(2)Just system 一太郎(最新版) 5式 (3)MicroSoft Office Standard 2013 5式
パーソナルコンピュータ(ノート型)等の購入仕様書
➀(消費・安全局、生産局)
1.調達範囲
本調達においては、関連ソフトウェアのインストール及び設定を行った機器の納品までを調達範囲とする。
2.納入期限
平成28年9月16日(金)
3.品目、数量
(1)パーソナルコンピュータ(ノート型) 5台
(2)Just system xxx(最新版) 5式
(※後述の10.ソフトウェアライセンス(1)にて調達を行う)
(3)MicroSoft Office Standard 2013 5式
(※後述の10.ソフトウェアライセンス(2)にて調達を行う)
4.納入場所
農林水産省
消費・安全局総務課(ドアNo.別415)生産局総務課(ドアNo.本262)
5.仕様及び機能
調達するパーソナルコンピュータの構成・機能については次に掲げるもの又はこれと同等以上のものを有し、これらのハードウェア及びソフトウェアが一体として運用できるものであり、かつ起動後の良好な運用が出来る操作性の良い省スペースのノート型パソコンとすること。
なお、5(1)については「環境物品等の調達の推進に関する基本方針」(平成28年2月2日変更閣議決定)の基準を満たしている環境に配慮した機器を選定すること。
また、品目ごとに同一機種未使用品に限定すること。
(1)ハードウェアア.CPU
インテル® Core™ i3 -3120M(定格クロック周波数2.5GHz)相当以上イ.メモリ
4GB以上
ウ.インターフェース
USB2.0対応コネクタを3個以上搭載していること。
エ.パネルサイズ 11~13.3型ワイド
オ.表示機能
TFTカラー液晶、1280×768ドット以上、1,677万色以上カ.キーボード
OADG準拠又はJIS標準配列キ.HDD又はSSD
内蔵型とし、次のいずれを搭載すること。
・HDDを搭載する場合は、320GB以上
・SSDを搭載する場合は、128GB以上ク.光学ドライブ
DVDスーパーマルチドライブ(内蔵型)であること。ケ.無線LAN
IEEE802.11b/g/n準拠に対応していること。
➺.LANアダプタ
・モジュラージャック(RJ-45)により接続可能であること。
・内蔵型とし、1000BASE-T / 100BASE-TX / 10BASE-Tに対応していること。
・TCP/IPに対応していること。サ.電源
・電源及び電源ケーブルはAC100-240V(50/60Hz)に対応していること。
・バッテリー(駆動時間が10時間以上)を内蔵していること。シ.消費電力
・本仕様を満たす機器構成において、本体の最大消費電力(AC電源使用時)が90W以下又は省エネ法に基づくエネルギー消費効率(2011年度基準)における省エネ基準達成率がAAもしくはAAAであること。
ス.重量
1.7㎏以下(ACアダプターを除く)
※上記5(1)サの駆動時間を確保できるバッテリーパックを装着した状態での重量。セ.暗号化
ハードディスク等については、セキュリティチップ等を用いて、ハード的に暗号化すること。ハード的に暗号化できない場合は、ソフトウェアにより暗号化することとし、その際は、システムドライブを含め、すべての内容を暗号化すること。
また、暗号化を行ったうえで納品すること。
(2)ソフトウェア
・以下(ア)から(オ)のインストール(OSとの互換性等も確認すること。)を行い、使用可能な状態で納入すること。
なお、(ア)から(オ)においてインストールするソフトウェアのバージョンを記載している場合を除き、セキュリティ上の問題やソフト上のバグが見つかっていない最新
版を導入し、既知のセキュリティホールに対するセキュリティ対策(最新版のサービスパックの導入等)を全て行うこと。
・以下(イ)(ウ)(オ)についてライセンス契約によることとし、それぞれのソフトウェアについて、インストールメディア(DVD)とマニュアル1組を添付すること。
・また、HDDを納入時の状態(ソフトウェアをすべてインストールし設定を終えた状態)へ復元するリカバリー用メディア(DVD)とマニュアル1組を添付すること。
(ア)本体OSとして「Microsoft Windows 7 Professional xx版(日本語版)」を搭載し、ダウングレード版としてWindows10を導入すること。
(OEMライセンス(OSプリインストール)による搭載を可とする。)
なお、ブラウザとしてインターネットエクスプローラー11(マイクロソフト社製)を搭載すること。
(イ)日本語ワードプロセッサとして「xxx」(契約時点の最新版)(ジャストシステム社製)を搭載すること。
(ウ)「Microsoft Office Standard 2013」(マイクロソフト社製)を搭載すること。
(エ)「Adobe Reader」(最新版)(アドビシステムズ社製)を搭載すること
(オ)農林水産省において契約している「Client/Server Suite Premium」(トレンドマイクロ社製)ライセンスを使用して、ウイルスバスタークラウドを搭載すること。
6.保証等
ハードウェア及びソフトウェアについては、過去において出荷・稼働実績を有し、高い信頼性を備えていることとする。
受注者においては、機器引き渡し後、向こう1年間にわたり迅速かつ誠実に受注者の負担で製品の保証を行うこと。
7.搬入
受注者は、納入機器を使用可能な状態(OS及びソフトウェアのインストールを含む)にした上で、納入期限までに納入場所に搬入し、必要に応じて箱等の梱包材については撤去、 破棄すること。
なお、取り扱い説明書等の添付物については、全て納品すること。
8.責任の所在
納入物品については製造者の如何に関わらず、請負業者が最終的に責任を負うこと。
9.情報セキュリティの確保
(1)本調達において知り得た情報の漏えい等の事案が発生した際には、消費・安全局総務課会計班調整係及び生産局総務課会計班調整係(以下「担当部署」という。)に電話、口頭等による報告を行うとともに、書面にて提出すること。
なお、事案の発生後は事態の収拾及び拡大防止の措置を迅速かつ適切に行うこと。
また、受注者以外の者の作業も含め、対処に係る費用は全て受注者が負担すること。
(2)受注者環境に本調達に必要な情報以外を保持することのないよう、不要になった情報は適宜、担当部署に返却を行うこと。
(3)使用するソフトウェアについては、既知のセキュリティホールに対するセキュリティ対策を行うこと。
10.ソフトウェアライセンス
(1)ジャストシステム社製ソフトウェア(Just system xxx)
農林水産省とジャストシステム社間で「J-License契約」を締結していることから、 JL-Excellent区分Excellent-E、J-Licenseナンバー(200860-166)で保有するライセンスを最新版にバージョンアップして使用すること。
(2)マイクロソフト社製ソフトウェア(Windows 7 professional、Office Standard)以下で調達すること。
Microsoft Open License for Governmentライセンス認証番号:96444559ZZG1802
11.その他
詳細な事項及び本仕様書に定めのない事項については、受注者と担当部署が必要に応じ打ち合わせを行い決めること。
パーソナルコンピュータ(ノート型)等の購入仕様書
②(政策統括官)
1.調達範囲
現在は外国出張には携帯電話を持参しているが、外国出張の際に会議等の概要を本省へ早急に送ることにより現場の声を把握することが出来るとともに、本省からも出張者へファイル等を送信することにより情報提供を行うことができる。
本調達においては、関連ソフトウェアのインストール及び設定を行った機器の納品までを調達範囲とする。
2.納入期限
平成28年9月16日(金)
3.品目、数量
(1)パーソナルコンピュータ(ノート型) 2台
(2)Just system xxxPro3 2式
(※後述の10.ソフトウェアライセンス(1)にて調達を行う。)
(3)MicroSoft Office Standard 2013 2式
(※後述の10.ソフトウェアライセンス(2)にて調達を行う。)
(4)ウイルスバスタークラウド 2式
(※後述の10.ソフトウェアライセンス(3)にて調達を行う。)
成果物は、全て日本語で作成すること。
納品後農林水産省において改変が可能となるよう、図表等の元データも併せて納品すること。
成果物の作成に当たって、特別なツールを使用する場合は、担当職員の承認を得ること。
4.納入場所
農林水産省政策統括官付総務・経営安定対策参事官(ドア№別217)
5.仕様及び機能
調達するパーソナルコンピュータ及びマウス等の構成・機能については、次に掲げるもの、又はこれと同等以上のものを有し、これらのハードウェア及びソフトウェアが一体として運用できるものであり、かつ起動後の良好な運用が出来る操作性の良いノート型パソコンとすること。
なお、5(1)については、「環境物品等の調達の推進に関する基本方針」(平成28年2月
2日変更閣議決定)の基準を満たしている環境に配慮した機器を選定すること。
また、品目ごとに同一機種未使用品に限定すること。
(1)ハードウェア
ア.CPU
インテル®celeron® 3955U(定格周波数2.0GHz)相当以上イ.メモリ
2GB以上
ウ.インターフェース
USB2.0対応コネクタを3個以上搭載していること。うち、1つ以上はUSB3.0対応コネクタを搭載していること。
エ.パネルサイズ
13.3型(ワイドを含む。)オ.表示機能
LEDバックライト付TFTカラーLCD、1920×1080ドット以上、1,677万色以上カ.キーボード
OADG準拠又はJIS標準配列キ.HDD又はSSD
内蔵型とし、次のいずれかを搭載すること。
・HDDを搭載する場合は、250GB以上
・SSDを搭載する場合は、128GB以上ク.光学ドライブ
DVDスーパーマルチドライブ(内蔵型)であること。ケ.LANアダプタ
・モジュラージャック(RJ-45)により接続可能であること。
・内蔵型とし、1000BASE-T / 100BASE-TX / 10BASE-Tに対応していること。
・TCP/IPに対応していること。コ.電源
・電源及び電源ケーブルはAC100V(50/60Hz)に対応していること。
・バッテリー(駆動時間が2時間以上)を内蔵していること。サ.消費電力
本仕様を満たす機器構成において、本体の最大消費電力(AC電源使用時)が87W以下又は省エネ法に基づくエネルギー消費効率(2011年度基準)における省エネ基準達成率が AAもしくはAAAであること。
シ.重量
3.5㎏以下(ACアダプターを除く。)
※上記5(1)コの駆動時間を確保できるバッテリーパックを装着した状態での重量。ス.暗号化
ハードディスク等については、セキュリティチップ等を用いて、ハード的に暗号化すること。
(2)ソフトウェア
以下(ア)から(オ)のインストール(OSとの互換性等も確認すること。)を行い、使用可能な状態で納入すること。
なお、(ア)から(オ)においてインストールするソフトウェアのバージョンを記載している場合を除き、セキュリティ上の問題やソフト上のバグが見つかっていない最新版を導入し、既知のセキュリティホールに対するセキュリティ対策(最新版のサービスパックの導入等)を全て行うこと。
以下(イ)についてライセンス契約によることとし、それぞれのソフトウェアについて、インストールメディア(DVD)とマニュアル1組を添付すること。
また、HDDを納入時の状態(ソフトウェアをすべてインストールし設定を終えた状態)へ復元するリカバリー用メディア(DVD)とマニュアル1組を添付すること。
(ア)本体OSとして「Microsoft Windows 10 Pro 64ビット xx版(日本語版)」を搭載すること。
なお、ブラウザとしてインターネットエクスプローラー最新版(マイクロソフト社製)を搭載すること。
(イ)日本語ワードプロセッサとして「xxx Pro 3」(ジャストシステム社製)を搭載すること。
(ウ)「Microsoft Office Standard 2013」(マイクロソフト社製)を搭載すること。なお、当省が別途準備するライセンスを使用すること。
(エ)「Adobe Reader」(最新版)(アドビシステムズ社製)を搭載すること。
(オ)「ウイルスバスタークラウド」(トレンドマイクロ社製)を搭載するとともに、当省担当者の指示によりオンライン登録を済ませること。
6.保証等
ハードウェア及びソフトウェアについては、過去において出荷・稼働実績を有し、高い信頼性を備えていることとする。
受注者においては、機器引き渡し後、向こう1年間にわたり迅速かつ誠実に受注者の負担で製品の保証を行うこと。
7.搬入
受注者は、納入機器を使用可能な状態(OS及びソフトウェアのインストールを含む。)にした上で、納入期限までに納入場所に搬入し、必要に応じて箱等の梱包材については撤去、破棄すること。
なお、取り扱い説明書等の添付物については、全て納品すること。
本業務の受注者は、成果物等について、納品期日までに農林水産省に内容の説明を実施して検収を受けること。
検収の結果、成果物等に不備又は誤り等が見つかった場合には、直ちに必要な修正、改修、交換等を行い、変更点について農林水産省に説明を行った上で、指定された日時までに再度納品すること。
8.責任の所在
納入物品については製造者の如何に関わらず、請負業者が最終的に責任を負うこと。
9.情報セキュリティの確保
(1)業務遂行に当たっては、(別添 1)「情報システムのライフサイクル仕様」及び(別添2)
「情報セキュリティ共通仕様」に基づいて、作業を実施すること。
(2)本調達において知り得た情報の漏えい等の事案が発生した際には、政策統括官付総務・経営安定対策参事官付会計班用度担当(以下「担当部署」という。)に電話、口頭等による報告を行うとともに、書面にて提出すること。
なお、事案の発生後は事態の収拾及び拡大防止の措置を迅速かつ適切に行うこと。 また、受注者以外の者の作業も含め、対処に係る費用は全て受注者が負担すること。
(3)受注者環境に本調達に必要な情報以外を保持することのないよう、不要になった情報は適宜、担当部署に返却を行うこと。
(4)使用するソフトウェアについては、既知のセキュリティホールに対するセキュリティ対策を行うこと。
10.ソフトウェアライセンス
(1)ジャストシステム社製ソフトウェア(Just system xxx)
農林水産省とジャストシステム社間で「J-License契約」を締結していることから、JL-Excel lent区分Excellent-E、J-Licenseナンバー(200860-XXX)にて調達すること。なお、枝番号は新規で採番すること。
(2)マイクロソフト社製ソフトウェア(Office Standard)
当省がライセンスを別途準備するため、受注者は調達を行わないこと。
(3)トレンドマイクロ社製ソフトウェア(ウイルスバスタークラウド)
農林水産省で保有している法人向け製品ライセンス「TRSL(Trend Micro ReliableSecurity License)」(ID:54515)にてClient/Server Suite Premium を追加すること。
11.その他
詳細な事項及び本仕様書に定めのない事項については、受注者と担当部署が必要に応じ打ち合わせを行い決めること。
入札参加資格証明の提出の際、3.(1)の品目については、製造メーカーからの出荷証明書を提出すること。
本業務を直接担当する農林水産省全体管理組織(PMO)支援スタッフが、その現に属する又は過去2年間に属していた事業者及びこの事業者の「財務諸表等の用語、様式及び作成方法に関する規則」(昭和 38 年大蔵省令第 59 号)第8条に規定する親会社及び子会社、同一の親会社を持つ会社並びに委託先等緊密な利害関係を有する事業者は、本書に係る業務に関して入札に参加できないものとする。
※備考
ノートパソコン参考銘柄 FUJITSU 製 LIFEBOOK S536M
NEC 製 VersaPro タイプ VM
「xxx Pro 3」(ジャストシステム社製)当省ライセンス取得およびインストール作業
「ウイルスバスタークラウド」(トレンドマイクロ社製)当省ライセンス取得およびインストール作業
「マイクロソフト社製ソフトウェア」については、インストール作業
別添1
情報システムのライフサイクル仕様
1 本業務で導入される情報システムに対して、当該情報システムのセキュリティ要件に係る以下の事項について、納入完了までに電子データで提出すること。
(1)情報システム名
(2)受託責任者の氏名及び連絡先
(3)システム構成
(4)接続する農林水産省外通信回線の種別
(5)当該情報システムの設計・開発、運用・保守に関する事項
(6)情報システムにおける情報処理サービスの利用の有無(有りの場合は以下の項目を記載)
ア 情報処理サービス名イ 契約事業者
ウ 契約期間
エ 情報処理サービスの概要
オ ドメイン名(インターネット上で提供される情報処理サービスを利用する場合)カ 取り扱う情報の格付及び取扱制限に関する事項
2 機器等の納入時に、以下を含む事項を報告すること。
(1)調達仕様書に指定されているセキュリティ要件の実装状況(セキュリティ要件に係る試験の実施手順及び結果等)
(2)機器等に不正プログラムが混入していないこと(内部監査等により不正な変更が加えられていないことを確認した結果等)
3 情報システムの企画・要件定義時に以下を含む措置を実施すること。
(1)情報システム運用時のセキュリティ監視等の運用管理機能要件を明確化し、本業務の成果物へ適切に反映するために、以下を含む措置を実施すること。
ア 情報システム運用時に情報セキュリティ確保のために必要となる管理機能を本業務の成果物に明記すること。
イ 情報セキュリティインシデントの発生を監視する必要がある場合、監視のために必要な機能について、以下を例とする機能を本業務の成果物に明記すること。 a 農林水産省外と通信回線で接続している箇所における外部からの不正アク
セスを監視する機能
b 不正プログラム感染や踏み台に利用されること等による農林水産省外への不正な通信を監視する機能
c 農林水産省内通信回線への端末の接続を監視する機能 d 端末への外部電磁的記録媒体の挿入を監視する機能 e サーバ装置等の機器の動作を監視する機能
1
別添1
(2)開発する情報システムに関連する脆(ぜい)弱性への対策が実施されるよう、以下を含む対策を本業務の成果物に明記すること。
ア 既知の脆(ぜい)弱性が存在するソフトウェアや機能モジュールを情報システムの構成要素としないこと。
イ 開発時に情報システムに脆(ぜい)弱性が混入されることを防ぐためのセキュリティ実装方針を定めること。
ウ セキュリティ侵害につながる脆(ぜい)弱性が情報システムに存在することが発覚した場合に修正が施されること。
4 情報システムの構築において、以下の事項を含む事項を適切に実施すること。
(1)情報システムのセキュリティ要件の適切な実装
(2)情報セキュリティの観点に基づく試験の実施
ア ソフトウェアの作成及び試験を行う場合は、運用中の情報システムと分離して実施すること。
イ 試験項目及び試験方法を定め、これに基づいて試験を実施すること。ウ 試験の実施記録を作成し保存すること。
(3)情報システムの開発環境及び開発工程における情報セキュリティ対策
ア ソースコードが不正に変更されることを防止するため、ソースコードの変更管理、アクセス制御及びバックアップの取得について適切に管理すること。
イ 調達仕様書等に規定されたセキュリティ実装方針に従うこと。
ウ セキュリティ機能の適切な実装、セキュリティ実装方針に従った実装が行われていることを確認するために、情報システムの設計及びソースコードを精査する範囲及び方法を定め実施すること。
エ オフショア開発を実施する場合、試験データとして実データを使用しないこと。
5 情報システムの構築において、情報セキュリティの観点から調達仕様書で求める要件以外に必要となる措置がある場合、担当部署に報告し、対策を講ずること。
6 情報システムの運用・保守において、情報システムに実装されたセキュリティ機能が適切に運用されるよう、以下の事項を適切に実施すること。
(1)情報システムの運用環境に課せられるべき条件の整備
(2)情報システムのセキュリティ監視を行う場合の監視手順や連絡方法
(3)情報システムの保守における情報セキュリティ対策
(4)運用中の情報システムに脆(ぜい)弱性が存在することが判明した場合の情報セキュリティ対策
(5)情報システムの利用者に使用を求めるソフトウェアのバージョンのサポート終了時における、サポート継続中のバージョンでの動作検証及び当該バージョンで正常に動作させるための情報システムの改修等
7 構築した情報システムを運用保守段階へ移行する場合、移行手順及び移行環境に関
2
別添1
して、以下を含む情報セキュリティ対策を行うこと。
(1)情報セキュリティに関わる運用保守体制の整備
(2)運用保守要員へのセキュリティ機能の利用方法等に関わる教育の実施
(3)情報セキュリティインシデントを認知した際の対処方法の確立
8 情報システムのセキュリティ監視を行う場合は、以下の内容を含む監視手順を定め、適切に監視運用すること。
(1)監視するイベントの種類
(2)監視体制
(3)監視状況及び情報セキュリティインシデントを認知した場合の報告手順
(4)監視運用における情報の取扱い(機密性の確保)
9 本調達範囲外の情報システムを基盤として情報システムを運用する場合は、運用管理する府省庁等との責任分界に応じた運用管理体制の下、基盤となる情報システムの運用管理規程等に従い、基盤全体の情報セキュリティ水準を低下させることのないよう、適切に情報システムを運用すること。
10 不正な行為及び意図しない情報システムへのアクセス等の事象が発生した際に追跡できるように、運用・保守に係る作業についての記録を管理すること。
11 情報システムの更改又は廃棄を行う場合は、当該情報システムに保存されている情報について、以下の措置を適切に講ずること。
(1)情報システム更改時の情報の移行作業における情報セキュリティ対策
(2)情報システム廃棄時の不要な情報の抹消
3
別添2
情報セキュリティ共通仕様
情報セキュリティの確保
1 受託者は、担当部署から農林水産省における情報セキュリティの確保に関する規則
(平成 27 年農林水産省訓令第4号。以下「規則」という。)等の説明を受けるとともに、本業務に係る情報セキュリティ要件を遵守すること。
2 受託者は、規則と同等の情報セキュリティ管理体制を整備していること。
3 受託者は、本業務の従事者に対して、規則と同等の情報セキュリティ対策の教育を実施すること。
4 本業務の遂行に当たり、以下の内容を含む情報セキュリティ対策について、提案書に記載すること。(または、証明書等を提出すること。)
(1)受託者に提供される情報の目的外利用の禁止
(2)情報セキュリティ対策の実施内容及び管理体制
(3)業務の実施に当たり、受託者又はその従業員、再委託先、若しくはその他の者による意図せざる変更が加えられないための管理体制
(4)受託者の資本関係・役員等の情報、本業務の実施場所、本業務の従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供
(5)情報セキュリティインシデントへの対処方法
(6)情報セキュリティ対策その他の契約の履行状況の確認方法
(7)情報セキュリティ対策の履行が不十分な場合の対処方法
5 担当部署が必要と認めた場合、情報セキュリティ監査の受入れ及び業務内容、品質等のサービス水準(サービスレベル)の保証を行うこと(農林水産省が別途選定した事業者による監査を含む。)。
6 本業務の遂行に当たり、以下の内容を含む情報セキュリティ対策の遵守方法、情報セキュリティ管理体制等に関する確認書等を受託後速やかに提出すること。また、変更があった場合は、速やかに再提出すること。
(1)本業務に携わる者の特定
(2)本業務に携わる者が実施する具体的な情報セキュリティ対策の内容
7 情報の受渡し方法や本業務終了時の情報の廃棄方法等を含む情報の取扱手順について業務実施計画に記載し、担当部署の承認を得ること。また、定められた手順により情報を取り扱うこと。
8 本業務の遂行に当たり、役務内容を一部再委託する場合は、再委託することにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、上記4から7までの措置の実施を委託先に担保させること。
9 受託者は、自己の情報セキュリティ水準について、以下を証明する資料を提案書に
1
別添2
記載すること。(または、証明書等を提出すること。)
(1)ISO/IEC27001 等の国際規格とそれに基づく認証制度の活用
(2)IPA が公開する自己診断ツール(情報セキュリティ対策ベンチマーク)等、情報セキュリティガバナンスの確立促進のために開発された自己評価の結果
(3)MS 認証信頼性向上イニシアティブに参画し、不祥事への対応や透明性確保に係る取組を実施している実績
10 担当部署から情報セキュリティ対策の履行状況の確認を求められた場合、速やかに報告すること。
11 本業務に係る情報セキュリティインシデントの発生若しくは情報の目的外利用等の認知に際して、担当部署の指示に従い必要な措置を講じること。
12 本業務の遂行に当たっては、知り得た全ての事項について、契約期間中はもとより、契約終了後においても外部に漏らしてはならない。秘密保全に関することは、担当部署の指示に従うこと。
13 本業務の遂行に当たっては、従事する全ての者と個別に退職後も有効な守秘義務契約を締結すること。
14 本業務において知り得た情報の漏えい等の事案が発生した際には、担当部署に電話、口頭等による報告を行うとともに、書面にて提出すること。なお、事案の発生後は 事態の収拾及び拡大防止の措置を迅速かつ適切に行うこと。また、受託者以外の者 の作業も含め、対処に係る費用は全て受託者が負担すること。
15 本業務の終了時に、受託者において取り扱われた情報は確実に返却又は抹消し、結果を書面にて報告すること。
16 情報システムを構成するソフトウェアについては、運用中にサポートが終了しないよう、可能な限り最新版を選定することとし、ソフトウェアの種類、バージョン及びサポート期限について報告すること。なお、サポート期限が事前に公表されていない場合は、情報システムのライフサイクルを踏まえ、販売からの経過年数や後継ソフトウェアの有無等を考慮して選定すること。
17 情報システムを構成するソフトウェアについては、既知のセキュリティホールに対するセキュリティ対策を行うこと。
18 情報システムの運用期間中、当該情報システムで利用するソフトウェアのサポート期限等を情報収集し、定期的に報告すること。【保守業務の場合】
19 「政府情報システムの整備及び管理に関する標準ガイドライン」(平成 26 年 12 月
3日各府省情報化統括責任者(CIO)連絡会議決定。)「別紙3 調達仕様書に盛り込むべき ODB 登録用シートの提出に関する作業内容」に基づき、政府情報システム管理データベース(ODB)に情報を登録(又は更新)するために必要な ODB 登録用シートを提出すること。【ODB 登録/更新対象の場合】
2
別添2
機器等に対するセキュリティ要件
機器等に対するセキュリティ要件は以下のとおり。【取り扱う情報の格付、取扱制限、機器等を利用する組織の特性、利用環境等に応じて、想定されるリスクを考慮した上で検討すること】
1 機器等の開発工程における品質保証体制を証明する資料を提出すること。
2 機器等の設置時や保守時に、情報セキュリティの確保に必要なサポートを行うこと。
3 利用マニュアル・ガイダンスが整備された機器等を採用すること。
4 ソフトウェアの利用期間を踏まえ、サポート期間が十分に確保されたものを採用すること。また、サポート期限が公表されていない場合には、ソフトウェアを導入する情報システム等のライフサイクルを踏まえ、発売からの経過年数や後継となるソフトウェアの有無等を考慮すること。
5 ぜい弱性検査等のテストが実施されている機器等を採用し、そのテストの結果が確認できること。
6 ISO/IEC 15408 に基づく認証を取得している機器等を採用することが望ましい。
外部委託等における情報セキュリティ上のサプライチェーン・リスク対応
1 外部委託
(1)外部委託に係る契約事項
ア 情報システムの【設計・構築/運用・保守/廃棄 等の各工程のうち、調達内容に応じて必要な場面を選択】工程において、農林水産省の意図しない変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること。
イ 農林水産省の意図しない変更や機密情報の窃取等が行われないことを保証するための具体的な管理手順や品質保証体制を証明する書類(例えば、品質保証体制の責任者や各担当者がアクセス可能な範囲等を示した管理体制図)を提出すること。第三者機関による品質保証体制を証明する書類等が提出可能な場合は、提出すること。
ウ 情報システムに農林水産省の意図しない変更が行われるなどの不正が見つかったときに、追跡調査や立入検査等、農林水産省と連携して原因を調査し、排除するための手順及び体制(例えば、運用・保守業務におけるシステムの操作ログや作業履歴等を記録し、発注先から要求された場合には提出させるようにするなど)を整備していること。また、当該手順及び体制が妥当であることを証明するための書類を提出すること。
エ 農林水産省の許可無く、作業の一部又は全部を第三者(再委託先)に請け負
3
別添2
わせてはならない。ただし、農林水産省が許可した場合には、受託者は、農林水産省との契約上受託者に求められる水準と同等の情報セキュリティ水準を、再委託先においても確保すること。また、受託者は、再委託先が実施する情報セキュリティ対策及びその実施状況について、農林水産省に報告すること。
オ 委託事業において取り扱う情報について、再委託先が閲覧することがないように、受託者は情報を厳重に管理すること。止むを得ず、再委託先において委託事業に係る情報を閲覧する必要がある場合には、受託者は、事前に農林水産省の担当者と調整し、農林水産省の担当者の指示に従うこと。(再委託先における情報の取扱いを含む包括的な秘密保持契約を締結する、作業の都度情報の取扱いについて調整するなどの手続き方法について合意すること。
(2)委託先の資本関係・役員の情報等に関する事項
ア 受託者は、資本関係・役員の情報、委託事業の実施場所、委託事業従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報を提示すること。
イ 委託事業の運用に係る要員を限定すること。また、全ての要員の所属、専門性(資格等)、実績及び国籍について掲示すること。委託事業の実施期間中に要員を変更する場合は、事前に農林水産省の担当者へ連絡し、許可(又は確認)を得ること。
ウ 運用に係る者の所属(契約社員、派遣社員等の雇用形態は問わず、委託事業に従事する全ての要員)、実績(経験年数、資格等)及び国籍について、農林水産省の担当者にあらかじめ提出し、許可(又は確認)を得ること。
エ 再委託を行う場合には、受託者は、再委託先の事業者名、住所、再委託対象とする業務の範囲、再委託する必要性について、委託元である府省庁の担当者へ提示し、許可(又は確認)を得ること。
オ 前号に掲げる情報の提供に加えて、再委託先において本委託事業に関わる要員の所属、専門性(資格等)、実績及び国籍についての情報を委託元である府省庁の担当者へ提示すること。
(3)監査に関する事項
本調達に係る業務の遂行における情報セキュリティ対策の履行状況を確認するために、農林水産省が情報セキュリティ監査の実施を必要と判断した場合は、農林水産省が定めた実施内容(監査内容、対象範囲、実施者等)に基づく情報セキュリティ監査を受託者は受け入れること。(農林水産省が別途選定した事業者による監査を含む)。
2 機器等の調達
(1)当該機器等の製造工程において意図しない変更が加えられないよう適切な措置が
4
別添2
とられており、当該措置を継続的に実施していること。また、当該措置の実施状況を証明する資料を提出すること。
(2)当該機器等の製造工程の履歴に関する記録を含む製造工程の管理体制が適切に整備されていること。また、当該管理体制を証明する資料を提出すること。
(3)機器等に対して不正な変更が加えられないように製造者等が定めたセキュリティ確保のための基準等が整備されており、その基準等が当該機器等に適用されていること。また、それらを証明する資料を提出すること。
(4)機器等の設計から部品検査、製造、完成品検査に至る工程について、不正な変更が行われないことを保証する管理が一貫した品質保証体制の下でなされていること。機器に不正が見つかったときに、追跡調査や立入検査等、農林水産省と迅速かつ密接に連携して原因を調査し、排除できる体制を整備している生産工程による製品であること。
(5)情報システムを構成する要素(ソフトウェア、ハードウェア)に対して不正な変更があった場合に識別できる構成管理体制が確立していること。また、当該構成管理体制が書類等で確認できること。
(6)受託者が情報システムを構成する要素(ソフトウェア、ハードウェア)として採用した機器等について、不正な変更が加えられていないことを検査する体制が受託者において確立していること。また、当該検査体制が書類等で確認できること。
5