平成 28 年度和歌山県フォトライブラリー検査業務委託仕様書 1. 委託業務名 平成 28 年度和歌山県フォトライブラリー検査業務委託 2. 委託期間 平成 28 年 10 月 4 日から平成 28 年 10 月 31 日まで 3. 業務内容 県広報課が所管する写真貸出システム「和歌山県フォトライブラリー」について検査 する。 4. 仕様 (1) 診断対象ページ 診断を行うページは下記のとおり。 和歌山県フォトライブラリー http://www.pref.wakayama.lg.jp/photo/ (2) 納品物 a.セキュリティ診断実施計画書 b.セキュリティ診断報告書 納品物は書面及び電子媒体で納品すること。納品物について不備がある場合は県の 指示に従い、受託者が修正し、県の再検査を受けなければならない。 (3) 診断ツール 使用するツールについて、事前にセキュリティ診断実施計画書で提示し、県の了承 を得ること。また、当該ツールは下記条件を満たすこと。 a. 診断機器(PC 等)及び診断ツール・機器については、必要なライセンスも含め、 受託者にて実施時期までに準備すること。 b. 診断機器について、診断時点で最新のセキュリティパッチを適用すること。 c. 診断機器について、最新のウィルス対策が実施されていること。 d. 診断機器には認証機能を用いる等、情報漏洩対策を実施すること。 e. 診断ツールについて診断時点で、最新のパターンを適用すること。 f. 診断の際、サーバの運用停止を招かないこと。 (4) セキュリティ診断実施計画書の作成 診断の詳細については、セキュリティ診断実施計画書を作成して打ち合わせを実施 し県の承認を得ること。セキュリティ診断実施計画書には以下を記載すること。 a. タイムスケジュール b. 診断実施体制(責任者、担当者) c. 診断ツール、選定理由 d. 診断項目、診断手順 e. その他、診断実施に関する必要事項 (5) セキュリティ診断報告書の作成 セキュリティ診断を実施した後、2 週間以内に診断結果をもとにした「セキュリテ ィ診断報告書」を作成し提出すること。 レポート様式の書式について特に制限はない が、検出された結果について以下の点をまとめること。 a. 総合評価 b. 検出された脆弱性と危険度 c. それぞれのセキュリティホールに対する具体的かつ有効な対策方法 (6) 診断後のサポート セキュリティ診断報告書の内容に関して、納品後 6 か月は診断レポートに関する内 容の質問に応じること。なお、セキュリティホールと判断した根拠の開示や確認手法 の提示などを求められた場合にはこれに対応すること。 (7) 技術的要件 診断を実施するにあたり、以下の脆弱性については必ずテストすること。 ・XSS(クロスサイトスクリプティング) ・CSRF(クロスサイトリクエストフォージェリ) ・SQL インジェクション 5. その他 (1) 注意事項 作業に当たっては、作業の順序、方法、要員等委託作業に必要な事項について事前 に、及び作業途上で、県の担当者と十分な打合せを行って実施すること。 (2) 秘密の厳守 当委託業務にて知り得た情報については第三者に漏洩してはならない。 (3) 諸費用 本業務に関して、受託者側に発生した旅費・通信費・雑費のその他の費用は受託者 の負担とする。 (4) 再委託の禁止 受託者は、委託業務の全部又は一部の処理を第三者に委託し、又は請け負わせては ならない。ただし、あらかじめ県の書面による承諾を得た場合は、この限りでない。 (5) その他 本仕様書に記載なき事項あるいは疑義を生じた時は、両者協議の上、解決すること。
© Copyright 2024 ExpyDoc
