(別添2) 平成 28 年度 環境省システム監査業務 仕様書 環 境 省 目 次 第 1 章 総論 ............................................................ 1 1. 目的 ............................................................................................................................ 1 2. 背景 ............................................................................................................................ 1 3. 請負業務概要 ............................................................................................................ 1 4. 業務実施期間 ............................................................................................................ 2 5. 成果物 ........................................................................................................................ 2 6. 著作権等の扱い ........................................................................................................ 3 7. 情報セキュリティの確保 ........................................................................................ 3 8. その他 ........................................................................................................................ 4 第2章 業務内容 ........................................................ 5 1. プロジェクト管理 .................................................................................................... 5 2. 監査実施計画書の作成 ............................................................................................ 6 3. 予備調査の実施 ........................................................................................................ 7 4. 監査手続書の作成 .................................................................................................... 7 5. 監査実施通知書の作成 ............................................................................................ 8 6. 実地調査の実施 ........................................................................................................ 9 7. 監査調書の整理 ........................................................................................................ 9 8. 監査報告書及び監査報告書概要版の作成 ............................................................ 9 9. 監査報告の実施 ...................................................................................................... 10 (別添) ............................................................... 11 (別紙1) ............................................................. 12 (別紙2) ............................................................. 14 第1章 総論 1. 目的 環境省では、国民、事業者等の様々な主体に対し必要な環境行政に関する情報を提供する ために、環境省ホームページシステムを公開している。昨今のサイバーセキュリティ攻撃が 増加するなか、安全な情報提供をするために「政府機関の情報セキュリティ対策のための統 一基準」(平成 26 年 5 月 19 日改定 情報セキュリティ政策会議決定)に基づく「環境省情 報セキュリティポリシー」(以下「ポリシー」という。)に基づき情報セキュリティ対策の 実施しているところである。また、高齢者や障害者を含む誰もが環境省ホームページを利用 できるものとなるよう、日本工業規格 JIS X 8341-3:2010「高齢者・障害者等配慮設計指針 -情報通信における機器,ソフトウェア及びサービス-第 3 部:ウェブコンテンツ」(以下 「JIS X 8341-3:2010」という。)のウェブコンテンツのアクセシビリティ(以下「Web ア クセシビリティ」という。)達成等級 AA(以下「達成等級 AA」という。)の基準を満たす ための取組みをしているところである。 安全かつ利用者視点での情報提供を行うために、システム監査を実施することにより当省 が定めたポリシー、政府の Web アクセシビリティ方針等に従って実施されていることを確認 し、環境省ホームページの情報セキュリティ対策及び Web アクセシビリティの向上に資する ことを目的とする。 2. 背景 「政府情報システムの整備及び管理に関する標準ガイドライン」(以下「標準ガイドライ ン」という。)(平成 26 年 12 月 3 日各府省情報化統括責任者(CIO)会議決定。平成 27 年 度 4 月 1 日施行)に基づき、各府省はシステム監査計画の策定及び監査を実施する必要があ る。環境省においても、標準ガイドラインに基づき、3か年の「システム監査計画」を策定 したところである。 本年度は、環境省ホームページシステムを対象に、本システムの安全性や Web アクセシビ リティの準拠性等をテーマに監査を実施する。 3. 請負業務概要 本仕様書に基づいて請負する業務(以下「請負業務」という。)の概要は、以下のとお りである。各業務の詳細は「第 2 章 業務内容」を参照すること。 (1) プロジェクト管理 請負業務全体の実施に係るプロジェクト管理を実施すること。請負業務の進め方、 実施体制、役割分担、スケジュールを含めたプロジェクト実施計画を策定し、業務実 施計画書を作成すること。また、プロジェクトの進捗管理、課題管理等を実施し、定 期的に報告を実施すること。更には、本業務終了時には業務実施報告書を作成するこ と。 1 (2) 監査実施計画書の作成 標準ガイドラインに基づき、監査実施計画書を作成すること。 (3) 予備調査の実施 監査手続書の作成及び実地調査を行う前に、予備調査を実施すること。 (4) 監査手続書の作成 予備調査の情報等を基に、各監査項目についての評価を行うための手続(入手する 監査証拠及びその入手方法等)を記載した監査手続書を作成すること。 (5) 監査実施通知書の作成 監査実施計画書及び監査手続書に基づき監査対象の担当者への監査実施通知書を作 成すること。 (6) 実地調査の実施 監査実施計画書及び監査手続書に基づき監査を実施すること。 (7) 監査調書の整理 監査実施に当たっては、監査実施の記録として監査証拠及び関連資料等を含む監査 調書を整理すること。 (8) 監査報告書及び監査報告書概要版の作成 監査結果に基づき、監査報告書及び監査報告書(概要版)を作成すること。 (9) 監査報告会の実施 監査結果について、監査報告書に基づき報告会を実施すること。 4. 業務履行期限 平成 29 年 3 月 31 日(金)まで 5. 成果物 本業務の請負者は、業務結果を取りまとめ、下記に定めるとおり納入するものとする。 なお、各種報告書及びその電子データの仕様及び記載事項は、別添によること。 (1) 業務実施計画書 (2) 監査実施計画書 (3) 監査手続書 (4) 監査実施通知書 (5) 監査報告書及び監査報告書(概要版) (6) 監査調書 (7) 業務実施報告書(打合せ議事録含む) 納入場所:環境省大臣官房総務課環境情報室 納入期限: (1) 契約締結後 7 日以内 (2)~(7)平成 29 年 3 月 31 日(金) 2 納入媒体:(1)~(7)の書類 正副2部 成果物の電子データを収納した電子媒体(DVD-R 等) 正副2式 6. 著作権等の扱い (1) 成果物に関する著作権、著作隣接権、商標権、商品化権、意匠権及び所有権(以 下「著作権等」という。)は、環境省が保有するものとする。 (2) 請負者は自ら制作・作成した著作物に対し、いかなる場合も著作者人格権を行使 しないものとする。 (3) 成果物に含まれる請負者又は第三者が権利を有する著作物等(以下「既存著作 物」という。)の著作権等は、個々の著作者等に帰属するものとする。 (4) 納入される成果物に既存著作物等が含まれる場合は、請負者が当該既存著作物の 使用に必要な費用の負担及び使用許諾契約等に係る一切の手続を行うものとする。 7. 情報セキュリティの確保 請負者は、下記の点に留意して、情報セキュリティを確保するものとする。 (1) 請負者は、請負業務の開始時に、請負業務に係る情報セキュリティ対策とその実施方 法及び管理体制について環境省に書面(別紙1)で提出すること。 (2) 請負者は、環境省から要機密情報を提供された場合には、当該情報の機密性の格付け に応じて適切に取り扱うための措置を講ずること。 また、請負業務において請負者が作成する情報については、環境省からの指示に応じ て適切に取り扱うこと。 (3) 請負者は、ポリシーに準拠した情報セキュリティ対策の履行が不十分と見なされると き又は請負者において請負業務に係る情報セキュリティ事故が発生したときは、必要に 応じて環境省の行う情報セキュリティ対策に関する監査を受け入れること。 (4) 請負者は、環境省から提供された要機密情報が業務終了等により不要になった場合に は、確実に返却し、又は廃棄すること。 また、請負業務において請負者が作成した情報についても、環境省からの指示に応じ て適切に廃棄すること。 (5) 請負者は、請負業務の終了時に、本業務で実施した情報セキュリティ対策を書面(別 紙2)で報告すること。 8. 資料閲覧要領 (1) 本業務に関する資料閲覧を希望する者は、以下の連絡先に予め連絡の上、訪問日時 (及び閲覧希望資料)を調整すること。ただし、コピーや写真撮影等の行為は禁止す る。また、閲覧を希望する資料であっても、本業務における情報セキュリティ保護等の 観点から、提示できない場合がある。 連絡先:環境省大臣官房総務課環境情報室 (2) 電話 03-5521-8212 閲覧時の注意:閲覧にて知り得た内容については、入札書の作成以外には使用しな いこと。また、本調達に関与しない者等に情報が漏えいしないように留意すること。 3 9. その他 請負者は、本仕様書に疑義が生じたとき、本仕様書により難い事由が生じたとき、あ るいは本仕様書に記載のない細部については、環境省と速やかに協議しその指示に従う こと。 4 第2章 業務内容 1. プロジェクト管理 本業務全体のプロジェクト管理を実施すること。 (1) 業務実施計画書の作成 ア 請負業務の進め方、実施体制、スケジュールを含めた実施計画を策定し、業務実 施計画書を作成すること。 イ 業務実施計画書は、契約締結後 7 日以内に環境省の承認を得ること。 (2) 業務進捗報告の実施 ア 業務期間中の請負業務の進捗管理を実施すること。 イ 請負業務の実施状況について、定期的に進捗報告会を開催(毎週~隔週程度)し、 環境省に報告を行うこと。(開催タイミングは業務実施計画書にて提案し、環境省 と協議すること。) ウ 進捗報告会の議事録を作成し、開催後 3 営業日以内に環境省に提出し、確認を依 頼すること。 また、進捗報告会以外においても、環境省と打ち合せを実施した場合には議事録 を作成すること。(事前に議事録を作成しない旨について、環境省と合意を得てい る場合にはこの限りではない。) エ 業務期間中は、請負業務を実施する上で発生した課題についても管理し、状況、 対応方針及び対応期限等も踏まえて進捗報告会にて報告すること。 (3) 業務実施報告書の作成 請負業務終了時には、請負業務の実施結果を取りまとめた業務実施報告書を取りま とめ報告すること。 5 2. 監査実施計画書の作成 標準ガイドライン及び下記システム監査計画の監査方針に基づき、本業務にて実施す るシステム監査のスケジュール、監査体制、実施方法等について検討し、監査実施計画書 を作成すること。 監査実施計画書については、環境省に内容を説明し、承認を得ること。 <監査方針> (1) 監査対象 環境省ホームページシステム (2) 監査目的 安全かつ利用者視点での情報提供を行うために、当省が定めたポリシー、政府の Web アクセシビリティ方針等に従って実施されていることを確認する。 (3) 監査範囲 当該システムの運用・保守業務を対象とする。なお、対象組織は、運用・保守業務 を管理する担当及び外部委託事業者、部局にてコンテンツ作成又は調達に関わる担当 者とする。 (4) 評価内容 評価方法は準拠性及び有効性評価とする。 評価内容は、下記の2つとする。 ① ポリシーに基づく情報セキュリティ対策の実施状況 環境省ホームページにおいて、ポリシーに準拠した情報セキュリティ対策が実施さ れているかを確認する。監査にあたっては、平成 27 年度に実施した下記の監査等で、 環境省ホームページに関して指摘された事項を踏まえ、改善状況等のフォローアップ 監査を実施するものとする。 情報セキュリティ監査(環境省実施) ペネトレーションテスト(内閣サイバーセキュリティセンター(以下「NISC」 という。)実施) マネジメント監査(NISC 実施) なお、上記の監査等の評価項目以外に確認すべき項目、また、ポリシー改定(平成 28 年 10 月実施済)により追加確認すべき項目等があれば、確認すること。 ② Web アクセシビリティへの準拠等 環境省ホームページのコンテンツが政府方針に従い Web アクセシビリティ達成 等級 AA 及び Web サイトガイドに準拠したものになっているかを確認する。なお、 環境省ホームページには、CMS を利用して各部局が作成したコンテンツと、各部 6 局が外部に委託して作成したコンテンツがあるが、両方のコンテンツについて 確認をするものとする。 達成等級 AA に向けて、運用ルール、管理ルールが適切かつ有効に設定され、周 知・運用・管理されているかを確認する。 CMS を利用したコンテンツについては、達成等級 AA コンテンツ作成のための支 援・確認ツール(CMS)が有効かつ効率的に設定・活用されているかも確認する。 各部局が外部に作成を委託したコンテンツに関しては、達成等級 AA を満たすよ うな調達(調達仕様書の作成等)が適切になされているか、また達成等級 AA に 関する納品物の検収がなされているかについても確認する。 評価基準は以下のとおり。 政府情報システムの整備及び管理に関する標準ガイドライン (参考) http://www.soumu.go.jp/main_sosiki/gyoukan/kanri/infosystem-guide.html 環境省情報セキュリティポリシー (参考)環境省情報セキュリティポリシー(第 7 版) http://www.env.go.jp/other/gyosei-johoka/sec-policy/full.pdf 環境省情報セキュリティ対策マニュアル 日本工業規格 JIS X 8341-3:2010「高齢者・障害者等配慮設計指針-第 3 部: コンテンツ」の等級 AA Web サイトガイド(1.0 版) (参考)https://cio.go.jp/assets/websiteguide-v1-1506.pdf (5) 重点監査事項 環境省ホームページシステムで公開している Web コンテンツにおける Web アクセシ ビリティの有効性について重点的に確認する。 3. 予備調査の実施 監査手続書の作成及び実地調査を行う前に、監査対象を理解するために、監査対象であ る組織、業務、情報システムの概要について把握するため、予備調査を実施すること。 また、監査手続書を作成するため、監査対象に関わるルールの把握に資する規定等の文 章を確認すること。 さらに、監査対象からどのような監査証拠を入手できるかを確認するため、監査対象に おける監査証跡(監査証拠になる可能性のある記録類等)を把握すること。 4. 監査手続書の作成 予備調査の情報等を基に、各監査項目についての評価を行うための手続(入手する監査 証拠及びその入手方法等)を記載した監査手続書を作成すること。監査手続書には、以下 の事項を記載すること。 監査手続書については、環境省に内容を説明し、承認を得ること。 なお、被監査部門の負担を十分に考慮した監査手続を立案すること。 7 (1) 監査項目 監査目的に照らし合わせ、2.(4)に示した評価基準から以下のそれぞれに関し て監査項目を記載すること。 ① ポリシーに基づく情報セキュリティ対策の実施状況 ② Web アクセシビリティへの準拠等 (2) 入手すべき監査証拠及び監査技法 監査項目を監査するために必要な監査証拠及び監査技法を決定し、記載すること。 (3) サンプリング対象及びその数 監査証拠に必要なサンプリング対象及びサンプリング数を決定し、記載すること。 また、サンプリング数の妥当性の理由についても記載すること。 なお、Web アクセシビリティの準拠性の対象となる環境省ホームページは約 15 万ペ ージあるが、大きく分類すると CMS 管理対象ページと CMS 管理非対象ページに分類さ れる。 ① CMS 管理対象ページ:約 7 万ページ ② CMS 管理非対象ページ:約 8 万ページ ①、②について、Web アクセシビリティの準拠等の監査のためのサンプリング数の最 低数は、200 ページとする。 ○CMS 管理対象ページ CMS 管理対象ページについては、環境省ホームページのサイトマップ (http://www.env.go.jp/sitemap.html)に掲載されているリンクを適宜抽出し、 リンク先の第1階層又は第2階層程度のコンテンツからさらにサンプリング対象 を抽出とすること。但し、監査結果について各部局に対して適切な改善指導がで きるように、サイトマップ上の『[政策分野・行動活動]→[政策分野一覧]』にあ る全てのリンクからは、サンプリング対象が抽出されるようにすること。 ○CMS 管理非対象ページ CMS 管理非対象ページについては、環境省にて実施した「環境省ホームページに おける Web サイトの棚卸調査」で確認した Web サイトのリスト(index.html 数: 7,000 件程度)を提供するので、そのリストに掲載されたページからサンプリン グ対象を抽出すること。 (4) その他の記載事項 監査手続を実施する上での着眼点、留意点等を記載すること。 5. 監査実施通知書の作成 監査の実施に際して、各監査対象の管理者及び担当者に監査の実施内容、スケジュール、 準備事項等を事前に通知するため、必要事項を記載した監査実施通知書を作成すること。 8 6. 実地調査の実施 監査実施計画書及び監査手続書をもとに監査を実施すること。監査を実施した結果や入 手した監査証拠及び監査実施に際し気づいた点等については、監査調書にまとめること。 7. 監査調書の整理 監査実施に当たっては、事後の監査結果の検証や、次回以降の監査における今回の監査 結果の活用等に向け、監査実施の記録として監査証拠及び関連資料等を含む監査調書の一 覧を作成し、整理したうえで提出すること。 監査調書の例を下記に示す。 システム監査計画、監査実施計画書及びこれらの計画を作成するために収集し た資料等 予備調査で確認した資料名及びインタビュー対象者名、並びに把握した事項を まとめたもの 監査証拠として採用したインタビュー記録、観察記録、申請書、台帳、帳票、 画面のハードコピー、その他の文書等 監査対象の概要把握、監査手続の作成等に利用した規程、マニュアル、その他 の文書、記録 8. 監査報告書及び監査報告書概要版の作成 監査結果として、下記の事項を記載した監査報告書を作成すること。 監査報告書の作成にあたっては、監査報告書案を作成したうえで指摘事項について被監 査組織への確認を実施し、必要に応じて監査報告書案を修正し監査報告書を作成すること。 また、エグゼクティブサマリーとして監査報告書概要版を作成すること。 (1) 監査の実施概要 監査実施計画書の内容を簡潔に記載すること。 (2) 監査計画の概要(総論) 監査目的で記載した監査対象における対策の適切性について、監査結果から得られ た結論を記載すること。 (3) 指摘事項 各監査手続を実施した結果、判明した問題点を記載すること。指摘事項を記載する 際には、指摘事項の重要度、指摘した事項によって生じる可能性がある問題点を記載す ること。 9 (4) 改善提案 指摘事項を改善するための案及び実施期限等を記載すること。 9. 監査報告会の実施 監査結果については監査報告書により、監査の実施結果、問題点と各問題点に対する 改善案を報告すると共に、報告会を実施し監査結果の概要を説明すること。 10 (別添) 1.報告書等の仕様及び記載事項 報告書等の仕様は、「環境物品等の調達の推進に関する基本方針」(平成 28 年 2 月 2 日 閣議決定。以下「基本方針」という。)の「印刷」の判断の基準を満たすこと。 なお、「資材確認票」(基本方針 204 頁、表3参照)及び「オフセット印刷又はデジ タル印刷の工程における環境配慮チェックリスト」(基本方針 205 頁、表4参照)を提出 するとともに、印刷物にリサイクル適性を表示する必要がある場合は、以下の表示例を参 考に、裏表紙等に表示すること。 リサイクル適性の表示:印刷用の紙にリサイクルできます この印刷物は、グリーン購入法に基づく基本方針における「印刷」に係る判断の基準に したがい、印刷用の紙へのリサイクルに適した材料[Aランク]のみを用いて作製してい ます。 なお、リサイクル適性が上記と異なる場合は環境省と協議のうえ、基本方針 (http://www.env.go.jp/policy/hozen/green/g-law/kihonhoushin.html)を参考に適切 な表示を行うこと。 2.電子データの仕様 (1)Microsoft 社 Windows7 SP1 上で表示可能なものとする。 (2)使用するアプリケーションソフトについては、以下のとおりとする。 ・文章:又は Microsoft 社 Word(ファイル形式は Word2010 以下) ・計算表:表計算ソフト Microsoft 社 Excel(ファイル形式は Excel2010 以下) ・画像:BMP 形式又は JPEG 形式 (3)(2)による成果物に加え、「PDF ファイル形式」による成果物を作成すること。 (4)以上の成果物の格納媒体は DVD-R 等とする。事業年度及び事業名称等を収納ケース及び DVD-R 等に必ずラベルにより付記すること。 (5)文字ポイント等、統一的な事項に関しては環境省担当官の指示に従うこと。 3.その他 成果物納入後に請負者側の責めによる不備が発見された場合には、請負者は 無償で速やかに必要な措置を講ずること。 11 (別紙1) 平成 年 月 日 環境省大臣官房総務課環境情報室長 殿 株式会社○○○○ 代表取締役社長 ○○ ○○ 印 平成 28 年度環境省システム監査業務に係る情報セキュリティ対策の実施方法等について 平成 28 年度環境省システム監査業務に係る情報セキュリティ対策とその実施方法及び管 理体制について、下記のとおり届け出ます。 記 1.情報セキュリティ対策とその実施方法 環境省情報セキュリティポリシーを遵守し、情報セキュリティの確保のため別添の通り 対策を実施する。 2.情報セキュリティの管理体制 情報セキュリティ管理責任者 氏 名 所 属 連絡先 TEL: 役 E-mail: 職 情報セキュリティ管理担当者 氏 名 所 属 連絡先 TEL: 役 E-mail: 職 体制 別添: 12 (1) 取り扱う環境省の情報の秘密保持等 【実施方法】 ※仕様書の内容を確認し、実施方法を記述。以下の各項目も同様 (2) 情報セキュリティが侵害された場合の対処 【実施方法】 (3) 情報セキュリティ対策の履行状況の確認 【実施方法】 (4) 情報セキュリティ対策の履行が不十分であると思われる場合の対処 【実施方法】 (5)再請負に関する事項 【実施方法】 13 (別紙2) 平成 年 月 日 環境省大臣官房総務課環境情報室長 殿 株式会社○○○○ 代表取締役社長 ○○ ○○ 印 平成 28 年度環境省システム監査業務で実施した情報セキュリティ対策について 平成 28 年度環境省システム監査業務で実施した情報セキュリティ対策を下記のとおり報 告します。 記 情報セキュリティ対策の実施内容 (1) 体制 「平成 28 年度環境省システム監査業務に係る情報セキュリティ対策の実施方法等につ いて」により示した体制で、対策を実施した。 (2) 取り扱う環境省の情報の秘密保持等 「平成 28 年度環境省システム監査業務に係る情報セキュリティ対策の実施方法等につ いて」に従い、以下の各対策を実施した。 ※以下の各項目についても個別対策について実施報告を記述願います。 (3) 情報セキュリティが侵害された場合の対処 (4) 情報セキュリティ対策の履行状況の確認 (5) 情報セキュリティ対策の履行が不十分であると思われる場合の対処 14
© Copyright 2024 ExpyDoc
