いばらき情報セキュリティクラウド運用管理業務委託仕様書(案) 1 目的 茨城県及び県内市町村の行政事務におけるインターネットリスク低減のために,茨城県が平 成28年度に構築し,県及び市町村が平成29年度から共同で運用するいばらき情報セキュリ ティクラウド(以下「IBSC」という。 )の運用管理業務を委託するものである。 IBSC では,いばらきブロードバンドネットワークに集約したインターネット接続ポイントに おいて,Web サイト閲覧,メール送受信,LGWAN 接続ファイアウォール等のログの集約,監視, 解析等を行うとともに,Web 閲覧サービス,メールサービス,ファイル共有サービス,パッチ 適用サービス等を行うこととしている。 2 業務の概要 (1) 運用管理業務対象 ア 対象システム:IBSC(参考資料「いばらき情報セキュリティクラウド構築業務仕様書」 (以下「構築業務仕様書」という。 )で構築したシステム) イ 県・県内市町村の規模(構築業務仕様書の 1.6 利用端末数等) ・接続端末数:約 30,000 台 ・利用者数は:約 35,000 人 ウ 主な管理対象機器 構築業務仕様書表1-1調達機器等一覧のとおり。 (2) 主な業務 ア 資料1運用・保守体制図(案)及び資料2運用管理業務作業項目一覧表(想定作業項目) を実施すること。 イ 留意事項 ・業務内容は,現時点での想定業務である。今後,運用開始後において想定外の業務や業 務量が生じることが想定されるが業務の範囲内として対応すること。 ・資料1運用・保守体制図(案)については,業務実施結果により提案すること。 ・資料2運用管理業務作業項目一覧表については,業務実施結果により加除・修正するこ と。 ※これらの見直し結果については,長期継続契約のための仕様書の参考とする予定であ る。 (3) 業務時間外稼働状況監視 業務時間外においても IBSC の主な機器の稼働監視を実施する。 また,障害の有無を認知した場合は,障害の状況を把握し,障害対策を実施する。 なお,監視の実施方法及び監視業務を実施する場所は,別途協議する。 (4) その他 ア 運用管理業務に必要な機器,消耗部材及びその他の機器の保管及び管理 イ その他運用管理業務に必要な業務 3 委託業務実施場所等 (1) 業務実施場所は,茨城県庁舎内の指定する場所とする。 (2) 業務の実施に当たって遠隔での実施が必要と判断される場合は,協議のうえ,セキュリテ ィを確保したうえで遠隔で業務ができるものとする。 (3) 業務を遂行する上で必要となる次の設備は,茨城県が用意する。 ・IBSC の監視用回線 ・運用管理用端末(2 台)及びプリンタ(インクジェット,1 台) ・市町村と連絡のためのメール環境(IBSC のメールサービス等を利用) ・インターネット VPN 用通信機器(Fortigate の VPN 機能) ・机,椅子等什器類 ・電話(市町村との連絡用) 4 業務従事者数・従事時間等 (1) 常時勤務する業務従事者数は3人以上とし,運用管理業務を統括するもの(非常駐)を別に 専任すること。 なお,業務従事者のみでは対応が困難な事案が発生した場合には,協議のうえ,事案に対 処するために必要な従事者を従事させるものとする。 (2) 以下の理由により業務従事者が勤務できない場合は,事前に届け出た職員を従事させるも のとする。 ア 休暇,研修その他の理由により勤務できない場合 イ 業務従事者が急病,事故その他の予見し得ない事由により業務に従事できない場合 (3) 業務従事時間等 ・2 名 午前 8 時 30 分から午後 5 時 15 分まで ・1 名 午前 9 時 15 分から午後 6 時まで (4) 業務従事日 茨城県の休日を定める条例(平成元年茨城県条例第7号)第1条に規定する県の休日を除 く毎日(以下「平日」という。 )とする。 (5) 業務従事時間の例外 次に掲げる場合には,(3)及び(4)にかかわらず,業務に従事するものとする。 ア 障害時等の対応 障害対策等緊急性があると判断される場合は,協議のうえ,障害対策等に必要な作業を 実施するものとする。 イ その他 休日又は業務従事時間外に実施する必要があると認められる作業は,協議のうえ,当該 作業を実施するものとする。 5 業務従事者の資格等 本運用管理業務を遂行するために必要な担当業務ごとの従事者のスキル水準は,次のとおり である。 ア 2人は,ITスキル標準で示すITサービスマネジメントのうちオペレーション分野で レベル3程度のスキルを有すること。 イ 1人は,ITスキル標準で示すITスペシャリストのうちセキュリティの分野でレベル 3程度のスキルを有すること。 ウ 運用管理業務統括者のスキル標準は,ア又はイのスキル標準の分野でレベル4程度のス キルを有すること。 6 業務従事者の届出 (1) 契約締結後,速やかに本業務に従事する者を選定し,別記様式により茨城県に届け出るこ と。 (2) 業務従事者を変更する場合 ア 現に従事するものに代えて新たに業務に従事させようとする場合は,事前に茨城県に通 知するものとする。 イ 業務従事者を変更しようとする場合は,全員を一度に変更することなく,かつ,運用に 支障がないように配慮すること。 ウ 臨時の業務従事者の変更は,特にやむを得ないと判断される場合を除き,認めない。 7 業務従事者の義務 (1) 記名票の着用等 ア 業務従事者が業務に従事する場合は,常時,統一した服装を着衣し,記名票を着用する こと。 イ 常に身分証を携行すること。 (2) 業務の実施 ア 定常業務の実施は,運用管理マニュアルを整備し,整備したマニュアルに基づいて実施 すること。 イ 非定常業務を実施する場合は,作業手順について,協議のうえで着手すること。 ウ セキュリティインシデント等が発生した場合で迅速に対応することが必要と判断され る場合は,受託者の判断で,必要な業務を実施すること。 (3) 業務従事者は,いばらきセキュリティクラウド運用管理業務契約書及び本仕様書のほか, 以下の規程について熟知するよう努めなければならない。 ア 茨城県情報セキュリティ基本方針を定める規程(平成 15 年茨城県訓令第5号) ,茨城県 情報セキュリティ対策基準を定める要項,運用管理諸規程その他関連規程 イ ISO27001 等のセキュリティに関する諸規程 ウ 茨城県個人情報の保護に関する条例(平成 17 年茨城県条例第 1 号)その他の個人情報の 保護に関する諸規程 8 受託者の義務 業務従事者に7の(3)に関する教育を行わなければならない。 9 業務報告 (1) 日次業務報告書は,毎日の結果を業務終了後に取りまとめ,原則として毎日提出すること。 (2) 月次業務報告書は,実施月の翌月10日までに報告すること。 (3) その他の業務報告書は,業務の実施完了後速やかに報告すること。 10 業務の引継ぎ 構築業務仕様書において,構築業務受託者より業務引継ぎを実施することとしているので, 平成 29 年 3 月 21 日(火)から業務引継を受けること。 引継ぎ場所は,NTT東日本水戸データセンター内,茨城県庁舎内,茨城県三の丸庁舎等と する。 11 運用マニュアルの整備 業務の実施に必要な運用マニュアルを整備し,当該マニュアルに従い業務を実施すること。 なお,運用マニュアルを制定し,又は変更するときは,協議するものとする。 12 費用負担 (1) 被服及び事務用品は,受託者が負担する。 (2) 既に設置された機器以外に業務の遂行する上で特に必要な機器等の費用負担は,協議して 決定するものとする。 (3) セキュリティ対策に必要な情報収集に要する費用(有料のデータベース使用料を含む。 )は, 受託者が負担する。 13 業務従事者が使用する機器の管理 貸与した機器及び受託者所有の機器の契約期間中の庁外持ち出しは,禁止する。また,本契 約終了後に受託者所有の機器を持ち出す場合は,茨城県及び受託者の立会いの下,ハードディ スク内の情報を消去(消去方法は,別途協議する。 )すること。 なお,茨城県庁舎外で業務を遂行する場合は,事前に茨城県に許可を得て持ち出すこと。 14 委託業務実施期間終了時の取扱 (1) 次の運用管理業務受託者に,構築業務受託者から引き継いだ文書,ノウハウ等,委託業務 実施期間中に作成した文書,ノウハウ等,本県及び市町村から貸与又は提供した機器,文書 等の全てを引き継ぐこと。 (2) 引継ぎ期間は,平成 29 年 9 月 19 日から 9 月 30 日までの期間とする。 15 この仕様書に定めのない事項については,随時,協議して定めるものとする。
© Copyright 2024 ExpyDoc