別紙2-2
3. 用性要件
1) ス 運用ス ル
運用時間 通常
毎日8時 翌2時30分 運用時間 し 以外の時間帯 毎日2時30分 8時 運用停 プ等の ン ナンス時間帯 る ス 運用時間 特定日
通常 異 る運用時間 る特定日 存在し い の る ス の計画停 の 無
毎 2 の1逬目金土日 事務所 ルの電気設備法定点検に る停電期間 停
- 15 - る
電子IPA 稼働環境 環境 の ン ナンス作業に伴う計画停 存在 る の る
2) 業務 性
対象業務範
電子IPA全 る
ス 替時間
想定 る 害に対し 対策 施 に 業務再開 に要 る時間 24
時間 満 る
➢ 害確認時 1時間以 に調査 分析 開始 る
➢ 調査 分析の開始時 2時間以 にIPAへ状況報告 復旧対策案の提示 行 う
➢ 復旧対策 し 業務の一時的中断 容認 る る 業務 の要求度
害時の業務停 許容 る
3) 目標復旧水準 業務停 時 RPO 目標復旧地点
1営業日前の時点 日次 プ の復旧 る
➢ 直近の業務 日次 プ 利用し 復旧 る RTO 目標復旧時間
想定し い い 害に対し の復旧時間 1営業日以 る
➢ 2) 業務 性 ス 替時間 経 1営業日以 目標に復旧
る
RLO 目標復旧 ル
電子IPAに関 る全 の業務
➢ の ス 全 ス の 常稼働の 定 対象 る 全
の業務の復旧 等 見
4) 目標復旧水準 大規模災害時 ス 再開目標
数ヶ 以 に再開 る
➢ 稼働環境 び構 ネ ワ の 常稼働 前提 る
5) 稼働率
- 16 - 稼働率
稼働率99% る
➢ 1 間(※逬7日稼働 1日18.5時間稼働の運用 約69時間 365日ェ19時 間ェ1% 67.5時間 の停 許容 る
4. セ 要件
4.1. 情報セ の基 方針
政府機関の情報セ 対策の の統一基準 成28 8 31日 セ 戦略 部決定 に準 し IPA情報セ 基 規程 に準 作業 実施 る
4.2. 情報セ 管理
業務の遂行にあ 以 に示 情報セ 管理 対策 実施 る
業務の遂行中に 情報セ 管理 対策 十分 ある 明し 場合に IPA担 当者に対処方法 速や に連絡し の 容に い IPA担当者の 認 得る
1) 情報資産管理
情報資産の識別規則 a) 情報資産の識別
電子IPAに る情報資産の識別に い IPA情報セ 基 規程 決 機密性 ル等の要件に従う
情報資産の セス 御規則
a) 機密性 ルに応 セス 御
電子IPA に る情報資産の機密性 ル等に応 セス 御に い IPA担当者の指示に従う
情報資産の利用規則 a) 情報資産の利用
電子IPA の のコ 利用し 作業 生 る場合に い 利用
る の範 明確にし IPA担当者の許 得 作業 実施 る
電子IPA の のコ の環境 利用 る場合に い 機密性
ル等に応 ス ン 行う等 特定 い う形式 利用 る 但し IPA担当者の指示 ある場合に の限 い
IPA 提供 る情報及び資料 公開 いる の 除 第 者に開示 漏 えい又 の目的に使用し い の に必要 措置 講 る
- 17 -
業務終了時に 者に い 扱わ 情報 確実に返却又 抹消 る 抹消 確認 る資料等 IPAに提出 る
特権 ン 管理規則
a) 各 ス のユ IDに関 る セス 御
電子IPAに るユ IDの セス権限に い IPA担当者の指示に従 う
b) ン 管理 側
番環境 び開 環境の OSの ン 管理に い 用途に応
必要最小限 ン 作成 運用 る 作成 運用 る ン に対 る スワ 管理に い 併 実施 る
番環境 び開 環境の ル び ス 部用 ン 管理
に い 用途に応 必要最小限 ン 作成 運用 る
作成 運用 る ン に対 る スワ 管理に い 併 実施 る
c) ン 管理 作業端 ル ン
作業端 の ル ン に い IPA担当者の指示に従い 検疫設定 や スワ 設定等 必要 設定 実施し 用途 限定し 使用 る
作業端 の ル ン 利用し の ン ネ 等の外部接 行 わ い の る
d) ン 管理 作業端 のIPA ン ン
作業端 のIPA ン ン に い IPA 払い出 るActive
Directory ン 使用 る ン IPAの業
務用端 共通 る
2) 情報端 管理
作業端 管理規則 a) IPA提供の端 管理
IPA 貸 る作業端 使用 る場合 IPAの 決 に従い使用 る 返却 る場合に い 様 る
b) 者所 端 管理
者の所 端 IPAに持 込ん 使用 る場合に い 事前にIPA担
当者の 認 得 且 IPA担当者 指示 方法等に従う c) 端 管理共通事項
端 管理 帳 作成し IPA 使用 る全作業端 a及びb 管理
- 18 - る
ネ ワ 接 管理規則
a) ネ ワ 接 管理
原則 し 者所 端 の IPA ネ ワ への接 禁 る
業務 接 必要 る場合に い IPA担当者の 認 得 且 IPA担当者の指示に従 対応 る
憶媒体利用管理規則 a) 憶媒体利用管理
電子 IPA に関連 る情報 録し 録媒体の保管に い IPA 指定 る格納庫 ャ ネ 等 机に保管 る
録媒体に電子IPAに関連 る情報 録 る必要 ある場合に い IPA 担当者の 認 得 且 IPA担当者の指示に従 対応 る
b) 情報出力管理
電子IPAの ルや各資料 IPA外へ 信 る場合に い 必 暗 号化対策 施
3) 入 室管理
共用エ 入 室運用規則 a) 建物への入 館
当機構事務所 入居し いる ル及び共用エ への入 出に い ル 管理会社及び IPA 定 る規則に従う 物品 伴う入搬出に い
様 る
IPAの通常就業時間帯以外 主に休日 夜間 に入 出 る場合に IPA担当者 の 認 得 且 IPA担当者の指示に従 対応 る
ルへの入 出に必要 セ に い IPA 担当者 者
へ必要最 限の数量 提供 る の る
ン室運用規則 a) ン室への入 室
ン室へ入室 る に IPA 設置し いる生体認証装置への 録 必要 る IPA担当者の指示に従い 録手 行う
ン室 の 出時に い 最終 出者 る場合に 指定
手 施錠 行う b) 入館証の着用
- 19 -
業務 行う に 必 IPA担当者 配布 入館証 着用 る 自社
の入館証及び胸章等 代用 当機構事務所 入居し いる ルの敷 地外に出る場合 入館証 ン室に保管 る
4) ン ン 管理
業務の遂行に い 情報セ ン ン 生し 場合に 速や に IPA 担当者に連絡 行い IPA担当者の指示に従い迅速に対処 る
対処 に 再 防 策 策定し の 容に い IPA担当者の 認 得る 5) 脆弱性管理
ス に関 る脆弱性 覚し 場合に セ チの適用等 迅速に対処
る Web プ ン に い 全 の 作 方
https://www.ipa.go.jp/security/vuln/websecurity.html に 載 い る 脆 弱 性 へ の対策 対処 行う
5. の 要件
業務に従事 る者 以 の事項に関 る教育 講し いる
➢ 個人情報保護
➢ 情報セ ネ ン ス ISMS 運用
➢ 機密情報の 扱い
1.2.1 業務対象 2 稼働環境概要 に 載のソ に関 る知見 し
に伴うプ ラ 開 改造等の業務 請 実績 し いる
業務の実施にあ 政府官公庁等の業務に関 る ス の稼働維持支援等 請 実績 し 業務の遂行に確実 履行体 確保し いる
業務の遂行に い IPA 意 し い変更 ス 対し 行わ い 保証 る管理体 整備 る 当 管理体 確認 る に IPA 要求し 場合に
業務 新 に実施 る 者に関 る資 関 役員等の情報 業 務の実施場所 業務従事者の所属 専⾨性 情報セ に る資格 研修実績等 実績及び国籍に関 る情報提供 行う
業務の実施部門に い ISO/IEC27001:2014 又 に準 る認証 いる
望 しい プラ 付 認定 いる 望 しい
6. 体 役割
6.1. 体
- 20 -
6.2. 役割 責任分担
業務の役割及び責任分担に い 以 の る 必要に応 関 者間 調整 行う の る
担当
IPA担当者 事業者
HW運用管理事業者
/SW保 事
業者 ルプ ス 業務
問い合わ 対応 △
作業依頼対応 △
業務 様確認 定常業務
ン ラ保 △
監視 課題管理
凡例: 認 調整等 主担当 △ 支援 参加 依頼事項実施等