PMDA ウェブサイトの運用支援及び保守業務調達仕様書
PMDA ウェブサイトの運用支援及び保守業務調達仕様書
令和3年2月
独立行政法人 医薬品医療機器総合機構
目次
1 調達案件の概要に関する事項 1
(1) 調達件名 1
(2) 用語の定義 1
(3) 調達の背景と目的 1
2 調達案件及び関連調達案件の調達単位、調達の方式等に関する事項 4
13 窓口連絡先 24
i
1 調達案件の概要に関する事項
(1) 調達件名
PMDA ウェブサイトの運用支援及び保守業務
(2) 用語の定義
表 1.1 用語の定義
用語 | 概要 |
添付文書 | 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和 35 年法律第 145 号)の規定に基づき、医薬品、医療機器及び再生医療等製品(以下「医薬品等」という。)の適用を受ける患者の安全を確保し適正使用を図るために必要な情報を提供する目的で、医薬品等の製造販売業者が用法、用量、使用方法その他使用及び取扱い上の必要な注意等の定められた事項を記載し、作成する文書。 |
クラウド | ソフトウェアやハードウェアの利用権などをネットワーク越しにサービスとして利用者に提供する方式を「クラウドコンピューティング」(cloud computing)と呼び、データセンターや、その中で運用されているサーバ群のことをクラウド という。 |
Infrastructure as a Service (IaaS) | 情報システムの稼働に必要な機材や回線などの基盤を、クラウドサービスとして 遠隔から利用できるようにしたもの。 |
Info サイト | 医薬品医療機器情報提供ホームページ(https://www.info.pmda.go.jp/) |
情報提供システム | Info サイトを管理するシステム |
(3) 調達の背景と目的
独立行政法人医薬品医療機器総合機構(以下「PMDA」という。)では、以前、独立行政法人医薬品医療機器総合機構ウェブサイト (https://www.pmda.go.jp/)及び info サイトの2つのウェブサイトを主に運用してきた。しかしながら、一つの法人でウェブサイトを
2つ運用することは望ましくなく、また各々ページに統一感がなかったこと等から、ユーザビリティの向上を目的に 2 つのウェブサイトを平成 27 年3月に統合を行い、現行の PMDA ウェブサイトを運営している。
PMDA ウェブサイトの運営にあたっては、国民や医療従事者等に医薬品等の安全性情報等を迅速かつ適切にお知らせすることや、世界に情報発信すること等を行う必要がある。これらを行うには、関連する業務を運用支援及び保守業務として外部委託することが最も適切かつ合理的であることから、平成 27 年3月にウェブサイトリニューアルを行って以
降、毎年度外部委託を行っている。なお、軽微な改修に関しては、改修すべき案件を整理し、適宜工数の増減を毎年度行っている。
今年度の調達においては、より安定した運用を行うために3年契約を行うこととする。
PMDA の中心業務である、審査関連業務、安全対策業務、健康被害救済業務では、それぞれの業務上広範囲への発信が必要な情報は PMDA ウェブサイトに掲載しているが、一部は info サイトにも掲載しており、また、PMDA ウェブサイトの情報検索機能(医療用医薬品、医療機器、一般用・要指導医薬品、体外診断用医薬品、再生医療等製品)で表示される添付文書やインタビューフォーム等の一部の文書については、info サイトで管理しているデータベースと連携バッチを行ってデータ取得を行っている(info サイトは安全性情
報・企画管理部にて運営を行っている)。
本システムは、IaaS 上のウェブサイトを公開するウェブサーバ、コンテンツを作成する CMS サーバ、ウェブサイトで検索する添付文書などを関連システムから取得するインターフェースサーバなどで構成されている。システムメンテナンスあるいは予期しないシステム障害時にも商品識別コードによる最新添付文書等検索機能のサービスを提供するため、令和3年3月よりバックアップサイトの稼働を開始する予定としている。令和3年4月時点のシステム構成は図 1-1 全体構成図を参照のこと。
令和 3 年から令和 4 年にかけて情報提供システムと基盤を統合してシステム・リプレースを行う予定としている。システムの論理構成は現行を踏襲し、機能の追加・改修は行わない予定であるが、主に情報提供システムとのデータ連携方法、ネットワーク、物理構成を見直し、ネットワーク、通信機器、セキュリティ装置、サーバなどを一部情報提供システムと共有した構成に変更となる見込みである。
図 1-1 全体構成図
受注者は、落札後に以下の契約条件にて PMDA と協議の上、契約を行うこと。
令和3年4月1日から令和6年3月末日まで
請負契約形態とし、検収や支払方法等は契約書にて定める。
運用業務については、受注者と PMDA との間で協議の上、SLA(Service Level Agreement)を締結する。サービスレベル評価項目と要求水準については、別紙1
「SLA 項目」を参照すること。ただし、サービスレベル評価項目と要求水準については、必要に応じて協議の上、見直すこととする。
運用業務の対象期間は、令和3年4月1日から令和6年3月末日を予定している。
① 受注者は、運用業務の開始までに本情報システムの運用業務を実施するための準備を実施し、必要な情報についてPMDA(または前受注者)より引継ぎを受けること。
② 本業務に係る想定スケジュールの概要は、別紙2「作業スケジュール」のとおりとする。なお、このスケジュールはあくまで想定のスケジュールであり、詳細な実施スケジュールは受注者が検討の上、実施計画書に記載すること。
2 調達案件及び関連調達案件の調達単位、調達の方式等に関する事項
関連する調達案件の調達単位、調達の方式、実施時期等は次の表の通りである。
表 2.1 関連する調達案件の調達単位、調達の方式、実施時期等(既存契約)
項番 | 調達案件名 | 調達の方式 | 実施時期 | 事業者名 | 役割 | 補足 |
1 | PMDA ウェブサイト基盤運用保守 | 一般競争入札 | 令和元年 10 月から 令和2年 7 月 | 新日鉄住金ソリューションズ株式会社 | 基盤更改及びクラウドサービスの提供 |
表 2.2 関連する調達案件の調達単位、調達の方式、実施時期等(契約予定)
項番 | 調達案件名 | 調達の方式 | 実施時期 | 役割 | 補足 |
1 | PMDA ウェブサイト基盤運用保守 | 随意契約 | 令和3年8月から令和 4年7月 | クラウドサービスの提供 | 現行クラウド環境のサービス延長 |
2 | 情報提供システム及び PMDA ウェブサイトの機器更改及びアプリケーション移行業務 | 総合評価 | 令和3年5月から令和 10 年7月 | 基盤更改、データセンター、製品保守 | 構築期間は令和3年5月から令和4年7月 運用期間は6年間 |
3 | PMDA ウェブサイトリニューアル検討及び設計等業務 | 一般競争入札 | 令和3年4月から令和 4年3月 | ウェブサイト調査分 析、設計 | 令和4年度以降のリニューアルに向けた課題整 理・デザイン検討 |
令和 3 年から令和 4 年にかけて本システムのサーバリプレイスを行い、情報提供システムと基盤を統合する予定である。DB サーバ等の統合等を検討しているため現行の運用手順等についての見直しを行う必要がある。
3 作業の実施内容に関する事項
受注者は、本調達仕様書に記載された作業内容や各要件(別紙3「業務要件」等)を参照の上、以下に関し必要な作業を実施すること。
(ア)受注者は、令和3年4月1日の運用業務の開始までに、本情報システムの円滑な運用業務の実施に必要な準備作業として、運用業務に必要な什器等の準備、回線引込等を行うこと。
(イ)受注者は、令和3年4月1日の運用業務の開始までに、運用準備作業に関する実施計画書(運用準備作業)を作成すること。その後 PMDA の承認を受けること。
(ウ)受注者は、運用準備作業が完了した後、作業完了報告書を作成し、PMDA の承認を受けること。
イ 実施計画書の作成
受注者は、令和3年4月1日の運用業務の開始までに、PMDA の指示に基づき体制 図、作業内容、作業体制、作業分担、スケジュール、文書管理要領、変更管理要領を記載した実施計画書及び「9(1)情報セキュリティ対策の実施」に記載している要件を
満足する情報セキュリティ管理計画書を作成すること。その後、PMDA の承認を受けること。
ア 中長期的又は年度ごとの運用・保守作業計画の確定支援
受注者は、PMDA が中長期又は年度ごとの運用・保守作業計画を確定するに当たり、情報システムの構成やライフサイクルを通じた運用業務及び保守作業の内容について、計画案の妥当性に関する意見提示、情報提供等の支援を行うこと。
イ 定常時対応
(ア)受注者は、別紙3「業務要件」の「運用業務の範囲定義」に示す運用業務(システム操作、運転管理・監視、稼動状況監視、サービスデスク提供等)を行うこと。具体的な実施内容・手順は実施計画書等に基づいて行うこと。
(イ)受注者は、別紙4「システム運用管理基準」を参照の上、以下の内容について月次で運用報告を取りまとめ、PMDA に報告すること。
A)運用期間・報告日・イベントの概況等の基本状況
B)作業実績等の運用状況 (WBS 単位の作用内容、工数等)
C)情報システムの稼働業務状況
D)問合せ管理運用状況(サービスデスク稼働状況) (別紙4参照)
E)インシデント管理状況 (別紙4参照)
F)問題管理状況(別紙4参照) G)変更管理状況 (別紙4参照)
H)バックアップ取得状況(別紙4参照)
I)情報セキュリティ管理状況(情報セキュリティ遵守状況)(別紙4参照) J)脆弱性管理(別紙4参照)
K)アクセス権管理状況(特権(高権限 ID)管理状況)(別紙4参照)
L)システムリソース状況 (キャパシティ管理、可用性管理)(別紙4参照)
M)サービスレベル達成状況 (別紙4参照)
N)情報システムの定期点検状況(別紙5「情報セキュリティ対策の運用要件」参照) O)教育・訓練状況
P)リスク課題の把握・対応状況
(ウ)受注者は、月間の運用実績を評価し、達成状況が SLA 要求水準を満たさない場合はその要因の分析を行うとともに、達成状況の改善に向けた対応策を提案すること。
(エ)受注者は、運用作業報告書の内容について、月例の定期運用会議を開催し、その内容を報告すること。ただし、PMDA が認めた場合は、書面のみの報告を可とする。
(オ)受注者は、ソフトウェア製品の保守の実施において、ソフトウェア製品の構成に変更が生じる場合には、PMDA にその旨を報告し、変更後の環境がライセンスの許諾条件に合致するか否かの確認を受けること。
ウ 情報システムの現況確認支援
(ア)受注者は、年1回、PMDA の指示に基づき、システム資産簿と情報システムの現況との突合・確認(以下「現況確認」という。)を支援すること。
(イ)受注者は、現況確認の結果、システム資産簿と情報システムの現況との間の差異がみられる場合は、運用実施要領に定める変更管理方法に従い、差異を解消するこ と。
(ウ)受注者は、現況確認の結果、ライセンス許諾条件に合致しない状況が認められる場合は、当該条件への適合可否、条件等を調査の上 PMDA に報告すること。
(エ)受注者は、現況確認の結果、サポート切れのソフトウェア製品の使用が明らかとなった場合は、当該製品の更新の可否、更新した場合の影響の有無等を調査の上 PMDA に報告すること。
エ 運用作業の改善提案
受注者は、年度末までに年間の運用実績を取りまとめるとともに、必要に応じて中長期運用・保守作業計画、運用計画、運用実施要領に対する改善提案を行うこと。
ア 中長期又は年度ごとの運用・保守作業計画の確定支援
受注者は、PMDA が中長期又は年度ごとの運用・保守作業計画を確定するに当たり、情報システムの構成やライフサイクルを通じた運用業務及び保守作業の内容について、計画案の妥当性の確認、情報提供等の支援を行うこと。
イ 定常時対応
(ア)受注者は、別紙3「業務要件」の「保守業務の範囲定義」に示す保守業務(不具合受付等)及び定期点検(サーバ等のヘルスチェック)を行うこと。具体的な実施内容・手順は実施計画書等に基づいて行うこと。
(イ) 受注者は、定期点検(サーバ等のヘルスチェック)の結果について、速やかに PMDA へ報告すること。またシステム設定値等の差異がみられる場合は、PMDA へ報告の上、変更管理方法に従い、差異を解消すること。
(ウ)受注者は、保守作業計画及び保守実施要領に基づき、保守作業の内容や工数などの作業実績状況(情報システムの脆弱性への対応状況を含む。)、サービスレベルの達成状況、情報システムの定期点検状況、リスク・課題の把握・対応状況について月次で保守作業報告書を取りまとめること。
(エ)受注者は、月間の保守実績を評価し、達成状況が目標に満たない場合はその要因の分析を行うとともに、達成状況の改善に向けた対応策を提案すること。
(オ)受注者は、保守作業報告書の内容について、月例の定期運用会議を開催し、その内容を報告すること。ただし、PMDA が認めた場合は、書面のみの報告を可とする。
ウ 情報システムの現況確認支援
(ア)受注者は、年1回、PMDA の指示に基づき、システム資産簿と情報システムの現況との突合・確認(以下「現況確認」という。)を支援すること。
(イ)受注者は、年1回、PMDA の指示に基づき、情報システム台帳(セキュリティ要件に係る事項)の作成・更新を支援すること。
エ 保守作業の改善提案
受注者は、年度末までに年間の保守実績を取りまとめるとともに、必要に応じて中長期保守・保守作業計画、保守計画、保守実施要領に対する改善提案を行うこと。
ア 受注者は、インシデントについて、発生日、内容、対応状況等と記録・整理すること。
イ 受注者は、インシデント発生時の 1 次切り分け業務(検知、発生箇所の特定及び運用・保守に関係する事業者との連携による原因調査)を速やかに行うこと。
ウ 受注者は、情報システムの障害等インシデント発生時(又は発生が見込まれる時)には、速やかに PMDA に報告するとともに、その緊急度及び影響度を判断の上、別紙
4「システム運用管理基準 4.2インシデント管理」に示す「インシデント報告書
(ひな型)」を参照の上、インシデント発生時運用業務(検知、障害発生箇所及び原因調査、応急措置、復旧確認、報告等)を行うこと。なお、インシデントには、情報セキュリティインシデントを含めるものとする。具体的な実施内容・手順は情報システムごとのインシデント管理プロセス手順書に基づいて行うこと。(インシデント管
理プロセス手順書がない場合は、作成すること) また、情報セキュリティインシデントの場合は、「PMDA 情報セキュリティインシデント対処手順書」を参照の上、インシデント発生対応を実施のこと。
エ 受注者は、情報システムのインシデントに関して事象の分析(発生原因、影響度、過去の発生実績、再発可能性等)を行い、同様の事象が将来にわたって発生する可能性がある場合には、恒久的な対応策を提案及び対応策の実施をすること。
オ 受注者は、運用業務に従事する要員に対して、年1回以上のセキュリティの定期教育を実施すること。また、新たに要員が参画する場合は、参画時にセキュリティ教育を実施すること
カ 受注者は、大規模災害等の発災時には、PMDA の指示を受けて、必要な対応を実施すること。また定常時においても、運用継続計画(情報システム用 BCP)を参照し、 PMDA と協議の上、大規模災害時の手順書見直し・整備等の必要な対応を実施すること。
ア 作業工数実績の報告
受注者は、本業務で実施作業内容とその工数について、月次で PMDA に報告すること。報告の様式等に関しては、業務開始時に PMDA と協議し決定すること。
ア 本システムの更改時
受注者は、PMDA が本システムの更改を行う際には、次期の情報システムにおける要件定義支援事業者及び設計・開発事業者等に対し、作業経緯、残存課題等に関する情報提供及び質疑応答等の協力を行うこと。
イ 現行運用事業者からの引継ぎ
受注者は、現行運用事業者から令和3年4月1日からの運用に必要な事項の引継ぎとして、運用監視作業エリアの引継、サービスデスクの引継、システム資源及びデータの引継を受け、現行事業者から提供される資料(運用作業の計画書や報告書、運用設計書及び運用手順書等の一覧)を基に自主的に業務習熟を行うこと。現行運用事業者からの引継作業は受注者の負担と責任において実施すること。
ウ 次期運用事業者への引継ぎ
受注者は、本調達に係る契約期間終了後、受注者と異なる事業者が本情報システムの運用業務を受託した場合には、次期運用事業者に対し、作業経緯、残存課題等下記項目についての引継ぎを行うこと。
A) 問合せ、障害等の対応及び管理に関する手法・手順
B) システム運用マニュアル、運用業務マニュアル
C) 仕掛中の項目一覧及びその進捗状況
D) 過去の問合せ、障害等の実績及びその対応方法 E) バックログ・未対応作業一覧及びその対応(案) F) その他業務を引継ぐ上で必要と思われる事項
① PMDA においては、システムのインベントリ情報を一元管理するシステム資産簿を作成している。受注者は、本システムで利用する機器、ソフトウェア、ネットワーク等の構成情報を PMDA へ報告し、一元管理するシステム資産簿の管理情報について常に最新の状態を保つこと。なお、以下に示す事項以外に管理が必要と考えられる事項があれば PMDA と協議の上、合わせて管理すること。
② 受注者は対象システムに更新等が発生した場合、下記のインベントリ情報に関し、 PMDA が指定するシステム資産簿登録用シートを、PMDA が指示する時期に提出すること。
ア ハードウェア管理台帳(ハードウェア名称、システムモデル、シリアル番号、サポート内容・期間等)
イ ソフトウェア管理台帳(ソフトウェア名称、エディション・バージョン、ソフトウェアの搭載機器、サポート内容・期間等)
ウ ライセンス管理台帳(ソフトウェア名称、エディション・バージョン、ライセンス番号(シリアル番号)、提供形態、有効期限、保有ライセンス数等)
エ その他 PMDA が指定する項目
③ 受注者は、本システムを構成する機器・ソフトウェアの変更、業務アプリケーションの変更、仕様書、設計書等の本システムにかかる各種ドキュメントの変更について、変更理由、変更内容、影響範囲、対応状況、責任者、対応者等と記録し、一元管理を行うこと。
作業工程別の納入成果物を表 3.1に示す。ただし、納入成果物の構成、詳細については、受託後、PMDA と協議し取り決めること。
表 3.1 工程と成果物
項番 | 工程 | 納入成果物 (注 1) | 納入期日 | 納品に関する 注意事項 |
1 | 準備 | ・運用準備作業に関する実施計画書(運用準備作業) | 令和3年4月1日 | |
2 | 計画 | ・実施計画書(3(1)① イに記載) (注 2) | 令和3年4月1日 | |
・情報セキュリティ管理計画書(「9 | ||||
(1)情報セキュリティ対策の実施」に | ||||
記載している要件を満足する)(注 3) | ||||
3 | 運用 | ・システム運用マニュアル(注4) ・運用業務マニュアル(注5) | 令和6年3月 22 日 | |
・システム関連ドキュメント | ||||
・プログラム・ツール等 | ||||
・要員別業務種類別 作業時間集計表 | ||||
(月次) | ||||
4 | その他 | ・月例報告資料 | 令和6年3月 22 | |
・アウトソーシングセンター設置サーバ | 日 | |||
稼働状況報告書 ・打合せ資料 | (※必要に応じて随時提出) | |||
・議事録 | ||||
・障害等作業記録 | ||||
・運用支援報告書 |
注1 納入成果物の作成にあたっては、SLCP-JCF2013(共通フレーム 2013)を参考とすること。
注2 実施計画書には、プロジェクト目標、体制図(責任者・契約担当・再委託の有無を含む)、SLA、作業内容、作業体制、作業分担(PMDA との役割分担を含む)、年間スケジュール、文書管理要領、変更管理・課題管理要領、工程管理・WBS 工程管理要領、工数管理、納入成果物、障害時の緊急連絡方法、提案事項等を記載
注3 情報セキュリティ管理計画書には、ISMS 等認証取得、情報管理に関するルール(社内規程明示等)、情報管理体制、情報セキュリティインシデント対処方法、PMDA 情報の取扱い(目的外使用・意図しない変更を防止する方法を含む)、メンバーのスキル・資格・国籍等、自主点検の実施、業務環境のセキュリティ、レポート体制、再委託による履行保証措置、緊急連絡方法、教育・研修の実施等を記載
注4 システム運用上、運用支援要員の行うべき業務内容及び操作手順に関するマニュアルとし、全対象システムについて次の内容を盛り込んだものとする。
(ア)ジョブ一覧、(イ)起動・停止手順、(ウ)バックアップ手順、(エ)リカバリ手順、
(オ)障害監視手順、(カ)障害対応手順、(キ)ログ確認手順、(ク)性能監視手順、(ケ)設定変更手順、(コ)ユーザ管理手順、(サ)マスタの更新及びそれに伴うデータ修正手
順、(シ) (ア)~(サ)の他、本業務の適切な履行のために運用支援要員が準拠すべき内容を網羅した手順書等
注5 システム運用上の業務プロセスを定めた「業務フロー及び手順書」とし、次のシステム運用業務について作成・更新するものとする。
(ア)問合せ管理プロセス (イ)インシデント管理プロセス (ウ)変更管理プロセス
(エ)リリース管理プロセス (オ)構成管理プロセス (カ)問題管理プロセス (キ)各定期点検プロセス (ク)リスク管理プロセス (ケ)課題管理プロセス (コ)情報セキュリティ管理プロセス。
表 3.1の納入成果物を含む全ての納入成果物を令和6年3月 22 日迄に納品すること。なお、納入成果物については、以下の条件を満たすこと。
ア 成果物は、すべて日本語で作成すること。ただし、日本国においても、英字で表記されることが一般的な文言については、そのまま記載しても構わないものとする。
イ 用字・用語・記述符号の表記については、「公用文作成の要領」に準拠すること。ウ 情報処理に関する用語の表記については、日本産業規格(JIS)の規定に準拠するこ
と。
エ 受注者は、指定のドキュメントを外部電磁的記録媒体(CD-R 等)により納品すること。また、PMDA が要求する場合は紙媒体でも納品すること。紙媒体の納品部数については、PMDA と協議すること。ただし、ソフトウェア、ソースコード等は外武電磁的記録媒体(CD-R など)のみとする。
オ 紙媒体のサイズは、日本産業規格A列4番を原則とする。図表については、必要に応じてA列3番を使用することができる。また、バージョンアップ時等に差替えが可能なようにバインダ方式とする。
カ 外部電磁的記録媒体に保存する形式は MicrosoftWord2016、同 Excel2016、同 PowerPoint2016 で読み込み可能な形式及び PDF 形式とすること。ただし、PMDAが他の形式による提出を求めた場合は、これに応じること。なお、受注者側で他の形式を用いて提出したいファイルがある場合は、協議に応じるものとする。
キ 納品したドキュメントに修正等があった場合は、紙については、それまでの変更内容を表示するとともに変更履歴と修正ページ、外部電磁的記録媒体については、それまでの変更内容及び修正後の全編を速やかに提出すること。
ク 外部電磁的記録媒体は、2部納品すること。
バインダー1部に磁気媒体2部と成果物一覧(紙)を綴り、背表紙 に案件名、受注業者名、納入年月日を記載すること。
ケ 納品後、PMDA において改変が可能となるよう、図表等の元データも併せて納品すること。
コ 成果物の作成に当たって、CAD 等の上記以外の特別なツールを使用する場合は、
PMDA の承認を得ること。
サ 成果物が外部に不正に使用されたり、納品過程において改ざんされたりすることのないよう、安全な納品方法を提案し、成果物の情報セキュリティの確保に留意すること。
シ 外部電磁的記録媒体により納品する場合は、不正プログラム対策ソフトウェアによる確認を行う等して、成果物に不正プログラムが混入することのないよう、適切に対処すること。
ス 成果物の作成及び納品に当たり、内容、構成等について PMDA が指摘した場合には、指摘事項に対応すること。
セ 納品に当たっては、現存するドキュメント等を変更する必要がある場合はそれらを修正することとし、修正点が分かるように表記すること。
ソ 報告書、計画書等の成果物の記載様式については、記載様式案を PMDA に提示すること。PMDA は、案について受注者と協議の上、決定する。
独立行政法人 医薬品医療機器総合機構 経営企画部広報課
ただし、PMDA が納品場所を別途指示する場合はこの限りではない。
4 満たすべき要件に関する事項
本業務の実施にあたっては、以下に記載の各要件を満たすこと。
○別紙3 業務要件
○別紙4 システム運用管理基準
○別紙5 情報セキュリティ対策の運用要件
○閲覧資料 セキュリティ管理要件書(ひな型)
5 作業の実施体制・方法に関する事項
受注者は、本業務に係る要員の役割分担、責任分担、体制図等を実施計画書の一部として作成し、PMDA に報告するとともに、承認を得ること。また、受注者は、必要な要員の調達を遅滞なく実施し、体制図等の要員配置関連資料を確定すること。
①プロジェクトマネジメントに係る、品質管理・進捗管理・セキュリティ管理・リスク管理等の必要な機能を、体制に組み込むこと。
②作業体制の品質確保のため、本業務の運用責任者・リーダーは業務開始から業務終了まで継続して遂行すること。交代する場合は同等以上の要員が担当するものとし、事前に PMDA の承認を得ること。
③受注者は、PMDA 側やその他関連事業者を含めた全体の体制・役割を示した上で、プロジェクトの推進体制及び本件受注者に求める作業実施体制を PMDA と協議の上定めること。また、受注者の情報セキュリティ対策の管理体制については、作業実施体制とは別に作成すること。
④受注者は、インシデント発生時などの連絡体制図を PMDA と協議の上定めること。
⑤ヘルプデスクは1名での対応とする。ただし、業務量に応じて、2名で対応可能な体制を取ること。なお、ヘルプデスクでの対応が困難な案件は、速やかに他の運用支援要員に対応を依頼すること。運用支援要員は、本業務を履行する上で適切なサポート体制を取っておくこと。
⑥受注者は、要員名簿に記載した者のうち、本業務を履行する上で不適当と認められる者がある場合には、速やかに受注者の責任において要員の改善又は交代を行うこと。ま た、PMDA は、規律の維持、風紀及び健康状態等衛生面、並びに従事体制等を勘案し、本業務を履行する上で不適当と認められる要員について、受注者に対しその改善又は交代を求めることができる。この場合、受注者は、速やかに受注者の責任において要員の改善又は交代を行うこと。
⑦要員の一次応答において回答が困難と認められる事案については、要員管理者等の上位の者(PMDA を含む。以下同じ。)へ適時適切にエスカレーションを行うこととし、そのために必要な体制を整備すること。特に製品、サービスを外部から提供されている CMS、ASP などの外部業者との連携は、別途サーバ等一式の提供業者が担う作業範囲と齟齬を来さず、且つ漏れが出ぬよう、PMDA への窓口としては本件受注者が集約し、対応すること。
⑧障害発生等のために応答の内容を臨機に変更する必要がある場合には、PMDA との緊密な連絡に基づきオペレータが適切に対応できるよう、必要な体制を整備すること。
⑨要員が行う一次応答については、必要に応じて上位の者がモニタリングを実施し、それに基づいて随時、必要な指導を行うために必要な体制・設備を整備すること。
⑩要員は、その業務に応じてプログラマー、システムエンジニア、オペレータ等を適切に配置し、その管理のためにその他必要な措置を講じること。
➃障害原因調査、不具合修正及び軽微な改修業務等に対応するため、検証環境(開発用のハードウェア、開発ツール、データベース(Oracle Database)等のソフトウェアを含む。)及び作業場所等を、受注者の責任において確保すること。また、CMS については、本番環境が運用中であるため、テンプレート作成環境、カスタマイズ検証環境を整備すること。なお、検証環境の構築については、契約締結後から引継ぎ期間中に構築を完了すること。
① 本業務の実施に当たり、PMDA の意図しない変更が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること。また、当該品質保証体制が書類等で確認できること。
② 本情報システムに PMDA の意図しない変更が行われるなどの不正が見つかった時(不正が行われていると疑わしい時も含む)に、追跡調査や立入検査等、PMDA と受注者が連携して原因を調査・排除できる体制を整備していること。また、当該体制が書類等で確認できること。
③ 当該管理体制を確認する際の参照情報として、資本関係・役員等の情報、本業務の実施場所、本業務従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。具体的な情報提供内容についてはPMDA と協議の上、決定するものとする。
作業要員に求めるスキル及び資格等の要件を以下に示す。但し、体制構築においては費用対効果の観点を踏まえ、管理者及び作業実施者を適切に配置すること。
①運用責任者・リーダの必要スキル
A) システム運用保守業務のマネジメント経験が 3 年以上
B) 類似のシステムの構築経験有りまたは運用保守経験が 3 年以上
C) PMP 又は、情報処理技術者(プロジェクトマネージャ)資格※
※ただし、当該資格保有者等と同等の能力を有することが経歴等において明らかな者については、これを認める場合がある(その根拠を明確に示し、PMDA の了承を得ること)
D) 日本語による「円滑な意思疎通」が図れること
② ヘルプデスクの必要スキル
A) Windows OS/Linux 等の上に構築されたウェブサイト、及び CMS(ALAYA の取扱い経験があること)
③ 専門分野のスキル
A) 企業または官公庁・独立行政法人等の複数の拠点を結ぶネットワークインフラの運用経験を5年以上有すること。
B) Web ページ制作技術に関する専門的な知識、及び CMS や ASP、サイト内検索サービス、アクセスログ解析サービス、Java 言語等に関する専門的な知識を有しているこ と。
C) Oracle Database のチューニングとログ分析の経験を5年以上有すること。
D) CMS ALAYA に関して取扱い経験及び専門的な技術知識を有し、現場担当者に対して適切な応答速度で、有効な助言、指示を与える者を配置すること。
E) Web サーバ、ネットワークインフラに関する専門的な技術知識を有し、現場担当者に対して適切な応答速度で有効な助言、指示を与えられる者を配置すること。
F) 本システムの業務を理解しており、本システムの運用・保守にあたり、PMDA に逐次業務の説明を求めることなく担当者とスムーズな会話ができる知識を有しているこ と。
① ヘルプデスクは、新霞が関ビルの PMDA 執務室内に設置する HP ヘルプデスク室に常駐すること。PMDA 執務室内にて業務を行う範囲においては、光熱費、通信費並びに作業用端末は無償貸与するものとする。
② ヘルプデスク以外の受注業務の作業場所(サーバ設置場所等を含む)は、(再委託も含めて)PMDA 内、又は日本国内で PMDA の承認した場所で作業すること。
③ 受託業務で用いるサーバ、データ等は日本国外に持ち出さないこと。
④ PMDA 内での作業においては、必要な規定の手続を実施し承認を得ること。なお、必要に応じて PMDA 職員は現地確認を実施できることとする。
(5) 作業の管理に関する要領
① 受注者は、PMDA の指示に従って運用業務に係るコミュニケーション管理、体制管理、進捗管理、リスク管理、課題管理、システム構成管理、変更管理、情報セキュリティ対策を行うこと。
② 受注者は、PMDA の指示に従って保守業務に係るコミュニケーション管理、体制管理、進捗管理、リスク管理、課題管理、システム構成管理、変更管理、情報セキュリティ対策を行うこと。
③ PMDA が管理するエリアからの情報の持ち出しは許可しない。持ち出しが必要な場合は事前にPMDA に対し、持ち出し目的、対象情報の範囲、情報利用端末、情報の利用者等に関し申請を行うこと。また受注者は、持ち出した情報を台帳等により管理するこ
と。さらに受注者は、持ち出した情報は使用後に確実に消去し、そのエビデンスを提出すること。
6 作業の実施に当たっての遵守事項
受注者は、次に掲げる事項を遵守すること。
① 本業務の遂行に当たり、業務の継続を第一に考え、善良な管理者の注意義務をもって誠実に行うこと。
② 本業務に従事する要員は、PMDA と日本語により円滑なコミュニケーションを行う能力と意思を有していること。
③ 本業務の履行場所を他の目的のために使用しないこと。
④ 本業務に従事する要員は、履行場所での所定の名札の着用等、従事に関する所定の規則に従うこと。
⑤ 要員の資質、規律保持、風紀及び衛生・健康に関すること等の人事管理並びに要員の責めに起因して発生した火災・盗難等不祥事が発生した場合の一切の責任を負うこと。
⑥ 受注者は、本業務の履行に際し、PMDA からの質問、検査及び資料の提示等の指示に応じること。また、修正及び改善要求があった場合には、別途協議の場を設けて対応すること。
⑦ 次回の本業務調達に向けた現状調査、PMDA が依頼する技術的支援に対する回答、助言を行うこと。
⑧ 本業務においては、業務終了後の運用等を、受注者によらずこれを行うことが可能※となるよう詳細にドキュメント類の整備を行うこと。
※受注者のみが権利を有する排他的な独自技術や開発フレームワーク等を採用しないこと
本業務を実施する上で必要とされる機密保持に係る条件は、以下のとおり。
① 受注者は、受託業務の実施の過程で PMDA が開示した情報(公知の情報を除く。以下同じ。)、他の受注者が提示した情報及び受注者が作成した情報を、本受託業務の目的以外に使用又は第三者に開示若しくは漏洩してはならないものとし、そのために必要な措置を講ずること。
② 受注者は、本受託業務を実施するにあたり、PMDA から入手した資料等については管理簿等により適切に管理し、かつ、以下の事項に従うこと。
⚫ 複製しないこと。
⚫ 用務に必要がなくなり次第、速やかにPMDA に返却又は消去すること。
⚫ 受託業務完了後、上記①に記載される情報を削除又は返却し、受注者において該当情報を保持しないことを誓約する旨の書類を PMDA に提出すること。
⚫ PMDA へ提示する電子ファイルは事前にウイルスチェック等を行い、悪意のあるソフトウェア等が混入していないことを確認すること
⚫ 本業務において取り扱う情報の漏洩、改ざん、滅失等が発生することを防止する観点から、情報の適正な保護・管理対策を実施するとともに、これらの実施状況について、PMDA が定期又は不定期の検査を行う場合においてこれに応じること。万一、情報の漏洩、改ざん、滅失等が発生した場合に実施すべき事項及び手順等を明
確にするとともに、事前に PMDA に提出すること。また、そのような事態が発生し
た場合は、PMDA に報告するとともに、当該手順等に基づき可及的速やかに修復すること。
③ 応札希望者についても上記①及び②に準ずること。
④ 「独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程」の第 52 条に従うこと。
⑤ 「秘密保持等に関する誓約書」を別途提出し、これを遵守しなければならない。
⑥ 機密保持の期間は、当該情報が公知の情報になるまでの期間とする。
⑦ 機密保持及び資料の取扱いについて、適切な措置が講じられていることを確認するため、PMDA が遵守状況の報告や実地調査を求めた場合には応じること。
本業務を実施するにあたっての遵守事項は、以下のとおり。
① 受注者は、本業務の遂行に当たっては、民法、刑法、著作権法、不正アクセス行為の禁止等に関する法律、行政機関の保有する個人情報の保護に関する法律等の関連法規及び労働関係法令を遵守すること。
② 受注者は、次の文書に記載された事項を遵守すること。遵守すべき文書が変更された場合は変更後の文書を遵守すること。
ア 独立行政法人 医薬品医療機器総合機構 情報セキュリティポリシーイ 独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程ウ 独立行政法人 医薬品医療機器総合機構 個人情報管理規程
なお、「独立行政法人 医薬品医療機器総合機構 情報セキュリティポリシー」は非公開であるが、「政府機関等の情報セキュリティ対策のための統一基準(最新版)」に準拠しているので、必要に応じ参照し、その内容を取り込むこと。
「独立行政法人 医薬品医療機器総合機構 情報セキュリティポリシー」の開示については、入札説明会に参加した事業者のうち、事業者が PMDA に「秘密保持等に関する誓約書」を提出した際に開示する。
7 成果物の取扱いに関する事項
知的財産の帰属は、以下のとおり。
① 本件に係り作成・変更・更新されるドキュメント類及びプログラムの著作権(著作権法第 21 条から第 28 条に定めるすべての権利を含む。)は、受注者が本件のシステム開発の従前より権利を保有していた等の明確な理由により、あらかじめ書面にて権利譲渡不可能と示されたもの以外、PMDA が所有する等現有資産を移行等して発生した権利を含めてすべてPMDA に帰属するものとする。
② 本件に係り発生した権利については、受注者は著作者人格権(著作権法第 18 条から第
20 条までに規定する権利をいう。)を行使しないものとする。
③ 本件に係り発生した権利については、今後、二次的著作物が作成された場合等であっても、受注者は原著作物の著作権者としての権利を行使しないものとする。
④ 本件に係り作成・変更・修正されるドキュメント類及びプログラム等に第三者が権利を有する著作物が含まれる場合、受注者は当該著作物の使用に必要な費用負担や使用許諾契約に係る一切の手続きを行うこと。この場合は事前にPMDA に報告し、承認を得ること。
⑤ 本件に係り第三者との間に著作権に係る権利侵害の紛争が生じた場合には、当該紛争の原因が専らPMDA の責めに帰す場合を除き、受注者の責任、負担において一切を処理すること。この場合、PMDA は係る紛争の事実を知ったときは、受注者に通知し、必要な範囲で訴訟上の防衛を受注者にゆだねる等の協力措置を講ずる。なお、受注者の著作又は一般に公開されている著作について、引用する場合は出典を明示するとともに、受注者の責任において著作者等の承認を得るものとし、PMDA に提出する際は、その旨併せて報告するものとする。
① 受注者は本業務の納入成果物に対する契約不適合責任を負うものとする。委託業務の納入成果物に関して仕様書と異なる、または契約目的に照らして通常期待される条件を満たしていない等本システムの正常な稼動等に関わる契約不適合の疑いが生じた場合であって、PMDA が必要と認めた場合は、受注者は速やかに契約不適合の疑いに関して調査し回答すること。調査の結果、納入成果物に関して契約不適合等が認められた場合には、受注者の責任及び負担において速やかに修正を行うこと。なお、修正を実施する場合においては、修正方法等について、事前に PMDA の承認を得てから着手すると共
に、修正結果等について、PMDA の承認を受けること。
② 受注者は、契約不適合責任を果たす上で必要な情報を整理し、その一覧を PMDA に提出すること。契約不適合責任の期間が終了するまで、それら情報が漏洩しないよう に、ISO/IEC27001 認証(国際標準規格)又は JISQ27001 認証(日本産業規格)に従 い、また個人情報を取り扱う場合には JISQ15001(日本産業規格)に従い、厳重に管理をすること。また、契約不適合責任の期間が終了した後は、速やかにそれら情報をデータ復元ソフトウェア等を利用してもデータが復元されないように完全に消去するこ と。データ消去作業終了後、受注者は消去完了を明記した証明書を作業ログとともに PMDA に対して提出すること。なお、データ消去作業に必要な機器等については、受注者の負担で用意すること。
納入成果物については、適宜、PMDA に進捗状況の報告を行うとともに、レビューを受けること。最終的な納入成果物については、「3(3)①成果物」に記載のすべてが揃っていること及びレビュー後の改訂事項等が反映されていることを、PMDA が確認し、これらが確認され次第、検収終了とする。
なお、以下についても遵守すること。
① 検査の結果、納入成果物の全部又は一部に不合格品を生じた場合には、受注者は直ちに引き取り、必要な修復を行った後、PMDA の承認を得て指定した日時までに修正が反映されたすべての納入成果物を納入すること。
② 「納入成果物」に規定されたもの以外にも、必要に応じて提出を求める場合があるので、作成資料等を常に管理し、最新状態に保っておくこと。
③ PMDA の品質管理担当者が検査を行った結果、不適切と判断した場合は、品質管理担当者の指示に従い対応を行うこと。
8 入札参加資格に関する事項
応札希望者は、以下の条件を満たしていること。
① 開発責任部署は ISO9001 又はCMMI レベル 3 以上の認定を取得していること。
② ISO/IEC27001 認証(国際標準)又は JISQ27001 認証(日本工業標準)のいずれかを取得していること。
③ PMDA にて現行関連システムの設計書等を閲覧し、内容を十分理解していること。
④ 応札時には、開発する機能毎に十分に細分化された工数、概算スケジュールを含む見積り根拠資料の即時提出が可能であること。なお、応札後にPMDA が見積り根拠資料の提出を求めた際、即時に提出されなかった場合には、契約を締結しないことがある。
情報システムの調達の公平性を確保するために、以下に示す事業者は本調達に参加できない。
① PMDA のCIO 補佐が現に属する、又は過去 2 年間に属していた事業者等
④ ①~③の親会社及び子会社(「財務諸表等の用語、様式及び作成方法に関する規則」
(昭和 38 年大蔵省令第 59 号)第 8 条に規定する親会社及び子会社をいう。以下同じ。)
9 情報セキュリティ管理
受注者は、以下を含む情報セキュリティ対策を実施すること。また、その実施内容及び管理体制についてまとめた情報セキュリティ管理計画書を受注後速やかに提出してPMDAの承認を受けること。
① PMDA から提供する情報の目的外利用を禁止すること。
② 受注者側の情報セキュリティ対策の実施内容及び管理体制が整備されていること。
③ 本業務の実施に当たり、受注者又はその従業員、本調達の役務内容の一部を再委託する先、若しくはその他の者により、PMDA の意図せざる変更が加えられないための管理体制が整備されていること。
④ 受注者の資本関係・役員等の情報、本業務の実施場所、本業務従事者の所属・専門性
(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。具体的な情報提供内容については PMDA と協議の上、決定するものとする。
⑤ 情報セキュリティインシデントへの対処方法(対処手順、責任分界、対処体制、対応時間、情報伝達時間・手段等)が確立されていること。
⑥ 情報セキュリティ対策その他の契約の履行状況を定期的に確認し、PMDA へ報告すること。
⑦ 情報セキュリティ対策の履行が不十分である場合、その原因について調査・排除するため、PMDA による追跡調査や立ち入り検査等について連携・協力する体制が構築できていること。また速やかに改善策を提出し、PMDA と協議の上、その指示に従うこと。
⑧ 本業務に係る業務の遂行における情報セキュリティ対策の履行状況を確認するために、
PMDA が必要と判断した場合は、速やかに情報セキュリティ監査を受入れること。
⑨ 本調達の役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるように上記①~⑧に関する事項を記載した情報セキュリティ管理計画書を作成し、PMDA の承認を受けること。
⑩ PMDA から要保護情報を受領する場合は、予め PMDA と合意した情報セキュリティに配慮した受領及び管理方法にて行うこと。
⑪ PMDA から受領した要保護情報が不要になった場合は、これを確実に返却、又は抹消し、書面にて報告すること。
⑫ 本業務において、情報セキュリティインシデントの発生又は情報の目的外利用等を認知した場合は、速やかに PMDA に報告すること。
① PMDA が必要と判断した場合は、その実施内容(監査内容、対象範囲、実施等)を定めて、情報セキュリティ監査等を行う(PMDA が選定した事業者による監査を含む。)ものとする。受注者は、あらかじめ情報セキュリティ監査等を受け入れる部門、場所、時期、条件等を「実施計画書」に付記し提示すること。
② 受注者は自ら実施した外部監査についてもPMDA へ報告すること。
③ 受注者は、情報セキュリティ監査の結果、本調達における情報セキュリティ対策の履行状況についてPMDA が改善を求めた場合には、PMDA と協議の上、必要な改善策を立案して速やかに改善を実施するものとする。
④ 本調達に関する監査等が実施される場合、受注者は、技術支援及び情報提供を行うこと。
⑤ 受注者は、指摘や進捗等把握のための資料提出依頼等があった場合は、PMDA と協議の上、内容に沿って適切な対応を行うこと。
情報セキュリティ監査の実施については、本項に記載した内容を上回る措置を講ずることを妨げるものではない。
10 再委託に関する事項
① 受注者は、受託業務の全部又は主要部分を第三者に再委託することはできない。
② プロジェクト管理責任者を再委託先事業者の社員とすることはできない。
ア 総合的な企画及び判断並びに業務遂行管理イ 手法の決定及び技術的判断
ウ SLCP-JCF2013 の 2.3 開発プロセス、及び 2.4 ソフトウェア実装プロセスで定める各プロセスで、以下に示す要件定義・基本設計工程に相当するもの。
・ 2.3.1 プロセス開始の準備
・ 2.3.2 システム要件定義プロセス
・ 2.3.3 システム方式設計プロセス
・ 2.4.2 ソフトウェア要件定義プロセス
・ 2.4.3 ソフトウェア方式設計プロセス
・ 補足説明資料作成支援等の補助的業務
・ 不具合修正および軽微改修のソフトウェア要件定義等業務
⑤ 受注者の責任において、サプライチェーンリスクの発生を未然に防止するための体制を確立すること。
⑥ 再委託における情報セキュリティ要件については以下のとおり。
・ PMDA から提供する情報の目的外利用を禁止すること。
・ 受注者は、再委託先における情報セキュリティ対策、及びその他の契約の履行状況の確認方法を整備し、PMDA へ報告すること。
・ 受注者は再委託先における情報セキュリティ対策の履行状況を定期的に確認すること。また、情報セキュリティ対策の履行が不十分な場合、その原因について調査・排除するため、PMDA による追跡調査や立ち入り検査等について連携・協力する体制が構築できていること。また、その対処方法を検討し、PMDA へ報告すること。
・ 受注者は、情報セキュリティ監査を実施する場合、再委託先も対象とするものとする。
・ 受注者は、再委託先が自ら実施した外部監査についても PMDA へ報告すること。
・ 受注者は、委託した業務の終了時に、再委託先において取り扱われた情報が確実に返却、又は抹消されたことを確認すること。
受注者は、受託業務を再委託する場合、予め再委託の相手方の商号又は名称及び住所並びに再委託を行う業務の範囲、再委託の必要性(及び契約金額)について記載した「再委託に関する承認申請書」を提出し、PMDA の承認を受けること。
申請にあたってあ、次に掲げる事項を遵守すること。
・再委託先が「9(1)情報セキュリティ管理の実施」の要件を満たしていることを証明する書面※及び受注者と再委託先との委託契約書の写し及び委託要領等の写しを、「再委託に関する承認申請書」に添付して提出すること。
※情報セキュリティに関する管理体制と管理基準、社内規程が整備されている事実を証明する書面。(例:管理体制図、社内規程、ISO 認証、外部監査実績、等)
・再委託の相手方は「8(2)入札制限」の対象となる事業者でないこと。
・受注者は、機密保持、知的財産権等に関して本仕様書が定める受注者の責務を再委託先業者も負うよう、必要な処置を実施し、PMDA に報告し、承認を受けること。
・受注者は再委託先の資本関係・役員等の情報、委託事業の実施場所、委託事業従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関して、 PMDA から求めがあった場合には情報提供を行うこと。
再委託先において、本調達仕様書の遵守事項に定める事項に関する義務違反又は義務を怠った場合には、受注者が一切の責任を負うとともに、PMDA は、当該再委託先への
再委託の中止を請求することができる。
11 その他特記事項
環境への負荷を低減するため、以下に準拠すること。
① 本件に係る納入成果物については、最新の「国等による環境物品等の調達の推進等に関する法律(グリーン購入法)」に基づいた製品を可能な限り導入すること。
② 導入する機器等がある場合は、性能や機能の低下を招かない範囲で、消費電力節減、発熱対策、騒音対策等の環境配慮を行うこと。
PMDA 全体管理組織(PMO)が担当課に対して指導、助言等を行った場合には、受注者もその方針に従うこと。
本仕様書に掲げる事項の他、本業務を遂行するために必要な事項については、PMDA 担当者と協議の上、指示に従うこと。
12 附属文書
別紙1 「SLA(Service Level Agreement)項目」別紙2 「作業スケジュール」
別紙3 「業務要件」
別紙4 「システム運用管理基準」
別紙5 「情報セキュリティ対策の運用要件」別紙6 「運用監視・保守方針と役割分担」
閲覧資料1 独立行政法人 医薬品医療機器総合機構 情報セキュリティポリシー閲覧資料2 PMDA 情報セキュリティインシデント対処手順書
閲覧資料3 セキュリティ管理要件書(ひな型)閲覧資料4 システム設計書
閲覧資料5 前年度運用支援業務納品資料
資料の閲覧を希望する場合は、「秘密保持等に関する誓約書」を提出の上、PMDAが定める期間、場所、方法において閲覧を許可する。閲覧可能としている資料については、複写及び撮影等は禁止する。なお、閲覧資料2~4の資料に関しては、事業者から申出があれば、提供する。
・閲覧期間 令和3年2月 10 日から令和3年3月 11 日まで
13 窓口連絡先
独立行政法人 医薬品医療機器総合機構 経営企画部広報課電話:03(3506)9454
Mail:hp2015-hoshu●pmda.go.jp
※●は@に置き換えてください。
別紙1 「SLA(Service Level Agreement)項目」
指標の種類 | 指標名 | 計算式 | 単位 | 目標値 | 計測方法 | 計測周期 |
問い合わせ への一次回答 | 一次回答の応答時間 | 応答時刻-問い合わせ受 付時刻<60 分の件数/問い合わせ件数 | % | 100% | 問い合わせ一覧表に受付と応答日時の記録 | 毎月 |
セキュリティ対策 | セキュリティ事故発生件数 | セキュリティ事故発生件数 | 件 | 0 件 | セキュリティ対策ソフトウェアおよび人手により検知されたセキュリティ事故(防御されたものは除 く)の発生件数の集計 | 毎月 |
運用業務サービス | サービス提供時間 | 9:00~18:00 のサービスを 提供できなかった日数/営業日数×100 | % | 0% | 勤務実績の提出 | 毎月 |
報告書類の提出期限 | 期限までに提出した報告書類の件数/報告書類の件数×100 | % | 100% | 提出期日と報告日の比較 | 都度 | |
ヘルプデスク業務 | サービス提供時間 | 9:00~18:00 のサービスを提供できなかった日数/営業日数×100 | % | 0% | 勤務実績の提出 | 毎月 |
HP 公開作業の期日 | HP 公開予定日に公開した HP の件数/公開した HP の件数×100 | % | 100% | HP 公開予定日と HP 公開日の比較 | 都度 | |
障害発生 | 自責障害の発生 | オペレーション作業・保守作業領域にて発生した自 責障害の件数 | 件数 | 0 件 | インシデント一覧の提出 | 毎月 |
アプリケーション領域・自責障害の再発防止策実施件数/アプリケーション領 域・自責障害件数 | % | 100% | インシデント一覧の提出 | 毎月 | ||
障害対応 | 初動対応の開始 | 異常の発見から 15 分以内に初動対応を行った障害件数/障害件数×100 | % | 100% | 障害発見日時と初動対応開始日時の障害報告書への記録 | 毎月 |
障害発生の連絡 | 異常の発見から 1 時間以内に PMDA に連絡した障 害件数/障害件数×100 | % | 100% | 障害発見日時と障害発生連絡日時の障害報告 書への記録 | 毎月 | |
障害報告書の提出期限 | 期限までに提出した障害報告書の件数/障害報告 書の件数×100 | % | 100% | 提出期日と報告日の比較 | 都度 | |
システム稼働 | システム稼働率 | (計画サービス時間-計画外サービス停止時間)/計画サービス時間×100 ※1 分未満のサービス停 止時間は切り捨て) | % | 99.9% | サービス停止開始・終了日時の記録 | 毎月 |
別紙2 作業スケジュール
No | セキュリティ対策 | 実施 区分 | 3月 | 4月 | 5月 | 6月 | 7月 | 8月 | 9月 | 10月 | 11月 | 12月 | 1月 | 2月 | 3月 | 実施内容 | |
マイルストン | |||||||||||||||||
1-1 | キックオフ | 実施 ◎ | ▲ | 実施計画書に基づくキックオフを実施 | |||||||||||||
1-2 | 前業者からの引継ぎ (初年度のみ) | 実施 ◎ | 実施 | 契約後2週間以内に運用準備作業に関する実施計画書(運用準備作業)を作成し、PM DAの承認を受けた後、前事業者からの引継ぎを行う。 | |||||||||||||
1-3 | 月次定例 | 実施 ◎ | ▲ | ▲ | ▲ | ▲ | ▲ | ▲ | ▲ | ▲ | ▲ | ▲ | ▲ | ▲ | |||
1-4 | 次年度(新業者)への引継ぎ (最終年度の み) | 実施 ◎ | 実施 | ||||||||||||||
運用 | |||||||||||||||||
2-1 | インシデント一覧報告(システム障害、情報セ キュリティインシデントを含む) | 報告 ○ | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | 「システム運用標準」 ⇒インシデント管理:インシデント一覧による月次報告 | ||
2-2 | システム変更作業報告 (パッチ適用状況報告を含む) | 報告 ○ | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | 「システム運用標準」 ⇒変更管理:変更作業一覧による月次報告 | ||
2-3 | 特権ID使用状況報告 (台帳を含む) | 報告 ○ | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | 「システム運用標準」 ⇒特権ID管理台帳・特権ID使用管理簿による月次報告 | ||
2-4 | データ保全(バックアップ)状況の点検 | 報告 ○ | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | 「システム運用標準」 ⇒バックアアプと回復:遵守状況の月次報告、机上訓練(任意) | ||
2-5 | 情報セキュリティ:遵守状況の報告 | 報告 ○ | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | 「システム運用標準」 ⇒情報セキュリティ:遵守状況の報告 | ||
2-6 | 脆弱性対策の実施状況の点検 | 報告 ○ | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ▲ 報告 | ⇒情報セキュリティ管理:セキュリティパッチ適用状況の報告 脆弱性に関し関する新着情報、影響度・適用要否、適用予定と実績 | ||
権限管理 | |||||||||||||||||
3-1 | 各業務データアクセス権限再検証 | 支援 △ | 準備 | 実施 | ▲ 報告 | 不要なアクセス権限の洗い出しと削除。 | |||||||||||
3-2 | ユーザーID棚卸し (各業務システム) | 実施 ◎ | 準備 | 実施 | ▲ 報告 | 不要IDの洗い出しと削除・無効化。不要なID、権限があれば削除する。 | |||||||||||
3-3 | 特権ID検証(棚卸し) | 実施 ◎ | 準備 | 実施 | ▲ 報告 | 【システム運用標準】”システム運用管理(要件書)”に基づく運用 ⇒台帳と使用管理簿の相関チェック、使用管理簿とログの相関チェック | |||||||||||
3-4 | パソコン等搭載ソフトウェアの定期的な調 査、不要ソフトウェアの削除 | 支援 △ | 準備 | 実施 | ▲ 報告 | 使用するソフトウェア・バージョン、ソフトウェアの利用可否基準を整理し、棚卸を実施する (パソコン更改時に対応し「台帳」を整備する) | |||||||||||
点検 | |||||||||||||||||
4-1 | 情報資産棚卸し・リスク評価 | 支援 △ | 準備 | 実施 | ▲ 報告 | ⇒ 厚労省のガイドラインに従って実施:「情報資産台帳」「情報資産ライフサイクル確認 様式」「リスク評価チェックシート様式」の作成・更新 | |||||||||||
4-2 | パソコン等情報資産棚卸し | 支援 △ | 準備 | 実施 | ▲ 報告 | 台帳と現物との照合(照合結果に基づく「台帳」の作成) | |||||||||||
4-3 | システム台帳の最新化 | 支援 △ | 準備 | 実施 | ▲ 報告 | ⇒資産台帳・管理簿(システム台帳)を更新する。 ⇒ネットワーク機器ソフトウェア資産台帳を更新する。 | |||||||||||
4-4 | ログ取得状況の点検 (システム・リプレース 後に開始) | 支援 △ | 準備 | 実施 | ▲ 報告 | ⇒情報資産の重要度に応じて、監視対象となるイベントを絞り込み、ファイル抽出した上 で、セキュリティ違反を示す証跡がないかを定期的に確認する。 | |||||||||||
4-5 | セキュリティヘルスチェック(不正プログラム及び不正な設定変更の有無確認) (2年目 までに開始) | 支援 △ | 準備 | 実施 | ▲報告 | ||||||||||||
4-6 | 情報セキュリティ:遵守状況の自己点検 | 実施 ○ | 準備 | 実施 | ▲ 報告 | 「システム運用標準」 ⇒情報セキュリティ:遵守状況の報告 | |||||||||||
4-7 | 情報システム開発・運用資料確認 | 実施 ○ | 準備 | 実施 | ▲ 報告 | 情報システムの開発・運用・保守に必要な各種ドキュメント(各種設計書、手順書等)と実 装(システムの構成・設定、プログラム等)が一致していることを確認する。 | |||||||||||
教育・訓練 | |||||||||||||||||
5-1 | システム運用担当者 (サービスデスク)向け研修 | 受講 △ | 受講 | 1月に2回開催予定 | |||||||||||||
No | セキュリティ対策 | 実施 区分 | 3月 | 4月 | 5月 | 6月 | 7月 | 8月 | 9月 | 10月 | 11月 | 12月 | 1月 | 2月 | 3月 | 実施内容 |
内部監査 | ||||||||||||||||
6-1 | 委託先における情報セキュリティ対策の履 行状況の確認 | 受査 ◎ | 準備 | 受査 | ⇒H29の実施手順を参考に対象システムを選定の上、PMDA内部検査を実施 | |||||||||||
PMDA監査受査への支援 | ||||||||||||||||
7-1 | 厚労省・情報セキュリティ監査 | 支援 △ | 監査支援 | |||||||||||||
7-2 | 調達による第3者情報セキュリティ監査 | 支援 △ | 監査支援 | |||||||||||||
7-4 | 監査指摘対応フォロー | 支援 △ | ・・・運用フォロー・・・ | ▲ 報告 | ・・・・・・・・・・・・・運用フォロー・・・・・・・・・・・・・ | ▲ ・・報告 | 運用フォロー・・ | 「過去(平成27・28・29年度)の監査対応状況について」に基づく進捗管理、半期毎に報告 | ||||||||
別紙3 「業務要件」
業務の時期・時間の定義
実施時期・期間 | 実施・提供時間 | 補足 | |
通年 | 2021 年 4 月 1 日 ~2024 年 3 月 31 日 ※業務を行う日(平日)とは、本仕様書で別途定められている業務の他は、行政機関の休日 (「行政機関の休日に関する法律」(昭和 63 年法律第 91 号)第 1 条第 1 項に掲げる日をいう。) を除く日とする。 | 9:00~18:00 ※12:00~13:00 は休憩時間とする。 | ただし、本仕様書で別途定めるものの他、緊急作業及び本業務を実施するために必要な作業がある場合は、この限りではない。 |
運用業務の範囲定義
No | 名称 | 内容 | 受託者の役割 |
1 | 【システム監視 - 稼動監視】 | 本システムのハードウェア、ソフトウェア、ネットワークに対して、以下の稼動状況(パフォーマンス)を監視し、監視実績を記録・管理すること。 ※本システムのハードウェア、ソフトウェア、ネットワークに対し、死活監視、障害監視、エラー出力監視を行い、異常を発見した場合は障害対応手順に沿って対応すること。監視に当たっては事前に PMDA と協議の上、必要に応じてツール等を用いた常時監視の仕組みを構築すること。 ※各機器の稼働監視、ログ監視、性能監視、サーバやネットワーク機器等の稼働監視やメンテナンス業務等は「PMDA ウェブサイト基盤運用保守」の調達を受託した業者(以下「サーバ等保守業者」という。)により実施される場合がある。 (1) ソフトウェア及び開発アプリケーションの稼動状況 (2) ハードウェアの各種状況(性能、容量、故障、縮退) (3) バックアップなどの定期起動ジョブの実行結果 (4) セキュリティアラートの発生状況 | 別紙 6 運用監視・保守方針と役割分担を参照 |
2 | 【システム監視 - ログ監視】 | 本システムを構成する機器及びソフトウェア上で入手可能なログの収集・監視を行うこと。 収集したログについては、必要に応じて抽出、分析を行い、適宜バ ックアップを取得の上、必要に応じて外部環境に保管すること。 | 実施者 |
3 | 【システム監視 -情報セキュリティ監視】 | 本システムへの不正侵入、不正改ざん検知、ウイルスチェックなど、本システムに関するセキュリティ監視を行うこと。なお、ウィルス定義ファイルは常に最新の定義ファイルを使用すること。 本システムの機器およびソフトウェア等に対し、セキュリティパッチ やアップデートに関する情報を入手し適用の可否を検討し、検討結 | 実施者 |
No | 名称 | 内容 | 受託者の役割 |
果を PMDA に報告の後、適用の必要がある場合には、更新作業を行うこと。 セキュリティ対策上の設定変更の必要が生じた場合に、PMDA の 了解を得て設定の変更を行うこと。 | |||
4 | 【システム設定・操作 - ジョブ管理】 | 操作ミスの防止や無人化を目的とした操作の自動化を行う場合、必要となるジョブスケジュールの設定等を行うこと。また、ジョブの登録/変更/削除が必要となる場合には PMDA に提案し、PMDA の了解の下、当該作業を実施すること。 | 実施者 |
5 | 【システム設定・操作 - 容量・能力管理】 | 本システムの性能を計測する指標(CPU 負荷、メモリ使用量、ディスク使用量など)を PMDA と協議の上で確定し、指標データを常時収集し、閾値を超えるなどの異常を発見した場合は障害対応について PMDA に提案し、PMDA の了解の下、当該作業を実施するこ と。 | 実施者 |
6 | 【システム設定・操 作 - CMS 管理】 | CMS 用ワークフロー、テンプレート等の新規作成や修正、外部 ASP が提供する各種サービスの設定・操作を実施すること。 | 実施者 |
7 | 【ヘルプデスク業務 - 問い合わせ対応】 | PMDA 執務室内において、ヘルプデスク業務の時間は、業務の時期・時間の定義と同じとする。一般的な HTML ページ作成に関する問い合わせ対応、CMS の操作方法やユーザ管理に関する問い合わせ対応等を実施すること。また、作成されたプロジェクトの進捗を管理し、公開前に技術的な確認およびウェブアクセシビリティ対応 (JIS X 8341-3 適合レベル AA への準拠)状況を確認し、ウェブアクセシビリティ対応(JIS X 8341-3 適合レベル AA への準拠)に必要な技術支援をすること。なお、問合せは電子メールの他、電話、もしくは直接口頭によるものとするが、それらの内容は記録し報告するこ と。 | 実施者 |
8 | 【運用管理】 | 操作ログ管理、CMS やASP の履歴情報管理等を含む。 システム運用上の業務プロセスを定めた「業務フロー及び手順書」について、次のシステム運用業務について作成・更新するものとする。 (ア)問合せ管理プロセス (イ)インシデント管理プロセス (ウ)変更管理プロセス (エ)リリース管理プロセス (オ)構成管理プロセス (カ)問題管理プロセス (キ)各定期点検プロセス (ク)リスク管理プロセス (ケ)課題管理プロセス (コ)情報セキュリティ管理プロセ ス。 | 実施者 |
9 | 【ユーザ管理】 | (ア) PMDA から提出されるユーザ登録・削除依頼に基づき、OS 上、及びアプリケーション上のユーザを登録・削除すること。作業内容はすべて作業ログとして蓄積し、PMDA に報告すること。(随時/適宜) (イ) システムを構成する機器やアプリケーション等のユーザ管理 システムを構成する機器やアプリケーション、リモートアクセス機器 及びリモートアクセスユーザを管理の対象とすること。 | 実施者 |
No | 名称 | 内容 | 受託者の役割 |
(ウ) アクセス権限管理 管理対象となる各種ユーザのアクセス権限の管理を行うこと。 | |||
10 | 【サービスレベル管理】 | 別紙1 「SLA(Service Level Agreement)項目」参照 運用業務については、受託者とPMDAとの間で協議の上、SLA (Service Level Agreement)を締結する。サービスレベル評価項目と要求水準については、別紙1「SLA項目」を参照すること。ただし、サービスレベル評価項目と要求水準については、協議の上、見直すこととする。 | 実施者 |
11 | 【バックアップ/リカバリ】 | 重大な障害が発生し、復旧が必要になる場合に備え、運用手順としてバックアップ並びにリカバリ計画及び手順を確立し、それに基 づき実行すること。 | 実施者 |
バックアップデータのリカバリを行う必要があると考えられる場合に は、PMDA の判断に従いリカバリ手順に沿って作業すること。 | 実施者 | ||
12 | 【各種データ管理】 | 定期的に取得が必要な運用データ、各種帳票・レポート類、ASP の 設定データ等のデータ管理。 | |
(1) 必要データの保存と削除 定期的に夜間バッチ処理により生成される結果データ、操作履歴等の蓄積データに関しては、データを定期的に再利用可能な形式で別媒体に保存した後にデータベースから削除を行うこと。 | 実施者 | ||
(2) データ保守 業務アプリケーションに起因する障害復旧に伴い、過去のデータを含め、不整合データの存在が明らかになった場合、不整合データの修正箇所の特定、報告を行い、PMDA と協議の上、修正、削除の実施、確認、記録業務への対応を行うこと。また関連文書検索用紐付けデータのデータベースへの一括登録、更には登録された紐付けデータに不整合等が判明した場合には、その修復も行うこと。 | 実施者 | ||
(3) データ集計 データベースからの条件指定によるデータ検索、抽出、集計を行うこと。(月 4 回程度) | 実施者 | ||
13 | 【データベース運用支援】 | データベースの性能劣化を防止するため、テーブル再構成やインデックス再構成等の性能劣化防止作業を計画し、PMDA の承認を 得た上で定期的に実施すること。 | 実施者 |
14 | 情報セキュリティ対策 | 「別紙2 作業スケジュール」および「別紙5 情報セキュリティ対策の運用要件」に従って運用すること。手順が整備されていない業務については、手順を整備すること。手順の整備および運用の開始 時期は、PMDA と協議のうえ決定するものとする。 | 実施者 |
15 | AWS DNS サービス | PMDA ウェブサイトの名前解決及びシステムメンテナンスあるいは予期しないシステム障害時にバックアップサイトにリダイレクトするため、調達仕様書図1-1全体構成図に示す AWS の以下のサービスを提供すること。 (1) Route53(DNS サービス) | 実施者 |
No | 名称 | 内容 | 受託者の役割 |
(2) Cloudwatch(監視サービス) (3) S3(Cloudwatch ログ保存用ストレージ) 過去1年間は、約400万ページビュー前後で推移している。AWS DNS サービスを利用した運用を開始していないが、10,000万クエリ/月と推定しているが、将来のクエリ数を約束するものではない。 | |||
16 | 【その他】 | 運用・保守業務で使用しているドキュメント(資産管理簿、実施計画書、運用マニュアル等)を管理すること。また修正・改定の必要があ る場合には、PMDA のレビューを受けて修正・改定を実施すること。 | 実施者 |
保守業務の範囲定義
No | 名称 | 内容 | 受託者の役割 |
1 | 【システム設定・操作 - 設定変更】 | ハードウェア、OS、ミドルウェア等を正常に稼動させるために設定 の変更が必要となる場合には PMDA に提案し、PMDA の了解の下、当該作業を実施すること。 | 実施者 |
2 | 【ソフトウェア保守 - ソフトウェア更新】 | 運用対象システムのソフトウェア資源について、以下の作業を実施する。なお、(3)~(6)に係る、公表されている脆弱性情報を漏れなく把握すること。ソフトウェアの更新作業については、PMDA と協 議の上、検証テストを実施の上で本番環境に反映させること。 | |
(1) パッチの提供に関する情報及び脆弱性情報の収集 当システムを構成する全てのソフトウェアについて、ソフトウェアベンダ及びハードウェアベンダからのパッチ(不具合修正を目的とするパッチ、脆弱性対策を目的とするセキュリティパッチの両方を含む。)の提供情報及び脆弱性に関する情報を継続的に収集すること。 | 実施者 | ||
(2) 脆弱性対応計画の作成 脆弱性情報又はセキュリティパッチの提供に関する情報を入手した場合、当該 脆弱性への対応又は当該セキュリティパッチの適用に関する計画を脆弱性対応計画」(案)として取りまとめ、PMDAの承認を得ること。脆弱性対応計画」(案)は、以下の内容を含むこと。 ・対策の必要性 ・対策方法又は対策方法が存在しない場合の一時的な回避方法 ・対策方法又は回避方法が情報システムに与える影響 ・直ちにはパッチ適用できないと判断される場合のリスクと当面の回避策(案) ・対策の実施予定 ・テストの必要性 ・テストの方法 ・テストの実施予定 ・テストの合格基準 ・本番環境への適用手順とスケジュール | 実施者 | ||
(3) 業務アプリケーションへのパッチの定期適用 業務アプリケーションプログラムへのパッチの適用を定期的に適用する計画を作成し、PMDA の承認の上で適用を実施すること。 | 実施者 | ||
(4) 業務アプリケーションへのパッチの緊急適用 業務アプリケーションプログラムへのパッチを緊急適用する計画を作成し、PMDA の承認の上で適用を実施すること。 | 実施者 | ||
(5) OS・ミドルウェア・ファームウェアのパッチ適用 ソフトウェアベンダ及びハードウェアベンダから提供されるパッチを適用する計画を作成し、PMDA の承認を得た上で適用を実施すること。 | 実施者 |
No | 名称 | 内容 | 受託者の役割 |
(6) ウィルスパターンファイルの更新 本システムに導入されているアンチウィルスソフトウェアのうち、パターンファイルの自動更新が行われていないものについては、1日ごとにウィルスパターンファイル資源を適用すること。 | 実施者 | ||
3 | 【ハードウェア保守】 | ハードウェア及びファームウェアの不具合、ファームウェア更新等のハードウェア保守に関してサーバ等保守業者と協力し、分担の役割に応じて対応すること。作業の分担において抜け、漏れが出ないよう充分留意し、最終的な対応は本件受注業者の責任にお いて実施すること。 | 別紙 6 運用監視・保守方針と役割分担を参照 |
4 | 【不具合修正、軽微な改修】 | 運用を継続するにあたって、業務の効率化、利便性の向上に資するために、PMDA の指示の下、画面・帳票レイアウトの変更、検索条件及び検索処理の修正、小規模ツールの作成といった軽微なプログラム改修を実施すること。必要な設計書の改訂・作成及びプログラム入替え作業も含むものとする。(2021 年度 6 人月、2022 年度及び 2023 年度 5.5 人月程度の作業とする。) また、本項に関連する業務として、添付文書検索機能に、審査報告書の概要を表示するためのデータ(過去データ等)の入力対応を行うこと。 別途、改修案件が調達された場合、当該受注業者との連携、調整を密にし、当該受注業者による改修作業が円滑に進むよう支援をすること。その際にはソースプログラムのデグレード等が発生しないよう、構成管理に留意すること。改修業者へ設計書やソースプログラムを提供後に修正を行う場合は、原則として受注者が設計書やソースプログラムのマージを行うこととするが、状況に応じて PMDA と協議のうえ調整するものとする。 本システムの開発方法に適合させること。 | 実施者 |
5 | 【ウェブページ作成支援】 | 静的コンテンツの作成・更新、及び動的コンテンツのスクリプト修正(CGI、PHP)、画像や動画コンテンツの作成・更新、整備等を含 む。 | 実施者 |
別紙4
システム運用管理基準
2019 年 12 月
独立行政法人 医薬品医療機器総合機構
【資料の見方】
⯎ システム運用業務を「13の領域」に分けている。
それぞれの業務プロセスは、標準化対象外。各情報システムの体制・特性・リスク等により、最適なプロセスを設計し、運用する。
⯎ システム運用の標準化(要件)は、システム運用者(委託先)から当機構への報告書式(情報提供も含む)を統一し、各システムの運用状況を定期的に収集して、全体状況の把握と情報共有等を可能とすることにある。
• 当資料においては「標準化」のタイトル等にて報告を記載している。
• 標準化(要件)は、「報告書式を統一する領域」と「報告内容を統一(書式任意)」の 2 タイプに分かれる。
• 「報告書式を統一する領域」は、インシデント管理、変更管理、構成管理、脆弱性管理、アクセス権管理の領域となっている。
改訂履歴
改定日 | 改定理由 |
2018 年 6 月 8 日 | 初版発行 |
2018 年 7 月 20 日 | 情報セキュリティ遵守状況報告内容を追記 |
2018 年 9 月 10 日 | 脆弱性管理を追記 |
2019 年 8 月 15 日 | 2. システム運用管理業務の概要に「【参考】システム運用管理業務の全体像」を追加 4.5 構成管理 最新情報を PMDA に報告する標準書式を定義 4.9 脆弱性管理 管理状況を報告する PMDA 標準書式を定義 |
2019 年 12 月 20 日 |
1.はじめに
独立行政法人医薬品医療機器総合PMDA(Pharmaceuticals and Medical Devices Agency)(以下、「PMDA」という。)が調達し、又は、開発した情報システムの運用管理を確実かつ円滑に行い、利用者が要求するサービス品質を、安定的、継続的かつ効率的に提供するために、情報システムの運用管理に関する業務内容を明確化・標準化するために定めるものである。
PMDA が調達し、又は開発・構築した全ての情報システムの運用保守を担当する組織(情報システムの運用保守業務を外部委託する場合における委託先事業者を含む)に適用する。
システム運用管理業務は、既に開発・構築しサービスイン(本番稼動)している情報システムの運用・保守業務の実行と管理に係る業務を対象とする。
情報システムの運用・保守を外部委託する場合は、本資料をもとに委託先事業者において、当該情報システムの種類・規模・用途を踏まえた適切な運用手順を策定のうえ、運用サービスを提供するものとする。
本要領で使用する用語は情報システムの「ITIL(IT Infrastructure Library)」のガイドラインを踏まえた運用プロセス定義に準拠するものとする。
上位規程 : 「情報セキュリティポリシー」
関連文書 : 「情報システム管理利用規程」
2.システム運用管理業務の概要
PMDA においては情報システムの運用保守を外部委託している状況を踏まえ、運用管理に必要なプロセスのあるべき姿から主要なプロセスを運用管理業務として選定し、以下の13の管理業務について、明確化・標準化を行う。
管理業務 | 概要 |
問合せ管理 (サービスデスク) | システムの利用者からの問合せ窓口として、利用者からの各種問合せについて一括受付することにより 問合せに対する早期回答、障害対応への早期エスカレーションを図るとともに、ユーザからの 要望を適切に吸い上げる。 |
インシデント管理 | 問い合わせに含まれるインシデント、あるいはハードウェア、アプリケーションなどからのインシデント発生の警告/報告を受け、サービスの中断を最小限に抑えながら、可能な限り迅速に通常サービ スを回復するよう努める。 |
問題管理 (再発防止策) | 障害(インシデント)の根本的な原因となっている不具合が、ビジネ スに与える悪影響を最小化するため、問題を分析し抜本的解決策や回避策を立案する。 |
変更管理 (課題管理) | 情報システムに対する変更の許可と実装を確実に行うための管理をいう。本番環境に対する変更要求を適正な要領で評価・承認を行い、標準化された変更方法、手順が実施されることを確実にする。また、変更による影響とリスクを最小化し、障害を未然に防止することで、サービス品質の維持・向上に努める。 なお、本要領においては、変更要求の必要性、効果、リスクなど変更の妥当性の評価と承認(変更管理)に加えて、本番環境に対してどのような準備・実行・見直しを行って変更を加えるかの決定(リリ ース管理)を含めるものとする。 |
構成管理 | 情報システムを構成する物理資源・論理資源とその環境を常に把握するための管理をいう。運用・保守業務やそのサービスに含まれる全てのIT資産や構成を明確にし、正確な構成情報と関連文書を提供することで、他のサービスマネジメント・プロセス(インシデント管理、問題管理、変更管理、情報セキュリティ管理等)に信頼できる 管理基盤を提供する。 |
運行管理 (稼動管理) | 情報システム全体を予定通り安定的に稼動させるために、システムのスケジュール、稼働監視、オペレーションなど一連の運行を管理する。 ・スケジュール管理 ・オペレーション管理(定型業務、非定型業務) ・稼動監視 ・障害対応 ・ジョブ運用 ・媒体管理 ・本番システム導入・移行時の支援 等 |
管理業務 | 概要 |
バックアップと回復管理 | 必要なバックアップを定期的に取得、管理し、障害が発生した場合は、速やかな回復ができるよう、回復要件に基づき必要な回復手 順、仕組みを計画、作成、維持する。 |
情報セキュリティ管理 | 情報セキュリティポリシーに規定されたセキュリティ対策を実施するために必要な管理要件に基づき、情報セキュリティ管理要領・手順 等を作成し、情報セキュリティ管理を行う。 |
脆弱性管理 | 情報システムのソフトウェアおよびアプリケーションにおける脆弱性を特定、評価、解消するための管理業務を行う。システム構成を把握した上で、構成要素ごとに関連する脆弱性情報をいち早く「収集」し、影響範囲の特定とリスクの分析によって適用の緊急性と対応要 否を「判断」し、判断結果をもとに迅速に「対応」を行う。 |
アクセス権管理 | アクセス方針を定め、アクセス制御の仕組みを構築・維持し、システム・アカウントの申請受付け・登録・変更・削除など管理業務を行う。 ・アプリケーション・システムのアカウント ・サーバのOSアカウント ・DBMSアカウント ・運用支援システムのアカウント ・各種特権アカウント 等 |
キャパシティ管理 | サービス提供に必要となるシステム資源の利用状況の測定・監視を実施し、現在の業務要求(既存の提供サービス量)と将来の業務要求(要求される提供サービス量)とを把握した上で、システム資源 がコスト効率よく供給されるように調整・改善策の立案を行う。 |
可用性管理 | ITインフラストラクチャーを整備し、それをサポートするITサービス部門の能力を最適化させることで、ビジネス部門に対して、費用対効果が高いITサービスを持続して提供する。 可用性管理の活動は、既存のITサービスの可用性を日常的に監視・管理する「リアクティブ」なプロセスと、リスク分析や可用性計画の策定や可用性設計基準などの作成を行う「プロアクティブ」なプロ セスに分けられる。 |
サービスレベル管理 | 「サービスレベル合意書」で定める各種サービスレベル値の達成、維持作業として、管理項目に対する実績データの収集、分析、評価、及び改善策を策定する。 また、運用管理業務における報告デ ータを収集、管理し、月次にユーザへの報告を実施する。 |
3.運用管理業務の基本プロセス
(運用管理業務プロセスのPDCAマネジメントサイクル)
他のマネジメント・システムと同様に、運用管理業務プロセスも手順書等を策定して終わりではなく、実際に手順書等に準拠した運用を実施し、定期的に又はシステムの変更やメンバーの入れ替わりなどに合わせて都度、管理プロセスを見直し、必要に応じて改善・是正を行う必要がある。
そのために、運用管理業務プロセスに、個別管理要領の「策定(Plan)」、「実施(Do)」、「点検・監査
(Check)」、「評価と改善(Act)」の4つの基本プロセスからなるPDCAマネジメントサイクルを導入し、継続的改善を実施することが重要である。
(1) 個別管理基準の策定(Plan)
・各管理プロセスの導入時、見直し時に実施
(2) 個別管理業務の実施(Do)
・各運用管理基準に従い、定常業務として実施
(3) 個別管理業務の点検・監査(Check)
・定期的に実施
(4) 個別運用管理業務の評価と改善(Act)
・定期的に実施
各基本プロセスの概要は、以下のとおりである。
(1) 個別管理要領の策定 (Plan)
各運用管理業務の実施方針、実施範囲、管理プロセス、業務の管理指標等を含めた管理要領書ならびに管理手順を定める。
(2) 個別管理業務の実施 (Do)
各運用管理業務の実作業を行うとともに、業務遂行に必要な関連情報の蓄積、実績情報の収集保管、およびに評価指標の実績測定を行う。
(3) 個別管理業務の点検・監査 (Check)
各運用管理業務に対し、個別運用管理要領に遵守した運用がなされているか定期的に点検・監査を行い、その結果を分析・評価する。
(4) 個別運用管理業務の評価と改善 (Act)
各運用管理業務に対する評価指標に対する実績管理を行うと共に、品質向上に向けた改善計画を立案し、改善実施を行う。
4.システム運用管理業務の明確化・標準化
4.1 問合せ管理
ユーザ及び各業務プロセスオーナからの問合せや依頼に対する受付窓口を一元化することで、各業務の利用ユーザの業務効率性を向上させる。
問合せ対応では、問合せの受付、クローズ、一次回答、管理プロセスの評価・改善の一連のプロセスを実施する。
本番システム環境で稼動している全てのシステムに係る以下の問合せについて対応する。
⮚ アプリケーション仕様、操作、機能、内容に関する問合せ
⮚ ハードウェア/ソフトウェアに関する問合せ
⮚ 要望
⮚ アプリケーション修繕に対する依頼
⮚ その他の依頼作業
(4) 業務の管理指標&標準化
問合せ対応業務を評価するための評価指標として以下を定義し、定期的(月次)報告を行う。
①問合せ発生件数(日次集計・月次集計を含む)
②問合せ区分別件数
③問合せ一次回答期限遵守率
④問合せ完了率(一定期間経過後(10 営業日経過後)の完了率)
※報告内容は、各システムの状況に応じて変更しても構わない。
【補足】
問合せにより「システム障害」「セキュリティインシデント」が発覚した場合は、該当問合せは一次回答に てクローズとし、その後は「インシデント管理」にて対応する。
問合せにより「変更」実施が必要となった場合は、対応予定日を回答することでクローズとし、その後は
「変更管理(課題管理)」にて対応する。
4.2 インシデント管理
インシデント管理は、ユーザからの問合せ・連絡、あるいはオペレータや監視システム等によるインシデントの検知を受け、ITサービスの中断を最小限に抑えながら、可能な限り迅速に正常なサービスを回復することを目的とする。
①インシデントの定義
インシデントとは、ユーザや監視システム等の検知により判明したハードウェアやソフトウェアに関する一般的な障害(システム・ダウン、バグによるアプリケーションの機能停止等)だけでなく、ユーザが日常の操作手順によってITサービスを利用する上で支障がある事象は全てインシデントに包含される。
【注】このインシデントには、情報セキュリティインシデント(不正アクセス・マルウェア検知等)を含む。
また、まだITサービスに影響を与えていない構成アイテムの障害もインシデントとして扱う。
例えば、(i) 二重化されたデータベース・システムの一方がダウンした場合で、まだサービス自体が正常に稼働している場合、(ii) 本番環境のバックアップを検証環境にリストアできない場合、これらをインシデントとして扱う。
②インシデント管理の主な活動
インシデント管理は、インシデントの 4 つのライフサイクル(発見-判別-回復-解決)の内、発見-判別-回復(解決)までをカバーする。 (再発防止については、次節の「問題管理」で扱う。)
インシデント管理のプロセスでは、主に次の活動を実施する。
・インシデントの検知
・インシデントの記録
・インシデントの通知
・インシデントの分類
・インシデントの優先度付け
・インシデントの初期診断
・エスカレーション
・インシデントの調査と診断
・復旧(解決)策の実施
・インシデントのクローズ
本番システム環境で稼動している全てのシステムのインシデントを管理対象とする。
インシデント管理の管理業務を評価するための評価指標として以下を定義し、定期的(月次)報告を行う。
① 当月インシデント発生件数(総件数、障害ランク別・原因別・システム別件数・解決責任部門別)
② 優先度又は緊急度毎に分類されたインシデントの解決までに要した時間(平均時間)
③ ステータス(記録済み、対応中、クローズ済み等)毎のインシデントの内訳
④ 長期間(発生から 1 カ月以上)未解決のインシデントの件数と理由および業務影響
⑤ 新規に発生したインシデントの件数とその傾向
⑥ ユーザのトレーニングなど、ITテクノロジーに関連しないで解決されたインシデントの件数
⑦ 解決に要したコスト
⑧ インシデント発生件数の削減率(対前年比)
(5) 標準化
インシデント管理は、PMDA 標準書式を適用する。
①インシデント発生(判明)時
インシデントごとに個票を起票する。この個票は「PMDA 標準書式」を使用する。
※添付「インシデント報告書(ひな型)」を使用する。また「インシデント一覧記載要領」を参照し、 対応すること。
※各情報システムの状況等によって、一部改修して使用しても構わない。ただし、必須項目の変 更・削除は認めない。
②定期的(月次)報告時
インシデントごとの個票を集計表に転記のうえ報告する。この集計表は「PMDA 標準書式」を使用 する。
※添付「インシデント一覧」を使用する。
4.3 問題管理(再発防止策)
サービスの信頼性を維持・向上するためには、システムの利用・運用上発生した問題(障害を引き起こす根本的な原因)を確実に解決し、同一障害・類似障害の再発防止のための是正を実施することを目的とする。
本番サービスに影響を与えた障害を分析し、それらの共通の根本原因を取り除く是正策を実施するまでの一連のプロセスを管理する。 問題管理(再発防止)では、以下を実施する。
・問題の傾向分析と課題点の抽出
・是正策の検討
・是正策の実施
本番システム環境で稼動している全てのシステムの問題を管理対象とする。
(4) 業務の管理指標&標準化
問題管理(再発防止)業務を評価するための評価指標として以下を定義し、定期的(月次)報告を行う。
① 再発防止策が策定された問題件数(総件数、障害ランク別・原因別・システム別件数・解決 責任部門別)
② ステータス(記録済み、対応中、クローズ済み等)毎の再発防止策の内訳
③ 再発防止に要したコスト
④ 長期間(策定から 1 カ月以上)未実施の再発防止策件数と理由
⑤ 再発防止の実施率(対前年比)
※報告内容は、各システムの状況に応じて変更しても構わない。
4.4 変更管理
サービスの信頼性を維持・向上するためには、システムに対する変更について、その妥当性を検証し、変更によるユーザへの影響を最小限にすることが重要である。 変更管理プロセスは、システムに対する変更を一元的に管理することを目的とする。
変更管理では、変更の申請から変更内容の審査、変更の承認または却下、変更の実施、変更実施結果の報告までの一連のプロセスを管理する。
緊急の場合、対応を優先し所定のプロセスを適宜省略することを可能とするが、事後的に対応できるものについては、事後速やかに対応することとする。
システム運用者(委託先)が運用し本番サービスを提供するシステムの全て又はその一部に対して影響を与える全ての変更を管理対象とする。
本番環境 | 構成要素(主な要素) |
ハードウェア | CPU、DASD・DISK、サーバ、ワークステーション、周辺装置 |
システム・ソフトウェア | OS、サブシステム、サーバ及びワークステーション OS |
ミドルウェア | DBMS、ネットワーク OS |
アプリケーション・ソフトウェア | ソース、モジュール、シェル、JCL |
ネットワーク・ハードウェア | スイッチ、ルータ、ブリッジ |
ネットワーク・サービス | 基幹ネットワーク、LAN、インターネット 等 |
データ | データベース及びファイル内のデータ(に対する直接修正) |
変更管理業務を評価するための評価指標として以下を定義する。
① 変更実施件数(総件数、領域別・原因別・システム別件数・解決責任部門別)
② 変更の実装が失敗した件数
③ 変更のバックログの件数
④ 予定期間でクローズされなかった変更の件数
⑤ 変更が原因で発生した変更の件数
⑥ 緊急の変更の件数
※具体的にどの管理指標をどう用いるかについては、今後調整の上確定する。以下同様。
(5) 標準化
変更管理は、PMDA 標準書式を適用する。
①変更案件発生時
課題管理表に記入し、変更管理のステイタス(未着手(対応予定日記入)~着手(対応中)~完了) を管理する。
※課題管理表の書式は、各情報システムの任意とする。
②変更実施着手時
変更の着手ごとに個票を起票する。この個票は「PMDA 標準書式」を使用する。
※添付「変更作業申請書(ひな型)」を使用する。
※各情報システムの状況等によって、一部改修して使用しても構わない。ただし、PMDA 側の確 認・承認欄の削除は認めない。
※個票は、「単純な定常作業」に関しては使用しなくても良い。
• 「単純な定常作業」は、各システムにて定義する。
• ただし、定期的(月次)報告には、記載する。
※個票は委託先にて保管し、監査等にて提示要求があった場合は、速やかに提示できるよう対 応する
③定期的(月次)報告時
変更実施ごとの個票を集計表に転記のうえ報告する。この集計表は「PMDA 標準書式」を使用する。
※添付「変更作業一覧」を使用する。また「変更作業一覧記載要領」を参照し、対応すること。
※「単純な定常作業」に関しては、「変更作業一覧」の「変更申請」欄及び「完了確認」欄に関す る内容を記入し、報告する。
4.5 構成管理
システムの構成要素(構成情報)を正確に把握し、常に最新状態にあることを保証する事で、他の運用管理プロセス(障害管理や変更管理等)に対して必要な構成情報を提供できるようにする。
構成管理では、ITサービス開始時より構成情報を一元管理し、他の運用管理プロセスから最新の構成情報を参照可能にする。
本管理プロセスの開始前に、立案した計画に沿って対象とするITサービスやITコンポーネントの範囲、詳細度のポリシーを策定し、開始時のベースラインを把握する。 次に、構成情報の収集と分類を行った上で構成情報を参照可能な状態に維持する。
本管理プロセスの開始後は、変更管理プロセスと連携し、構成情報が常に最新状態として維持されるようにコントロールを行う。 また、定期的に構成情報の点検を行うことにより、課題や問題点を洗い出し、評価・改善を行う。
構成管理が対象とする構成情報は以下の通りとする。
カテゴリー | 管理対象の種類 |
システム運用管理 | 各種管理プロセス定義書、手順書、依頼書、CI一覧 |
システム運用 | ・ハードウェア、ネットワーク・ハードウェアの一覧、構成図 ・ネットワーク・サービス (WAN、インターネット等)の一覧、構成図 ・システム運用各種手順書(障害対応手順書等) |
システム保守 | ・システム・ソフトウェア、ミドルウェアの一覧、構成図 ・アプリケーション・ソフトウェア(ライブラリ、データ、環境設定情報) |
ハウジング | 環境設備 (空調設備、電源設備、配線室、配線、管理室)の一覧、 構成図 |
アプリケーション 保守 | ・設計ドキュメント、プログラムソース ・アプリケーション保守用各種手順書(定型作業手順書等) |
構成管理業務を評価するための評価指標として以下を定義する。
① 承認されていない構成の件数
② 不正確な構成情報が原因で失敗した変更及び発生した障害の件数
③ CI(管理対象の項目数)の正確さ率
・構成アイテムの管理情報と実態(H/W、S/W、M/W、機器)との整合性の確認
(5) 標準化
○PMDA では、「システム資産簿」を作成してシステムのインベントリ情報を一元管理している。各 システムのインベントリ情報を各システムの実装状況を反映した最新状況に更新するとともに、
「システム資産簿」を最新の状況に保つため、最新のインベントリ情報を「システム資産簿登録用シート」を使用して、PMDA へ報告する。
4.6 運行管理
運行管理の目的は、開発部門より引き継いだ業務アプリケーション・システムを、あらかじめ定められた運行計画に基づき、定められた手順に従ってシステム運用を行うことにより、システム運用の品質の維持・向上を図ることにある。
運用引継ぎから、システムのスケジュール計画、稼働監視、オペレーションなど一連の運行を管理する。 以下のサブプロセスから構成される。
① 運用引継ぎ
② 運用スケジュールの計画・管理
③ オペレーション実施
④ 稼動監視と障害対応(一次対応)
⑤ ジョブ実行管理
⑥ 帳票管理
⑦ 報告管理
本番システム環境で稼動している全てのシステムの運行を管理対象とする。
運行管理業務を評価するための評価指標として以下を定義する。
① 重要バッチ処理終了時間遵守率
② 重要帳票の配布時間遵守率
③ システムの運行業務に起因した障害の発生件数
・プログラム・JCL等の本番移送のミス、ジョブのスケジュール誤り、操作ミス、監視項目の見落とし/発見遅延、等。
④ 非定型依頼業務の実施件数と正常終了率
4.7 バックアップと回復管理
障害発生時等において、速やかに正確な回復処置が行えるようにバックアップの取得・リストアの手順を明確にし、安定したサービスの提供を図る。
アプリケーションオーナーとのサービスレベルまたは管理目標の合意に基づき、システムの回復要件(*)に見合ったバックアップ・リストア方針を定め、バックアップ対象の選定、手順の明確化を実施する。
日常運用においては、バックアップ取得、バックアップ媒体の保管を行う。
また、定期的に、バックアップ・リストア実績報告を行い、バックアップ・リストアにおける体制、役割、手順の見直しを図る。
(*)業務の優先度を勘案して有事の際に稼動させるシステムのサービスレベルを定めて、データのバックアップと復旧方法を決定する。
RLO (Recovery Level Objective):どの範囲、レベルで業務を継続するか RTO (Recovery Time Objective):いつまでにシステムを復旧するか RPO (Recovery Point Objective):どの時点にデータが戻るか
本番システム環境で稼動している全てのシステムのバックアップとリストアを管理対象とする。
本要領の適用システムに関するOS、データベース、テーブル類、ユーザデータなどのバックアップ計画、バックアップ取得、バックアップ媒体の保管、リストア実施および定期的な実績報告の手続きを対象とする。
各情報システムを構成するサーバや通信回線装置等については、運用状態を復元するために必要な重要な設計書や設定情報等のバックアップについても適切な場所に保管する。
要保全情報(完全性2)又は要安定情報(可用性2)である電磁的記録若しくは重要な設計書は、バックアップを取得する。
① データベースやファイルサーバのバックアップは、インターネットに接点を有する情報システムに接続しないディスク装置、テープライブラリ装置等に保存する。
② 一般継続重要業務で使用するシステムについては、大規模災害やテロ等による設備・機器の破損を想定し、情報システムの復元に必要な電磁的記録については LTO 等の可搬記憶媒体による遠隔地保管を行う。
③ バックアップの取得方法、頻度、世代等は各システムの方式設計、運用要件に応じて定める。
バックアップと回復管理業務を評価するための評価指標として以下を定義する。
① 当月で計画された定期バックアップの内、バックアップに失敗した件数と理由。
② 当月実施されたリストア件数と内訳(障害対応、調査目的、帳票再作成・出力等)。
③ 当月実施されたリストアの内、リストアに失敗した件数と理由。
(6) 標準化
○定期的なバックアップが取得されていることを報告する(月次)(書式任意)
○PMDA では、「リストアの机上訓練」を定期的に実施することを推奨している。
各情報システムにおいては、必要に応じて定期的な訓練実施を行い、結果報告を行う。
4.8 情報セキュリティ管理
情報セキュリティ管理は、「情報セキュリティ対策の運用要件」に定める情報セキュリティ対策の運用要件に則り、情報システムのセキュリティを維持・管理し、情報資産を適切に保護することを目的とする。
情報セキュリティ管理プロセスは、PMDA のリスク管理活動の一環として、ITサービス及びサービスマネジメント活動における全ての情報のセキュリティを、首尾一貫した方針に基づき効果的に管理する。
具体的には、「情報セキュリティ対策の運用要件」に則って、適切にセキュリティ管理策が導入され、維持されていることを確実にするために、情報セキュリティ管理計画の維持・管理を行う。合わせて、情報セキュリティ対策が適切に運用されているかを定期的に点検するとともに、コンプライアンス等の観点からのシステム監査の実施対応をおこなう。
ITサービス及びサービスマネジメント活動における全ての情報セキュリティの管理を対象とする。
情報セキュリティ管理業務を評価するための評価指標として以下を定義する。
① 情報セキュリティ違反・事件・事故の発生件数とその内容
② 発生した情報セキュリティ違反・事件・事故への対策の実施状況
③ 情報セキュリティ監査(内部・外部)及び自己点検で検出された不適合の件数
④ 前回の情報セキュリティ監査及び自己点検で検出された不適合の是正状況
(5) 標準化
①情報セキュリティ遵守状況の報告<次ページ参照>
⮚ 情報セキュリティを遵守していることを定期的(月次)にて報告すること
⮚ 合わせて委託先における自己点検を定期的(年 2 回程度)に実施し、点検結果を報告する こと。
(点検内容は委託先の任意とするが、業務システムの運用保守業務に携わる要員等が自らの役割に応じて実施すべき対策事項を実際に実施しているか否かを確認するだけではなく、体制全体の情報セキュリティ水準を確認する内容とすること。)
【補足説明】
情報セキュリティ遵守状況の報告は、以下の内容を確認し、報告すること
① 情報の目的外利用の禁止
② 情報セキュリティ対策の実施および管理体制(プロジェクト計画書記載内容の遵守)
※委託先において実施するセキュリティ研修や委託先の情報セキュリティポリシー遵守のため取組み内容を含む
※責任者による情報セキュリティの履行状況の確認を含む
③ 体制変更の場合の速やかな報告
④ 体制に記載された者以外が委託業務にアクセスできない(していない)ことの確認
※発生した場合は、すぐに検知でき、報告される
⑤ 要員の所属・専門性(資格や研修実績)・実績および国籍に関する情報提供
※変更があれば、その都度情報提供される。
⑥ 秘密保持契約(誓約書)の提出(要員全員が提出)
※委託業務を離れた者の一定期間の機密遵守を含む
※体制変更があった場合の追加提出も含む
⑦ 情報セキュリティインシデントへの対処方法の明確化され、要員に周知されている
⑧ 再委託がある場合は、上記内容を再委託先においても遵守していることが確認されている
4.9 脆弱性管理
サーバ装置、端末及び通信回線装置上で利用するソフトウェア(含むファームウェア)やアプリケーションに関連する脆弱性情報の収集とその影響評価に基づく適切な対策を実施するための標準的管理要件を定め、脆弱性によりもたらされる情報セキュリティの脅威について迅速かつ適切に対処することを目的とする。
脆弱性管理では、システム構成を把握したうえで、管理対象とするソフトウェアのバージョン等の確認から、脆弱性情報の収集、影響評価と対策の要否判定、脆弱性対策計画の策定、脆弱性対策の実施、結果の確認、対策の実施状況のモニタリングまでの一連のプロセスを管理する。
①管理対象ソフトウェアの把握 (管理すべきソフトウェアを特定)
②管理対象ソフトウェアの脆弱性対策の状況確認
②脆弱性情報の収集と識別(当該脆弱性が管理対象ソフトウェアに該当するかの確認)
③影響・リスクの評価と対応要否の判断及び記録
④脆弱性対策計画の策定と承認(変更管理手続きに拠る)
⑤脆弱性対策の検証 (検証環境での稼動確認)
⑥脆弱性対策の実施
⑦脆弱性対策の記録・報告
⑧脆弱性対策の実施状況のモニタリングと継続的改善
本番システム環境で稼動しているサーバ装置、端末及び通信回線装置上で利用するソフトウェ
ア
やアプリケーションに関する全ての脆弱性を管理対象とする。
脆弱性管理業務を評価するための評価指標として以下を定義する。
① 管理対象プロダクツ、バージョンに該当する脆弱性情報件数(通常/緊急)
② 脆弱性対策の評価件数(対策要、対策不要)
③ 対策計画の策定・実施状況(セキュリティパッチ適用、またはその代替策)/予定・実績
・定期報告=脆弱性管理の実施報告
・変更管理=システム変更作業報告(セキュリティパッチ適用状況報告を含む)
④ 実施可能な脆弱性対策を実施しなかったことによる情報セキュリティインシデントが 1 件も発生しないこと。
脆弱性対策について、以下の管理を行う。
管理状況についてはPMDA 標準様式を使用する。
① 対象プロダクト・バージョンの把握
・各情報システムにおいて管理対象とするプロダクトとバージョンを特定するとともに 脆弱性情報の収集及びパッチの取得方法を(事前に)整備する。
※「納品書添付用データフォーマット」のソフトウェア関連項目を元に、 標準様式「脆弱性管理対象ソフトウェア一覧」と作成する。
② 脆弱性情報の収集及び対策の要否判断
・管理対象のプロダクトに係る脆弱性情報の公開状況を定期的に収集する。
・収集した脆弱性情報をもとに影響・緊急度、対策の必要性、情報システムへ与える 影響・リスクを考慮し、対策の要否を判断する。
③ 脆弱性対策計画の策定と実施
・対策が必要と判断した場合は、セキュリティパッチの適用計画、または、その代替策
(回避方法)の実施計画を策定する。
・対策が情報システムに与える影響について事前検証を行った上、実施する。 対策が情報システムの構成変更を伴う場合は、「4.4 変更管理」に拠るものとする。
・対策計画の策定及び実施状況の管理
④ 定期的(月次)報告時
・各システムにおける管理対象とするプロダクト・バージョンについて、「脆弱性管理対 象ソフトウェア一覧」を使用し報告する。
(内容に更新があった際は速やかに報告する)
・脆弱性対策の要否及び対策の実施状況について、「脆弱性対策管理簿」を使用し、 定時(月次)で報告する。
参考 脆弱性情報収集時の参考 URL 一覧 (「IPA 脆弱性対策の効果的な進め方(実践編)」より)
ニュースサイト | ■国内 ・CNET ニュース:セキュリティ https://japan.cnet.com/news/sec/ ・ITmedia エンタープライズ セキュリティ http://www.itmedia.co.jp/enterprise/subtop/security/index.html ・ITpro セキュリティ https://tech.nikkeibp.co.jp/genre/security/ ■海外 ・ComputerWorld Security (米国中心) https://www.computerworld.com/category/security/ ・The Register Security (英国・欧州中心) |
注意喚起サイト | ■国内 ・IPA:重要なセキュリティ情報一覧 https://www.ipa.go.jp/security/announce/alert.html ・JPCERT/CC 注意喚起 |
・警察庁:警察庁セキュリティポータルサイト https://www.npa.go.jp/cyberpolice/ ■海外 ・米国:US-CERT ・米国:ICS-CERT | |
製品ベンダー | ■定例アップデート ・マイクロソフト セキュリティ更新プログラム ガイド |
■クライアント製品など ・Apple セキュリティアップデート https://support.apple.com/ja-jp/HT201222 ・Adobe セキュリティ速報およびセキュリティ情報 https://helpx.adobe.com/jp/security.html ・Mozilla サポートの検索 |
■サーバ、ネットワーク製品など ・シスコ – セキュリティアドバイザリ https://www.cisco.com/c/ja_jp/support/docs/csa/psirt-index.html ・HP - サポートホーム ・日立 –セキュリティ情報 https://www.hitachi.co.jp/hirt/security/index.html ・富士通 - セキュリティ情報 ・NEC - NEC 製品セキュリティ情報 https://jpn.nec.com/security-info/ ・IBM – IBM Support https://www.ibm.com/support/home/?lnk=ushpv18hcwh1&lnk2=support ・Red Hat – Red Hat Product Errata | |
■セキュリティ製品など ・シマンテック –セキュリティアップデート https://www.symantec.com/ja/jp/security_response/securityupdates/list.jsp?fid=sec urity_advisory | |
■オープンソースなど ・Apache Foundation https://httpd.apache.org/ (Apache HTTP サーバ) https://tomcat.apache.org/ (Apache Tomcat) https://struts.apache.org/ (Apache Struts) ・ISC (Internet Systems Consortium) https://www.isc.org/downloads/bind/ (BIND) https://www.isc.org/downloads/dhcp/ (DHCP) |
4.10 アクセス権管理
システムを利用するユーザ・アカウントを保護するため、及び、なりすましによる不正ログインの可能性を低減するために、ユーザ・アカウントを役割権限別に分類した上で管理方法を取決めてセキュリティレベルを維持する。
システムを利用するサーバ OS、ミドルウェア、アプリケーション・ソフトウェア、及びネットワーク機器のアカウントを対象にアクセス権の管理を行う。
本番システム環境での全てのアカウント(社外の取引先等に提供しているアカウントを含む)のアクセス権を管理対象とする。
本番環境 | アクセス権管理の対象 |
システム・ソフトウェア | OS ユーザID |
ミドルウェア | DBMSユーザID、ジョブスケジューラ・ユーザID、他 |
アプリケーション・ソフトウェア | アプリケーション・ユーザID |
ネットワーク機器 | 各ネットワーク機器の管理者用ID |
アクセス権管理業務を評価するための評価指標として以下を定義する。
① 期間内に発生したユーザID登録・変更・削除の件数
② 特権(高権限)ユーザID別の貸出し件数と用途
③ アカウントおよびアクセス権の定期棚卸しで、発見された不備項目
④ 不適切/不正なアクセス権限の設定によって発生したインシデントの件数
⑤ アクセス権限の再設定が必要となったインシデントの件数
⑥ 間違ったアクセス権限の設定によって提供不能になったサービスの件数
⑦ 間違ったアクセス権限の設定によって生じた不正アクセスの件数
(5) 標準化
特権(高権限)IDについて、以下の管理を行う。
①特権ID(システムID)台帳の作成
※添付「特権ID管理台帳」を使用する。
※各情報システムの状況等によって、一部改修して使用しても構わない。ただし、項目の削除は 認めない。
※監査等にて提示要求があった場合は、速やかに提示できるよう保管する
②特権ID(システムID)使用管理簿の作成(またはログ抽出)
※添付「特権ID 使用管理簿」を使用する。
※各情報システムの状況等によって、一部改修して使用しても構わない。ただし、項目の削除は 認めない。
※ログイン・ログアウトのログ(または画面コピー)を必ず保管(または添付)し、監査等にて提示 要求があった場合は、速やかに提示できるよう保管する
③定期(月次)報告
特権ID(システムID)台帳ならびに特権ID(システムID)使用状況を、定期(月次)報告する。
(ログまたは画面コピーは、月次報告不要)
④特権ID棚卸し
特権IDの棚卸しを定期的(年 2 回程度)に実施し、報告を行う。(報告書式任意) 棚卸し点検内容は以下の通り
○台帳は、本当に使用する者を登録しているか?(体制図と一致しているか?)
・体制から外れた者が削除されずに残っていないか?
・使用予定がない者が登録されていないか?
○台帳と使用管理簿の相関は一致しているか?
○使用管理簿とログ(または画面コピー)保管の相関は一致しているか?
4.11 キャパシティ管理
キャパシティ管理の目的は、ビジネスが必要とするときに、必要なキャパシティを適正なコストで提供することである。 すなわち、
① ビジネスの需要に対する供給
ビジネスの変化に合わせて、ITサービスの対応にもスピードが要求される。 キャパシティ管理は、現在から将来にわたるビジネス需要・要件に合わせて、ITインフラストラクチャーのキャパシティを最大限に活用できるようにすることを目的とする。
② キャパシティに対するコスト
一方、必要以上のキャパシティを確保すると購入や運用のための費用が膨らみ、ビジネスの観点からコストを正当化できない。 キャパシティを最適化し、費用対効果が高いITサービスを提供することもキャパシティ管理の目的である
このプロセスは、次の3つのサブプロセスから構成される。
① ビジネスキャパシティ管理
ITサービスに対する将来のビジネス需要・要件を収集・検討し、それによって、ITサービスのキャパシティを確実に実装させるための計画の立案、予算化、構築がタイムリーに実施されるようにする。
② サービスキャパシティ管理
実際のサービスの利用と稼働のパターン、山と谷を理解して、運用中のITサービスのパフォーマンスを監視し、それによって、SLAの目標値を達成し、ITサービスを要求どおりに機能させる。
③ コンポーネントキャパシティ管理
ITインフラストラクチャーの個々のコンポーネントのパフォーマンスとキャパシティ、使用状況を監視し、それによって、SLAの目標値を達成・維持するために、コンポーネントの利用を最適化する。
本要領の適用システムにおけるハードウェア、ソフトウェア、ネットワーク、アプリケーション、及び人的リソースを対象とする。
キャパシティ管理業務を評価するための評価指標として以下を定義する。
① CPU、ディスク、メモリ、ネットワーク容量などの閾値に対する需要の割合
② ITサービスのパフォーマンス不足に起因するSLA違反やインシデントの発生件数
③ ITコンポーネントのパフォーマンス不足に起因するSLA違反やインシデントの発生件数
④ 正規の購入計画に含まれていなかった、パフォーマンスの問題解決のために急きょ行った購入の数又は金額
4.12 可用性管理
可用性管理の目的は、ビジネス部門に対して、費用対効果が高いITサービスを持続して提供することであり、そのためにITインフラストラクチャーを整備し、それをサポートするITサービス部門の能力を最適化させる。
可用性管理の活動は大きく、1)可用性要件の把握、2)可用性の設計、及び3)可用性の改善活動の3つに分けられる。
具体的には、以下の可用性管理の3要素の目標値を設定し、設定した可用性のレベルを達成・維持・向上させることである。
① 可用性
可用性とは、ITサービスが必要なときに使用できる割合のことで、一般的には稼働率という指標を用いて表される。
稼働率(%)=(サービス提供時間-停止時間)÷サービス提供時間
② 信頼性
提供されるITサービスにおける、不具合の発生しにくさ/故障しずらさを表す。平均故障間隔=(使用可能な時間-総停止時間)÷(サービス中断の回数-1)
③ 保守性
ITサービスが停止又は品質低下した際に、いかに早く復旧できるかを示す指標。平均修理時間=修理時間の合計÷サービス中断の回数
可用性について極めて重要なことは、ユーザの求めるシステムの可用性レベルをどのように達成するかについて、システム設計時に真剣に検討し、システム構築時に実現し、システムの運用において継続的に改善することである。
本基準の適用システムにおけるハードウェア、ソフトウェア、ネットワーク、及びアプリケーションを対象とする。
可用性管理業務を評価するための評価指標として以下を定義する。
① 可用性の割合
② 平均故障間隔
③ 平均修理時間
④ サービスの中断回数
⑤ 定期的なリスク分析、及びレビューの完了の件数
4.13 サービスレベル管理
ユーザニーズを満足する適正なサービスレベルおよび管理指標を設定し、これを実績管理することにより質の高いサービスの提供を図る。
サービスレベルおよび各個別管理業務での管理指標の実績データを定期的に把握し、サービスレベル指標と実績の差異や傾向を継続的に分析することにより、改善策を立案し実施する。
IT 部門が提供する全ての IT サービスに関するサービスレベルおよび各個別管理業務での管理指標を管理対象とする。
サービスレベル管理業務を評価するための評価指標として以下を定義する。
①「サービスレベル合意書」の各サービスレベル項目の達成率
②各個別管理業務での管理指標の達成率
(5) 標準化
サービスレベル管理業務を定期的(月次)に報告する。
①「サービスレベル合意書」の各サービスレベル項目の達成率
②各個別管理業務での管理指標の達成率
以上
別紙5 情報セキュリティ対策の運用要件
情報システムの運用・保守の業務遂行にあたっては、調達・構築時に決定した情報セキュリティ要件が適切に運用されるように、人的な運用体制を整備するとともに、機器等のパラメータが正しく設定されていることの定期的な確認、運用・保守に係る作業記録の管理等を確実に実施すること。
対策区分 | 対策方針 | 対策要件 | 運用要件 | 定期点検 |
侵害対策 | 通信回線対策 | 通信経路の分離 | 不正の防止及び発生時の影響範囲を限定するため、外部との通信を行う | セキュリティヘルスチェック(構成管理資料の原本と |
(AT: Attack) | (AT-1) | (AT-1-1) | サーバ装置及び通信回線装置のネットワークと、内部のサーバ装置、端末等のネットワークを通信回線上で分離すること。ネットワーク構成情 報と実際の設定を照合し、所定の要件通りに設定されていることを定期 | 実際の設定状況を目視にて突合せチェックすることにより各種セキュリティ設定の不正変更の有無をチェッ クする)と合わせて実施し報告すること。 |
的に確認すること。 | ||||
不正通信の遮断 | 通信に不正プログラムが含まれていることを検知したときに、その通信 | |||
(AT-1-2) | をネットワークから遮断すること。 | |||
通信のなりすまし防止 (AT-1-3) | 通信回線を介した不正を防止するため、不正アクセス及び許可されていない通信プロトコルを通信回線上にて遮断する機能について、有効に機能していることを定期的に確認すること。 | セキュリティヘルスチェック(構成管理資料の原本と 実際の設定状況を目視にて突合せチェックすることにより各種セキュリティ設定の不正変更の有無をチェッ | ||
クする)と合わせて実施し報告すること。 | ||||
サービス不能化の防止 (AT-1-4) | サービス不能攻撃を受けているかを監視できるよう、稼動中か否かの状態把握や、システムの構成要素に対する負荷を定量的(CPU 使用率、プ | |||
ロセス数、ディスク I/O 量、ネットワークトラフィック量等)に把握す | ||||
ること。監視方法はシステムの特性に応じて適切な方法を選択するこ | ||||
と。 | ||||
不正プログラム対策 (AT-2) | 不正プログラムの感染防止 (AT-2- 1) | 不正プログラム対策ソフトウェア等に係るアプリケーション及び不正プログラム定義ファイル等について、これを常に最新の状態に維持すること。不正プログラム対策ソフトウェア等により定期的に全てのファイルに対して、不正プログラムの検査を実施すること。 | ||
不正プログラム対 | 不正プログラム対策ソフトウェア等の定義ファイルの更新状況を把握 | |||
策の管理 (AT-2- | し、不正プログラム対策ソフトウェア等が常に有効に機能するよう必要 | |||
2) | な対処を行うこと。 |
セキュリティホ ー ル 対 策 (AT-3) | 運用時の脆弱性対策 (AT-3-2) | 情報システムを構成するソフトウェア及びハードウェアのバージョン等を把握して、製品ベンダや脆弱性情報提供サイト等を通じて脆弱性の有無及び対策の状況を定期的に確認すること。脆弱性情報を確認した場合は情報システムへの影響を考慮した上でセキュリティパッチの適用等必要な対策を実施すること。 対策が適用されるまでの間にセキュリティ侵害が懸念される場合には、当該情報システムの停止やネットワーク環境の見直し等情報セキュリティを確保するための運用面での対策を講ずること。 | 脆弱性対策の実施状況は、月次で報告すること。 | |
不正監視・追跡 (AU: Audit) | ログ管理(AU- 1) | ログの蓄積・管理 (AU-1-1) | 情報システムにおいて、情報システムが正しく利用されていることの検証及び不正侵入、不正操作等がなされていないことの検証を行うために必要なログ(システムへのログオンや資源へのアクセスのロギング等)を取得すること。 | ログが所定の要件通り、取得・蓄積されていることを確認すること。(年 1 回以上) |
ログの保護 (AU- 1-2) | 取得・蓄積されたログが不正な改ざんや削除が行われないようログの格納ファイルのアクセス権を制限する等必要な対策を講じること。 | 取得・蓄積されたログが不正な改ざんや削除が行われていなことを確認すること。(年1回以上) | ||
時刻の正確性確保 (AU-1-3) | システム内の機器の時刻同期の状況を確認すること。 | 時刻同期に問題ないことを月次で確認する。もしくは、差異がある場合に検知する仕組みを構築する。 | ||
不正監視(AU- 2) | 侵入検知 (AU-2- 1) | 不正行為に迅速に対処するため、通信回線を介して所属するPMDA外と送受信される通信内容を監視し、不正アクセスや不正侵入を検知した場合は通信の遮断等必要な対処を行うこと。 | ||
アクセス・利用制限 (AC: Access) | 主体認証(AC- 1) | 主体認証 (AC-1- 1) | 主体認証情報(ID、パスワード)は不正に読み取りできないよう保護すること。 | |
アカウント管理(AC-2) | ライフサイクル管理 (AC-2-1) | 主体が用いるアカウント(識別コード、主体認証情報、権限等)は、主体の担当業務に必要な範囲において設定すること。 また、アカウント管理(登録、更新、停止、削除等)の作業内容は記録し、証跡を保管すること。 アカウント棚卸を定期的に実施し、不要なアカウントを削除すること。 | アカウント棚卸を定期的(年1回以上)に実施すること。 | |
アクセス権管理 (AC-2-2) | 主体が用いるアカウント(識別コード、主体認証情報、権限等)は、主体の担当業務に必要な範囲において設定すること。また、アカウント管理(登録、更新、停止、削除等)の作業内容は記録し、証跡を保管すること。 権限の再検証を定期的に実施し、不要な権限を削除すること。 | ユーザーIDの棚卸と合わせて実施すること。 |
管理者権限の保護 (AC-2-3) | システム特権を付与されたアカウント及び使用者を特定し、アカウントの使用状況を記録し、アカウントの不正使用がないことを定常的に確認すること。 | 管理状況を「特権ID台帳」及び「特権ID使用管理簿」により、月次で報告すること。 本番稼働に直接影響するサーバの中から毎月2台のサーバを選定して全量の1/5程度をサンプリング検査することとする。ただし、サンプリングの対象範囲は PMDA と協議のうえ決定するものとする。 | ||
データ保護 (PR: Protect) | 機密性・完全性の確保 (PR-1) | 通信経路上の盗聴防止 (PR-1-1) | 通信回線に対する盗聴行為による情報の漏えいを防止するため、通信回線を暗号化する機能について、有効に機能していることを定期的に確認すること。 | セキュリティヘルスチェック(各種セキュリティ設定の不正変更の有無、および不正操作の痕跡の有無の確認)と合わせて実施し報告すること。 |
保存情報の機密性確保 (PR-1-2) | 情報システムに蓄積された情報の窃取や漏えいを防止するため、情報へのアクセスを制限すること。構成情報と実際の設定を照合し、所定の要件通りに設定されていることを定期的に確認すること。 また、業務データへのアクセス権限の付与状況を点検し、不要なアクセス権限が付与されていないことを確認すること。 | ユーザーIDの棚卸と合わせて実施すること。 | ||
業務データへのアクセス管理 | 情報の格付の見直し及び再決定が行われた際や、当該情報システムに係る職員等の異動や職制変更等が生じた際には、情報に対するアクセス制御の設定や職務に応じて与えられている情報システム上の権限が適切に変更されていることを確認すること。 | ユーザーIDの棚卸と合わせて実施すること。 | ||
受託者によるアクセス | 受託者は受託した業務以外の情報へアクセスしないこと。 | 情報セキュリティ遵守状況は月次で報告すること。 | ||
物理対策 (PH: Physical) | 情報窃取・侵入対策 (PH-1) | 情報の物理的保護 (PH-1-1) | 受託者の管理区域において、受託者がPMDAより提供された情報を格納する機器は、情報の漏えいを防止するため、物理的な手段による情報窃取行為を防止・検知するための機能を備えること。 | 情報セキュリティ遵守状況は月次で報告すること。 |
侵入の物理的対策 (PH-1-2) | 受託者の管理区域において、受託者がPMDAより提供された情報を格納する機器は、物理的な手段によるセキュリティ侵害に対抗するため、外部からの侵入対策が講じられた場所に設置すること。 | 情報セキュリティ遵守状況は月次で報告すること。 | ||
入退室管理の履行 | PMDAが管理するサーバ室、事務室等の管理区域への入退出については、PMDA入退室管理規程を遵守すること。 PMDAの管理区域内での作業は、原則として、PMDA職員の立会いのもとで行うこと。 |
障害対策 (事業継続対応) (DA: Damage) | 構成管理(DA- 1) | システムの構成管理 (DA-1-1) | 情報セキュリティインシデントの発生要因を減らすとともに、情報セキュリティインシデントの発生時には迅速に対処するため、情報システムの構成(ハードウェア、ソフトウェア及びサービス構成に関する詳細情報)が記載された文書を実際のシステム構成と合致するように維持・管理すること。 | 変更作業時の構成管理資料の更新については、「変更作業一覧」により、月次で報告すること。 |
可用性確保 (DA-2) | システムの可用性確保 (DA-2-1) 情報のバックアップの取得 | システム及びデータの保全が確実に実施されるため、システム及びデータのバックアップが所定の要件通りに取得されていることを定期的に確認すること。 また、回復手順について机上訓練を実施し、バックアップや回復手順が適切に機能することを確認する。 | バックアップの実施状況は、月次で報告すること。 バックアップによるリストア等回復手順については、机上訓練を年 1 回以上実施すること。 | |
サプライチェーン・リスク対策 (SC: Supply Chain) | 情報システムの構築等の外部委託における対策(SC- 1) | 委託先において不正プログラム等が組み込まれることへの対策 (SC-1-1) | 情報システムの運用保守において、PMDAが意図しない変更や機密情報の窃取等が行われないことを保証するため、構成管理・変更管理を適切に実施すること。 | 変更管理の状況は「変更作業一覧」により、月次で報告すること。 |
作業区分 | 作業項目 | 作業内容 | 実施者 | |
サーバ等 保守業者 | 本調達 受注業者 | |||
稼働状況管理 | サービス管理 | 仮想サーバ、サービスの起動・停止・再起動のオペレータ作業サービスの提供 | ○ | ‐ |
仮想サーバ、サービスの起動・停止・再起動のオペレータ作業の実施 | ‐ | ○ | ||
ストレージ管理 | バックアップ | システムバックアップサービス、データバックアップ保管サービスの提供 | ○ | ‐ |
バックアップ設計・自動データバックアップ設定 | ‐ | ○ | ||
運用マニュアルに基づくデータおよびシステムイメージのバックアップの実施 | ‐ | ○ | ||
システムバックアップ管理票の作成、提供 | ‐ | ○ | ||
リストア | システムリストアサービスの提供 | ○ | - | |
保守マニュアルに基づくデータ及びシステムイメージリストアの実施 | ‐ | ○ | ||
システムリストア管理票の作成、提供 | ‐ | ○ | ||
ログ管理 | ログチェック | ログ監視サービスの提供 | ○ | ‐ |
OSログ、ミドルウェアログの運用監視設定 | ‐ | ○ | ||
監視対象ログの確認 | ‐ | ○ | ||
ユーザ管理 | OS ID管理 | 管理者・運用担当者のログインID、パスワードの発行 | ‐ | ○ |
管理者等の権限変更への対応 | ‐ | ○ | ||
管理者・運用担当者の登録情報変更への対応 | ‐ | ○ | ||
問合わせ管理 | 照会対応 | サービスデスク(IaaS監視、障害対応)を提供すること | ○ | ‐ |
セキュリティ管理 | パッチ適用 | セキュリティパッチ(OS)サーバの提供 | ○ | ‐ |
セキュリティパッチ(OS)の適用 | ‐ | ○ | ||
セキュリティパッチ(ミドルウェア)の適用 | ‐ | ○ | ||
パッチの適用状況管理 | ‐ | ○ | ||
ウイルスパターンファイル更新 | パターンファイルの更新(自動) | ○ | ‐ | |
パターンファイルの更新状況管理 | ‐ | ○ | ||
侵入検知 | 外部からの侵入に対するセキュリティ監視 | ‐ | ○ | |
ウイルス監視 | ウイルス除去・検知に対する監視 | ‐ | ○ | |
稼働状況管理 | 死活監視 | クラウドセンターに設置した仮想サーバ等を対象とした死活監視(Ping) | ‐ | ○ |
閾値監視 | CPU/メモリ/ディスクの閾値監視 | ‐ | ○ | |
データーベースの空き容量監視 | ‐ | ○ | ||
サービス・プロセス稼働監視 | サービス稼働監視(ポート番号単位) | ‐ | ○ | |
アプリケーション稼働上必要なプロセスの監視 | ‐ | ○ | ||
通知・閲覧 | アラート通知 | ○ | ‐ | |
イベント通知 | ○ | ‐ | ||
性能情報蓄積/閲覧 | ○ | ‐ | ||
別紙6 運用監視・保守方針と役割分担
作業区分 | 作業項目 | 作業内容 | 実施者 | |
サーバ等 保守業者 | 本調達 受注業者 | |||
アプリケーションの稼働確認 | Webアプリケーションの稼働確認 | - | ○ | |
CMSソフトウェアの稼働確認 | - | ○ | ||
サイト内検索サービスの稼働確認 | △ | ○ | ||
レコメンドサービスの稼働確認 | △ | ○ | ||
構成管理 | ハードウェア・ソフトウェア構成管理 | システムを構成するサーバ一覧、サーバ導入ソフトウェア構成等をまとめ、変更が生じた場合は反映させる | ‐ | ○ |
保全管理 | 障害対応 | 各担当ベンダーから提供されるサービス等に関するインシデント情報の取り纏め管理 | ‐ | ○ |
物品管理 | ドキュメント管理 | クラウド環境構築で作成したマニュアル等のドキュメントを保管 | ‐ | ○ |
報告関連 | システム運用報告 (月次) | 運用報告書に必要となる監視情報の蓄積、閲覧サービスの提供 | ○ | ‐ |
システム運用報告書(月次)に、当月の業務実施状況について取りまとめ、提出する | ‐ | ○ | ||
改善状況報告 | IaaS障害の原因分析及び改善策について必要に応じて報告する | ○ | ‐ | |
IaaS以外の障害の原因分析及び改善策について必要に応じて報告する | ‐ | ○ | ||
保守窓口 | 保守窓口 | ソフトウェア、ハードウェア、クラウドサービスの製品保守サービスの取得 | ○ | ‐ |
システム運用支援期間中の各種製品、クラウドサービスの保守サービスベンダーとの窓口対応 | ○ | ‐ | ||
保守サービスの更新 | ○ | ‐ | ||
ヘルプデスク窓口 | ヘルプデスク窓口 | CMS及び、検索アプリケーションの使い方を含む問合せ全般に対する問合せを受け付ける。機構内ユーザからの問合せが前提。 ・CMS及び検索アプリケーションに対する利用方法の問合せ ・障害受付、原因の一次切り分けの実施 | - | ○ |
業務運用 | CMS/アプリケー ション/ASPに係る運用業務 | ・ユーザ登録、ワークフロー登録等、CMSの運用に必要な管理作業を実施 ・検索アプリが仕様するデータ登録作業 ・ログ解析ツールを使った各種集計データ作成(ユーザからのリクエスト対応含む) ・サイト内検索への設定作業 ・etc | - | ○ |