「わがマチ・わがムラ情報提供システム」の運用・保守等業務仕様書 1 目的 わがマチ・わがムラ情報提供システム(以下「システム」という。)は、農林業セ ンサス等の農林水産統計結果のほか、他省庁の統計データを含めた都道府県、市町村、 農業集落のデータ等をデータベース化し、農林水産省ホームページに掲載しインター ネット上で広く公開、運用している。 本業務はシステムの運用・保守等業務を行い、システムを円滑・安定的に運用する ことを目的とするものである。 2 システム 2.1 システム概要 (1)種類と機能 システムは、政府共通プラットフォーム(以下「政府共通 PF」という。)の非高 可用性環境を利用し仮想サーバ方式で運用するアプリケーション及びデータベース であり、①市町村の姿(都道府県・市町村データ)と②農村地域の姿(農業集落デー タ)により構成されている。(別紙1参照) それぞれのアプリケーションの主な機能は次のとおりである。 ① 市町村の姿 各都道府県、市町村毎のデータを表示 過年次を含めたデータの検索及び検索結果の表示 ランキングの検索及び検索結果の表示 ② 農村地域の姿 農業集落データの検索及び検索結果の表示 (2)データの作成と格納 ① 市町村の姿 データベースに格納するためのデータは、農林水産省大臣官房統計部統計企 画管理官データベース運営班(以下「担当部署」という。)がクライアントプ ログラムを利用して作成し、システム運用・保守事業者がサーバプログラムを 利用してサーバに格納している。 ② 農村地域の姿 担当部署が作成したデータをシステム運用・保守事業者がデータベースに格 納している。 2.2 稼働環境 稼働環境は下記のとおりである。なお、仮想サーバ OS、Web サーバソフトウェア、 及び DB 管理ソフトウェアは政府共通 PF より提供された資源を利用しているが、Web サーバソフトウェアのうち Apache HTTP Server はシステムからの持ち込み資源であ る。 (1)サーバ OS:Windows Server 2012 R2 (2)サーバ CPU 数:8コア (3)メモリ:16GB (4)サーバディスク:(Cドライブ)80GB、(Dドライブ)500GB (5)アプリケーション
ア 市町村の姿(検索・ランキング)
Web サーバソフトウェア:Apache HTTP Server DB 管理ソフトウェア:PostgreSQL
言語:PHP
イ 市町村の姿(サーバプログラム) DB 管理ソフトウェア:PostgreSQL 言語:VB.NET
データベースエンジン:Jet Database Engine グラフ作成:Microsoft Office Excel 2010 ウ 農村地域の姿
Web サーバ:Microsoft Internet Information Services OS バンドル DB 管理ソフトウェア:PostgreSQL 言語:ASP.NET 3 契約期間 契約期間は契約締結日から平成 32 年1月7日までとする。 4 スケジュール及び作業実施体制 4.1 スケジュール 本調達の範囲(赤枠内)及スケジュールは図1のとおり。 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月 1 システム接続環境の 構築・設定 2 作業計画書及び作業要領の 作成・提出 3 保守注2 4 データ更新注3 ◎ ◎ ◎ ◎ 5 提案及び支援注4 6 (参考1) 次期システム改修・テスト等 7 (参考2) 次期システムでの運用 注1:上図の赤枠内の業務が本仕様書で示す業務である。 注2:運用・保守報告(月次報告書)は1か月分を翌月10日までに提出する。 注3:データ更新の時期は掲載データの公表時期の変更により変更する場合がある。 注4:提案及び支援は担当部署の指示により随時実施する。 図1 スケジュール
4.2 作業実施体制 本業務の作業実施体制は図2のとおり。 4.3 関連する調達案件 本調達と関連する調達(予定)案件は以下の表のとおり。 調達案件名 わがマチ・わがムラ情報提供システムの次期システムへ の移行及び移行後の運用・保守業務 調達の方式 一般競争入札(最低価格落札方式) 実施時期 入札公告:平成 31 年2月頃 落札者決定:平成 31 年4月頃 契約期間 契約締結日から平成 32 年3月 31 日 5 業務内容 5.1 作業計画書及び作業要領の作成・提出 (1) 作業内容、実施体制(体制図)、スケジュール、成果物等を示した作業計画書を 契約締結後5日(行政機関の休日(行政機関の休日に関する法律(昭和 63 年法律第 91 号)第1条第1項各号に掲げる日をいう。以下同じ。)を除く。)以内に担当部 署に提出し、承認を得ること。また、変更があった場合も再提出し、承認を得ること。 (2) 実施体制(体制図)は作業体制、作業に参画する担当者及びそれぞれの役割を明 記したものとすること。 (3)実施体制(体制図)の中で、業務全体の管理を行う責任者は、以下のいずれかに該 当すること。ただし、当該資格保有者等と同等の能力を有することが経歴等において 明らかな者については、これを認める場合がある(その根拠を明確に示し、担当部署 の了解を得ること。)。 ① 経済産業省情報処理技術者試験における下記のいずれかの試験の合格者 プロジェクトマネージャ試験(PM) システムアーキテクト試験(SA) IT ストラテジスト試験(ST)
② 特定非営利活動法人 IT コーディネータ協会が認定する IT コーディネータの 資格保有者 ③ プロジェクトマネジメント協会(PMI)が認定するプロジェクトマネジメント プロフェッショナル(PMP)の資格保有者 (4) 作業管理に必要なコミュニケーション管理、体制管理、作業管理、リスク管理、 課題管理、システム構成管理、変更管理、情報セキュリティ対策について示した作 業要領を契約締結後5日(行政機関の休日を除く。)以内に担当部署に提出し、承 認を得ること。 5.2 システム接続環境の構築・設定 運用・保守業務を行うための仮想サーバへの接続は受注者環境から農林水産省のフ ァイアウォール(以下「ファイアウォール」という。)を通じたリモート接続により 行うので、受注者は5.3(1)の保守の期間開始日から保守作業が開始できるよう 仮想サーバへの接続環境を構築設定すること。 受注者は、受注者環境とファイアウォールの間にルータを設置し、受注者環境と政 府共通ネットワークの間の通信のみを許可するようアクセス制御(ACL)を設定する こと。受注者環境からファイアウォールへの接続イメージは資料閲覧にて確認するこ と。 なお、ファイアウォールに接続するためには接続する日の 10 日前(行政機関の休 日を除く。)までに申請が必要となる点について留意すること。 これらの環境(回線費用、ルータ費用を含む。)、機材(端末等)、作業場所に係 る費用等は、全て受注者が負担すること。 なお、受注者環境の留意点は以下のとおり。 (1) 回線 ア 回線は光ファイバーとし、ベストエフォート回線(100Mbps)とすること。なお、 暗号化通信による VPN で接続すること。 イ 回線の敷設に伴い必要な調整については、内容を担当部署に説明し、担当部署の 指示のもと、受注者の責任において実施すること。 (2) 端末 ア 施錠、入退室管理がされている作業室に配置すること。 イ リモートデスクトップを用いてシステムにアクセスできること。 ウ 端末にはウイルス対策ソフトウェアを導入し、ウイルスの検知・駆除を実施する こと。また、ウイルス対策ソフトウェアのパターン更新及びエンジン部分のバージ ョンアップを実施すること。 エ 端末に導入されている OS 及びソフトウェアには最新のセキュリティパッチを適 用すること。 5.3 保守 (1) 保守の期間 保守の期間は契約締結日から平成 31 年 12 月 31 日とする。 (2) 保守の範囲 政府共通 PF とシステムが行う運用・保守作業の対象範囲は別紙2のとおり。 (3) 保守作業の内容 ア 保守作業の内容は、別紙3及び6(1)で貸与するシステム運用マニュアルを参照 すること。
イ 受注者は、ウェブサイト診断において指摘された脆弱性に対してセキュリティ 対策を講じる改修を行うこと。 なお、詳細な情報については、資料閲覧にてウェブサイト診断の報告書を確認 し、別紙4「脆弱性改修に関する留意事項」に基づいて作業を行うこと。 (4) 障害対応 システム障害などサービスを中断又は著しく低下させる事象が発生した場合に は、受注者は速やかに担当部署に報告するとともに、原因分析を実施し、解決と復 旧に向けた迅速な対応を実施すること。なお、障害原因の一次切り分けは政府共通 PF で実施する。 (5) ソフトウェアに対する保証 システムにおいて利用している全てのソフトウェアについて、製品のサポート、 セキュリティホール、不具合等に関する情報をもれなく入手すること。 また、入手した情報について、担当部署へ連絡し、対応及び管理を行うこと。詳 細については担当部署と協議して決定すること。 (6) 運用・保守報告(月次報告書)の提出 運用・保守報告は以下のとおりとする。 ア 運用・保守報告の内容 (ア)ハードウエアの日別負荷状況(CPU 使用率、メモリ使用率、HDD 利用率及びア クセス数) なお、一時的に大量のアクセスを受けた場合等、特異な状況があった場合は、 時別負荷状況も作成し、記入すること。 上記負荷状況については、グラフも併せて作成すること。 (イ)保守作業(別紙3の状況(作業単位毎の作業内容、回数、工数等)) (ウ)担当部署からの問い合わせ内容と対応 イ 運用・保守報告の期日 1ヶ月分を取りまとめて、翌月 10 日(行政機関の休日に当たるときは、行政機 関の休日の翌日とする。)までに担当部署に提出すること。 なお、平成 31 年 12 月分の報告期日については、平成 32 年1月7日とする。 (7)システムの現況確認支援 受注者は年1回担当部署の指示に基づき、政府情報システム管理データベース(以 下「ODB」という。)格納データとシステムの現況との突合・確認(以下「現況確認」 という。)を支援すること。現況確認の結果、ODB の格納データとシステムの現況 との差異がみられる場合は、担当部署の指示にもとづき差異を解消すること。 現況確認の結果、ライセンス許諾条件に合致しない状況が認められる場合は、当 該条件への適合可否、条件等を調査の上担当部署に報告すること。 また、サポート切れのソフトウェア製品の使用が明らかとなった場合は、当該 製品の更新の可否、更新した場合の影響の有無等を調査の上担当部署に報告するこ と。 (8)対応時間 ア 担当部署からの問い合わせ対応時間は、行政機関の休日を除く平日9時から 18 時とすること。 イ 問い合わせの手段は、電話又は電子メールのいずれかとする。 なお、電子メールについては、対応時間外であっても受信可能とすること。
5.4 データ更新 (1) データ更新 ア 担当部署の指示に基づき、データ更新作業を行うこと。 イ 更新するデータは担当部署が受注者に提供するので、受注者はデータの公開に 必要なファイルを作成し、当該ファイルをシステムへ登録・更新すること。 ウ データ更新の前には必ずバックアップを行うこと。 (2) システム登録 システム登録に1回当たり 15 時間程度(平成 29 年度実績)の時間を要するため、 システム登録作業を行政機関の休日に実施することもある。 (3) 更新回数 更新は契約期間内において3回程度を予定している。 5.5 「地域の農業を見て・知って・活かすDB(※)」のファイルの格納 Apache HTTP Server に格納している「地域の農業を見て・知って・活かすDB」の データ(平成 30 年9月現在、約 13,500 ファイル(Excel、ZIP 形式等))について、 担当部署の指示に基づき、ファイルの追加または差し替え作業を行うこと。 ※「地域の農業を見て・知って・活かすDB」は、農業集落を単位として、農林業セ ンサスの結果と各種情報を組み合わせて農林水産省が独自に加工・再編成したデータ をホームページで提供するもの。 5.6 「筆ポリゴンファイル」(※)の格納 担当部署の指示に基づき、「筆ポリゴンファイル」のデータ(約 1,700 ファイル(全 国の市町村数と同数)(ZIP 形式等))について、Apache HTTP Server に格納するとと もに、担当部署の指示があった場合は、ファイルの追加または差し替え作業を行うこ と。 ※「筆ポリゴンファイル」は、農林水産省が実施する耕地面積調査等の母集団情報と して、全国の土地を隙間なく 200 メートル四方(北海道は、400 メートル四方)の区 画に区分し、そのうち耕地が存在する約 290 万区画について衛星画像等をもとに筆ご との形状に沿って作成した農地の区画情報。 5.7 提案及び支援 (1) 受注者は契約期間内に年間の運用実績を取りまとめて担当部署に情報を提供する とともに、担当部署の指示により、担当部署が作成・確定する中長期運用・保守作 業計画、運用計画、運用実施要領に対する妥当性の確認及び具体的な作業内容や実 施時間、実施サイクル等に関する情報の提供や資料作成の支援を行うこと。 (2) 受注者は、本契約の終了後に作業経緯、残存課題等を整理した引き継ぎ文書を作 成し、担当部署に報告するとともに、次期運用・保守事業者に対して引き継ぎを実 施し次期運用・保守業者からの質問等があった場合は誠実に対応すること。 (3) 本システムに関連するITに関する最新の技術情報を常に把握し、システムの改 善やセキュリティ強化の検討に有用な技術等について、必要に応じて担当部署に情 報提供及び提案を行うこと。 6 貸与物品等 (1) 以下の物品を電子媒体等により、受注者へ貸与する。 なお、入札公告期間中は、担当部署においてシステム設計書、操作説明書、シス テム運用マニュアル及び政府共通 PF 関係資料の閲覧を可能とするので、事前に担
当部署に連絡し、日時等を予約すること。閲覧にて知り得た内容については、本調 達以外には使用しないこと。また、本調達に関与しない者等に情報が漏えいしない ように留意すること。閲覧資料の複写等による閲覧内容の記録は行わないこと。 ア システム設計書 イ 操作説明書 ウ システム運用マニュアル エ 実行プログラム オ ソースプログラム カ テンプレート キ 政府共通 PF 関係資料 ク ウェブサイト診断結果報告書 ケ 前年の運用・保守業務に係る引き継ぎ文書 (2) 貸与された物品は、厳重な管理を行い、契約満了までに返却すること。 (3) 貸与物品受領時及び返却時に、担当部署の立ち会いの下、貸与物品を確認すること。 7 納入成果物及び納入期限 (1) 本業務における成果物及び納入期限は図3のとおりとする。 成果物はすべて日本語とし、担当部署から特別に示す場合を除き、原則電磁的記 録媒体2部を納入すること。電磁的記録媒体についてはウイルス対策を実施し、対 策ソフトウェアに関する情報(対策ソフトウェア名称、定義パターンバージョン、 確認年月日)を記載したラベルを貼り付けること。
(2) 納入後担当部署において改変が可能となるよう、図表等の元データも併せて納入 すること。 (3) 成果物の作成に当たって、特別なツールを使用する場合は担当部署の承認を得る こと。 (4) 成果物が外部に不正に使用されたり、納入過程において改ざんされたりすること のないよう、安全な納入方法を提案し、成果物の情報セキュリティの確保に留意す ること。 (5) 上記(1)図3の①、②、③及び④は納入期限までに担当部署に内容の説明を実施 して検収を受けること。 (6) 検収の結果、成果物に不備又は誤りが見つかった場合には、直ちに必要な修正等 を行い、変更点について担当部署に説明を行った上で、指定された日時までに再度 納入すること。 (7) 本業務成果物の瑕疵担保期間は、業務完了後1年間とし、その期間内において瑕 疵があることが判明した場合には、受注者の責任及び負担において速やかに修正等 を行い、指定された日時までに再度納入するものとする。 8 成果物の権利帰属 本業務において作成される成果物の著作権等の取扱いは、次に定めることによる。 (1) 受注者は、著作権法(昭和 45 年法令第 48 号)第 21 条(複製権)、第 26 条の3 (貸与権)、第 27 条(翻訳権・翻案権等)及び第 28 条(二次的著作物の利用に関 する原著作者の権利)に規定する権利を、発注者に無償で譲渡すること。 (2) 発注者は、著作権法第 20 条(同一性保持権)第2項第3号又は第4号に該当しな い場合においても、その使用のために当該成果物を改変し、また、任意の著作者名 で任意に公表することができるものとすること。 (3) 受注者は発注者の書面による事前の同意を得なければ、著作権法第 18 条(公表権) 及び第 19 条(氏名表示権)を行使できないものとすること。 (4) 第三者が権利を有する著作物(以下「既存著作物」という。)を使用して成果物 を作成する場合は、発注者が特に使用を指示した場合を除いて、受注者が必要な費 用の負担及び使用許諾契約に係る一切の手続きを行うこと。この場合、受注者はそ の手続きの内容について事前に発注者の承認を得ることとし、発注者は既存著作物 について、その許諾用件の範囲内で使用するものとすること。 なお、業務の実施に関し、第三者との間に著作権に係る権利侵害の紛争が生じた 場合は、その原因が専ら発注者の責めに帰す場合を除き、受注者の責任及び負担に おいて一切を処理すること。この場合、発注者は係る紛争等の事実を知ったときは、 受注者に通知し、必要な範囲で訴訟上の防衛を受注者に委ねる等の協力措置を講じ るものとすること。 (5) 使用する画像、デザイン、表現等に関して他者の著作権を侵害する行為に十分配 慮し、これを行わないこと 9 応札者の条件 応札者は次の条件を満たすこととし、事前に条件を満たすことを証明する資料等の 写しを提出すること。 なお、本業務を直接担当する農林水産省 CIO 補佐官及び農林水産省全体管理組織 (PMO)支援スタッフが、その現に属する又は過去2年間に属していた事業者及びこの 事業者の「財務諸表などの用語、株式及び作成方法に関する規則」(昭和 38 年大蔵省
令第 59 号)第8条に規定する親会社及び子会社、同一の親会社を持つ会社並びに委託 先等緊密な利害関係を有する事業者は、本書に係る業務に関して入札に参加できない ものとする。
(1)品質マネジメントシステムの規格である「JIS Q 9001」又は「ISO9001」(登録活動 範囲が情報処理に関するものであること。)の認定を有していること。
(2) 情報セキュリティ実施基準である「JIS Q 27001」、「JIS Q 27002」、「ISO/IEC27001」 又は「ISMS」の認証を有していること。 (3)業務全体の管理を行う責任者は、以下のいずれかに該当すること。ただし、当該資 格保有者等と同等の能力を有することが経歴等において明らかな者については、これ を認める場合がある(その根拠を明確に示し、担当部署の了解を得ること。) ① 経済産業省情報処理技術者試験における下記のいずれかの試験の合格者 プロジェクトマネージャ試験(PM) システムアーキテクト試験(SA) IT ストラテジスト試験(ST) ② 特定非営利活動法人 IT コーディネータ協会が認定する IT コーディネータの資 格保有者 ③ プロジェクトマネジメント協会(PMI)が認定するプロジェクトマネジメント プロフェッショナル(PMP)の資格保有者 (4)Web を介した検索システムの運用・保守業務を請け負った実績を有すること。 (5)単独で業務を遂行できない場合は、適正な業務を遂行できる共同事業体(対象業務 を共同して行うことを目的として複数の民間事業者により構成される組織をいう。以 下同じ。)として参加することができる。 その場合、証明書等の提出時までに共同事業体を構成し、代表者を決め、他の者は 構成員として参加するものとする。ただし、共同事業体として参加する者について は、他の共同事業体又は単独で本入札に参加することはできない。 なお、共同事業体の代表者又は構成員により、9(1)~(4)の要件を満たす必要 がある。 さらに、共同事業体として本入札に参加する場合は、共同事業体の結成に関する協 定書(又はこれに類する書類)を提出すること。また、協定書の作成にあたっては、 業務分担及びその考え方並びに実施体制についても、明確に記載すること。 10 情報セキュリティの確保 (1) 本業務の遂行に当たっては、担当部署から「農林水産省における情報セキュリテ ィの確保に関する規則」(平成 27 年3月 31 日農林水産省訓令第4号)及び別紙5 「情報セキュリティの確保に関する共通基本仕様」(以下「共通基本仕様」という。) 等の説明を受けるとともに、「政府機関の情報セキュリティ対策のための統一基準」 及び「府省庁対策基準策定のためのガイドライン」を参照し、定められている事項 について遵守すること。 なお、「農林水産省における情報セキュリティの確保に関する規則」は「政府機 関等の情報セキュリティ対策のための統一基準群(以下「統一基準群」という。) に準拠されていることから、受注者は統一基準群の改定を踏まえて規則が改正され た場合には、本業務に関する影響分析を行うこと。 (2) 本業務の遂行に当たっては、共通基本仕様に基づき作業を行うとともに、共通基 本仕様のⅡの1、Ⅱの2及びⅢの1において提出することとしている資料につい て、別紙6の「情報セキュリティ対応状況・確認書」に整理の上、入札公告及び入
札説明書に定める証明書等に添付して提出すること。なお、契約締結後に提出した 資料に変更が生じた場合は速やかに担当部署へ再提出すること。 (3) 本業務の遂行に当たって、資料の取扱いについては委託した業務以外の目的に利 用しないこと。 (4) 本業務の遂行に当たっては、知り得たすべての事項について、契約期間中はもと より、契約終了後においても外部に漏らしてはならない。また、秘密保全に関する ことは、担当部署の指示に従うこと。 (5) 本業務の遂行に当たっては、従事する全ての者と個別に退職後も有効な守秘義務 契約を締結すること。 (6) 受注者環境に本業務に必要な情報以外を保持することのないよう、不用になった 情報は適宜、担当部署に返却を行うこと。 (7) 本業務において使用するソフトウェアについては、既知のセキュリティホールに 対するセキュリティ対策を行うこと。 (8) 受注者の責に起因する情報セキュリティインシデントなどの事故が発生した場合 は直ちに担当部署に報告すること。 (9) 本業務の遂行に当たっては、以下の内容を含む情報セキュリティ対策を実施し、 情報セキュリティ水準の低下を招かないこと。 ア 提供するアプリケーション・コンテンツに不正プログラムを含めないこと。 イ 提供するアプリケーションにぜい弱性を含めないこと。 ウ 実行プログラムの形式以外にコンテンツを提供する手段がない限り、実行プログ ラムの形式でコンテンツを提供しないこと。 エ 電子証明書を利用するなど、提供するアプリケーション・コンテンツの改ざん等 がなく真正なものであることを確認できる手段がある場合には、それをアプリケー ション・コンテンツの提供先に与えること。 オ 提供するアプリケーション・コンテンツの利用時に、ぜい弱性が存在するバージ ョンの OS やソフトウェア等の利用を強制するなどの情報セキュリティ水準を低下 させる設定変更を、OS やソフトウェア等の利用者に要求することがないよう、 ア プリケーション・コンテンツの提供方式を定めて開発すること。 カ サービス利用に当たって必須ではない、サービス利用者その他の者に関する情報 が本人の意思に反して第三者に提供されるなどの機能がアプリケーション・コンテ ンツに組み込まれることがないよう開発すること。 キ 「.go.jp」で終わるドメインを使用してアプリケーション・コンテンツを提供す ること。 ク 詳細については、担当部署から「アプリケーション・コンテンツの作成及び 提供に関する規程」の説明を受けるとともに、それに基づきアプリケーション・コ ンテンツの作成及び提供を行うこと。 (10)本業務において整備又は管理を行う情報システムに伴うリスクとその対応状況を 客観的に評価するために、農林水産省が情報システム監査の実施を必要と判断した 場合は、農林水産省が定めた実施内容(監査内容、対象範囲、実施者等)に基づく 情報システム監査を受注者は受け入れること。(農林水産省が別途選定した事業者 による監査を含む)。 また、情報システム監査で問題点の指摘又は改善案の提示を受けた場合には、対 応案を担当部署と協議し、指示された期間までに是正を図ること。
11 その他 (1) 本仕様書に掲載なき事項でも、本業務に必要な事項については、担当部署と協議 の上で行うとともに、本業務の遂行に当たって疑義等が生じた場合は、速やかに担 当部署と協議すること。 (2) 本業務に使用する言語は日本語、数字は算用数字、単位はメートル法とする。 (3) 「政府情報システムの整備及び管理に関するガイドライン」(平成 26 年 12 月3 日各府省情報化統括責任者(CIO)連絡会議決定)に基づき、ODB を整備するために ODB 登録用シートの契約金額内訳、運用及び保守等に係る項目を作成し、7(1)図3 の納入期限までに担当部署へ提出すること。
農林水産省 システム管理者(担当部署・運用保守業者) IE 11 or FireFox クライアント プログラム Excel 2010 政府共通PF 統計 検索 ランキング 利用する政府共通PFサービス ・仮想サーバ作成 ・サーバウイルス対策 ・IPアドレス付与 ・時刻同期 ・リモート接続 ・サーバ起動・停止・再起動 ・ファイアウォール機能 ・ログ抽出 ・WAF機能 ・障害対応 ・侵入検知・防止 ・ポータルサイトによる情報提供 ・パッチ情報提供 ・バックアップ機能 ・監視機能 ・改ざん検知機能 物理クライアントPC 物理クライアントPC FW ゲートウェイ サーバ WAF Apache HTTP Server PHP Windows Server 2012 R2 仮想サーバ(PF-Lite)
「わがマチ・わがムラ情報提供システム」システム概要図
トップ 検索 サーバ プログラム Postgre SQL市町村の姿
農村地域の姿
IIS .NET Framework 3.5.1 システム利用者(国民) Windows7 インターネット 政府共通ネットワーク MDB MDB運用・保守作業の対象範囲
ミドルウェア (提供資源) OS (提供資源) 仮想サーバ (提供資源)(注) 施設・設備 ネットワーク 業務アプリケーション ミドルウェア (持ち込み) シ ス テ ム 側 が 行 う 作 業 の 基 本 的 な 範 囲 政 府 共 通 P F が 行 う 作 業 の 基 本 的 な 範 囲 【凡例】 :作業対象範囲の責任分界点 :政府共通PFの責任範囲ではあるが、システム側の責任の下で一部作業が 発生する範囲 (注)提供資源の仮想サーバについては、システム側で起動・停止等を行う。 提供資源:政府共通PFがシステムに提供する資源 持ち込み:システム側が政府共通PFに自ら持ち込む資源項番 サイクル 概要 1 バックアップ系 データバックアップ - データ更新前にすべてのデータのバックアップを取得する。 2 ウイルス対策ソフトウェ アのパターンファイル取 得 随時 ウイルス対策ソフトウェアのパターンファイルを更新する。 3 ウイルス対策ソフトウェ アのエンジンのバージョ ンアップ 随時 ウイルス対策ソフトウェアのエンジン部分をバージョンアップする。 4 ウィルス検知 随時 ウイルス対策ソフトウェアを用いてウイルスを検知する。 5 サーバ等監視 随時 死活監視(機能停止・ネットワーク)について、24時 間、365日監視し、異常を把握したときは速やかに 担当部署に連絡する。 6 サ-バ稼働管理 随時 サーバ、データベース、各種アプリケーションのパフォーマンスを管理する。 7 ログ確認 毎週1回 毎週1回以上ログの確認を行い、仮想サーバ稼働の異常を早期発見する。 8 監視抑止・開始 随時 システム停止を伴うメンテナンスを実施する場合 は、監視を抑止する。メンテナンス完了後は監視を 開始する。 9 運用系 ヘルプデスク設置 随時 担当部署からの問い合わせの対応を行う。 10 システム停止・起動 随時 政府共通PFからシステム停止を依頼された場合 やシステム保守時における、システムの計画停止 及び起動を行う。 11 政府共通PF提供資源へのパッチ適用 月次 政府共通PFから月次で提供されるパッチ情報を確 認し、政府共通PF提供資源への適用の検討及び 検討結果を受けたパッチの適用を行う。 システムの動作に影響がある場合は、担当部署と 協議して対応する。 12 政府共通PF提供資源以 外のソフトウェアへの パッチ適用 月次 システムにおいて利用している全てのソフトウェア について最新のパッチ情報を入手し、適用の検討 及び検討結果を受けたパッチの適用を行う。 システムの動作に影響がある場合は、担当部署と 協議して対応する。 13 ソフトウェアのサポート期限等に関する情報収集 月次 システムにおいて利用している全てのソフトウェア について、種類、バージョン、サポート期限等に関 する最新の情報を入手し、担当部署に提供する。 14 政府共通PFから依頼される各種作業対応 随時 政府共通PFから作業依頼があった場合には、必要な対応を行う。 15 アプリケーション障害対 応 - アプリケーションの障害発生時には、早期に復旧 及び原因究明を行う。 16 システムに対する不正な攻撃への対応 随時 外部からの不正攻撃を監視し、不正攻撃の検知 及び不正攻撃の疑いがある事象を検知した場合、 速やかに担当部署に連絡する。
保守作業の内容
その他 作業項目 ウイルス対策 システム監視系 保守系設 計 改修・テスト システムの導入 動作確認 進歩状況等の 報告 本業務の進捗状況、作業内容及び作業結果については、適切な頻度で報告 し、担当部署の確認を得ること。 なお、進捗状況等に応じ、担当部署から指示がある場合は、その指示によるも のとする。
脆弱性改修に関する留意事項
作業工程 留意事項 脆弱性改修に伴う プログラム修正について 現行のシステム構成及びプログラム構造等を十分に理解し、改修箇所以外の 動作に影響を与えないようにすること、並びに改修によってデグレード等が発生し ないようにすること。 なお、本システムのプログラムには、Web上で動作するもののほか、クライアント 上、サーバ上で動作するものが存在するため、各々の関連に十分に注意し、シス テム全体において現行と同様の動作が可能となるよう改修すること。 また、現行稼働環境にシステムを導入する際は、政府共通PFの利用方法を十 分に理解し、適切に作業を実施すること。 ①受注者の責任及び費用負担において、改修作業に必要な現行システムと同様 の作業環境を構築すること。 ②ウェブサイト診断結果報告書に記載された内容により、脆弱性を確認するこ と。脆弱性の確認は現行システムと上記①で構築した作業環境の両方で実施す ること。 本脆弱性改修に必要な変更を反映した上で、システム方式設計、基本設計、詳 細設計及びテスト計画(テスト方針、合否判定基準、スケジュール、テスト項目、 作業推進体制、報告計画、課題・障害管理方法、データ保護・管理、テスト環境、 テスト方法及びテストデータ)を提案、実施すること。 なお、システムを稼動させる上での不足や不備がある場合はこれを報告し、担 当部署と協議すること。ここでいう不足や不備とは、必要とされる要件を満たすこ とが困難な場合等を指す。 ①受注者は、上記の設計に基づき改修を行うこと。 また、改修箇所については単体テストを実施し、改修箇所に不備がないことを 十分に確認すること。 ②単体テスト終了後、結合テストを実施し改修箇所が適切に動作すること、並び に既存機能が適切に動作することを十分に確認すること。 また、結合テスト結果を取りまとめ、担当部署に報告の上、現行稼働環境への システムの導入の承認を得ること。 本業務により改修したシステムを現行稼働環境へ導入すること。 なお、システムの導入作業は、受注者環境からファイアウォールを通じたリモー ト接続により政府共通PF上の稼働環境に接続して行うこととする。 システムの導入後、速やかに動作確認を実施し改修したプログラムが稼働環境 上にて正常に動作することを確認すること。情報セキュリティの確保に関する共通基本仕様 Ⅰ 情報セキュリティポリシーの遵守 1 受託者は、担当部署から農林水産省における情報セキュリティの確保に関する規則(平成 27 年農林水産省訓令第4号。以下「規則」という。)等の説明を受けるとともに、本業務に係 る情報セキュリティ要件を遵守すること。 なお、規則は、政府機関等の情報セキュリティ対策のための統一基準群(以下「統一基準 群」という。)に準拠することとされていることから、受託者は、統一基準群の改定を踏まえて 規則が改正された場合には、本業務に関する影響分析を行うこと。 2 受託者は、規則と同等の情報セキュリティ管理体制を整備していること。 3 受託者は、本業務の従事者に対して、規則と同等の情報セキュリティ対策の教育を実施し ていること。 Ⅱ 受託者及び業務実施体制に関する情報の提供 1 受託者は、受託者の資本関係・役員等の情報、本業務の実施場所、本業務の従事者(契 約社員、派遣社員等の雇用形態は問わず、本業務に従事する全ての要員)の所属・専門性 (保有資格、研修受講実績等)・実績(業務実績、経験年数等)及び国籍に関する情報を記 載した資料を提出すること。 なお、本業務に従事する全ての要員に関する情報を記載することが困難な場合は、本業 務に従事する主要な要員に関する情報を記載するとともに、本業務に従事する部門等にお ける従事者に関する情報(○○国籍の者が△名(又は□%)等)を記載すること。また、この 場合であっても、担当部署からの要求に応じて、可能な限り要員に関する情報を提供するこ と。 2 受託者は、本業務を実施する部署、体制等の情報セキュリティ水準を証明する以下のいず れかの証明書等の写しを提出すること。 (1)ISO/IEC27001 等の国際規格とそれに基づく認証の証明書等 (2)プライバシーマーク又はそれと同等の認証の証明書等 (3)IPA が公開する自己診断ツール(情報セキュリティ対策ベンチマーク)等、情報セキュリティ ガバナンスの確立促進のために開発された自己評価の結果 (4)MS 認証信頼性向上イニシアティブに参画し、不祥事への対応や透明性確保に係る取組 を実施している実績 Ⅲ 業務の実施における情報セキュリティの確保 1 受託者は、本業務の実施に当たって、以下の措置を講じること。また、以下の措置を講じる ことを証明する資料を提出すること。 (1)本業務上知り得た情報(公知の情報を除く。)については、契約期間中はもとより契約終了
後においても第三者に開示及び本業務以外の目的で利用しないこと。 (2)本業務に従事した要員が異動、退職等をした後においても有効な守秘義務契約を締結す ること。 (3)本業務の各工程において、農林水産省の意図しない変更や機密情報の窃取等が行われ ないことを保証する管理が、一貫した品質保証体制の下でなされていること(例えば、品 質保証体制の責任者や各担当者がアクセス可能な範囲等を示した管理体制図、第三者 機関による品質保証体制を証明する書類等を提出すること。)。 (4)本業務において、農林水産省の意図しない変更が行われるなどの不正が見つかったとき に、追跡調査や立入調査等、農林水産省と連携して原因を調査し、排除するための手順 及び体制(例えば、システムの操作ログや作業履歴等を記録し、担当部署から要求され た場合には提出するなど)を整備していること。 (5)本業務において、個人情報又は農林水産省における要機密情報を取り扱う場合は、当該 情報(複製を含む。以下同じ。)を国内において取り扱うものとし、当該情報の国外への送 信・保存や当該情報への国外からのアクセスを行わないこと。 (6)本業務における情報セキュリティ対策の履行状況を定期的に報告すること。 (7)農林水産省が情報セキュリティ監査の実施を必要と判断した場合は、農林水産省又は農 林水産省が選定した事業者による立入調査等の情報セキュリティ監査(サイバーセキュリ ティ基本法(平成 26 年法律第 104 号)第 25 条第1項第2号に基づく監査等を含む。以下 同じ。)を受け入れること。また、担当部署からの要求があった場合は、受託者が自ら実 施した内部監査及び外部監査の結果を報告すること。 (8)本業務において、要安定情報を取り扱うなど、担当部署が可用性を確保する必要がある と認めた場合は、サービスレベルの保証を行うこと。 (9)本業務において、第三者に情報が漏えいするなどの情報セキュリティインシデントが発生 した場合は、担当部署に対し、速やかに電話、口頭等で報告するとともに、報告書を提出 すること。また、農林水産省の指示に従い、事態の収拾、被害の拡大防止、復旧、再発 防止等に全力を挙げること。なお、これらに要する費用の全ては受託者が負担すること。 (10)情報セキュリティ対策の履行が不十分な場合、農林水産省と協議の上、必要な改善策を 立案し、速やかに実施するなど、適切に対処すること。 2 受託者は、私物(本業務の従事者個人の所有物等、受託者管理外のものをいう。)の機器 等を本業務に用いないこと。 3 受託者は、成果物等を電磁的記録媒体により納品する場合には、不正プログラム対策ソフ トウェアによる確認を行うなどして、成果物に不正プログラムが混入することのないよう、適 切に対処するとともに、確認結果(確認日時、不正プログラム対策ソフトウェアの製品名、定 義ファイルのバージョン等)を成果物等に記載又は添付すること。 4 受託者は、本業務において取り扱われた情報を、担当部署の指示に従い、本業務上不要 となったとき若しくは本業務の終了までに返却又は復元できないよう抹消し、その結果を担
当部署に書面で報告すること。 Ⅳ 情報システムの各工程における情報セキュリティの確保 1 受託者は、本業務において情報システムの運用管理機能又は設計・開発に係る企画・要 件定義を行う場合には、以下の措置を実施すること。 (1)情報システム運用時のセキュリティ監視等の運用管理機能を明確化し、本業務の成果物 へ適切に反映するために、以下を含む措置を実施すること。 ア 情報システム運用時に情報セキュリティ確保のために必要となる管理機能を本業務 の成果物に明記すること。 イ 情報セキュリティインシデントの発生を監視する必要がある場合、監視のために必要 な機能について、以下を例とする機能を本業務の成果物に明記すること。 (ア)農林水産省外と通信回線で接続している箇所における外部からの不正アクセスを監 視する機能 (イ)不正プログラム感染や踏み台に利用されること等による農林水産省外への不正な通 信を監視する機能 (ウ)農林水産省内通信回線への端末の接続を監視する機能 (エ)端末への外部電磁的記録媒体の挿入を監視する機能 (オ)サーバ装置等の機器の動作を監視する機能 (2)開発する情報システムに関連する脆(ぜい)弱性への対策が実施されるよう、以下を含む 対策を本業務の成果物に明記すること。 ア 既知の脆(ぜい)弱性が存在するソフトウェアや機能モジュールを情報システムの構 成要素としないこと。 イ 開発時に情報システムに脆(ぜい)弱性が混入されることを防ぐためのセキュリティ実 装方針を定めること。 ウ セキュリティ侵害につながる脆(ぜい)弱性が情報システムに存在することが発覚した 場合に修正が施されること。 エ ソフトウェアのサポート期間又はサポート打ち切り計画に関する情報を提供すること。 2 受託者は、本業務において情報システムの設計・開発を行う場合には、以下の事項を含む 措置を適切に実施すること。 (1)情報システムのセキュリティ要件の適切な実装 (2)情報セキュリティの観点に基づく試験の実施 ア ソフトウェアの開発及び試験を行う場合は、運用中の情報システムと分離して実施す ること。 イ 試験項目及び試験方法を定め、これに基づいて試験を実施すること。 ウ 試験の実施記録を作成し保存すること。 (3)情報システムの開発環境及び開発工程における情報セキュリティ対策
ア ソースコードが不正に変更されることを防止するため、ソースコードの変更管理、アク セス制御及びバックアップの取得について適切に管理すること。 イ 調達仕様書等に規定されたセキュリティ実装方針に従うこと。 ウ セキュリティ機能の適切な実装、セキュリティ実装方針に従った実装が行われている ことを確認するために、情報システムの設計及びソースコードを精査する範囲及び方 法を定め実施すること。 エ オフショア開発を実施する場合、試験データとして実データを使用しないこと。 3 受託者は、情報セキュリティの観点から調達仕様書で求める要件以外に必要となる措置が ある場合には、担当部署に報告し、協議の上、対策を講ずること。 4 受託者は、本業務において情報システムの運用・保守を行う場合には、情報システムに実 装されたセキュリティ機能が適切に運用されるよう、以下の事項を適切に実施すること。 (1)情報システムの運用環境に課せられるべき条件の整備 (2)情報システムのセキュリティ監視を行う場合の監視手順や連絡方法 (3)情報システムの保守における情報セキュリティ対策 (4)運用中の情報システムに脆(ぜい)弱性が存在することが判明した場合の情報セキュリテ ィ対策 (5)利用するソフトウェアのサポート期限等の定期的な情報収集及び報告 (6)政府情報システム管理データベース(以下「ODB」という。)の登録対象となる情報システ ムについては、「デジタル・ガバメント推進標準ガイドライン」(平成 30 年3月 30 日各府省 情報化統括責任者(CIO)連絡会議決定)の別紙3に基づくODBに情報を登録又は更新す るために必要な事項を記載したODB登録用シートの提出 (7)情報システムの利用者に使用を求めるソフトウェアのバージョンのサポート終了時におけ る、サポート継続中のバージョンでの動作検証及び当該バージョンで正常に動作させるた めの情報システムの改修等 5 受託者は、本業務において情報システムの運用・保守を行う場合には、運用保守段階へ 移行する前に、移行手順及び移行環境に関して、以下を含む情報セキュリティ対策を行うこ と。 (1)情報セキュリティに関わる運用保守体制の整備 (2)運用保守要員へのセキュリティ機能の利用方法等に関わる教育の実施 (3)情報セキュリティインシデント(可能性がある事象を含む。以下同じ。)を認知した際の対処 方法の確立 6 受託者は、本業務において情報システムのセキュリティ監視を行う場合には、以下の内容 を含む監視手順を定め、適切に監視運用すること。 (1)監視するイベントの種類 (2)監視体制 (3)監視状況の報告手順
(4)情報セキュリティインシデントの可能性がある事象を認知した場合の報告手順 (5)監視運用における情報の取扱い(機密性の確保) 7 受託者は、本業務において運用中の情報システムに脆(ぜい)弱性が存在することを発見 した場合には、速やかに担当部署に報告し、本業務における運用・保守要件に従って脆(ぜ い)弱性の対策を行うこと。 8 受託者は、本業務において本業務の調達範囲外の情報システムを基盤とした情報システ ムを運用する場合は、運用管理する府省庁等との責任分界に応じた運用管理体制の下、 基盤となる情報システムの運用管理規程等に従い、基盤全体の情報セキュリティ水準を低 下させることのないよう、適切に情報システムを運用すること。 9 受託者は、本業務において情報システムの運用・保守を行う場合には、不正な行為及び意 図しない情報システムへのアクセス等の事象が発生した際に追跡できるように、運用・保守 に係る作業についての記録を管理すること。 10 受託者は、本業務において情報システムの更改又は廃棄を行う場合には、当該情報シス テムに保存されている情報について、以下の措置を適切に講ずること。 (1)情報システム更改時の情報の移行作業における情報セキュリティ対策 (2)情報システム廃棄時の不要な情報の抹消 Ⅴ クラウドサービスに関する情報セキュリティの確保 受託者は、本業務において、クラウドサービスを活用する場合には、以下の措置を講じること。 また、当該クラウドサービスの活用が本業務の再委託に該当する場合は、当該クラウドサービ スに対して、Ⅷの措置を講じること。 1 ISO/IEC27001 又はそれに基づく認証を取得しているクラウドサービスを採用すること。また、 当該認証の証明書等の写しを提出すること。 2 クラウドサービスの情報セキュリティ水準を証明する以下のいずれかの証明書等の写しを 提出すること。 (1)ISO/IEC 27017 又は ISMS クラウドセキュリティ認証制度に基づく認証
(2)セキュリティに係る内部統制の保証報告書(SOC 報告書(Service Organization Control Report)) (3)情報セキュリティ監査により対策の有効性が適切であることを証明する報告書(クラウド情 報セキュリティ監査制度に基づく CS マークが付された CS 言明書等) 3 クラウドサービスにおいて個人情報又は農林水産省における要機密情報が取り扱われる 場合には、当該クラウドサービスのデータセンター(バックアップセンターを含む。)は国内に 限ること。 4 クラウドサービスの廃止、サービス内容の変更等に伴い契約を終了する場合は、他のクラ ウドサービス等に円滑に移行できるよう、十分な期間をもって事前(サービス廃止等の1年 以上前が望ましい。)に担当部署へ通知すること。
5 クラウドサービスの契約を終了する場合、クラウドサービス上に保存された農林水産省の データについて、汎用性のあるデータ形式に変換して提供するとともに、クラウドサービス上 において復元できないよう抹消し、その結果を担当部署に書面で報告すること。 6 クラウドサービスに係るアクセスログ等の証跡を保存し、担当部署からの要求があった場 合は提供すること。なお、証跡は1年間以上保存することが望ましい。 7 インターネット回線とクラウド基盤との接続点の通信を監視すること。 8 クラウドサービスに係る業務の一部がクラウドサービス事業者以外の事業者に外部委託さ れている場合は、当該クラウドサービス事業者以外の事業者にⅧの措置を講ずること。 9 クラウドサービスにおける脆(ぜい)弱性対策の実施内容を担当部署が確認できること。 10 クラウドサービスの可用性を保証するための十分な冗長性、障害時の円滑な切替等の対 策が講じられていること。また、クラウドサービスに障害が発生した場合の復旧時点目標 (RPO)等の指標を提示すること。 なお、農林水産省の要安定情報を取り扱う場合は、データセンターを地理的に離れた複数 の地域に設置するなどの災害対策が講じられていること。 11 クラウドサービス上で取り扱う情報について、機密性及び完全性を確保するためのアクセ ス制御、暗号化及び暗号鍵の保護並びに管理を確実に行うこと。 12 クラウドサービスの利用者が、自らの意思によりクラウドサービス上で取り扱う情報を確実 に抹消できること。 13 本業務において、農林水産省に開示することとしているクラウドサービスに係る情報につ いて、業務開始時に開示項目や範囲を明記した資料を提出すること。 14 農林水産省に対して、クラウドサービスに係る機密性の高い情報を開示する場合は、農林 水産省において、当該情報を審査又は本業務以外の目的で利用しないよう適切に取り扱う ため、必要に応じて当該情報に取扱制限を明記するなどの措置を講じること。 Ⅵ 機器等に関する情報セキュリティの確保 受託者は、本業務において、農林水産省にサーバ装置、端末、通信回線装置、複合機、特 定用途機器、外部電磁的記録媒体、ソフトウェア等(以下「機器等」という。)を納品、賃貸借等 をする場合には、以下の措置を講じること。 1 納入する機器等の製造工程において、農林水産省が意図しない変更が加えられないよう 適切な措置がとられており、当該措置を継続的に実施していること。また、当該措置の実施 状況を証明する資料を提出すること。 2 機器等に対して不正な変更があった場合に識別できる構成管理体制を確立していること。 また、不正な変更が発見された場合に、農林水産省と受託者が連携して原因を調査・排除 できる体制を整備していること。 3 機器等の設置時や保守時に、情報セキュリティの確保に必要なサポートを行うこと。 4 利用マニュアル・ガイダンスが適切に整備された機器等を採用すること。
5 脆(ぜい)弱性検査等のテストが実施されている機器等を採用し、そのテストの結果が確認 できること。 6 ISO/IEC 15408 に基づく認証を取得している機器等を採用することが望ましい。なお、当該 認証を取得している場合は、証明書等の写しを提出すること。 7 情報システムを構成するソフトウェアについては、運用中にサポートが終了しないよう、サ ポート期間が十分に確保されたものを選定し、可能な限り最新版を採用するとともに、ソフト ウェアの種類、バージョン及びサポート期限について報告すること。なお、サポート期限が事 前に公表されていない場合は、情報システムのライフサイクルを踏まえ、販売からの経過年 数や後継ソフトウェアの有無等を考慮して選定すること。 8 機器等の納品時に、以下の事項を書面で報告すること。 (1)調達仕様書に指定されているセキュリティ要件の実装状況(セキュリティ要件に係る試験 の実施手順及び結果) (2)機器等に不正プログラムが混入していないこと(最新の定義ファイル等を適用した不正プ ログラム対策ソフトウェア等によるスキャン結果、内部監査等により不正な変更が加えら れていないことを確認した結果等) Ⅶ 管轄裁判所及び準拠法 1 本業務に係る全ての契約(クラウドサービスを含む。以下同じ。)に関して訴訟の必要が生 じた場合の管轄裁判所は、国内の裁判所とすること。 2 本業務に係る全ての契約の成立、効力、履行及び解釈に関する準拠法は、日本法とする こと。 Ⅷ 業務の再委託における情報セキュリティの確保 1 受託者は、本業務の一部を再委託(再委託先の事業者が受託した事業の一部を別の事業 者に委託する再々委託等、多段階の委託を含む。以下同じ。)する場合には、受託者が上 記Ⅱの1、Ⅱの2及びⅢの1において提出することとしている資料等と同等の再委託先に関 する資料等並びに再委託対象とする業務の範囲及び再委託の必要性を記載した申請書を 提出し、農林水産省の許可を得ること。 2 受託者は、本業務に係る再委託先の行為について全責任を負うものとする。また、再委託 先に対して、受託者と同等の義務を負わせるものとし、再委託先との契約においてその旨を 定めること。なお、情報セキュリティ監査については、受託者による再委託先への監査のほ か、農林水産省又は農林水産省が選定した事業者による再委託先への立入調査等の監査 を受け入れるものとすること。 3 受託者は、担当部署からの要求があった場合は、再委託先における情報セキュリティ対策 の履行状況を報告すること。
Ⅸ 資料等の提出 上記Ⅱの1、Ⅱの2、Ⅲの1、Ⅴの1、Ⅴの2、Ⅵの1及びⅥの6において提出することとして いる資料等については、最低価格落札方式にあっては入札公告及び入札説明書に定める証 明書等の提出場所及び提出期限に従って提出し、総合評価落札方式にあっては提案書等の 総合評価のための書類に添付して提出すること。 Ⅹ 変更手続 受託者は、上記Ⅱ、Ⅲ、Ⅴ、Ⅵ及びⅧに関して、農林水産省に提示した内容を変更しようと する場合には、変更する事項、理由等を記載した申請書を提出し、農林水産省の許可を得る こと。
平成×年×月×日 農林水産省大臣官房統計部 御中 住所 ○○○○○○○○○ 株式会社○○○○○○○○○ 情報セキュリティ管理責任者 ○○○○
情報セキュリティ対応状況・確認書
下記調達に関して情報セキュリティの確保に関する共通基本仕様に基づき、当社の情報セキュリテ ィ対応状況について以下のとおり回答させていただきます。 調達件名:○○○○業務 1. 受託者及び業務実施体制に関する情報の提供について No 情報提供依頼事項 情報の提供に 応じる 備考 1 受託者は、受託者の資本関係・役員等の情報、本業務の実施場所、 本業務の従事者(契約社員、派遣社員等の雇用形態は問わず、本 業務に従事する全ての要員)の所属・専門性(保有資格、研修受 講実績等)・実績(業務実績、経験年数等)及び国籍に関する情報 を記載した資料を提出すること。 なお、本業務に従事する全ての要員に関する情報を記載すること が困難な場合は、本業務に従事する主要な要員に関する情報を記 載するとともに、本業務に従事する部門等における従事者に関す る情報(○○国籍の者が△名(又は□%)等)を記載すること。 また、この場合であっても、担当部署からの要求に応じて、可能 な限り要員に関する情報を提供すること。 はい ☐ いいえ ☐ 提出資料有 2 受託者は、本業務を実施する部署、体制等の情報セキュリティ水 準を証明する以下のいずれかの証明書等の写しを提出すること。 (1)ISO/IEC27001 等の国際規格とそれに基づく認証の証明書等 (2)プライバシーマーク又はそれと同等の認証の証明書等 (3)IPA が公開する自己診断ツール(情報セキュリティ対策ベン チマーク)等、情報セキュリティガバナンスの確立促進のため に開発された自己評価の結果 (4)MS 認証信頼性向上イニシアティブに参画し、不祥事への対 応や透明性確保に係る取組を実施している実績 はい ☐ いいえ ☐ 提出資料有No チェック事項 チェック事項の 措置を講じる 備考 1 本業務上知り得た情報(公知の情報を除く。)については、契約期 間中はもとより契約終了後においても第三者に開示及び本業務以 外の目的で利用しないこと。 はい ☐ いいえ ☐ 2 本業務に従事した要員が異動、退職等をした後においても有効な 守秘義務契約を締結すること。 はい ☐ いいえ ☐ 3 本業務の各工程において、農林水産省の意図しない変更や機密情 報の窃取等が行われないことを保証する管理が、一貫した品質保 証体制の下でなされていること(例えば、品質保証体制の責任者 や各担当者がアクセス可能な範囲等を示した管理体制図、第三者 機関による品質保証体制を証明する書類等を提出すること。)。 はい ☐ いいえ ☐ 提出資料有 4 本業務において、農林水産省の意図しない変更が行われるなどの 不正が見つかったときに、追跡調査や立入調査等、農林水産省と 連携して原因を調査し、排除するための手順及び体制(例えば、 システムの操作ログや作業履歴等を記録し、担当部署から要求さ れた場合には提出するなど)を整備していること。 はい ☐ いいえ ☐ 5 本業務において、個人情報又は農林水産省における要機密情報を 取り扱う場合は、当該情報(複製を含む。以下同じ。)を国内にお いて取り扱うものとし、当該情報の国外への送信・保存や当該情 報への国外からのアクセスを行わないこと。 はい ☐ いいえ ☐ 6 本業務における情報セキュリティ対策の履行状況を定期的に報告 すること。 はい ☐ いいえ ☐ 7 農林水産省が情報セキュリティ監査の実施を必要と判断した場合 は、農林水産省又は農林水産省が選定した事業者による立入調査 等の情報セキュリティ監査(サイバーセキュリティ基本法(平成 26 年法律第 104 号)第 25 条第1項第2号に基づく監査等を含む。 以下同じ。)を受け入れること。また、担当部署からの要求があっ た場合は、受託者が自ら実施した内部監査及び外部監査の結果を 報告すること。 はい ☐ いいえ ☐ 8 本業務において、要安定情報を取り扱うなど、担当部署が可用性 を確保する必要があると認めた場合は、サービスレベルの保証を 行うこと。 はい ☐ いいえ ☐ 9 本業務において、第三者に情報が漏えいするなどの情報セキュリ ティインシデントが発生した場合は、担当部署に対し、速やかに 電話、口頭等で報告するとともに、報告書を提出すること。また、 農林水産省の指示に従い、事態の収拾、被害の拡大防止、復旧、 再発防止等に全力を挙げること。なお、これらに要する費用の全 ては受託者が負担すること。 はい ☐ いいえ ☐ 10 情報セキュリティ対策の履行が不十分な場合、農林水産省と協議 の上、必要な改善策を立案し、速やかに実施するなど、適切に対 処すること。 はい ☐ いいえ ☐
