令和７年度 富谷市情報セキュリティ対策支援業務

令和７年度 富谷市情報セキュリティ対策支援業務 富谷市公告第 号条件付一般競争入札を執行するので，地方自治法施行令(昭和２２年政令第１６号)第１６７条の６第１項の規定により，次のとおり公告する。令和７年５月２１日富谷市長 若 生 裕 俊１ 入札に付する事項⑴ 業 務 名 令和７年度 富谷市情報セキュリティ対策支援業務⑵ 履行場所 富谷市 富谷坂松田 地内⑶ 履行期間 契約締結日の翌日から令和８年３月３１日まで⑷ 業務概要 本市の情報セキュリティ対策強化に関する支援や職員の情報セキュリティ自己点検結果の分析、監査等を委託するもの。⑸ 支払条件 前払 なし 部分払 なし⑹ 最低制限価格の設定 なし２ 入札参加資格に関する事項⑴ 宮城県内に本店又は支店・営業所を有すること。⑵ 令和７・８年度富谷市競争入札(一般・指名)参加資格審査において，「役務提供(その他)」の承認を受けた者であること。⑶ 本業務の担当者には，以下のいずれかの資格を有する者を１人以上含むこと。①システム監査技術者②公認情報システム監査人(CISA)③公認システム監査人(CSA)④ISMS 主任審査員⑤ISMS 審査員⑥公認情報セキュリティ主任監査人⑦公認情報セキュリティ監査人⑷ 過去に本市の監査対象(個人情報を取り扱う)業務に含まれる情報システムの企画，開発，運用，保守作業及び機器の提供に直接・間接的に携わっている者ではないこと。⑸ 宮城県又は富谷市から指名停止を受けていないこと。⑹ 地方自治法施行令第１６７条の４の規定に該当しない者であること。⑺ 富谷市契約に関する暴力団排除措置要綱別表各号に掲げる措置要件のいずれにも該当しない者であること。３ 入札手続等⑴ 担当課区 分 担 当 課 電 話 番 号 住 所入札・受付担当課 企画部財政課 022‐358‐0619 〒981－3392富谷市富谷坂松田３０番地 業務担当課 総務部総務課 022‐358‐0621⑵ 入札参加申請書類の取得方法入札参加申請書類の取得は，５の表に示すとおりとする。⑶ 設計図書等の閲覧等当該業務に係る仕様書及び図面(以下「設計図書等」という。)は，閲覧に供する。設計図書等の閲覧期間及び場所は，５の表に示すとおりとする。⑷ 認定通知受理後の疑義事項について① 設計図書等について質問がある場合は，指定の質問書に記入の上，５の表に示す期間内に指定の場所に提出することができる。② 質問書に対する回答書は，５の表に示す期日に入札参加者全員に対しＦＡＸ送信する。⑸ 入札の日時，場所等入札の日時，場所等は，５の表のとおりとする。４ 入札参加資格の確認等⑴ 申請書類入札参加希望者は，次に掲げる書類を正１部提出し，入札参加資格の審査を受けなければならない。① 条件付一般競争入札参加資格確認申請書② 配置予定の技術者に関する調書③ 申請者の所在地及び名称を記載し，１１０円切手を貼付した返信用封筒１枚⑵ 入札参加申請書類の提出方法，提出期限及び提出場所① 提出方法郵送(配達証明付郵便)に限る。なお，封筒には「入札参加申請書類在中」と朱書きすること。② 提出期限及び場所５の表のとおりとする。⑶ 入札参加資格の有無については，５の表に示す期日に通知する。⑷ 入札参加資格者と認められなかった者は，その理由について書面で問い合わせをすることができる。⑸ ⑷の説明を求める場合は，その旨を記載した書面を財政課へ提出するものとする。５ 入札日程等手 続 等 期 間 ・ 期 日 ・ 期 限 場 所入札参加申請書類の取得期間令和 ７年 ５月２１日(水)から富谷市ホームページ設計図書等の閲覧期間令和 ７年 ５月２１日(水)から令和 ７年 ６月１９日(木)まで富谷市富谷坂松田３０番地富谷市役所 ２階 情報公開コーナー又は富谷市ホームページ入札参加申請書類提出(郵送提出に限る。)期日令和 ７年 ５月 ３０日(金)同日到着分まで受付富谷市富谷坂松田３０番地富谷市役所 ２階 財政課入札参加資格通知期日令和 ７年 ６月 ３日(火)発送不適格の場合のみ、事前に電話連絡します質問の受付(メールに限る)(指定様式はホームページから)期間令和 ７年 ６月 ３日(火)から令和 ７年 ６月 ５日(木)まで富谷市役所 財政課アドレスzaisei@tomiya-city.miyagi.jp※Word形式のまま送付すること(押印不要)回答書の送付期日令和 ７年 ６月９日(月)入札参加者全員にFAXによる回答入札書提出(郵送提出に限る)日時令和 ７年 ６月１７日(火)正午まで必着富谷市富谷坂松田３０番地富谷市役所 ２階 財政課開 札期日令和 ７年 ６月１９日(木)富谷市富谷坂松田３０番地富谷市役所※落札者のみに電話にて連絡します※入札結果については，後日富谷市ホームページに掲載します(注)上記の期間は，日曜日，土曜日及び国民の祝日に関する法律(昭和２３年法律第１７８号)第２条に規定する国民の祝日を除く日の午前８時３０分から午後５時３０分までとする。６ 入札の方法等⑴ 郵送とする。⑵ 落札者の決定に当たっては，入札書に記載された金額に当該金額の１００分の１０に相当する額を加算した金額(当該金額に１円未満の端数があるときは，その端数金額を切り捨てた金額)をもって契約金額とするので入札参加者は，消費税及び地方消費税に係る課税業者であるか免税業者であるかを問わず，見積もった契約希望額の１１０分の１００に相当する金額を入札書に記載すること。⑶ 入札書は，あて名を富谷市長若生裕俊と記入し，封筒に入れて提出すること。⑷ 入札書に記入する年月日は，提出日を記入してください。⑸ 入札希望者は，入札書提出用封筒(封筒には，「富谷市長 若生裕俊」，「親展(件名)」,「業者名」を記載)に入札書及び８の積算内訳書を入れ，のり付けのうえ封印し，その封筒を郵便用封筒に入れ，「富谷市企画部財政課」あて配達証明付郵便にて郵送すること。なお，入札書の提出後，入札書に記載された内容の変更はできません。(6) 開札については，事務局並びに指定立会者により執行いたします。７ 入札保証金免除する。ただし，落札者が契約を締結しない場合，市は入札金額(消費税及び地方消費税を含む)(単価を供給の区分ごとに定める単価契約にあたっては，単価に供給の区分に係る予定数量をそれぞれ乗じて得た額の合計)の１００分の５に相当する金額を違反金として徴収できるものとする。８ 積算内訳書の提出について(1) 第１回目の入札に際し，第１回目の入札書に記載されている入札金額に対応した積算内訳書の提出を求める。(2) 積算内訳書の様式は問わないが，内容については数量，単価，金額を記載すること。(3) 積算内訳書は担当者が確認の後，当市にて保管する。(4) 積算内訳書の提出がない場合又は一式などの表示で数量・単価が不明な場合については失格とする。 ９ 入札の無効本公告に示した入札に参加する者として必要な資格のないもの及び虚偽の申請を行なった者のした入札並びに富谷市条件付一般競争入札参加心得(以下「入札参加心得」という。) において示した条件に違反した者のした入札は，無効とする。なお，入札参加資格のある旨を確認された者であっても，確認の後，入札時点において２に掲げる要件のいずれかを満たさなくなった者のした入札は，無効とする。１０ 落札者の決定方法⑴ 予定価格以下で最低の価格の入札をした者を落札者とする。ただし，最低制限価格が設定されている入札の場合は，予定価格以下最低制限価格以上の範囲で最低価格の者を落札者とする。⑵ 入札の結果，落札者が決定しなかった場合は，地方自治法施行令第１６７条の２第１項第８号の規定に基づき，随意契約により契約を締結することがある。１１ 契約保証金契約金額の１０分の１以上の金額とする。(富谷市財務規則により，免除される場合がある)１２ その他⑴ 入札参加者は，「富谷市条件付一般競争入札要綱」，「富谷市条件付一般競争入札参加心得」，「富谷市最低制限価格及び低入札価格調査実施要綱」を熟読の上，参加すること。⑵ 業務内容に関する電話での質問は，一切受け付けない。また，質問については，指定の様式(本市ホームページからダウンロードしたもの)を使用すること。 No. 業 務 名 業 務 内 容 金 額１．令和７年度情報セキュリティ対策支援業務実施計画の策定1 式２.情報セキュリティポリシー対策基準及び実施手順の見直し1 式３．職員向け情報セキュリティ研修 1 式４．(特定)個人情報安全管理措置研修((特定)個人情報保護管理責任者向け)の実施1 式５．標的型攻撃メール対応訓練 1 式６．情報資産の重要性分類 1 式７．自己点検の実施 1 式８．情報セキュリティ監査の実施 1 式９．業務実施報告及び情報セキュリティ対策強化に係る提案1 式１０．情報セキュリティ対策運用に関するアドバイス支援1 式(a)(a) × １ ＝ (b)(b) × １．1 ＝ 円円 円業 務 委 託 仕 様 書数 量 単 価 備考1令和７年度富谷市情報セキュリティ対策支援業務別添仕様書のとおり富谷市 富谷坂松田 地内その他条件等価格２所属，１室で実施価格計算書＜ 履行期間 ＞始 期 ： 契約締結日の翌日終 期 ： 令和 8年 3月 31日 内消費税相当額計特記事項履 行 場 所1令和7年度 富谷市情報セキュリティ対策支援業務仕様書1. 業務名令和７年度 情報セキュリティ対策支援業務2. 業務目的本件業務委託は、次に掲げる事項を実現するために行うものとする。(1) 富谷市(以下「本市」という)が保有する情報資産の安全管理対策の強化に向けた啓蒙・啓発活動を推進する。(2) 国(個人情報保護委員会含む)が示す方向性及び方針等を基に、情報セキュリティポリシー対策基準(令和６年度改定)及び情報セキュリティ実施手順(令和６年度改定)を精査し、新たな脅威等への対策を含めて本市の情報セキュリティ対策の基準及び手順を明確にする。(3) 職場における情報資産の安全管理対策について標準化及び高度化を図る。(4) 各業務及び業務システムの運用・保守を行うにあたり、情報セキュリティポリシー対策基準及び情報セキュリティ実施手順の遵守を徹底することで情報セキュリティインシデント発生リスクの低減につながる態勢を確立する。また、業務システムの情報セキュリティ管理態勢の標準化及び高度化を図る。(5) 保有個人情報の安全な取扱い及びマイナンバー制度の安全な運用を実施することで市民から信頼・信用を得る。(6) 情報システム所管課が適正に情報システムの運用並びに調達を行うことができる。3. 履行期間契約締結日の翌日から令和８年３月３１日まで4. 履行場所富谷市 富谷坂松田 地内5. 業務実施内容(1) 令和７年度情報セキュリティ対策支援業務実施計画の策定本市は今年度、情報セキュリティ対策として以下のマネジメント業務を実施する予定である。前年度の実施結果を踏まえて情報セキュリティ対策を強化し、情報セキュリティ管理態勢を高度化するために、委託業務をどのような流れで、また、それらをどのように関連付けて実施するべきかを提案すると共に、各業務の計画を立案する。① 情報セキュリティポリシー及び情報セキュリティポリシー実施手順の見直し② 職員向け情報セキュリティ研修2③ (特定)個人情報安全管理措置研修((特定)個人情報保護管理責任者向け)の実施④ 標的型攻撃メール対応訓練⑤ 公文書の分類⑥ 自己点検⑦ 外部監査(三層分離のβ’モデルに対応した助言型監査)⑧ 業務実施報告及び情報セキュリティ対策強化に係る提案⑨ 情報セキュリティ対策強化に関するアドバイス支援(2) 情報セキュリティポリシー及び情報セキュリティ実施手順の見直し情報セキュリティポリシー基本方針(令和３年度改定)及び情報セキュリティポリシー対策基準(令和６年度改定)、情報セキュリティ実施手順(令和６年度改定)を精査し、「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和７年３月版)」等の考え方を反映し、国(個人情報保護委員会を含む)からの要請事項や新たな脅威及び脆弱性等に対応するために見直すべき、あるいは見直すことが望ましい事項を提案すること。そこにはガバメントクラウド上に配置する標準準拠システムの利用及び運用を行うにあたり必要なセキュリティ対策も含めると共に、β’モデルを活用して機密性の高い情報資産をインターネット接続系に配置し、当該情報資産をパブリッククラウドサービス上で運用する上での対策も反映すること。また、本市の情報セキュリティ対策の運用レベルの向上につながる事項も提案すること。それらの見直し事項については本市による確認及び承認を得ることとし、そのうえで基本方針及び対策基準、実施手順の改定を行うこととする。なお、改定に伴い新たに必要となる運用様式がある場合は、それを提供すること(提供時期は本市と協議する)。見直す内容は、以下のガイドラインや計画、手順書等に定められた事項及び要請等についても参照して検討する必要がある。 地方公共団体における情報セキュリティ監査に関するガイドライン(令和７年３月版) 自治体情報セキュリティ対策の見直しについて 特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)【令和７年４月一部改正】 国による地方公共団体の情報セキュリティ対策の強化について(会計検査院 令和２年１月) 情報セキュリティインシデント対応ハンドブック(地方公共団体情報システム機構 令和２年３月版) 小規模自治体のためのCSIRT 構築の手引き(地方公共団体情報システム機構 令和２年３月) 自治体デジタル・トランスフォーメーション(DX)推進計画【第４．０ 版】 自治体DX全体手順書【第４．０版】 自治体情報システムの標準化・共通化に係る手順書【第４．０版】 サイバーセキュリティを確保するための方針の策定等に関する総務大臣指針について(令和７年３月)3(3) 職員向け情報セキュリティ研修の実施研修計画を立案し、以下を目的とした研修教材の作成を行い、集合研修にて講師業務を実施すること。なお、集合研修の実施回数等の詳細については、本市と協議の上、決定する。また、集合研修に参加できなかった職員向けに講義内容を録画した自己学習用e-Learning教材を作成すること。録画に必要な機器及びソフトウェア(サービス)は受託者が用意すること。① 情報セキュリティポリシー対策基準及び情報セキュリティ実施手順の規程内容を理解し、これに従った運用ができるようになる。② 前年度の情報セキュリティ点検及び情報セキュリティ監査の結果を基に、留意及び改善すべき事項が認識できるようになる。③ 情報セキュリティ対策の強化及び情報セキュリティ管理態勢が高度化される。④ インシデント発生時に、適切な初動対応ができるようになる。⑤ 昨今の脅威について認識し、理解することができるようになる。 ⑥ 情報セキュリティ上の問題点(リスク)を認識し、改善すべき安全管理策を検討することができるようになる。⑦ 保有個人情報の適正な取扱いに係るポイントを理解し、実践できるようになる。(4) (特定)個人情報安全管理措置研修((特定)個人情報保護管理責任者向け)の実施(特定)個人情報保護管理責任者を対象とし、以下を目的とした研修の計画を立案すると共に、研修教材の作成を行い、集合研修にて講師業務を実施すること。なお、集合研修の実施回数等の詳細については、本市と協議の上、決定する。また、集合研修に参加できなかった職員向けに講義内容を録画した自己学習用e-Learning教材を作成すること。録画に必要な機器及びソフトウェア(サービス)は受託者が用意する。① (特定)個人情報の漏えい等を防止するための単純な事務ミスをなくす対策に係る着眼点を把握し、定着につなげる。② (特定)個人情報等のデータ入力業務の委託先に対して必要な監督ができるようになる。③ (特定)個人情報の漏えい等事案が発生した場合の対応を理解し、実践できるようになる。④ 保有個人情報の適正な取扱いに係るポイントを理解し、実践できるようになる。⑤ 令和７年度の実地調査及び立入検査計画を把握する。⑥ 令和６年度における監視・監督権限の行使状況の概要を把握する。(5) 標的型攻撃メール対応訓練の実施標的型攻撃メールによるセキュリティインシデントの発生を抑制すべく職員の意識及び対応力の向上を図ると共に、標的型攻撃メールにおける添付ファイルの開封率及びメール本文中のURLリンクのクリック率、また、これらの行為の傾向等の分析により現状の情報セキュリティ対策の問題点を把握し、今後の対応策を検討することを目的に、訓練を実施する。訓練にあたって以下を行うこと。① 訓練メールの件名及び本文の作成② 訓練メールの添付ファイルの作成③ 訓練メールの添付ファイル開封後及びメール本文に貼り付けたURLのリンク先で表示する教育用コンテンツの作成4④ 訓練スケジュール及び上記①～③の内容、送信元・送信先メールアドレス等を記した訓練実施要綱の作成⑤ 訓練結果の収集及び分析⑥ 実施報告書の作成訓練条件は以下とする。① 訓練メールの送信数は、１回の訓練につき３００通程度で、訓練は１回実施する。② 訓練メールは、受託者が保有する訓練の仕組み(ツール・サービス等を含む)を利用し、訓練メール送信環境の設定(送信元・送信先メールアドレスの設定を含む)、訓練メール送信、送信結果の取得等の作業は受託者が行う。③ 送信先メールアドレスは本市から提供する。④ 送信回ごとに添付ファイル型とするか、URLリンク型とするかは本市との協議により決定する。⑤ 送信元ドメインは特に指定しないが、事前に本市へ通知すること。⑥ 本市は、訓練メールが自治体情報セキュリティクラウド等により隔離されないための対策について協力する。なお、事前に本市が指定する特定のメールアドレスに訓練メールを送信し、動作確認テスト(リハーサル)を実施する。また、職員に混乱を発生させることのないように業務を履行できるよう計画すること。(6) 公文書の分類本市が行う見直し後の情報セキュリティ対策基準に定める情報資産の分類基準(自治体機密性・自治体完全性・自治体可用性)に基づく公文書の分類分けを支援すること。この新たな基準による分類分けを行うにあたって当該分類基準について詳細に説明し、各分類に該当する公文書の具体例を示した説明資料を作成すると共に、分類分けを行った結果を記載する一覧表(記入例を含む)を作成すること。なお、分類分けは担当業務ごとに担当所属が行うこととし、受託者は分類分けを行った一覧表の内容を公文書ごとに確認し、問題や疑義があれば問合せを行い、必要により担当所属へ修正を依頼する(修正理由を提示する。)。また、担当所属から質問等があれば対応を行うこと。前提：担当所属数は３０～４０程度、公文書数：５０～２００程度／担当所属(7) 自己点検の実施職員の情報セキュリティに対する意識と現状の運用実態を把握し、課題を可視化するために、以下の事項を前提に、自己点検を実施すること。① 情報セキュリティポリシー対策基準(令和６年度改定)及び情報セキュリティ実施手順(令和６年度改定)、昨今の脅威と自治体における重大インシデント等を参考にアンケート形式の自己点検シートを作成する。なお、設問数は１０分以内に回答ができる範囲で設定する。② 昨年度からの職員による運用実態の変化が把握可能な設問を設定する。③ 標的型攻撃メール対応訓練にて開封(URLクリック含む)した又は開封(URLクリック含む)しなかった理由を調査する設問を設定する。5④ 回収した自己点検シートを課等の所属ごとに集計を行い、集計結果を報告書としてまとめる。 なお、報告書には集計結果のみならず、評価及び助言等のコメントを加え、課題を可視化すること。(8) 外部監査(三層分離のβ’モデルに対応した助言型監査)の実施① 業務所管課(２課)及び情報システム並びに情報セキュリティの管理部門(１部門、以下管理部門と言う。)対して、助言型の外部監査を実施する。なお、適用基準は以下とする。a) 富谷市情報セキュリティポリシー対策基準(令和６年度改定)b) 富谷市情報セキュリティ実施手順(令和６年度改定)c) 地方公共団体における情報セキュリティポリシーに関するガイドライン(令和５年３月版)d) 地方公共団体における情報セキュリティ監査に関するガイドライン(令和７年３月版)e) 特定個人情報の適正な取扱いに関するガイドライン行政機関等・地方公共団体等編)【令和６年５月一部改正】f) その他、情報セキュリティ等に関し、有用な法律・基準、国からの通知等であって、本市と協議のうえ採用したもの② 監査は、以下の手順を踏んで実施することとする。a) 当該年度の監査テーマを決定(本市と協議のうえ)b) 監査実施計画(監査の目的、監査項目、監査対象業務(主に個人情報を取り扱う業務)、被監査部門、監査手順、実施スケジュール、実施場所、実施体制及び担当者の氏名、本市との役割分担、成果物等を記載)の策定c) 予備調査の実施d) 本調査の実施(業務運用実態について訪問調査を実施)e) 監査調書による事実確認f) 監査報告(改善提案の提示を含む)g) 改善計画の確認③ 補足事項a) ①で示した適用基準から、本市の実情に合わせて設定した監査項目ごとに具体的な確認事項となる監査要点を列挙した監査チェックシートを作成し、これを基に業務運用実態の訪問調査を行う。従って、監査チェックシートは調査結果を記入することで、監査項目ごとのリスクコントロール度合いが把握できる監査証拠となる。b) 監査は予備調査にて監査対象となる業務や当該業務で取り扱う情報資産、また利用する情報システム及び情報セキュリティ運用状況に関する基礎情報等を収集したうえで、訪問調査を行うこととする。c) 管理部門への監査においては、「地方公共団体における情報セキュリティ監査に関するガイドライン(令和７年３月版)」に示されたβ’モデルを採用する場合に必要な監査項目を監査チェックシートに反映すること。また、その場合、本市のネットワーク環境等に基づく脅威や脆弱性になり得る事象への対策状況に係る監査項目も当該シートに盛り込むこと。なお、インターネット接続系及び LGWAN 接続系のセグメントに導入しているセキュリティツール(サービス)及び機器については、その機能や運用方法を確認し、人的及び技術的な観点から脅威と脆弱性を効果的に低減できているかを評価すること。6d) 監査報告書には、監査証拠に裏付けられた合理的な根拠に基づく意見、制約又は除外事項、その他当該監査の目的に照らして必要と判断した事項を明瞭に記載すること。改善が必要な事項(指摘事項)を記載する場合は、改善すべき理由となる顕在化もしくは残存しているリスク及び具体的な改善提案を記載すること。(9) 業務実施報告及び情報セキュリティ対策強化に係る提案上記(1)～(8)にて実施した内容を令和７年度情報セキュリティ対策支援業務実施報告書としてとりまとめる。また、(5)、(7)、(8)にて実施した結果から本市の課題を導き出し、当該課題への有効な対策に係る提案等を取りまとめた令和7年度の総括資料を作成すること。当該総括資料は、次年度の情報セキュリティ対策支援業務実施計画策定の基礎とする。(10) 情報セキュリティ対策強化に関するアドバイス支援本市が実施に向けて検討する情報セキュリティ強化策について、本市の情報システムの運用状況及び情報資産の安全管理対策を踏まえた上で、専門的見地及びセキュリティ強化の観点から助言及び提案を行う。その際、必要に応じて他の自治体の運用状況を参考情報として提示すること。また、情報セキュリティに関する技術的な脆弱性情報、自治体等における重大事故事例、脅威及びリスク等に関する情報を提供し、実施が望まれる情報セキュリティ対策(技術的・物理的・人的・組織的)について具体的な実施方法等も含めて適宜助言すること。更に、「自治体デジタル・トランスフォーメーション(DX)推進計画【第４．０ 版】」に基づき、今後、本市がデジタル化の推進を検討するにあたって、情報システムの強靭性向上を含めてセキュリティ上の留意すべき事項等についても助言並びに提案を行うこととする。なお、情報セキュリティ対策強化のため実施する施策は「(2)情報セキュリティポリシー対策基準及び情報セキュリティ実施手順の見直し」と関連するため、互いに整合性を持って提案を行わなければならない。6. 成果物本件業務委託における成果物は、以下を想定しているが、その他、必要により作成した資料があれば併せて提出すること。提出期限及び提出方法は、本市と協議のうえ決定する。(1) 情報セキュリティ対策支援業務実施計画(2) 情報セキュリティポリシー対策基準の見直し案(3) 情報セキュリティ実施手順の見直し案(4) 情報セキュリティ実施手順の運用に伴う各種様式(適宜)(5) 情報セキュリティ研修計画書(6) 情報セキュリティ研修の教材(7) 情報セキュリティ研修の自己学習用e-Learning教材(8) (特定)個人情報安全管理措置研修計画書(9) (特定)個人情報安全管理措置研修の教材(10) (特定)個人情報安全管理措置研修の自己学習用e-Learning教材(11) 標的型攻撃メール対応訓練実施要綱(12) 標的型攻撃メール対応訓練実施報告書(13) 公文書の分類に係る説明資料7(14) 公文書一覧表(記入例のみ)(15) 情報セキュリティ自己点検シート(16) 情報セキュリティ自己点検報告書(17) 情報セキュリティ監査実施計画書(18) 情報セキュリティ監査調書(19) 情報セキュリティ監査報告書(20) 情報セキュリティ対策改善計画書(様式のみ)(21) 情報セキュリティ対策強化に関する提案(令和７年度総括)(22) 令和７年度情報セキュリティ対策支援業務実施報告書7. 監査人要件・履行体制(1) 情報セキュリティ外部監査の実施に当たっては，主任監査人及び監査人で構成する監査チーム(2人以上)を編成すること。(2) 本業務の担当者には、以下のいずれかの資格を有する者を１人以上含むこと。 ① システム監査技術者② 公認情報システム監査人(CISA)③ 公認システム監査人(CSA)④ ISMS 主任審査員⑤ ISMS 審査員⑥ 公認情報セキュリティ主任監査人⑦ 公認情報セキュリティ監査人(3) 本業務の受託者は、過去に監査対象業務に関わる情報システムの企画、開発、運用、保守作業及び機器の提供に直接・間接的に携わっている者ではないこと。8. 資料の提供等本業務の実施にあたり、必要な資料及びデータの提供は本市が妥当と判断する範囲内で受託者に提供する。なお，受託者は、本市から提供された資料は適切に保管し、特に個人情報及び情報システムのセキュリティ対策、情報資産の安全管理に関連する資料の保管は厳格に行うものとする。また、契約終了後は本業務にあたり収集した一切の資料を速やかに本市に返還し、又は廃棄するものとする。9. 報告等受託者は作業スケジュールに十分配慮し、本市と密接に連絡を取り業務の進捗状況を報告するものとする。10. 契約締結後、提出が必要な書類以下の書類については，契約締結後速やかに本市へ提出すること。(1) 守秘義務誓約書(任意様式)8(2) 従事者の資格を証明する書類の写し：１部(3) 過去に監査対象業務に関わる情報システムの企画、開発、運用、保守作業及び機器の提供に直接・間接的に携わっていない旨の誓約書11. その他本業務の実施にあたり、本仕様書に記載のない事項については本市と協議のうえ決定するものとする。【用語解説】 監査項目監査テーマ(具体的な監査の主題)を細分化した業務運用実態調査の個々の対象例)ウイルス対策ソフトの適切な運用、利用者IDの管理、アクセス記録等の取得及び保存 監査要点監査項目から細分化した確認事項例)ウイルス対策ソフトの定義ファイル更新方法及び更新頻度 監査証拠監査報告書に記載する監査意見を立証するために必要な事実例)監査調書、閲覧資料、閲覧記録等 監査調書業務運用実態調査において、監査人が作成し、又は収集した資料