【条件付一般競争入札】令和8年度 情報セキュリティ外部監査業務

【条件付一般競争入札】令和8年度 情報セキュリティ外部監査業務 入 札 公 告「令和8年度 情報セキュリティ外部監査業務」について、次のとおり条件付一般競争入札を下記のとおり実施するので地方自治法施行令(昭和 22 年政令第 16 号)第 167条の６及び小城市財務規則(平成 17 年小城市規則第 38 号)の規定を準拠し、次のとおり公告する。令和8年6月5日小城市長 南里 隆１.入札に付する事項(1) 業務名令和8年度 情報セキュリティ外部監査業務(2) 履行場所佐賀県小城市 地内(小城市役所)(3) 業務内容別紙仕様書のとおり(4) 業務期間契約締結日の翌日から令和9年3月31日までとする。ただし、監査報告書は令和8年12月25日までに提出すること。２.入札に参加する者に必要な資格入札参加できる者は、入札参加資格申請提出締切日において、次に掲げる全ての要件に該当する者でなければならない。(1) 地方自治法施行令(昭和22年政令第16号)第167条の４第１項の規定に該当しない者であること。(2) 地方自治法施行令第 167 条の４第２項の規定に基づき一般競争入札に参加することができない者でないこと。(3) 会社更生法(平成 14 年法律第 154 号)又は民事再生法(平成 11 年法律第 225 号)に基づき更生又は再生手続開始の申立てがなされている者については、手続開始の決定を受け、かつ、手続開始決定後に本市の入札参加資格の認定手続きを完了している者であること。(4) 小城市暴力団排除条例(平成24年小城市条例第８号)第６条の規定に該当しないこと。(5) 破産法(平成16年法律第75号)の規定に基づく破産の申立て、会社更生法(平成14年法律第154号)の規定に基づく更生手続開始の申立て又は民事再生法(平成11年法律第225号)の規定に基づく再生手続き開始の申立てがなされていないこと。(6) 国税及び地方税の滞納がないこと。(7) 過去 5 年以内に国又は地方公共団体において、総務省ガイドライン(地方公共団体における情報セキュリティポリシーに関するガイドライン及び地方公共団体における情報セキュリティ監査に関するガイドライン)を基に情報セキュリティ監査を実施した実績を有すること。(8) 本業務を実施する監査チームには、情報セキュリティ監査に必要な知識及び経験を持ち、次に掲げるいずれかの資格を有する者が１人以上含まれていること。(ア) システム監査技術者(イ) 公認情報システム監査人(CISA)(ウ) 公認システム監査人(エ) ISMS 主任審査員(オ) ISMS 審査員(カ) 公認情報セキュリティ主任監査人(キ) 公認情報セキュリティ監査人(ク) 情報処理安全確保支援士３.契約条項を示す場所小城市総務部企画政策課４.入札参加資格の確認入札参加を希望する者は、実施要項、仕様書及び関係法令等の各規程を理解した上で、次の書類を提出すること。なお、(１)ウ、エは参加申込期限から３ヶ月以内に発行されたものに限る。また、小城市競争入札参加資格名簿の登録者の場合、(１)ウ、エ、カ、キは提出不要とする。(１) 参加意向申請書等の提出書類(ア) 条件付一般競争入札参加資格確認申請書(様式1) １部(イ) 業務委託等の実績調書(様式2) １部(ウ) 登記事項全部証明書(個人の場合、身分証明書) １部(エ) 納税(滞納なし)証明書(国税、都道府県税、市町村税) １部(オ) 委任状(支店等に参加手続き等の委任を行う場合)(様式3) １部(カ) 資本関係又は人的関係のある法人に係る申告書 (様式4) １部(キ) 暴力団等の排除に関する誓約書(様式5) １部(２) 提出期限及び注意事項令和8年6月18日(木)１７時１５分必着(期限厳守)① 持参又は郵送(「一般書留」又は「簡易書留」)にて提出すること。なお、郵送の場合は、受け取り日時及び配達されたことが証明できる方法によることとし、提出期限内に到着したものに限り受け付ける。郵便事故等については、市はその責めを負わない。② 封筒の表面に「『令和8年度 情報セキュリティ外部監査業務』入札参加資格確認申請書在中」と赤字で記載すること。③ 期限までに提出がなかった場合は、本入札への参加が出来ないものとする。(３) 提出先(宛先)「１３.問い合わせ先【業務全般に関すること】」を参照なお、別途、申請者の本入札の担当者の氏名・電話番号・メールアドレスを「１３.問い合わせ先【業務全般に関すること】」に記載のメールアドレスへ送信すること。(４) 経費及び遵守すべき事項① 提出資料作成並びに申請に要する費用はすべて申請者の負担とする。② 申請内容・提出資料に虚偽の記載をした場合は、無効とする。③ 提出資料は返却しない。④ 提出資料は、公平性、透明性、客観性を期すため「小城市情報公開条例」等の関連規定に基づき公表することがある。⑤ 申請内容・提出資料の内容について、本市より問い合わせを行う場合がある。⑥ 提出資料作成のために小城市から受領した資料等は、小城市の了解なく公表又は使用することはできない。(５) 入札参加資格審査結果令和8年7月1日(水)までに、入札に参加した者へメールにて連絡を行い、後日書面にて通知する。５.入札方法条件付一般競争入札。本入札方法は、小城市郵便入札実施要領に基づく郵便入札とする。(1) 郵送による入札書の提出期限等(ア) 提出期限 令和8年7月9日(木)17 時 00 分必着(イ) 提 出 先 13.問い合わせ先【本入札に関すること】に記載している場所へ郵送すること。(ウ) 郵送方法 一般書留又は簡易書留による。入札書及び入札内訳書を内封筒に入れ使用印鑑にて厳封し、それを外封筒に入れて郵送すること。 なお、内封筒には、件名、商号等を記載するとともに「親展」、「入札書在中」と朱書きすること。(2) 本入札は郵便入札であるため、代理人の入札は認めない。代表者によるものに限る。(3) 入札参加者は、仕様書を熟知のうえ、入札に参加すること。(4) 入札参加者は、小城市のホームページに掲載している所定の入札書(様式6)を使用すること。(5) 入札金額を算出する過程では１円未満の端数処理を行い、入札金額には端数が出ないようにすること。(6) 入札参加資格確認後、入札を辞退する場合は、入札辞退届(様式７)を提出すること。６.入札保証金小城市財務規則の規定により免除とする。７.開札(１)日時令和8年7月10日(金)9時３０分(２)場所小城市役所(３)立会入札者のうち、立会い希望者を立ち合わせる。ただし、希望者がいないときは、入札関係事務に関係のない市の職員を立ち合わせるものとする。(４)落札者の決定方法入札書比較価格以下の範囲で最低の価格をもって入札した者を落札者とする。落札となるべき同価の入札をしたものが２者以上ある場合は、くじ引きにより落札者を決定する。(５)落札結果の通知開札後、令和 8 年 7 月 10 日(金)中に、入札に参加した者へメールにて連絡を行い(入札に立ち会った者を除く)、後日書面にて通知する。８.契約保証金落札者は、契約までに、契約金額の１００分の１０を乗じた金額以上を納めること。ただし、小城市財務規則第104条第2項に規定する有価証券又は市長が確実と認める金融機関の保証をもってかえることができる。９.入札の無効に関する事項次のいずれかに該当する入札は無効とする。(ア) 入札参加資格のない者が入札したとき(イ) 入札金額が入札書比較価格を超えるとき(ウ) 所定の場所及び日時までに入札書が提出されないとき(エ) 入札書に入札金額の記載がないとき、又は入札金額が判読できないとき(オ) 入札書に記載された事項に誤字又は脱字等があって必要事項を確認できないとき(カ) 入札書に入札者又はその代理人の記名押印がないとき(キ) 同一の入札者が２以上の入札をしたとき(ク) 法令又は入札に関する条件に違反したとき１０.その他入札に関し必要な事項(１)仕様書等の入手場所小城市ホームページからダウンロード(URL https://www.city.ogi.lg.jp/)(２)仕様書の内容に関する質問の受付期間、質問方法及び回答方法① 受付期間公告の日から令和8年6月29日(月)１７時１５分まで② 質問方法下記のフォームより送信すること。なお、フォーム以外の送信方法による質問は受け付けない。また、受付期間以降の質問は一切受け付けない。https://7ffc9287.form.kintoneapp.com/public/25dff27b786d262f558eba1157dd66e39b8e0bf57913c5578ec7b2b4ed016880③ 回答方法令和8年7月2日(木)までに、入札参加資格者へメールで回答する。なお、質問の回答は本要綱等の追加または修正とみなす。１１.その他(１)契約の手続きにおいて使用する言語及び通貨は、日本語及び日本国通貨に限る。(２)入札参加に係る費用は、入札参加者の負担とする。(３)入札参加者は、地方自治法、地方自治法施行令、小城市財務規則その他関係法令を遵守すること。(４)落札決定後に、当該落札決定者が無効な入札を行っていたことが判明した場合には、落札決定を取り消す場合がある。(５)不正な入札があると認めたとき、又は天災地変その他の理由により入札を続行することが困難であると認めたときは、当該入札の執行を延期し、停止し、又は中止することがある。(６)落札者は、契約の際に暴力団排除に係る条項を記載した市指定の誓約書を提出しなければならない。１２.全体スケジュール(予定)期 日 項 目令和8年6月5日(金) 公告令和8年6月18日(木) 入札参加資格確認申請の締め切り令和8年6月29日(月) 質問書の提出締め切り令和8年7月1日(水) 入札参加資格審査結果通知令和8年7月2日(木) 質問書に対する回答令和8年7月9日(木) 入札書の提出締め切り令和8年7月10日(金) 入札(開札)の実施、本業務履行業者の決定令和8年7月下旬頃 契約締結１３.問い合わせ先【本入札に関すること】小城市総務部財政課契約管財係〒845－８５11佐賀県小城市三日月町長神田2312番地2電話：0952－37－6117E-mail：keiyakukanri@city.ogi.lg.jp【業務全般に関すること】小城市総務部企画政策課情報政策係〒845－８５11佐賀県小城市三日月町長神田2312番地2電話：0952－37－6116E-mail：jyouhouseisaku@city.ogi.lg.jp 仕様書1. 業務名令和8年度 情報セキュリティ外部監査業務2. 業務目的本業務は、小城市(以下、「本市」という。)の情報セキュリティポリシーに基づき実施している情報資産の管理、各種情報システムの保守・運用、職員研修等の情報セキュリティ対策について、第三者による独立かつ専門的な立場から、基準等に準拠して適切に実施されているか否かを点検・評価し、問題点の確認、改善方法等についての検討、助言、指導を行うことによって、本市の情報セキュリティ対策の向上に資することを目的とする。3. 監査対象本市が指定する4システム及び総務省等が示す「α'モデル採用自治体における監査項目一覧」のうち、α'モデルの対策に基づく部分。別紙「監査項目一覧」に記載の項目。4. 履行期間契約締結日の翌日から令和9年3月31日までとする。ただし、監査報告書については令和8年12月25日までに提出すること。5. 履行場所小城市役所(本庁舎内)及び本市が指定する施設/拠点6. 業務内容適用基準に基づき別紙「監査項目一覧」に記載の項目を対象に、助言型の監査を実施すること。各種打合せはWebでの実施を可能とするが、監査(ヒアリング等)の実施は対面とする。また、地方公共団体情報システム機構(J-LIS)及び総務省からのヒアリング時にはフォローアップの支援を実施すること。7. 適用基準(1) 必須とする基準(ア) 小城市情報セキュリティポリシー(2) 参考とする基準(ア) 地方公共団体における情報セキュリティポリシーに関するガイドライン(総務省)(イ) 地方公共団体における情報セキュリティ監査に関するガイドライン(総務省)(ウ) 上記のほか委託期間において情報セキュリティに関し有用な基準等で、本市と協議して採用するもの8. 監査人要件(1) 監査責任者、監査人、監査人補助者、アドバイザー等で構成される監査チームを編成すること。(2) 監査チームの構成員が、監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画、開発、運用、保守等に関わっていないこと。(3) 監査チームには情報セキュリティ監査に必要な知識及び経験(地方公共団体における情報セキュリティ監査の実績)を持ち、次に掲げるいずれかの資格を有する者が1人以上含まれていること。(ア) システム監査技術者(イ) 公認情報システム監査人(CISA)(ウ) 公認システム監査人(エ) ISMS 主任審査員(オ) ISMS 審査員(カ) 公認情報セキュリティ主任監査人(キ) 公認情報セキュリティ監査人(ク) 情報処理安全確保支援士9. 監査報告書の様式(1) 監査報告書の作成様式Ａ４版縦(必要に応じてＡ３版三つ折も可。Ａ３版三つ折の場合、両面印刷は不可とする。)とし、様式は任意とする。(2) 監査報告書の宛名１部を「小城市長」宛てとし、他を｢最高情報セキュリティ責任者｣宛てとする。10. 監査報告書の提出先小城市 総務部 企画政策課 情報政策係とする。11. 監査報告会監査報告書提出後、監査報告会を実施し、監査結果の説明を行うとともに、必要に応じて監査証拠に基づいた改善のための方策等の助言を行うこと。12. 成果物及び納品方法業務完了時には、本市の示す様式の業務完了報告書(A4縦)を1部提出すること。また、次の成果品を、書面(任意様式、A4版縦)及び電子媒体(CD-R等)で各1部提出すること。(ア) 監査実施計画書(イ) 監査報告書なお、J-LISへ提出可能な形式で作成すること。13. 成果物の帰属成果物及びこれに付随する資料は、全て本市に帰属するものとし、書面による本市の承諾を受けないで他に公表、譲渡、貸与または使用してはならない。ただし、成果物及びこれに付随する資料に関し、受託者が従前から保有する著作権は受託者に留保されるものとし、本市は本業務の目的の範囲内で自由に利用できるものとする。14. 留意事項(1) 本業務によって本市の業務に支障が出ないよう留意すること。(2) 契約締結後、受託者は監査実施計画書を提出し、本市と協議の上、委託業務の詳細内容及び各作業の実施時期を決定するものとする。(3) 業務委託の遂行上当然必要となる事項・費用については、本業務に含まれるものとする。(4) 業務上必要となる情報については厳重に取り扱い、漏洩等が発生しないよう留意すること。(5) 受託者が本市の事務室等に立入って作業を行う場合には、事前に本市に連絡し許可を受けてから行うこと。(6) 業務内容及びその他必要事項について疑義が生じたときは、本市と速やかに協議の上対応すること。 No. 監査項目 監査資料の例 監査実施の例情報セキュリティポリシーガイドラインの例文の番号関連するJISQ27002番号留意事項１組織体制(3)CSIRTの設置・役割4ⅲ)CSIRTの設置・役割の明確化CSIRTが設置され、部局の情報セキュリティインシデントについてCISOへの報告がされている。また、CISOによって、CSIRT及び構成する要員の役割が明確化されている。 □情報セキュリティポリシー□CSIRT設置要綱監査資料のレビューと統括情報セキュリティ責任者へのインタビューにより、CSIRTが設置されており、規定された役割に応じて情報セキュリティインシデントのとりまとめやCISOへの報告、報道機関等への通知、関係機関との情報共有等を行う統一的な窓口が設置されているか確かめる。また、監査資料のレビューとCISO又は構成要員へのインタビューにより、CSIRTの要員構成、役割などが明確化されており、要員はそれぞれの役割を理解しているか確かめる。 1.(9) 5.55.65.245.255.266.85人的セキュリティ5.1職員等の遵守事項85ⅰ)情報セキュリティポリシー等遵守の明記統括情報セキュリティ責任者又は情報セキュリティ責任者によって、職員等が情報セキュリティポリシー及び実施手順を遵守しなければならないことが定められ、文書化されている。 □情報セキュリティポリシー□職員等への周知記録監査資料のレビューと統括情報セキュリティ責任者又は情報セキュリティ責任者へのインタビューにより、職員等の情報セキュリティポリシー及び実施手順の遵守や、情報セキュリティ対策について不明な点及び遵守が困難な点等がある場合に職員等がとるべき手順について文書化され、正式に承認されているか確かめる。また、承認された文書が職員等に周知されているか確かめる。 5.1.(1)① 5.186ⅱ)情報セキュリティポリシー等の遵守職員等は、情報セキュリティポリシー及び実施手順を遵守するとともに、情報セキュリティ対策について不明な点や遵守が困難な点等がある場合、速やかに情報セキュリティ管理者に相談し、指示を仰げる体制になっている。 □情報セキュリティポリシー□実施手順書監査資料のレビューと情報セキュリティ管理者及び職員等へのインタビューにより、情報セキュリティポリシー及び実施手順の遵守状況を確かめる。また、情報セキュリティ対策について不明な点及び遵守が困難な点等がある場合、職員等が速やかに情報セキュリティ管理者に相談し、指示を仰げる体制が整備されているか確かめる。 必要に応じて、職員等へのアンケート調査を実施し、周知状況を確かめる。 5.1.(1)① 5.1 ・職員等の情報セキュリティポリシーの遵守状況の確認及び対処については、No.334～342も関連する項目であることから参考にすること。 (1)職員等の遵守事項②業務以外の目的での使用の禁止88ⅱ)情報資産等の業務以外の目的での使用禁止職員等による業務以外の目的での情報資産の持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスは行われていない。 □端末ログ□電子メール送受信ログ□ファイアウォールログ監査資料のレビューと情報システム管理者及び職員等へのインタビューにより、業務以外の目的での情報資産の持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスが行われていないか確かめる。必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.1.(1)② －90ⅱ)情報資産等の外部持出制限職員等がモバイル端末、電磁的記録媒体、情報資産及びソフトウェアを外部に持ち出す場合、情報セキュリティ管理者により許可を得ている。 □端末等持出・持込基準/手続□庁外での情報処理作業基準/手続□端末等持出・持込申請書/承認書監査資料のレビューと情報セキュリティ管理者及び職員等へのインタビューにより、職員等がモバイル端末、電磁的記録媒体、情報資産及びソフトウェアを外部に持ち出す場合、情報セキュリティ管理者から許可を得ているか確かめる。必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.1.(1)③(イ)8.16.77.9・紛失、盗難による情報漏えいを防止するため、暗号化等の適切な処置をして持出すことが望ましい。 91ⅲ)外部での情報処理業務の制限職員等が外部で情報処理作業を行う場合は、情報セキュリティ管理者による許可を得ている。 □庁外での情報処理作業基準/手続□庁外作業申請書/承認書監査資料のレビューと情報セキュリティ管理者及び職員等へのインタビューにより、職員等が外部で情報処理作業を行う場合、情報セキュリティ管理者から許可を得ているか確かめる。必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.1.(1)③(ウ)8.16.77.9・情報漏えい事故を防止するため、業務終了後は速やかに勤務地に情報資産を返却することが望ましい。 α’・β・β’共通の監査項目項目(1)職員等の遵守事項①情報セキュリティポリシー等の遵守(1)職員等の遵守事項③モバイル端末や電磁的記録媒体の持ち出し及び外部における情報処理作業の制限No. 監査項目 監査資料の例 監査実施の例情報セキュリティポリシーガイドラインの例文の番号関連するJISQ27002番号留意事項 項目92ⅰ)支給以外のパソコン、モバイル端末及び電磁的記録媒体の業務利用基準及び手続統括情報セキュリティ責任者又は情報セキュリティ責任者によって、職員等が業務上支給以外のパソコン、モバイル端末及び電磁的記録媒体を利用する場合の基準及び手続について定められ、文書化されている。 □端末等持出・持込基準/手続□支給以外のパソコン等使用申請書/承認書監査資料のレビューと統括情報セキュリティ責任者又は情報セキュリティ責任者へのインタビューにより、支給以外のパソコン、モバイル端末及び電磁的記録媒体利用手順が文書化され、正式に承認されているか確かめる。 5.1.(1)④ 5.107.893ⅱ)支給以外のパソコン、モバイル端末及び電磁的記録媒体の利用制限職員等が情報処理作業を行う際に支給以外のパソコン、モバイル端末及び電磁的記録媒体を用いる場合、当該端末の業務利用の可否判断をCISOが行った後に、業務上必要な場合は、統括情報セキュリティ責任者の定める実施手順に従い、情報セキュリティ管理者による許可を得ている。また、機密性の高い情報資産の支給以外のパソコン、モバイル端末及び電磁的記録媒体による情報処理作業は行われていない。 □支給以外のパソコン等使用申請書/承認書□支給以外のパソコン等使用基準/実施手順書監査資料のレビューと情報セキュリティ管理者及び職員等へのインタビューにより、職員等が情報処理作業を行う際に支給以外のパソコン、モバイル端末及び電磁的記録媒体を用いる場合、情報セキュリティ管理者の許可を得ているか確かめる。また、端末のウイルスチェックが行われていることや、端末ロック機能及び遠隔消去機能が利用できること、機密性3の情報資産の情報処理作業を行っていないこと、支給以外の端末のセキュリティに関する教育を受けた者のみが利用しているか確かめる。必要に応じて、職員等へのアンケート調査を実施して確かめる。また、手順書に基づいて許可や利用がされているか確かめる。 5.1.(1)④ 8.16.77.87.994ⅲ)支給以外のパソコン、モバイル端末及び電磁的記録媒体の庁内ネットワーク接続職員等が支給以外のパソコン、モバイル端末及び電磁的記録媒体を庁内ネットワークに接続することを許可する場合、統括情報セキュリティ責任者又は情報セキュリティ責任者によって、情報漏えい対策が講じられている。 □庁外での情報処理作業基準/手続□支給以外のパソコン等使用申請書/承認書□支給以外のパソコン等使用基準/実施手順書監査資料のレビューと情報セキュリティ管理者及び職員等へのインタビューにより、支給以外のパソコン、モバイル端末及び電磁的記録媒体を庁内ネットワークに接続することを許可する場合は、シンクライアント環境やセキュアブラウザの使用、ファイル暗号化機能を持つアプリケーションでの接続のみを許可する等の情報漏えい対策が講じられているか確かめる。必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.1.(1)④ 8.208.21(1)職員等の遵守事項⑤持ち出し及び持ち込みの記録96ⅱ)端末等の持出・持込記録の作成情報セキュリティ管理者によって、端末等の持ち出し及び持ち込みの記録が作成され、保管されている。 □端末等持出・持込基準/手続□端末等持出・持込申請書/承認書監査資料のレビューと情報セキュリティ管理者へのインタビューにより、端末等の持ち出し及び持ち込みの記録が作成され、保管されているか確かめる。 5.1.(1)⑤ 7.1 ・記録を定期的に点検し、紛失、盗難が発生していないか確認することが望ましい。 (1)職員等の遵守事項⑦机上の端末等の管理100ⅱ)机上の端末等の取扱離席時には、パソコン、モバイル端末、電磁的記録媒体、文書等の第三者使用又は情報セキュリティ管理者の許可なく情報が閲覧されることを防止するための適切な措置が講じられている。 □クリアデスク・クリアスクリーン基準監査資料のレビューと情報セキュリティ管理者及び職員等へのインタビュー、執務室の視察により、パソコン、モバイル端末の画面ロックや電磁的記録媒体、文書等の容易に閲覧されない場所への保管といった、情報資産の第三者使用又は情報セキュリティ管理者の許可なく情報が閲覧されることを防止するための適切な措置が講じられているか確かめる。必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.1.(1)⑦ 7.7(1)職員等の遵守事項④支給以外のパソコン、モバイル端末及び電磁的記録媒体の業務利用No. 監査項目 監査資料の例 監査実施の例情報セキュリティポリシーガイドラインの例文の番号関連するJISQ27002番号留意事項 項目(3)情報セキュリティポリシー等の掲示108ⅱ)情報セキュリティポリシー等の掲示情報セキュリティ管理者によって、職員等が常に最新の情報セキュリティポリシー及び実施手順を閲覧できるように掲示されている。 □職員等への周知記録 監査資料のレビューと情報セキュリティ管理者へのインタビュー及び執務室の視察により、職員等が常に最新の情報セキュリティポリシー及び実施手順を閲覧できるよう、イントラネット等に掲示されているか確かめる。 5.1.(3) 5.1(4)外部委託事業者に対する説明110ⅱ)委託事業者に対する情報セキュリティポリシー等遵守の説明ネットワーク及び情報システムの開発・保守等を委託事業者に発注する場合、情報セキュリティ管理者によって、情報セキュリティポリシー等のうち、委託事業者及び再委託事業者が守るべき内容の遵守及びその機密事項が説明されている。 □業務委託契約書□委託管理基準監査資料のレビューと情報セキュリティ管理者へのインタビューにより、ネットワーク及び情報システムの開発・保守等を発注する委託事業者及び再委託事業者に対して、情報セキュリティポリシー等のうち委託事業者等が守るべき内容の遵守及びその機密事項が説明されているか確かめる。 5.1.(4) 5.195.20・再委託は原則禁止であるが、例外的に再委託を認める場合には、再委託事業者における情報セキュリティ対策が十分取られており、委託事業者と同等の水準であることを確認した上で許可しなければならない。 ・委託事業者に対して、契約の遵守等について必要に応じ立ち入り検査を実施すること。 ・委託に関する事項ついては、No.337～366も関連する項目であることから参考にすること。 5.2研修・訓練(1)情報セキュリティに関する研修・訓練112ⅱ)情報セキュリティ研修・訓練の実施CISOによって、定期的にセキュリティに関する研修・訓練が実施されている。 □研修・訓練実施基準□研修実施報告書□訓練実施報告書監査資料のレビューと統括情報セキュリティ責任者へのインタビューにより、定期的に情報セキュリティに関する研修・訓練が実施されているか確かめる。 5.2.(1) 6.3123ⅰ)情報セキュリティインシデントの報告手順統括情報セキュリティ責任者によって、情報セキュリティインシデントを認知した場合の報告手順が定められ、文書化されている。 □情報セキュリティインシデント報告手順書監査資料のレビューと統括情報セキュリティ責任者又は情報セキュリティ責任者へのインタビューにより、職員等が情報セキュリティインシデントを認知した場合、又は住民等外部から情報セキュリティインシデントの報告を受けた場合の報告ルート及びその方法が文書化され、正式に承認されているか確かめる。 5.3.(1)～(3) 6.8 ・報告ルートは、団体の意思決定ルートと整合していることが重要である。 (1)庁内での情報セキュリティインシデントの報告124ⅰ)庁内での情報セキュリティインシデントの報告庁内で情報セキュリティインシデントが認知された場合、報告手順に従って関係者に報告されている。 □情報セキュリティインシデント報告手順書□情報セキュリティインシデント報告書監査資料のレビューと統括情報セキュリティ責任者又は情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者、職員等へのインタビューにより、報告手順に従って遅滞なく報告されているか確かめる。また、個人情報・特定個人情報の漏えい等が発生していた場合、必要に応じて個人情報保護委員会へ報告されていることを確かめる。 5.3.(1) 6.85.3情報セキュリティインシデントの報告No. 監査項目 監査資料の例 監査実施の例情報セキュリティポリシーガイドラインの例文の番号関連するJISQ27002番号留意事項 項目5.4ID及びパスワード等の管理(1)ICカード等の取扱い130ⅲ)認証用ICカード等の放置禁止認証用ICカード等を業務上必要としないときは、カードリーダーやパソコン等の端末のスロット等から抜かれている。 □ICカード等取扱基準 監査資料のレビューと情報システム管理者及び職員等へのインタビュー並びに執務室の視察により、業務上不要な場合にカードリーダーやパソコン等の端末のスロット等から認証用のICカードやUSBトークンが抜かれているか確かめる。必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.4.(1)①(イ)5.165.18131ⅳ)認証用ICカード等の紛失時手続認証用ICカード等が紛失した場合は、速やかに統括情報セキュリティ責任者及び情報システム管理者に通報され、指示に従わせている。 □ICカード等取扱基準□ICカード紛失届書監査資料のレビューと統括情報セキュリティ責任者及び情報システム管理者へのインタビューにより、認証用のICカードやUSBトークンが紛失した場合は、速やかに統括情報セキュリティ責任者及び情報システム管理者に通報され、指示に従わせているか確かめる。 5.4.(1)①(ウ)5.165.18132ⅴ)認証用ICカード等の紛失時対応認証用ICカード等の紛失連絡があった場合、統括情報セキュリティ責任者及び情報システム管理者によって、当該ICカード等の不正使用を防止する対応がとられている。 □ICカード等取扱基準□ICカード等管理台帳監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、紛失した認証用のICカードやUSBトークンを使用したアクセス等が速やかに停止されているか確かめる。 5.4.(1)② 5.165.18133ⅵ)認証用ICカード等の回収及び廃棄ICカード等を切り替える場合、統括情報セキュリティ責任者及び情報システム管理者によって、切替え前のカードが回収され、不正使用されないような措置が講じられている。 □ICカード等取扱基準□ICカード等管理台帳監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、認証用のICカードやUSBトークンを切り替える場合に切替え前のICカードやUSBトークンが回収され、破砕するなど復元不可能な処理を行った上で廃棄されているか確かめる。 5.4.(1)③ 5.165.18・回収時の個数を確認し、紛失・盗難が発生していないか確実に確認することが望ましい。 (3)パスワードの取扱い138ⅱ)パスワードの取扱い職員等のパスワードは当該本人以外に知られないように取扱われている。 □パスワード管理基準 監査資料のレビューと情報システム管理者及び職員等へのインタビューにより、職員等のパスワードについて照会等に応じたり、他人が容易に想像できるような文字列に設定したりしないように取り扱われているか確かめる。 必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.4.(3)①～③ 5.17 内閣サイバーセキュリティセンター(NISC)のハンドブックでは、「ログイン用パスワード」は、英大文字(26種類)小文字(26種類)＋数字(10種類)＋記号(26種類)の計88種類の文字をランダムに使って、10桁以上を安全圏として推奨している。 139ⅲ)パスワードの不正使用防止パスワードが流出したおそれがある場合、不正使用されない措置が講じられている。 □パスワード管理基準 監査資料のレビューと情報システム管理者及び職員等へのインタビューにより、パスワードが流出したおそれがある場合、速やかに情報セキュリティ管理者に報告され、パスワードが変更されているか確かめる。必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.4.(3)④ 5.17142ⅵ)パスワード記憶機能の利用禁止サーバ、ネットワーク機器及びパソコン等の端末にパスワードが記憶されていない。 □パスワード管理基準 監査資料のレビューと情報システム管理者及び職員等へのインタビュー、執務室の視察により、サーバ、ネットワーク機器及びパソコン等の端末にパスワードが記憶されていないか確かめる。必要に応じて、職員等へのアンケート調査を実施して確かめる。 5.4.(3)⑦ 5.17α'モデルを採用する場合の追加監査項目No. 監査項目 監査資料の例 監査実施の例情報セキュリティポリシーガイドラインの例文の番号関連するJISQ27002番号留意事項技術的対策1ⅰ)接続先のクラウドサービスの証明書による認証統括情報セキュリティ責任者及び情報システム管理者により、以下の対策が実施されている。 ・接続先のクラウドサービスが本物であるか否か、正当性を確認する。 □システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、LGWAN接続系からパブリッククラウドサービスに接続するさい、接続先が本物であるか否か、正当性を確認する対策が実施されているか確かめる。 － －2ⅱ)マルウェア対策ソフト統括情報セキュリティ責任者及び情報システム管理者により、パターンマッチング方式や、不審な動作を行うコードが含まれていることを検出する振る舞い検知などにより、不正プログラム対策が実施されている。 □システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、パターンマッチング方式や、不審な動作を行うコードが含まれていることを検出する振る舞い検知などにより、不正プログラム対策が実施されているか確かめる。 － －3ⅲ)パッチ適用統括情報セキュリティ責任者及び情報システム管理者により、脆弱性を修正するパッチを速やかに適用し、脆弱性を解消する対策が実施されている。 □システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、脆弱性を修正するパッチを速やかに適用し、脆弱性を解消する対策が実施されているか確かめる。 － －4ⅳ)接続先制限統括情報セキュリティ責任者及び情報システム管理者により、LGWAN接続系から外部へのアクセス先をLGWAN-ASP及び利用が許可されたクラウドサービスのみに限定する対策が実施されている。 □システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、LGWAN接続系から外部へのアクセス先をLGWAN-ASP及び利用が許可されたクラウドサービスのみに限定する対策が実施されているか確かめる。 － －5ⅴ)ローカルブレイクアウトテナントアクセス制御統括情報セキュリティ責任者又は情報システム管理者によって、団体専用テナントを利用時は、利用するクラウドサービスへのアクセスを自らの団体が利用するテナントのみに制限する対策が実施されている。 □システム構成図□アクセス制御方針□アクセス管理基準□システム設計書□機器等の設定指示書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、団体専用テナントを利用時は、利用するクラウドサービスへのアクセスを自らの団体が利用するテナントのみに制限していることを確かめる。 － －項目3情報システム全体の強靭性の向上No. 監査項目 監査資料の例 監査実施の例情報セキュリティポリシーガイドラインの例文の番号関連するJISQ27002番号留意事項 項目6ⅵ)メール無害化/ファイル無害化CISO又は統括情報セキュリティ責任者によって、LGWAN接続系にインターネットからファイルを取り込む際に、以下の対策が実施されている。 ・ファイルからテキストのみを抽出・ファイルを画像ＰＤＦに変換・サニタイズ処理・未知の不正プログラム検知及びその実行を防止する機能を有するソフトウェアで危険因子の有無を確認□システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューとCISO又は統括情報セキュリティ責任者へのインタビューにより、LGWAN接続系にインターネットからファイルを取り込む際に、ファイルからテキストのみを抽出、ファイルを画像ＰＤＦに変換、サニタイズ処理、未知の不正プログラム検知及びその実行を防止する機能を有するソフトウェアで危険因子の有無を確認するなどの対策が実施されているかを確かめる。 － －7ⅶ)権限管理統括情報セキュリティ責任者又は情報システム管理者によって、不正行為(例：無許可の重要コマンド発行や重要データ読み書き)を防止するために、管理者、ユーザの権限関連する属性に応じて適切に管理する対策が実施されている。 □システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、不正行為(例：無許可の重要コマンド発行や重要データ読み書き)を防止するために、管理者、ユーザの権限関連する属性に応じて適切に管理していることを確かめる。 － －8ⅷ)アクセス制御統括情報セキュリティ責任者又は情報システム管理者によって、不正アクセス(例：無許可の重要コマンド発行や重要データ読み書き)を防止するために、権限に応じた認可に基づき、アクセスの許可または拒否を行う対策が実施されている。 □アクセス制御方針□アクセス管理基準□システム設計書□機器等の設定指示書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、不正アクセス(例：無許可の重要コマンド発行や重要データ読み書き)を防止するために、権限に応じた認可に基づき、アクセスの許可または拒否が実施されていることを確かめる。 － － ・アクセス制御についてはNo.2２１～24７も関連する項目であることから参考にすること。 9ⅸ)IDS/IPS統括情報セキュリティ責任者又は情報システム管理者によって、ネットワーク上の通信パケットを収集・解析し、不正な通信の検知及び遮断する対策が実施されている。 □システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、ネットワーク上の通信パケットを収集・解析し、不正な通信の検知及び遮断する対策が実施されていることを確かめる。 － －No. 監査項目 監査資料の例 監査実施の例情報セキュリティポリシーガイドラインの例文の番号関連するJISQ27002番号留意事項 項目10ⅹ)DDoS対策統括情報セキュリティ責任者又は情報システム管理者によって、サービス不能攻撃の一つであるDDoS(Distributed Denial of Service)攻撃による被害を最小化するために、以下の対策が実施されている。 ・DDoS対策機器の導入・DDoS対策サービスの利用によって、高負荷攻撃への耐性を向上・負荷分散装置(ロードバランサ)による耐性向上□システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、DDoS対策として、DDoS対策機器の導入、DDoS対策サービスの利用による高負荷攻撃への耐性の向上、負荷分散装置(ロードバランサ)による耐性の向上などの対策が実施されているかを確かめる。 － － ※111ⅺ)通信路暗号化統括情報セキュリティ責任者又は情報システム管理者によって、通信路上の盗聴・改ざんによる被害を最小化するために、以下の対策が実施されている。 ・暗号技術を用いて通信路上のデータを暗号化する・通信路上のデータ漏えいが発生しても、暗号化により攻撃者にとって無意味なものとする□システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、通信路上の盗聴・改ざんによる被害を最小化するため、暗号技術を用いて通信路上のデータを暗号化する、通信路上のデータ漏えいが発生しても、暗号化により攻撃者にとって無意味なものとする対策が実施されているかを確かめる。 － －12ⅻ)クラウドサービスからファイルダウンロード制限統括情報セキュリティ責任者又は情報システム管理者によって、必要性に応じクラウドサービス上から業務端末へのファイルダウンロードを制限するする対策が実施されている。 □システム構成図□システム設計書□機器等の設定指示書□運用手順書監査資料のレビューと統括情報セキュリティ責任者又は情報システム管理者へのインタビューにより、必要性に応じ、クラウドサービス上から業務端末へのファイルダウンロードを制限するする対策が実施されているかを確かめる。 － － ※2組織的・人的対策13ⅰ)手続・規定クラウドサービスを利用開始する場合の申請、承認等に係る規定を整備するとともに、運用を徹底している。 □クラウドサービス事業者選定基準□実施手順書監査資料のレビューと情報セキュリティ管理者へのインタビューにより、クラウドサービス事業者選定の際、利用するクラウドサービスのアプリケーションや、格納する情報資産などに応じた情報セキュリティ対策が確保されていることを確認しているか確かめる。 － －14ⅱ)情報セキュリティ研修計画職員等が毎年度最低１回は情報セキュリティ研修を受講できるように計画されている。 □研修・訓練実施基準□研修・訓練実施計画監査資料のレビュー又は統括情報セキュリティ責任者へのインタビューにより、研修計画において、職員等が毎年度最低１回は情報セキュリティ研修を受講できるように計画されているか確かめる。 5.2.(2) 6.3 ・αモデルにおいては推奨事項だが、β・β'モデルにおいては必須事項となる。 No. 監査項目 監査資料の例 監査実施の例情報セキュリティポリシーガイドラインの例文の番号関連するJISQ27002番号留意事項 項目15ⅲ)実践的サイバー防御演習(CYDER)の確実な受講CISOによって、実践的サイバー防御演習(CYDER)を受講しなければならないことが定められ、受講計画が策定されており、また、受講計画に従い、職員等が受講している。 □研修・訓練実施計画□研修・訓練受講記録□研修・訓練結果報告書監査資料のレビュー又は統括情報セキュリティ責任者へのインタビューにより、実践的サイバー防御演習(CYDER)の受講計画について文書化され、正式に承認されているか確かめる。 また、職員等が適切に受講しており、その受講記録が取られていることを確かめる。 － －16ⅳ)演習等を通じたサイバー攻撃情報やインシデント等への対策情報共有職員等が以下の演習やそれに準ずる演習を受講している。 ・インシデント対応訓練(基礎/高度)・分野横断的演習□研修・訓練実施計画□研修・訓練受講記録□研修・訓練結果報告書監査資料のレビュー又は統括情報セキュリティ責任者へのインタビューにより、職員等がインシデント対応訓練(基礎/高度)、分野横断的演習又はそれに準ずる演習を受講しているか確かめる。 5.2.(2) －17ⅴ)自治体情報セキュリティポリシーガイドライン等の見直しを踏まえた情報セキュリティポリシーの見直し自治体情報セキュリティポリシーガイドライン等の見直し踏まえて、適時適切に情報セキュリティポリシーの見直しがされている。 □情報セキュリティポリシー 監査資料のレビュー又は統括情報セキュリティ責任者へのインタビューにより、情報セキュリティポリシーが自治体情報セキュリティポリシーガイドライン等の見直しを踏まえて、適時適切に見直しがされていることを確かめる。 9.3 － ・情報セキュリティポリシーの策定・遵守については、No.334～342、No.403～413、No.420～421も関連する項目であることから参考にすること。 ※J-LIS追記 1：推奨事項 2：α’モデル(ア)・α’モデル(ウ)においては推奨事項、α’モデル(イ)においては必須事項