令和７年度岡山県情報セキュリティ監査業務に係る一般競争入札（条件付）の実施について

令和７年度岡山県情報セキュリティ監査業務に係る一般競争入札（条件付）の実施について デジ第465号一般競争入札(条件付)の実施地方自治法(昭和２２年法律第６７号)第２３４条第１項の規定により、次のとおり一般競争入札(条件付)を実施する。 令和８年１月９日岡山県知事 伊原木 隆太１ 入札に付する事項(１)業務名 令和７年度岡山県情報セキュリティ監査業務(２)契約期間 契約締結日から令和８年３月３１日まで(３)履行場所 岡山県総務部デジタル推進課長が指定する場所２ 入札に参加する者に必要な資格入札の公告日から落札者が決定する日までの間、次に掲げる要件の全てを満たしていること。 (１)岡山県役務の提供に係る入札参加資格者名簿(以下「入札参加資格者名簿」という。)に搭載されている者であること。 (２)入札参加資格者名簿の業務種目の大分類が「８ 情報・通信サービス」かつ、小分類が「６ 情報セキュリティサービス」であり、格付区分がＡであること。 ただし、岡山県において情報セキュリティ監査業務を実施した実績がある事業者に限り、格付区分がＢであっても入札への参加を認める。 (３)受託者はISO/IEC27001(JIS Q 27001)認証又はプライバシーマーク認証を取得していること。 (４)受託者は情報セキュリティサービス基準適合サービスリスト(独立行政法人情報処理推進機構)の情報セキュリティ監査サービス分野及び脆弱性診断サービスに登録されていること。 (５)受託者は令和６年度に国の省庁、都道府県および市町村に対する１０件以上の情報セキュリティ監査を実施した実績を有すること。 (６)各診断又は監査単位で、監査責任者、監査担当者、監査補助者、アドバイザー等で構成される監査チームを編成すること。 (７)監査の品質の保持のため監査品質管理責任者、監査品質管理者等の監査品質管理体制をつくること。 (８)監査チームには、情報セキュリティ監査に必要な知識及び経験(地方公共団体における情報セキュリティ監査の実績)を持ち、次に掲げるいずれかの資格を有する者が１人以上含まれていること。 ア システム監査技術者イ 公認情報システム監査人(CISA)ウ 公認システム監査人エ ISMS 主任審査員オ ISMS 審査員カ 公認情報セキュリティ主任監査人キ 公認情報セキュリティ監査人(９)監査責任者は、確実なプロジェクト運営を行う必要があるため、次に掲げるいずれかの資格を有すること。 ア プロジェクトマネージャイ PMP PMI(10)監査担当者のうち１人以上の者は、次に掲げるいずれかの資格を有し、診断又は監査には必ず、有資格者が１人以上参加すること。 ア 情報処理安全確保支援士イ 情報セキュリティスペシャリストウ 公認情報システムセキュリティプロフェッショナル(CISSP)(11)監査チームには、監査の効率と品質の保持のため次のいずれかの実績(実務経験)を有する専門家が１人以上含まれていること。 ア 情報セキュリティ監査イ 情報セキュリティに関するコンサルティングウ 情報セキュリティポリシーの作成に関するコンサルティング(支援を含む。)(12)監査チームの構成員が、監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画、開発、運用、保守等に関わっていないこと。 (13)情報システムの診断及び監査には、現地作業も含め、検証対象の機器に精通し(10)に掲げる資格を有する者が１人以上従事すること。 (14)岡山県役務の提供の契約に係る入札参加資格審査要領(平成１９年岡山県告示第３３２号)に基づく入札参加の停止の措置を受けている者でないこと。 (15)岡山県から役務の提供の契約に係る入札参加除外の措置を受けている者でないこと。 (16) 岡山県建設工事等暴力団対策会議運営要領に基づく指名除外の措置を受けている者でないこと。 (17)地方自治法施行令(昭和２２年政令第１６号)第１６７条の４第１項の規定に該当する者でないこと。 (18)会社更生法(平成１４年法律第１５４条)に基づき更生手続開始の申立てがなされている者又は民事再生法(平成１１年法律第２２５号)に基づき再生手続開始の申立てがなされている者(更生手続開始の決定又は再生手続開始の決定を受けている者を除く。)でないこと。 ３ 契約条項を示す場所〒７００－８５７０岡山市北区内山下二丁目４番６号岡山県総務部デジタル推進課電話番号 ０８６－２２６－７２６６(直通)ファックス番号 ０８６－２３５－９７３７４ 入札手続等(１)入札説明書及び入札参加資格確認申請書の配布の期間及び場所① 配布期間令和８年１月９日から同月19日まで(岡山県の休日を定める条例(平成元年岡山県条例第２号)第１条第１項に規定する県の休日を除く。 以下同じ。 )の午前９時から午後５時まで② 配布場所上記３の契約条項を示す場所に同じ。 なお、岡山県デジタル推進課ホームページ(http://www.pref.okayama.jp/soshiki/20/)からダウンロードすることもできる。 (２)入札参加資格確認申請書の提出の期間、場所及び方法① 提出期間令和８年１月９日から同月20日までの午前９時から午後５時まで② 提出場所上記３の契約条項を示す場所に同じ。 ③ 提出方法持参又は郵便等(書留郵便その他これに準じる方法による提出に限る。)(３)仕様書の閲覧及び配布の期間及び場所① 閲覧及び配布の期間令和８年１月９日から同月20日までの午前９時から午後５時まで② 閲覧及び配布の場所上記３の契約条項を示す場所に同じ。 (４)入札参加資格要件の審査① 事前審査入札参加資格確認申請書を提出した者について、上記２(１)から(18)までの事項について審査し、不適合と認められる者に対しては、令和８年１月21日までにその旨を通知する。 この通知を受けた者は、この入札に参加することができない。 ② 事後審査上記①に規定する事項を除く入札参加資格要件の審査は、開札後に行う。 ③ 入札参加資格がないとされた理由の説明の要求入札参加資格がない旨の通知を受け取った者は、当該通知を受け取った日の翌日から起算して７日以内に、上記３の宛先に、ファックスにより、入札参加資格がないとされた理由の説明を求める書面を提出することができる。 (５)仕様書に対する質問の受付① 受付期間令和８年１月９日から同月20日までの午前９時から午後５時まで② 方法「質問・回答書」を電子メールにより提出すること。 なお、電子メール送信後は、必ず電話であて先に届いていることを確認すること。 ③ あて先岡山県総務部デジタル推進課電子メールアドレス digital@pref.okayama.lg.jp５ 入札の日時及び場所等(１)日 時 令和８年１月23日 午後２時(２)場 所 岡山市北区内山下二丁目４番６号岡山県出納局用度課入札室(岡山県庁地下１階)(３)入札方法 持参(郵送又は電送による入札は認めない。 )(４)その他① 代理人による入札入札に際し、代理人により入札を行う場合は、契約を締結する権限を有する者からの委任状を入札当日持参し、提出すること。 ② 入札書の記載方法本件の契約金額に係る消費税及び地方消費税の税率については、１０％を適用することを前提に算出すること。 よって、落札者の決定に当たっては、入札書に記載された金額に当該金額の１００分の１０に相当する金額を加算した金額(当該金額に１円未満の端数があるときは、その端数を切り捨てた金額)をもって落札金額とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約希望金額の１１０分の１００に相当する金額を入札書に記載すること。 ６ 入札保証金及び契約保証金(１)入札保証金本件入札に参加する者は、入札保証金として見積った契約金額の１００分の５以上の金額を入札書に添えて提出しなければならない。 この場合において、財務規則第１３１条第２項各号に掲げる担保の提供をもって入札保証金の提出に代えることができる。 なお、財務規則第１３３条の規定により、入札保証金の全部又は一部を免除する場合がある。 (２)契約保証金落札者は、契約保証金として契約金額の１００分の１０以上の金額を納付しなければならない。 この場合において、財務規則第１３１条第２項各号に掲げる担保の提供をもって契約保証金の納付に代えることができる。 ただし、財務規則第１５５条の規定により、契約保証金の全部又は一部を免除する場合がある。 (３)入札保証金及び契約保証金の免除入札保証金及び契約保証金の免除を希望する場合は、入札参加資格確認申請書の添付書類として、財務規則第１３３条及び財務規則第１５５条各号のいずれかに該当する者であることを確認(証明)できる書類を提出すること。 ７ その他(１)入札の無効この公告に規定する入札参加資格のない者のした入札、申請書類等に虚偽の記載をした者のした入札、上記４(４)②に規定する事後審査において入札参加資格要件に不適合と認められた者のした入札その他岡山県財務規則第１４０条各号に掲げる入札は無効とする。 (２)契約書の作成要否要(３)落札者の決定方法岡山県財務規則第１３７条第１項の規定により決定された予定価格の制限の範囲内で最低の価格をもって有効な入札を行った者を落札者とする。 (４)その他詳細は、入札説明書による。 入札説明書令和８年１月９日に公告した令和７年度岡山県情報セキュリティ監査業務に係る一般競争入札(条件付)については、関係法令に定めるもののほか、この入札説明書によるものとする。 入札に参加する者は下記事項を熟知の上、入札しなければならない。 この場合において、当該仕様等について疑義がある場合は、下記３に掲げる者に対して、質問・回答書(様式第３号)により説明を求めることができる。 ただし、入札後、仕様等についての不知又は不明を理由として異議を申し立てることはできない。 １ 入札に付する事項(１)公告番号 デジ第465号(２)業 務 名 令和７年度岡山県情報セキュリティ監査業務(３)契約期間 契約締結日から令和８年３月３１日まで(４)履行場所 岡山県総務部デジタル推進課長が指定する場所(５)業務内容 業務仕様書のとおり２ 入札に参加する者に必要な資格入札の公告日から落札者が決定する日までの間、次に掲げる要件の全てを満たしていること。 (１)岡山県役務の提供に係る入札参加資格者名簿(以下「入札参加資格者名簿」という。)に搭載されている者であること。 (２)入札参加資格者名簿の業務種目の大分類が「８ 情報・通信サービス」かつ、小分類が「６ 情報セキュリティサービス」であり、格付区分がＡであること。 ただし、岡山県において情報セキュリティ監査業務を実施した実績がある事業者に限り、格付区分がＢであっても入札への参加を認める。 (３)受託者はISO/IEC27001(JIS Q 27001)認証又はプライバシーマーク認証を取得していること。 (４)受託者は情報セキュリティサービス基準適合サービスリスト(独立行政法人情報処理推進機構)の情報セキュリティ監査サービス分野及び脆弱性診断サービスに登録されていること。 (５)受託者は令和６年度に国の省庁、都道府県および市町村に対する１０件以上の情報セキュリティ監査を実施した実績を有すること。 (６)各診断又は監査単位で、監査責任者、監査担当者、監査補助者、アドバイザー等で構成される監査チームを編成すること。 (７)監査の品質の保持のため監査品質管理責任者、監査品質管理者等の監査品質管理体制をつくること。 (８)監査チームには、情報セキュリティ監査に必要な知識及び経験(地方公共団体における情報セキュリティ監査の実績)を持ち、次に掲げるいずれかの資格を有する者が１人以上含まれていること。 ア システム監査技術者イ 公認情報システム監査人(CISA)ウ 公認システム監査人エ ISMS 主任審査員オ ISMS 審査員カ 公認情報セキュリティ主任監査人キ 公認情報セキュリティ監査人(９)監査責任者は、確実なプロジェクト運営を行う必要があるため、次に掲げるいずれかの資格を有すること。 ア プロジェクトマネージャイ PMP PMI(10)監査担当者のうち１人以上の者は、次に掲げるいずれかの資格を有し、診断又は監査には必ず、有資格者が１人以上参加すること。 ア 情報処理安全確保支援士イ 情報セキュリティスペシャリストウ 公認情報システムセキュリティプロフェッショナル(CISSP)(11)監査チームには、監査の効率と品質の保持のため次のいずれかの実績(実務経験)を有する専門家が１人以上含まれていること。 ア 情報セキュリティ監査イ 情報セキュリティに関するコンサルティングウ 情報セキュリティポリシーの作成に関するコンサルティング(支援を含む。)(12)監査チームの構成員が、監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画、開発、運用、保守等の担当をしていないこと。 (13)情報システムの診断及び監査には、現地作業も含め、検証対象の機器に精通し(10)に掲げる資格を有する者が１人以上従事すること。 (14)岡山県役務の提供の契約に係る入札参加資格審査要領(平成１９年岡山県告示第３３２号)に基づく入札参加の停止の措置を受けている者でないこと。 (15)岡山県から役務の提供の契約に係る入札参加除外の措置を受けている者でないこと。 (16)岡山県建設工事等暴力団対策会議運営要領に基づく指名除外の措置を受けている者でないこと。 (17)地方自治法施行令(昭和２２年政令第１６号)第１６７条の４第１項の規定に該当する者でないこと。 (18)会社更生法(平成１４年法律第１５４条)に基づき更生手続開始の申立てがなされている者又は民事再生法(平成１１年法律第２２５号)に基づき再生手続開始の申立てがなされている者(更生手続開始の決定又は再生手続開始の決定を受けている者を除く。)でないこと。 ３ 契約条項を示す場所〒７００－８５７０岡山市北区内山下二丁目４番６号岡山県総務部デジタル推進課電話番号 ０８６－２２６－７２６６(直通)ファックス番号 ０８６－２３５－９７３７４ 入札手続等(１)業務仕様書等の配布期間及び場所① 配布期間令和８年１月９日から同月20日まで(岡山県の休日を定める条例(平成元年岡山県条例第２号)第１条第１項に規定する県の休日を除く。 以下同じ。 )の午前９時から午後５時まで② 配布場所上記３の契約条項を示す場所に同じ。 なお、岡山県デジタル推進課ホームページ(http://www.pref.okayama.jp/soshiki/20/)からダウンロードすることもできる。 (２)入札参加申込み方法① 提出書類一般競争入札(条件付)参加資格確認申請書(様式第１号)その他添付書類② 提出期間令和８年１月９日から同月20日までの午前９時から午後５時まで③ 提出場所上記３の契約条項を示す場所に同じ。 ④ 提出方法持参又は郵便等(書留郵便その他これに準じる方法によるものに限る。)(３)入札参加資格要件の審査① 事前審査一般競争入札(条件付)参加資格確認申請書(様式第１号)を提出した者について、上記２(１)から(18)までの事項について審査し、不適合と認められる者に対しては、その旨を令和８年１月21日までに入札参加資格不適合通知書(様式第２号)により通知する。 この通知を受けた者は、この入札に参加することができない。 ② 事後審査上記①の事項を除く入札参加資格要件の審査は、開札後に行う。 事後審査は、入札参加資格要件をすべて満たしている者１名を確認するまで、最低価格入札者から入札価格の低い順に行い、入札条件に不適合が認められる者があった場合には、当該入札参加者にその旨を通知する。 ③ 入札参加資格がないとされた理由の説明要求入札参加資格不適合通知を受けた者は、当該通知を受けた日の翌日から起算して７日以内に、上記３のあて先に、ファックスにより、入札参加資格がないとされた理由の説明を求める書面を提出することができる。 (４)仕様書等に対する質問の受付及び回答① 受付期限令和８年１月９日から同月20日までの午前９時から午後５時まで② 質問方法「質問・回答書」(様式第３号)を電子メールにより提出すること。 なお、電子メール送信後は、必ず電話であて先に届いていることを確認すること。 ③ 質問のあて先岡山県総務部デジタル推進課電子メールアドレス sec@pref.okayama.lg.jp④ 回答方法一般競争入札(条件付)参加資格確認申請書(様式第１号)を提出し、かつ開札前の入札参加資格者要件に適合している者に対して、令和８年１月21日までに岡山県ホームページにより回答する。 ただし、回答内容が質問者固有のものである場合、セキュリティ上明らかにすることが適当でない事項、この入札に直接関係のない質問、その他回答することが不適当と認められる質問に対しては、回答方法を変更し、又は回答を行わない場合がある。 ５ 入札の日時及び場所等入札に参加する者は、入札書(様式第４号)を下記のとおり提出しなければならない。 (１)日時及び場所① 日 時 令和８年１月23日 午後２時② 場 所 岡山市北区内山下二丁目４番６号岡山県出納局用度課入札室(岡山県庁地下１階)(２)入札方法① 提出方法持参(郵送又は電送による入札は認めない。)② 入札書の記載方法入札書の住所(所在地)、商号又は名称、代表者職氏名には、一般競争入札(条件付)参加資格確認申請書(様式第１号)に記載した契約を締結する権限を有している者について記入し、岡山県との契約に使用する印鑑を押印すること。 本件の契約金額に係る消費税及び地方消費税の税率については、１０％を適用することを前提に算出すること。 よって、落札者の決定に当たっては、入札書に記載された金額に当該金額の１００分の１０に相当する金額を加算した金額(当該金額に１円未満の端数があるときは、その端数を切り捨てた金額)をもって落札金額とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約希望金額の１１０分の１００に相当する金額を入札書に記載すること。 ③ 代理人による入札入札に際し、代理人により入札を行う場合は、契約を締結する権限を有する者からの委任状(様式第５号)を入札当日持参し、入札前に提出すること。 入札書の住所(所在地)、商号又は名称、代表者職氏名には、契約を締結する権限を有している者について記入するとともに、当該代理人(受任者)の住所、氏名を記入し、委任状に使用した印(受任印)を押印すること。 (３)その他① 入札者又はその代理人は、入札書の記載事項を訂正する場合は、当該訂正部分を線で抹消し、入札者又はその代理人の印で訂正部分について押印をしなければならない。 なお、入札金額の訂正は認めない。 ② 入札者は、その提出した入札書の引換え、変更又は取消しをすることができない。 ③ 入札者が相連合し、又は不穏の挙動をする等の場合で競争入札を公正に執行することができない状態にあると契約担当者が認めたときは、入札を延期し、又はこれを廃止することがある。 ④ 入札をした場合において、落札候補者がないときは、直ちにその場において再度入札を行う。 ６ 入札の無効次の入札は無効とする。 (１)この入札説明書に規定する入札参加資格のない者のした入札(２)提出書類に虚偽の記載をした者のした入札(３)上記４(３)②に規定する事後審査において不適合と認められた者のした入札(４)その他岡山県財務規則第１４０条各号に掲げる入札７ 落札者の決定方法(１)岡山県財務規則第１３７条第１項の規定により決定された予定価格の制限の範囲内で最低の価格をもって有効な入札を行った者を第１順位落札候補者とする。 (２)第１回目の入札で落札候補者がいない場合は、再入札を行う。 再入札においても落札候補者がいない場合は、再々入札を行う。 再々入札でもなお、落札候補者がいない場合は、入札は不調とし、最低価格の入札者と随意契約をすることがある。 (３)第１順位落札候補者となるべき同価の入札をした者が２人以上あるときは、直ちに、当該入札者にくじを引かせ第１順位落札候補者を決定する。 この場合において、くじを引かない者があるときは、これに代えて、入札事務に関係のない職員にくじを引かせる。 (４)落札決定は、上記４(３)②の事後審査が完了した後に行う。 ８ 入札保証金及び契約保証金(１)入札保証金本件入札に参加する者は、入札保証金として見積った契約金額の１００分の５以上の金額を入札書に添えて提出しなければならない。 この場合において、財務規則第１３１条第２項各号に掲げる担保の提供をもって入札保証金の提出に代えることができる。 なお、財務規則第１３３条の規定により、入札保証金の全部又は一部を免除する場合がある。 (２)契約保証金落札者は、契約保証金として契約金額の１００分の１０以上の金額を納付しなければならない。 この場合において、財務規則第１３１条第２項各号に掲げる担保の提供をもって契約保証金の納付に代えることができる。 ただし、財務規則第１５５条の規定により、契約保証金の全部又は一部を免除する場合がある。 (３)入札保証金及び契約保証金の免除入札保証金及び契約保証金の免除を希望する場合は、入札参加資格確認申請書の添付書類として、財務規則第１３３条及び財務規則第１５５条各号のいずれかに該当する者であることを確認(証明)できる書類を提出すること。 ９ 契約書の作成等(１)契約書を作成する。 (２)落札者は、契約を締結しようとするときは、暴力団の排除に係る誓約書(様式第６号)を提出しなければならない。 なお、この誓約書を提出しないときは、当該契約の締結を拒んだものとみなすので留意すること。 (３)落札者は、入札金額の内訳書を提出すること。 令和７年度岡山県情報セキュリティ監査業務委託仕様書令和８年１月９日岡山県総務部デジタル推進課１ 業務名令和７年度岡山県情報セキュリティ監査業務２ 発注部署(連絡窓口)岡山県総務部デジタル推進課所在地：〒700-8570 岡山市北区内山下二丁目4番6号電 話：086-226-7266(直通) FAX：086-235-9737電子メール：sec@pref.okayama.lg.jp３ 業務の趣旨外部委託による情報セキュリティ監査を行うことにより、岡山県(以下「県」という。)が岡山県情報セキュリティポリシーに基づき実施している情報資産の管理及び各種業務システムの運用・保守管理状況について現状のセキュリティ水準を把握し、問題点の明確化及び改善策の検討・提示を行い、もって県の情報セキュリティ対策の向上に資することを目的とする。 ４ 業務の概要情報システムに係る情報セキュリティの技術的検証等(以下「本業務」という。)を行う。 準拠する基準は次のとおりとする。 (１)必須基準① 岡山県情報セキュリティ基本方針(平成16年3月29日策定)② 岡山県情報セキュリティ対策基準(非公開)(平成16年3月29日策定)③ 岡山県情報セキュリティ個別管理基準(第2版)(非公開)(平成20年3月10日制定)④ 運用監査対象所属が所管するシステムに係る実施手順書及び運用手順書(２)参考基準① 地方公共団体における情報セキュリティ監査に関するガイドライン(令和７年３月版)(総務省)② 情報セキュリティ管理基準(平成28年改正版)(経済産業省)③ 電気通信回線を通じた送信又は磁気ディスクの送付方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準(住民基本台帳ネットワークシステムセキュリティ基準)(平成14年総務省告示第334号)５ 業務の実施時期本業務の実施時期は、別紙１「令和７年度岡山県情報セキュリティ監査業務スケジュール」による。 なお、詳細な実施日程については、下記６において作成する実施計画書により決定することとする。 ６ 業務の種類及び内容本業務の種類及び内容は次のとおりとする。 ネットワークセキュリティ診断対象機器については別紙５「ネットワークセキュリティ診断対象機器一覧表」のとおりとする。 (１)技術的検証① ネットワークセキュリティ診断② Webアプリケーション診断③ データベース診断詳細は、別紙２「技術的検証の業務内容」のとおりとする。 (２)特定個人情報の取扱いに関する監査詳細は、別紙３「特定個人情報の取扱いに関する監査の業務内容」のとおりとする。 (３)住民基本台帳ネットワークシステム監査① 運用監査② ネットワークセキュリティ診断詳細は、別紙４「住民基本台帳ネットワークシステム監査の業務内容」のとおりとする。 ７ 成果物(１)種類及び納品時期等受託者が作成し納品すべき成果物は、別紙６「成果物一覧表」のとおりとする。 (２)作成様式紙媒体によるものは、Ａ４版縦(必要に応じてＡ３版三つ折りも可。ただし、Ａ３版三つ折りの場合、両面印刷は不可)とする。 電子媒体によるものは、紙媒体の成果物と同じ内容のものをCD-R等に記録する。 ファイル形式は、Microsoft Word、Excel、又はPowerPointの各ドキュメント形式(office 2016以降)、又はPDF形式とする。 (３)成果物の内容成果物に記載すべき内容については、別紙７「成果物の項目」を基準にすることとし、目次体系等を変更又は追加する必要があるときは、県と協議の上、変更又は追加すること。 (４)帰属成果物及びこれに付随する資料に係る諸権利は、すべて県に帰属するものとし、書面による県の承諾を得ずに他に公表、譲渡、貸与又は使用してはならない。 ただし、成果物及びこれに付随する資料に関し、受託者が従前から保有する著作権に属するものは受託者に留保されるものとし、県は本業務の目的の範囲内で自由に利用できるものとする。 また、受託者は県に対し著作者人格権を行使しないものとする。 ８ 監査結果報告会受託者は、上記６の各業務が終了したときは、速やかに監査対象課所の職員を対象に、次の監査結果報告会を開催しなければならない。 (１) 技術的検証結果報告会(２) 特定個人情報の取扱いに関する監査報告会(３) 住民基本台帳ネットワークシステム監査結果報告会９ 監査人の要件受託者は、以下のすべての条件を満たす者とする。 (１)受託者はISO/IEC27001(JIS Q 27001)認証又はプライバシーマーク認証を取得していること。 (２)受託者は情報セキュリティサービス基準適合サービスリスト(独立行政法人情報処理推進機構)の情報セキュリティ監査サービス分野及び脆弱性診断サービスに登録されていること。 (３)受託者は令和６年度に国の省庁、都道府県および市町村に対する１０件以上の情報セキュリティ監査を実施した実績を有すること。 (４)各診断又は監査単位で、監査責任者、監査担当者、監査補助者、アドバイザー等で構成される監査チームを編成すること。 (５)監査の品質の保持のため監査品質管理責任者、監査品質管理者等の監査品質管理体制をつくること。 (６)監査チームには、情報セキュリティ監査に必要な知識及び経験(地方公共団体における情報セキュリティ監査の実績)を持ち、次に掲げるいずれかの資格を有する者が１人以上含まれていること。 ア システム監査技術者イ 公認情報システム監査人(CISA)ウ 公認システム監査人エ ISMS 主任審査員オ ISMS 審査員カ 公認情報セキュリティ主任監査人キ 公認情報セキュリティ監査人(７)監査責任者は、確実なプロジェクト運営を行う必要があるため、次に掲げるいずれかの資格を有すること。 ア プロジェクトマネージャイ PMP PMI(８)監査担当者のうち１人以上の者は、次に掲げるいずれかの資格を有し、診断には必ず、有資格者が１人以上参加すること。 ア 情報処理安全確保支援士イ 情報セキュリティスペシャリストウ 公認情報システムセキュリティプロフェッショナル(CISSP)(９)監査チームには、監査の効率と品質の保持のため次のいずれかの実績(実務経験)を有する専門家が１人以上含まれていること。 ア 情報セキュリティ監査イ 情報セキュリティに関するコンサルティングウ 情報セキュリティポリシーの作成に関するコンサルティング(支援を含む。)(10)監査チームの構成員が、監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画、開発、運用、保守等の担当をしていないこと。 (11)情報システムの診断及び監査には、現地作業も含め、検証対象の機器に精通し(８)に掲げる資格を有する者が１人以上従事すること。 (12)上記各号に定めるほか、入札説明書の「２ 入札に参加する者に必要な資格」各号に定める要件を満たすこと。 10 業務における留意事項本業務の実施に当たっては、以下の事項に留意すること。 (１)受託者は、県が本業務の進捗状況について説明を求めた場合、速やかに報告すること。 (２)受託者は、県と本業務の実施に関する協議を行った後、速やかに議事録を作成し提出しなければならない。 (３)受託者は、本業務の実施に当たり知り得た情報(監査対象となった所属等から収集した監査証拠や参考資料を含む。)を正当な理由なく他に開示し、又は自らの利益のために利用してはならない。 これは、契約終了後又は解除後においても同様とする。 (４)県は、受託者から本業務の実施上必要となる資料の提供を求められた場合、妥当と判断する範囲内でこれらの資料を無償で提供する。 受託者は、県が提供した資料を善良なる管理者の注意をもって保管し、本業務以外の用途に使用してはならない。 受託者は、県があらかじめ承認した場合にのみ、県が提供した資料を本業務の実施上必要な範囲内で複製し、又は改変することができるものとする。 受託者は、県が提供した資料を使用した後は、遅滞なく県にこれを返還し、又は県の指示する処置を行うものとする。 (５)原則として、受託者が本業務の主要な部分を他の業者に再委託することを禁止する。 再委託が必要な場合は、事前に書面により県の承諾を得なければならない。 (６)受託者は、関係法令等を遵守し、本業務を円滑に進めなければならない。 (７)成果物は、岡山県行政情報公開条例(平成８年岡山県条例第３号)により取り扱うこととし、セキュリティ上明らかになっても差し支えのない部分は、公開の対象とする。 (８)受託者は、本業務を主体的に遂行するとともに、全体の進行管理及び事務処理を行うこととする。 ただし、監査対象課所との連絡・調整に関すること、その他県が行うべき事務処理については、岡山県総務部デジタル推進課が行う。 (９)本業務に使用する機器類等の調達に要する費用、本業務に係る交通費及び通信費等は、受託者の負担とする。 11 その他本業務の実施に当たり、この業務仕様書に記載のない事項については、県と受託者双方の協議の上、決定する。 (別紙１)令和７年度岡山県情報セキュリティ監査業務スケジュール上 中 下 上 中 下 報告会開催令和７年度岡山県情報セキュリティ監査業務スケジュール技術的検証住民基本台帳ネットワークシステム監査令和８年１月２月３月特定個人情報の取扱いに関する監査下旬 事前打合せ実施計画書作成報告書作成本調査(別紙２)技術的検証の業務内容技術的検証の業務内容１ 目 的県が管理するサーバやアプリケーションに対して、診断ツール等を用いて擬似的な攻撃を行うことにより、県のネットワーク資源の脆弱性や機器の設定上の不備等を検証し、県が管理するサーバやアプリケーションの技術的なセキュリティレベルの向上を図る。 ２ 業務の種類技術的検証では、次の業務を行うこととする。 (１)ネットワークセキュリティ診断(２)Webアプリケーション診断(３)データベース診断３ 検証対象(１)ネットワークセキュリティ診断本県のLAN/WAN上で稼働するサーバ等を対象とし、詳細は別紙５「ネットワークセキュリティ診断対象機器一覧表」のとおりとする。 (２)Webアプリケーション診断Webアプリケーション 3システムを対象とし、各5画面10アクションを上限とする。 (３)データベース診断「Postgre SQL」、「My SQL」等を使用しているデータベースサーバ2システム(IP数)を対象とする。 ※ (２)及び(３)について、具体的な対象システムは県から別途指示する。 ４ 検証方法リモート診断又はオンサイト診断により、商用又はフリーウェアによる診断ツールのほか、キーオペレーションやブラウザを適宜使用して検証する。 なお、診断ツールは、最初の診断日の１週間前までにリリースされている最新バージョン及びパターンのものを使用することとする。 ５ 準拠する基準(１)必須基準① 岡山県情報セキュリティ基本方針(平成16年3月29日策定)② 岡山県情報セキュリティ対策基準(非公開)(平成16年3月29日策定)③ 岡山県情報セキュリティ個別管理基準(第2版)(非公開)(平成20年3月10日制定)(２)参考基準① 地方公共団体における情報セキュリティ監査に関するガイドライン(令和７年３月版)(総務省)② 情報セキュリティ管理基準(平成28年改正版)(経済産業省)(別紙２)技術的検証の業務内容６ 検証実施手順(１)事前打合せの実施① 検証実施体制(責任者、担当者)及び検証対象機器を決定する。 ② その他、検証の実施に当たり必要な事項を決定する。 打合せを行った後は、速やかに協議議事録を作成する。 なお、以後も必要に応じて適宜打合せを行うこととする。 (２)予備調査の実施検証の実施に当たって、事前に確認が必要な情報について調査を行う。 (例)① ネットワークセキュリティ診断ア 診断対象サーバ、ネットワーク機器の構成イ 診断対象機器のIPアドレス(グローバル、プライベート)ウ 診断ツールを設置する際に必要なネットワーク構成 等② データベース診断ア 対象機器の管理者アカウント、パスワード、IPアドレスイ 対象機器への外部メディアの利用可否 等(３)実施計画書の作成① 予備調査の結果及び準拠する基準に基づき、県と協議の上、診断項目、診断手順及び診断実施スケジュールを決定する。 なお、Webアプリケーション診断の診断項目は、次の点に留意して決定することとする。 ア 他人になりすましてシステムにログインすることが可能か。 イ 個人情報等の重要なデータにアクセスが可能か。 ウ 管理者権限を奪うことが可能か。 エ データベースへ不正にアクセスすることが可能か。 オ アクセス制御されているリソースへ不正にアクセスすることが可能か。 ② 技術的検証の詳細な実施内容について、「令和７年度岡山県情報セキュリティ技術的検証実施計画書」を作成し納品する。 (４)本調査の実施実施計画書に基づき、次の方法により本調査を実施する。 なお、本調査には、県の職員が立ち会うこととする。 ① ネットワークセキュリティ診断リモート診断とオンサイト診断を併用して検証する。 詳細は、別紙５「ネットワークセキュリティ診断対象機器一覧表」に示す診断方法のとおりとする。 また、商用又はフリーウェアの診断ツールを使用して、ネットワーク資源の脆弱性の有無及び設定の不備等について診断する。 なお、商用の診断ツールは、Tenable社製「Nessus」、Nmap.org「nmap」等と同程度の診断項目数及び性能を有するものを使用することとする。 ② Webアプリケーション診断リモート診断により検証する。 インターネット経由で診断対象のWebサーバの該当URLにアクセスし、診断を行う。 ま(別紙２)技術的検証の業務内容た、商用又はフリーウェアの診断ツールを使用して、ネットワーク資源の脆弱性の有無及び設定の不備等について診断する。 なお、商用の診断ツールは、PortSwigger社製「Burp Suite Professional」等と同程度の診断項目数及び性能を有するものを使用することとする。 ③ データベース診断オンサイト診断により検証する。 データベースに関わる設定全般が適切か否かについて、データベースサーバが稼働している機器にログインし、診断を行う。 また、商用又はフリーウェアの診断ツールを使用して、ネットワーク資源の脆弱性の有無及び設定の不備等について診断する。 なお、商用の診断ツールは、Tenable 社製「Nessus」、Nmap.org「nmap」等と同程度の診断項目数及び性能を有するものを使用することとする。 ７ 結果報告(１)成果物当該業務が終了した後、速やかに「令和７年度岡山県情報セキュリティ技術的検証結果報告書」を作成し納品する。 (２)監査結果報告会検証対象機器を所管する課所の職員に対して、技術的検証の結果について報告会を開催する。 なお、日程調整・会場確保は、岡山県総務部デジタル推進課が行う。 ８ その他各診断を実施する際は、ハードウエア、ソフトウエア及びネットワークを損傷し、又はこれらの正常な運用を阻害することがないよう留意すること。 (別紙３)特定個人情報の取扱いに関する監査の業務内容特定個人情報の取扱いに関する監査の業務内容１ 目 的行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27 号)において求められている安全管理措置に係る情報資産の管理及び運用・保守管理の状況等について監査を行うことにより現状のセキュリティレベルを把握し、情報セキュリティ対策の改善を図る。 ２ 監査対象本庁舎内に所在する３所属(職員数：各所属10～40名程度)を監査対象とする。 岡山市内に所在する１拠点：１所属(職員数：各所属90～110名程度)を監査対象とする。 ３ 監査方法監査人が監査対象課所を訪問し、職員へのインタビュー、関係書類のレビュー及び視察を行う。 これにより、監査対象課所における個人番号利用事務取扱いの各プロセス(入手・使用・委託・提供・移転・保管・消去)におけるリスク対策の実施状況について評価するとともに、評価の結果明らかになった問題点について改善策の提案を行う。 ４ 準拠する基準(１)必須基準① 岡山県情報セキュリティ基本方針(平成16年3月29日策定)② 岡山県情報セキュリティ対策基準(非公開)(平成16年3月29日策定)③ 岡山県情報セキュリティ個別管理基準(第2版)(非公開)(平成20年3月10日制定)④ 特定個人情報保護評価指針(特定個人情報保護委員会)⑤ 特定個人情報の適正な取扱いに関するガイドライン(行政機関等編)⑥ 岡山県特定個人情報等の管理に関する規程⑦ 監査対象所属が所管する特定個人情報取扱規程(２)参考基準① 地方公共団体における情報セキュリティ監査に関するガイドライン(令和７年3月版)(総務省)② 情報セキュリティ管理基準(平成28年改正版)(経済産業省)５ 監査実施手順(１)事前打合せの実施① 監査実施体制(監査責任者、監査人等)及び監査対象課所を決定する。 ② その他、運用監査の実施に当たり必要な事項を決定する。 打合せを行った後は、速やかに協議議事録を作成する。 (別紙３)特定個人情報の取扱いに関する監査の業務内容なお、以後も必要に応じて適宜打合せを行うこととする。 (２)予備調査の実施監査対象課所の概況(業務内容、所管する情報資産等)について事前に把握するため、アンケートを実施する。 (３)実施計画書の作成① 予備調査の結果及び準拠する基準に基づき、県と協議の上、監査実施スケジュール及び監査項目チェックリストを決定する。 なお、監査項目は50項目程度とし、次のとおり区分するものとする。 ア 組織体制に関する事項イ 情報資産の分類と管理方法ウ 物理的セキュリティエ 人的セキュリティオ 技術的セキュリティカ 運用、評価・見直し② 監査の詳細な実施内容について、「令和７年度岡山県特定個人情報の取扱いに関する監査実施計画書」を作成し納品する。 (４)本調査の実施実施計画書に基づき、次の方法により本調査を実施する。 本調査に要する時間は、原則として１回(１課所)２時間程度とする。 なお、本調査には、県の職員が立ち会うこととする。 ① インタビュー情報セキュリティに対する意識、各種基準の認知度、システムの運用・管理状況等について、監査対象課所の職員に聞き取り調査を行う。 ② レビュー各種関係書類のレビューを行う。 ③ 視 察重要な情報資産の管理状況等を目視により確認する。 ④ 講 評監査対象課所の職員に対し、口頭により監査結果の講評を行う。 ６ 結果報告(１)成果物当該業務が終了した後、速やかに「令和７年度岡山県特定個人情報の取扱いに関する監査報告書」及び「令和７年度岡山県特定個人情報の取扱いに関する監査個別報告書」(監査対象課所ごとに編集したもの)を作成し納品する。 (２)監査結果報告会監査対象課所の職員に対して、運用監査の結果について報告会を開催する。 なお、日程調整・会場確保は、岡山県総務部デジタル推進課が行う。 (別紙４)住民基本台帳ネットワークシステム監査の業務内容住民基本台帳ネットワークシステム監査の業務内容１ 目 的住民基本台帳ネットワークシステム(以下「本システム」という。)に係る情報資産の管理及び運用・保守管理の状況等について監査を行うことにより現状のセキュリティレベルを把握し、情報セキュリティ対策の改善を図る。 また、本システムのサーバ機器等に対して、診断ツール等を用いて擬似的な攻撃を行うことにより、ネットワーク資源の脆弱性や機器の設定上の不備等を検証し、本システムの技術的なセキュリティレベルの向上を図る。 ２ 業務の種類(１)運用監査(２)ネットワークセキュリティ診断３ 監査対象(１)運用監査本システムを運用する次の１１課所を監査対象とする。 ① 総務部税務課(本庁舎内)② 県民生活部市町村課(本庁舎内)③ 総務部デジタル推進課(本庁舎内)④ 土木部都市局建築指導課(本庁舎内)⑤ 県警分庁舎(岡山市内)⑥ 備前県民局(岡山市内)⑦ 備中県民局(倉敷市内)⑧ 美作県民局(津山市内)⑨ 国際課海外渡航班(岡山市内)⑩ 精神保健福祉センター(岡山市内)⑪ 岡山県データセンター(岡山市内)(２)ネットワークセキュリティ診断別紙５「ネットワークセキュリティ診断対象機器一覧表」のとおりとする。 ４ 監査方法(１)運用監査監査人が監査対象課所を訪問し、職員へのインタビュー、関係書類のレビュー及び視察を行うことにより、本システムに係る情報資産の管理及び運用・保守管理の状況等について評価するとともに、評価の結果明らかになった問題点について改善策の提案を行う。 (２)ネットワークセキュリティ診断オンサイト診断により、商用又はフリーウェアによる診断ツールの他、キーオペレーションやブラウザを適宜使用して検証する。 なお、商用の診断ツールは、Tenable社製「Nessus」、Nmap.org「nmap」等と同程度の診断(別紙４)住民基本台帳ネットワークシステム監査の業務内容項目数及び性能を有するものを使用することとする。 ５ 準拠する基準(１)必須基準① 岡山県情報セキュリティ基本方針(平成16年3月29日策定)② 岡山県情報セキュリティ対策基準(非公開)(平成16年3月29日策定)③ 岡山県情報セキュリティ個別管理基準(第2版)(非公開)(平成20年3月10日制定)④ 住民基本台帳ネットワークシステム運用計画⑤ 住民基本台帳ネットワークシステム運営管理要綱⑥ 岡山県住民基本台帳ネットワークシステム運用手順⑦ 住民基本台帳ネットワークシステム緊急時対応計画⑧ 住民基本台帳ネットワークシステム研修計画(２)参考基準① 地方公共団体における情報セキュリティ監査に関するガイドライン(令和７年3月版)(総務省)② 情報セキュリティ管理基準(平成28年改正版)(経済産業省)③ 住民基本台帳ネットワークシステム等及びそれに接続している既設ネットワークに関する調査表 都道府県版(総務省)６ 監査実施手順(１)運用監査① 事前打合せの実施ア 監査実施体制(監査責任者、監査人等)及び監査対象課所を決定する。 イ その他、運用監査の実施に当たり必要な事項を決定する。 打合せを行った後は、速やかに協議議事録を作成する。 なお、以後も必要に応じて適宜打合せを行うこととする。 ② 予備調査の実施監査対象課所の概況(業務内容、所管する情報資産等)について事前に把握するため、アンケートを実施する。 ③ 実施計画書の作成ア 予備調査の結果及び準拠する基準に基づき、県と協議の上、監査実施スケジュール及び監査項目チェックリストを決定する。 なお、監査項目は50項目程度とし、次のとおり区分するものとする。 (ア)組織体制に関する事項(イ)情報資産の分類と管理方法(ウ)物理的セキュリティ(エ)人的セキュリティ(オ)技術的セキュリティ(カ)運用、評価・見直しイ 運用監査の詳細な内容について、「令和７年度岡山県住民基本台帳ネットワークシステム監査実施計画書【運用監査】」を作成し納品する。 (別紙４)住民基本台帳ネットワークシステム監査の業務内容④ 本調査の実施実施計画書に基づき、次の方法により本調査を行う。 本調査に要する時間は、原則として１回(１課所)２時間程度をする。 なお、本調査には、県の職員が立ち会う場合がある。 ア インタビュー情報セキュリティに対する意識、各種基準の認知度、本システムの運用・管理状況等について、職員に聞き取り調査を行う。 イ レビュー各種関係書類のレビューを行う。 ウ 視 察重要な情報資産の管理状況等を目視により確認する。 エ 講 評監査対象課所の職員に対し、口頭により監査結果の講評を行う。 (２)ネットワークセキュリティ診断① 事前打合せの実施ア 診断実施体制(責任者、担当者)及び診断対象機器を決定する。 イ その他、診断の実施に当たり必要な事項を決定する。 打合せを行った後は、速やかに協議議事録を作成する。 なお、以後も必要に応じて適宜打合せを行うこととする。 ② 予備調査の実施診断の実施に当たって、事前に確認が必要な情報について調査を行う。 (例)ア 診断対象サーバ、ネットワーク機器の構成イ 診断対象機器のIPアドレス(グローバル、プライベート)ウ 診断ツールを設置する際に必要なネットワーク構成 等③ 実施計画書の作成ア 予備調査の結果及び準拠する基準に基づき、県と協議の上、診断項目、診断手順及び診断実施スケジュールを決定する。 イ ネットワークセキュリティ診断の詳細な実施内容について、「令和６年度岡山県住民基本台帳ネットワークシステム監査実施計画書【ネットワークセキュリティ診断】」を作成し納品する。 ④ 本調査の実施上記４(１)により、本調査を実施する。 ７ 結果報告(１)成果物当該業務が終了した後、速やかに「令和７年度岡山県住民基本台帳ネットワークシステム監査報告書【運用監査】～概要版(公開版)～」、「令和７年度岡山県住民基本台帳ネットワークシステム監査報告書【運用監査】～詳細版(非公開版)～」及び「令和７年度岡山県住民基本台帳ネットワークシステム監査報告書【ネットワークセキュリティ診断】」を作成し納品する。 (２)監査結果報告会(別紙４)住民基本台帳ネットワークシステム監査の業務内容監査対象課所の職員に対して、監査の結果について報告会を開催する。 なお、日程調整・会場確保は、岡山県県民生活部市町村課が行う。 ８ その他ネットワークセキュリティ診断を実施する際は、ハードウエア、ソフトウエア及びネットワークを損傷し、又はこれらの正常な運用を阻害することがないよう留意すること。 なお、業務端末を対象とする診断は、業務時間内に実施するが、診断に要する時間を除き、業務利用に支障がないよう留意すること。 (別紙４)ネットワークセキュリティ診断対象機器一覧表１ 対象機器リモート オンサイト県庁LAN/WAN 県庁NOC wwwサーバ 1 ○ ○ 時間内①行政系ネットワーク (岡山市内) 外部DNS 1 ○ ○ 時間内Mailサーバ 1 ○ ○ 時間内大容量ファイル転送システム 1 ○ ○ 時間内ファイアウォール 3 ○ 時間内CMSサーバ 1 ○ 時間内メール無害化外部サーバ 1 ○ 時間内グループウェアサーバ 1 ○ 時間内内部DNSサーバ 1 ○ 時間内庁内Webサーバ 1 ○ 時間内ウィルスチェックサーバ 1 ○ 時間内内部メールサーバ 1 ○ 時間内LGWANメールサーバ 1 ○ 時間内メール無害化内部サーバ 1 ○ 時間内L3スイッチ 1 ○ 時間内庁内チャットシステムサーバ 1 ○ 時間内(小計) 18②公開系ネットワーク NOC DNS/Mailサーバ 1 ○ ○ 時間内(岡山市内) WWWサーバ 1 ○ ○ 時間内ファイアウォール 1 ○ ○ 時間内(小計) 3③データセンター データセンター ファイアウォール 1 ○ ○ 時間内(岡山市内) DNS/Mailサーバ１号機 1 ○ ○ 時間内NTPサーバ 1 ○ ○ 時間内(小計) 3④学校系ネットワーク データセンター プロキシサーバ2号機 1 ○ ○ 時間内(岡山市内) WWWサーバ2号機 1 ○ ○ 時間内RADIUSサーバ(学習系) 1 ○ ○ 時間内ファイアウォール 1 ○ ○ 時間内(小計) 4県庁LAN/WAN 計 計 28(岡山市内) 代表端末(サーバ) 1 ○ 閉庁日ネットワーク監視装置(サーバ) 1 ○ 閉庁日ファイアウォール 2 ○ 閉庁日ルータ 2 ○ 閉庁日業務端末 11 ○ 時間内(小計) 17２ 診断方法３ 診断実施時間帯(1) 時間内 平日の業務時間内(8:30～17:15) のうち、県が事前に許可した時間帯(2) 時間外 平日の業務時間外(17:30～翌8:00) のうち、県が事前に許可した時間帯ネットワークセキュリティ診断対象機器一覧表ネットワーク 設置場所 サーバ名台数(IP数)診断方法 診断実施時間帯住民基本台帳ネットワークシステム(1)「 リモート」に○印がある場合インターネットを経由して、インターネットに公開されている対象機器を診断する。 別紙５(別紙４)ネットワークセキュリティ診断対象機器一覧表１ 対象機器リモート オンサイトネットワークセキュリティ診断対象機器一覧表ネットワーク 設置場所 サーバ名台数(IP数)診断方法 診断実施時間帯別紙５(3) 閉庁日 土・日・祝日の9:00～17:00のうち、県が事前に許可した時間帯(別紙６)成果物一覧表紙 電子技術的検証 1 令和７年度岡山県情報セキュリティ技術的検証実施計画書 1 1特定個人情報の取扱いに関する監査2令和７年度岡山県特定個人情報の取扱いに関する監査実施計画書1 13令和７年度岡山県住民基本台帳ネットワークシステム監査実施計画書【運用監査】1 14令和７年度岡山県住民基本台帳ネットワークシステム監査実施計画書【ネットワークセキュリティ診断】1 15令和７年度岡山県情報セキュリティ技術的検証結果報告書【ネットワークセキュリティ診断(行政系ネットワーク)】1 16令和７年度岡山県情報セキュリティ技術的検証結果報告書【ネットワークセキュリティ診断(公開系ネットワーク)】1 17令和７年度岡山県情報セキュリティ技術的検証結果報告書【ネットワークセキュリティ診断(データセンター)】1 18令和７年度岡山県情報セキュリティ技術的検証結果報告書【ネットワークセキュリティ診断(学校系ネットワーク)】1 19令和７年度岡山県情報セキュリティ技術的検証結果報告書【Webアプリケーション診断】1 110令和７年度岡山県情報セキュリティ技術的検証結果報告書【データベース診断】1 111 令和７年度岡山県特定個人情報の取扱いに関する監査報告書 1 112令和７年度岡山県特定個人情報の取扱いに関する監査個別報告書1 113令和７年度岡山県住民基本台帳ネットワークシステム監査報告書【運用監査】～概要版(公開版)～1 114令和７年度岡山県住民基本台帳ネットワークシステム監査報告書【運用監査】～詳細版(非公開版)～1 115令和７年度岡山県住民基本台帳ネットワークシステム監査報告書【ネットワークセキュリティ診断】1 116令和７年度岡山県情報セキュリティ監査全体報告書～概要版(公開版)～1 117令和７年度岡山県情報セキュリティ監査全体報告書～詳細版(非公開版)～1 1議事録全体 第××回○○業務協議議事録 1 1岡山県情報セキュリティ委員会実施計画書成 果 物 一 覧 表種別 業務区分 題 名 あて名媒体及び部数全体住民基本台帳ネットワーク報告書技術的検証住民基本台帳ネットワーク特定個人情報の取扱いに関する監査(別紙７)成果物に記載する項目成果物に記載する項目１ 令和７年度岡山県情報セキュリティ技術的検証実施計画書(１)目的 技術的検証を実施する目的について記載する。 (２)テーマ 重点的に検証するテーマ等について記載する。 (３)検証対象 検証の対象とする機器等について記載する。 (４)検証方法 検証で適用する監査技法(使用ツール、検証作業の手順等)について記載する。 (５)実施日程 事前打合せから結果報告までのスケジュールについて記載する。 (６)実施体制 責任者、担当者について記載する。 (７)検証項目 検証で確認する項目について記載する。 (８)適用基準 検証で準拠する基準について記載する。 ２ 令和７年度岡山県特定個人情報の取扱いに関する監査実施計画書(１)目的 監査を実施する目的について記載する。 (２)テーマ 監査の具体的なテーマや重点的に監査を行う事項について記載する。 (３)監査範囲 監査対象の業務及び情報システムの範囲並びに監査でレビューする書類等について記載する。 (４)監査対象 監査の対象とする課所について記載する。 (５)監査方法 監査で適用する監査技法(アンケート、インタビュー、レビュー、視察の手順等)について記載する。 (６)実施日程 事前打合せから結果報告までのスケジュールについて記載する。 (７)実施体制 監査責任者、担当者について記載する。 (８)監査項目 監査で確認する項目について記載する。 (９)適用基準 監査で準拠する基準について記載する。 ３ 令和７年度岡山県住民基本台帳ネットワークシステム監査実施計画書【運用監査】上記２に準じる。 ４ 令和７年度岡山県住民基本台帳ネットワークシステム監査実施計画書【ネットワークセキュリティ診断】上記１に準じる。 ５ 令和７年度岡山県情報セキュリティ技術的検証結果報告書【ネットワークセキュリティ診断(行政系ネットワーク)】(１)目的 技術的検証を実施した目的について記載する。 (２)テーマ 重点的に検証したテーマ等について記載する。 (３)検証対象 検証の対象とした機器等について記載する。 (４)検証方法 検証で適用した監査技法(使用ツール、検証作業の手順等)について記載する。 (５)実施日程 検証を実施した日時について記載する。 (６)実施体制 責任者、担当者について記載する。 (７)検証項目 検証で確認した項目について記載する。 (８)適用基準 検証で準拠した基準について記載する。 (別紙７)成果物に記載する項目(９)検証総評 検証結果の概要(総括・評価)について記載する。 (10)指摘事項 検証で確認した事実(危険度等)に基づき、問題点として指摘する事項について記載する。 (11)改善勧告 指摘事項に対する改善策の提案について記載する。 (12)特記事項 その他特記すべき事項があれば記載する。 (13)添付資料 添付すべき資料がある場合に添付する。 ６ 令和７年度岡山県情報セキュリティ技術的検証結果報告書【ネットワークセキュリティ診断(公開系ネットワーク)】上記５に準じる。 ７ 令和７年度岡山県情報セキュリティ技術的検証結果報告書【ネットワークセキュリティ診断(データセンター)】上記５に準じる。 ８ 令和７年度岡山県情報セキュリティ技術的検証結果報告書【ネットワークセキュリティ診断(学校系ネットワーク)】上記５に準じる。 ９ 令和７年度岡山県情報セキュリティ技術的検証結果報告書【Webアプリケーション診断】上記５に準じる。 10 令和７年度岡山県情報セキュリティ技術的検証結果報告書【データベース診断】上記５に準じる。 11 令和７年度岡山県特定個人情報の取扱いに関する監査報告書(１)目的 監査を実施した目的について記載する。 (２)テーマ 監査の具体的なテーマや重点的に監査を行った事項について記載する。 (３)監査範囲 監査対象の業務及び情報システムの範囲並びに監査でレビューした書類等について記載する。 (４)監査対象 監査を実施した課所について記載する。 (５)監査方法 監査で適用した監査技法(アンケート、インタビュー、レビュー、視察の手順等)について記載する。 (６)実施日程 監査を実施した日時について記載する。 (７)実施体制 監査人、監査対象課所の担当者について記載する。 (８)監査項目 監査で確認した項目について記載する。 (９)適用基準 監査で準拠した項目について記載する。 (10)監査総評 監査結果の概要(総括・評価)について記載する。 (11)指摘事項 監査で確認した事実に基づき、問題点として指摘する事項について記載する。 (12)改善勧告 指摘事項に対する改善策の提案について記載する。 (13)特記事項 その他特記すべき事項があれば記載する。 (14)添付資料 添付すべき資料がある場合に添付する。 (別紙７)成果物に記載する項目12 令和５年度岡山県特定個人情報の取扱いに関する監査個別報告書上記11に準じる。 13 令和７年度岡山県住民基本台帳ネットワークシステム監査報告書【運用監査】～概要版(公開版)～上記11に準じる。 セキュリティ上公開して差し支えない事柄のみ記載すること。 14 令和７年度岡山県住民基本台帳ネットワークシステム監査報告書【運用監査】～詳細版(非公開版)～上記11に準じる。 15 令和７年度岡山県住民基本台帳ネットワークシステム監査報告書【ネットワークセキュリティ診断】上記５に準じる。 16 令和７年度岡山県情報セキュリティ監査全体報告書 ～概要版(公開版)～上記５、13に準じる。 住民基本台帳ネットワークシステム監査を除く全ての監査結果について記載すること。 ただし、セキュリティ上公開して差し支えない事柄のみ記載すること。 17 令和７年度岡山県情報セキュリティ監査全体報告書 ～詳細版(非公開版)～上記５、14に準じる。 住民基本台帳ネットワークシステム監査を除く全ての監査結果について記載すること。