データ保護及び管理に関する特記仕様書 第5情報システムの情報セキュリティ要件. 情報システムの情報セキュリティ要件 受注者は、本契約により情報システムを導入する場合は、対象となる以下の項目を遵守すること。
データ保護及び管理に関する特記仕様書 第5情報システムの情報セキュリティ要件. 機能の動作状況及び更新状況を一元管理する機能を備えること。
(3) 脆弱性対策
(ア) 構築時の脆弱性対策 情報システムを構成するソフトウェア及びハードウェアの脆弱性を悪用した不正を防止するため、開発時及び構築時に脆弱性の有無を確認の上、運用上対処が必要な脆弱性は修正の上で納入すること。
(イ) 運用時の脆弱性対策 運用開始後、新たに発見される脆弱性を悪用した不正を防止するため、情報システムを構成するソフトウェア及びハードウェアの更新を効率的に実施する機能を備えるとともに、情報システム全体の更新漏れを防止する機能を備えること。
5.2 不正監視・追跡
(1) ログ管理
(ア) ログの蓄積・管理 情報システムに対する不正行為の検知、発生原因の特定に用いるために、情報システムの利用記録、例外的事象の発生に関するログを蓄積し、発注者が指定する期間保管するとともに、不正の検知、原因特定に有効な管理機能(ログの検索機能、ログの蓄積不能時の対処機能等)を備えること。
データ保護及び管理に関する特記仕様書 第5情報システムの情報セキュリティ要件. (2) 不正監視
(ア) 侵入検知 不正行為に迅速に対処するため、情報システムで送受信される通信内容の監視及びサーバ装置のセキュリティ状態の監視等によって、不正アクセスや不正侵入を検知及び通知する機能を備えること。
(イ) サービス不能化の検知 サービスの継続性を確保するため、大量のアクセスや機器の異常による、サーバ装置、通信回線装置又は通信回線の過負荷状態を検知する機能を備えること。
5.3 アクセス・利用制限
(1) 主体認証 情報システムによるサービスを許可された者のみに提供するため、情報システムにアクセスする主体の認証を行う機能として、ID/パスワードの方式を採用し、主体認証情報の推測や盗難等のリスクの軽減を行う機能として、パスワードの複雑性及び指定回数以上の認証失敗時のアクセス拒否などの条件を満たすこと。
(2) アカウント管理
(ア) ライフサイクル管理 主体のアクセス権を適切に管理するため、主体が用いるアカウント(識別コード、主体認証情報、権限等)を管理(登録、更新、停止、削除等)するための機能を備えること。
(イ) アクセス権管理 情報システムの利用範囲を利用者の職務に応じて制限するため、情報システムのアクセス権を職務に応じて制御する機能を備えるとともに、アクセス権の割り当てを適切に設計すること。
(ウ) 管理者権限の保護 特権を有する管理者による不正を防止するため、管理者権限を制御する機能を備えること。
データ保護及び管理に関する特記仕様書 第5情報システムの情報セキュリティ要件. 5.4 機密性・完全性の確保
(1) 通信経路上の盗聴防止 通信回線に対する盗聴行為や利用者の不注意による情報の漏えいを防止するため、通信内容を暗号化する機能を備えること。
(2) 保存情報の機密性確保 情報システムに蓄積された情報の窃取や漏えいを防止するため、情報へのアクセスを制限できる機能を備えること。また、保護すべき情報を利用者が直接アクセス可能な機器に保存できないようにすることに加えて、保存された情報を暗号化する機能を備えること。
(3) 保存情報の完全性確保 情報の改ざんや意図しない消去等のリスクを軽減するため、情報の改ざんを検知する機能又は改ざんされていないことを証明する機能を備えること。
データ保護及び管理に関する特記仕様書 第5情報システムの情報セキュリティ要件. ウェア、ソフトウェア及びサービス構成に関する詳細情報)が記載された文書を提出するとともに文書どおりの構成とし、加えて情報システムに関する運用開始後の最新の構成情報及び稼働状況の管理を行う方法又は機能を備えること。
(2) システムの可用性確保 サービスの継続性を確保するため、情報システムの各業務の異常停止時間が復旧目標時間として 1 日を超えることのない運用を可能とし、障害時には迅速な復旧を行う方法又は機能を備えること。
5.7 サプライチェーン・リスク対策
(1) 受注者(再委託先含む)において不正プログラム等が組み込まれることへの対策 情報システムの構築において、発注者が意図しない変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること。当該品質保証体制を証明する書類(例えば、品質保証体制の責任者や各担当者がアクセス可能な範囲等を示した管理体制図)を提出すること。
(2) 調達する機器等に不正プログラム等が組み込まれることへの対策 機器等の製造工程において、発注者が意図しない変更が加えられないよう適切な措置がとられており、当該措置を継続的に実施していること。また、当該措置の実施状況を証明する資料を提出すること。
データ保護及び管理に関する特記仕様書 第5情報システムの情報セキュリティ要件. 機能の動作状況及び更新状況を一元管理する機能を備えること。
データ保護及び管理に関する特記仕様書 第5情報システムの情報セキュリティ要件. 機密性・完全性の確保
データ保護及び管理に関する特記仕様書 第5情報システムの情報セキュリティ要件. ウェア、ソフトウェア及びサービス構成に関する詳細情報)が記載された文書を提出するとともに文書どおりの構成とし、加えて情報システムに関する運用開始後の最新の構成情報及び稼働状況の管理を行う方法又は機能を備えること。