関わっていないこと。 (４)監査チームには情報セキュリティ監査に必要な知識及び経験(地方公共団体における情報セキュリティ監査の実績)を持ち、次に掲げるいずれかの資格を有する者が1人以上含まれていること。 (ア)システム監査技術者(イ)公認情報システム監査人(CISA)(ウ)公認情報セキュリティ主任監査人(エ)公認情報セキュリティ監査人(オ)公認システム監査人(カ)情報処理安全確保支援士以上No. 監査項目 監査資料の例 監査実施の例情報セキュリティポリシーガイドラインの例文の番号関連するJISQ27002番号留意事項１組織体制(3)CSIRTの設置・役割4ⅲ)CSIRTの設置・役割の明確化CSIRTが設置され、部局の情報セキュリティインシデントについてCISOへの報告がされている。 また、CISOによって、CSIRT及び構成する要員の役割が明確化されている。 1.(9) 5.55.65.245.255.266.85人的セキュリティ5.1職員等の遵守事項85ⅰ)情報セキュリティポリシー等遵守の明記統括情報セキュリティ責任者又は情報セキュリティ責任者によって、職員等が情報セキュリティポリシー及び実施手順を遵守しなければならないことが定められ、文書化されている。 □情報セキュリティポリシー□職員等への周知記録監査資料のレビューと統括情報セキュリティ責任者又は情報セキュリティ責任者へのインタビューにより、職員等の情報セキュリティポリシー及び実施手順の遵守や、情報セキュリティ対策について不明な点及び遵守が困難な点等がある場合に職員等がとるべき手順について文書化され、正式に承認されているか確かめる。 また、承認された文書が職員等に周知されているか確かめる。 5.1.(1)① 5.186ⅱ)情報セキュリティポリシー等の遵守職員等は、情報セキュリティポリシー及び実施手順を遵守するとともに、情報セキュリティ対策について不明な点や遵守が困難な点等がある場合、速やかに情報セキュリティ管理者に相談し、指示を仰げる体制になっている。 □情報セキュリティポリシー□実施手順書監査資料のレビューと情報セキュリティ管理者及び職員等へのインタビューにより、情報セキュリティポリシー及び実施手順の遵守状況を確かめる。 また、情報セキュリティ対策について不明な点及び遵守が困難な点等がある場合、職員等が速やかに情報セキュリティ管理者に相談し、指示を仰げる体制が整備されているか確かめる。 必要に応じて、職員等へのアンケート調査を実施し、周知状況を確かめる。 5.1.(1)① 5.1(1)職員等の遵守事項②業務以外の目的での使用の禁止88ⅱ)情報資産等の業務以外の目的での使用禁止職員等による業務以外の目的での情報資産の持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスは行われていない。 □端末ログ□電子メール送受信ログ□ファイアウォールログ監査資料のレビューと情報システム管理者及び職員等へのインタビューにより、業務以外の目的での情報資産の持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスが行われていないか確かめる。 必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.1.(1)② －90ⅱ)情報資産等の外部持出制限職員等がモバイル端末、電磁的記録媒体、情報資産及びソフトウェアを外部に持ち出す場合、情報セキュリティ管理者により許可を得ている。 □端末等持出・持込基準/手続□庁外での情報処理作業基準/手続□端末等持出・持込申請書/承認書監査資料のレビューと情報セキュリティ管理者及び職員等へのインタビューにより、職員等がモバイル端末、電磁的記録媒体、情報資産及びソフトウェアを外部に持ち出す場合、情報セキュリティ管理者から許可を得ているか確かめる。 必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.1.(1)③(イ)8.16.77.9・紛失、盗難による情報漏えいを防止するため、暗号化等の適切な処置をして持出すことが望ましい。 91ⅲ)外部での情報処理業務の制限職員等が外部で情報処理作業を行う場合は、情報セキュリティ管理者による許可を得ている。 □庁外での情報処理作業基準/手続□庁外作業申請書/承認書監査資料のレビューと情報セキュリティ管理者及び職員等へのインタビューにより、職員等が外部で情報処理作業を行う場合、情報セキュリティ管理者から許可を得ているか確かめる。 必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.1.(1)③(ウ)8.16.77.9・情報漏えい事故を防止するため、業務終了後は速やかに勤務地に情報資産を返却することが望ましい。 92ⅰ)支給以外のパソコン、モバイル端末及び電磁的記録媒体の業務利用基準及び手続統括情報セキュリティ責任者又は情報セキュリティ責任者によって、職員等が業務上支給以外のパソコン、モバイル端末及び電磁的記録媒体を利用する場合の基準及び手続について定められ、文書化されている。 □端末等持出・持込基準/手続□支給以外のパソコン等使用申請書/承認書監査資料のレビューと統括情報セキュリティ責任者又は情報セキュリティ責任者へのインタビューにより、支給以外のパソコン、モバイル端末及び電磁的記録媒体利用手順が文書化され、正式に承認されているか確かめる。 5.1.(1)④ 5.107.893ⅱ)支給以外のパソコン、モバイル端末及び電磁的記録媒体の利用制限職員等が情報処理作業を行う際に支給以外のパソコン、モバイル端末及び電磁的記録媒体を用いる場合、当該端末の業務利用の可否判断をCISOが行った後に、業務上必要な場合は、統括情報セキュリティ責任者の定める実施手順に従い、情報セキュリティ管理者による許可を得ている。 また、機密性の高い情報資産の支給以外のパソコン、モバイル端末及び電磁的記録媒体による情報処理作業は行われていない。 □支給以外のパソコン等使用申請書/承認書□支給以外のパソコン等使用基準/実施手順書監査資料のレビューと情報セキュリティ管理者及び職員等へのインタビューにより、職員等が情報処理作業を行う際に支給以外のパソコン、モバイル端末及び電磁的記録媒体を用いる場合、情報セキュリティ管理者の許可を得ているか確かめる。 また、端末のウイルスチェックが行われていることや、端末ロック機能及び遠隔消去機能が利用できること、機密性3の情報資産の情報処理作業を行っていないこと、支給以外の端末のセキュリティに関する教育を受けた者のみが利用しているか確かめる。 必要に応じて、職員等へのアンケート調査を実施して確かめる。 また、手順書に基づいて許可や利用がされているか確かめる。 5.1.(1)④ 8.16.77.87.994ⅲ)支給以外のパソコン、モバイル端末及び電磁的記録媒体の庁内ネットワーク接続職員等が支給以外のパソコン、モバイル端末及び電磁的記録媒体を庁内ネットワークに接続することを許可する場合、統括情報セキュリティ責任者又は情報セキュリティ責任者によって、情報漏えい対策が講じられている。 □庁外での情報処理作業基準/手続□支給以外のパソコン等使用申請書/承認書□支給以外のパソコン等使用基準/実施手順書監査資料のレビューと情報セキュリティ管理者及び職員等へのインタビューにより、支給以外のパソコン、モバイル端末及び電磁的記録媒体を庁内ネットワークに接続することを許可する場合は、シンクライアント環境やセキュアブラウザの使用、ファイル暗号化機能を持つアプリケーションでの接続のみを許可する等の情報漏えい対策が講じられているか確かめる。 必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.1.(1)④ 8.208.21(1)職員等の遵守事項⑤持ち出し及び持ち込みの記録96ⅱ)端末等の持出・持込記録の作成情報セキュリティ管理者によって、端末等の持ち出し及び持ち込みの記録が作成され、保管されている。 □端末等持出・持込基準/手続□端末等持出・持込申請書/承認書監査資料のレビューと情報セキュリティ管理者へのインタビューにより、端末等の持ち出し及び持ち込みの記録が作成され、保管されているか確かめる。 5.1.(1)⑤ 7.1 ・記録を定期的に点検し、紛失、盗難が発生していないか確認することが望ましい。 (1)職員等の遵守事項⑦机上の端末等の管理100ⅱ)机上の端末等の取扱離席時には、パソコン、モバイル端末、電磁的記録媒体、文書等の第三者使用又は情報セキュリティ管理者の許可なく情報が閲覧されることを防止するための適切な措置が講じられている。 □クリアデスク・クリアスクリーン基準監査資料のレビューと情報セキュリティ管理者及び職員等へのインタビュー、執務室の視察により、パソコン、モバイル端末の画面ロックや電磁的記録媒体、文書等の容易に閲覧されない場所への保管といった、情報資産の第三者使用又は情報セキュリティ管理者の許可なく情報が閲覧されることを防止するための適切な措置が講じられているか確かめる。 必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.1.(1)⑦ 7.7(3)情報セキュリティポリシー等の掲示108ⅱ)情報セキュリティポリシー等の掲示情報セキュリティ管理者によって、職員等が常に最新の情報セキュリティポリシー及び実施手順を閲覧できるように掲示されている。 □職員等への周知記録 監査資料のレビューと情報セキュリティ管理者へのインタビュー及び執務室の視察により、職員等が常に最新の情報セキュリティポリシー及び実施手順を閲覧できるよう、イントラネット等に掲示されているか確かめる。 5.1.(3) 5.1監査項目(組織的・人的対策)項目(1)職員等の遵守事項①情報セキュリティポリシー等の遵守(1)職員等の遵守事項③モバイル端末や電磁的記録媒体の持ち出し及び外部における情報処理作業の制限(1)職員等の遵守事項④支給以外のパソコン、モバイル端末及び電磁的記録媒体の業務利用No. 監査項目 監査資料の例 監査実施の例情報セキュリティポリシーガイドラインの例文の番号関連するJISQ27002番号留意事項 項目(4)外部委託事業者に対する説明110ⅱ)委託事業者に対する情報セキュリティポリシー等遵守の説明ネットワーク及び情報システムの開発・保守等を委託事業者に発注する場合、情報セキュリティ管理者によって、情報セキュリティポリシー等のうち、委託事業者及び再委託事業者が守るべき内容の遵守及びその機密事項が説明されている。 □業務委託契約書□委託管理基準監査資料のレビューと情報セキュリティ管理者へのインタビューにより、ネットワーク及び情報システムの開発・保守等を発注する委託事業者及び再委託事業者に対して、情報セキュリティポリシー等のうち委託事業者等が守るべき内容の遵守及びその機密事項が説明されているか確かめる。 5.1.(4) 5.195.20・再委託は原則禁止であるが、例外的に再委託を認める場合には、再委託事業者における情報セキュリティ対策が十分取られており、委託事業者と同等の水準であることを確認した上で許可しなければならない。 ・委託事業者に対して、契約の遵守等について必要に応じ立ち入り検査を実施すること。 5.2研修・訓練(1)情報セキュリティに関する研修・訓練112ⅱ)情報セキュリティ研修・訓練の実施CISOによって、定期的にセキュリティに関する研修・訓練が実施されている。 □研修・訓練実施基準□研修実施報告書□訓練実施報告書監査資料のレビューと統括情報セキュリティ責任者へのインタビューにより、定期的に情報セキュリティに関する研修・訓練が実施されているか確かめる。 5.2.(1) 6.3123ⅰ)情報セキュリティインシデントの報告手順統括情報セキュリティ責任者によって、情報セキュリティインシデントを認知した場合の報告手順が定められ、文書化されている。 □情報セキュリティインシデント報告手順書監査資料のレビューと統括情報セキュリティ責任者又は情報セキュリティ責任者へのインタビューにより、職員等が情報セキュリティインシデントを認知した場合、又は住民等外部から情報セキュリティインシデントの報告を受けた場合の報告ルート及びその方法が文書化され、正式に承認されているか確かめる。 5.3.(1)～(3) 6.8 ・報告ルートは、団体の意思決定ルートと整合していることが重要である。 (1)庁内での情報セキュリティインシデントの報告124ⅰ)庁内での情報セキュリティインシデントの報告庁内で情報セキュリティインシデントが認知された場合、報告手順に従って関係者に報告されている。 □情報セキュリティインシデント報告手順書□情報セキュリティインシデント報告書監査資料のレビューと統括情報セキュリティ責任者又は情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者、職員等へのインタビューにより、報告手順に従って遅滞なく報告されているか確かめる。 また、個人情報・特定個人情報の漏えい等が発生していた場合、必要に応じて個人情報保護委員会へ報告されていることを確かめる。 5.3.(1) 6.85.4ID及びパスワード等の管理(1)ICカード等の取扱い130ⅲ)認証用ICカード等の放置禁止認証用ICカード等を業務上必要としないときは、カードリーダーやパソコン等の端末のスロット等から抜かれている。 □ICカード等取扱基準 監査資料のレビューと情報システム管理者及び職員等へのインタビュー並びに執務室の視察により、業務上不要な場合にカードリーダーやパソコン等の端末のスロット等から認証用のICカードやUSBトークンが抜かれているか確かめる。 必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.4.(1)①(イ)5.165.18131ⅳ)認証用ICカード等の紛失時手続認証用ICカード等が紛失した場合は、速やかに統括情報セキュリティ責任者及び情報システム管理者に通報され、指示に従わせている。 □ICカード等取扱基準□ICカード紛失届書監査資料のレビューと統括情報セキュリティ責任者及び情報システム管理者へのインタビューにより、認証用のICカードやUSBトークンが紛失した場合は、速やかに統括情報セキュリティ責任者及び情報システム管理者に通報され、指示に従わせているか確かめる。 5.4.(1)①(ウ)5.165.18132ⅴ)認証用ICカード等の紛失時対応認証用ICカード等の紛失連絡があった場合、統括情報セキュリティ責任者及び情報システム管理者によって、当該ICカード等の不正使用を防止する対応がとられている。 □ICカード等取扱基準□ICカード等管理台帳監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、紛失した認証用のICカードやUSBトークンを使用したアクセス等が速やかに停止されているか確かめる。 5.4.(1)② 5.165.18133ⅵ)認証用ICカード等の回収及び廃棄ICカード等を切り替える場合、統括情報セキュリティ責任者及び情報システム管理者によって、切替え前のカードが回収され、不正使用されないような措置が講じられている。 □ICカード等取扱基準□ICカード等管理台帳監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、認証用のICカードやUSBトークンを切り替える場合に切替え前のICカードやUSBトークンが回収され、破砕するなど復元不可能な処理を行った上で廃棄されているか確かめる。 5.4.(1)③ 5.165.18・回収時の個数を確認し、紛失・盗難が発生していないか確実に確認することが望ましい。 (3)パスワードの取扱い138ⅱ)パスワードの取扱い職員等のパスワードは当該本人以外に知られないように取扱われている。 □パスワード管理基準 監査資料のレビューと情報システム管理者及び職員等へのインタビューにより、職員等のパスワードについて照会等に応じたり、他人が容易に想像できるような文字列に設定したりしないように取り扱われているか確かめる。 必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.4.(3)①～③ 5.17 内閣サイバーセキュリティセンター(NISC)のハンドブックでは、「ログイン用パスワード」は、英大文字(26種類)小文字(26種類)＋数字(10種類)＋記号(26種類)の計88種類の文字をランダムに使って、10桁以上を安全圏として推奨している。 139ⅲ)パスワードの不正使用防止パスワードが流出したおそれがある場合、不正使用されない措置が講じられている。 □パスワード管理基準 監査資料のレビューと情報システム管理者及び職員等へのインタビューにより、パスワードが流出したおそれがある場合、速やかに情報セキュリティ管理者に報告され、パスワードが変更されているか確かめる。 必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.4.(3)④ 5.17142ⅵ)パスワード記憶機能の利用禁止サーバ、ネットワーク機器及びパソコン等の端末にパスワードが記憶されていない。 □パスワード管理基準 監査資料のレビューと情報システム管理者及び職員等へのインタビュー、執務室の視察により、サーバ、ネットワーク機器及びパソコン等の端末にパスワードが記憶されていないか確かめる。 必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.4.(3)⑦ 5.175.3情報セキュリティインシデントの報告α'モデルを採用する場合の追加監査項目No. 監査項目 監査資料の例 監査実施の例情報セキュリティポリシーガイドラインの例文の番号関連するJISQ27002番号留意事項技術的対策1ⅰ)接続先のクラウドサービスの証明書による認証統括情報セキュリティ責任者及び情報システム管理者により、以下の対策が実施されている。 ・接続先のクラウドサービスが本物であるか否か、正当性を確認する。 □システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、LGWAN接続系からパブリッククラウドサービスに接続する際、接続先が本物であるか否か、正当性を確認する対策が実施されているか確かめる。 － －2ⅱ)マルウェア対策ソフト統括情報セキュリティ責任者及び情報システム管理者により、パターンマッチング方式や、不審な動作を行うコードが含まれていることを検出する振る舞い検知などにより、不正プログラム対策が実施されている。 □システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、パターンマッチング方式や、不審な動作を行うコードが含まれていることを検出する振る舞い検知などにより、不正プログラム対策が実施されているか確かめる。 － －3ⅲ)パッチ適用統括情報セキュリティ責任者及び情報システム管理者により、脆弱性を修正するパッチを速やかに適用し、脆弱性を解消する対策が実施されている。 □システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、脆弱性を修正するパッチを速やかに適用し、脆弱性を解消する対策が実施されているか確かめる。 － －4ⅳ)接続先制限統括情報セキュリティ責任者及び情報システム管理者により、LGWAN接続系から外部へのアクセス先をLGWAN-ASP及び利用が許可されたクラウドサービスのみに限定する対策が実施されている。 □システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、LGWAN接続系から外部へのアクセス先をLGWAN-ASP及び利用が許可されたクラウドサービスのみに限定する対策が実施されているか確かめる。 － －5ⅴ)ローカルブレイクアウトテナントアクセス制御統括情報セキュリティ責任者又は情報システム管理者によって、団体専用テナントを利用時は、利用するクラウドサービスへのアクセスを自らの団体が利用するテナントのみに制限する対策が実施されている。 □システム構成図□アクセス制御方針□アクセス管理基準□システム設計書□機器等の設定指示書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、団体専用テナントを利用時は、利用するクラウドサービスへのアクセスを自らの団体が利用するテナントのみに制限していることを確かめる。 － －6ⅵ)メール無害化/ファイル無害化CISO又は統括情報セキュリティ責任者によって、LGWAN接続系にインターネットからファイルを取り込む際に、以下の対策が実施されている。 ・ファイルからテキストのみを抽出・ファイルを画像ＰＤＦに変換・サニタイズ処理・未知の不正プログラム検知及びその実行を防止する機能を有するソフトウェアで危険因子の有無を確認□システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューとCISO又は統括情報セキュリティ責任者へのインタビューにより、LGWAN接続系にインターネットからファイルを取り込む際に、ファイルからテキストのみを抽出、ファイルを画像ＰＤＦに変換、サニタイズ処理、未知の不正プログラム検知及びその実行を防止する機能を有するソフトウェアで危険因子の有無を確認するなどの対策が実施されているかを確かめる。 － －7ⅶ)権限管理統括情報セキュリティ責任者又は情報システム管理者によって、不正行為(例：無許可の重要コマンド発行や重要データ読み書き)を防止するために、管理者、ユーザの権限関連する属性に応じて適切に管理する対策が実施されている。 □システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、不正行為(例：無許可の重要コマンド発行や重要データ読み書き)を防止するために、管理者、ユーザの権限関連する属性に応じて適切に管理していることを確かめる。 － －8ⅷ)アクセス制御統括情報セキュリティ責任者又は情報システム管理者によって、不正アクセス(例：無許可の重要コマンド発行や重要データ読み書き)を防止するために、権限に応じた認可に基づき、アクセスの許可または拒否を行う対策が実施されている。 □アクセス制御方針□アクセス管理基準□システム設計書□機器等の設定指示書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、不正アクセス(例：無許可の重要コマンド発行や重要データ読み書き)を防止するために、権限に応じた認可に基づき、アクセスの許可または拒否が実施されていることを確かめる。 － －9ⅸ)IDS/IPS統括情報セキュリティ責任者又は情報システム管理者によって、ネットワーク上の通信パケットを収集・解析し、不正な通信の検知及び遮断する対策が実施されている。 □システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、ネットワーク上の通信パケットを収集・解析し、不正な通信の検知及び遮断する対策が実施されていることを確かめる。 － －10ⅹ)DDoS対策統括情報セキュリティ責任者又は情報システム管理者によって、サービス不能攻撃の一つであるDDoS(Distributed Denial of Service)攻撃による被害を最小化するために、以下の対策が実施されている。 ・DDoS対策機器の導入・DDoS対策サービスの利用によって、高負荷攻撃への耐性を向上・負荷分散装置(ロードバランサ)による耐性向上□システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、DDoS対策として、DDoS対策機器の導入、DDoS対策サービスの利用による高負荷攻撃への耐性の向上、負荷分散装置(ロードバランサ)による耐性の向上などの対策が実施されているかを確かめる。 － － ※111ⅺ)通信路暗号化統括情報セキュリティ責任者又は情報システム管理者によって、通信路上の盗聴・改ざんによる被害を最小化するために、以下の対策が実施されている。 ・暗号技術を用いて通信路上のデータを暗号化する・通信路上のデータ漏えいが発生しても、暗号化により攻撃者にとって無意味なものとする□システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、通信路上の盗聴・改ざんによる被害を最小化するため、暗号技術を用いて通信路上のデータを暗号化する、通信路上のデータ漏えいが発生しても、暗号化により攻撃者にとって無意味なものとする対策が実施されているかを確かめる。 － －項目3情報システム全体の強靭性の向上No. 監査項目 監査資料の例 監査実施の例情報セキュリティポリシーガイドラインの例文の番号関連するJISQ27002番号留意事項 項目12ⅻ)クラウドサービスからファイルダウンロード制限統括情報セキュリティ責任者又は情報システム管理者によって、必要性に応じクラウドサービス上から業務端末へのファイルダウンロードを制限するする対策が実施されている。 □システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、必要性に応じ、クラウドサービス上から業務端末へのファイルダウンロードを制限するする対策が実施されているかを確かめる。 － － ※2組織的・人的対策13ⅰ)手続・規定クラウドサービスを利用開始する場合の申請、承認等に係る規定を整備するとともに、運用を徹底している。 □クラウドサービス事業者選定基準□実施手順書監査資料のレビューと情報セキュリティ管理者へのインタビューにより、クラウドサービス事業者選定の際、利用するクラウドサービスのアプリケーションや、格納する情報資産などに応じた情報セキュリティ対策が確保されていることを確認しているか確かめる。 － －14ⅱ)情報セキュリティ研修計画職員等が毎年度最低１回は情報セキュリティ研修を受講できるように計画されている。 □研修・訓練実施基準□研修・訓練実施計画監査資料のレビュー又は統括情報セキュリティ責任者へのインタビューにより、研修計画において、職員等が毎年度最低１回は情報セキュリティ研修を受講できるように計画されているか確かめる。 5.2.(2) 6.315ⅲ)実践的サイバー防御演習(CYDER)の確実な受講CISOによって、実践的サイバー防御演習(CYDER)を受講しなければならないことが定められ、受講計画が策定されており、また、受講計画に従い、職員等が受講している。 □研修・訓練実施計画□研修・訓練受講記録□研修・訓練結果報告書監査資料のレビュー又は統括情報セキュリティ責任者へのインタビューにより、実践的サイバー防御演習(CYDER)の受講計画について文書化され、正式に承認されているか確かめる。 また、職員等が適切に受講しており、その受講記録が取られていることを確かめる。 － －16ⅳ)演習等を通じたサイバー攻撃情報やインシデント等への対策情報共有職員等が以下の演習やそれに準ずる演習を受講している。 ・インシデント対応訓練(基礎/高度)・分野横断的演習□研修・訓練実施計画□研修・訓練受講記録□研修・訓練結果報告書監査資料のレビュー又は統括情報セキュリティ責任者へのインタビューにより、職員等がインシデント対応訓練(基礎/高度)、分野横断的演習又はそれに準ずる演習を受講しているか確かめる。 5.2.(2) －17ⅴ)自治体情報セキュリティポリシーガイドライン等の見直しを踏まえた情報セキュリティポリシーの見直し自治体情報セキュリティポリシーガイドライン等の見直し踏まえて、適時適切に情報セキュリティポリシーの見直しがされている。 □情報セキュリティポリシー 監査資料のレビュー又は統括情報セキュリティ責任者へのインタビューにより、情報セキュリティポリシーが自治体情報セキュリティポリシーガイドライン等の見直しを踏まえて、適時適切に見直しがされていることを確かめる。 9.3 －※J-LIS追記 1：推奨事項 2：α’モデル(ア)・α’モデル(ウ)においては推奨事項、α’モデル(イ)においては必須事項