(別紙) 評価項目一覧 入札件名:「情報資産のリスクアセスメント」 必須=必須要件事項 一覧作成 : 独立行政法人情報処理推進機構 加点=提案要求事項(任意) 提案者 : 入札者記入欄 大 項 目 中 項 目 小 項 目 評価項目 加点部分の配点基準 満点 部分点 評価項目に示す内容につ 評価項目に示す内容につ いて、すべて具体的に説 いて、必要な説明がされ 必須要件 提案書 提案書 明されており、また、その ているが、具体的な説明 (○) 該当ページ 該当項番 内容に矛盾がない。 に欠ける部分がある。 加点無し 評価項目に示す内容につ いての説明がない。又 は、説明はあるが、内容 が不適切(不正、不十分、 不整合等)である。 評価区分 配点 加点 1 - 1 - 0 仕様書に示されている本調達の背景や位置付け等を 理解し、本調達における作業範囲とその評価方法等 1.1.2 具体的な実施基準案が示されているか。 加点 1 - 1 - 0 ステークホルダーを正確に把握し、本件の円滑な遂 行を実現するためのコミュニケーション計画が具体的 1.1.3 に示されているか。 加点 1 - 1 - 0 加点 3 - 3 1 0 加点 3 - 3 1 0 加点 3 - 3 1 0 加点 10 - 10 5 0 加点 1 - 1 - 0 加点 6 - 6 3 0 必須 10 加点 6 - 6 3 0 加点 3 - 3 1 0 必須 1 必須 3 加点 1 - 1 - 0 加点 3 - 3 1 0 必須 10 加点 10 - 10 5 0 1.全体方針 1.1 実施計画の策定 要件に照らしてもれがなく、実施スケジュールにおい て実現可能な内容が具体的に示されていて、有効な 1.1.1 リスクアセスメント結果を得られる計画案が示されて いるか。 2.リスク評価プロセスの実施方策 2.1 適用範囲 リスクアセスメントの適切な適用範囲及び境界を特定 する合理的かつ社会的に説明責任が満たせる条件 2.1.1 が具体的に示されているか。 2.2 リスク評価手法 リスク評価プロセスへのアプローチ手法が詳細に明 2.2.1 示されているか。また、その手法が、具体的かつ実現 可能であるか。 2.3 リスク分析 定性的リスク分析を行うための尺度や適用範囲が、 具体的に示されているか。定量的リスク分析を行う際 2.3.1 に利用する情報源が具体的に示されているか。 2.4 リスク評価 定量的な被害予測を行う算出方法が、具体的に示さ 2.4.1 れているか。また、算出方法の採択理由が適切でか つ信頼性が高いものであるか。 3.リスク対応活動プロセスの実施方策 3.1 リスク対応手法 リスク対応活動プロセスへのアプローチ手法が詳細 3.1.1 に明示されているか。また、その手法が、具体的かつ 実現可能であるか。 インシデントシナリオから、監視強化が必要なリスクに 対応するインシデント経路を特定すべき情報源や手 3.1.2 法が示されているか。 3.2 監視・制御設計 現行のSIEMに対する相関分析ルールの設計や設定 3.2.1 方法に関する詳細かつ具体的な手順が示されている か。 FW、IPS、SIEM等のセキュリティ対策機器間で連携を 行う際の適切な留意事項等が記述されているか。ま 3.2.2 た、自動遮断を適用した際の有効性および留意事項 が具体的に示されているか。 3.3 システム環境整備 セキュリティ対策機器、クラウド基盤および仮想化基 盤技術に関して幅広く基本的な知識を保有し、インシ 3.3.1 デント別の対策やシステム適正配置まで方法が示さ れているか。 4.リスクマネジメント国際基準類への理解 4.1 ISO/IEC27005 「ISO/IEC 27005 情報技術 -セキュリティ技術- 情報 セキュリティリスクマネジメント」へ厳密に遵守した作 4.1.1 業アプローチを示されているか(自社独自の作業アプ ローチの場合、失格とする)。 「ISO/IEC 27005 情報技術 -セキュリティ技術- 情報 セキュリティリスクマネジメント」を活用したリスクマネ 4.1.2 ジメントシステム構築のケーススタディ、実践的運用 を通した効果的なリスクマネジメントを実施するため のノウハウが示されているか。 4.2 その他国際基準類 国内外のリスクマネジメント国際基準類への理解が 4.2.1 示されているか。 国際基準類の活用したリスクマネジメントシステム構 築のケーススタディ、実践的運用を通した効果的なリ 4.2.2 スクマネジメントを実施するためのノウハウが示され ているか。 5.独立行政法人をとりまく環境への理解 5.1 法律 「独立行政法人通則法」および「独立行政法人通則法 5.1.1 の一部を改正する法律(通則法改正法案)」について の理解が示されているか。 5.2 環境及び動向 独立行政法人をとりまく環境や通則法改正法案への 対応に向けた独立行政法人の動向についての知見 5.2.1 が示されているか。また、内部統制との関係性への理 解が示されているか。 1/2 入札者記入欄 大 項 目 中 項 目 小 項 目 評価項目 加点部分の配点基準 満点 部分点 評価項目に示す内容につ 評価項目に示す内容につ いて、すべて具体的に説 いて、必要な説明がされ 必須要件 提案書 提案書 明されており、また、その ているが、具体的な説明 (○) 該当ページ 該当項番 内容に矛盾がない。 に欠ける部分がある。 加点無し 評価項目に示す内容につ いての説明がない。又 は、説明はあるが、内容 が不適切(不正、不十分、 不整合等)である。 評価区分 配点 必須 1 加点 3 - 3 1 0 加点 10 - 10 5 0 必須 3 必須 1 加点 2 - 2 1 0 必須 1 加点 1 - 1 - 0 必須 1 必須 1 6.作業の体制及び管理(プロジェクト計画案) 6.1 実施体制 プロジェクトメンバーの役割、責任は明記されている か。 6.1.1 プロジェクト管理者およびプロジェクトメンバーは、仕 様書に記載されている資格を有しているか。 プロジェクトメンバーは、本件と同等規模のリスクアセ スメントをどれくらい実施した経験があるか。 「ISO/IEC 27005 情報技術 -セキュリティ技術- 情報 セキュリティリスクマネジメント」を順守したプロジェクト 6.1.2 の実績を有しているか。 プロジェクト経験については、成功したプロジェクトの みが記述されているか。また、その際プロジェクト事例 等の成功を証明する資料が添付されているか。 6.1.3 工数や基準計画が経験による積み上げではなく、科 学的な見積法を活用した根拠の分析がされており、 必要となる体制が明示されているか。 リスクマネジメントに係る知見を有する人員が配置さ れているか。仕様書に記載のある「リスクマネジメント 国際標準類に深く精通しており、ISO/IEC27005に準 6.1.4 拠したリスクアセスメント業務の経験がある担当者を 配置すること。」を踏まえ、これら経験を具体的な案件 名とともに提案に明示できているか。 6.2 工程計画(資源・工数・要員などの計画を含む) WBS単位にスケジュールが作成されているか。 作業項目の順序や依存関係が設定されているか。 WBS単位で、作業者毎の単価、作業時間、タスク毎コ 6.2.1 ストが示されており、全ての計算が整合しているか(整 合していない場合、失格とする)。 単価は作業者の専門性別に適切な設定がされている か。 コスト全体に対する各WBSの配分は適切であり、ま 6.2.2 た、リスクに応じたリザーブを適切に見込んでいる か。 6.3 工程管理計画(WBSディクショナリ) WBSディクショナリの記述や工程毎コスト、OBS、マイ 6.3.1 ルストーンが設定されているか。 ワークパッケージ毎にリスクが特定されているか。 6.4 品質保証計画 ドキュメント作成基準について、様式、書き方などの 考え方が示されているか。当該基準は自社において 全社的(あるいはそれに匹敵する規模の組織、例え 6.4.1 ば事業所、事業部などにおける)基準に基づくなど、 統一的なものか。 6.5 セキュリティ計画 組織として、仕様書に記載されている資格を有してい るか。 6.5.1 セキュリティ管理者は仕様書に記載されている資格を 有しているか。 本プロジェクト実施における情報セキュリティ対策が 6.5.2 具体的に示されているか。 配点構成 基礎点: 全ての必須要件に対し「○」が記入されており、かつ全ての必須要件事項に対し合格している場合に与えられる。(32点) 加 点: 評価基準に照らして評価し、加点する。(満点:68点) 内訳: 各項目について、配点に示す点数を最高点として、定められた点数を加算する。 合計点: 基礎点(32点) + 加点(満点:68点) = 合計点(満点:100点) 2/2
© Copyright 2024 ExpyDoc